Van oudsher is Splunk een dataverzamelaar in hart en nieren. Ooit was de vraag wat er met deze verzamelde data mogelijk was, maar door de jaren heen heeft het bedrijf de aangeboden applicaties telkens uitgebreid. Tijdens .conf23 in Las Vegas was het credo “Ready for Anything”, met cyberweerbaarheid en de samensmelting van security en observability als hoofdpunten. Ook AI is een rode draad door de presentaties, zoals tegenwoordig te verwachten is. Wat doet Splunk nu eigenlijk allemaal, of beter gezegd: wat doet het niet?
Over de data-explosie van de afgelopen jaren hebben we wel vaker gehoord. De opkomst van hybride werken en de beweging naar de cloud hebben de complexiteit van IT-omgevingen alleen maar vergroot. Een ander wapenfeit voor IT-bedrijven is dat expertise lastig te vinden is. Het zijn allemaal uitdagingen die een partij als Splunk heeft gedwongen om anders naar de eigen werkzaamheden te kijken.
Wie namelijk oude .conf-verslagen bekijkt, ziet “data-innovatie” als speerpunt voorbijkomen. Splunk probeert nog steeds een antwoord te bieden op de vraag: ‘Wat kun je allemaal met de data die gegenereerd wordt door al je systemen?’ Alleen, gezien de continue dreiging van cybercriminelen, heeft dat een wat andere invalshoek gekregen. De vraag is nu uitgebreid met ‘Hoe zet je data in om je bedrijf te wapenen tegen kwaadwillenden?’
Samensmelting van security en observability
Het belang van security zal door niemand binnen Splunk duidelijker verwoord worden dan Mike Horn, SVP & GM of Security. Voorheen was Horn werkzaam bij TwinWave, dat vorig jaar door Splunk is opgekocht. “Ik heb het altijd over een klein stapje achter de aanvallers zitten, want je weet nooit wat ze morgen doen.” Net als Splunk-gebruikers zullen hackers namelijk net zo goed hebben gekeken naar alle nieuwe innovaties die het bedrijf vorige maand presenteerde.
Het wemelt steeds meer van de kwaadwillenden op het internet, zoals is gebleken uit security-rapporten wereldwijd, waaronder bij de NCTV. De toegenomen dreiging van cybercriminelen lijkt bij Splunk tot een samensmelting van security en observability te leiden. Deze twee aspecten hebben inherent een aanzienlijke overlap. Zo zou SecOps in principe via signalen vanuit systeemprestaties kunnen zien dat er verdachte activiteiten plaatsvinden. Men heeft volgens Horn gezamenlijke belangen: “Een observability trace kan nuttig zijn voor data logs,” haalt hij aan als voorbeeld.
Dit verhaal van samensmelting is het beste te zien met het nieuwe Mission Control, waarmee men zoveel mogelijk informatie presenteert op één plek. Horn benoemt dat het continu switchen van browser-tabbladen onder Splunk-gebruikers daarmee verleden tijd moet zijn. Mission Control voegt verschillende datapunten samen om unified case management te bieden: vanuit deze applicatie zou zoveel mogelijk te regelen moeten zijn, van het in quarantaine plaatsen van een verdacht account tot het nagaan van systeemprestaties. Voor sommige organisaties zal een dergelijke convergentie van informatie welkom zijn, zoals een mediabedrijf dat netwerk- en security-teams niet als aparte afdelingen zou moeten willen ordenen.
Overigens was Mission Control al een applicatie binnen Splunk, die alleen in de cloud beschikbaar was. Momenteel is de nieuwe variant trouwens nog niet on-prem te draaien, maar dat zou later dit jaar wel zo moeten zijn. Door het samenvatten en ordenen van data zouden kleinere bedrijven in principe ook voordeel moeten halen uit Splunk, ook al is het bedrijf vooralsnog gefocust op Fortune 2000-bedrijven, zoals CEO Gary Steele ons laat weten tijdens een persconferentie.
Splunk AI: aanpasbaar voor security, behulpzaam voor beginners
Het samenvatten en transformeren van data klinkt als een typische AI-toepassing. Het nieuw aangekondigde Splunk AI is geen specifieke applicatie, maar een verzamelnaam voor alle implementaties binnen het Splunk-platform. Zo is Splunk Attack Analyzer ontworpen om zoveel mogelijk handmatige taken weg te nemen bij de analyse van cyberdreigingen. Samen met Splunk SOAR kunnen gebruikers Attack Analyzer inzetten om vanuit deze analyse een response-workflow automatisch af te laten spelen. AI-tools bieden eveneens inzichten in onder andere Splunk Enterprise Security en User Behavior Analytics.
Deze vorm van data-aggregatie kan het werk van security-specialisten vereenvoudigen, zodat zij tijd vrij kunnen maken voor andere zaken. Dat is handig gezien het schreeuwende tekort aan deze werknemers. Wat dat betreft zou AI een stapje in de goede richting moeten betekenen: Splunk AI Assistant is in preview-vorm beschikbaar en kan SPL-beginnelingen helpen om inzicht in Splunk-data te krijgen. SPL is de taal die je normaal gesproken nodig hebt om het platform goed te kunnen gebruiken. De nieuwe generatieve AI-tool biedt de mogelijkheid om in menselijke taal zoekopdrachten uit te voeren, waarna de conversie naar SPL inzichtelijk is. Het is de enige keer dat generatieve AI voorkomt in het Splunk-narratief.
Tip: Splunk brengt security en observability nauwer samen met Splunk AI – Techzine.nl
Het vraagstuk van AI komt ook veel voor in het gezamenlijke gesprek met GVP en Chief Strategy Advisor EMEA van Splunk James Hodge en Chief Technical Advisor EMEA Mark Woods. Al voordat de ChatGPT-hype begon waren zij met Splunk betrokken bij het World Economic Forum om bedrijven te helpen met de implementatie van AI.
Veel van wat het bedrijf tijdens .conf23 benoemt, is volgens Woods niet “nieuw nieuw”. Zo is er al een tijdje de Machine Learning Toolkit (MLTK), waar ook third-party AI-modellen in te zetten zijn (als ze ONNX, oftewel Open Neural Network Exchange ondersteunen). Toch waarschuwt Woods voor de problemen die grote modellen met zich mee kunnen brengen – er komt erg veel extra ruis voor in de outputs die een mens moet doorspitten. Met andere woorden: je moet inzicht hebben in wat AI met je data doet. “Ik heb het altijd over een glass box, geen black box“, laat Woods weten. “Als je een glass box voor je data toepast, heb je een goed beginpunt voor welke vorm van AI dan ook.”
Grote opzet: Edge Hub en observability
De ambitie van Splunk om zoveel mogelijk (nuttige) data te verzamelen reikt zelfs tot hardware. Het bedrijf is geen hardwarefabrikant, maar heeft voor de nieuwe Edge Hub een partner ingeschakeld om ook OT te voorzien van dataverzameling. Het apparaat barst van de sensoren om bijvoorbeeld luchtvochtigheid en allerlei bewegingen te meten. Op de showvloer zijn er allerlei toepassingen te zien, van het beschermen van een kippenhok tegen jagende beesten (en onbetrouwbare zoontjes die eieren pletten, aldus de exposant), tot het aansturen van een rioolsysteem. Edge Hub is inmiddels in Amerika beschikbaar, Europa zal later dit jaar volgen. Het zou voortgekomen zijn uit de expliciete vraag naar meer meetbaarheid vanuit de maakindustrie voor OT-apparatuur.
Lees ook: Splunk wil OT-security vereenvoudigen met Edge Hub-hardware
GM van Observability Spiros Xanthos ziet het als een uitbreiding om OT-infrastructuur meetbaar te maken voor IT-teams. Dit is een vraagstuk waar we al vaker aandacht aan besteedden, zeker omdat de industriesector weleens te maken heeft met een kwetsbare en verouderde OT-omgeving. Het beschermen van industriële apparatuur begint bij dataverzameling, waardoor Splunk zich geroepen voelde. “De problemen die we oplossen wat security, IT en observability betreft zijn uiteindelijk allemaal dataproblemen,” stelt Xanthos. “Het merendeel van deze data is ongestructureerd, dus je moet een manier hebben om daar achteraf chocola van te maken.”
Tip: Is OT-security al onderdeel van je cybersecurity-strategie?
Om al die extra data behapbaar te maken, is verwerking vooraf nodig. Niet alleen omdat Splunk-gebruikers niks kunnen met eindeloze bergen aan gegevens, maar ook omdat de opslag ervan niet gratis is. Eerder dit jaar kondigde het al Edge Processor aan die de hoeveelheid data vanuit de edge kan filteren. Daarmee is precies in te stellen wat er met data gedaan wordt voordat het richting een on-prem- of cloud-locatie gestuurd wordt. Data-tiering is volgens Xanthos een speerpunt voor het bedrijf.
Voor dataverzameling maakt Splunk veelal gebruik van OpenTelemetry (OTel). De eigen OTel Collector verzamelt vanuit allerlei bronnen, van Kubernetes-omgevingen tot managed databases vanuit het klantbedrijf. OpenTelemetry is steeds populairder geworden sinds het mede door Xanthos is opgericht in 2018. Het is na Kubernetes het meest ondersteunde project binnen de CNCF. Deze populariteit verraste Xanthos. Ook bij klanten merkt hij dat de datastandaard toch vrij snel een vereiste is geworden: wie als softwareleverancier het niet heeft omarmd, zou al op voorhand weinig kans maken op een contract.
Er zijn ook grenzen
Stel, je bent als bedrijf een grootgebruiker van Splunk. Wellicht ben je actief in de maakindustrie en is de Edge Hub aantrekkelijk om data te verzamelen. Je maakt gebruik van alle security- en observability-oplossingen die op het platform beschikbaar zijn. Wat mist er dan nog om de zaken op orde te hebben? We keren terug bij de security-manager Mike Horn: hij geeft als voorbeelden dat Splunk geen firewalls, webproxy-services of een endpoint security-oplossing aanbiedt.
Bovenal: de focus ligt volgens Horn toch echt nog bij data-inzichten en visibility, ook al is dit inmiddels erg breed gedefinieerd. Uiteindelijk is alles dat Splunk doet nog steeds een dataprobleem, en heeft de techindustrie hier simpelweg steeds meer uitwegen aan geboden. Wat AI betreft is het verfrissend om te zien dat er weinig tovenarij beloofd wordt. Splunk AI is geen wondermiddel, het assisteert waar mogelijk en borduurt rustig voort op de bestaande initiatieven die het bedrijf al in huis had. Ook is het verhaal rondom de vereniging van security en observability niet nieuw: tijdens .conf22 ging het hier al uitgebreid over.
Kortom: Splunk is steeds ambitieuzer geworden, maar moet het uiteindelijk hebben van de events, logs, metrics en traces onderaan de piramide. Het biedt met de Edge Hub meer mogelijkheden om deze data te genereren, waar dat voorheen lastig of onmogelijk leek. Met Mission Control en Attack Analyzer laat het security-specialisten concentreren op wat relevant is. Hoewel de verschillende Splunk-vertegenwoordigers allemaal veel over AI te melden hebben, doet het nauwelijks mee aan de hype die eromheen heeft gezeten anno 2023. Het inmiddels erg ruime aanbod maakt het steeds lastiger om te overzien wat Splunk nou precies allemaal doet, en daarmee ook wat het (nog) niet aanpakt. Dat is eerder zo omdat er steeds meer data te verzamelen is, dan dat het bedrijf zijn grenzen overschrijdt.
Lees ook: Samenwerking met Microsoft brengt Splunk naar de Azure Marketplace
23 uur geleden
Expert bijdrage
