安全利用大數據技術(shù),拉高企業(yè)對于信息安全的視野,跨區域及站點(diǎn)的關(guān)聯(lián)分析,能發(fā)現藏在陰影的魔鬼。
日本電信公司NTT Communications副總裁Kazu Yozawa在21日的Splunk亞太區高峰會(huì )上分享,NTT Com使用Splunk分析工具改善MSS(Managed Security Service)平臺,進(jìn)而做到以事件為單位,分析來(lái)自所有裝置和各區域的相關(guān)聯(lián)安全數據,達到能從草堆中找到一根針的能力。
Splunk亞太及日本地區首席安全戰略官彭志宏表示,現在與過(guò)去的資安危機不同,過(guò)去可以偵測攻擊特征來(lái)辨識攻擊行為,以達到攔截的目的,但是現在常見(jiàn)的持續性滲透攻擊(APT),通常是針對單一漏洞或是特定目標所訂制的攻擊,其中甚至存在商業(yè)價(jià)值,這些攻擊并非安裝防火墻或是防病毒軟件就可解決的。
因此在企業(yè)內部網(wǎng)絡(luò )導入Splunk分析工具,其兩項特性可以幫助企業(yè)資安人員分析網(wǎng)絡(luò )可疑行為,第一、Splunk分析工具可以分析一時(shí)間區段的網(wǎng)絡(luò )數據,而不僅是單一時(shí)間點(diǎn)。第二、分析的資料可以來(lái)自各種網(wǎng)絡(luò )工具或資安企業(yè)的分析報告,不限單一數據源。
彭志宏說(shuō),過(guò)去沒(méi)有像Splunk這種平臺工具,需要聘請資安顧問(wèn)處理,而真正能應付高級黑客的顧問(wèn)人才,需要長(cháng)時(shí)間的專(zhuān)業(yè)培訓,因此企業(yè)聘請資安顧問(wèn)服務(wù)通常要價(jià)不斐,而且因為沒(méi)有整合資安數據的平臺,追蹤黑客攻擊的過(guò)程極度繁瑣復雜。
Kazu Yozawa也表示,對于NTT Com這種提供全球網(wǎng)絡(luò )平臺服務(wù)的超大型電信公司,將原部署在全球六座數據中心的MSS(Managed Security Service)平臺重新導入Splunk分析工具并調整其架構后,命名為WideAngle,為NTT Com全球網(wǎng)絡(luò )客戶(hù)提供信息安全平臺,是很值得的投資。
NTT Com在沒(méi)有導入Splunk之前,復數站點(diǎn)及客戶(hù)間無(wú)法建立correlate的資安數據,并且各區域之間的服務(wù)器機器數據,例如Log等,需要手動(dòng)維護解析再加以整合,而使用NTT Com網(wǎng)絡(luò )平臺的客戶(hù),需要費時(shí)的設定事件警告通則。提供給客戶(hù)的安全服務(wù),終究需受限Client-Server架構,而無(wú)法實(shí)現去中心化的云端服務(wù)規模。
MSS加入Splunk分析工具后,雖然客戶(hù)數據仍然存放在不同區域,但是Splunk平臺可以橫跨服務(wù)器和各種裝置,存取機器數據,以全局的概念分析資安問(wèn)題,搜集大量的資料后進(jìn)行行為分析,因此有能力挖掘出尚未發(fā)現的軟件零時(shí)差漏洞以及未知的攻擊。
Kazu Yozawa也提出了客戶(hù)被攻擊的實(shí)際案例,攻擊者來(lái)自不同國家及多個(gè)IP位置,傳統的IDS及SIEM引擎必會(huì )因黑客刻意制造的「噪聲」而干擾,但是Splunk可以批次和實(shí)時(shí)關(guān)聯(lián)分析,因此可以辨識出是否為機器行為而非人為,精確的找出問(wèn)題所在。
