Splunk heeft het heel vaak over het ‘SOC van de toekomst’. Dat is een radicaal ander beestje dan het huidige SOC. Een van de belangrijkste redenen hiervoor is de locatie van de data binnen organisaties. Die staat meer en meer verspreid over allerlei locaties, van edge, on-prem tot cloud. Goed beheer van die data zou weleens de sleutel kunnen zijn die een SOC van de toekomst mogelijk maakt.
We zijn deze week aanwezig bij .conf, het jaarlijkse evenement van Splunk. Uiteraard gaat het vaak en veel over de recent afgeronde overname van Splunk door Cisco. We hebben vorige week al een uitgebreid artikel gepubliceerd over de eerste integraties tussen de twee partijen. Dat gaan we hier niet nog een keer doen.
Het ging echter ook zeker over de uitbreidingen binnen Splunk zelf. Een gevleugelde term die Splunk tegenwoordig veel gebruikt is ‘SOC van de toekomst’. Daar gaat het deze week dan ook veelvuldig over. Uiteraard spelen AI en GenAI daarin een rol, iets waar we eerder al een artikel over schreven. Een belangrijke stap in de goede richting is in dit opzicht ook de integratie van Cisco Talos in de security-producten van Splunk, zoals Splunk Enterprise Security, Splunk SOAR en Splunk Attack Analyzer. Hiermee voegt Splunk in een keer heel veel threat intelligence toe aan de producten.
Waar we het in dit artikel echter over willen hebben is vooral de rol die data speelt in het SOC van de toekomst. Die is namelijk niet te onderschatten. Waar we tegenwoordig geregeld zeggen dat AI primair draait om data, kun je dat eigenlijk ook wel zeggen van cybersecurity. We hebben het dan uiteraard over het beveiligen van de data, maar ook over weten waar die staat en accepteren dat dit niet langer op een locatie is. Met andere woorden, data staat on-prem, aan de edge en in de cloud.
Niet alle data hoeft naar een enkele locatie toe
Weten en accepteren is stap een, het is uiteraard ook belangrijk om daar dan goed op in te kunnen springen. Dat wil zeggen, het moet mogelijk zijn om slimme dingen met de data te doen daar waar deze staat. Alle data continu naar een centrale locatie kopiëren is niet het antwoord in ieder geval. Dat is niet alleen heel erg duur (iets waar Splunk altijd behoorlijk berucht om was vanuit SIEM-perspectief overigens), maar in het algemeen ook gewoon niet efficiënt vanuit operationeel perspectief.
Op het gebied van omgaan met gedistribueerde omgevingen en datalocaties heeft Splunk enkele interessante stappen gezet. Federated Analytics is er zonder meer een van. Kort door de bocht houdt dit in dat de data niet naar de analytics moet komen, maar dat de analytics naar de data komt. Het is dus mogelijk om data te analyseren zonder het te verplaatsen. Uiteraard binnen het Splunk-ecosysteem, maar de bedoeling is dat dit ook daarbuiten mogelijk gaat worden. De eerste omgeving waarin dat kan, is Amazon Security Lake. De ambitie is echter om dit verder uit te breiden.
Datamanagement speelt een belangrijke rol in SOC van de toekomst
Federated Analytics is een voorbeeld van hoe organisaties omgaan met data, voor welk doel dan ook. Met andere woorden, het gaat hier om datamanagement. Dat speelt een zeer belangrijke rol bij het doorontwikkelen van het security-aanbod van Splunk richting het platform voor een SOC van de toekomst.
Naast Federated Analytics heeft Splunk echter nog meer in petto op dit vlak. Het gaat dan om zogeheten Pipeline Builders. Deze zijn bedoeld om klanten in staat te stellen om data te filteren, maskeren, transformeren en verrijken. Dit met als doel om de data die aan de andere kant van de pijplijn naar buiten komt zo efficiënt mogelijk te maken. Dat vereenvoudigt het verwerken ervan en drukt ook de kosten. Je hoeft niet alle data continu door een zware analytics-engine te halen, alleen de relevante data. Dat is wat Splunk zegt aan te kunnen bieden met Pipeline Builders.
Pipeline Builders zijn er op dit moment in twee smaken. Er is de Edge Processor en de Ingest Processor. Met Edge Processor kunnen klanten die volledige controle over hun data willen of moeten houden dit helemaal zelf inrichten en draaien. De Ingest Processor is een Pipeline Builder die volledig door Splunk wordt gehost en beheerd. Deze is gericht op klanten die volledig in de cloud zitten of die ambitie hebben. Ingest Processor moet voor een overkoepelend datamanagement zorgen voor het Splunk Platform en de Splunk Observability Cloud.
We hebben onder andere over deze nieuwe Ingest Processor en over de Edge Processor recent een podcast opgenomen met Tom Casey, SVP en GM, Products & Technology. Deze zullen we binnenkort publiceren. Zoek dus alvast naar Techzine Talks on Tour in je favoriete podcastapp. We hebben er inmiddels al een stuk of zes gepubliceerd, dus misschien staat er nu ook al iets tussen wat je aanspreekt.
Edge Processor is op dit moment al algemeen en wereldwijd beschikbaar. Ingest Processor komt naar meerdere regio’s in juli van dit jaar. Federated Analytics zal in juli 2024 in private preview gaan.
Beter datamanagement kan SOC van de toekomst het SOC van het heden maken
Al met al zet Splunk met de aankondigingen van vandaag weer een paar goede stappen richting het moderniseren van cybersecurity in het algemeen bij organisaties, en van het SOC in het bijzonder. De mogelijkheid om eerst allerlei slimme dingen met data te doen voordat er eventueel iets naar een SOC gestuurd wordt voor verdere analyse, is zonder meer interessant. Het maakt een SOC een stuk efficiënter.
Wel komen we nu op een punt waar de grenzen van wat een SOC is en wat niet meer enigszins gaan vervagen. De analogie met de ontwikkelingen rondom wat de perimeter is binnen cybersecurity komt bovendrijven. Zijn de twee Processors die Splunk nu heeft onderdeel van het SOC, of niet? Is het SOC van de toekomst een gedistribueerd SOC? Daar valt iets voor te zeggen. Als het SOC van de toekomst in vrijwel niets meer lijkt op het SOC van vandaag, dan heeft dat ongetwijfeld ook de nodige gevolgen voor de rest van de organisatie. Maar dat is iets voor een volgende keer. Eerst maar eens zorgen dat organisaties datamanagement goed op orde krijgen.