Splunk: non chiamatelo SIEM. Una piattaforma tenere sotto controllo i dati aziendali, on premise e nel cloud

da Hardware Upgrade :

Non si viene nominati a caso Leader nel Magic Quadrant di Garntner dei SIEM per otto anni consecutivi. Questo è il risultato che ha ottenuto Splunk e da cui siamo partiti per un’interessante chiacchierata con Gian Marco Pizzuti, Area Vice President di Splunk per l’Italia, per conoscere meglio questa realtà. Per Pizzuti però è riduttivo inquadrare Splunk come una soluzione SIEM, ma è più corretto definirla una piattaforma che permette di tenere sotto controllo (observability) tutti i dati aziendali, indipendentemente da dove siano archiviati, ma soprattutto di trasformare i dati in azioni (rendere i dati actionable, in inglese, termine difficilmente traducibile direttamente) che siano funzionali al raggiungimento degli obiettivi aziendali.

Splunk

Splunk: gestire i dati è come lavorare in miniera 

Facciamo un passo indietro, tornando al 2003, anno di fondazione dell’azienda. Nel decidere il nome della società, i fondatori volevano comunicare immediatamente la loro visione sulla gestione dei dati. Si iniziava già a parlare dei dati come nuovo oro nero, ma Splunk voleva rimandare a un concetto diverso, quello di una miniera, ed è un nome onomatopeico per riportare alla mente il rumore che fa il piccone quando colpisce la roccia. A ben vedere la metafora della miniera si adatta perfettamente alla complessità nella gestione dei dati di un’azienda moderna. Non è sufficiente possedere i dati, la miniera di diamanti, per generare valore: è necessario costruire un complesso sistema di tunnel e possedere tutti gli strumenti giusti per riuscire a estrarre i diamanti grezzi e poi riuscire a raffinarli, attraverso una complessa serie di azioni, per ottenere diamanti vendibili sul mercato. Splunk ha questa ambizione: garantire l’osservabilità di tutti i dati aziendali e mettere a disposizione una serie di strumenti per ottenere valore per il business da quei dati.

Pizzuti Splunk

Pizzuti fa un esempio molto calzante, ipotizzando di essere a pranzo con un CTO. Arriva una notifica urgente sul cellulare, per comunicare che il sito aziendale è down. Informazione fondamentale da ricevere immediatamente, ma per risolvere il problema in modo efficace servono due cose. La prima è individuare, sempre in tempo reale, la causa del problema: è stato un attacco hacker o un problema dell’infrastruttura? Una volta individuata la causa, il secondo ordine di problemi è avere già a disposizione dei processi ben definiti per risolvere la situazione. Questo non è un aspetto su cui si può improvvisare, anche avendo un sistema come Splunk che permette di segnalare in tempo reale i problemi e sempre in tempi rapidissimi individuarne la causa: se poi l’azienda non ha disegnato dei processi efficaci ed efficienti per risolverli, la tecnologia, da sola, non potrà implementare una soluzione. 

Avere visibilità sui dati è solo primo passo

Emerge dalla discussione con Pizzuti un tema ricorrente, che tocca l’organizzazione aziendale e le competenze necessarie per sviluppare e implementare delle strategie efficaci. Splunk permette alle aziende di avere un punto di osservazione privilegiato di quello che sta succedendo e capire quale è la causa, per decidere come procedere, ma è essenziale avere a monte dei processi ben definiti che descrivano come agire nei diversi scenari. Processi che diventano sempre più complessi per accompagnare la migrazione verso il cloud che sempre più aziende stanno attuando. Pizzuti sottolinea come Splunk sia da sempre un’azienda attenta ai trend del mercato, che significa intercettare una tecnologia quando diventa veramente un asset per le aziende. Il cloud, e in particolare il modello di cloud ibrido che sempre più aziende stanno seguendo, è sicuramente uno dei trend principali di questo periodo e Splunk ha cambiato pelle, perché era nata da un’idea innovativa ma in un ambiente tradizionale, dove lo standard era il data center on premise con un modello di business basato su licenze perpetue. Oggi Splunk sta abbandonando quel modello per passare a uno basato su abbonamento e modalità SaaS. Però l’interpretazione del cloud di Splunk non si ferma a questi aspetti del modello operativo del cloud, ma si concretizza nella possibilità di estendere la piattaforma, in base alle necessità, in modo rapidissimo.

Splunk

Compresa quale sia la visione di Pizzuti sulle potenzialità della piattaforma, torniamo però alla considerazione di Gartner che inquadra Splunk nella categoria dei SIEM (security information and event management). Il cardine di una piattaforma di observability e azione sui dati resta comunque la sicurezza, perché oggi poter agire sui dati significa in prima battuta poterli proteggere. E questo Splunk lo fa molto bene, avendo negli anni esteso significativamente gli ambiti di controllo, con l’osservabilità che parte dall’analisi degli eventi di sicurezza e dell’infrastruttura, per arrivare ai processi, ai comportamenti delle persone e, infine, alle applicazioni. Qui l’esempio che fa Pizzuti è legato a un istituto finanziario, che garantisce ai clienti la consegna di una nuova carta di credito in 24 ore. Se dopo 48 ore la carta non è ancora stata consegnata, l’azienda deve avere gli strumenti per individuare i motivi del disservizio per risolvere nell’immediato il problema del singolo utente e poi per intervenire affinché l’inconveniente non si ripeta.

L’integrazione e l’interoperabilità sono essenziali

Per garantire una reale e completa osservabilità, una piattaforma come Splunk deve necessariamente interagire con altri servizi e piattaforme. L’interoperabilità è garantita da 2.700 connessioni tecnologiche, ad esempio con SAP, ServiceNow e Zscaler. Il tema dell’interoperabilità è essenziale anche e soprattutto per garantire la sicurezza, perché è l’unica risposta valida che si può dare all’attività sempre più frenetica degli attaccanti. Una piattaforma aperta che dialoghi con tutto l’ecosistema deve essere in grado di intercettare i segnali da qualsiasi parte arrivino e quindi Splunk si interfaccia anche con le principali soluzioni di endpoint e network protection. Per Pizzuti, quindi, Splunk va oltre il concetto di SIEM e si propone come una piattaforma di controllo in grado di intercettare i segnali provenienti da qualsiasi fonte. Esiste chiaramente un rischio di sovrapporsi con altri attori, ma la visione di Splunk è focalizzata più sulle potenzialità di integrazione.

Splunk

Chiudiamo con qualche numero su Splunk. Dal 2003 a oggi ha registrato oltre 950 brevetti, è presente in 130 Paesi e genera, a livello mondiale, un fatturato di 2,67 miliardi di dollari. In Italia, dove non vengono rilasciati dati sul fatturato locale, Pizzuti ci ha comunque dato un’indicazione interessante: da quando è entrato in azienda due anni fa, il team italiano è triplicato.

Source link