LiveAction gaat ‘alert fatigue’ van netwerk- en securityspecialisten te lijf met machine learning
De software van LiveAction voor het inzichtelijk maken van de netwerkprestaties is onlangs gecertificeerd voor Cisco Unified Computing Systems (UCS)-servers. Carlos Ferro, Senior Vice President en General Manager International Region bij het bedrijf, was daarom onlangs in Amsterdam voor Cisco Live 2024. Tijd voor een interview met deze nog relatief onbekende speler in de wereld van packet capture & analysis. Hij vertelde onder andere over oplossingen voor ‘alert fatigue’.
LiveAction viert dit jaar zijn achttiende verjaardag, vertelde Ferro in Amsterdam. Vanaf het begin heeft het bedrijf zich gespecialiseerd in het bieden van inzicht in netwerkprestaties en -beveiliging. Cisco, als belangrijke aanbieder van IT- en netwerkoplossingen, was via zijn investeringstak een van de eerste investeerders. Een andere investeerder van het eerste uur is Insight Partners, een venture capital firma die ondersteuning biedt aan groeibedrijven op het gebied van digitale technologie.
Certificering voor UCS
De kern van LiveAction's aanbod is de focus op netwerkzichtbaarheid en -observatie. Daarmee combineert men twee belangrijke terreinen: netwerkbeheer en netwerkbeveiliging. De reden daarvan, zo zegt Ferro, is dat vandaag de dag bescherming alleen niet meer voldoende is. Organisaties ontkomen niet meer aan een situatie waarbij zij ervan uit moeten gaan dat er met enige regelmaat beveiligingsinbreuken zijn. Het detecteren van deze inbreuken en het begrijpen van hun impact is dan minstens even belangrijk als het proberen tegen te houden van dit soort aanvallen. Hiervoor is echter een diepgaand inzicht in het netwerk en de verkeersstromen noodzakelijk, iets wat bij veel IT-afdelingen ontbreekt.
LiveAction's technologie helpt hierbij doordat het forensische analyse van het netwerkverkeer mogelijk maakt, met speciale hardware om netwerkverkeer in de tijd vast te leggen en metadata uit pakketten te extraheren. Dat verklaart ook waarom het bedrijf appliances levert die Petabytes aan data kunnen opslaan. Alleen dan kan een organisatie een op historische data gebaseerd inzicht in het gedrag van hun netwerkinfrastructuur verkrijgen. De metadata van het netwerkverkeer wordt hierbij opgeslagen en is voor analyses beschikbaar.
Visibility as a Service
Het bedrijf biedt twee oplossingen: bewaking van de netwerkprestaties en packet capture & analyse. Onlangs heeft LiveAction aangekondigd dat haar packet capture en analyse-software gecertificeerd is voor Cisco Unified Computing Systems (UCS)-servers. Dit is een interessante markt, omdat zich onder UCS-gebruikers veel organisaties bevinden die bereid zijn om innovatieve keuzes te maken voor hun IT-infrastructuur. Cisco UCS integreert namelijk compute, networking en storage in één uniforme oplossing.
LiveAction werkt bij voorkeur nauw samen met systeemintegratoren en service providers. Dit biedt IT-afdelingen een zekere mate van keuzevrijheid: zij kunnen zelf een visibility-oplossing aanschaffen, on-premise installeren en deze zelf beheren en gebruiken. Daarbij speelt uiteraard altijd de vraag in hoeverre men hiervoor intern voldoende menskracht en kennis heeft. Een andere optie is daarom 'Visibility as a Service’. Dit kan via een systeemintegrator on-premise worden opgezet en worden beheerd, maar eventueel ook vanuit de cloud worden georganiseerd.
Volledige netwerkbeheerlaag
De redenen voor klanten om in netwerkzichtbaarheid te investeren, zijn vaak zeer divers. Het omvat veelal een mix van prestatiebeheer, planning en beveiliging. Veel IT-afdelingen kampen met een wildgroei aan netwerktools die niet meer passen bij hun huidige netwerkomgeving. Dat leidt vrijwel altijd tot een gebrek aan inzicht en een inefficiënte vorm van beheer. Het feit dat veel van deze tools niet met elkaar kunnen samenwerken, hindert bovendien het beheer en de beveiliging. Het levert daardoor vertragingen op in het identificeren van ‘breaches’ en het vermogen van de security- en operationele teams om te kunnen inschatten wat de technische en business-impact daarvan is.
LiveAction biedt een oplossing voor deze uitdagingen door met één geïntegreerde softwareomgeving de volledige netwerkbeheerlaag in te vullen, vertelt Ferro. Hierdoor krijgen organisaties beter zicht op hun netwerk en op de verkeersstromen die hier doorheen gaan. De mogelijkheid om een breed scala aan data en applicaties te analyseren, van brede trends tot gedetailleerde analyses, maakt deze vorm van integratie erg aantrekkelijk, meent hij, en levert zeer bruikbare informatie op.
Alert fatigue
Een groot probleem voor veel IT-afdelingen is echter 'alert fatigue’. Hiermee wordt het fenomeen bedoeld waarbij beveiligings- en operationele teams overstelpt worden met waarschuwingen en andere informatie. Men ziet hierdoor vaak door de bomen het bos niet meer. De kans is dan groot dat ernstige alerts gemist worden in de enorme stroom aan niet of minder belangrijke waarschuwingen.
Om dit op te lossen past LiveAction machine learning toe. Deze technologie is in staat patronen te herkennen in grote hoeveelheden data. Hierdoor is het volgens Ferro mogelijk om abnormaal gedrag uit de vaak immense datastromen te filteren. Vervolgens wordt een dergelijke alert voor abnormaal gedrag gecombineerd met een automatisch gegenereerd advies over de te nemen acties. Deze adviezen zijn gebaseerd op eerdere waarschuwingen en gebeurtenissen. Integratie met tools als Splunk versterkt dit vermogen nog eens door data over het netwerkgedrag te kunnen correleren aan andere gegevens en informatie. Maar, zo stelt Ferro, uiteindelijk zal de mens de uiteindelijke actie moeten ondernemen.
Rapporteren
Zoals eerder aangegeven, is een cruciaal aspect van LiveAction's aanbod de opslag van uitgebreide informatie over dataverkeer. Hierdoor krijgen IT-afdelingen toegang tot historische gegevens voor analyse en rapportage.
Deze rapporten worden steeds belangrijker. Nu zowel de economie als de maatschappij steeds meer afhankelijk zijn van hun digitale infrastructuur, krijgen veel organisaties te maken met regulering vanuit overheden. Ook de eigenaren - al of niet via aandelenmarkten - van bedrijven zijn steeds meer geïnteresseerd in security en de impact daarvan op de business. Rapporteren is hierdoor cruciaal geworden, vertelt Ferro. Daarom heeft LiveAction hiervoor standaard oplossingen ingebouwd. Deze helpen de technische inzichten die het bedrijf creëert in het gedrag en de beveiliging van een netwerkinfrastructuur ook zichtbaar te maken voor overheidsorganisaties en andere stakeholders.