In occasione dell’evento .conf go Milan, demo interattive e casi reali hanno mostrato come l’AI e l’integrazione Cisco-Splunk migliorano sicurezza, osservabilità e automazione.
Autore: Redazione SecurityOpenLab
Parlare di tecnologia e di innovazione nella cybersecurity è importante, ma serve anche concretezza. È per questo che all'evento .conf go Milan tenuto da Splunk nel capoluogo lombardo la protagonista della scena è stata l'area lab in cui clienti, partner e giornalisti hanno potuto toccare con mano le tecnologie che in questo momento sono protagoniste del dibattito. Gian Marco Pizzuti, Area Vice President e Country Manager Italia di Splunk, ha messo in particolare l’accento su due demo attive: AI Assistant e ThousandEyes di cui parleremo più avanti.
La suddetta area demo implementava soluzioni di Splunk combinate con quelle di 16 partner sponsor a dimostrazione delle molteplici possibilità di integrazione tecnologica. L’implementazione era duplice: da una parte una sorta di castello disseminato di alert relativi alle aree sia fisiche che digitali, dall’altra una piattaforma di simulazione di guida con McLaren che raccoglieva dati di telemetria mentre i clienti si divertivano a gareggiare, così da illustrare casi d’uso pratici di questa tecnologia.
La relazione diretta fra teoria e applicazione pratica della tecnologia si è concretizzata anche nel momento più importante dell’evento, dedicato ai casi d’uso: sei clienti fra cui Pirelli, Stellantis e Bpower hanno raccontato le proprie esperienze con l’impiego di soluzioni Splunk per la security, per l’osservabilità applicativa, per il cloud e altro. Pizzuti li ha definiti “esempi fondamentali per dimostrare quanto sia semplice parlare, ma quanto sia poi complesso ‘fare’. Da qui la decisione di attuare il duplice approccio di far provare agli ospiti quello di cui parliamo, e di ascoltare la testimonianza di chi ha realizzato progetti concreti e ne racconta i risultati”. L’occasione è stata anche ghiotta per fare il punto sulla integrazione con Cisco, evidenziando i vantaggi che i clienti possono ottenerne.
A prescindere dall’ambito, è difficile oggi trattare di tecnologia senza chiamare in causa l’AI. L’argomento è sulla cresta dell’onda da tempo, tanto che – come ha sottolineato Pizzuti - "siamo in una fase in cui non si tratta più di capire che cosa sia l’AI o come usarla, ma di concretizzarne i benefici nel contesto del business" che ha guidato la decisione di impostare l’evento sulle demo concrete (anche) di AI.
AI che peraltro rispecchia la narrativa dell’integrazione tra Cisco e Splunk: "l’AI è intensiva da un punto di vista di computing e di networking. Con il supporto di Nvidia, Cisco è pronta a interpretare un ruolo rilevante in questo ambito e, grazie al portafoglio prodotti combinato con Splunk, insieme possiamo offrire soluzioni concrete e di valore". È per questo motivo che buona parte degli sforzi di Splunk è orientato nella direzione dell’AI, sia in termini di dialogo con il mercato sia a livello di ricerca e sviluppo. "Il vero passaggio critico", ha proseguito Pizzuti, "è andare oltre l’esercizio stilistico e tradurre questa tecnologia in qualcosa di concreto per i clienti”, che si ottiene chiamando in causa aspetti come il training dei modelli linguistici e l’ottimizzazione delle risorse, anche in chiave sostenibile. "Siamo passati da un periodo in cui si parlava di rischi e limiti dell’AI a una fase in cui le persone si chiedono come trarre valore concreto da questa tecnologia".
Cisco e Splunk sono pronti a dare risposte concrete grazie a tecnologie già operative. Una è quella a cui ha accennato Renzo Ghizzoni in un recente evento Cisco, ossia i SOC potenziati dall’AI. Pizzuti spiega che in questo ambito "l’intelligenza artificiale può compensare la carenza di risorse qualificate in virtù della evoluzione delle nostre soluzioni, già basate su machine learning e automazione, che ci permette di automatizzare l’utilizzo stesso dell’automazione". Un esempio portato dal manager riguarda il SOAR, con l’ottimizzazione delle procedure di gestione e analisi degli incidenti: "stiamo introducendo strumenti che migliorano l’igiene operativa, automatizzano task di verifica e ottimizzano l’interazione tra soluzioni. Questo consente un passo avanti deciso nell’utilizzo delle tecnologie".
La sua applicazione pratica è Attack Analyzer, "un’evoluzione della sandbox tradizionale che integra l’analisi della threat intelligence di Talos (acquisita tempo fa da Cisco, N.d.R.), per offrire una verifica automatica e approfondita". Il suo funzionamento è semplice da descrivere: l’AI analizza un artefatto (una email o un evento sospetti) e restituisce informazioni sia sulla gravità dell’evento, sia sulla remediation, così da poter offrire agli executive e agli operatori uno strumento pratico e immediato per capire cosa sta succedendo e come agire. Questo esempio semplice dimostra che "l’intelligenza artificiale non è più una buzz-word, ma una componente chiave per migliorare l’efficacia e l’efficienza delle soluzioni di sicurezza. E che, grazie alla collaborazione tra Cisco e Splunk, si può fare un salto di qualità nel modo in si proteggono le aziende" ha concluso Pizzuti.
L’offerta allargata di Cisco, che include l’integrazione con Splunk, Talos e altre soluzioni, secondo Pizzuti è un vantaggio per il cliente in quanto permette di ampliare significativamente le possibilità di osservazione. Non è un caso che il manager metta l’accento su questo aspetto, che da sempre è uno dei pilastri di Splunk. Pizzuti rimarca infatti che “fare observability non è mai abbastanza: c’è sempre qualche dimensione non osservata, magari per obsolescenza, per distanza o per mancato ritorno economico. A questo proposito, l’unione tra Splunk e Cisco permette di massimizzare la capacità di monitorare la superficie di attacco”.
Il come è presto detto: attuando un dialogo tra le diverse componenti che permetta non solo di osservare data center, cloud e applicazioni, ma anche di monitorare il comportamento del networking. Il tutto - rivendica Pizzuti – da parte di un unico vendor capace di eccellere in più ambiti fra cui computing, applicazioni e networking. Questa ampliata capacità osservativa si sposa poi con il supporto di Talos in materia di remediation, dando vita al sopraccitato ThousandEyes, ossia la tecnologia di Cisco che fornisce sonde in grado di monitorare puntualmente il comportamento degli apparati distribuiti.
L’integrazione fra le soluzioni di Cisco, Splunk e Talos amplia quindi l’area di azione del vendor. Nella interpretazione di Pizzuti “fare cybersecurity significa osservare. Con la fusione di Cisco e Talos possiamo evolvere l’esperienza che abbiamo nell'osservazione della security a quella applicativa, infrastrutturale, del cloud, del network, compiendo di fatto un balzo evolutivo dell'observability. In passato, i clienti ci chiedevano piattaforme capaci di integrare tutte le soluzioni tecnologiche esistenti, dalle linee di produzione datate ai CRM più moderni. Con Cisco e Splunk possiamo fare proprio questo: offrire una piattaforma che si integra con tutto il landscape tecnologico esistente, evitando di imporre nuovi prodotti e puntando sull’evoluzione della postura tecnologica dei clienti”.
Una piattaforma che consente di “passare dall’essere reattivi all’essere predittivi, che può essere usata sia per la cybersecurity, sia per la gestione applicativa e il monitoraggio delle performance, riutilizzando le competenze esistenti e ottimizzando il supporto ai partner, che possono applicare il 70% delle competenze già acquisite, adattandole ai nuovi contesti”. Si tratta quindi di un’estensione smisurata del concetto di piattaforma XDR, che fa perno sulla massimizzazione dell’uso di tutte le funzioni, ottenibile anche grazie a un tecnico dedicato che si mette gratuitamente a disposizione dei clienti per monitorare come utilizzano la piattaforma, suggerisce iniziative per estrarre maggior valore e supporta nella progettazione di evoluzioni tecnologiche.
Infine, Splunk dialoga attivamente con i service provider italiani sia nel settore pubblico che privato, così da rendere la cybersecurity accessibile anche alle PMI. A tale riguardo Pizzuti ricorda che “il servizio gestito non è solo una moda o un’alternativa all’acquisto diretto, ma una risposta concreta alle esigenze di un mercato frammentato come quello italiano”.