走進(jìn)Splunk—大數(shù)據(jù) VS 信息安全｜安創(chuàng)匯

摘要： Splunk是大數(shù)據(jù)公司，再往前就是一個(gè)分析公司。

走進(jìn)Splunk，這個(gè)主題也是靈機(jī)一動(dòng)碰撞出來的。除去安創(chuàng)匯的會(huì)員，我們此次也邀請(qǐng)到了許多企業(yè)用戶的代表，一起深入探討一下網(wǎng)絡(luò)安全與大數(shù)據(jù)之間的一些碰撞。

關(guān)于Splunk

何寧：我主要想跟大家分享一下，Splunk到底是做什么的？ Splunk看起來挺多產(chǎn)品，有Splunk的云等，其實(shí)Splunk就是一個(gè)平臺(tái)型的工具，這是我們主要的產(chǎn)品。Splunk是大數(shù)據(jù)公司，再往前就是一個(gè)分析公司，國(guó)內(nèi)有些企業(yè)也在模仿我們,但Splunk有一個(gè)最核心的東西，就是可以擴(kuò)展出任何的類型的數(shù)據(jù)，遠(yuǎn)遠(yuǎn)超出了我們的日志分析。而其實(shí)，Splunk最擅長(zhǎng)的是針對(duì)機(jī)器數(shù)據(jù)。我們可以列出許多，不管物聯(lián)網(wǎng)，包括地理位置的分析，還是常用的機(jī)器產(chǎn)生的數(shù)據(jù)，還是電話，都是數(shù)據(jù)來源。大數(shù)據(jù)是來源于機(jī)器，Splunk的成像也是出于機(jī)器數(shù)據(jù)。

這里列舉我們的兩大產(chǎn)品：一個(gè)是商業(yè)技能分析，幫助商業(yè)客戶在銷售和真正的數(shù)據(jù)里面直接能產(chǎn)生銷售收入，或者提高利用率的方式方法。還有一個(gè)熱點(diǎn)，就是大家聽到IOT。我們希望Splunk將來不僅僅單單是一個(gè)平臺(tái)、信息安全工具也好，更希望我們產(chǎn)生一個(gè)生態(tài)圈，最簡(jiǎn)單講做成一個(gè)平臺(tái)，做成一個(gè)蘋果商店，我們也會(huì)有個(gè)Splunk商店，讓大家直接可以賺錢。

 

丁來強(qiáng)： 我主要跟大家分享下數(shù)據(jù)安全方面。

根據(jù)過去幾年的數(shù)據(jù)來看，現(xiàn)在的安全問題基本上是兩個(gè)目的，第一個(gè)是金錢，現(xiàn)在支付寶里面有很多支付信息，在京東上面的很多購(gòu)物信息，還有在網(wǎng)易里面的郵箱數(shù)據(jù)，幾乎所有的數(shù)據(jù)泄露都是在合法的認(rèn)證上發(fā)生的，也就是說這個(gè)數(shù)據(jù)從正常來看，看不出有問題。第二，最近的情況根據(jù)現(xiàn)在安全廠商的努力，從這個(gè)問題發(fā)生到知道泄露，以前一般是要花5個(gè)月，現(xiàn)在是3個(gè)月就可以知道了，但其實(shí)是非常遲。另外，企業(yè)自己發(fā)現(xiàn)數(shù)據(jù)泄露的比例通常不高。

解決這大數(shù)據(jù)方面的安全方案，其實(shí)就是SIEM。關(guān)于SIEM，Splunk在三個(gè)關(guān)鍵的方面是排名第一的：基本安全發(fā)現(xiàn)、高級(jí)安全發(fā)現(xiàn)、即時(shí)響應(yīng)。Splunk會(huì)從人、設(shè)備、認(rèn)證、網(wǎng)絡(luò)四個(gè)領(lǐng)域提供安全支持，告訴你這四個(gè)領(lǐng)域有哪些異常。

陳凱：我這里主要會(huì)分享一下Splunk在云上面的解決方案。 首先云有什么特點(diǎn)？非常大。第一，我們所有的機(jī)房、設(shè)備在云上能夠找到特定的產(chǎn)品，各種各樣的東西都在上面。第二，因?yàn)檫@些東西紛紜復(fù)雜，文件和監(jiān)控?cái)?shù)據(jù)格式也是非常不一樣的你要去管理它是有難度的。要管理你的云，第一步做的是把數(shù)據(jù)拿到，第二個(gè)是CloudWatch。

怎么解決中間的難題呢？第一，多賬號(hào)統(tǒng)一管理，將所有數(shù)據(jù)統(tǒng)一放到中央存儲(chǔ)里面去，做中央化的管理。最終達(dá)到非常簡(jiǎn)單的配置。第二，分布式抓取以達(dá)到高吞吐量。最后，實(shí)時(shí)的分析，實(shí)時(shí)的分析第一個(gè)要求是實(shí)時(shí)的數(shù)據(jù)抓取，我們得到了數(shù)據(jù)以后，做的事情一定是創(chuàng)造價(jià)值。創(chuàng)造價(jià)值有哪些？最簡(jiǎn)單的就是提供報(bào)表，Splunk所有的產(chǎn)品線里面都會(huì)看到報(bào)表的展示。 比如，可視化時(shí)間軸、數(shù)據(jù)疊加的層次展示、安全策略、預(yù)測(cè)分析、提供一些異常的檢測(cè)和最佳實(shí)踐的推薦。

再來介紹AWS上面關(guān)于安全相關(guān)的應(yīng)用，一是安全組件，我們對(duì)安全組件一定要做非常詳盡的分析。二是API的調(diào)用，我們可以理解為所有的變更，或者所有的操作最后在AWS上面都落實(shí)為一個(gè)API的調(diào)研。三是訪問日志，就是很多的路由節(jié)點(diǎn)。第四：VPCflow Logs。就是流量巨大的訪問日志。最后一點(diǎn)是異常檢測(cè)，我們說異常檢測(cè)，就是工欲善其事、必先利其器，Splunk在異常檢測(cè)和通知上提供了很多選擇，比如：一些內(nèi)置的命令、帶季節(jié)性的信息、機(jī)器學(xué)習(xí)擴(kuò)展包等。我們希望通過這些過程能夠得到通知，錯(cuò)誤請(qǐng)求的數(shù)量和比例，從而迅速分析和解決問題。

 

(提供15分鐘茶歇時(shí)間，大家稍作休息)


閻東（觀安信息科技技術(shù)）：首先請(qǐng)大家看一下這些年發(fā)生的一些數(shù)據(jù)泄露的事件
 

   
大數(shù)據(jù)時(shí)代，黑色產(chǎn)業(yè)鏈已經(jīng)很龐大了,不管國(guó)家，大公司，小企業(yè)都信息泄露事件頻發(fā)。 那我們到底要怎么預(yù)防呢？Gartner近些年是提出的信息安全的思路，已經(jīng)不是單純的防護(hù)數(shù)據(jù)庫(kù)，就能解決現(xiàn)在數(shù)據(jù)泄露的問題，應(yīng)該是說以數(shù)據(jù)為中心做綜合的解決方法。

我們觀安構(gòu)建的數(shù)據(jù)安全防護(hù)的體系，首先我們是建立在數(shù)據(jù)安全管理規(guī)范之上，我們會(huì)根據(jù)一些硬件設(shè)備、主機(jī)，包括中間件、數(shù)據(jù)庫(kù)之類的去做一個(gè)部署，同時(shí)對(duì)數(shù)據(jù)保密等級(jí)進(jìn)行一些管理，也就是說，一方面是在技術(shù)層面做安全加護(hù)，另一方面，在管理方面做人員意識(shí)提升和相關(guān)制度的完善。

這里想跟大家分享一下我們的數(shù)據(jù)動(dòng)態(tài)脫敏方案，主要功能是：一動(dòng)態(tài)數(shù)據(jù)脫敏，通過改寫應(yīng)用系統(tǒng)發(fā)送到數(shù)據(jù)庫(kù)的SQL請(qǐng)求實(shí)現(xiàn)數(shù)據(jù)庫(kù)敏感數(shù)據(jù)的動(dòng)態(tài)脫敏過程。二數(shù)據(jù)庫(kù)行為審計(jì)，全面的支持各種SQL語句類型及數(shù)據(jù)庫(kù)類型，產(chǎn)品高附加值，低成本滿足合規(guī)要求。三防攻擊防拖庫(kù)，防止SQL注入攻擊，防止暴力托庫(kù)，有效保護(hù)數(shù)據(jù)庫(kù)安全。
  
圓桌討論

張耀疆： 首先想問一下，國(guó)內(nèi)很多做大數(shù)據(jù)安全的企業(yè)，是從安全入手，而Splunk反過來，是從大數(shù)據(jù)分析的角度切入，做著做著突然發(fā)現(xiàn)自己是一家安全公司，變成了一個(gè)非常聚焦的應(yīng)用場(chǎng)景。這個(gè)只是國(guó)外市場(chǎng)表現(xiàn)出來的特點(diǎn)，還是說也適用于國(guó)內(nèi)？  
 

朱林：第一中國(guó)的安全相對(duì)來說小一點(diǎn)；第二，中國(guó)的安全側(cè)重于合規(guī)性比較多，安全市場(chǎng)據(jù)業(yè)內(nèi)分析70%是合規(guī)的。國(guó)外我了解情況不是太多，國(guó)外可能對(duì)于每個(gè)行業(yè)的能力切入的比較深。其實(shí)這種情況，我認(rèn)為大數(shù)據(jù)和安全分析內(nèi)容是一樣的，這兩塊是相通的。

張耀疆：觀安的朋友也講講自己的觀點(diǎn)。

閻東：其實(shí)國(guó)內(nèi)的企業(yè)體量這么大，既然是企業(yè)就會(huì)有安全的需求，為什么我們沒有做好呢？有兩種情況，一個(gè)是甲方自身的安全意識(shí)沒有達(dá)到一定的程度，二是乙方宣傳力度欠缺，二者彼此都更進(jìn)一步，安全市場(chǎng)才會(huì)呈線性的增長(zhǎng)。另外關(guān)于合規(guī)方面，我覺得國(guó)家對(duì)安全的重視程度也會(huì)與日俱增，我預(yù)測(cè)未來3到5年安全市場(chǎng)可能會(huì)有幾倍量的增長(zhǎng)。

張耀疆：我們繼續(xù)聚焦安全大有可為，Splunk的專家就這個(gè)問題談一下自己的看法。

丁來強(qiáng)：我很認(rèn)同“先從日志分析到數(shù)據(jù)分析再到安全領(lǐng)域” 這一點(diǎn)。談到背景，Splunk先收購(gòu)了一個(gè)團(tuán)隊(duì)才做起來，第三方機(jī)構(gòu)發(fā)現(xiàn)Splunk這個(gè)技術(shù)層面非常容易擴(kuò)展，所以他做了第一版，這個(gè)團(tuán)隊(duì)做得很不錯(cuò)，Splunk收購(gòu)了他，就進(jìn)入了這個(gè)里面。這類事情國(guó)內(nèi)比較多。

其實(shí)亞馬遜都知道它的起家是做電商，當(dāng)有雙十一、黑色星期五的情況時(shí)，就會(huì)存在大量閑置的機(jī)器，那么亞馬遜CEO就決定搞云計(jì)算，把機(jī)器弄出來賣，所以美國(guó)也發(fā)生過在某一個(gè)電商領(lǐng)域做得不錯(cuò)，最后跑到云計(jì)算這邊來的事情。其實(shí)國(guó)內(nèi)、國(guó)外很多事情是通用的，本質(zhì)上沒有太大的區(qū)別。

張耀疆：Splunk是收購(gòu)了一個(gè)第三方平臺(tái)，才進(jìn)入安全的？

丁來強(qiáng)：是的。總體來說業(yè)務(wù)轉(zhuǎn)型從技術(shù)層面我覺得問題不大，而從業(yè)務(wù)層面是很難的。小公司還是比較容易去轉(zhuǎn)型。當(dāng)然，收購(gòu)一家小公司進(jìn)來也是很難的。

張耀疆：在國(guó)內(nèi)來講，Splunk大平臺(tái)，收購(gòu)一個(gè)場(chǎng)景應(yīng)用方面的小公司國(guó)外類似的很多，但在國(guó)內(nèi)還比較少見。任何一個(gè)小公司的積累都有非常大的短板，很難做到別人取代或copy不了，所以生態(tài)環(huán)境的差異是蠻大的。瑞數(shù)這邊的朋友是怎么看待的？
 

瑞數(shù)：大數(shù)據(jù)安全已經(jīng)越來越熱，國(guó)內(nèi)目前很多大數(shù)據(jù)分析都還是基于已有的方式在做，我們目前的產(chǎn)品也是在用(POC的方式在做，基于開源還是有一定程度的限制。像Splunk這樣的解決方案，其實(shí)我們也在評(píng)估要不要跟他們合作，他們?cè)谛阅苌厦嬗袃?yōu)勢(shì)。從國(guó)外跟國(guó)內(nèi)整個(gè)大數(shù)據(jù)分析的安全上面，目前還是有一定差距，國(guó)內(nèi)的安全廠商還是要繼續(xù)努力。國(guó)內(nèi)有一個(gè)優(yōu)勢(shì)是：國(guó)內(nèi)目前有一些做安全數(shù)據(jù)分析的公司，針對(duì)新興的安全威脅，不管是從漏洞，或者到業(yè)務(wù)威脅、欺詐，都有一套相對(duì)的解決模型，這方面比國(guó)外更有優(yōu)勢(shì)。國(guó)內(nèi)的一些廠商和創(chuàng)業(yè)公司，假設(shè)說從底層追上來的話，跟國(guó)外廠商的差距其實(shí)會(huì)越來越小。

張耀疆：關(guān)于數(shù)據(jù)模型的概念，確實(shí)明顯有非常大的一個(gè)區(qū)別。這個(gè)本身就是明顯的國(guó)內(nèi)外的一種差異，還是說只是今天碰巧我們聊的恰好有這么一個(gè)話題？

瑞數(shù)：目前，Splunk從技術(shù)面上來講還是有絕對(duì)的優(yōu)勢(shì)，國(guó)外的公司所做出來的模型還是弱了點(diǎn)。因?yàn)榇嬖跍笮?，?guó)內(nèi)許多信息攻擊行為，像之前參觀過一家國(guó)外公司從來沒有遇到過，他們2016年才遇到過這類攻擊，而國(guó)內(nèi)的廠商比較早的遇到，他就要想辦法解決，在模型和真正的能力上面就會(huì)有比較創(chuàng)新的手法。

張耀疆：不知道該榮幸，還是苦笑，實(shí)際上國(guó)內(nèi)的環(huán)境太復(fù)雜，形勢(shì)來惡劣，造就了我們?cè)谶@樣的環(huán)境下，會(huì)比國(guó)外考慮的更多一些。安全其實(shí)往往就是這樣，沒有威脅就沒有安全。Splunk的專家怎么看？

陳凱：其實(shí)剛剛大家聊了很多國(guó)內(nèi)、國(guó)外的市場(chǎng)，為什么國(guó)外、國(guó)內(nèi)有這么一個(gè)差異？根本原因，國(guó)外的市場(chǎng)做得比國(guó)內(nèi)要早，早期進(jìn)入這個(gè)市場(chǎng)的人，第一個(gè)想的問題可能是把這個(gè)餅做大，做一個(gè)通用型的解決方案，到了一定地步以后，才發(fā)現(xiàn)肯定要進(jìn)入到每個(gè)細(xì)分行業(yè)再去做，比如Splunk進(jìn)入安全領(lǐng)域、IT運(yùn)維。從國(guó)內(nèi)的角度上來看發(fā)展的比較晚，通用型的領(lǐng)域已經(jīng)有很大的阻力和競(jìng)爭(zhēng)對(duì)手，我們應(yīng)該從細(xì)分領(lǐng)域切上去。

張耀疆： 那接下來轉(zhuǎn)入實(shí)際操作方面，想問下企業(yè)代表，你們?cè)趯?shí)踐當(dāng)中有一些什么樣的體會(huì)

國(guó)泰君安：現(xiàn)在大概應(yīng)用了半年左右，如何把AISEC應(yīng)用到每一個(gè)安全領(lǐng)域，方便去用戶多想場(chǎng)景，而且還要進(jìn)行第二次開發(fā)，這是最大的困難。目前我們也手工在做大量的工作，未來希望把大量手工的工作轉(zhuǎn)到AISEC，或者Splunk這種工具上去。另外，還可以把我們自己理念上，或者思想上想要擴(kuò)展的安全要求控制的面更大，這就是現(xiàn)在的一個(gè)情況。

太平：我們現(xiàn)在Splunk也在用，我們對(duì)安全也是挺感興趣，像Splunk我更想了解：如果我要建一個(gè)規(guī)則的話，要花多少精力去學(xué)，買了之后怎么樣用的好。另外服務(wù)也是一方面，服務(wù)依賴于團(tuán)隊(duì)，一兩年可能服務(wù)的團(tuán)隊(duì)就會(huì)變，如果團(tuán)隊(duì)變的話知識(shí)沒有辦法傳承怎么辦，還是產(chǎn)品自身需要有應(yīng)用性。

張耀疆：你們應(yīng)用這個(gè)Splunk，你剛才說用在什么場(chǎng)景？

太平：我們的場(chǎng)景是替代以前老的產(chǎn)品，主要是做一些基本的分析，沒有做到建模、管理分析這程度，感覺上現(xiàn)在Splunk是個(gè)比較開放的，可能還是要自己寫，沒有辦法直接用，這是個(gè)問題。

何寧：我來回答下大家的疑問。其實(shí)， Splunk是個(gè)工具平臺(tái)，但是為什么要講到Splunk有個(gè)IT運(yùn)維的工具，還有安全方面的，就是想解決一個(gè)問題。我們希望做成一個(gè)案例，讓大家知道Splunk可能玩兒的這么精致、極致，兩條路走，一個(gè)是通用平臺(tái)，把工具、接口做得非常二次開發(fā)容易，還有一個(gè)是想做成傻瓜型的，這個(gè)在業(yè)界里面不是那么容易，環(huán)境在變，還要積累。

大陸：我認(rèn)為很多企業(yè)對(duì)于運(yùn)維、安全分析上缺乏一個(gè)運(yùn)維的思想，國(guó)外更早的接受這個(gè)概念，他們會(huì)趨向于配備研發(fā)、分析師有研發(fā)能力，國(guó)內(nèi)更多的是技術(shù)分開：研發(fā)部門和安全部門，造成持續(xù)運(yùn)營(yíng)是有問題的。
IBM為什么企業(yè)市場(chǎng)這么大？全球有12個(gè)數(shù)據(jù)中心，他就是幫企業(yè)去看數(shù)據(jù)，分析世界，告訴用戶怎么解決問題，這種思想國(guó)外很接受的，我們可能現(xiàn)在剛起步，還有很長(zhǎng)的路。

關(guān)于Splunk提到持續(xù)性做精細(xì)化的管理場(chǎng)景，他可能是有規(guī)律的，但是在安全方面，安全是高對(duì)抗性的行業(yè)，為什么華為不告訴你規(guī)則，一旦規(guī)則公開了，就非常容易被突破，這個(gè)是必然的。想解決安全方面的產(chǎn)品，得企業(yè)自己去運(yùn)營(yíng)，只有規(guī)則不透明的時(shí)候，才能防得住羊毛黨和黑客。

何寧：對(duì)，服務(wù)圈的生態(tài)也確實(shí)要建立起來，我們也都要承擔(dān)和推廣的責(zé)任。

大陸：最后我也是想說一個(gè)問題，我們現(xiàn)在是做安全服務(wù)、安全數(shù)據(jù)、安全情報(bào)，我們也想和平臺(tái)型的公司打通，我們之前跟IBM公司做了打通，實(shí)際上在安全上面有合作，產(chǎn)品上有什么機(jī)制來介入這個(gè)東西？

何寧：怎么個(gè)合作？

大陸：我們提供的是情報(bào)服務(wù)，Splunk剛好做數(shù)據(jù)分析，我們想用哪種方法把我們的情報(bào)服務(wù)，或者是數(shù)據(jù)服務(wù)能快速的集成到平臺(tái)里面去，就像在國(guó)外的APP一樣。

何寧：我們有這么一個(gè)地方，你可以把你做好的應(yīng)用放在里面去，我們上海的團(tuán)隊(duì)馬上要承擔(dān)很重要的責(zé)任，就是對(duì)接APP做一些認(rèn)證，目前中國(guó)我們的推廣力度不大，我們的用戶也沒有養(yǎng)成這種習(xí)慣。等我們這個(gè)社的利益分享這個(gè)機(jī)制建好了，不管是甲方，還是合作伙伴都可以把東西更好地放上去，大家共享貢獻(xiàn)這個(gè)概念。你們要想放，我們可以幫你去認(rèn)證，這都是我們要做的事情。

張耀疆：我覺得這種互動(dòng)剛才提出來的問題蠻好的，一個(gè)是生態(tài)，本身要發(fā)展，要把盤活大數(shù)據(jù)安全做好，肯定是一個(gè)從平臺(tái)來講要引導(dǎo)去做生態(tài)，就像阿里一直在宣傳做生態(tài)一樣，但作為平臺(tái)來講最后都變成社會(huì)責(zé)任，生態(tài)做起來，好像也是一個(gè)雙刃劍，另一方面可能要很好的構(gòu)建一個(gè)產(chǎn)業(yè)鏈，但是問題在于可能也會(huì)引狼入室，的確是這么一個(gè)問題。反正Splunk也是一種機(jī)制，不管創(chuàng)業(yè)也罷，或者廠商、甲方用戶，我們也是希望能夠起到紐帶的作用。

其實(shí)今天提了這么多問題，我們也探討了一下，就是總體來講，我們拋開工具不說，整個(gè)國(guó)內(nèi)對(duì)大數(shù)據(jù)應(yīng)用的階段還處于比較初級(jí)的階段，無論怎么樣部署應(yīng)用工具，以及打通數(shù)據(jù)治理，把整個(gè)內(nèi)部的隔閡打開，從整個(gè)完整的數(shù)據(jù)鏈條上，真正的大數(shù)據(jù)概念上去讓它發(fā)揮作用，其實(shí)這個(gè)路還很長(zhǎng)。所謂的價(jià)格，或者說怎么樣去構(gòu)建一個(gè)模型，我們可以留一些尾巴，我們以后的互動(dòng)也會(huì)比較多，我也是能夠期待看到大家無論是不是在這樣的生態(tài)上，或者說是不是直接和Splunk建關(guān)系，總之我們?cè)诖髷?shù)據(jù)安全的應(yīng)用方面后面不地積累自己的實(shí)踐，并且有所獲。

 

今天我們的活動(dòng)就到這里，再次感謝我們的Splunk，也感謝我們?cè)谧母魑话倜χ幸黄饋硖接戇@個(gè)話題，感謝大家！

>上一篇

安創(chuàng)匯“群防群控產(chǎn)業(yè)協(xié)作——走進(jìn)百度”

>下一篇
母親節(jié)前夕，也許中國(guó)最頂尖的信息安全創(chuàng)業(yè)新銳都聚在這里了