Security managementSicurezza

Apache Spot, il volto open source di Open Network Insight

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Follow on: Linkedin

Intel e Cloudera cedono in open source ONI, dando il via al progetto Apache Spot per la sicurezza delle reti

Una delle direttrici di sviluppo più promettenti per le soluzioni di protezione delle reti sta nell’applicare tecniche di machine learning ai profili del traffico generato dai nodi e dalle risorse in rete, per definire un profilo “sano” di base e identificare velocemente le anomalie che possono indicare violazioni della rete o compromissioni via malware di alcuni nodi. Il problema è che non esiste ancora una vera “lingua” comune per la gestione di queste informazioni e non è detto che le soluzioni siano interoperabili fra loro. Per questo ora è nato il progetto open source Apache Spot.

Apache Spot non è una novità in assoluto. È il nuovo volto open source del progetto Open Network Insight (ONI), annunciato lo scorso febbraio e portato avanti da Intel e Cloudera. Le due aziende ritengono ora che il progetto possa procedere meglio come open source, sia per sfruttare le competenze della community che vi si creerà intorno sia per garantire che la sua base tecnologica sia davvero comune e a disposizione di qualsiasi sviluppatore. Per non restare, insomma, l’ennesima tecnologia che si crea un suo mercato di utenti e non va oltre quello.

Una schermata della Cyber Security Intelligence in azione
Una schermata della Cyber Security Intelligence di Accenture, basata su ONI

In sintesi, Apache Spot monitora quattro livelli di traffico: perimetrale, verso i DNS, ai proxy e interno alla rete da controllare. È progettato in logica Big Data, ossia è in grado di registrare da migliaia a miliardi di eventi sulla rete registrandoli in un sistema Hadoop. Grazie anche a Spark esegue un’analisi in tempo reale degli eventi registrati e già dopo un giorno, secondo la descrizione del progetto, sa distinguere i comportamenti anomali sulla rete dalla “baseline” normale. Ovviamente la capacità di individuazione delle minacce migliora con il tempo.

Le sue funzioni di machine learning identificano gli eventi meno probabili – ad esempio connessioni sospette ai nodi di rete – per isolarli e analizzarli ulteriormente alla ricerca di eventuali pattern di comportamento non individuati prima. Solo gli eventi segno di minacce “credibili” sono segnalati, dopo averli eventualmente arricchiti con informazioni di contesto ricavate anche da fonti esterne.

Whitepaper – Sei interessato ad approfondire l’argomento?  Scarica il whitepaper  Protezione della rete e dell’infrastruttura applicativa