編輯部Splunk 彭志宏:更聰明的雲端安全管理:透過編排和自動化改造您的 SOC
Smarter Security on the Cloud: Transform your SOC with Orchestration and Automation
「資安營運面有太多的問題要面對,若不能善用編排與自動化技術,很可能會耗竭資安部門的寶貴心力。」Splunk 亞太區資訊安全策略長彭志宏如是說。
首先是資安團隊人力編制有限,其次是每天有太多的防護設備、防護軟體發出安全警示需要人工去搭理,三是太多單點式的防護實施且相互間未協調,四是整個資安團隊缺乏嚴格的資安營運標準程序 (SOP),五是對威脅的偵測、回應時間不足,六是資安成本壓力。
因應上述挑戰企業需要的是導入資安編排與自動化機制,對此 Splunk 提出 Splunk Phantom Security Orchestration & Automation,它屬於 Splunk Security Operations Suite 的一部分,為打造現代化資安營運中心 (SOC) 的工具,同時為目前唯一具有業界領先的 SIEM 、 UEBA 及 SOAR 整合式套件。
Splunk 的方案主要有六大特點,一是協調能力,可支援 300 種以上的資管應用程式及 1900 種以上的應用程式介面 (API);二是自動化,過去需要人力數小時進行的重複性工作能以秒為單位自動執行;三是合作,允許團隊溝通分享資安資訊;四是事件管理,能有效減少干擾性資訊,並把驗證的事件升級成正式案例;五為案例管理,能對威脅精準管理及回應;六為報告與指標,可快速評估營運狀態與團隊績效。
另外 Splunk App 也支援 Phantom 報告,能以視覺化方式呈現資安資訊,並支援在地化語言,包含日文、韓文、中文等,或也能在手機上運用 Splunk Mobile 對 Phantom 進行存取操作。
Splunk 的防護方案也獲得諸多指標性企業的正面肯定,包含 Starbucks 、 Intel,金融業則有 Blackstone,其中 Blackstone 的資安長 Adam Fletcher 直言 Splunk Phantom 的自動化機制能在 40 秒內處理惡意信件警示,而不是半小時或更久時間。
Splunk Phantom 也積極支援雲端環境,對此提供適用於 AWS 、 Microsoft Azure 、 GCP(Google Cloud Platform) 的 Phantom App,以及適用於 AWS 的 Splunk Phantom 劇本 (Playbook),另也支援呼應 AIOps 主張。
最後彭志宏歸結 Splunk 方案能為企業帶來三大益處,一是讓資安工作人員更聰明地工作,不用再陷入例行重複性工作;二是更快地防護回應,比起人力介入,操作自動化程序可更快實現隔離、緩解等相關程序;三是強化企業的安全營運中心 (SOC) 、網路營運中心 (NOC) 。期望各位均能以聰明省力的方式實踐資安。