安全利用大数据技术,拉高企业对于信息安全的视野,跨区域及站点的关联分析,能发现藏在阴影的魔鬼。
日本电信公司NTT Communications副总裁Kazu Yozawa在21日的Splunk亚太区高峰会上分享,NTT Com使用Splunk分析工具改善MSS(Managed Security Service)平台,进而做到以事件为单位,分析来自所有装置和各区域的相关联安全数据,达到能从草堆中找到一根针的能力。
Splunk亚太及日本地区首席安全战略官彭志宏表示,现在与过去的资安危机不同,过去可以侦测攻击特征来辨识攻击行为,以达到拦截的目的,但是现在常见的持续性渗透攻击(APT),通常是针对单一漏洞或是特定目标所订制的攻击,其中甚至存在商业价值,这些攻击并非安装防火墙或是防病毒软件就可解决的。
因此在企业内部网络导入Splunk分析工具,其两项特性可以帮助企业资安人员分析网络可疑行为,第一、Splunk分析工具可以分析一时间区段的网络数据,而不仅是单一时间点。第二、分析的资料可以来自各种网络工具或资安企业的分析报告,不限单一数据源。
彭志宏说,过去没有像Splunk这种平台工具,需要聘请资安顾问处理,而真正能应付高级黑客的顾问人才,需要长时间的专业培训,因此企业聘请资安顾问服务通常要价不斐,而且因为没有整合资安数据的平台,追踪黑客攻击的过程极度繁琐复杂。
Kazu Yozawa也表示,对于NTT Com这种提供全球网络平台服务的超大型电信公司,将原部署在全球六座数据中心的MSS(Managed Security Service)平台重新导入Splunk分析工具并调整其架构后,命名为WideAngle,为NTT Com全球网络客户提供信息安全平台,是很值得的投资。
NTT Com在没有导入Splunk之前,复数站点及客户间无法建立correlate的资安数据,并且各区域之间的服务器机器数据,例如Log等,需要手动维护解析再加以整合,而使用NTT Com网络平台的客户,需要费时的设定事件警告通则。提供给客户的安全服务,终究需受限Client-Server架构,而无法实现去中心化的云端服务规模。
MSS加入Splunk分析工具后,虽然客户数据仍然存放在不同区域,但是Splunk平台可以横跨服务器和各种装置,存取机器数据,以全局的概念分析资安问题,搜集大量的资料后进行行为分析,因此有能力挖掘出尚未发现的软件零时差漏洞以及未知的攻击。
Kazu Yozawa也提出了客户被攻击的实际案例,攻击者来自不同国家及多个IP位置,传统的IDS及SIEM引擎必会因黑客刻意制造的「噪声」而干扰,但是Splunk可以批次和实时关联分析,因此可以辨识出是否为机器行为而非人为,精确的找出问题所在。
