Potenziare la digital resilience delle aziende, sfruttando i paradigmi della security e dell’osservability per restituire alle organizzazioni una corretta postura digitale. L’obiettivo di Splunk, azienda focalizzata proprio sui temi della sicurezza coniugata all’osservabilità IT, è certamente ambizioso, ma è altrettanto rispondente alle reali esigenze che le aziende stanno mostrando oggi. Gli attacchi arrivano da più fronti e le complessità infrastrutturali certamente non aiutano alla loro individuazione, ma il risultato di un possibile downtime delle infrastrutture quello sì che è palpabile, traducibile in concrete perdite economiche.
E sicurezza e osservabilità insieme sono diventate componenti fondamentali per le aziende che cercano di evitare le enormi perdite derivanti da downtime o incidenti cyber. “In un contesto in cui le infrastrutture devono funzionare senza interruzioni, un blocco può causare danni incalcolabili, specialmente per le grandi organizzazioni – conferma Gian Marco Pizzuti, Area VP di Splunk Italia -. Su questo tema abbiamo recentemente condotto, in collaborazione con Oxford Economics, un’indagine che ha evidenziato proprio i costi impressionanti legati ai tempi di inattività imprevisti. Ne è emerso che le aziende Global 2000 perdono circa 400 miliardi di dollari all’anno a causa di questi disservizi, pari al 9% dei loro profitti, per la stima di un costo pari a circa 9.000 dollari al minuto. Costi che non si limitano agli aspetti finanziari, ma impattano anche sul valore azionario, sulla reputazione del marchio, sull’innovazione e sulla fiducia dei clienti”.
E, neanche a dirlo, pare che le cause principali dei tempi di inattività siano legate alla sicurezza. Il 56% degli eventi è causato da attacchi come phishing o minacce informatiche, mentre il restante 44% deriva da problemi di natura applicativa, infrastrutturale o software. E in tutto questo, ancora importante rimane essere l’effetto dell’errore umano.
Effetti che Splunk sta cercando di contrastare, ancor più oggi che può vantare la sinergia derivata dalla recente acquisizione da parte di Cisco, riuscendo a offrire una copertura completa dei diversi aspetti della protezione aziendale.
L’entrata di Splunk nell’ecosistema Cisco: una sinergia a favore della digital posture delle aziende
“Una convergenza che rappresentata il concetto di digital resilience – riprende Pizzuti -, in cui la sicurezza e l’observability aiutano le aziende a mantenere la loro postura digitale e a reagire in modo rapido a eventi critici. L’osservabilità IT permette alle aziende di comprendere se un’interruzione è causata da un attacco hacker o da un problema infrastrutturale, fornendo una visione completa dell’ambiente operativo. Con l’integrazione di Cisco, la visione si estende anche alla periferia della rete, permettendo di identificare i movimenti laterali degli attacchi, notoriamente difficili da individuare. Unificando la protezione di periferia, centro, applicazioni e dispositivi fisici, le aziende riescono così a ottenere una maggiore capacità di reazione”.
Protezione e risposte rapide. Splunk si affida all’AI e la promuove investendo in startup
Le aziende, di fronte a questi rischi, stanno sempre più chiedendo soluzioni che certamente proteggano il loro perimetro digitale in continua espansione, ma che siano anche in grado di rispondere in maniera veloce agli incidenti e di osservare in tempo reale l’intero ecosistema aziendale.
E in questo un valido contributo può arrivare dall’impiego dell’intelligenza artificiale, argomento di comune interesse per Splunk e per Cisco, che insieme stanno promuovendo iniziative a supporto dello sviluppo di startup in ambito AI, sottolineando l’importanza che viene data a questa tecnologia per il futuro dell’IT security.
“L’AI sta diventando sempre più un tema cardine nella cybersecurity – sottolinea Pizzuti -, soprattutto grazie alla sua capacità di identificare modelli di comportamento anomalo, prevenire attacchi sofisticati e automatizzare risposte a minacce potenzialmente devastanti. A partire dal suo impiego per la gestione di attacchi di phishing, una delle minacce ancora oggi più comuni e difficili da prevenire. Le tecniche di machine learning vengono ormai ampiamente impiegate per individuare in tempo reale le email sospette o altri tentativi di frode, permettendo una difesa proattiva e riducendo i tempi di reazione”.
Splunk ha già da tempo attrezzato le proprie piattaforme con moduli avanzati che sfruttano l’intelligenza artificiale per analizzare minacce complesse, come “Attack Analyzer”, un tool che utilizza l’AI per esaminare l’intero ciclo di un attacco, offrendo una visione integrata e dettagliata su come affrontare la minaccia. In questo modo si consente ai team di security di capire in tempi rapidi se l’attacco sta arrivando da una vulnerabilità infrastrutturale o da un’intrusione criminale, migliorandone la capacità di reazione.
Cisco, dal canto suo, è leader nel settore della sicurezza di rete e nella gestione dei movimenti laterali, ossia quelle attività svolte da hacker una volta che riescono a entrare nel perimetro aziendale.
“L’integrazione delle tecnologie Cisco con l’approccio olistico di Splunk permette di avere una visibilità completa, dalla periferia fino al cuore dell’infrastruttura aziendale, favorendo una maggiore collaborazione tra i team IT, di sicurezza e di sviluppo. L’AI diventa così il collante che permette ai vari team di operare con una visione congiunta, riducendo il rischio che diversi silos aziendali non riescano a comunicare in maniera efficace, situazione che potrebbe portare a inefficienze o lacune nella gestione delle minacce” specifica Pizzuti.
L’intelligenza artificiale, in questo contesto, non solo è vista come una soluzione per ottimizzare le risorse e sopperire alla mancanza di personale qualificato, ma soprattutto come un catalizzatore per accelerare le capacità di risposta alle minacce. Gli attacchi informatici diventano sempre più sofisticati, con l’uso dell’AI anche da parte dei criminali e le aziende devono poter contare su strumenti che possano aiutarle a prevenire, identificare e rispondere agli incidenti in tempi rapidissimi.
L’AI, attraverso strumenti come sandbox digitali e moduli di analisi integrati, permette di automatizzare gran parte dei processi di analisi delle minacce potendo, per esempio, isolare e analizzare file sospetti, email o comportamenti anomali, definendo il livello di pericolosità dell’attacco e proponendo immediatamente le azioni di remediation. Risultato: riduzione dei tempi di reazione, maggiore precisione dell’intervento e riduzione al minimo dei danni a seguito di downtime o attacchi.
L’offerta di Splunk: ampia e integrata
Se l’integrazione è naturale che sia tra le piattaforme Splunk e le tecnologie Cisco che – sottolinea Pizzuti “porta valore aggiunto creando sinergie che rispondono alle esigenze di sicurezza e gestione delle infrastrutture in modo più efficace”, va però evidenziato il fatto che il vendor ha come propria la strategia di apertura alle tecnologie terze, contando a oggi circa 2.800 integrazioni tecnologiche con diversi vendor e partner. Un’apertura che consente alle aziende sue clienti di sfruttare al meglio l’ecosistema tecnologico che si sono costruite nel tempo e che hanno già in casa, senza la necessità di ripensare le loro infrastrutture da zero.
La piattaforma Splunk, in particolare, consente di offrire soluzioni su misura per ambienti complessi, come quelli regolamentati (vedi il Finance – ndr) o manifatturieri. Il modulo Enterprise Security, con l’introduzione della versione 8.0, ha aggiunto funzionalità avanzate che permettono una gestione più efficiente degli attacchi e delle minacce, integrando strumenti come il già citato Attack Analyzer e le soluzioni di Threat Intelligence di Cisco Talos. Moduli che consentono di identificare e analizzare minacce in tempo reale e di applicare le politiche di remediation in modo rapido e integrato
In parallelo, la piattaforma di Observability di Splunk offre strumenti di monitoraggio avanzato, sia a livello di applicazioni che di infrastrutture, utilizzabili separatamente o in combinazione con il modulo di sicurezza. Si ottiene così una visione completa delle operazioni, integrando dati di vario genere e restituendo dashboard fruibili non solo dai team tecnici, ma anche dal management per prendere decisioni strategiche.