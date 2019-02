Er zijn veel bedrijven die nu investeren in security analytics tools, maar dat werkt niet als je geen data hebt. Dan is het een nutteloze investering, denkt Van Rotterdam, executive vice president of engineering bij Citrix. Juist dat vindt hij het grote voordeel van de schaal van een aanbieder als Citrix. "We hebben heel veel on prem klanten die naar onze cloud gaan." Zo heeft Citrix 100 miljoen eindgebruikers die hun data naar ons opsturen. "Daarnaast hebben we inzicht in het wereldwijde internetverkeer. We hebben dus meer dan voldoende data voor goede analytics." Alleen zegt dat het precies. Meer dan genoeg, als in: veel te veel.

Jeroen van Rotterdam, executive vice president of engineering bij Citrix

Achterliggende strategie

Maar eerst even wat achtergrond. Citrix wil met zijn platform abstraheren van de onderliggende complexiteit van IT, niet alleen voor de eindgebruiker maar ook voor IT. Deze complexiteit wordt, kort gezegd, veroorzaakt door de gefragmenteerde infrastructuur als gevolg van de verschillende oplossingen die worden ingezet, zoals SaaS-tools, meerdere clouds en on prem. En deze complexiteit wordt volgens Van Rotterdam alleen maar groter doordat de business IT pusht om steeds sneller te gaan.

Citrix probeert daarom applicaties logisch bij elkaar te brengen en dus bij elkaar horende handelingen op elkaar te laten aansluiten in een intelligente werkomgeving die bovenop de infrastructuur ligt, zo geeft Van Rotterdam aan. Daarin moet analytics een grote rol gaan vervullen. Met behulp van analytics moeten de gebruikers suggesties gaan krijgen die hun werk makkelijker maken. Of bepaalde activiteiten moeten zelfs helemaal worden geautomatiseerd. "Zo druk ik elke vrijdag weer in een app op 'approve' voor dezelfde hoeveelheid bagels op kantoor. Dat zou ik niet moeten hoeven doen, omdat het systeem dat ook zelf kan. Als de drijfveer achter een handeling duidelijk is, dan kun je het automatiseren."

Als een organisatie zijn drijfveren goed kent, dan heeft Citrix aanvullend daarop inzicht in het gebruik van applicaties, in het netwerkverkeer, de content en de data. "Dus dan kun je gaan automatiseren", vindt Van Rotterdam. "Wij werken nu aan zulke oplossingen op het gebied van beveiliging, performance en productiviteit."

De kosten van meer signalen

Een jaar geleden heeft Citrix Security Analytics op de markt gebracht, wat vanaf 2016 in ontwikkeling was. Daarmee worden patronen ontdekt in het gebruik van applicaties en moet afwijkend gedrag in het netwerk worden opgemerkt, waarna iemand er actie op kan ondernemen. Maar in de eerste tijd dat het product live was, waren er relatief veel false positives, vertelt Van Rotterdam daarover. "En false positives zijn killing", benadrukt hij. "Ze betekenen namelijk heel veel extra werk voor mensen die ze moeten controleren." Gelukkig ging, naarmate er meer data beschikbaar kwam, het aantal false positives steeds verder omlaag. Het systeem leerde van zijn eigen fouten.

Alleen gaat dat aantal false positives nu, na een jaar, niet of nauwelijks meer omlaag, hoeveel data er ook wordt toegevoegd, zo gaat Van Rotterdam verder. Nog meer data levert dus geen beter systeem op, merkte Citrix, maar er zijn wel kosten verbonden aan meer data. De waarde van data moet je daarom altijd zien ten opzichte van de investering in het beheer van die data. Zo kost het alleen al geld om signalen te verzamelen. Maar meer signalen kosten ook meer opslagruimte en het kost netwerk. En vooral kost het tijd om een grotere hoeveelheid signalen te verwerken. En dus gaat het ten koste van de responsiviteit van je systeem als je steeds maar signalen toevoegt. Deep learning kost namelijk tijd en dat levert steeds meer latency op, iets wat je absoluut niet wilt als het om security gaat.

Spelen met data

"Zo'n tien á vijftien signalen is genoeg", denkt Van Rotterdam. Het is dan ook de truc om genoeg te verzamelen, maar niet te veel. "Bovendien is het zaak om heel selectief te zijn in welke signalen je aan je analytics toevoegt. Wij testen daarom steeds modellen. We openen een kraan van een bepaald signaal en kijken dan of het significante verbetering oplevert van de prestaties. Als dat niet het geval is, dan doen we die kraan weer dicht." Dat kan natuurlijk alleen als je genoeg data hebt en die data ook voldoende hebt gestructureerd.

Dit is van toepassing op heel veel analytics use cases, stelt Van Rotterdam. "We zien het nu heel duidelijk bij Security Analytics en ik verwacht dat we hetzelfde gaan zien bij Productivity Analytics, dat we nu aan het ontwikkelen zijn. Dat is het interessante van analytics. Je bent altijd op zoek naar het optimum."