日本NTT電信用大資料技術監控全球資料中心安全

【海南島三亞現場報導】日本電信公司NTT Communications副總裁Kazu Yozawa在21日的Splunk亞太區高峰會上分享，NTT Com使用Splunk分析工具改善MSS（Managed Security Service）平台，進而做到以事件為單位，分析來自所有裝置和各區域的相關聯安全資料，達到能從草堆中找到一根針的能力。

Splunk亞太及日本地區首席安全戰略官彭志宏表示，現在與過去的資安危機不同，過去可以偵測攻擊特徵來辨識攻擊行為，以達到攔截的目的，但是現在常見的持續性滲透攻擊（APT），通常是針對單一漏洞或是特定目標所訂製的攻擊，其中甚至存在商業價值，這些攻擊並非安裝防火牆或是防毒軟體就可解決的。

因此在企業內部網路導入Splunk分析工具，其兩項特性可以幫助企業資安人員分析網路可疑行為，第一、Splunk分析工具可以分析一時間區段的網路資料，而不僅是單一時間點。第二、分析的資料可以來自各種網路工具或資安企業的分析報告，不限單一資料來源。

彭志宏說，過去沒有像Splunk這種平台工具，需要聘請資安顧問處理，而真正能應付高級駭客的顧問人才，需要長時間的專業培訓，因此企業聘請資安顧問服務通常要價不斐，而且因為沒有整合資安資料的平台，追蹤駭客攻擊的過程極度繁瑣複雜。

Kazu Yozawa也表示，對於NTT Com這種提供全球網路平台服務的超大型電信公司，將原部署在全球六座資料中心的MSS（Managed Security Service）平台重新導入Splunk分析工具並調整其架構後，命名為WideAngle，為NTT Com全球網路客戶提供資訊安全平台，是很值得的投資。

NTT Com在沒有導入Splunk之前，複數站點及客戶間無法建立correlate的資安資料，並且各區域之間的伺服器機器資料，例如Log等，需要手動維護解析再加以整合，而使用NTT Com網路平台的客戶，需要費時的設定事件警告通則。提供給客戶的安全服務，終究需受限Client－Server架構，而無法實現去中心化的雲端服務規模。

MSS加入Splunk分析工具後，雖然客戶資料仍然存放在不同區域，但是Splunk平台可以橫跨伺服器和各種裝置，存取機器資料，以全域的概念分析資安問題，蒐集大量的資料後進行行為分析，因此有能力挖掘出尚未發現的軟體零時差漏洞以及未知的攻擊。

Kazu Yozawa也提出了客戶被攻擊的實際案例，攻擊者來自不同國家及多個IP位置，傳統的IDS及SIEM引擎必會因駭客刻意製造的「雜訊」而干擾，但是Splunk可以批次和即時關聯分析，因此可以辨識出是否為機器行為而非人為，精確的找出問題所在。