進階威脅偵測方案、助你即時揪出未知漏洞

企業開始瞭解，大量的使用者衍生數據內，隱藏許多異常活動模式，而這些活動包括病毒軟體或惡意攻擊的行為，而應對上述情況，企業幾乎都經歷過從發現漏洞->修補漏洞，這個過程是每家公司必須經過的，不過要準確揪出漏洞所在，即使是科技龍頭公司亦未必做到百分百準確，更不用說中小企了；其實要有效揪出漏洞所在，很多時大家可借此一些軟件的協助，就好像剛剛推出的 Splunk App for Enterprise Security 2.4 便是其中之一。

眾所週知，統計分析是新一代的資料安全防護工具，可防禦以往安全偵測系統所忽略的威脅，而以下介紹的 Splunk App for Enterprise Security 2.4 版便支援以 HTTP 流量進行統計分析，透過深入分析 HTTP 流量從而協助資安人員設定準則，快速偵測異常值，並以此作為安全分析與調查的標準。最後方案會透過圓餅圖與視覺化呈現統計分析，協助企業組織即時發現未知的外部威脅。

惡意軟體攻擊的主要方式是對外顯示主機為正常、可執行命令的狀態，同時對內搜集並送出資料。基本上，攻擊者會把雇員轉化「行動資料蒐集裝置」進行進階攻擊。並且會使用網路通訊協定，藉此將其流量隱藏於大量的網路記錄中。傳統安全方案可找出已知的威脅，而統計分析方案則可區分正常使用者活動與未知威脅活動的異常狀況。Splunk App for Enterprise Security 提供進階的威脅偵測搜尋，並以圓餅圖與視覺化方式呈現數據資料的統計分析，協助找出異常活動並偵測攻擊模式。這個統計分析方案可揭露的攻擊與威脅包括：

– 隱藏在 URL 中的指揮及控制指令(CNC)－Splunk App for Enterprise Security 將流程自動化，從中尋找資料中的異常數值。
– 主機記錄新的惡意網站－主機會記錄過去 24-48 小時才登記之網域，這些極有可能為指揮及控制(CNC)網站。用戶可比對網域登記與 Proxy 數據，達到即時與歷史監控。
– 不明通訊大量增加 – 利用 Splunk App for Enterprise Security 監控特定使用者之 Proxy 數據，讓企業組織監控整體流量中或特定使用者突然爆增的不明通訊。
– 異常的用戶代理識別 – 用戶代理識別會自動收集資料，例如：電子郵件，但處在被攻擊階段的用戶代理識別，也會成為受害者與攻擊者之間的通訊。Splunk 可監控其活動，並即時提供用戶代理識別異常之警示。
– 異常之來源/目的地流量 – Splunk 可追蹤來源/目的地之間的平均流量，並於使用者指定之時間範圍內來做計算，統計異常數值可於散點圖(scatter plot)中視覺化，且可藉此啟動偵查。