In der Geschichte der IT und Cybersicherheit war die Datenanalyse lange ein reaktiver Prozess. Tools und Teams nutzten als Grundlage für Entscheidungen operative Berichte, für die Datenbanken, Data Warehouses und andere Archivierungssysteme analysiert wurden. Echtzeitdaten, mit denen Verantwortliche Einblick in den aktuellen Zustand der Systeme erhalten hätten, waren in der Regel abgeschottet und nur für die spezialisierten Technologieexperten sichtbar, die für das jeweilige Technologiesilo zuständig waren (z. B .Anwendungslogs, Datenbanklogs, Logs für physische und virtualisierte Server, Container und zahlreiche andere Geräte wie Router, Firewalls und Cloud-Dienste).
Nach Schätzungen des Ponemon Institute kosten Ausfälle im öffentlichen Sektor durchschnittlich je 476.000 Dollar. Bei Downtime aufgrund einer Sicherheitsverletzung oder eines Ransomware-Angriffs können diese Kosten in schwindelnde Höhen schnellen. In der Fertigungsindustrie ist es viel einfacher, die Auswirkungen zu ermitteln, die sich aus Downtime oder Leistungseinbrüchen aufgrund eines Ausfalls oder einer Sicherheitsverletzung ergeben: Produktivitätskosten = Anzahl der vom Ausfall oder Leistungseinbruch betroffenen Mitarbeiter x Stundenlohn. Für die öffentliche Hand ist dies das Hauptproblem, da dort keine Kundenabwanderung stattfindet.
Wenn Echtzeitdaten zwischen den Teams, die diese Geräte verwalten, abgeschottet sind, ist es schwierig, sie als Grundlage von Entscheidungen oder gar zur Behebung von Incidents zu nutzen. Wenn ein Vorfall eintritt und Teams anhand ihrer Datensets nicht klären können, was passiert ist, wird in der Regel eine Krisensitzung einberufen. Dieses sehr häufige Szenario birgt allerdings zwei Probleme: Zum einen werden diese Maßnahmen zur Schadensbegrenzung erst nach oder während eines Incidents ergriffen, und der Schaden ist bereits angerichtet. Zum anderen wird daraus zu oft eine „Mean Time To Innocence"-Übung (MTTI), bei der Teams zu beweisen versuchen, dass die Ursache nicht in ihrem Teil des Tech-Stacks liegt. Die Frage ist dann nicht mehr, wie man Störungen verhindern kann, sondern wie man kritische Services angesichts eines Angriffs oder Ausfalls aufrechterhalten kann. Ein ganzheitliches Bild der Lage in Echtzeit macht Schluss mit isolierten Datensilos, die Krisensitzungen zur Untersuchung und Lösung von Problemen notwendig machen. Die Möglichkeit, anhand von Echtzeitdaten Vorhersagen treffen zu können, durch die Teams Ausfälle, Leistungseinbrüche und Sicherheitsverletzungen vermeiden oder auf eine Minimum reduzieren können, ist der heilige Gral der IT.
Bei einer aktuellen Umfrage von Meritalk und Splunk gaben 91 % der befragten Cybersicherheitsexperten in Einrichtungen der öffentlichen Hand an, dass ihre Organisation eine ausgereifte, umfassende Strategie für Resilienz benötigt. Nach Aussagen derselben Befragten denken Führungskräfte des öffentlichen Sektors beim Thema Resilienz allerdings immer noch an einfaches Compliance- und Risikomanagement. Bei der Suche nach einem Visualisierungstool denkt man nicht gleich an Splunk. Doch was die Echtzeit-Visualisierung des Gesamtstatus einer Organisation geht, so bietet die Fähigkeit von Splunk, digitale Datenströme von Geräten, Anwendungen, On-Premise- und Cloud-Services in einer konsolidierten Ansicht zusammenzuführen und zu analysieren, Erkenntnisse, die andere Visualisierungstools für operatives Reporting oder Data Warehousing nicht bieten können.
Da Splunk Einblick in Echtzeit-Datenquellen wie Logs, Metriken, Events und Traces bietet, können Splunk-Dashboards von nahezu jeder Führungskraft genutzt werden, um die aktuelle Lage zu ermitteln. Im Gegensatz zu statischen operativen Berichten oder historischen Berichten bieten diese Echtzeit-Dashboards Führungskräften zahlreiche Vorteile: Sie können proaktiv handeln, haben einen besseren Überblick, können Downtime und Leistungsprobleme reduzieren sowie Geld und Ressourcen sparen.
Proaktiver Ansatz: In der Geschichte der IT und Cybersicherheit war die Datenanalyse lange ein reaktiver Prozess. Durch die Auswertung von Echtzeitdaten ermöglicht Splunk einen proaktiveren Ansatz, bei dem Data Mining, vorausschauende Strategien und Machine Learning-Algorithmen eingesetzt werden, um Muster zu erkennen, die mit den bisher verfügbaren Methoden und Tools nicht so einfach aufzuspüren waren.
Besserer Überblick: Moderne IT-Infrastrukturen sind eine heterogene Mischung aus physischen und virtuellen Servern, öffentlichen und privaten Clouds, Datenbanken und Anwendungen mit komplexen Abhängigkeiten. All das stellt IT-Teams in puncto Transparenz vor Herausforderungen. Die Kombination aus Echtzeitdaten und Splunk als einheitliches Monitoring- und Analysetool verschafft Führungskräften einen zentralen, umfassenden Überblick über ihre Umgebung, sodass sie Daten als Grundlage für Entscheidungen nutzen können.
Weniger Downtime: Echtzeitdaten sind das Fundament für die Vorhersage, Vermeidung oder Erkennung von Komponentenausfällen, Lastspitzen im Service, Sicherheitsbedrohungen und anderen Infrastrukturproblemen. Wenn Teams in der Lage sind, solche Probleme vorherzusehen oder schnell zu erkennen, dann können sie diese beheben, bevor sie wesentliche Auswirkungen auf die Kunden haben.
Kosteneinsparungen: Dashboards mit Echtzeitdaten tragen zur Senkung der IT-Infrastrukturkosten bei, indem sie Führungskräften ein vollständigeres Bild von Ressourcenzuweisung und -verbrauch, Systemzustand, Sicherheitsschwachstellen und mehr vermitteln. Mit der Möglichkeit, Infrastrukturelemente zu optimieren, können ITOps-Teams beträchtliche Kosteneinsparungen erzielen.
Seit 2013 trackt Splunk unsere Fähigkeit, diese vier Bereiche positiv zu beeinflussen, und hat dazu von Kunden geprüfte Benchmarks für Verbesserungen geschaffen.
Organisationen generieren Unmengen an Informationen und Daten – weit mehr als ein Einzelner je prüfen kann. Außerdem steigt die Komplexität bei der Bereitstellung neuer Technologien, da damit immer größere Probleme gelöst und immer bessere Services erbracht werden sollen. Nimmt man dann noch Cloud-Services und die Wartung von Legacy-Systemen hinzu, wird die Menge der erzeugten Daten noch größer. Dennoch wird von Führungskräften erwartet, dass sie riesige Datenmengen konsolidieren und auswerten, um möglichst intelligente Entscheidungen für ihre Einrichtungen zu treffen.
Gut designte Management-Dashboards stellen den Status der Systeme grafisch dar, sodass sich Problembereiche auf einen Blick erkennen lassen. Führungskräfte können Echtzeitdaten analysieren und die gewonnenen Erkenntnisse in Handlungspläne umsetzen, ohne wertvolle Zeit mit dem Durchforsten von Berichten zu verbringen oder den Wald vor lauter Bäumen nicht zu sehen.
Bei Splunk ist dieser Überblick dynamisch und speziell auf die jeweilige Position ausgelegt. Per Drilldown kann mehr Kontext zu den einzelnen Metriken in der Management-Ansicht angezeigt werden. Dies stellt sicher, dass die Führungskraft und ihre mit der Lösung befassten Teams, ein konsistentes Datenset verwenden, um eine Lösung zu finden. Eine konsistente Echtzeit-Datenansicht spart Führungskräften nicht nur Zeit, sondern ermöglicht ihnen zudem, Unternehmensmetriken besser zu verfolgen, bessere Erkenntnisse in Echtzeit zu gewinnen und schneller auf Opportunities oder Probleme zu reagieren.
CISO
In diesem Dashboard bieten fünf Bereiche Echtzeiteinblicke für den CISO. Die vier Trendfelder im oberen Bereich zeigen, in welche Richtung sich die jeweilige Kennzahl entwickelt, und signalisieren anhand der Farbe, ob es sich um eine positiven oder negativen Trend handelt. In der Mitte des Dashboards befinden sich zwei Gruppen von Grafiken, die Sicherheits-Events nach Dringlichkeit bzw. Sicherheitsdomäne zusammenfassen und einen etwas tieferen Einblick in die Sicherheitslage des Unternehmens geben. Die Grafik unten links zeigt die Zeitachse für die Events, nach Sicherheitsdomäne gruppiert. In der rechten unteren Ecke schließlich befindet sich die Ansicht mit dem höchsten Detaillierungsgrad – hier werden die am häufigsten verletzten Sicherheitsregeln aufgeführt.
CEO, CIO, CISO, Präsident, Rektor, Chief Medical Officer
Diese Ansicht einer Zero Trust-Implementierung ist etwas komplexer als das vorherige Dashboard, nutzt aber größtenteils die gleichen Daten. Diese Ansicht soll den IT-Verantwortlichen und anderen Einblick in den Fortschritt eines kritischen Implementierungsprojekts geben. Die linke Seite des Dashboards zeigt, zu welchem Prozentsatz die Schlüsselelemente der Zero Trust-Implementierung des Unternehmens abgeschlossen sind. Auf der rechten Seite werden diese Prozentsätze der Zeitachse und den erreichten Meilensteinen des Gesamtprojekts zugeordnet.
CIO, CISO oder CTO
Die Umstellung auf die Cloud hat für viele Organisationen oberste Priorität. Es kann sich jedoch schwierig gestalten, in Echtzeit Einblick in den Fortschritt der Umstellung und die dadurch erzielten Einsparungen zu erhalten. Auf der linken Seite des Dashboards wird der Fortschritt sowohl der Infrastruktur als auch der Anwendungen angezeigt, die in die Cloud migriert werden. Dabei werden jeweils sowohl die Kosten als auch der Prozentsatz der Fertigstellung angegeben. Die Grafik auf der rechten Seite enthält Angaben zu den Cloud-Kosten und den bisher erzielten Einsparungen.
CIO oder Netzwerkbetrieb
Die Bereitstellung von WiFi-Konnektivität mit hoher Bandbreite wird in Städten, an Knotenpunkten des öffentlichen Verkehrs sowie auf Universitäts- und Firmengeländen zum Standard. Wenn Unternehmen Bereiche und Zeiten mit hoher Nutzung ermitteln, können sie die Leistung ihres WiFi optimieren, indem sie den Service auf der Grundlage von Nutzungstrends erweitern. Wie Sie sehen, kann mobilen Benutzern dann auch gezeigt werden, an welchen Standorten die Leistung besser ist.
Personalleiter
Auch nach der großen Kündigungswelle stehen das Monitoring der Mitarbeiterzufriedenheit und das Managen und Planen der Belegschaft einer Organisation bei vielen Einrichtungen im Vordergrund. Dieses Dashboard bietet einen zentralen Überblick über den Arbeitsort, die offenen Stellen, die Betriebszugehörigkeit und die Zufriedenheit der Mitarbeiter, so dass sowohl die Führungskräfte als auch ihre Partner in der Personalabteilung Problembereiche und Verbesserungspotenzial erkennen können.
CCO (Chief Care Officer), CMO (Chief Medical Officer) oder CNO (Chief Nursing Officer)
Der Echtzeit-Einblick in die Personalverfügbarkeit, der auf der linken Seite des Dashboards angezeigt wird, ermöglicht es Abteilungsleitern und den diversen Chief Officers, Zeitpläne anzupassen und die Pflegeressourcen zu optimieren. Rechts oben werden wichtige Krankenhauskennzahlen angezeigt, die sich auf die Verfügbarkeit von Dienstleistungen auswirken können und möglicherweise weitere Anpassungen nach sich ziehen. Die Grafik rechts unten zeigt eine Momentaufnahme der wichtigsten Finanzmetriken aus Sicht des Kostenträgers.
Da es Splunk ermöglicht, jede Art von Daten in jedem Format und jeder Zeitebene zu analysieren und diese Daten in leicht zu interpretierenden Management-Dashboards darzustellen, ist diese Plattform ideal dazu geeignet, den Führungskräften einer Organisation einen Echtzeit-Überblick über die Gesamtlage zu geben. Splunk kann zudem Trends, Muster und Anomalien in diesen Daten aufzeigen, sodass Splunk-Dashboards Führungskräften und ihren Teams anschauliche Einblicke ermöglichen. Mit Splunk können Sie die alltäglichen Prozesse beschleunigen, um die MTTD und MTTR zu verbessern, sowie die Resilienz steigern. So können Sie Systemstörungen besser überstehen und die Transformation mit Transparenz über alle Architekturen hinweg vorantreiben, um Ihre Mission zu erfüllen.
Im Gegensatz zu statischen Reporting-Tools ermöglichen die Echtzeitdaten in diesen Dashboards Führungskräften, proaktiv zu handeln, einen besseren Überblick zu erhalten, Downtime zu reduzieren sowie Leistungsprobleme vorherzusagen und dadurch Geld und Zeit einzusparen sowie die Benutzerproduktivität aufrechtzuerhalten. Splunk ermöglicht Ihren SecOps-, ITOps- und Engineering-Teams, ganz nach Bedarf einzeln oder zusammen zu arbeiten, um durch drei wichtige Ergebnisse resilienter zu werden.
Die Echtzeit-Dashboards von Splunk bieten Unternehmen einen umfassenden Überblick über alle ihre Systeme und ermöglichen ihnen, wichtige Risiken und Probleme zu erkennen und anzugehen, bevor sie zu größeren Incidents werden. Mithilfe von Management-Dashboards können sich Teams in der gesamten Organisation ein umfassendes Bild von einem Problem oder Event machen und so die allgemeine Resilienz verbessern. Organisationen im öffentlichen Sektor können ihre MTTD und MTTR verbessern und den Geschäftsbetrieb schneller wieder aufnehmen. Darüber hinaus kann die durch Splunk mögliche Sicht auf ungenutzte Daten die digitale Transformation beschleunigen und der öffentlichen Hand ermöglichen, den Dienst am Bürger besser und zuverlässiger zu erbringen.
Splunk ist bestrebt, die digitale Welt sicherer und resilienter zu machen. Wir haben uns dazu verpflichtet und darauf vorbereitet, die SLED-Community zu unterstützen. Erfahrt mehr darüber, wir ihr mit Splunk-Lösungen eine Grundlage für Cyber-Resilienz schafft.
Dank an David Habuda für die Entwicklung der Dashboards.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.