安全利用大數據技術，拉高企業(yè)對于信息安全的視野，跨區(qū)域及站點的關聯(lián)分析，能發(fā)現(xiàn)藏在陰影的魔鬼。

　　日本電信公司NTT Communications副總裁Kazu Yozawa在21日的Splunk亞太區(qū)高峰會上分享，NTT Com使用Splunk分析工具改善MSS（Managed Security Service）平臺，進而做到以事件為單位，分析來自所有裝置和各區(qū)域的相關聯(lián)安全數據，達到能從草堆中找到一根針的能力。

　　Splunk亞太及日本地區(qū)首席安全戰(zhàn)略官彭志宏表示，現(xiàn)在與過去的資安危機不同，過去可以偵測攻擊特征來辨識攻擊行為，以達到攔截的目的，但是現(xiàn)在常見的持續(xù)性滲透攻擊（APT），通常是針對單一漏洞或是特定目標所訂制的攻擊，其中甚至存在商業(yè)價值，這些攻擊并非安裝防火墻或是防病毒軟件就可解決的。

　　因此在企業(yè)內部網絡導入Splunk分析工具，其兩項特性可以幫助企業(yè)資安人員分析網絡可疑行為，第一、Splunk分析工具可以分析一時間區(qū)段的網絡數據，而不僅是單一時間點。第二、分析的資料可以來自各種網絡工具或資安企業(yè)的分析報告，不限單一數據源。

　　彭志宏說，過去沒有像Splunk這種平臺工具，需要聘請資安顧問處理，而真正能應付高級黑客的顧問人才，需要長時間的專業(yè)培訓，因此企業(yè)聘請資安顧問服務通常要價不斐，而且因為沒有整合資安數據的平臺，追蹤黑客攻擊的過程極度繁瑣復雜。

　　Kazu Yozawa也表示，對于NTT Com這種提供全球網絡平臺服務的超大型電信公司，將原部署在全球六座數據中心的MSS（Managed Security Service）平臺重新導入Splunk分析工具并調整其架構后，命名為WideAngle，為NTT Com全球網絡客戶提供信息安全平臺，是很值得的投資。

　　NTT Com在沒有導入Splunk之前，復數站點及客戶間無法建立correlate的資安數據，并且各區(qū)域之間的服務器機器數據，例如Log等，需要手動維護解析再加以整合，而使用NTT Com網絡平臺的客戶，需要費時的設定事件警告通則。提供給客戶的安全服務，終究需受限Client－Server架構，而無法實現(xiàn)去中心化的云端服務規(guī)模。

　　MSS加入Splunk分析工具后，雖然客戶數據仍然存放在不同區(qū)域，但是Splunk平臺可以橫跨服務器和各種裝置，存取機器數據，以全局的概念分析資安問題，搜集大量的資料后進行行為分析，因此有能力挖掘出尚未發(fā)現(xiàn)的軟件零時差漏洞以及未知的攻擊。

　　Kazu Yozawa也提出了客戶被攻擊的實際案例，攻擊者來自不同國家及多個IP位置，傳統(tǒng)的IDS及SIEM引擎必會因黑客刻意制造的「噪聲」而干擾，但是Splunk可以批次和實時關聯(lián)分析，因此可以辨識出是否為機器行為而非人為，精確的找出問題所在。