K problematice monitorování sítí jste dostal při studiu na Ústavu výpočetní techniky Masarykovy univerzity v Brně. Jak tehdy tato oblast vypadala?

Oblasti monitorování a analýzy provozu datových sítí se věnuji od roku 2006. Technologie NetFlow existovala již v té době, ale nebyla zdaleka tak populární jako dnes. Existovaly už i sondy Flowmon vyvinuté na CESNETu skupinou vedenou Jiřím Novotným. Monitoring probíhal výhradně na vrstvách L3/L4. Analýza aplikační vrstvy byla hudbou budoucnosti. Výstupy monitorovacích sond a obecně technologie NetFlow se využívala zejména v páteřních sítích pro provozní účely, kapacitní plánování nebo účtování provozu. Aplikace v oblasti bezpečnosti byly zcela na začátku.

Myšlenka aplikovat technologii NetFlow také pro bezpečnost se na MU objevila v roce 2006. Konkrétní obrysy potom dostala v projektu CAMNEP pro americkou armádu, na kterém jste spolupracoval. Jak důležité byly jeho výsledky pro rozvoj problematiky u nás?

Řekl bych, že idea jako taková se objevila v roce 2006, kdy návrh projektu CAMNEP podali americké armádě společně ČVUT v Praze a ÚVT MU v Brně. V roce 2007 pak projekt startoval. Jeho cílem bylo využít NetFlow v oblasti bezpečnosti a navrhnout algoritmy, které jsou schopny detekovat anomálie a útoky právě analýzou třetí a čtvrté vrstvy. Dosud známé metody a přístupy spoléhaly na signatury, tím pádem nebylo možné detekovat nové a dosud nepopsané hrozby. Projekt CAMNEP byl tedy pro behaviorální analýzu u nás zásadní. Na jeho základě a na zkušenostech získaných v tomto projektu jsme později vyvinuli náš Anomaly Detection System a významně posunuli řešení Flowmon do oblasti bezpečnosti. Projekt CAMNEP byl významný i pro ČVUT. Na jeho základě vznikla společnost Cognitive Security, kterou později koupilo Cisco a dnes je součástí portfolia tohoto globálního hráče. Od původní myšlenky behaviorální analýzy flow statistik se však Cognitive posunulo směrem k analýze logů proxy serverů.

Společnost Flowmon Networks vznikla v roce 2007 v Brně. Její produkty pomáhají organizacím spravovat a zabezpečovat jejich síťovou infrastrukturu prostřednictvím moderní technologie monitorování a analýzy chování počítačových sítí na bázi datových toků (NetFlow/IPFIX).

Ještě jako ředitel společnosti AdvaICT jste poté stál u zrodu zmíněného řešení Flowmon ADS. To využívá principů strojového učení a metod umělé inteligence pro pokročilou detekci anomálií, nežádoucího chování a hrozeb v síti – technologie behaviorální analýzy sítě (NBA nebo též NBAD). Jaké byly první reakce zákazníků na tuto novou technologii?

Naše ADS bylo něco úplně nového. Vlastně i sondy a kolektory byla v ČR nová technologie a tak k prosazení řešení na trhu vedla poměrně dlouhá cesta. Museli jsme se vypořádat s pozicováním ADS vůči existujícím technologiím a prokázat, že výstupy našeho systému jsou relevantní a užitečné. Hlavním faktorem úspěchu byly pilotní projekty, které našim zákazníkům otevřely oči. Přece jen, vidět ve vlastní síti stanice infikované malwarem je silný zážitek.

Flowmon ADS reagoval na skutečnost, že samotná ochrana perimetru, na kterou se organizace při ochraně sítí před kybernetickými útoky spoléhaly, přestala sama o sobě stačit. S nástupem trendů jako BYOD, cloud, IoT už není přístup do sítě zajišťován pouze skrze přesně vymezený perimetr…

BYOD a IoT jednoznačně hýbou celým podnikovým prostředím. Potřeba monitoringu a bezpečnosti se jednoznačně zvyšuje. Pokud umožníte zaměstnancům používat vlastní zařízení, ztrácíte nad nimi určitou kontrolu. Tu musíte jednoznačně nahradit velmi dobrým monitoringem. IoT zase propojuje virtuální svět se světem skutečným. Kybernetické hrozby se tak stávají skutečně viditelné, mají reálný dopad. Cloud osobně vnímám jen jako způsob poskytování IT řešení. Zákazníci dnes mají možnost volby a mohou se rozhodnout, jak chtějí svoje služby a aplikace konzumovat. Flowmon jim bude fungovat v obou případech a pokud chtějí, mohou kolektor provozovat v cloudu. Řada našich zákazníků to tak koneckonců dělá a trend je jasný. Počet prodaných virtuálních řešení rok od roku roste.

Řešení Flowmon je jedničkou na českém trhu NBA řešení, a to jak co do funkčnosti a podpory, tak do počtu zákazníků. S detekcí anomálií a hrozeb pomáhá například O₂ IT Services, Raiffeisenbank, Seznam.cz, Vládě české republiky, armádě ČR nebo Burze cenných papírů Praha.

Flowmon ADS zlepšuje detekční schopnosti organizace. Vaše řešení ale není jen o jednom modulu. Jak to celé jde dohromady?

NBA je skutečně především o včasné detekci. Flowmon ale nabízí zákazníkovi ucelené a integrované řešení. To využije nejen pro detekci, ale také pro analýzu dopadů hrozby nebo útoku nebo obnovu po incidentu případně forenzní analýzu stop útočníka v síťovém provozu. Takto ucelená řešení běžně na trhu nenajdete a pokud ano, tak jsou určena pro ty největší společnosti a pro ostatní jsou prakticky nedostupná. Takže, kdybych to měl shrnout, hlavní výhodu vidím v integraci technologií NPMD, NBA a APM do jednoho řešení. Velmi dobře se navzájem doplňují.

Vedle bezpečnosti nabízíte také řešení pro provozní troubleshooting, monitoring výkonnosti aplikací nebo boj s DDoS útoky. Vše to nějakým způsobem souvisí s viditelností do toho, co se ve firemním IT děje. Na své pozici jste zodpovědný za návrh a vývoj produktů Flowmon. Co dalšího můžeme od Flowmonu očekávat?

V současné době máme velmi vyspělé řešení v oblasti Network Performance Monitoring and Diagnostics a Network Behavior Analysis. Naše síťové sondy jsou nejvýkonnější na světě. Kolektor po deseti letech vývoje nabízí výkon a flexibilitu, která nemá obdoby. Behaviorální analýzu používá několik stovek zákazníků. Náš vývoj nyní směřujeme do oblastí APM a DDoS, které jsou pro nás relativně nové. Po dvou letech vývoje je náš DDoS Defender schopen konkurovat zavedeným hráčům na trhu a počet uživatelů se rozšiřuje. Velkou novinku chystáme letos v řešení pro monitorování výkonnosti aplikací, Flowmon APM. Všichni jeho uživatelé se mohou těšit na aktivní monitoring dostupnosti a odezvy aplikací, samozřejmě včetně SLA reportingu a komplexní správy testovacích scénářů. Je to pro nás poprvé, kdy se pouštíme do aktivního monitoringu. Letošní rok je pro nás zlomový ještě v jedné věci. Startujeme celkem pět nových projektů, které definují naši roadmapu na 3-4 roky dopředu. Za hlavní dlouhodobý cíl považuji prohloubení vlastností Flowmonu v oblasti IT Operations Aanalytics, která se týká zejména zjednodušování nástrojů a jejich obohacování o vlastní inteligenci. Systém vám například sám řekne, kde je problém, jaký je jeho rozsah a dopad, i co je jeho pravděpodobnou příčinou. Rovněž jsme nastartovali projekt nového uživatelského rozhraní. Nečekejte ale facelift, nezůstane kámen na kameni.

Pracujete také na rozšiřování ekosystému vašich technologických partnerů. Jakým způsobem si je vybíráte?

Jsou to jednoznačně technologická kompatibilita a podpora našeho businessu. V minulém roce jsme mezi technologické partnery zařadili například společnost Gigamon nebo IXIA. To jsou globální hráči v oblasti TAPů a packet brokerů, tedy řešení na které my přímo navazujeme. Je důležité ukázat zákazníkům a obchodním partnerům, jak vybudovat celé řešení u zákazníka, z jakých komponent ho postavit a jak na sebe tyto komponenty navazují. V oblasti DDoS jsou naše produkty kompatibilní a spolupracují se všemi hlavními hráči, tedy Radware, F5, A10. Díky tomu má zákazník volbu svého preferovaného řešení pro mitigaci útoků, jehož činnost řídíme my prostřednictvím příslušných API.

Flowmon letos oslaví deset let na trhu. Pokud se podíváte do budoucna, jak podle vás bude monitoring a správa sítí vypadat? Naplní se vize Cisca o sítích, které jsou schopny se samy bránit?

Jednoznačně ano. Vidíme snahu o konsolidaci a integraci produktového portfolia. Cisco v tom udělalo za posledních pár let velký kus práce. Schopnost infrastruktury bránit se není hudba vzdálené budoucnosti. Nakonec, s Flowmonem jsme aktivní součástí této změny. V Japonsku jsme v loňském roce ve spolupráci s Ciscem ukázali, jak je možné prostřednictvím Flowmon ADS detekovat útok a díky integraci s Cisco APIC kontrolerem okamžitě reagovat odpojením příslušného zařízení od sítě. Domnívám se, že v budoucnu bude možné více funkcí sítě řídit prostřednictvím standardizovaných API. Bude tak možné proces správy sítě a nasazení nových zařízení nebo služeb významně automatizovat. Pro nás je důležité pokračovat v nastoupené cestě monitoringu sítí s viditelností do aplikační vrstvy a být nepostradatelným nástrojem moderního správce sítě, bezpečnostního specialisty i správce aplikací.

Lukáš Dolníček