企业云应用迁移导致攻击面扩大,Splunk 为其保驾护航

北京,.conf21 期间——2021 年 10 月 20 日——数据平台的领导者 Splunk 公司(纳斯达克股票代码:SPLK)今天发布了一系列新产品创新,旨在通过提供所需的安全可见性功能来缩短检测、调查和响应的时间,从而帮助企业安全地实现数字化转型。在 SplunkSecurity Cloud 和Splunk SOAR增强新功能的引领下,Splunk 为企业提供了全面的安全运营中心(SOC)平台,该平台具有业界领先的智能、分析和自动化能力。

企业安全领导们正处于大规模数字化转型的过程中,由于远程工作和云计算的大规模应用,数字化转型在去年进一步加速了。与此同时,企业面临着不断演变的威胁形势。许多安全产品设计之初并不支持相互集成,因此在本地部署、混合和云环境中保持端到端的可见性对于安全部门来说可能过于复杂,难以处理,从而导致出现攻击者可以利用的盲点。因此,SOC 可能难以快速检测、调查和响应网络攻击。为了应对这些挑战,Splunk 提供了广泛的云交付 SOC 平台,这是一个由分析推动、自动驱动的平台。借助于 Splunk,企业能够克服复杂性,抵御威胁,同时安全地实现创新。

Splunk 安全产品管理副总裁 Jane Wong 表示:“数字化转型是所有企业的头等大事。然而,很多安全部门在其云环境中缺乏可见性,使用了太多不同的工具,警报和手动任务让他们不堪重负。有了 Splunk,安全部门可以更快地检测和响应威胁,从而在面对不断变化的攻击面时能够有效地保持其企业的安全。”

面对越来越多的系列安全工具,技术合作伙伴仍然是为企业提供有效安全成果不可或缺的组成部分。Splunk 通过 2400 多个合作伙伴的集成推动了客户的成功,包括增强 SOC 效率的 Mandiant、实现端到端零信任的 Zscaler,以及解决内部威胁的 DTEX。

Mandiant 公司首席执行官 Kevin Mandia 表示:“随着全球化网络攻击的出现,企业必须对自己的检测和应对能力充满信心。Mandiant 事件响应人员站在第一线,通常最先看到新出现的威胁。通过我们与 Splunk 的合作,客户能够验证其控制和安全操作计划,以确定他们将如何应对潜在的对手。此外,Splunk 客户还可以使用由 Mandiant 研究支持的威胁情报,从而提高了 Splunk Enterprise Security 的检测能力。”

Splunk 提供全面威胁检测的端到端可见性

随着云迁移的继续,安全部门必须集中精力减少检测威胁的时间,以确保其企业安全、合规地运行。采用即将推出的 Splunk Security Cloud,客户可以看到新的、丰富的虚拟化效果,企业领导能够查看关键指标并深入了解其企业安全计划的整体健康状况。Splunk Enterprise Security 还开发出了基于风险的警报(RBA)功能,增强了威胁检测能力,减少了警报量,并改进了警报优先级,从而有助于推动 SOC 取得更好的结果。

VMware 高级安全分析计划负责人 Matt Snyder 表示:“在 VMware,我们采取了一种主动预防的安全监控方法,因此我们需要对检测和环境有高度的信心,以便将我们的工作重点放在最重要的地方。Splunk 的解决方案帮助我们减少误报,快速部署新警报,并针对最关键的威胁采取行动。”

博思艾伦咨询公司(Booz Allen Hamilton)董事、该公司商业运营技术网络安全业务领导 Kyle Miller 表示:“过去一年里,我们的制造业客户面临着独特的、不断变化的安全挑战。简言之,制造业正在快速变化,该行业需要全新的自动化、通信和分析能力。借助于 Splunk 的安全解决方案,我们扩展了数据源并减少了警报疲劳,帮助我们的客户优先处理可操作的警报。我们的制造业客户现在能够比以往更早、更快地检测到威胁。”

Splunk 增强了用户工作效率,并通过自动化提高了响应速度

对快速移动的对手的反应时间稍纵即逝,因此,必须尽可能接近实时的去响应安全警报。8 月份,Splunk SOAR 发布了更新后的可视战术手册编辑器。这一功能简化了自动化战术手册的创建、编辑、实施和扩展,帮助企业消除了手动安全任务,并以机器速度响应安全事件。

今天,Splunk 发布了新的 Splunk SOAR 应用程序编辑器,它提供了一种编辑、测试和创建 SOAR 应用程序的新方法。这轻松实现了 Splunk SOAR 和常用第三方工具之间的集成和自动化。此外, Splunkbase 是 Splunk 广泛的合作伙伴生态系统和社区构建的技术集成,目前已有 350 多个 Splunk SOAR 应用程序可供使用,为客户提供了一站式服务,以充分发挥 SOAR 的作用。

用最好的情报和研究战胜明天的威胁

Splunk 正在提供更多的新情报来源,以便更快地发现威胁,更好地保护企业。在今年年初收购TruSTAR 后,Splunk 极大的扩展了其情报市场来源。今天,Splunk 宣布 TruSTAR 更名为 Splunk Intelligence Management,使客户能够在其部门、工具和合作伙伴生态系统中处理所有安全情报来源,并直接提供 Splunk Enterprise Security 和 Splunk SOAR 的深度分析结果。

此外,Splunk 还推出了由网络安全专家组成的精英部门——SURGe,将在备受关注的、时间敏感的网络攻击期间提供技术指导。该部门致力于研究和应对影响世界的威胁,并提供相应的教育。作为值得信赖的顾问,SURGe 以研究论文和网络研讨会的形式,通过响应指南和深入分析,为安全部门提供进一步的支持。企业可以依靠 SURGe 来提供适当的情景和及时的建议,这样他们就能够充满自信和智能地应对全球安全事件。

Splunk 的杰出安全策略师 Ryan Kovar 表示:“在重大安全事件中,SURGe 是您的合作伙伴。面对Kaseya 和 Solarwinds 等新的网络攻击,SURGe 通过关联情境为应急部门(blue teams)提供支持。我们能在这些方面提供详细的信息,例如,谁是一次重大网络攻击的幕后黑手,正在使用的技术及其实施的详细信息等。我们还将向您展示怎样在您的响应工作流中应用我们的可信安全研究,这样您就能够快速发现漏洞并采取行动。”

今天,SURGe 发表了他们的第一篇 SURGe 研究论文,该论文探索了几种方法,用于识别潜在的异常 SSL/TLS 通信,特别是针对被攻破的供应链而使用多个 Splunk 命令和查询以及开源数据源的情况。

关于 .conf21 期间发布的详细信息,请访问 Splunk .conf21 网站。

关于 Splunk

Splunk 公司(纳斯达克股票代码:SPLK)帮助世界各地的企业将数据转化为行动。Splunk 技术旨在对任何规模的数据进行调查、监控、分析和处理。