In occasione dell’evento internazionale .conf, Splunk ha approfondito il tema della fusione con Cisco e ha annunciato l’introduzione della soluzione Splunk Enterprise 8.0 e diverse integrazioni. Tom Casey, SVP & GM, Products & Technology di Splunk, nel breefing pre-evento con la stampa ha sottolineato che “Splunk è ora un'azienda Cisco” che “continuerà a portare avanti il proprio programma di innovazione e a concentrarsi sulla realizzazione di una soluzione e di una piattaforma unificata per la sicurezza e l'osservabilità.

L’obiettivo è pertanto estendere ulteriormente la leadership di Splunk nell’ambito della cybersecurity, mantenendo la propria posizione nel Magic Quadrant di Gartner relativo alla gestione delle informazioni. Il fatto che Splunk sia ora una un'azienda Cisco la mette, secondo Casey, nella “posizione unica per coprire non solo tutto il ventaglio delle applicazioni scale-up tradizionali e on-premise e le applicazioni cloud-native, ma anche tutti i requisiti di osservabilità e sicurezza in tutti i tipi di network.

Splunk Enterprise 8.0

Il primo annuncio riguarda Splunk Enterprise 8.0, l’evoluzione della storica soluzione del vendor per il monitoraggio e la gestione dei dati. Con la nuova versione vengono introdotte innovazioni progettate per migliorare l'esperienza utente, aumentare la produttività degli ingegneri e ottimizzare i flussi di lavoro nei SOC e nei NOC. In merito alla semplificazione dell'interfaccia utente, il pannello di controllo è stato aggiornato per essere più intuitivo e accessibile, consentendo agli utenti di navigare e gestire i dati in modo più efficiente. Così facendo, gli analisti dovrebbero essere più zelanti nel rilevare, indagare e rispondere alle minacce; inoltre, si dovrebbe ridurre la curva di apprendimento per i nuovi utenti.

La soluzione esordiente inoltre vanta l'integrazione avanzata delle funzionalità SOAR che consentono di automatizzare molte delle attività di threat response, migliorando la standardizzazione dei processi e garantendo un rispetto più coerente delle policy aziendali.

Splunk Enterprise 8.0 si distingue inoltre per le sue capacità di elaborazione edge, che consentono di filtrare e oscurare i dati meno rilevanti prima che vengano inviati a piattaforme di terze parti come Amazon S3. Questa funzionalità non solo riduce il volume di dati non necessari, ma garantisce anche che all’interno della soluzione Splunk vengano analizzate solo le informazioni di alto valore, ottimizzando così le risorse di archiviazione e di analisi dei dati.

Fra le innovazioni su cui Casey si è maggiormente soffermato c’è l'estensione delle capacità di ricerca. In particolare, Splunk Enterprise 8.0 consente agli utenti di estendere le ricerche oltre i dati indicizzati direttamente da Splunk, includendo anche dati archiviati su piattaforme esterne come Amazon. Questo significa che durante un'indagine gli utenti non dovranno più preoccuparsi di recuperare e re-indicizzare manualmente i dati da altre fonti: Splunk gestirà automaticamente questa estensione, mantenendo l'utente all'interno della sua interfaccia, accelerando il processo di indagine e al contempo rendendo più efficienti l'analisi forense e la risposta agli incidenti.

Non ultimo, la nuova versione di Splunk Enterprise introduce uno strumento di produttività per il SOC moderno che permette agli analisti di avviare indagini direttamente dalla loro posizione estendendole a tutta l’infrastruttura fino ad esaminare dati presenti nel security lake di Amazon. Questo facilita un approccio proattivo alla gestione delle minacce, aiutando i team SOC a rafforzare la sicurezza della propria organizzazione.

Casey ha sottolineato che per il futuro Splunk progetta, anche in virtù della fusione con Cisco, di ampliare ulteriormente il supporto di ulteriori piattaforme e data lake, per aumentare il raggio di azione delle sue ricerche.

Integrazioni, integrazioni, integrazioni

L'integrazione tra Splunk e altre soluzioni rappresenta un passaggio nevralgico per l’ottimizzazione, la gestione dei dati e per il miglioramento della threat response. In particolare, Casey ha parlato dell'integrazione con Cisco Talos, che offre significativi vantaggi per i SOC. Talos, infatti, fornisce contenuti di threat intelligence di alta qualità che arricchiscono le capacità di gestione delle minacce di Splunk. Inoltre, Talos offre servizi gestiti che supportano la detection e l'indagine degli incidenti, consentendo ai SOC (quando necessario) di accedere a risorse specializzate e di ottenere una visione più accurata delle minacce.

Splunk ha inoltre introdotto di recente il supporto nativo per OpenTelemetry (OTeL), uno standard di telemetria aperto. I dati OTeL vengono integrati direttamente nella piattaforma Splunk, ampliando le possibilità di acquisizione e gestione dei dati. Un'altra innovazione è relativa all’edge processing. Splunk ha migliorato le capacità di filtro e oscuramento dei dati, consentendo ai clienti di instradare i dati in modo più efficiente. Per esempio, i log possono essere convertiti in parametri e instradati direttamente alla soluzione di osservabilità cloud di Splunk o archiviati in cloud terze parti come Amazon S3, ottimizzando i tempi di risposta.

Ultimo ma non meno importante, Splunk ha annunciato l’introduzione di una nuova interfaccia per la gestione dei dati che promette visibilità su tutte le pipeline operative, grazie all’integrazione di tutti i dati disponibili, che vengono convogliati in Splunk Enterprise Security così come nella soluzione di cloud observability di Splunk. In futuro, queste stesse funzionalità saranno estese anche alle dinamiche delle app feed per permettere ai clienti di gestire tutti i loro dati in modo uniforme e coerente.