Splunk>live!2018用戶大會北京大聊安全話題，到底支了哪些招？

自勒索病毒事件發生後，企業對於安全的重視程度達到了新的高度。2018年，根據多家調研機構和網路安全廠商的調查數據來看，2018年上半年對中國網路安全影響最大的就是挖礦和勒索病毒，僅上半年全國共計感染了456萬餘次，全國247家三甲醫院檢測出勒索病毒，以廣東和湖北為最！

很多企業即便檢測出了病毒，也苦於缺乏有效的工具止損。在Splunk>live!2018中國用戶大會北京站的安全分會場，數位技術專家分享了自己在安全和IT技術運維方向的實踐案例、應用場景、過往經歷及Splunk技術創新。面對越來越多變的高級威脅，Splunk準備了哪些大招呢？

Splunk中國區資深技術顧問崔玥：使用Splunk進行安全協調和自動響應 (SOAR)

此前，勒索病毒的爆發讓眾多企業損失慘重。在這場博弈中，不少企業監測到攻擊卻因為缺乏有效工具而有心無力。SOAR是安全領域一個較新的概念，在應對高級威脅方面十分有效，企業有必要了解這一概念。

Splunk中國區資深技術顧問崔玥

在安全領域，大部分傳統方式還是傾向於人工解決問題。隨著外在威脅的增加，我們需要更快的響應速度和更優的問題追蹤能力。Splunk的Phantom通過使用SOAR實現了包含自動化、編排、協作、事件管理、個案管理、報告與指標等功能的全流程安全管理。

眾所周知，企業一旦發生安全問題，越早止血損失越小！崔玥表示，對於釣魚郵件一類問題，手動執行大約需要45分鐘，而SOAR僅需要30至60秒，再加上一些人工審核時間，整體的響應和處理時間大幅縮短。如果大家有興趣且缺乏SOAR實踐能力，可以考慮加入Phantom社區。

Splunk中國區資深技術顧問鮑凱：使用Splunk進行高級威脅檢測和調查 (APT)

信息安全是企業的核心競爭力，但傳統安全的指導思想更多的是防守者視角，但現在已經引入攻擊者視角並映射到企業IT面臨的三類安全問題，比如外部威脅、內部威脅和數據安全，這三類安全威脅更職業、更持續且更有針對性。

Splunk中國區自身技術顧問鮑凱

鮑凱表示，傳統工具無法檢測到上述高級威脅，在高級威脅檢測模型中，東西方向也就是伺服器之間的跳轉是最容易出現安全問題的，這也是目前Splunk關注的重點。此外，Splunk在端到端的入侵全過程監測和主動監測部分也花費了很多精力，希望可以更好得防患於未然。

Splunk中國區資深技術顧問鄭聿銘：使用Splunk進行用戶行為分析 (UBA)

據調查，59%的員工在辭職或被辭退時會竊取企業專有數據。88%的網路易受特權賬戶的攻擊。問題被發現以前，攻擊者出現在受害者網路上的平均天數由2014年的205天下降至2016年的99天，這代表著潛伏期降低，攻擊者不再需要那麼長的時間偽裝自己，這並不是一個好徵兆。

Splunk中國區資深技術顧問鄭聿銘

鄭聿銘表示，Splunk UBA是一種開箱即用的解決方案，使用機器學習幫助企業發現未知的威脅和反常行為，這也是Splunk安全體系中的重要工具，內置了多種演算法和工具。Splunk依託底層機器數據引擎，構建了五大用戶行為分析柱：實時和大數據架構，行為基線與建模，無監督機器學習，異常檢測和威脅檢測。

如果要最大限度發揮Splunk UBA的優勢，企業至少需要具備以下數據源類型：動態目錄/域控制器，DNS、DHCP，防火牆和代理服務系統。如果缺乏有效數據源，你也可以考慮Splunk Security Essential，其可以監測所處環境的內部知情人和高級攻擊者，這是一款完全免費的可實現部分UBA功能的工具。

微步在線產品負責人黃雅芳：微步在線智能化威脅監控

站在企業的角度，我們必須思考有多少黑客在試圖攻擊企業？掃描IP中是針對性攻擊？還是人工？僵木蠕？.......黃雅芳表示，微步在線的威脅監控基於kill chain方法論，希望用戶可以在每一個階段都有對應的方式儘早發現和解決問題。目前企業在使用的傳統工具，比如IPS、WAF、Firewall等，這些工具缺乏上下文，無法回答隱藏在IP背後的攻擊對象和告警等詳細信息。

微步在線產品負責人黃雅芳

傳統工具已包括偵查和製作武器，武器投遞，漏洞利用和安裝及持久化四個過程，而現代工具要完善的就是命令和控制、橫向移動、行動和數據竊取三個過程。現在的安全問題不是一兩個伺服器就可以解決的，因此微步在線一直堅持開放雲計算的能力提升本地設備。

場外求知的小夥伴

Palo Alto Networks中國區商業市場技術總監張晨：攜手Splunk，共築安全的現在和未來

曾經連續6次獲評為Gartner企業網路防火牆魔力象限的領導者，目前財富100強中有85家使用了Palo Alto Networks的產品，安全對於Palo Alto Networks而言重中之重。自勒索病毒事件之後，攻擊威脅增加了55%，更多新的惡意軟體出現且目的明確，IT企業應接不暇，往往花了大把時間和資源建立基礎設施，而不是聚焦於安全價值。

Palo Alto Networks中國區商業市場技術總監張晨

晨認為，下一代安全解決方案首先應該是可視化的，其次具備豐富的數據採集和大數據分析，最後是自動化安全運維，這也是Palo Alto Networks產品最初的誕生背景，而其最具價值的就是全球安全威脅情報大數據，這些數據及工具結合Splunk自動化運營能力，最終幫助企業解決安全問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！