安全利用大數(shù)據(jù)技術(shù)，拉高企業(yè)對(duì)于信息安全的視野，跨區(qū)域及站點(diǎn)的關(guān)聯(lián)分析，能發(fā)現(xiàn)藏在陰影的魔鬼。

　　日本電信公司NTT Communications副總裁Kazu Yozawa在21日的Splunk亞太區(qū)高峰會(huì)上分享，NTT Com使用Splunk分析工具改善MSS（Managed Security Service）平臺(tái)，進(jìn)而做到以事件為單位，分析來(lái)自所有裝置和各區(qū)域的相關(guān)聯(lián)安全數(shù)據(jù)，達(dá)到能從草堆中找到一根針的能力。

　　Splunk亞太及日本地區(qū)首席安全戰(zhàn)略官彭志宏表示，現(xiàn)在與過(guò)去的資安危機(jī)不同，過(guò)去可以偵測(cè)攻擊特征來(lái)辨識(shí)攻擊行為，以達(dá)到攔截的目的，但是現(xiàn)在常見(jiàn)的持續(xù)性滲透攻擊（APT），通常是針對(duì)單一漏洞或是特定目標(biāo)所訂制的攻擊，其中甚至存在商業(yè)價(jià)值，這些攻擊并非安裝防火墻或是防病毒軟件就可解決的。

　　因此在企業(yè)內(nèi)部網(wǎng)絡(luò)導(dǎo)入Splunk分析工具，其兩項(xiàng)特性可以幫助企業(yè)資安人員分析網(wǎng)絡(luò)可疑行為，第一、Splunk分析工具可以分析一時(shí)間區(qū)段的網(wǎng)絡(luò)數(shù)據(jù)，而不僅是單一時(shí)間點(diǎn)。第二、分析的資料可以來(lái)自各種網(wǎng)絡(luò)工具或資安企業(yè)的分析報(bào)告，不限單一數(shù)據(jù)源。

　　彭志宏說(shuō)，過(guò)去沒(méi)有像Splunk這種平臺(tái)工具，需要聘請(qǐng)資安顧問(wèn)處理，而真正能應(yīng)付高級(jí)黑客的顧問(wèn)人才，需要長(zhǎng)時(shí)間的專(zhuān)業(yè)培訓(xùn)，因此企業(yè)聘請(qǐng)資安顧問(wèn)服務(wù)通常要價(jià)不斐，而且因?yàn)闆](méi)有整合資安數(shù)據(jù)的平臺(tái)，追蹤黑客攻擊的過(guò)程極度繁瑣復(fù)雜。

　　Kazu Yozawa也表示，對(duì)于NTT Com這種提供全球網(wǎng)絡(luò)平臺(tái)服務(wù)的超大型電信公司，將原部署在全球六座數(shù)據(jù)中心的MSS（Managed Security Service）平臺(tái)重新導(dǎo)入Splunk分析工具并調(diào)整其架構(gòu)后，命名為WideAngle，為NTT Com全球網(wǎng)絡(luò)客戶(hù)提供信息安全平臺(tái)，是很值得的投資。

　　NTT Com在沒(méi)有導(dǎo)入Splunk之前，復(fù)數(shù)站點(diǎn)及客戶(hù)間無(wú)法建立correlate的資安數(shù)據(jù)，并且各區(qū)域之間的服務(wù)器機(jī)器數(shù)據(jù)，例如Log等，需要手動(dòng)維護(hù)解析再加以整合，而使用NTT Com網(wǎng)絡(luò)平臺(tái)的客戶(hù)，需要費(fèi)時(shí)的設(shè)定事件警告通則。提供給客戶(hù)的安全服務(wù)，終究需受限Client－Server架構(gòu)，而無(wú)法實(shí)現(xiàn)去中心化的云端服務(wù)規(guī)模。

　　MSS加入Splunk分析工具后，雖然客戶(hù)數(shù)據(jù)仍然存放在不同區(qū)域，但是Splunk平臺(tái)可以橫跨服務(wù)器和各種裝置，存取機(jī)器數(shù)據(jù)，以全局的概念分析資安問(wèn)題，搜集大量的資料后進(jìn)行行為分析，因此有能力挖掘出尚未發(fā)現(xiàn)的軟件零時(shí)差漏洞以及未知的攻擊。

　　Kazu Yozawa也提出了客戶(hù)被攻擊的實(shí)際案例，攻擊者來(lái)自不同國(guó)家及多個(gè)IP位置，傳統(tǒng)的IDS及SIEM引擎必會(huì)因黑客刻意制造的「噪聲」而干擾，但是Splunk可以批次和實(shí)時(shí)關(guān)聯(lián)分析，因此可以辨識(shí)出是否為機(jī)器行為而非人為，精確的找出問(wèn)題所在。