美国信号公司增加了Rapid7平台和管理服务，以保护其客户网络

挑战

为客户做好安全工作意味着要关注大大小小的一系列威胁. As with many companies, phishing is a major concern. 漏洞发现的速度正在加快，对漏洞进行必要的修补和缓解也是如此.“That seems to be something that’s accelerated over time,笛福解释道。. “It just seems to keep coming faster 和 faster.”

美国信号还确保遵守各种安全框架和法规, 包括SOC 2, PCI和HIPAA. “我们保持高度合规，以确保我们所做的一切都是为了保护公司和客户的数据安全.”

解决方案

两年前, 我们的信号使用Rapid7 InsightVM取代了现有的漏洞管理平台. 一年后, they added the Rapid7 管理检测和响应 (MDR) service, which includes access to InsightIDR, Rapid7 SIEM / XDR. 

不幸的是, 在Rapid7之前，我们的信号使用的漏洞管理软件无法跟上我们的信号不断变化的环境. “The previous product was not particularly cloud-friendly,” noted Defoe. “它需要大量的内部基础设施来覆盖我们所有的各种环境. 因为这种复杂性, it was a lot more challenging to manage our vulnerability assessment program. That’s when we started looking at other providers.” 

在过去三年中，我们的信号曾使用过几种SIEM工具，但他们想要一种基于云的工具, so they can easily collect data from endpoints no matter where they are, 和 not have to manage the infrastructure on-premises.

“Once we switched to the Rapid7 platform, 我们发现，通过更加云友好的方法收集漏洞指标的能力大大提高了我们评估所有系统的能力,笛福说。. “As a part of our defense in depth strategy, 我们在企业和生产服务环境之间强制执行网络分段. 能够实时评估这些环境，同时保持它们之间的分割对我们来说很重要.” 

开箱即用的价值 

Defoe选择Rapid7的一个关键因素是Rapid7 Insight Agent的质量以及它在云环境中的运行方式. “我们可以使用Rapid7 Insight Agent以一种更加云友好和远程工作友好的方式进行评估. When we evaluated the MDR service, leveraging the Insight Agent was turnkey, so we were able to onboard with MDR very quickly. The Insight Agent became even more valuable when, 由于其在漏洞管理和检测与响应方面的双重作用, 由于代理已经就位，我们立即收集了来自所有主机的日志.”

“与我们之前的工具相比，MDR的部署非常简单，”Defoe说. “All you have to do is install the agent. We turned the Insight Agent on to collect data for MDR, 几分钟之内, we were seventy-five percent done. The Insight Agent provides excellent telemetry. We very quickly went from nothing to the POC providing real security value. 另一件让我们松了一口气的事情是，我们从MDR服务中得到的警报比我们从以前的SIEM中看到的要准确得多.”

Engaging All Teams in 脆弱性管理

与Rapid7 InsightVM的另一个关键区别是Defoe能够让其他团队直接参与使用该平台进行漏洞管理. “我们至少有五个不同的团队对自己的系统负责, 包括企业IT, 安全操作, 软件开发, cloud engineering 和 our facilities team,笛福解释道。. “使用仪表板界面, 我们已经能够为每个单独的团队构建报告，以获得他们所处位置的高层次概述，以及他们需要做些什么来跟上漏洞管理. 将这些完全不同的群体整合到一个平台中，让他们可以看到他们需要为漏洞管理做些什么，这对我们的成功至关重要.”

Defoe每周与所有团队召开一次漏洞管理会议，回顾他们即将看到的问题, the critical vulnerabilities each team needs to expedite patching of, 和 the overall status for each team. “这是我们漏洞管理政策的一部分，我们遵循一定的要求. 一切都被跟踪并报告给我们的审计员和执行安全团队. 脆弱性 management is a critical part of what we do here at 我们的信号.

Exp和ing the Capacity of The SOC

Defoe also manages a 5-person SOC which includes an automation engineer, a security engineer 和 three analysts. 他们负责事件审查, 脆弱性管理, security testing 和 pen testing along with email phishing 和 user education. 尽管美国信号安全操作中心确实对关键安全事件做出全天候响应, 该团队依靠Rapid7 MDR, 的SOC模型，以提高他们的决策和响应能力. “Having those eyes on glass 24/7 with MDR, 能够全天候提高和升级至关重要的警报是一种很大的解脱. The reduced alert volume certainly helps us sleep better, too. 我们不再像以前那样日复一日地充斥着假阳性警报. Having the Rapid7 MDR SOC as a backstop is definitely very helpful.”

“MDR的用户界面——insighttidr——也比我们以前的SIEM好得多，”笛福说. “在此之前，我们必须深入两层才能获得警报，我们试图审查并关闭警报. 我们有大量的警报，它们被隐藏在这个奇怪的用户界面中，我们实际上会错过警报. Now, we get much higher quality alerts right at the top of the queue.” 

在接下来的一年里，Defoe将专注于使用Rapid7 InsightConnect实现自动化. “We really want to double down on our automation efforts, 因此，我们要确保我们继续扩大我们的能力，而不是扩大我们团队的人数.” 

当一个强大的安全团队, 就像美国信号中心的那个, has the right security tools in place, things have a way of becoming more predictable 和 less three-alarm fire. “在过去的几个月里，我们从Rapid7 MDR服务中得到的所有警报都是安全测试或合法活动. We haven’t had anything that would classify as a major security incident.” 

In the end, Defoe’s security approach is simple 和 straightforward. “重要的是，我们的组织有合适的人员来满足我们的安全需求, but also that we have the right tools, 解决方案, 以及提供适当的服务来协助我们——这是我们一直在评估的. 当涉及到管理持续的漏洞时，我们正在为成功做好准备, detecting 和 responding to anomalous behavior, 和 identifying weaknesses that might expose us 和 our customers to risk.”