APP下载

日本NTT电信用大资料技术监控全球资料中心安全

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息日本NTT电信用大资料技术监控全球资料中心安全
图片来源: 

李建兴摄影

【海南岛三亚现场报导】日本电信公司NTT Communications副总裁Kazu Yozawa在21日的Splunk亚太区高峰会上分享,NTT Com使用Splunk分析工具改善MSS(Managed Security Service)平台,进而做到以事件为单位,分析来自所有装置和各区域的相关联安全资料,达到能从草堆中找到一根针的能力。

Splunk亚太及日本地区首席安全战略官彭志宏表示,现在与过去的资安危机不同,过去可以侦测攻击特征来辨识攻击行为,以达到拦截的目的,但是现在常见的持续性渗透攻击(APT),通常是针对单一漏洞或是特定目标所订制的攻击,其中甚至存在商业价值,这些攻击并非安装防火墙或是防毒软件就可解决的。

因此在企业内部网络导入Splunk分析工具,其两项特性可以帮助企业资安人员分析网络可疑行为,第一、Splunk分析工具可以分析一时间区段的网络资料,而不仅是单一时间点。第二、分析的资料可以来自各种网络工具或资安企业的分析报告,不限单一资料来源。

彭志宏说,过去没有像Splunk这种平台工具,需要聘请资安顾问处理,而真正能应付高级骇客的顾问人才,需要长时间的专业培训,因此企业聘请资安顾问服务通常要价不斐,而且因为没有整合资安资料的平台,追踪骇客攻击的过程极度繁琐复杂。

Kazu Yozawa也表示,对于NTT Com这种提供全球网络平台服务的超大型电信公司,将原部署在全球六座资料中心的MSS(Managed Security Service)平台重新导入Splunk分析工具并调整其架构后,命名为WideAngle,为NTT Com全球网络客户提供资讯安全平台,是很值得的投资。

NTT Com在没有导入Splunk之前,复数站点及客户间无法建立correlate的资安资料,并且各区域之间的服务器机器资料,例如Log等,需要手动维护解析再加以整合,而使用NTT Com网络平台的客户,需要费时的设定事件警告通则。提供给客户的安全服务,终究需受限Client-Server架构,而无法实现去中心化的云端服务规模。

MSS加入Splunk分析工具后,虽然客户资料仍然存放在不同区域,但是Splunk平台可以横跨服务器和各种装置,存取机器资料,以全域的概念分析资安问题,搜集大量的资料后进行行为分析,因此有能力挖掘出尚未发现的软件零时差漏洞以及未知的攻击。

Kazu Yozawa也提出了客户被攻击的实际案例,攻击者来自不同国家及多个IP位置,传统的IDS及SIEM引擎必会因骇客刻意制造的“噪声”而干扰,但是Splunk可以批次和即时关联分析,因此可以辨识出是否为机器行为而非人为,精确的找出问题所在。

2018-02-19 22:25:00

相关文章