실시간 시스템 운영 솔루션 공급업체인 스플렁크(Splunk Inc.)(NASDAQ: SPLK)가 기업 보안용 스플렁크 앱 2.4(Splunk App for Enterprise Security 2.4)를 발표했다. 기업 보안용 스플렁크 앱2.4는 인텔리전스 보안 플랫폼으로 이번에 새롭게 통계학적 분석을 도입하여 검색, 대시보드, 시각화 등 콘텐트를 통해 실시간으로 기업의 위협 상황을 알려 주는 기능을 한다.

스플렁크의 보안사업부문 책임자인 마크 스와드(Mark Seward)는 “통계적 분석은 기존의 보안 시스템이 찾아내지 못하는 위협에 대항하기 위한 새로운 보안 무기이다. 바로 이 때문에 전세계 1,500개 이상의 기업이 스플렁크 보안 솔루션을 이용하고 있다”고 말하고, “기업들은 테라바이트에 이르는 머신 데이터에 숨겨져 있는 악의적인 소프트웨어뿐 아니라 악의적인 내부자의 행동에 의한 비정상적 활동 패턴을 파악할 수 있게 되었다. 오늘 발표된 기업 보안용 스플렁크 앱2.4는 http 트래픽을 통계적으로 분석함으로써, 보안의 기준선을 정할 수 있게 하고, 비정상 데이터를 신속하게 탐지하여, 보안 분석 및 조사의 시발점으로 활용할 수 있게 한다”고 말했다.

엔터프라이즈 매니지먼트 협회의 선임 연구원인 스콧 크로포드 (Scott Crawford)는 “기업 보안의 미래는 사전에 결정된 보안 데이터뿐만 아니라 가용한 모든 데이터를 이용하는 데에 달려있다. 통계적 분석은 데이터의 가치를 높이고 방대한 정보 속에서 놓쳤던 의미 있는 통찰력을 갖게 한다. 새로운 기업 보안용 스플렁크 앱은 통계적 기술을 보안 솔루션에  적용시킴으로써 데이터 분석 분야에 한 획을 긋는 기술이 되었다”고 말하고, “오늘날 보안 위협은 그 어느 때보다 심각하며 기업은 이에 대응하기 위해 유연하고, 빠르며, 확장 가능한 데이터 플랫폼이 필요하다. 기업 보안용 스플렁크 앱에 적용된 새로운 대시보드는 보안 전문가들로 하여금 더욱 더 능동적으로 데이터를 활용할 수 있게 한다.”

공급자관리시스템 분야의 선두 기업으로서200 여 기업에 SaaS플랫폼을 공급하고 있는 필드글래스(Fieldglass)는 2년 전 보안정보 관리 툴을 기업 보안용 스플렁크 앱으로 교체했다. (SaaS: Software-as-a-Service, 서비스 형 소프트웨어)

필드글래스의 보안 책임자인 짐 크레브(Jim Krev)는 “APT공격(Advanced Persistent Threat)을 찾아내는 것은 어려운 일이다. 기업 보안용 스플렁크 앱 2.4은 통계를 활용해서 비정상적 데이터의 특징을 찾고, 시각화하는 작업을 쉽게 만들었다"고 말하고, "이는 호스트와 외부와의 커뮤니케이션에 남아있는 악성 페이로드(payload : 데이터가 전송될 때 필요한 각종 헤더와 메타 정보를 제외한 순수 전달 데이터를 의미함)를 탐지하도록 해 준다. 시각화 기능 또한 관리하는 데 큰 도움이 된다”고 말했다.

지능적인 악성 소프트웨어의 목적은 명령과 제어를 장악하고, 가치 있는 데이터를 공격자에게 빼돌리는 것이다. 공격자들은 내부직원들로 하여금 데이터 운반자 역할을 하게 만든다. 공격자들은 테라바이트에 이르는 웹 로그에 자신의 트래픽을 숨기기 위해 웹 기반 프로토콜을 커뮤니케이션에 사용하는 경우가 많다.

기존의 보안 기능은 알려진 위협을 탐지하는 데 사용되고, 통계적 분석은 일반적인 활동에서 알려지지 않는 위협으로부터의 이상 현상을 구분하는데 사용된다. 기업 보안용 스플렁크 앱에는 첨단 위협 탐지를 위한 검색, 대시보드, 시각화 등을 통해 비정상적 활동을 파악하고, 공격 패턴을 탐지한다. 이 통계 분석을 통해 다음과 같은 공격과 위협을 찾아낼 수 있다.

- URL에 내재화된 명령 및 제어(CNC: Command and control) 지시어: 기업 보안용 스플렁크 앱은 데이터에서 비정상 모니터링 프로세스를 자동화한다.
- 악의적인 신규 웹사이트와 커뮤니케이션하는 호스트: 최근 24-48시간내에 등록된 도메인과 통신을 하는 호스트는 CNC 사이트일 가능성이 있다. 스플렁크 사용자는 도메인 등록과 프록시 데이터를 서로 연결시켜 실시간은 물론이고 이력 기반의 모니터링을 할 수 있다. 
- 알려지지 않은 커뮤니케이션의 급격한 증가: 기업에서 기업 보안용 스플렁크 앱을 이용해 구체적인 사용자의 프록시 데이터를 모니터링하면 전반적인 동향과 구체적인 사용자 별로 알려지지 않은 커뮤니케이션의 증가를 감시할 수 있다.  
- 사용 중인 특이한 사용자 에이전트 문자열: 사용자 에이전트는 이메일 등의 데이터 수집을 자동화 하지만 공격이 일어나는 동안에는 사용자 에이전트 문자열이 피해자-공격자 간의 자동 커뮤니케이션을 촉진시킬 수도 있다. 스플렁크 고객은 실시간으로 사용자 에이전트 이상 현상을 모니터링하고 이상 현상 발생 시 알림 메시지를 받을 수 있다.
-  비정상적인 출발지/목적지 트래픽 양: 시간 대 별로 각 사용자들의 출발지와 목적지 간의 평균 트래픽 양을 추적하고 계산한다. 통계적 이상치는 산포도로 시각화되고 이 결과는 조사를 시작하는 데에 이용 된다. 

기존 기업 보안용 스플렁크 앱을 구매한 고객들은 스플렁크의 커뮤니티 웹사이트인 스플렁크베이스(Splunkbase)에서 새로 나온 기업 보안용 스플렁크 앱 2.4를 다운 받을 수 있다. 스플렁크 제품을 사용하려는 고객은 스플렁크 영업 팀에 문의하면 된다.

 스플렁크는 오는 9월30일부터 10월 3일까지 라스베이거스 코스모폴리탄 호텔에서 올해로 4회째를 맞는 .conf2013를 개최한다. .conf2013는 스플렁크의 전세계 유저 컨퍼러스로 지금 등록할 수 있다. 이 행사는 스플렁크 고객, 파트너, 전문가 및 직원 등이 진행하는 100개 이상의 세션으로 구성되어 있다.