Компания Splunk, вот уже 14 лет занимающаяся Большими Данными, сделала себе имя в мире управления ИТ-операциями. Когда-то ее основатели Эрик Свон и Роб Дас решили создать некое подобие Google для корпоративных ИТ; сбор и индексация машинных данных из системных журналов обеспечили возможность поиска сведений о функционировании информационных систем. Но нынешний генеральный директор компании Дуг Меррит заявляет, что сегодня она больше известна своими решениями в области информационной безопасности. И действительно, компания уже давно погрузилась в бизнес, связанный с анализом в этой области. «Начав с ИТ-­операций, в конечном итоге мы пришли к безопасности», — заметил Меррит.

Действительно, люди, занимающиеся обеспечением ИТ-операциями, делились своим опытом работы со средствами Splunk с коллегами из подразделения информационной безопасности, поскольку считали, что доступные им информационные потоки представляют немалую ценность для тех, кто должен выявлять потенциально вредоносную активность в сетях и различных корпоративных прикладных системах.

«Вскоре стало ясно, что, взяв эти данные и дополнив их данными из межсетевого экрана, можно значительно глубже проникнуть в суть происходящего», — пояснил Меррит.

Чтобы помочь клиентам извлечь максимум из своих операционных данных, в Splunk решили обратиться к машинному обучению.

Активное смещение в область поставки средств информационной безопасности началось после того, как предшественник Меррита, Годфри Салливан, образовал внутри компании «рыночные группы», в результате чего одна из них сосредоточилась на ИТ-операциях, а другая — на безопасности. Затем Меррит добавил еще и рыночную группу Интернета вещей.

Так или иначе, теперь Splunk больше известна как поставщик решений безопасности. Инструментальные панели, предлагаемые компанией, оказывают неоценимую помощь аналитикам, обрабатывая системные данные со скоростью, близкой к реальному времени.

«Если взглянуть на квартальные отчеты, то, как правило, 40–50% продаж приходится на направление ИТ-операций и 40–50% — на направление безопасности, — отметил Меррит. — Причем никаких закономерностей в изменениях этого соотношения не наблюдается».

По словам Дуга Меррита, на данный момент Splunk следует считать поставщиком специализированных решений ИТ-безопасности

Интересное замечание со стороны генерального директора компании, которая специализируется на выявлении закономерностей в сложных наборах данных.

Теперь, когда Splunk так глубоко погрузилась в сферу информационной безопасности, что собираются делать здесь для укрепления конкурентоспособности своих предложений?

По словам руководителя направления безопасности Splunk Монзи Мерзы, приоритеты корпоративных клиентов в наибольшей степени меняет облако. «У нас есть много клиентов, которые хотят видеть все свои информационные системы в облаке и предпринимают для этого очень серьезные шаги», — подчеркнул он.

Пользователей систем безопасности Splunk Мерза делит на две группы: с высоким и низким уровнем зрелости. Запросы к Splunk у двух этих групп заметно отличаются.

«Клиенты с высоким уровнем зрелости и большим опытом работы с инструментами безопасности, например федеральные учреждения или крупные финансовые организации, хотят получить платформу, поскольку уже обладают необходимыми навыками и компетенциями и намерены использовать свои возможности по максимуму, — пояснил Мерза. — Мы построили платформу в соответствии с их пожеланиями. На другой стороне находятся те, кто еще только начинает свой путь в сфере безопасности. Таким клиентам нужны консультационные услуги, рекомендации и решения. Нельзя сказать, что команды с высоким уровнем зрелости не хотят получить решения, но решения эти они все равно будут настраивать и адаптировать».

Одним из ключевых недавних событий стала презентация Enterprise Security Content Updates via Splunkbase — нового сервиса подписки для клиентов Splunk ES.

«Идея заключается в том, что мы хотим предоставлять аналитику (например, анализ угроз), которую клиенты могли бы использовать на практике, — пояснил Мерза. — Причем эта информация должна быть действенной, а не фигурировать лишь в отчетах. Возьмем типичный пример программы-вымогателя. Мы знаем, какие домены при этом задействованы и как они генерируются специальным алгоритмом. Известно, что для защиты от атак подобного рода необходимо устранить определенную уязвимость в операционной системе, а для долгосрочного обеспечения функционирования вашей среды нужно делать хорошие резервные копии. Таким образом, зная все конкретные элементы, мы делаем защиту от угрозы по-настоящему действенной».