Abbiamo incontrato, nel corso dell’evento Splunk .conf Go, Gian Marco Pizzuti, Area vice president e Country manager di Splunk Italia, approfondendo il tema dell’observability e del suo legame con la cybersecurity. Pizzuti ci ha parlato del vantaggio di un approccio olistico, fondamentale non solo per individuare e rimediare a eventuali problemi, ma anche per portare più efficienza nei processi. Il focus sull’automazione e sull’IA, fondamentali anche per sopperire all’annoso problema della difficoltà a reperire talenti dotati delle giuste competenze. E sull’acquisizione di Cisco…
Parliamo un po’ del mercato dell’observability, in termini di tendenze e adozione da parte delle aziende
Noi arriviamo nel mercato dell’observability applicativo nell’inverno 2017. Ci dà un vantaggio perché, avendo già clienti che usano la nostra tecnologia nel mondo della cybersecurity e dell’infrastructure monitoring, c’è la possibilità di riutilizzare le competenze e le skill che facilita l’apertura verso certi ambiti. È un mercato che in questo momento, almeno per come lo stiamo osservando noi, è molto application specific per cui ci interessa monitorare ad esempio quello che è il mondo Sap, o il mondo ServiceNow. Siamo ancora in una fase particolare: mentre sull’infrastruttura facciamo un discorso più olistico, nel mondo application vige un approccio molto settoriale e verticale.
Nemmeno sulle applicazioni Saas?
Tipicamente sì. Molti vendor si stanno spostando verso il cloud, quindi verso modelli SaaS o ad abbonamenti. Una subscription economy, diciamo. Ecco, qui c’è un effetto collaterale, che è la perdita di controllo. Tecnicamente, ti affido la sicurezza, l’infrastruttura, tutta l’esecuzione dell’applicativo. Sono l’utente, ma si suppone che la Sap della situazione sappia fare meglio della tipica azienda italiana media. Se però riesco ad avere la possibilità di monitorare quello che sta succedendo, posso permettermi di fare qualcosa. Non intendo qualcosa che Sap o Splunk non sono in grado di fare. Intendo dire che mi permette di correlarlo a tutto quello che io osservo, anche da altre fonti di dati. Se vedo che sta succedendo qualcosa sulla mia applicazione di ticketing, ma riesco a correlarlo ad altre anomalie che individuo da altre parti, ecco che posso completare l’opera. Non faccio quindi un’osservazione fine a sé stessa, ma posso fare una verifica puntuale. Perché in questo modo io riesco a capire se quanto sta avvenendo è un evento isolato, se è un problema tecnico o di processo, oppure se è un relativo a un attacco cyber, quindi con una portata più ampia.
Parliamo di monitoraggio di applicazioni verticali che scambiano dati con altre applicazioni che non sono necessariamente in cloud?
Esatto. Uno degli esempi più classici è quello di un istituto di credito italiano che con noi ha fatto un esperimento per andare a monitorare l’esperienza cliente in maniera end to end. Facciamo un esempio. Un correntista chiede una carta di credito, che dovrebbe essere rilasciata entro 48 ore, secondo il Service Level Agreement del conto corrente bancario. Se passano sei giorni e non è stata ricevuta, è necessario capire il perché del disservizio. Si tratta di un errore dell’applicazione? O è un problema di comunicazione, per esempio tra il mondo mainframe e quello open? È un problema di processo? O, ancora, qualcuno sta sniffando dati e li ha estrapolati? Ecco, diciamo che questa osservazione trasversale permette di effettuare un controllo end to end di ciò che sta succedendo nell’ambiente. È quella che noi abbiamo definito digital resilience. E per essere resiliente, occorre poter monitorare anche le applicazioni. Non per garantire che funzionino sempre e che il servizio sia sempre disponibile per gli utenti, ma per poter correlare l’applicazione stessa a tutto il resto.
Nel mondo manifatturiero, per esempio, l’innovazione di produzione viene subordinata alla capacità delle applicazioni di adeguarsi al processo. Di conseguenza, può capitare che non si possa allestire una nuova linea di produzione perché gli strumenti non sono adeguati. Avendo la capacità di monitorare, puoi anche reinventarti. Noi abbiamo la presunzione di dire che chi è più resiliente, chi è in grado di prevedere certi cambiamenti e di saper reagire rapidamente, è anche colui che riesce a mantenere la leadership.
Daniele Deligia, CIO di NTV Italo Treno, ha mostrato, nel corso del proprio intervento, l’utilizzo di Splunk per costruire e alimentare console di controllo del business. Sono una forzatura o sono una naturale evoluzione dell’utilizzo di Splunk, che ovviamente non nasce come piattaforma di business intelligence?
Splunk è un nome onomatopeico, che richiama l’andare a scavare nel dato. Col tempo, Splunk ha realizzato delle suite applicative – security, observability e via dicendo, che hanno permesso di dare un contesto ai dati stessi. Il limite di quello che può fare la piattaforma di Splunk è dettato dalla fantasia dei clienti. Tecnicamente, Splunk può fare molto più di quello che vedi implementato. Tornando alla domanda, non penso sia una forzatura. Penso che sia la capacità, o la necessità, di rispondere a una mutata necessità dei nostri clienti. In 20 anni abbiamo visto silos trasformarsi in strutture che hanno un crescente bisogno di dialogare, e il dato ha pervaso tutte le strutture. Prima si guardava solo ai log o alle informazioni derivanti dai mainframe, poi questo approccio basato sul dato ha iniziato a diffondersi a tutte le infrastrutture, e il cloud ha ulteriormente aumentato la complessità. Come diciamo in ambito cybersecurity, la superficie di attacco si è ampliata. E, di conseguenza, sono mutate anche le esigenze dei nostri clienti. Mentre prima ci chiedevano soluzioni per analizzare i log, o il Siem, oggi sono alla ricerca di soluzioni olistiche. Non dimentichiamo che uno dei principali problemi del nostro settore è la disponibilità di competenze. E più riesco a mettere le competenze a fattore comune, più le riutilizzo, più ne traggo vantaggio, dato che le competenze sono difficili da maturare.
Ti faccio l’esempio del caso Veolia con il nostro partner Auticon. Auticon ha messo a fattor comune le competenze tecnologiche per massimizzare l’utilizzo della nostra piattaforma. È un esempio che mi piace sottolineare perché il loro problema è quello di non avere abbastanza risorse. Perché quelle esistenti vengono coinvolte in vari progetti, e quindi dobbiamo aiutarli a svilupparle maggiormente. Tornando alla domanda, nel momento in cui la piattaforma è predisposta per scavare nel dato, ecco che l’osservazione applicativa non è un modo di “stirare” l’utilizzo di Splunk, ma forse una possibilità di rispondere al meglio alle mutate esigenze. E anche di affrontare l’annoso problema della disponibilità di competenze, sia in azienda, sia sul mercato in generale.
In pratica, di Splunk utilizzi le capacità di ingestion dei dati, di analisi, di gestione delle anomalie a un settore, quello del business, che non ha niente a che fare con la sicurezza, ma che alla fine ha processi analoghi?
Certo. Anche perché alla fine l’osservazione è osservazione. È quasi da 10 anni che noi usiamo il machine learning sulla piattaforma, così da consentire alle poche competenze esistenti di concentrarsi su quello che ha valore. Lascio fare al machine learning l’elaborazione dei dati e permetto alle persone di concentrarsi su altri elementi. Un modello che ha trovato il suo ambito di applicazione nella cybersecurity, perché ovviamente lì ha più senso essere rapidi. Non dimentichiamoci che la maggior parte delle vulnerabilità vengono scoperte dagli analisti mesi dopo che sono state utilizzate. Di conseguenza, ha più senso reagire in maniera celere. Nel mondo applicativo, invece, ci si può prendere più tempo.
Il machine learning tradizionale però richiede training specifico su knowledge domain molto ristretti, che è anche il motivo per cui non si è affermato come invece sta facendo l’IA generativa basata su foundation model. Pensate di introdurre la vostra IA generativa?
Sicuramente sì. Avendo già la base costituita dai nostri strumenti di machine learning, per noi viene facile investire sull’IA generativa. E, infatti, molti degli annunci che abbiamo fatto vanno in questa direzione. Se guardiamo alla cybersecurity, il modulo Attack Analyzer che abbiamo annunciato fa proprio questo: non solo una scrematura dei dati, presentando solo quelli più rilevanti, ma analizza anche i pattern di attacco e svolge una serie di analisi che normalmente sarebbero state delegate a figure specializzate. Si occupa di fare la correlazione e verificare se nelle infrastrutture ci sono altri pattern simili. Così facendo riesco prima di tutto ad attivare una remediation e isolare il problema. E a questo punto, è già pronta l’analisi relativa a tutto l’attacco, non solo a quel sottoinsieme di informazioni e tutte le azioni per rimediare al problema sono già state effettuate. Ai tecnici non rimane altro che la finalizzazione della remediation.
L’IA generativa però viene usata anche dai criminali per sferrare attacchi informatici.
Beh sì. Come tutte le tecnologie, è neutra, ma dipende come viene utilizzata. Calata in un contesto applicativo che già fornisce una piattaforma di protezione significativa, io mi aspetto – diciamo così – che non vinca il male. Sicuramente, chi vuole fare attività fraudolente ha tempo e ultimamente anche soldi a disposizione per mettersi lì e studiare. Viviamo in un’era dove la tecnologia dà disponibilità, da benessere e spazi che altrimenti non sarebbero concessi. Abbiamo un punto di osservazione che ci permette di vedere come ormai si stiamo gli attacchi stiano diventando sempre più sofisticati, e come mutano. C’è una rigenerazione anche negli attacchi cyber che permette ai criminali informatici di essere molto efficaci.
Effettivamente l’IA può essere usata per generare anche il codice dei malware.
Sì, l’IA abbassa il livello di ingresso. Se ti ricordi, erano state mosse critiche al Governo italiano che aveva messo momentaneamente in stand-by ChatGpt. Ma dobbiamo chiederci che risvolti avrà la tecnologia, perché a volte non abbiamo la capacità di capirlo. La capacità di sviluppare codice sta avendo delle ripercussioni su chi fa sviluppa applicazioni. Mi domando quanti ancora avranno voglia di iscriversi a informatica andando avanti.
Però potrebbe portare a un miglioramento del codice, in generale. Evita errori di distrazione, di mancato rispetto delle policy…
Pensiamo anche al beneficio che potrebbe portare all’interno, ad esempio nell’application performance, o nel process mining. Non solo, grazie all’IA posso trovare delle deficienze, ma anche delle inefficienze, e quindi portare miglioramenti.
Parliamo dell’acquisizione da parte di Cisco, annunciata meno di un mese fa. Che cosa comporterà per voi il fare parte di un’azienda così fortemente caratterizzata in ambito networking e sicurezza?
In questo momento il processo richiede ancora dei passaggi importanti con gli shareholder. Pensiamo ci vorranno circa 12 mesi, quindi settembre/ottobre del 2024. Sicuramente l’ambito di operatività è questo. Ma sottolineerei la complementarità. Se l’operazione dovesse concludersi, darebbe vita a uno dei più grandi software vendor al mondo. E come sai, quando si fanno queste operazioni si tenta sempre di fare in modo che 1 + 1 possa fare 3. Si tenta di creare una sorta di valore reciproco in modo che possa aumentare il business di entrambe. Il tema della business resilience può comunque trovare un terreno fertile perché noi siamo presenti anche nei network operation center, un altro ambito dove si può fare observability.
Forse si può spostare anche la parte di sicurezza più in basso ancora, quindi? Per esempio nel networking.
Assolutamente sì. È una combinazione che potrebbe avere quello come elemento. Ma potrebbero essercene anche altri, visto che in passato sono state fatte acquisizioni da Splunk che hanno bisogno di un po’ di “digestione” per essere messe a fattore comune. Penso per esempio allo spostamento verso il cloud.
Qual è il vostro cliente medio in Italia?
Da quanto ho preso la responsabilità dell’Italia abbiamo lavorate per ampliare il portafoglio, perché anche le Pmi vorrebbero una piattaforma di controllo per la sicurezza e per i controlli applicativi. Abbiamo ampliato il portafoglio clienti lavorando su due dimensioni. Prima di tutto, andando a dare maggiore copertura al territorio: da quando sono entrato io abbiamo triplicato la forza lavoro in Italia. Dall’altro lato abbiamo amplificato e strutturato maggiormente il nostro rapporto con i partner. Abbiamo aggiunto i cloud provider; abbiamo inserito i servizi gestiti; e poi abbiamo lavorato sulle due dimensioni che c’erano già, i global system integrator e i panel a valore tecnologico.
Supportiamo anche la Pmi, sia nel settore privato sia in quello pubblico. Stiamo facendo molto a valle di una gara di Consip per l’amministrazione locale e stiamo lavorando per strutturare una serie di offerte che siano adeguate alle disponibilità economiche delle Pmi.
Come funziona il modello di licensing?
Il modello di licensing si è evoluto seguendo la crescita fatta da Splunk. Splunk ha investito molto e in due anni abbiamo completato il passaggio dalla licenza perpetua on premise all’approccio cloud first – non ancora cloud only – basato su abbonamenti. E nel fare questo passaggio ci siamo aperti a quello che ci chiedono i clienti. Oltre al modello tradizionale, che è basato sulla quantità di dati, abbiamo lavorato su un modello di pricing basato sui workload applicativi. Queste modelle di licensing sono indipendenti rispetto al modello di fruizioni della piattaforma: che tu scelga di mantenerlo on-premise o di andare in cloud, puoi comunque decidere quale modello adottare.
Immagino che i clienti nuovi siano quasi tutti in cloud…
I clienti nuovi sì. Per le potenzialità offerte da questo modello di fruizione. Andare in cloud in questo momento per i nostri clienti significa avere la possibilità di scalare. Prima chi osservava un attacco aveva a disposizione una certa mole di dati, e se aveva bisogno di altro spazio o altro hardware doveva chiederlo. E sappiamo bene come sono le tempistiche. Sposare il paradigma cloud ti permette di aumentare in modo elastico l’infrastruttura. Insomma, non sono sul cloud perché va di moda, ma perché il cloud offre un vantaggio competitivo importante. E anche il modello di licenze segue questa elasticità.
Quando fai osservazione del business invece che della sicurezza è più facile riconoscere il valore aggiunto, perché i costi della sicurezza sono paragonabili a quelli di un’assicurazione; spendi per non interrompere il tuo business.
Verissimo. Ma se volessi guardare da un altro punto di vista. Quando operi nell’ambito security, si parla di minacce, attacchi, cose “brutte”. Se invece stai sul lato observability, si parla di incrementi di fatturato, miglioramento delle performance. Ti avvicini al business, insomma. Sono d’accordo con te e hai centrato il punto, ma è ovvio che parlare di digital resilience ci permette di avvicinarci maggiormente al cuore delle aziende, al business.
