Security Analytics - chcete nejen vidět, ale i rozumět

Data jsou všude. Důležité je umět je správně zachytit, propojit a využít.

Síťová a bezpečnostní infrastruktura generuje každý den obrovské množství dat – logy, flow záznamy, události, metriky, stavy, konfigurační změny, transakce… Ale jak z toho poznat, co je důležité? Kde začíná hrozba? Co ovlivní uživatele? A co je jen šum?

Security Analytics představuje vrstvu, která zajišťuje:

viditelnost napříč infrastrukturou, aplikacemi a bezpečnostními vrstvami
korelaci a detekci rizikových událostí nebo anomálií
podporu rozhodování v reálném čase – pro bezpečnostní tým, IT i byznys

Cisco v této oblasti spoléhá na osvědčené nástroje jako Splunk, ThousandEyes a AppDynamics, které společně poskytují kompletní přehled od sítě, přes provoz až po uživatelskou zkušenost.

Splunk – centrální nervový systém pro logy a bezpečnostní informace

Splunk je globálně uznávaný SIEM a datová analytická platforma, která pomáhá:

sbírat, ukládat a indexovat logy z různých systémů (firewally, endpointy, servery, cloud…)
vytvářet detekční pravidla a korelace, které upozorní na podezřelé chování
monitorovat compliance, změny konfigurace, provozní výpadky
vizualizovat vztahy mezi událostmi a analyzovat root cause

Díky modulům jako Splunk Enterprise Security a Splunk SOAR je možné:

nejen detekovat incident, ale také automatizovat reakci (např. zavření portu, zablokování účtu, otevření ticketu)
propojit Splunk s Cisco XDR, Cyber Vision, Secure Firewall, Umbrella, ISE, ale i s dalšími systémy třetích stran

▶ Splunk je analytické centrum, které umí propojit bezpečnostní, provozní i byznysový pohled v jednom dashboardu.

ThousandEyes – když chcete vědět, kudy teče hrozba nebo výpadek

ThousandEyes přináší síťovou a aplikační viditelnost do oblastí, které tradiční monitoring nevidí – např. na trase mezi pobočkou a cloudem, mezi SaaS aplikací a uživatelem nebo při problémovém připojení na CDN.

měří dostupnost, latenci, jitter, DNS, TLS handshake a další klíčové metriky
pomáhá identifikovat výpadky nebo zpomalení na trase – zda je problém v síti, aplikaci nebo u poskytovatele
lze nasadit jako agent na PC, síťový prvek nebo syntetický testovací bod
výsledky jsou vizualizovány do přehledných path a dependency map

V oblasti bezpečnosti umožňuje například:

detekovat DDoS efekty (např. na DNS nebo aplikaci)
sledovat chování během útoku (např. přesměrování provozu, blokace cest)
měřit dopad bezpečnostních zásahů (např. změna politiky na firewallu) na dostupnost aplikace.

▶ ThousandEyes je jako rentgen – ukáže, co se děje mezi vaším uživatelem a jeho cílovou aplikací.

AppDynamics – Výkon aplikací pod bezpečnostní i provozní kontrolou

AppDynamics je platforma pro monitoring výkonu aplikací (APM). Sleduje nejen stav serverů nebo databází, ale celou transakční cestu od uživatele až po backend.

identifikuje, která část systému je úzkým hrdlem – databáze, middleware, kód?
umožňuje sledovat reakční časy, počty transakcí, chybovost, zatížení
umí detekovat anomálie v chování – např. pokles výkonu, změna vzoru volání API
integruje se s CI/CD pipeline – pomáhá vyhodnotit dopad nové verze kódu

V bezpečnostním kontextu pomáhá:

detekovat neobvyklé chování uživatele nebo aplikace
včas identifikovat dopady útoku na výkon nebo dostupnost aplikace
sledovat aplikace napříč prostředím (on-prem, cloud, Kubernetes).

▶ AppDynamics dává DevOps, bezpečnostnímu i IT týmu stejný jazyk pro pochopení, co se děje v aplikaci – a co s tím dělat.

Výhody integrované analytiky od Cisco

přehled napříč vrstvami – od fyzické síťové cesty po aplikační chování
kontext pro bezpečnostní rozhodování – nejen „log“, ale „co to znamená“
rychlejší vyšetřování incidentů a identifikace kořenové příčiny
podpora compliance, provozní stability i uživatelské zkušenosti
možnost automatizace reakcí díky propojení s Cisco XDR nebo SOAR

➡ Cisco staví bezpečnost nejen na blocích a zákazech – ale i na hlubokém porozumění. A právě Security Analytics je klíčem k tomu, aby rozhodnutí byla rychlá, správná a podložená.