客戶的問題與挑戰
資安中心的使命就是維護Moto內部網絡、維運不受惡意攻擊,並管理/服務客戶。資安中心的工作目標必須維持每天24小時穩定且不斷線的服務品質。
除了維護企業內部網路不遭受駭客攻擊之外,Moto的資安中心也必需負荷大量的使用者log,並且符合公共資訊安全及無線通訊安全。
在還沒導入Splunk之前Moto的資安工程師是利用內部開發之工作系統與資安件管理系統 (Security Information and Event Management SIEM) 維持資安品質及管理,但既有的系統除了不夠彈性之外也無法負荷每天產出的Big Data,產生以下四大困難:
- 原有的工作系統只能進行偵測無法預測
- 系統進行adhocquery時無法即時回應,反應時間甚至過長
- C無法進行大量或所有資料分析
- D針對既有系統進行擴大新客戶以及資料來源不敷成本
如何應用Splunk解決問題
UDP (User Datagram Protocol)每天會傳輸資安及客戶資料(log資料)到Splunk Sever。
- Apache logs, app data (syslog), DNS records, firewall data, a/b data, VPN data等資料,所有的資料都會匯入指定的index
- 數10個index代管客戶資料,約0.5GB
前Moto資安中心系統正在轉換中,因此目前是由兩個系統同時運作,運作地比例大約為80:20(Splunk:SIEM),未來則會朝向100% 完全使用Splunk系統進行分析及儲存。
Splunk的資料格式非常有彈性,且同時具有快速設置快速搜尋的優點,完全吻合Moto資安中心對於資安層級以及資料分析地要求。
產生效益
以往Motorola並沒有有效且系統化的資安系統及方法,資安中心工程師對於網路上的惡意攻擊毫無頭緒而且只能利用土法煉鋼的兵來將擋、水來土淹的方式,但各種的資安事後補救的方式都不比上事前可以預防來得有效,因此自從Motorola導入Splunk之後提升資安防護等級,對於駭客的惡意攻擊也有系統化的防禦和處置。
- 工程師藉由Splunk提升資安資料資料產出率並縮短資安搜索地回應時間
- 可辨識重大資安攻擊:利用'backdoors-calling home stage'保護和辨識已知和未知的C2(command and control)惡意軟體。其步驟有以下三點:
- 查詢事件與惡意軟體之關係
- 比對C2模式
- 進行事件分析與已知駭客分析進行比對
Splunk自動儲存搜尋紀錄:
- Splunk儲存指標清單
- 進行資料庫比對
透過Splunk儀錶板顯示即時系統資安狀態。
對於代管客戶的服務則可以進行防火牆資料偵測、檢查內部NAT活動阻止DOS攻擊事件、偵測到威脅則系統會自動警示、與Motorola ticketing system進行整合、適用於WMI、OPSEC、LEA等其他遙控介面。
客戶的評價
Moto資安中心的Jim Chrisos表示,導入Splunk之後進行重複的資料分析與資安防禦不但變得更快更有效率,而且Splunk資料輸入不受限於特定資料格式,同時也可輕易針對既有分析條件不斷進行修正。從此之後資安中心工程師不需輸入複雜的指令再等候數個小時才可以得到想要的資料。因為Splunk簡化了資料分析的方式也縮短系統分析時間從幾個小時到幾秒鐘。
沒有留言:
張貼留言