Splunk .conf 2013

"Viele raffen es einfach noch nicht"

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Mit Spannung hatten viele Besucher der Splunk-Anwenderkonferenz .conf in Las Vegas die Security-Keynote von Dr. Prescott Winter erwartet - ist der Mann doch kein Geringerer als der frühere langjährige CIO und erste CTO des US-Militärgeheimdienstes NSA.
Prescott Winter warb für Data-Analytics-Tools als Security-Werkzeuge.
Prescott Winter warb für Data-Analytics-Tools als Security-Werkzeuge.
Foto: Thomas Cloer

Inzwischen arbeitet Winter als Managing Director für die Chertoff Group. Und er hatte ein paar durchaus knackige Aussagen im Keynote-Gepäck. Vor allem die, dass die meisten Unternehmen längst noch nicht so weit sind, dass sie Tools wie Splunk im Verbund mit Big Data im Security-Umfeld als wirksame Waffe gegen Angreifer jedweder Couleur einsetzen könnten.

Oft mangele es nämlich noch an den einfachsten Grundprinzipien des nötigen Risk Managements - Firmen müssten zunächst einmal erkennen, was ihre "Kronjuwelen" seien, sprich welche ihrer Assets die wichtigsten und damit schützenswertesten seien. "It´s amazing how many people still don't get it", konstatierte Winter.

Die Wirklichkeit sehe heute doch noch so aus, dass selbst große Fortune-100-Unternehmen oft erst nach Monaten ("Dwell time to the max") erführen, dass ihre IT-Systeme kompromittiert worden seien. Und das stellten sie oftmals auch nicht einmal selbst fest, sondern würden von Dritten davon in Kenntnis gesetzt.

Nicht Tools, sondern Prozesse entscheiden

Statt bei Tools müssten viele Firmen also zunächst einmal viel grundlegender ansetzen, beim Risk Management und der Governance nämlich. Man brauche Prozesse und Standards zum Schutz der als geschäftskritisch identifizierten Assets, müsse diese ständig durch Audits und Kenngrößen überprüfen ("Inspect, don't just expect") und benötige Regieanweisungen, um planmäßig auf Notfälle zu reagieren.

Dann erst könne ein Tool wie Splunk ins Security-Spiel kommen und wertvolle Dienste leisten. Es schaffe nämlich operationale Transparenz. "Was Sie nicht sehen können, das können Sie auch nicht schützen", so Experte Winter. An den dafür grundlegenden Daten mangele es gewiss nicht: "It´s all here, folks." Splunk sei in puncto Geschwindigkeit, Flexibilität und Vielseitigkeit kaum zu übertreffen. "Die Zukunft gehört Euch, Ihr müsst sie nur in die Hand nehmen", gab der Sicherheits-Experte den Entwicklern und Anwendern im Keynote-Publikum mit auf den Weg.

Im abschließenden Q&A erklärte Prescott Winter dann noch, er glaube nicht an Security by Obscurity (die "bad guys" hätten immer mehr Zeit als die "Guten" im eigenen Unternehmen), Sicherheit vs. Datenschutz sei ein ausgesprochen delikater Balanceakt mit regional / international teilweise sehr unterschiedlichen Ausprägungen (explizit erwähnte Winter Deutschland und seine Betriebsräte / Mitbestimmungspflicht) und last but, not least dass große (Public-)Cloud-Anbieter mit Expertise und Erfahrung in puncto Sicherheit eigentlich immer mehr leisten könnten als ein einzelnes Unternehmen.

Splunk, das an sich generische Tool zur Analyse von maschinengenerierten Big Data, wird mittlerweile zunehmend auch im Sicherheitsbereich verwendet. Nach eigenen Angaben entfallen inzwischen 30 Prozent der Splunk-Erlöse auf dieses Geschäftsfeld. Splunk bietet hier die eigene Erweiterung "App for Enterprise Security" an; daneben gibt es bereits mehr als 80 Apps von Partnern und Drittanbietern. 18 der insgesamt mehr als 130 Vorträge auf der .conf beschäftigen sich ganz dediziert mit Security-Themen und -Use-Cases.

Weitere Neuigkeiten von der .conf 2013

In der ersten Keynote am Vormittag ging es schwerpunktmäßig um das neue Release "Splunk Enterprise 6". Die verschiedenen Vortragenden rund um Splunk-Chef Godfrey Sullivan hatten aber auch noch eine Reihe weiterer Neuigkeiten anzukündigen:

  • Ein ODBC-Treiber für Splunk ist als Beta-Version verfügbar, um auch Daten aus klassischen SQL-Quellen einzubinden.

  • Die Splunk-App für Unix steht ab sofort zum Download zur Verfügung.

  • Splunk Storm, das bei Amazon Web Services gehostete Splunk Enterprise, wird kostenlos; der inkludierte Speicherplatz steigt dabei von 1 auf 20 Gigabyte.

  • Für produktive Cloud-Deployments gibt es künftig "Splunk Cloud", zunächst auf AWS, weitere Anbieter sollen folgen. (sh)