奥登集团依靠Rapid7 Insight平台安全地扩展其金融服务产品组合
关于奥登
奥登集团是一家具有社会责任感的金融服务公司. 通过技术, 研究, 和创新, 该公司正在为客户提供更好的借贷和控制资金的方式. 成立于2013年, 奥登的第一个产品是一个贷款平台,使短期贷款更容易负担. 今天, 曼彻斯特, 一家英国公司正在开发新的银行服务,旨在改善客户的财务健康和福祉.
公司领导层认识到,网络安全对公司使命的成功和发展至关重要. 结果是, 他们带来了一个六人的安全小组, led by 菲利普·赖特,信息安全主管, 管理网络安全的各个方面,从预防到威胁响应.
挑战
“我在安全领域工作了12年,致力于信息安全,”赖特说. “我对各种类型的安全事件都很担心. 但我认为最让我害怕的是网络钓鱼和人为错误.赖特希望围绕NIST的网络安全框架建立一个项目:识别, 保护, 检测, 回应, 和恢复. 离公司的第一款产品发布只有一个月了, 赖特的首要任务是获得探测可疑活动的能力. 他转向了insighttidr - Rapid7易于部署的SIEM(安全信息和事件管理)解决方案,该解决方案具有内置的威胁检测功能.
解决方案
“除非你能察觉到,否则你无法做出反应和恢复,”赖特说. 因此,在奥登开始工作的两周内,赖特开始了insight tidr的POC. 他以前从未使用过insighttidr, 但他对其他SIEM解决方案有着丰富的经验,他知道要让其中一个产品完全部署需要几个月的时间. 他需要一款具有强大的开箱即用检测功能的产品. insighttidr具有用户行为分析和许多其他检测方法, 使它成为赖特需要的完美产品. “我们在POC的第三天和30天的POC结束时开始生产, 我们从insighttidr中获得了真正的价值.”
事半功倍
在人手有限的情况下从零开始构建SOC的挑战, 一旦insighttidr启动并运行, 赖特将注意力转向自动化流程,以免员工不堪重负. “我希望通过InsightConnect来解决自动化挑战. 它在同一个Insight平台上得到原生支持, 对我们来说,走这条路而不是自己开发或使用不同的自动化平台是很有意义的.”
奥登能够快速将30多个InsightConnect自动化工作流程投入生产. 结果是, 奥登几乎三分之二的每周警报都是自动处理的, 而剩下的三分之一则通过自动化和警报浓缩来加速. “在部署InsightConnect之前,我们每周都会收到大约300个警报,我们必须手动处理,赖特解释道。. “通过InsightConnect,我们已经自动化了大约200个. 我们可以自动为剩下的100个警报添加上下文, 使我们的三位SOC分析师能够更快速有效地处理它们. 它缩短了我们的反应时间, 当存在妥协或潜在妥协时,速度是至关重要的.”
其中一个InsightConnect自动化工作流使用Slack来验证用户是否执行了某些操作. 如果用户说是他们做的,调查就结束了. 如果用户拒绝,团队将继续进行调查. 另一个工作流程使用Slack向SOC团队提供预处理漏洞分析以供分析. 自动化任务运行由slack生成的当前关键漏洞报告,该报告可由任何SOC分析师处理. “它会自动启动Sophos的取证工作流程, 我们所有的机器上都有吗,赖特解释道。. 该工作流解包特定机器的快照, 排序数据, 将其转换为人类可读的格式, 然后让分析师可以从Slack上查询数据. 每次运行它,我们都会节省大约8小时的工作时间——我们每周会做3-4次这样的分析. 这是一个巨大的好处.”
“我可以用三个人运行一个24/7的SOC的唯一原因是insighttidr和InsightConnect,赖特说。. “在第一次接触案件时,我们有15分钟的SLA. 大多数情况下,我们在五分钟内就能第一次接触.”
综合平台的好处
一旦赖特有了检测的工具, 回应, 和恢复, 他需要回到NIST网络安全框架的第一部分,并实施解决方案来帮助识别和保护奥登的数据和资产. 为此,他求助于Rapid7的漏洞管理工具InsightVM. Insight平台的一个关键优势是,在奥登的端点上,InsightVM和insighttidr都可以使用Rapid7 Insight Agent. 这意味着部署InsightVM既快速又容易. Insight Agent的重量很轻,这并没有什么坏处. “我讨厌代理,除非它们很轻,不会使机器陷入困境,”赖特说, Insight Agent是一个真正的瘦客户端.”
使用Insight平台的另一个好处是产品之间交换的数据. “在调查中,漏洞和警报数据可以很容易地联系起来. 如果我们发现任何异常活动, 我们可以立即检查InsightVM中的相关漏洞,赖特解释道。. “我们从不需要离开我们的Rapid7界面. 我们只需点击InsightVM的下拉菜单,看看这种方法是否可行.”
保护云
奥登的IT应用程序部署环境完全基于云(AWS)。, 微软Azure, 和谷歌云平台(GCP). 至关重要的是,奥登的安全计划在所有三个云平台上提供高效和一致的安全控制.
奥登正在利用insighttidr和InsightVM提供的本地集成来帮助监控他们的云足迹. 他们还使用InsightConnect来减少在多云环境中管理安全所需的跑腿工作. 例如, 资产分布在许多不同类型的基础设施中, 对于奥登团队来说,理解一个IP地址是内部的还是外部的是一个真正的挑战, 别管资产本身的细节和它的位置了. 为了解决这一挑战,他们构建了一个InsightConnect工作流. 现在,团队可以在Slack中输入IP地址,工作流程将通过奥登的基础设施进行搜索,以定位IP地址和相关资产. 一旦找到资产, IP和资产的详细信息,如IP地址类型, 资产名称, 资产类型, 位置, 可用性区域, 在Slack的回复中提供了更多. 奥登也有一个类似的工作流来检索防火墙规则.
在insighttidr和InsightVM中发现的本地云集成, 以及InsightConnect提供的数十个云插件, 使奥登能够无缝地管理其多云环境中的安全性. “这只是监测结合的一个例子, 报警, 自动化结合起来可以消除常见的错误,防止它们将公司暴露在真正的安全事件中,或者要求向监管机构报告,赖特补充道。.
随着他们不断发展创新的银行服务, 奥登依靠Rapid7的Insight平台来提供强大的安全环境. “底线是,赖特总结道。, 奥登的生意是现在的十倍, 安全团队不需要增加10倍. Insight平台为我们提供了大量的运营杠杆和可扩展性.”
