圖片來源: 

李建興攝影

【海南島三亞現場報導】日本電信公司NTT Communications副總裁Kazu Yozawa在21日的Splunk亞太區高峰會上分享,NTT Com使用Splunk分析工具改善MSS(Managed Security Service)平台,進而做到以事件為單位,分析來自所有裝置和各區域的相關聯安全資料,達到能從草堆中找到一根針的能力。

Splunk亞太及日本地區首席安全戰略官彭志宏表示,現在與過去的資安危機不同,過去可以偵測攻擊特徵來辨識攻擊行為,以達到攔截的目的,但是現在常見的持續性滲透攻擊(APT),通常是針對單一漏洞或是特定目標所訂製的攻擊,其中甚至存在商業價值,這些攻擊並非安裝防火牆或是防毒軟體就可解決的。

因此在企業內部網路導入Splunk分析工具,其兩項特性可以幫助企業資安人員分析網路可疑行為,第一、Splunk分析工具可以分析一時間區段的網路資料,而不僅是單一時間點。第二、分析的資料可以來自各種網路工具或資安企業的分析報告,不限單一資料來源。

彭志宏說,過去沒有像Splunk這種平台工具,需要聘請資安顧問處理,而真正能應付高級駭客的顧問人才,需要長時間的專業培訓,因此企業聘請資安顧問服務通常要價不斐,而且因為沒有整合資安資料的平台,追蹤駭客攻擊的過程極度繁瑣複雜。

Kazu Yozawa也表示,對於NTT Com這種提供全球網路平台服務的超大型電信公司,將原部署在全球六座資料中心的MSS(Managed Security Service)平台重新導入Splunk分析工具並調整其架構後,命名為WideAngle,為NTT Com全球網路客戶提供資訊安全平台,是很值得的投資。

NTT Com在沒有導入Splunk之前,複數站點及客戶間無法建立correlate的資安資料,並且各區域之間的伺服器機器資料,例如Log等,需要手動維護解析再加以整合,而使用NTT Com網路平台的客戶,需要費時的設定事件警告通則。提供給客戶的安全服務,終究需受限Client-Server架構,而無法實現去中心化的雲端服務規模。

MSS加入Splunk分析工具後,雖然客戶資料仍然存放在不同區域,但是Splunk平台可以橫跨伺服器和各種裝置,存取機器資料,以全域的概念分析資安問題,蒐集大量的資料後進行行為分析,因此有能力挖掘出尚未發現的軟體零時差漏洞以及未知的攻擊。

Kazu Yozawa也提出了客戶被攻擊的實際案例,攻擊者來自不同國家及多個IP位置,傳統的IDS及SIEM引擎必會因駭客刻意製造的「雜訊」而干擾,但是Splunk可以批次和即時關聯分析,因此可以辨識出是否為機器行為而非人為,精確的找出問題所在。


Advertisement

更多 iThome相關內容