去(2023)年思科(Cisco)宣布收購擅長於非結構化資料分析與搜尋的Splunk,引發資安界高度關注,直到日前首度在台灣公開說明,將基於資安事件管理平台(SIEM)Splunk Enterprise整合Cisco XDR,以及Cisco Talos的威脅情資,發展新世代的威脅偵測、調查和回應(TDIR)策略,讓資安維運團隊(SOC)藉此縮短平均回應時間(MTTR)。
思科亞太、日本和大中華區總裁Dave West指出,Cisco和Splunk互補整合的技術,有能力全面掌握雲端、網路和端點的運行資料,實現端到端的可觀測性(Observability),不僅可增強抵禦威脅入侵,同時可做到保障數位體驗。
Splunk亞太區高級副總裁暨總經理Simon Davies認為,雖然全球產業都將人工智慧(AI)視為競爭力的重要指標,但亦須留意AI潛在的威脅性,畢竟當駭客運用AI發動攻擊時,既有的防禦機制不見得能即時發現。因此,必須統整來自IT基礎架構、應用系統、端點的資料,以及不同應用場景的網路封包,讓演算模型輔助分析,達到可觀測性,如此一來才有能力加快發現與排除問題的速度,立即採取行動阻止惡意行徑。
Simon Davies進一步提及,可觀察性有助於現代企業增進數位韌性。Splunk近期推出的資料聯邦(Federation)機制,可協助企業掌握機敏資料所在位置,並且能在不執行搬遷、集中到資料平台的前提下進行整合,讓使用者或應用程式得以存取不同來源的資料。此外,亦可賦予使用者對資料的控制權,允許執行過濾、修改路徑等,以便於業務單位運行分析。
在安全方面,Simon Davies強調客戶透過整合資料平台呈現的視覺化介面,能夠提升事件偵測、調查和回應的速度高達99%,並且減少了超過90%的錯誤告警,這有助於提高風險辨識準確度和獲得深入洞察,讓資安工程師運用SOAR工具快速地回應高風險活動。
運用Splunk Enterprise Security與Cisco XDR的雙向互動整合,企業SOC團隊便可基於Talos威脅情資,主動獵捕邊緣端的威脅訊號,強化整體安全架構的反應,同時也提升了對外部威脅的主動防護力。「針對可觀測性方面,透過實施最佳實踐,企業可減少高達97%的錯誤告警干擾,並提高96.6%應用程式部署的速度,將有助於提升開發者的生產力並加速創新。」Simon Davies說。
目前Cisco旗下的應用程式效能管理(APM)方案AppDynamics,已整合了Splunk Platform、Observability Cloud,以及ITSI(IT Service Intelligence)監控和分析工具,建構了端到端可視性。再加上Splunk自主開發的AI與機器學習技術,基於統一控管平台,協助IT人員快速地掌握運行狀態與關鍵績效指數,並且以視覺化圖表凸顯出異常、影響關鍵業務服務的問題根源,讓IT得以快速排除以保障用戶體驗。