Beyond Up/Down: On löytyy parempi tapa määritellä ‘normaali’ monimutkaisessa infrastruktuurissa

Olemme edenneet pitkälle ylös/alas-valvontasta. Tehtaan lattioista moderniin yritysinfrastruktuuriin, IT-hallinnoitsijat vaativat nyt merkittävästi enemmän tietoa kuin yksinkertainen tarkistus määrittääksesi, onko verkkosivu tai sovellus kykenevä palvelemaan käyttäjiä. Tietysti on hyödyllistä nähdä perustein “ylös” tai “alas” -tila, mutta tämä ei kerro koko tarinaa siitä, miten teknologia toimittaa odotettua liiketoimintaa. Lisäksi, kun IT- ja OT-ympäristöt yhdistyvät ja ekosysteemit muuttuvat dynaamisemmiksi ja efemereimmiksi, nämä hälytykset eivät aseta tai heijasta perusarvoja tarkasti.

Ymmärtäminen siitä, mikä on normaalia, oppiminen suorituskykymalleista ja kalliiden katkojen estäminen ovat elintärkeitä toimintoja tänään monimutkaisessa infrastruktuurissa. Tämä on erityisen totta, kun uhka-aktöörit käyttävät yhä monimutkaisempia työkaluja tekemään enemmän vähemmällä, ja moderni verkostoitunut infrastruktuuri luo uusia haavoittuvuuksia.

Tässä maisemassa AI-vetoinen valvonta muuttaa infrastruktuurin hallintaa tarjoamalla näkymän siihen, mikä on ja mikä ei ole normaalia käyttäytymistä, poistamalla huonot perusarvot ja hälytysväsymyksen. Selvitämmekö, miten tämä siirtyminen reaktiivisesta sammuttamisesta proaktiiviseen ehkäisyyn merkitsee tarpeellista valvontakehitystä.

Löytäminen uusi normaali

Mitä on normaalia? Tämä on kysymys, jota infrastruktuuritiimit, jotka valvovat palvelimia, verkkolaitteita, sovelluksia ja tietokantoja, ovat kysyneet vuosikymmenien ajan. Miksi? Koska ‘normaalin’ määrittely on monimutkainen ja virhealtisesti dynaamisissa ja yhä enenevissä jakelu-ympäristöissä, joissa on monia eri järjestelmiä valvottavaksi. Vastauksen löytäminen riippuu liiketoimintamalleistasi ja teknologioistasi. Lisäksi se riippuu valvontatekniikastasi ja määrityksestäsi, koska staattisten kynnysten asettaminen ei havaitse monia ongelmia. Sen sijaan se antaa hyvän käsityksen siitä, kun tapahtuu jotain, mitä odotetaan, mutta ei auta havaitsemaan odottamattomia ongelmia, johtaa väärään positiivisuuteen, hälytysväsymykseen ja näkyvyyden aukkoihin.

Oletetaan valmistuslaitos, jossa liikenne äkkiä kasvaa kello 14 tiistaina. Perinteinen valvonta voi laukaista hälytyksen, koska se ylittää ennalta määrätyn kynnyksen, mutta onko tämä todella ongelma? On mahdotonta tietää ilman syvempää dataa ja diagnostiikkaa. Kasvu voi olla osoitus laillista liiketoimintaa, kuten uutta vuorolistaa tai lisääntynyttä tuotantoa tavoitteiden saavuttamiseksi. Vaihtoehtoisesti se voi olla vakava turvallisuusuhka, kuten tietojen vuotaminen tai vaarantunut järjestelmä, joka lähettää signaaleja komentosolmuun.

Tässä poikkeamien havaitseminen parantaa infrastruktuurin valvonnan älykkyyttä. Tämä uusi menetelmä analysoi jatkuvasti historiallista dataa luodakseen älykkäitä perusarvoja, jotka sopeutuvat automaattisesti muuttuviin olosuhteisiin. Tämä lähestymistapa mahdollistaa enemmän proaktiivisen hälyttämisen, joka antaa IT-hallinnoitsijoille ja DevOps-tiimille enemmän aikaa puuttua ongelmaan ennen suuria vaikutuksia.

Verkkoliikenteen valvonta on hyvä esimerkki tästä toiminnassa. Infrastruktuurin valvontajärjestelmät keräävät erilaisia signaaleja, kuten lokit ja mittaukset. Loki on tapahtuma, joka on luotu järjestelmässä, kun taas mittaus on mitta. Ajan myötä nämä mittaukset kerätään ja esitetään aikasarjana, samoin kuin lämpötilan mittaaminen päivän aikana. Valvottavien verkkotilanteiden mittaamiseen sisältyy mittauksia, kuten saapuvien ja lähtevien lähetyssignaaleiden määrä, hylkäysten ja virheiden määrä sekä kokonaisen liikenteen läpimeno. Jos jotain on epänormaalia verrattuna säännölliseen suorituskykyyn, älykäs valvonta voi varmistaa, että oikeat hälytykset laukaistaan ja vältetään väärät positiiviset.

Tämän seurauksena infrastruktuuritiimit voivat keskittyä liiketoiminnan arvon toimittamiseen sen sijaan, että jatkuvasti hienosäätäisivät hälytysasetuksia ja sammuttaisivat ongelmia, jotka eivät välttämättä ole olemassa.

Hälytysduplikaation välttäminen

Valvonnan moninkertaistaminen voi aiheuttaa lisää haasteita luomalla enemmän hälytyksiä. Valvonta voi tulla sekavaksi ajan myötä, kun tiimit seuraavat uusia projekteja tai luovat lisää valvontaa vianmäärityksen tai testaamisen aikana. Pian siitä, mitä näytti olevan puhdas ja yksinkertainen valvontajärjestelmä, voi muuttua ylikuormitetuksi hälytyslabyrintiksi, joka peittää ongelmia sen sijaan, että valaisee niitä.

Esimerkiksi IT-tiimit saattavat saada hälytyksiä korkeasta prosessorin käytöstä, hitaasta sovelluksen vastausajasta ja verkkopakanista samasta ylikuormitetusta palvelimesta. Ilman ymmärrystä korrelaatiosta tiimit voivat tutkia kolmea erillistä ongelmaa sen sijaan, että ymmärtäisivät yhden alkuperäisen syyn.

Modernit AI-teknologiat, jotka on yhdistetty valvontaan, muuttavat tämän ongelman jälleen havaitsemalla automaattisesti samankaltaisia valvontakonfiguraatioita. Käyttämällä tekniikoita, kuten fuzzy-matemaattisia ja heuristisia menetelmiä, tämä lähestymistapa analysoi käyttäytymismalleja ja paljastaa korrelaatioita samankaltaisen valvonnan välillä, paljastaen piilotetut yhteydet.

Tämä on tärkeää kahdesta syystä. Ensinnäkin se vähentää hälytysmelua. Sen sijaan, että tiimit saisivat kolme erillistä hälytystä yhdestä ongelmasta, he saavat yhden hälytyksen, jossa on selkeä ymmärrys siitä, mitä on huomioitava ja miksi. Toiseksi se poistaa tarpeettoman valvonnan. Tämä auttaa luomaan hallitumpi asetelman, joka sujuvoittaa kojut ja vähentää kognitiivista kuormitusta.

Älykkään valvonnan tulevaisuus

Muita verkkoturva- ja tietoturvakehityksiä tukee myös tapausta lisättyä valvontaa, kun monimutkaisuus jatkuu kasvamassa eksponentiaalisesti. Mitä aiemmin olivat erilliset, ilmatyynät teollisuusverkot ovat nyt verkostoituneet yritysjärjestelmien kanssa, luoden hybridiympäristöjä, joissa yksi verkkoongelma voi vaikuttaa sekä tuotantolinjoille että liiketoimintasovelluksiin. Ja me näemme tämän yhdistymisen modernin pinon yli.

Teolliset IoT-sensorit, reuna-porteet ja OT-laitteet viestivät nyt rinnakkain standardien IT-protokollien kanssa. Kun nämä monimuotoiset järjestelmät kokevat ongelmia, hallinnoitsijat vaativat valvontaa, joka ymmärtää suhteita ekosysteemin yli sen sijaan, että kohtelee niitä erillisinä siloina. Valppaus on ehdoton, koska onnistunut hyökkäys voi pysäyttää tuotantolinjat, vahingoittaa kalliita laitteita ja aiheuttaa turvallisuusriskejä. Itse asiassa suunnittelematon katko maksaa nyt Fortune Global 500 -yrityksille 11 % vuotuisesta liikevaihdostaan, korostaen, että älykkään valvonnan kustannukset ovat merkittävästi vähäisemmät kuin manuaalisen vianmäärityksen ja tuotannon menetyksen kustannukset.

Sillä välin on selvää, ettei ole pakoa, että hakkereiden toisella puolella tietoturvalaskelmia käytetään tällä tekniikalla tuottavuusläpimurroksi hyökätä laajamittaisesti. Ilmaiset tai edulliset generatiiviset AI-kielimallit (LLM) mahdollistavat hakkereiden luoda ja muuttaa hyökkäyksiä vähäisillä kustannuksilla. Ja ajan myötä on selvää, että pahantahtoiset toimijat näkevät yhä enenevissä määrin AI:n pelinmuuttajana. Tänään 7 hakkereista 10 uskoo, että teknologia ja sen työkalut parantavat hakkerointia, kun taas vuonna 2023 vain kaksi hakkereista 10 uskoi.

Nykyiset poikkeamien havaitsemisalgoritmit perustuvat matematiikkaan ja tilastoihin, jotka on vakiinnutettu vuosikymmenien ajan. Tämä teknologia toimii, mutta AI:n ja LLM:n soveltaminen mittausvalvontaan on pelinmuuttaja. Näemme joitakin ensimmäisiä aikasarjapohjaisia LLM-malleja markkinoilla, ja voidaan odottaa, että se muuttaa poikkeamien havaitsemista seuraavien kahden vuoden aikana. Useat näistä uusista malleista osoittavat erinomaista tarkkuutta ja edistystä.

Valinta on nyt IT- ja operaatiotiimien, miten he parhaiten valvovat ekosysteemejään ja torjuvat uhkia. Hyvä uutinen on, että automaattinen poikkeamien havaitseminen ja perusarvon valvonta voivat auttaa paremmin suojelemaan varoja samalla, kun ne oppivat, sopeutuvat ja optimoivat, mikä puolestaan mahdollistaa tehokkaamman kapasiteetin suunnittelun ja resurssien optimoinnin. Perussäännön mukaiset ylös/alas -tarkistukset ovat edelleen arvokkaita, mutta – kun yksi ongelma voi aiheuttaa vaikutuksia IT-, OT- ja IoT-järjestelmiin – meidän on tarve älykkäitä konteksteja perustana. Infrastruktuurin puolustajat voivat vastata tilanteeseen skaalauttamalla näkyvyyttään vastaavasti.