Beyond the Data Lake: Führend in domänenübergreifender Operational Intelligence

Bei der RSAC ging es in Gesprächen mit Sicherheitsverantwortlichen immer wieder darum, dass moderne Unternehmen an einem kritischen Scheidepunkt stehen, an dem maschinengenerierte Telemetriedaten so schnell anwachsen, dass herkömmliche Architekturen nicht mehr Schritt halten können. Dieser Trend erfordert einen Ansatz, der über das bloße Speichern von Informationen hinausgeht und diese so aktiviert, dass das Over Alerting nicht noch verstärkt wird. Die Branche beginnt zu erkennen, dass ein Data Lake zwar eine grundlegende Voraussetzung für rückschauendes Reporting ist, den Anforderungen von Echtzeit-Sicherheit und -Betrieb jedoch grundsätzlich nicht mehr gerecht wird.

Erforderlich ist eine Kombination aus einer speziell auf den Sicherheitsbetrieb zugeschnittenen Datenstruktur und agentischen Funktionen, die eine Erkennung und Reaktion in Maschinengeschwindigkeit ermöglichen. Im Kern geht es darum, das ungenutzte Potenzial von Maschinendaten für die KI zu erschließen.

Um den von der KI selbst ausgehenden Bedrohungen entgegenzuwirken, muss diese Datenstruktur nicht nur KI-gestützt, sondern auch absolut vertrauenswürdig sein, indem sie Transparenz in Bezug auf die KI bietet. Aus praktischen Gründen muss sie außerdem fast grenzenlos skalierbar sein, während die Kosten sich in Grenzen halten.

Bei Splunk, das jetzt zu Cisco gehört, haben wir eine Plattform entwickelt und bereitgestellt, die dies ermöglicht. Wir nennen sie Cisco Data Fabric. Sie ist auf Sicherheit und domänenübergreifende Prozesse ausgelegt und nicht nur ein generischer Data Lake. Wir schließen die „Resilienz-Lücke“ zwischen Rohdaten und entschlossenem Handeln, indem wir Cisco Data Fabric in unsere Vision vom agentischen SOC integrieren. Wir wollen Unternehmen aus dem restriktiven Umfeld zentralisierter Silos und reaktiver Sicherheit herausführen. Dazu bieten wir eine einheitliche, domänenübergreifende Kommandozentrale, die Bedrohungen antizipiert und den Betrieb in Echtzeit optimiert.

Im Folgenden seht ihr, wie wir durch ein dreischichtiges Intelligence-System neue Maßstäbe für den Sicherheitsbetrieb im Zeitalter der KI-Agenten setzen:

1. Schicht 1:
Intelligenter Datenzugriff über Cisco Data Fabric

Bei herkömmlichen Ansätzen wird davon ausgegangen, dass Datenmanagement nur möglich ist, wenn die Daten verschoben und in ein riesiges, zentralisiertes Silo kopiert werden. Das ist für moderne Unternehmen nicht nur kostspielig, sondern auch ausgesprochen unpraktisch.

Mit Cisco Data Fabric können die Daten dort gespeichert werden, wo sie erzeugt werden. Das Framework bietet einen standardisierten Telemetriezugriff, ohne dass dazu alles umgekrempelt werden muss. Dank dieser Flexibilität können Unternehmen eine Architektur unterhalten, die „das Beste aus allen Welten“ vereint – mit nahtloser Integration in bestehende Umgebungen anstelle eines erzwungenen Umstiegs in eine starre, eingleisige Infrastruktur. Dies ist die entscheidende erste Schicht. Sie bietet nahtlosen Datenzugriff und kommt dabei ohne die Latenz und hohen Kosten einer erzwungenen Zentralisierung aus.

2. Schicht 2:
Echtzeitausführung vs. passive Analyse

Es gibt einen grundlegenden Unterschied zwischen der Analyse von Daten und dem Betrieb eines Systems in Echtzeit. Universelle Data Lakes sind für die „Kalt“-Speicherung und Batchverarbeitung konzipiert, Cybersicherheit und unternehmenskritische Prozesse erfordern jedoch ständig aktive Ausführungsschleifen.

Der Splunk Index wurde eigens für latenzarme, zielgerichtete Indizierung und kontinuierliche Korrelation entwickelt. Diese Funktionen lassen sich nicht ohne erhebliche Einbußen bei Geschwindigkeit und Zuverlässigkeit an einen Data Lake andocken. Durch Federated Analytics behalten wir diesen Echtzeitvorteil auch in einer föderierten Welt bei. Im Gegensatz zur föderierten Suche, die oft unter Remote-Abfrageverzögerungen leidet, setzt unsere Architektur Cisco Data Fabric ein, um wichtige Telemetriedaten bei Bedarf intelligent in leistungsstarke Data-Lake-Indizes weiterzuleiten. So könnt ihr hochfrequente Warnmeldungen und komplexe Sicherheitserkennungen für Daten, die in einem Data Lake gespeichert sind, in unter einer Sekunde ausführen – also ohne nennenswerte Performance-Einbußen gegenüber gegenüber lokal gespeicherten Daten.

Da die Ausführungsschicht im Zentrum unserer Architektur angesiedelt ist, können Erkennungen und Workflows in der Geschwindigkeit der Bedrohung ablaufen, nicht in der Geschwindigkeit einer Datenbankabfrage.

3. Schicht 3:
Gezielte Maßnahmen mithilfe des Agentic SOC

Während viele Anbieter noch damit beschäftigt sind, vom Speichern zum logischen Denken überzugehen, ist Cisco bereits auf der Ausführungsebene angekommen. Wir bieten ein Closed-Loop-System, das automatisch von der Erkenntnis zur Behebung übergeht:

• Agentisches SOC: Wir begnügen uns nicht mit einfachen Assistenten, sondern bieten ein SOC, das Daten effektiver verwalten kann und proaktiver ausgerichtet ist, um Probleme vorherzusagen und zu verhindern.
• Der Ausführungsvorteil: Da wir Erkennungen, Workflows und Behebungsschichten bereits verwalten, können unsere KI-Agenten sofort gezielte Maßnahmen ergreifen. Wir stellen nicht nur Überlegungen über Data Lakes an, sondern setzen die Strategien in Gang, die das Unternehmen am Laufen halten.
• Das „Claw“-Ökosystem: Bei Cisco bleiben wir der Agentenlandschaft trotz ihres rasanten Wandels immer einen Schritt voraus. Ein Beispiel dafür ist das kürzlich von uns angekündigte DefenseClaw, das Schutz bietet und in das OpenClaw-Ökosystem integriert ist. Es bietet leistungsstarke, kontrollierte und wirkungsvolle KI-gestützte Sicherheit.

4. Das wirtschaftliche Ergebnis: Effizienz im großen Maßstab

Die Aussage „Generics sind kostengünstiger“ trifft angesichts der Komplexität der Unternehmenssicherheit in diesem Fall nicht zu. Durch den Einsatz dieser dreischichtigen Architektur ist uns mit Blick auf die Wirtschaftlichkeit von Daten ein fundamentaler Fortschritt gelungen.

Da wir ohne den enormen Rechenaufwand auskommen, der für die Durchführung komplexer Sicherheitskorrelationen auf Basis eines universellen Data Lakes erforderlich ist, können wir eine leistungsstärkere und effizientere Alternative anbieten. Wir liefern fundiertere Erkenntnisse bei geringeren Gesamtbetriebskosten als nicht spezialisierte Plattformen, die Kunden für das Verschieben und erneute Verarbeiten von Informationen gewissermaßen eine „Datensteuer“ abverlangen.

5. Föderierte, domänenübergreifende Plattform

Ein SIEM ist nur ein Teil des Puzzles. Für echte Resilienz ist eine Plattform erforderlich, die das gesamte Unternehmen umfasst. Cisco und Splunk bieten eine einheitliche, domänenübergreifende Lösung für die Bereiche Sicherheit, ITOps, NetOps und DevOps.

• Korrelierte Erkenntnisse: Wir bieten domänenübergreifende Transparenz, die für Anbieter von Einzellösungen einfach unerreichbar ist.
• Hybride Flexibilität: Ob in der öffentlichen oder privaten Cloud oder On-Premises – unsere Lösung sorgt für ein einheitliches Sicherheitsniveau.
• Vertrauen und Governance: Unsere von Branchenanalysten bestätigte Führungsrolle in den Bereichen Sicherheit und Observability spiegelt eine einfache Realität wider: Die sichersten Unternehmen haben ihre Praktiken auf unserer Plattform aufgebaut.

Die Zukunft digitaler Prozesse liegt nicht in einem statischen Data Lake, sondern vielmehr in einer ausgereiften, skalierbaren und agentischen Plattform, die auf drei Schichten basiert: Datenzugriff (Struktur), Echtzeitausführung (Index) und gezielte Maßnahmen (Agenten). Cisco und Splunk bieten Unternehmen die Resilienz und Intelligenz an, die in der modernen Welt erforderlich sind.