Desde que Cisco adquirió Splunk el año pasado, el sector de la ciberseguridad ha estado expectante ante las posibilidades de esta unión. La combinación de dos pesos pesados en innovación tecnológica prometía avances significativos, y parece que esas promesas empiezan a materializarse con nuevas soluciones y mejoras en las ya existentes.
¿Qué aporta Splunk a la estrategia de seguridad de Cisco?
Splunk lleva dos décadas siendo un referente en el ámbito de la seguridad. Su principal fortaleza reside en ofrecer una visibilidad y una capacidad de análisis profundas sobre los ecosistemas tecnológicos, por muy distribuidos que estén.
Visibilidad y análisis
La capacidad de Splunk para recopilar datos de prácticamente cualquier fuente dentro de un entorno tecnológico es uno de sus grandes valores. A esto se suman potentes herramientas analíticas que permiten a los equipos de seguridad detectar amenazas esquivas o comportamientos anómalos, incluso los más ocultos. Simplifican la tarea de encontrar agujas en el pajar de datos.
Productos clave de Splunk
- Enterprise Security (SIEM): Plataforma de gestión de eventos e información de seguridad, orientada a analistas de seguridad en centros de operaciones (SOC). Ayuda a identificar, investigar y responder a alertas.
- Splunk SOAR: Plataforma de orquestación, automatización y respuesta de seguridad. Automatiza tareas repetitivas y coordina flujos de trabajo complejos.
- Splunk Attack Analyzer: Ayuda a investigar amenazas.
- Asset and Risk Intelligence: Permite identificar y evaluar los activos para protegerlos adecuadamente.
Novedades presentadas: Reforzando la defensa conjunta
Aprovechando la conferencia RSA, Splunk y Cisco han presentado mejoras significativas en sus productos, ahora trabajando de forma más integrada.
Actualizaciones de Splunk
- Enterprise Security 8.1: Mejora la capacidad de detectar, investigar y responder desde una única interfaz. Incluye avances en la investigación y facilita la detección de amenazas correlacionando múltiples eventos. También añade soporte para Splunk SOAR en Azure.
- Splunk SOAR 6.4: Acelera la automatización de tareas complejas y mejora la conexión y coordinación de flujos de trabajo.
Avances en Cisco XDR
Cisco XDR (Detección y Respuesta Extendidas) incorpora novedades importantes, como el uso de IA para la identificación instantánea de ataques y la creación de planes específicos de investigación y respuesta.
La IA como pilar fundamental
La inteligencia artificial es un tema central en esta nueva etapa. Si bien la IA generativa y los modelos de lenguaje grandes (LLM) ayudan a los defensores a ser más eficientes, también son explotados por los atacantes para crear ofensivas más rápidas y sofisticadas.
IA para la defensa
Splunk trabaja en asistentes de IA para ayudar a los analistas a responder más rápido y con mayor precisión. La idea no es reemplazar a los humanos, sino potenciar sus capacidades, pasando de un modelo reactivo a uno proactivo donde el sistema realiza el triaje inicial.
Un ejemplo práctico es la generación automática de informes de investigación, una tarea tediosa que pronto podría realizar un asistente de IA, liberando tiempo del analista.
Seguridad para la IA: AI Defense
Cisco ha presentado AI Defense, una tecnología diseñada para proteger las propias aplicaciones de IA de una organización (modelos internos o aplicaciones de terceros) contra amenazas como el envenenamiento de datos o la inyección de prompts. Se busca establecer controles sin frenar la innovación.
Simplificando la complejidad: La ventaja de la plataforma integrada
Uno de los grandes retos para los profesionales de seguridad es la creciente complejidad de las herramientas y las amenazas. La integración de Splunk y Cisco busca abordar este problema.
Visibilidad completa
La combinación de Splunk Enterprise Security con Cisco XDR ofrece una cobertura más completa. XDR aporta visibilidad sobre el tráfico de red y la actividad en los endpoints, datos que a menudo no se envían a un SIEM tradicional como Splunk. Juntos, cubren un espectro más amplio de amenazas.
Consolidación y eficiencia
Los clientes buscan consolidar herramientas y presupuesto, optando por plataformas integradas que funcionen de manera fluida. Este enfoque de plataforma ofrece resultados más rápidos, sencillos y precisos, ayudando también a paliar la escasez de talento en ciberseguridad al automatizar tareas y amplificar el trabajo de los profesionales existentes.