iStock
Avec Grail, Dynatrace veut chasser sur les terres de Splunk
Les dirigeants de Dynatrace ont dévoilé des plans audacieux à long terme pour développer des solutions propulsées à l’IA consacrées à la cybersécurité.
La vulnérabilité découverte dans la librairie Log4j 2 a ébranlé les DSI lorsqu’elle a été révélée fin 2021. L’exploitation Log4Shell était à la fois critique, car elle permettait aux attaquants d’exécuter du code à distance sur les systèmes vulnérables et répandue, car elle touchait un composant open source souvent utilisé dans les applications d’entreprise. Pire encore, il était difficile pour la plupart des entreprises de détecter si elles possédaient des versions vulnérables de Log4j, et, où, en raison des lacunes dans la sécurité de la chaîne d’approvisionnement des logiciels.
Mais les clients de Dynatrace présents à la conférence des utilisateurs Perform cette semaine ont déclaré que le module de sécurité applicatif de l’éditeur les a aidés à repérer les instances vulnérables de Log4j.
« Nous l’avons utilisé pendant l’épisode Log4j, où nous avons dû identifier les systèmes qui risquaient d’être compromis, et il nous a permis de les trouver très rapidement avant même que nous ayons [un incident] », affirme Dave Catanoso, directeur par intérim de l’hébergement des applications, du cloud et des solutions Edge, des opérations d’infrastructure au département des anciens combattants des États-Unis, lors d’un panel de clients à la conférence.
Le département des anciens combattants n’est pas le seul à avoir vécu cette expérience, selon un analyste.
« Dans de nombreux cas, Dynatrace a identifié les applications vulnérables plus rapidement que les outils de sécurité dédiés » pour plusieurs de ses clients, déclare Gregg Siegfried, analyste chez Gartner.
Un autre client de Dynatrace, Michael Cabrera, directeur SRE de la société de domotique Vivint Smart Home, confirme ces dires.
« Non seulement Dynatrace m’a aidé à localiser l’endroit où se trouvait la vulnérabilité, mais il m’a également aidé à valider le moment où elle a disparu et a été corrigée », témoigne-t-il.
Proposer un SIEM propulsé à l’IA, l’ambition du CTO de Dynatrace
Aujourd’hui, les dirigeants de Dynatrace veulent explicitement concurrencer un ensemble plus large d’outils consacrés à la sécurité des systèmes. Pour ce faire, l’éditeur austro-américain mise sur son « Lakehouse » Grail, lancé en octobre dernier.
« Nous allons bouleverser la façon dont fonctionnent les SIEM existants » vante Bernd Greifeneder, fondateur et directeur technique de Dynatrace, lors du keynote de Perform 2023. « Nous allons révolutionner l’analyse de la sécurité pour le renseignement sur les menaces, car avec Grail, nous allons au-delà des simples logs ».
Si Dynatrace a des aspirations au-delà des logs, Grail représente également une nouvelle tentative d’améliorer la prise en charge de ces données par Dynatrace. Les analyses de logs sont clairement le premier point d’attaque dans les plans concurrentiels de la société – à savoir, les fournisseurs d’analyses de logs qui sont déjà établis dans le domaine de la sécurité, tel que Splunk et Sumo Logic.
Le nouveau langage de requête de Dynatrace a été conçu pour attirer les professionnels de l’informatique qui connaissent le langage de requête de Splunk, afin de faciliter la migration vers Grail, affirme le CTO lors de sa présentation, sous les applaudissements de l’auditoire.
Il s’agit de plans à long terme, tempère Bob Wambach, vice-président du marketing produit chez Dynatrace, lors d’un entretien ultérieur avec la rédaction de TechTarget [propriétaire du MagIT].
« Nous n’essaierons pas d’être un éditeur de SIEM cette année », ajoute-t-il. « Mais il y a des clients qui regardent la puissance que nous avons dans les données ; il y a une demande certaine du marché ».
Certaines entreprises clientes déjà profondément investies dans Dynatrace ont déclaré qu’elles se préparaient à consolider les outils d’analyse de logs sur Grail et Dynatrace Application Security.
« La rétention avec Splunk est difficile, car elle est directement liée au coût », a déclaré Cabrera, qui utilise les outils AIOps de Dynatrace pour gérer les performances et la fiabilité des applications.
Splunk a introduit de nouvelles alternatives tarifaires en réponse aux plaintes des clients concernant les coûts en 2021, mais cela n’a pas aidé dans son cas, avance Michael Cabrera.
« [La tarification Splunk] est une raison pour laquelle je commence à utiliser de plus en plus la journalisation Dynatrace », ajoute-t-il. « Avec l’arrivée de Grail, je pourrais tout avoir sous un même toit ».
Le test de l’analyse des logs dans Grail a déjà amené un autre client – Ken Schirrmacher, directeur technique et DSI chez Park N'Fly, une société de services de voyage à Atlanta – à prévoir de remplacer Sumo Logic. Les prochaines améliorations apportées à Grail, dévoilées cette semaine, pourraient également l’aider à mieux concurrencer Splunk, selon lui.
Ces nouvelles fonctionnalités comprennent des rapports automatisés et personnalisables, des Notebooks pour explorer de manière collaborative les données et des visualisations plus flexibles. Autant d’éléments qui poussent Ken Schirrmacher à attendre Dynatrace au tournant.
« Lorsque nous avons eu [accès à Grail] pour la première fois, c’était un environnement assez riche en fonctionnalités, mais la première chose qui lui manquait était la robustesse de ses capacités de reporting », note-t-il. « Ce que j’ai suggéré [à Dynatrace], c’est de trouver un moyen d’utiliser le ML ou n’importe quel algorithme pour créer automatiquement des rapports et n’importe quel [tableau de bord]. […]Cela faciliterait mon travail. »
Lors d’une conférence téléphonique pour présenter les résultats financiers de l’entreprise au début du mois de février, les responsables de Dynatrace affirmaient qu’une dizaine de clients ont opté pour l’offre et qu’environ 160 POC sont en cours. D’autres clients de Dynatrace se sont montrés plus prudents concernant Grail.
« Avec ces annonces, il est clair que nous allons devoir avoir un chemin de migration pour profiter de Grail et du SaaS », remarque Randy Hunter, vice-président senior de l’informatique chez America First Credit Union, une coopérative de gestion de crédits américaine. « Mais nous avons besoin de mieux comprendre ce que fait Grail pour savoir où il s’intègre. Pour l’instant, nous n’avons pas l’intention de remplacer Splunk ».
Les entrailles de Grail, le lakehouse de Dynatrace
Sous-jacente au service SaaS Dynatrace hébergé sur AWS, la plateforme Grail est une architecture Lakehouse dite « schema-on-read » et sans index. En clair, elle peut ingérer et stocker en mode objet (dans des buckets S3) tout type de données (structurées, semi-structurées ou non structurées) dans divers formats natifs. La structure de données sera appliquée à la lecture. C’est une approche différente de la plupart des acteurs du marché réunis auprès d’AWS pour tenter de démocratiser le schéma OCSF. A contrario de Dynatrace, ces acteurs veulent normaliser les données avant leur ingestion par les plateformes de télémétrie.
Le fait que Dynatrace n’indexe pas les données doit autoriser une plus grande souplesse au moment d’interroger les données. En principe, l’absence d’indexation indique que la plateforme n’a pas besoin que les données soient stockées plusieurs fois, ou réhydratées au moment de rafraîchir les données les plus fréquemment interrogées, placées dans une couche de cache. Cela réduirait le coût de stockage et ne nécessiterait pas de gérer le tiering.
Or l’approche inverse, dite schema-on-write, en combinaison avec l’indexation ont été mises en place pour soutenir la performance de systèmes analytiques de pointe. Les concurrents de Dynatrace, dont Splunk, s’appuient sur ces techniques.
Pour assurer un niveau de performance similaire (voire supérieur, selon ses dires), Dynatrace a adopté un moteur de traitement massivement parallèle (MPP). Il est couplé à son langage de requêtes DQL (Dynatrace Query Language), inspiré de Splunk SQL, et donc du SQL, mais aussi de GraphQL. DQL est voué à remplacer son ancien langage LQL dans ce contexte. Cela permet d’interroger les données à la volée, en quasi-temps réel, et d’appliquer les règles du moteur Davis dans la même temporalité.
Ainsi, en façade de Grail, un point de terminaison permet d’ingérer les données qui sont transformées et enrichies avec des champs additionnels à travers un pipeline, puis stockées dans des tables lisibles par DQL au sein de buckets S3.
Bernd Greifeneder affirme que l’architecture en question peut stocker et traiter « 1 000 pétaoctets par jour ». De manière plus réaliste, les ingénieurs de l’éditeur précisent que les clients peuvent ingérer 100 téraoctets de données par jour par tenant. Grail peut traiter un téraoctet de données en une seconde, mais pour cela le moteur MPP exploite 1 000 cœurs.
Si Dynatrace ne semble pas proposer d’options de stockage à froid, il est possible de déterminer la durée de rétention des logs (par défaut 35 jours, 1 an ou 3 ans). L’éditeur ne dit pas si lui-même utilise les fonctions de tiering automatisées de certains services de stockage objet.
L’éditeur a bien compris que s’il souhaite devenir la plateforme unique de traitement de données pour les équipes de sécurité, il ne peut plus compter seulement sur OneAgent. Comme il avait déjà commencé à le faire, l’éditeur prend en charge plusieurs API, dont les collecteurs OpenTelemetry.
S’il prétend que son approche est moins coûteuse, Dynatrace facture bien un nombre de crédits à l’ingestion, au stockage (certaines données peuvent être ingérées, mais non stockées) et à la requête, suivant le volume traité, exprimé en gigaoctet. Il est donc difficile de dire actuellement si la solution coûte moins cher.
L’IA au service de la sécurité n’est pour l’instant qu’un « discours »
Les analystes se sont également montrés prudents quant aux projets de Dynatrace de pénétrer dans des catégories de produits de sécurité telles que les SIEM.
« Peu d’organisations cherchent à remplacer les outils de sécurité existants par quelque chose comme ça… en tout cas pas encore », signale Gregg Siegfried. « Mais il y a beaucoup d’opportunités à saisir [pour Dynatrace] dans l’approche DevSecOps, la gestion des vulnérabilités et l’analyse de la composition des logiciels – c’est plus probablement là qu’ils iront. »
À condition que Grail fonctionne comme prévu, prévient Andy Thurai, vice-président et analyste principal chez Constellation Research. Dynatrace doit encore ajouter des fonctionnalités clés, telles que la prise en charge des traces distribuées et des métriques, qui devraient être livrées au cours du prochain trimestre.
« J’ai besoin de voir des preuves parce que tout cela n’est qu’une sorte de discours pour moi à ce stade », affirme l’analyste. « Grail est une bonne annonce… mais j’ai besoin d’en voir plus. Quand je dis que je cherche un SIEM, est-ce que Dynatrace me vient à l’esprit en premier ? Absolument pas. Splunk reste le maître du jeu, ainsi que les nouveaux acteurs de l’analyse de logs. »
Pourtant, les entreprises sont désireuses de consolider le nombre d’outils qu’elles utilisent dans un contexte macroéconomique turbulent. Et alors que les logiciels de cybersécurité sont proposés par des éditeurs établis, l’IA appliquée à la sécurité est encore un domaine suffisamment jeune pour que de nouveaux concurrents puissent percer, selon Carlos Casanova, analyste chez Forrester.
« Je considère simplement qu’un nouveau fournisseur entre sur ce marché, et je ne m’attends pas à ce que Dynatrace soit le seul à le faire », indique-t-il. « Dynatrace offre des capacités très similaires [aux éditeurs de solutions analytiques de sécurité] concernant l’ingestion, l’analyse de données et la détection d’activité en vue d’une prise de décision éventuelle. » Outre les spécialistes de l’observabilité, Microsoft avec son offre Azure Sentinel, Google avec Chronicle, et AWS avec Security Lake sont également entrés dans la danse.