安全牛 - 一篇文章了解Splunk的技术和业务发展方向
在今年10月初举行的“2018 Splunk .Conf”大会上,Splunk透露了自己将如何扩展网络安全路径,怎样与业界伙伴合作,以及怎么致力于成就客户。
要点
Splunk表达了对2020年安全分析/运营的预期
包括10个方面:
- **数据摄入:收集和处理逐渐加码的安全遥测数据。
**
- 检测:找出并封锁已知威胁。
- 预测:使用高级分析来识别新攻击,然后将警报扩散至所有联网客户。
- 自动化:自动化所有乏味任务,加速稍复杂任务。
- 编排:用API连接安全控制措施以进行事件调查和修复操作。
- 推荐:监视并记录安全操作,然后向SOC团队推荐经验证的操作。
- 调查:提供直观工具以查明何种网络攻击正在发生,以及为什么会发生。
- 协作:接入Slack之类协作工具,为安全运营提供工作平台。
- 案例管理:交付以安全为中心的跟踪系统,涵盖整个安全事件管理生命周期。
- 报告:提供一个中心位置来衡量报告的各个方面。
集成(例如负责数据管理服务、软件服务等等的SOAPA功能)和外包(例如挑选安全操作任务委托给合作伙伴去做)也可以加进去,但Splunk的列表已经相当完全了。
OODA循环
随着Phantom的加入,Splunk谈论了很多关于OODA循环的事儿(OODA:观察、面对、决定、动作)。这是基于数据分析决策的军方技术,是适用于Splunk/Caspida/Phantom三件套的良好框架。
使用Phantom
使用Phantom(或其他安全自动化/编排工具)的Splunk客户其实就在尽可能多、尽可能快地自动化安全过程。
自动化繁琐任务的重点落在短时琐事上。
正如一位演讲者所言:我不想自动化每周一次每次1小时的任务,我只想自动化每周几百次每次10分钟的那些。值得指出的是,并购了Phantom后,Splunk就比以前更加重视安全操作过程和最佳实践了。
Splunk的安全架构
Splunk如今的安全架构分3层:数据层、分析层和操作层。
该模型类似ESG的安全分析与操作平台架构:捕捉安全数据、分析安全数据、操作安全数据。
核心功能
Splunk安全得益于其他一些Splunk核心功能,包括流处理、数据数据结构搜索、Splunk移动、Splunk TV 等等。
有Splunk应用或集成了Splunk
似乎所有其他安全供应商(除了竞争者)都有Splunk应用或集成了Splunk。Splunk与 Palo Alto Networks、赛门铁克等厂商之间就有价值集成问题展开了用户主导的讨论。
Splunk上创建新用例
看客户怎么在Splunk上创建新用例总是那么有趣。风险评分、运用 MITRE ATT&CK 框架的对手模拟测试、与 Apache Kafka 集成等等都能用上Splunk。
Splunk还开放了其机器学习工具,客户可以编写自己的算法或者微调Splunk提供的算法。
云实现
Splunk没谈及太多云实现的问题,但这是其业务增长点之一。或许未来3年内客户会在云端执行核心Splunk功能。
合作
Splunk与数百家MSSP合作,在该领域的业务健康稳步发展。
扩展
埃森哲和普华永道等系统集成商的Splunk业务发展很快,但他们可能仅仅接触到当前基本机会的表面。这些主流系统集成商和其他集成商都有机会帮助客户评估安全过程、建立最佳实践,以及辅助资源受限的客户像主流客户一样扩展Splunk。
强Splunk社区
如果只将Splunk当成科技公司,那眼界未免太窄。Splunk用户群已自成一派,有自己的语言、文化和礼仪。Splunk创建并驱动这一活力社区的功绩应得到更多承认。
Splunk的客户关系可不仅仅是靠精明的市场营销、图腾和哗众取宠来维系。Splunk一直用其他供应商无法理解也不可能执行的方式倾听客户心声,与客户共同成长。
今年的.Conf大会请沃兹尼亚克做主题演讲非常合适。虽然沃兹尼亚克以苹果联合创始人的身份为人所知,但他也是80年代鼓励社区与技术融合的音乐盛典“US”节的背后创意者。Splunk .Conf 大会以其自身的极客方式每年都在实践这一目标。