MTR

“Splunk, MTR에게 실시간 가시성 자동화를 포함한 솔루션 제시”

홍콩 최대의 지하철 노선을 보유했으며, ‘Mass Transit Railway’를 줄여 MTR이라고 명칭합니다. 2017년 기준으로 총 11개의 노선을 운영하고 있고, 일반적으로 평일에 580만명이 이용하는, 홍콩 의 철도를 대표하는 국가대표급 항철공사입니다. MTR은 수년 동안 철도 사업을 운영하면서 세계 최고 수준의 안전성과 신뢰성을 유지하기 위해 노력하고 있습니다.

       ✓ IT 운영에 대한 실시간 가시성

       ✓ 강화된 운영적 효율성 및 생산성; 개선된 리소스 사용(활용)

       ✓ 분(分) 단위로 처리되는 초고속 위협 추적

1. 주제: Splunk, MTR에게 실시간 가시성 자동화를 포함한 솔루션 제시

2. 과제:

           - 사업(홍콩의 독점 철도 사업자)의 비즈니스 성장에 맞춰 IT 인프라스트럭처에 대한 보            다 더 높은 가시성 구현 요구

           - 위험 요소 및 위협 탐지의 우수성을 위한 수요 증가

           - 보안 관리 자동화 범위를 확장하고자 하는 의사

3. 기업 파급효과:

           - 사전 예방적이며, 실시간 가시성과 대처 가능한 IT 운영 인사이트(통찰력)를 통해 보안 관리 강화

           - 수작업으로 처리하는 업무를 분(分) 단위로 처리 가능한 운영 자동화로 전환하여 효율적인 위협 추적 구현

           - 간소화된 운영 절차와 최적화된 리소스 사용(활용) 데이터를 통해 생산성 및 효율성 증가

4. 데이터 소스:

           - 액티브 디렉토리 (Active directory)

           - 특권 계정 관리 시스템 (Privileged account management system)

           - 운영 시스템 (Production system)

5. Splunk 유스케이스

           - 보안

           - IT 운영

왜 Splunk여야 하는가?

오늘날, ‘사이버보안’은 글로벌 기업들의 최대 관심사이며, 사이버 공간에서 시스템, 네트워크 및 데이터를 보호하는 일은 대단히 중요한 사안이 되었고, 이는 대중교통을 책임지는 항철공사에게 도 예외는 아닙니다. 따라서, MTR은 기업 네트워크 접근에 대한 추적에 특별한 중점을 두고, 일일 처리되는 IT 보안 관리 및 위협 탐지 업무를 자동화하기 위한 시스템 업그레이드의 필요성을 보았습니다.

MTR은 특정 계정 관리 시스템과 운영 시스템 사이에 보다 강력한 접근 제어 프로세스를 자동화하고자 하였습니다. 2017년 MTR은 기존의 ‘보안 정보와 이벤트 관리 시스템(SIEM)’을 Splunk Enterprise, Splunk Enterprise Security (ES) 및 Splunk IT Service Intelligence(ITSI) 모니터링 & 분석 솔루션 제품으로 교체했습니다. 이로 해당 솔루션이 제공하는 유연성과 부가적인 가치로 이득을 창출할 수 있었습니다

운영적 가시성 및 실시간 모니터링으로 위협 방지의 정의를 새로 쓰다.

Splunk Enterprise는 MTR 정보 시스템에 담긴 모든 데이터 리소스를 매칭 및 검색하여 잠재적 위 협을 분석할 수 있습니다. 액티브 디렉토리, 특정 계정 관리 시스템 및 기타 소스의 데이터가 잘 통합되어 있으며 사용자의 로그인 정보가 승인된 사용자 기록과 일치하는 지와 같이 자동 사용자 추적 및 식별이 가능합니다. 수작업으로 처리되는 기존의 조사 업무를 Splunk Enterprise는 내부 위험 요소 및 위협 분석을 통해 편리하고, 선조치적 자동 검색, 실시간 보안 모니터링을 가능하도 록 전환했습니다.

유연한 그래픽 인터페이스는 편리함을 제공하고 효율성을 높입니다.

Splunk Enterprise를 이용한 사용자 분석은 구글 검색처럼 간편하다고 MTR팀은 말합니다. 비성공 적인 로그인 시도 및 올바르지 않은 비밀번호 입력 등은 자동적으로 추적 및 보고되며, 승인되지 않은 접근(접속)은 네트워크 위치에서부터 사용자 계정 ID 및 사용자 아이덴티티 레벨까지 ‘레이 어 바이 레이어’로 추적됩니다.

상호작용적인 그래피컬 대시보드는 네트워크의 현황을 한눈에 볼 수 있도록 명확히 해줍니다. 사 용자들은 손가락으로 터치해 간단히 이상 감지 및 위협 모니터링 업무를 처리할 수 있으며, 이는 전례 없는 효율적인 IT 운영이라는 결과로 이어지게 됩니다.

네트워크 접근 추적을 분(分) 단위로 처리; 리소스 사용(활용)이 매우 신속하게 개선되었습니다.

Splunk Enterprise는 상관관계 및 분석을 이용해 높은 위험군 활동, 접근 및 이벤트를 감지합니다. 네트워크에 발생한 위협이 식별되면, Splunk Enterprise는 담당팀에게 경보를 보내게 되며, 이벤트 데이터 이력을 검색하여 그 행위의 범주, 의도, 심각성을 알아낼 수 있습니다. Splunk 소프트웨어 기능은 고객의 소중한 시간과 IT팀의 리소스 절약해주고, 담당 팀원들이 부가가치 산업 활동에 집 중할 수 있도록 해줍니다.

미래를 의한 새로운 가능성 창조

IT팀은 이미 Splunk Enterprise의 사용 범위를 서비스 수행(실적) 및 가용성 관리로 확대했습니다. 또한 외부 위협 탐지를 위해 Splunk Enterprise를 적용하고 있습니다.

출처: https://www.splunk.com/en_us/customers/success-stories/mtr-corporation.html