Splunk>live!2018中国用户大会北京站大聊安全话题,到底支了哪些招?

  • 赵钰莹

    2018-09-20 13:36:04
  • 数据分析
  • 原创

自勒索病毒事件发生后,企业对于安全的重视程度达到了新的高度。2018年,根据多家调研机构和网络安全厂商的调查数据来看,2018年上半年对中国网络安全影响最大的就是挖矿和勒索病毒,仅上半年全国共计感染了456万余次,全国247家三甲医院检测出勒索病毒,以广东和湖北为最!

很多企业即便检测出了病毒,也苦于缺乏有效的工具止损。在Splunk>live!2018中国用户大会北京站的安全分会场,数位技术专家分享了自己在安全和IT技术运维方向的实践案例、应用场景、过往经历及Splunk技术创新。面对越来越多变的高级威胁,Splunk准备了哪些大招呢?

Splunk中国区资深技术顾问崔玥:使用Splunk进行安全协调和自动响应 (SOAR) 

此前,勒索病毒的爆发让众多企业损失惨重。在这场博弈中,不少企业监测到攻击却因为缺乏有效工具而有心无力。SOAR是安全领域一个较新的概念,在应对高级威胁方面十分有效,企业有必要了解这一概念。

Splunk中国区资深技术顾问崔玥

在安全领域,大部分传统方式还是倾向于人工解决问题。随着外在威胁的增加,我们需要更快的响应速度和更优的问题追踪能力。Splunk的Phantom通过使用SOAR实现了包含自动化、编排、协作、事件管理、个案管理、报告与指标等功能的全流程安全管理。

众所周知,企业一旦发生安全问题,越早止血损失越小!崔玥表示,对于钓鱼邮件一类问题,手动执行大约需要45分钟,而SOAR仅需要30至60秒,再加上一些人工审核时间,整体的响应和处理时间大幅缩短。如果大家有兴趣且缺乏SOAR实践能力,可以考虑加入Phantom社区。

Splunk中国区资深技术顾问鲍凯:使用Splunk进行高级威胁检测和调查 (APT) 

信息安全是企业的核心竞争力,但传统安全的指导思想更多的是防守者视角,但现在已经引入攻击者视角并映射到企业IT面临的三类安全问题,比如外部威胁、内部威胁和数据安全,这三类安全威胁更职业、更持续且更有针对性。

Splunk中国区自身技术顾问鲍凯

鲍凯表示,传统工具无法检测到上述高级威胁,在高级威胁检测模型中,东西方向也就是服务器之间的跳转是最容易出现安全问题的,这也是目前Splunk关注的重点。此外,Splunk在端到端的入侵全过程监测和主动监测部分也花费了很多精力,希望可以更好得防患于未然。

Splunk中国区资深技术顾问郑聿铭:使用Splunk进行用户行为分析 (UBA)

据调查,59%的员工在辞职或被辞退时会窃取企业专有数据。88%的网络易受特权账户的攻击。问题被发现以前,攻击者出现在受害者网络上的平均天数由2014年的205天下降至2016年的99天,这代表着潜伏期降低,攻击者不再需要那么长的时间伪装自己,这并不是一个好征兆。

Splunk中国区资深技术顾问郑聿铭

郑聿铭表示,Splunk UBA是一种开箱即用的解决方案,使用机器学习帮助企业发现未知的威胁和反常行为,这也是Splunk安全体系中的重要工具,内置了多种算法和工具。Splunk依托底层机器数据引擎,构建了五大用户行为分析柱:实时和大数据架构,行为基线与建模,无监督机器学习,异常检测和威胁检测。

如果要最大限度发挥Splunk UBA的优势,企业至少需要具备以下数据源类型:动态目录/域控制器,DNS、DHCP,防火墙和代理服务系统。如果缺乏有效数据源,你也可以考虑Splunk Security Essential,其可以监测所处环境的内部知情人和高级攻击者,这是一款完全免费的可实现部分UBA功能的工具。

微步在线产品负责人黄雅芳:微步在线智能化威胁监控 

站在企业的角度,我们必须思考有多少黑客在试图攻击企业?扫描IP中是针对性攻击?还是人工?僵木蠕?.......黄雅芳表示,微步在线的威胁监控基于kill chain方法论,希望用户可以在每一个阶段都有对应的方式尽早发现和解决问题。目前企业在使用的传统工具,比如IPS、WAF、Firewall等,这些工具缺乏上下文,无法回答隐藏在IP背后的攻击对象和告警等详细信息。

微步在线产品负责人黄雅芳

传统工具已包括侦查和制作武器,武器投递,漏洞利用和安装及持久化四个过程,而现代工具要完善的就是命令和控制、横向移动、行动和数据窃取三个过程。现在的安全问题不是一两个服务器就可以解决的,因此微步在线一直坚持开放云计算的能力提升本地设备。

场外求知的小伙伴

Palo Alto Networks中国区商业市场技术总监张晨:携手Splunk,共筑安全的现在和未来

曾经连续6次获评为Gartner企业网络防火墙魔力象限的领导者,目前财富100强中有85家使用了Palo Alto Networks的产品,安全对于Palo Alto Networks而言重中之重。自勒索病毒事件之后,攻击威胁增加了55%,更多新的恶意软件出现且目的明确,IT企业应接不暇,往往花了大把时间和资源建立基础设施,而不是聚焦于安全价值。

Palo Alto Networks中国区商业市场技术总监张晨

张晨认为,下一代安全解决方案首先应该是可视化的,其次具备丰富的数据采集和大数据分析,最后是自动化安全运维,这也是Palo Alto Networks产品最初的诞生背景,而其最具价值的就是全球安全威胁情报大数据,这些数据及工具结合Splunk自动化运营能力,最终帮助企业解决安全问题。

请使用浏览器的分享功能分享到微信等