奥登集团依靠Rapid7 Insight平台安全地扩展其金融服务产品组合

Challenge

“我在安全领域工作了12年，致力于信息安全，”赖特说. “我对各种类型的安全事件都很担心. 但我认为最让我害怕的是网络钓鱼和人为错误.赖特希望围绕NIST的网络安全框架建立一个项目:识别, protect, detect, respond, and recover. 离公司的第一款产品发布只有一个月了, 赖特的首要任务是获得探测可疑活动的能力. 他转向了insighttidr - Rapid7易于部署的SIEM(安全信息和事件管理)解决方案，该解决方案具有内置的威胁检测功能.

The Solution

“除非你能察觉到，否则你无法做出反应和恢复，”赖特说. 因此，在奥登开始工作的两周内，赖特开始了insight tidr的POC. 他以前从未使用过insighttidr, 但他对其他SIEM解决方案有着丰富的经验，他知道要让其中一个产品完全部署需要几个月的时间. 他需要一款具有强大的开箱即用检测功能的产品. insighttidr具有用户行为分析和许多其他检测方法, 使它成为赖特需要的完美产品. “我们在POC的第三天和30天的POC结束时开始生产, 我们从insighttidr中获得了真正的价值.”

Doing More With Less

在人手有限的情况下从零开始构建SOC的挑战, 一旦insighttidr启动并运行, 赖特将注意力转向自动化流程，以免员工不堪重负. “我希望通过InsightConnect来解决自动化挑战. 它在同一个Insight平台上得到原生支持, 对我们来说，走这条路而不是自己开发或使用不同的自动化平台是很有意义的.” 

Auden能够快速将30多个InsightConnect自动化工作流程投入生产. As a result, 奥登几乎三分之二的每周警报都是自动处理的, 而剩下的三分之一则通过自动化和警报浓缩来加速. “在部署InsightConnect之前，我们每周都会收到大约300个警报，我们必须手动处理,” explains Wright. “通过InsightConnect，我们已经自动化了大约200个. 我们可以自动为剩下的100个警报添加上下文, 使我们的三位SOC分析师能够更快速有效地处理它们. 它缩短了我们的反应时间, 当存在妥协或潜在妥协时，速度是至关重要的.”

其中一个InsightConnect自动化工作流使用Slack来验证用户是否执行了某些操作. 如果用户说是他们做的，调查就结束了. 如果用户拒绝，团队将继续进行调查. 另一个工作流程使用Slack向SOC团队提供预处理漏洞分析以供分析. 自动化任务运行由slack生成的当前关键漏洞报告，该报告可由任何SOC分析师处理. “它会自动启动Sophos的取证工作流程, 我们所有的机器上都有吗,” explains Wright. 该工作流解包特定机器的快照, sorts the data, 将其转换为人类可读的格式, 然后让分析师可以从Slack上查询数据. 每次运行它，我们都会节省大约8小时的工作时间——我们每周会做3-4次这样的分析. That’s a massive benefit.”

“我可以用三个人运行一个24/7的SOC的唯一原因是insighttidr和InsightConnect,” states Wright. “在第一次接触案件时，我们有15分钟的SLA. 大多数情况下，我们在五分钟内就能第一次接触.” 

综合平台的好处 

一旦赖特有了检测的工具, respond, and recover, 他需要回到NIST网络安全框架的第一部分，并实施解决方案来帮助识别和保护奥登的数据和资产. 为此，他求助于Rapid7的漏洞管理工具InsightVM. Insight平台的一个关键优势是，在Auden的端点上，InsightVM和insighttidr都可以使用Rapid7 Insight Agent. 这意味着部署InsightVM既快速又容易. Insight Agent的重量很轻，这并没有什么坏处. “我讨厌代理，除非它们很轻，不会使机器陷入困境，”赖特说, Insight Agent是一个真正的瘦客户端.”

使用Insight平台的另一个好处是产品之间交换的数据. “在调查中，漏洞和警报数据可以很容易地联系起来. 如果我们发现任何异常活动, 我们可以立即检查InsightVM中的相关漏洞,” explains Wright. “我们从不需要离开我们的Rapid7界面. 我们只需点击InsightVM的下拉菜单，看看这种方法是否可行.”

Securing the Cloud

Auden的IT应用程序部署环境完全基于云(AWS)。, Microsoft Azure, 和谷歌云平台(GCP). 至关重要的是，奥登的安全计划在所有三个云平台上提供高效和一致的安全控制. 

Auden正在利用insighttidr和InsightVM提供的本地集成来帮助监控他们的云足迹. 他们还使用InsightConnect来减少在多云环境中管理安全所需的跑腿工作. For example, 资产分布在许多不同类型的基础设施中, 对于奥登团队来说，理解一个IP地址是内部的还是外部的是一个真正的挑战, 别管资产本身的细节和它的位置了. 为了解决这一挑战，他们构建了一个InsightConnect工作流. 现在，团队可以在Slack中输入IP地址，工作流程将通过Auden的基础设施进行搜索，以定位IP地址和相关资产. Once the asset is found, IP和资产的详细信息，如IP地址类型, asset name, asset type, location, availability zone, 在Slack的回复中提供了更多. Auden也有一个类似的工作流来检索防火墙规则. 

在insighttidr和InsightVM中发现的本地云集成, 以及InsightConnect提供的数十个云插件, 使Auden能够无缝地管理其多云环境中的安全性. “这只是监测结合的一个例子, alerting, 自动化结合起来可以消除常见的错误，防止它们将公司暴露在真正的安全事件中，或者要求向监管机构报告,” adds Wright.

随着他们不断发展创新的银行服务, Auden依靠Rapid7的Insight平台来提供强大的安全环境. “The bottom line,” concludes Wright, 奥登的生意是现在的十倍, 安全团队不需要增加10倍. Insight平台为我们提供了大量的运营杠杆和可扩展性.”