Interview mit Elastic-CEO Ash Kulkarni
Beobachten und schützen
Fortsetzung des Artikels von Teil 1
Datenanalyst im Security-Markt
LANline: Der Security-Markt ist ein Feld, das bereits sehr viele und starke Player aufweist. Wie wollen Sie sich hier gegen den Mitbewerb durchsetzen?
Ash Kulkarni: Im Security-Umfeld liegt der größte Mehrwert darin, Daten schnell durchsuchen, analysieren und erkennen zu können, wo Anomalien vorliegen. Die anderen Anbieter haben als Security-Anbieter begonnen und versuchen jetzt, eine Datenplattform zu bauen, die es ihnen erlaubt, ihre Analysefunktionen zu skalieren. Elasticsearch war von Beginn an eine Datenanalyse-Plattform, die es ermöglicht, viele PBytes unstrukturierter Daten mit unglaublichem Tempo zu durchsuchen, schneller als jede andere Technologie. Wir haben also einen natürlichen Vorteil. Der ausgereifteste Teil unseres Security-Portfolios ist SIEM. Hier haben wir enorme Vorteile gegenüber anderen Anbietern, deshalb sehen wir hier viel positives Momentum. Unser XDR-Produkt ist erst ein paar Monate alt. Ich erwarte, dass wir für diesen Bereich in den nächsten zwölf bis 18 Monaten wachsende Marktakzeptanz sehen werden. Und schließlich erwarte ich aufgrund unserer Akquisitionen von Cmd und Build.security, die uns Cloud-Posture-Management und Cloud Workload Protection brachten, eine ähnliche Dynamik bei der Cloud-Security.
LANline: Elastic bringt seine Datenanalyse-Historie ein, Security-Spezialisten ihre Expertise in Sicherheitsfragen, von der Threat Intelligence bis zur Incident Response. Welche Pläne haben Sie, die Security-Kompetenzen von Elastic zu erweitern?
Ash Kulkarni: Wir haben viel Erfahrung im SIEM-Bereich und werden uns in diesem Markt weiterhin extrem gut schlagen. Wir haben viel in Bedrohungsforschung investiert, aber das ist ein Bereich, in dem wir noch wachsen und Muskeln aufbauen. Kürzlich hat Elastic zum Beispiel per Machine Learning eine Malware aufgespürt, die wir Blister getauft haben. Als wir die Malware entdeckt haben, war fast kein Beispiel dafür auf VirusTotal vorhanden. Zudem haben wir große Kompetenz bei Linux. In einer Welt, die sich in Richtung Linux orientiert, verliert ein Fokus auf Windows an Wert. Endpoints mögen weiterhin auf Windows laufen, aber die Workloads laufen nun auf Linux, selbst Azure selbst ist vorrangig Linux. Das Bedrohungsprofil ist hier aber ein ganz anderes als bei Windows. Was hier zählt, sind Dinge wie eBPF (Extended Berkeley Packet Filter), um in den Kernel schauen zu können und Details über Events zu erhalten, um beispielsweise zu sehen, ob jemand versucht, seine Zugriffsprivilegien zu erhöhen oder einen Host zu kapern.
LANline: In welche Richtung wird sich Ihre Observability-Lösung weiterentwickeln?
Ash Kulkarni: Früher nutzte man Lösungen anderer Anbieter für das System-Monitoring, und wenn Alarme auftraten, schaute man mit Elastic in den Logs nach, was genau schiefgelaufen war. Über die Jahre haben wir hier unser Portfolio ausgebaut, erst APM, dann Infrastruktur-Monitoring, kürzlich das Monitoring Kubernetes-orchestrierter Systeme mit der Option, Dinge direkt aus der CI/CD-Pipeline heraus zu überwachen, dank der Akquisition von Build.security. Wir kommen also heute zunehmend für die „erste Fensterscheibe“ („frist pane of glass“) zum Einsatz – für die Definition der Alarme und Regeln – und nicht mehr wie früher für das „letzte Fenster“, nämlich die Logs. Eine interessante Dimension dieser Entwicklung: Observability und Security nähern sich immer stärker aneinander an. In Observability geht es vor allem um Visibilität, in der Security darum, in diesen Daten Einbruchsspuren (Indicators of Compromise) zu finden. Die Daten sind dabei oft die gleichen, auch wenn die Heuristiken und Modelle verschieden sind. Es liegt aber ein großer Mehrwert darin, die Dinge von beiden Seiten zu betrachten. In unserem Lizenzmodell verkaufen wir die Produkte nicht separat: Wir berechnen den Preis nach konsumierten Ressourcen, nicht pro Einsatzzweck. Man kann unsere Software also zunächst für einen Einsatzfall nutzen und dann für weitere. Das hast sich für uns als großer Wachstumsmotor erwiesen.
LANline: Wie entwickelt sich das Geschäft hier in Deutschland?
Ash Kulkarni: Ein signifikanter Teil unseres Umsatzes kommt von außerhalb der USA. Deutschland ist eine starke Region für uns, Jörg (Hesske, Elastics AVP für Zentral- und Osteuropa, d.Red.) hat hier ein wunderbares Team aufgebaut. Viele Kunden haben unsere Software für Security, Search oder Observability erworben, nun diskutiere ich mit ihnen darüber, Elastic als Plattform zu verstehen: Wie können sie Elastic für mehrere Use Cases nutzen und ihrer IT dadurch das Leben erleichtern? Das verschafft ihnen zugleich Preisvorteile und Spielraum für die Überlegung, Bestandslösungen zu ersetzen.
LANline: Inwieweit eignet sich Elastic auch für mittelständische Anwenderunternehmen?
Ash Kulkarni: Wir haben rund 17.000 Anwenderunternehmen, letztes Quartal kamen 1.000 neue hinzu. Die meisten stoßen über Elastic Cloud zu uns. Das SaaS-Angebot kann man einfacher in Betrieb nehmen (als lokale Software, d.Red.), auf Monatsbasis bezahlen, hat keinen Aufwand mit der Konfiguration – es macht das Leben für mittelständische Unternehmen also viel effizienter. Der Kunde entscheidet dabei über die Lokation – AWS in Frankfurt, GCP in Amsterdam ... – und wo die Daten gespeichert werden dürfen. Damit entspricht Elastic Cloud allen Datenanforderungen, die ein Unternehmen haben könnte.
LANline: Durch die Digitalisierung steigt weltweit die Datenmasse, die man erfassen, speichern, sichern, nochmals sichern, auf CDNs verteilen, für KI und ML zu Data Lakes zusammenführen und analysieren muss. Wie lässt sich der Umgang mit diesem eskalierenden Datenvolumen nachhaltiger gestalten?
Ash Kulkarni: Wir müssen nicht nur überlegen, wie wir den Energieaufwand für die Datenspeicherung senken, sondern auch den für die Rechenleistung. Nachhaltigkeit und Business können Hand in Hand gehen. Wir haben kürzlich den Anbieter Optimyze akquiriert, ein kleines Team brillianter Ingenieure. Deren Software sorgt für Continuous Profiling, also die kontinuierliche Messung der Effektivität von Code. Das ist eine sehr wertvolle Hilfe für Entwickler, um zu verstehen, ob sie verschwenderischen Code schreiben. Moore’s Law hat es uns erlaubt, immer effizienter zu werden, ohne auf die Codequalität zu achten. Heute ist klar: Wir dürfen nicht nur an Recheneffizienz, sondern müssen auch an die Treibhausgasbilanz denken. Das wirft Fragen auf: Schreibe ich ineffizienten Code? Dupliziere ich Daten, die gar nicht dupliziert werden müssten? Stelle ich sicher, dass meine gesamte Arbeit angemessen optimiert ist? Wenn das Datenvolumen wächst, steigen auch die Kosten. Kann man dies optimieren, ist das gut fürs Business und gut für die Umwelt.
LANline: Herr Kulkarni, vielen Dank für das Gespräch.
- Beobachten und schützen
- Datenanalyst im Security-Markt
Lesen Sie mehr zum Thema
