网络安全问题涉及所有IT数据
由于新的安全使用案例存在商业风险,IT数据的安全性问题日显重要。当前,企业安全系统的重点已不再是防火墙、杀毒软件及入侵检测系统,系统安全专家面临着更为复杂的风险。这些风险的总体趋势可概括为以下几点:
- 基于规则的系统无法进行主动防御。传统软件和基于设备的安全产品依赖卖方进行更新,无法最快地检测恶意代码,无法实现零漏洞。
- 黑客的动机发生变化。网络间谍与经济牟利是当前网络恶意行为的主要动机。同时,现有网络资源可以很容易地制造顽固的、难以检测的恶意软件。
- 数据保护、系统可用性以及风险管理是网络安全的首要任务。安全管理机构意识到安全问题涉及所有IT数据,并非只有安全数据源能第一时间反映安全问题,操作数据也可能包含能够反映安全事件的信号或图案。
- IT数据量的增长速度越来越快。IT数据的生成速度远远超过了企业结构数据,因此数据管理也日显重要。安全技术应不断更新,满足相应需求。
安全团队需要从安全系统及其保护的操作系统与应用程序中获取IT数据,这些数据可以是物理、虚拟或是在云环境中。新的、潜在的、持续的威胁要求对更大数据集进行长期自动检查,检测可能造成安全事件的异常情况。
Splunk安全性
灵活且可拓展的安全调查
Splunk具有很强的可拓展性和灵活性,能够在任意IT数据源(如传统安全源、自定义应用程序与数据库)的大量数据中进行搜索。对于收集到的所有数据,Splunk可自动生成时间轴视图,用于准确定位安全事件的发生时间。最终的搜索结果以报表形式发布。Splunk的这项功能特别适用于用户对PCI、SOX、HIPAA等合规性问题进行随机查询。
实时取证
取证调查完成时,系统可实时保存与监控Splunk搜索结果。安全团队可依据相关路径对警报进行跟踪处理。Splunk简单的搜索语言可支持用户按卖方或数据类别对所有系统数据进行关联分析。Splunk提供一种方便控制的公共信息模型,能够对安全事件进行清晰的说明。Splunk搜索语言支持数据的关联分析,从而基于系统数据的特定条件与模式或者在达到设定极限值时发出警报。Splunk功能强大,能够整合安全与网络设备、操作系统、数据库与应用程序的实时信息,以便安全团队能够迅速检测与了解安全事件的端对端问题。在IT数据中应用基于模式的方法,用户能够观察系统活动,这在传统安全系统是无法实现的。该方法也能够为各种欺诈与盗窃监控案例提供基础解决方案。
度量方法与操作可见性
若要了解业务风险,则需要一种测量软件有效性的度量方法。Splunk的内置搜索语言包含了以表格、图表或时间轴视图等形式在安全界面显示搜索结果的命令。关键绩效指标(KPIs)可从业务单位、合规类型、位置等方面进行监控。
实时业务监控
Splunk可通过搜集并以报告与图表的形式显示金融系统或资产管理数据库的数据,提供必要的安全事件分析背景。用户可使用Splunk监控每小时或每日平均销售总额,然后再计算因系统缺乏有效性而造成的订单损失价值,从而了解系统中断或网络信号不佳所带来的成本损失。
Splunk实现业务智能化
IT数据包含了所有人机交互的记录。安全团队可利用IT数据解决问题,主动监控潜在危险,以及有效地进行业务监控。因此,IT数据具有很大的价值。从IT数据中提取数据的关键是提供一个单一简便的解决方案,能够有效度量和收集任何格式的系统或应用程序数据,并将数据转化成有助于商业决策的有意义信息。
Splunk可应用于监控、搜索及报告用户、网络、系统或应用程序活动的实时数据,而数据的关联分析是预防欺诈行为、数据安全、内部危险以及网络安全问题的有效方法,因此,Splunk提高了团队业绩,减少业务风险。
Splunk与SIEM
Splunk可有效完善现有安全信息与事件管理系统(SIEM)。通过使用基于规则的方法以减少误差,传统安全信息与事件管理系统(SIEM)可有效减少安全团队在设定不同数据源关系时需要审核的数据量。这种减少数据的方法将迫使用户在安全事件实际发生之前决定哪些数据应计入安全调查范围。这是人为限制安全事件发生的方法,但也可能导致错误的结论——对事故的根本原因的判断与实际情况相差甚远。
相比之下,Splunk强大的可拓展性以及schema-less方法扩大了收集与分析的数据的数量与类型。Splunk添加了“基于规则”的方法,具有模式分析能力,将根据应用程序错误频率或其他界限创建新的警报。该方法会破坏操作与安全团队之间的silo。Splunk含有实时应用程序界面,能够采用流式运输的方式将数据输入SIEM关联引擎,在保留遗留系统、工作流程与技术投资的同时,使您能够从SIEM中将文件快速移至Splunk。
