Стремясь укрепить свой портфель программного обеспечения безопасности, компания Cisco подписала соглашение о приобретении за 28 млрд долл. компании Splunk.

Программная платформа Splunk, созданная в 2003 году, известна широкими возможностями поиска, мониторинга и анализа данных, извлекаемых из различных систем. Группы сетевой безопасности используют эти сведения для получения более широкой картины и сбора информации о сетевом трафике, межсетевых экранах, системах обнаружения вторжений (intrusion detection system, IDS), их предотвращения (intrusion prevention system, IPS), а также управления событиями и информацией о безопасности (security information and event management, SIEM) как локально, так и в облаке.

С помощью программного обеспечения Splunk специалисты могут проверять сетевой трафик на наличие признаков вредоносного ПО и фактов регистрации в системе, объединяя данные из нескольких источников для выявления причин нарушения безопасности и аномального трафика.

Все эти возможности и многое другое Cisco рассчитывает интегрировать в свои решения, предназначенные для обеспечения безопасности.

«Совместными усилиями мы можем стать одной из крупнейших компаний-разработчиков программного обеспечения в мире, – заявил генеральный директор Cisco Чак Роббинс. – Наши объединенные возможности позволят создать комплексную платформу для обработки данных и повышения отказоустойчивости цифровых технологий».

Технологии Splunk дополнят существующий портфель решений Cisco в области безопасности в том числе и за счет интеграции новых платформ Cisco Extended Detection and Response (XDR) и Security Cloud.

Сервис Cisco XDR объединяет множество продуктов Cisco и независимых производителей, предназначенных для управления доступом к сети, анализа инцидентов, устранения угроз и автоматического принятия ответных мер. Делается все это с использованием единого облачного интерфейса.

«Предложения Splunk в области безопасности и управления событиями помогут нашим клиентам перейти от обнаружения угроз и реагирования на них по факту к упреждающему прогнозированию и предотвращению, – указал Роббинс. – Дополнительные средства улучшат показатели наблюдаемости всего ИТ-стека в полном объеме, от приложений до сетевых компонентов в гибридных и мультиоблачных средах. Совместными усилиями Cisco и Splunk создадут комплексную платформу уровня предприятия Full Stack Observability».

Интеграция FSO может быть интересна тем, что Cisco только в июне запустила эту платформу и лишь недавно начала добавлять в систему новые функции. Новая платформа предназначена для определения корреляции данных, поступающих из приложений, сетей, инфраструктуры, средств безопасности и облачных доменов, и упрощения заказчикам процесса выявления аномалий, профилактики и устранения проблем с производительностью, а также нивелирования угроз.

На вопрос о потенциальном пересечении функциональности продуктов, особенно с точки зрения улучшения наблюдаемости, Роббинс ответил: «Не думаю, что дублирование будет значительным. Но с учетом прогресса Splunk в части наблюдаемости и наших наработок в сфере платформ обработки данных в сочетании с улучшением видимости приложений при использовании ThousandEyes прорыв заметен уже достаточно хорошо».

По мнению аналитиков, с интеграцией программного обеспечения и вопросами дублирования функционала компании разберутся.

Cisco ThousandEyes и AppDynamics – мощные платформы, а у Splunk есть технологии, которые способны их улучшить, считают эксперты.  Ожидается, что планы интеграции программного обеспечения будут представлены в течение года-полутора после завершения сделки.

По мнению Роббинса, интеграция технологий Splunk укрепит позиции Cisco в области искусственного интеллекта.

«Как отмечалось ранее, на инфраструктуру искусственного интеллекта нами уже выделено около полумиллиарда долларов, – добавил Роббинс. – У нас есть возможность помочь предприятиям использовать преимущества искусственного интеллекта. Рост темпов внедрения генеративного ИИ, расширение спектра угроз и наличие множества облачных сред повышает уровень сложности и порождает ситуацию, с которой организации никогда не сталкивались ранее. По мере развития гиперсвязей и усиления киберугроз ценность данных только возрастает, и в такой ситуации нынешняя сделка представляется особенно ценной».

После закрытия сделки, которое ожидается к концу третьего квартала 2024 года, генеральный директор Splunk Гэри Стил присоединится к команде  топ-менеджеров Cisco, а сотрудники компании войдут в состав группы безопасности Cisco.

По мнению аналитиков, сделка может иметь далеко идущие последствия для рынка средств корпоративной безопасности. 28 млрд долл. кажется им вполне справедливой оценкой, поскольку Splunk занимает устойчивые позиции с точки зрения показателей наблюдаемости, сумела сформировать вокруг себя обширное сообщество и заручиться поддержкой большого количества клиентов. Cisco же сделка позволяет еще быстрее превратиться в компанию, занимающуюся разработкой программного, а не аппаратного обеспечения.

Другие полагают, что Cisco интересуют в первую очередь возможности Splunk в части расширения ИТ-наблюдаемости. Причем, как полагают в  Gartner Митчелла Шнайдера, рамками SIEM и ИТ-наблюдаемости все это не ограничивается. Пакет безопасности Splunk включает в себя SIEM, средства анализа поведения пользователей (user and entity behavior analytics, UEBA), оркестрации безопасности, автоматизации и реагирования на инциденты (security orchestration, automation and response, SOAR), а также платформы для анализа угроз (threat intelligence platform, TIP), позволяющие обобщать собранные об угрозах данные.

Что касается операций по обеспечению безопасности, рынок SIEM продолжает расти. В Gartner  считают, что SIEM играет в организациях важную роль в части обнаружения угроз, изучения причин их возникновения и реагирования на них (threat, detection, investigation and response, TDIR), находясь в самом центре «солнечной системы» управления безопасностью (security operations center, SOC). Вместе с тем на рынок продолжают выходить новаторы и разрушители устоев, включая поставщиков облачных сервисов Microsoft и Google.

Покупка Splunk стала уже шестой с июня, десятой в этом году и одной из крупнейших за всю историю Cisco. В 2006 году компания потратила 6,9 млрд долл. на приобретение Scientific Atlanta, в 2019-м – 2,6 млрд долл. на Acacia Communications, а в 2012-м – 1,2 млрд долл. на Meraki.

Недавно в Cisco сообщили о намерении приобрести разработчика мобильного облачного ядра Working Group Two (WG2). Предполагаемая сумма сделки не раскрывается. Группа WG2 получила известность благодаря своей мобильной технологии, которая помогает государственным и частным поставщикам услуг, а также корпоративным клиентам создавать безопасные и масштабируемые мобильные магистрали.

В этом году Cisco купила компанию Code BGP, занимающуюся мониторингом протокола Border Gateway Protocol. В конечном итоге наработки Code BGP станут частью набора продуктов сетевой визуализации Cisco ThousandEyes и облачной платформы, которая помимо всего прочего будет поддерживать учет префиксов IP-адресов, пиринговых политик и политик исходящих сообщений организации с использованием настроенных источников, в том числе каналов BGP. Протокол BGP отвечает за выбор маршрута интернет-трафика, а алгоритм выбора наилучшего пути помогает находить оптимальные маршруты для пересылки.

В июле в Cisco объявили о намерении купить стартап Oort, специализирующийся на технологиях безопасности. Предполагаемая сумма сделки не раскрывается. Oort предлагает платформу для обнаружения угроз идентификации и реагирования на них в целях укрепления общей безопасности предприятия.

Кроме того, в Cisco сообщают о планах приобретения компании SamKnows, занимающейся мониторингом широкополосных сетей. Сумма сделки также не раскрывается. SamKnows использует глобальную сеть программных агентов, распределенных между системами, мобильными устройствами и сетями поставщиков услуг, для измерения в реальном времени производительности Интернета и оценки качества обслуживания клиентов. На центральной панели мониторинга можно анализировать результаты, выявлять неисправности и находить причины возникающих неполадок.

Cisco планирует также приобретение компании Accedian Networks. Платформа анализа и мониторинга производительности Accedian, предназначенная для операторов мобильного Интернета, сервисов ЦОД, поставщиков услуг и облачных клиентов, обеспечивает видимость сети, диагностику неисправностей и выдачу рекомендаций их устранению.

Среди других приобретений Cisco в этом году следует отметить покупку Armorblox (большие языковые модели), Smartlook (мониторинг мобильных приложений), Lightspin (безопасность в облаке) и Valtix (безопасность облачных сетей).