一篇文章了解Splunk的技術和業務發展方向
責編:gltian |2018-12-26 13:25:35在今年10月初舉行的“2018 Splunk .Conf”大會上,Splunk透露了自己將如何擴展網絡安全路徑,怎樣與業界伙伴合作,以及怎么致力于成就客戶。
要點如下:
1. Splunk表達了對2020年安全分析/運營的預期,包括10個方面:
- 數據攝入:收集和處理逐漸加碼的安全遙測數據。
- 檢測:找出并封鎖已知威脅。
- 預測:使用高級分析來識別新攻擊,然后將警報擴散至所有聯網客戶。
- 自動化:自動化所有乏味任務,加速稍復雜任務。
- 編排:用API連接安全控制措施以進行事件調查和修復操作。
- 推薦:監視并記錄安全操作,然后向SOC團隊推薦經驗證的操作。
- 調查:提供直觀工具以查明何種網絡攻擊正在發生,以及為什么會發生。
- 協作:接入Slack之類協作工具,為安全運營提供工作平臺。
- 案例管理:交付以安全為中心的跟蹤系統,涵蓋整個安全事件管理生命周期。
- 報告:提供一個中心位置來衡量報告的各個方面。
集成(例如負責數據管理服務、軟件服務等等的SOAPA功能)和外包(例如挑選安全操作任務委托給合作伙伴去做)也可以加進去,但Splunk的列表已經相當完全了。
2. 隨著Phantom的加入,Splunk談論了很多關于OODA循環的事兒(OODA:觀察、面對、決定、動作)。這是基于數據分析決策的軍方技術,是適用于Splunk/Caspida/Phantom三件套的良好框架。
3. 使用Phantom(或其他安全自動化/編排工具)的Splunk客戶其實就在盡可能多、盡可能快地自動化安全過程。自動化繁瑣任務的重點落在短時瑣事上。正如一位演講者所言:我不想自動化每周一次每次1小時的任務,我只想自動化每周幾百次每次10分鐘的那些。值得指出的是,并購了Phantom后,Splunk就比以前更加重視安全操作過程和最佳實踐了。
4. Splunk如今的安全架構分3層:數據層、分析層和操作層。該模型類似ESG的安全分析與操作平臺架構:捕捉安全數據、分析安全數據、操作安全數據。
5. Splunk安全得益于其他一些Splunk核心功能,包括流處理、數據數據結構搜索、Splunk移動、Splunk TV 等等。
6. 似乎所有其他安全供應商(除了競爭者)都有Splunk應用或集成了Splunk。Splunk與 Palo Alto Networks、賽門鐵克等廠商之間就有價值集成問題展開了用戶主導的討論。
7. 看客戶怎么在Splunk上創建新用例總是那么有趣。風險評分、運用 MITRE ATT&CK 框架的對手模擬測試、與 Apache Kafka 集成等等都能用上Splunk。Splunk還開放了其機器學習工具,客戶可以編寫自己的算法或者微調Splunk提供的算法。
8. Splunk沒談及太多云實現的問題,但這是其業務增長點之一。或許未來3年內客戶會在云端執行核心Splunk功能。
9. Splunk與數百家MSSP合作,在該領域的業務健康穩步發展。
10. 埃森哲和普華永道等系統集成商的Splunk業務發展很快,但他們可能僅僅接觸到當前基本機會的表面。這些主流系統集成商和其他集成商都有機會幫助客戶評估安全過程、建立最佳實踐,以及輔助資源受限的客戶像主流客戶一樣擴展Splunk。
強Splunk社區
如果只將Splunk當成科技公司,那眼界未免太窄。Splunk用戶群已自成一派,有自己的語言、文化和禮儀。Splunk創建并驅動這一活力社區的功績應得到更多承認。Splunk的客戶關系可不僅僅是靠精明的市場營銷、圖騰和嘩眾取寵來維系。Splunk一直用其他供應商無法理解也不可能執行的方式傾聽客戶心聲,與客戶共同成長。
今年的.Conf大會請沃茲尼亞克做主題演講非常合適。雖然沃茲尼亞克以蘋果聯合創始人的身份為人所知,但他也是80年代鼓勵社區與技術融合的音樂盛典“US”節的背后創意者。Splunk .Conf 大會以其自身的極客方式每年都在實踐這一目標。