Security und Observability: KI als Katalysator digitaler Unternehmensresilienz

Künstliche Intelligenz (KI) schickt sich an, unsere gesamte Branche gründlich zu verändern. Wir bei Splunk sehen KI als Katalysator digitaler Resilienz – als eine Möglichkeit, die menschliche Entscheidungsfindung bei den Aufgaben Erkennung, Untersuchung und Reaktion zu beschleunigen.

Für moderne Unternehmen bringt KI sowohl neue Chancen als auch neue Bedrohungen mit sich. Wenn Daten an externe KI-Provider übermittelt werden, wirft das Compliance- und Datenschutzfragen auf. Durch Adversarial Attacks, „vergiftete“ Daten (Data Poisoning) und den Diebstahl von KI-Modellen wird die Angriffsfläche noch einmal größer. Außerdem gibt es heute mehr Bedrohungsakteure als je zuvor, weil KI die Einstiegshürden für neue Player mit neuartigen Angriffsformen immer weiter senkt. Und dann gibt es noch die Herausforderungen der Arbeit mit ungenauen Modellen, die zu Fehlentscheidungen führen können. All dies bereitet denjenigen, die in den Unternehmen für Sicherheit und den störungsfreien Betrieb zuständig sind, zunehmend Sorgen.

Andererseits bietet KI eine Fülle von Möglichkeiten für SecOps-, ITOps- und Entwicklungsteams. KI kann bei der Erkennung eine wichtige Rolle spielen, indem sie Daten automatisch auswertet und relevante Events und Signale zutage fördert. KI kann durch intelligente Event-Zusammenfassungen und -Interpretationen für Kontext und Situationsbewusstsein sorgen und steilere Lernkurven bewirken. Produktivität und Effizienz lassen sich drastisch steigern, wenn Fachleute von Routineaufgaben befreit werden und sich stärker werthaltigen Projekte zuwenden können. Wir sind der Überzeugung, dass die Vorteile von KI die Nachteile bei Weitem überwiegen. Darum investieren wir verstärkt in den weiteren Ausbau unserer bereits bewährten KI-Funktionen.

Splunk verfolgt einen sehr durchdachten und konsequenten KI-Ansatz. Er beruht auf drei Grundprinzipien:

• Zweckbestimmt und Splunk-spezifisch: Unsere KI-Funktionen sind gezielt auf die Use Cases von Sicherheit und Observability zugeschnitten, ihr könnt sie nahtlos in eure Workflows integrieren.
• Der Mensch im Mittelpunkt: Als Splunk-Kunden tragt ihr Verantwortung für die Sicherheit und Performance einiger der wichtigsten digitalen Systeme der Welt. Es steht viel aus dem Spiel. Uns ist wichtig, dass KI die menschliche Entscheidungsfindung unterstützt.
• Offen und erweiterbar: Da wir künftig mehr KI direkt in die Plattform integrieren wollen, geben wir unseren Partnern und unserer Kundschaft die Möglichkeit, unsere Modelle zu erweitern bzw. ihre eigenen Modelle auf ihre Richtlinien und Risikotoleranz abzustimmen. Diese Modelle können sowohl mit Splunk-Daten als auch mit Daten aus anderen Speichern arbeiten und ermöglichen flexible Lösungen.

Wir setzen seit 2015 auf KI – sowohl als eingebettete Produktfunktionen als auch in Gestalt anpassbarer ML-Tools. Machine Learning steckt in den grundlegenden Suchfunktionen unserer Produkte ebenso wie in der Erkennung und in der Analyse auf Verhaltensanomalien von Splunk Enterprise Security bzw. Splunk User Behavior Analytics.

Unsere Observability-Lösungen verfügen bereits über zahlreiche KI- und ML-Funktionen: Vorausschauende Analysen (Predictive Analytics), Rauschfilter für Warnmeldungen (Alert Noise Reduction), Anomalieerkennung, adaptive Schwellenwertbestimmung (Adaptive Thresholding), automatische Erkennungen und Warnmeldungen (AutoDetect), Event-Korrelierung etc.

Zu unseren anpassbaren ML-Komponenten der Splunk-Plattform gehört auch das Machine Learning Toolkit (MLTK) mit geführten Workflows und Smart Assistants für User aller Wissensstufen, der Splunk App for Data Science and Deep Learning (DSDL) für fortgeschrittene und eigene Use Cases mit Data-Science-Tools sowie dem Add-on Python for Scientific Computing mit KI-spezifischen Bibliotheken. All diese Funktionen dienen letztlich einem einzigen Ziel: eine sicherere und resilientere digitale Welt zu schaffen. KI/ML soll lediglich der Katalysator sein.

Auf der .conf23 haben wir eine ganze Reihe neuer und verbesserter KI-Funktionen für unser Portfolio und Innovationen für die Splunk-Plattform vorgestellt – sie alle stehen jetzt für euch auf der Splunkbase bereit.

Splunk Plattform

• Splunk AI Assistant (Preview): Die verbesserte Version des ehemaligen SPL Copilot hilft euch beim Erlernen und Anwenden von SPL: Mit einer generativen KI könnt ihr per Chat in normalem Englisch interagieren und euch z. B. Query-Vorschläge, Erklärungen und detaillierte Aufschlüsselungen geben lassen. 
• Splunk App for Anomaly Detection: Damit könnt ihr mit wenigen Mausklicks leistungsstarke ML-Algorithmen auf Anomalien in euren Metriken und Zeitreihendaten ansetzen. Zugleich bekommt ihr damit einen durchgängigen Umsetzungsworkflow, sodass ihr die Erstellung und Ausführung von Jobs zur Anomalieerkennung sowie das Auslösen von Warnmeldungen auf Grundlage dieser Erkennungen effizient und zeitsparend gestalten könnt.
• Machine Learning Toolkit (MLTK) 5.4: Die einfache Assistenten-Anleitung für die Einrichtung von Ausreißer- und Anomalieerkennung, vorausschauenden Analysen und Clusteranalysen macht maschinelles Lernen für eine Vielzahl von Usern deutlich leichter. Jetzt könnt ihr eure extern vortrainierten ONNX-Modelle über eine einfache UI hochladen und sie dann mit euren Splunk-Daten verwenden, ohne dass ihr eure Workflows ändern müsstet.
• Splunk App for Data Science and Deep Learning (DSDL) 5.1: Diese Erweiterung, die das MLTK um fortschrittliche benutzerdefinierte ML- und Deep-Learning-Systeme erweitert, enthält jetzt zwei neue KI-Assistenten zur Verarbeitung natürlicher Sprache, sodass ihr mittels LLMs eigene Modelle mit euren Domain-Daten bauen und trainieren könnt, für Use Cases wie die Zusammenfassung oder Klassifizierung von Texten.

Security

Damit SecOps-Teams Gefahrenlagen noch schneller erkennen können, haben wir im letzten Jahr

• sechs ML-gestützte Erkennungen für Splunk Enterprise Security Content Update (ESCU) herausgebracht, die unser Threat Research Team für zeitkritische Bedrohungen entwickelt hat.

Observability

Auch in IT Service Intelligence (ITSI) 4.17 haben wir neue ML-Funktionen integriert, mit denen ihr schnellere Erkennungen schafft und die IT Operations schneller zur Wertschöpfung gelangen:

• Der Ausreißer-Auschluss bei der adaptiven Schwellenwertbestimmung erkennt anormale Datenpunkte und Ausreißer (z. B. Netzwerkunterbrechungen oder Ausfälle) und lässt sie bei der Berechnung der dynamischen Schwellenwerte unberücksichtigt, sodass ihr genauere Ergebnisse und präzisere Erkennungen für eure IT-Umgebungen bekommt.   
• Die neue adaptive Schwellenwertbestimmung mit ML (Preview) generiert per Mausklick aus historischen Daten und Mustern dynamische Schwellenwerte, sodass ihr genauere Warnmeldungen zum Zustand eurer Technologieumgebungen bekommt.  

Die Einsatzmöglichkeiten von KI sind für SecOps-, ITOps- und Engineering-Teams enorm. Die KI-Vision von Splunk hat eine KI zum Ziel, die auf dem bewährten Fundament aufsetzt, aber KI/ML-Funktionen noch stärker in die tagtäglichen User-Workflows der gesamten Splunk-Lösungen integriert. Wir möchten damit unsere Erkenntnisse in den Bereichen Security und Observability maximal einbringen und euch zugleich die Möglichkeit geben, selbst maximale Erkenntnisse aus euren Splunk-Umgebungen zu gewinnen. Damit ihr Incidents schneller erkennen und untersuchen könnt und schneller auf Incidents reagieren könnt. Wir möchten, dass die KI/ML-Funktionen in unseren Produkten letztlich die Katalysatoren sind, mit denen ihr effektiv für digitale Unternehmensresilienz sorgt.

Allen Unterhaltungen auf #splunkconf23 folgen!

Folgt @splunk