Kwestia obserwowalności

Jedną z największych bolączek rynku systemów przeznaczonych do monitorowania infrastruktury IT jest zbyt duża liczba dostępnych rozwiązań i ich nadmierna specjalizacja. Według Gartnera przeciętne przedsiębiorstwo używa 15 tego rodzaju narzędzi. Nie bez przyczyny coraz częściej wspomina się o potrzebie ich konsolidacji, a właściwie o obserwowalności, czyli rozszerzeniu pojęcia monitoringu infrastruktury IT na wszystkie komponenty środowiska aplikacyjnego – począwszy od sprzętu, aż po warstwę użytkownika.

Idea obserwowalności bazuje na trzech filarach: dziennikach rejestrujących zdarzenia, metrykach dostarczających najważniejsze pomiary dotyczące wydajności i śladach działania oprogramowania. Zwolennicy obserwowalności uważają, że ułatwia ona zdiagnozowanie problemu, a także przyczyny jego zaistnienia i skutki.

– Chcemy odejść od tradycyjnego podejścia silosowego, gdzie oddzielne zespoły specjalistów śledzą swój własny odcinek. To zła metoda, bowiem w rezultacie nikt nie ma dostępu do całościowego obrazu – tłumaczy Jeremy Burton, CEO Observe.

Różnorodność narzędzi rodzi szereg problemów, począwszy od dostępności specjalistów, poprzez koszty wdrożenia, aż po trudności związane ze skalowalnością. Dlatego takie firmy jak Observe, ale też koncerny w rodzaju Cisco czy SolarWinds, promują rozwiązania zunifikowane, umożliwiające monitorować aplikację, sprzęt, sieć w zróżnicowanych środowiskach lokalnych, hybrydowych oraz chmurowych za pomocą jednego panelu.

Cisco w ubiegłym roku kupiło startup Epsagon, aby wzbogacić swoją platformę o monitorowanie aplikacji (przy okazji o rozwiązania wcześniej wchłoniętych firm AppDynamics i ThousandEyes). Nieco inną koncepcję ma SolarWinds, który zamiast oprogramowania w modelu à la carte, gdzie klienci mogli dobierać dowolne moduły z dostępnej listy, wprowadził zunifikowaną platformę dostępną w dwóch modelach licencyjnych.

Część specjalistów uważa, że tego typu systemy powinny spotkać się z zainteresowaniem zarówno wśród mniejszych i średnich firm, jak i wielkich korporacji. W przypadku tej pierwszej grupy liczą się koszty – za te same lub mniejsze pieniądze otrzymują więcej funkcjonalności. Tego typu firmy kupują pakiet i korzystają z tego, co jest im akurat potrzebne. Inaczej wygląda to u klientów korporacyjnych. W dużych firmach istnieje co najmniej kilka narzędzi do monitoringu, którymi zajmują się różne zespoły. W związku z tym istnieje tutaj duża przestrzeń do optymalizacji kosztów.

– Zdajemy sobie sprawę, że koncerny nie porzucą z dnia na dzień wszystkich systemów do monitoringu, wymieniając je na rozwiązania zunifikowane. Niemniej ten proces będzie postępować, bowiem klienci zaczną dostrzegać korzyści wynikające z optymalizacji kosztów, a także szybsze reagowanie na awarie ze względu na korelację różnych narzędzi – podsumowuje Marta Zborowska, Sales Director w Connect Distribution.

Zdaniem specjalisty

Paweł Rybczyk, Area Sales Manager CEE/CIS, Gatewatcher Paweł Rybczyk, Area Sales Manager CEE/CIS, Gatewatcher  

Widzimy znaczny wzrost zainteresowania rozwiązaniami NDR wśród resellerów oraz integratorów. Jednocześnie zauważamy na polskim rynku rosnącą liczbę konkurencyjnych rozwiązań. Partnerzy specjalizujący się w dostarczaniu systemów z zakresu bezpieczeństwa chcą uzupełnić ofertę o tego typu produkty. Zwłaszcza jeżeli mają w ofercie rozwiązania klasy EDR, traktując NDR jako komplementarne rozwiązanie. Jeżeli chodzi o poziom wiedzy na temat narzędzi klasy NDR, to na podstawie moich obserwacji oceniam, że jesteśmy we wczesnej fazie nauki. To oznacza, że resellerzy i integratorzy przeglądają oferowane NDR-y na rynku i przeprowadzają pierwsze wdrożenia u klientów. Partnerzy weryfikują przy tym efektywność systemów NDR w produkcyjnym środowisku klienta versus to, co znajduje się w materiałach marketingowych producentów.

  
Jarosław Chodkiewicz, System Engineer, Exclusive Networks Jarosław Chodkiewicz, System Engineer, Exclusive Networks  

NDR nie jest rozwiązaniem, które powinno być rozpatrywane jako produkt konkurencyjny, bądź w inny sposób zagrażający pozycji SIEM. Funkcjonowanie i odpowiedzialność tych narzędzi za stan bezpieczeństwa infrastruktury jest mocno zróżnicowany. Dzięki temu uzupełniają się wzajemnie i w ten sposób zwiększają swoje możliwości. Dołączając do tego ochronę stacji końcowych, za pomocą rozwiązania EDR tworzymy tzw. Triadę Widoczności SOC, gdzie każdy ze wspomnianych elementów swoimi atutami potrafi niwelować słabe strony pozostałych, stwarzając w ten sposób kompleksową ochronę. Tam, gdzie agent EDR zauważy instalacje niechcianego oprogramowania, gdy na przykład laptop używany jest w podróży służbowej, NDR wykryje podejrzaną komunikację, nawet jeśli agent na stacji jej nie zauważy. SIEM dostarczy logi z informacjami z innych systemów sieciowych, wzbogacając analizę o niezbędne szczegóły.

  
Aleksandra Rybak, Cybersecurity Sales Specialist, Cisco Aleksandra Rybak, Cybersecurity Sales Specialist, Cisco  

Klienci najczęściej wybierają rozwiązania do monitorowania lokalnej infrastruktury. Natomiast nie są przeciwni produktom chmurowym, a grupa firm posiadających komponenty chmurowe systematycznie rośnie. Zaletą tego rozwiązania jest przede wszystkim szybkość analizy metadanych – tego typu operacje nie byłyby już możliwe do zrealizowania na zwykłej maszynie wirtualnej. Większy dostęp do danych z całego świata oznacza też większe bezpieczeństwo – ewentualne anomalie są porównywane w globalnej chmurze, stanowiącej bazę wiedzy i telemetrii wzorców ruchu. Jednocześnie, w związku z coraz popularniejszym hybrydowym trybem pracy, tego typu rozwiązania mocno się popularyzują, dzięki czemu prowadzimy rozmowy z licznymi klientami.