最后更新于2020年3月6日(星期五)14:17:36 GMT
如今,几乎每个行业的安全团队都被威胁和警报淹没了——但金融行业除外, 这些数字呈指数级增长. 安全编排、自动化和响应(SOAR)解决方案,如Rapid7 InsightConnect 能帮助金融部门保持在问题的顶端吗, 而不是被他们埋葬, 通过加速进程来提高速度和效率.
InsightConnect帮助安全团队战略性地构建他们的工作流和流程,这样他们就可以每周减少数小时甚至数天的工作量. 我们采访了迈克尔·科克伦, 金融控股公司山顶控股的证券分析师, 讲述了他使用InsightConnect的经验,以及他的组织所节省的时间. 以下是要点:
问:是什么让金融领域的证券分析师感到困难?
A: 因为我们处理和存储人们的财务和个人身份信息,所以这个空间经常成为攻击目标. 从数据盗窃到电信欺诈, 我们一直是目标,在任何一天都可以收到数百封网络钓鱼邮件.
问:在使用InsightConnect之前,你们是否对任何流程进行了自动化?现在你们正在对哪些流程进行自动化?
A: 在使用InsightConnect之前,我们没有自动化任何东西. 这都是手动一步一步的过程,需要花费相当多的时间来完成.
我们自动化的第一步是网络钓鱼分类工作流程. 这需要丰富数据,然后调查url和文件附件. 手动执行这些步骤需要从电子邮件中删除所有内容, 把它发送到一堆不同的网站, 并验证它是否是恶意的. 使用InsightConnect的网络钓鱼工作流程, 这些步骤在后台自动为我们运行.
问:在使用InsightConnect之前,每周花多少小时进行分类, 你今天花了多少时间?
A: 在我们使用InsightConnect自动化网络钓鱼工作流程之前, 这是我们团队中一名成员的全职工作. 当天负责网络钓鱼调查的人, 这就是他们从进办公室到离开办公室所做的一切. 我们每天通常会收到几百封潜在的网络钓鱼邮件,我们不得不手动检查每一封邮件,以检查是否有恶意链接或附件.
在我们实现了InsightConnect的工作流程之后, 它大大减少了我们手动处理网络钓鱼邮件的时间. 它从一个全天的事情变成了现在打开InsightConnect,查看结果,看看哪些需要做出决定. 花在网络钓鱼上的时间从几小时减少到几分钟.
问:您和您的团队从构建自动化工作流程中学到了什么?
A: 在构建这些工作流时, 我们已经学会后退一步,看看我们实际上在做什么,这样我们就可以构建一个完整的过程,而不是团队中的每个人都按照自己的方式去做. 我们认为我们有一个很好的过程, 但当我们开始在InsightConnect中构建它时, 这是一个丑陋的工作流程,无法正常工作. 所以,我们进去移动东西,使它们从步骤A到B再到C,有逻辑地流动,等等. 有一个坚实的基础计划是很有帮助的.
问:作为安全编排和自动化的早期采用者, 对于考虑实施SOAR解决方案的团队,您有什么建议?
A: 它确实需要一些前期工作来启动和运行工作流, 这取决于你在做什么, 但这是非常值得的,也是我工作中最有趣的事情之一. 在这个过程中,每当我们遇到问题时,Rapid7都给了我们极大的帮助, 他们马上跟我们通了电话, 即使在深夜, 来帮助我们解决这个问题. 每当我们需要新东西的时候, 几天之内,他们要么为我们创造了它,要么找到了实现它的方法. 我要求Rapid7解决的所有问题,他们都有自己的解决方案. 和他们的关系真的很好.
问:您正在研究的其他SOAR用例是什么?
A: 我们希望用InsightConnect构建的其他一些工作流是我们使用的其他Rapid7工具. 我们希望进一步构建我们的补救和响应工作流程,以便当我们收到来自 InsightIDR, Rapid7的事件检测和响应解决方案, 关于未经授权访问帐户, 一个工作流触发并关闭了该帐户. 这将节省我们的时间,让我们不必为IT部门的人创建一个票,然后等待回复. 这种整合会立即关闭该账户.
我们也在研究在防火墙上实现自动屏蔽. 当我们的网络钓鱼工作流程发现一个我们认为不好的URL, 我们希望有另一个工作流来获取URL并将其发送到我们的防火墙,这样如果我们公司中的任何人点击它, 他们哪儿也去不了.
了解有关Rapid7 InsightConnect的更多信息
希望取得与山顶控股相同的自动化成功? 通过将工具连接在一起,InsightConnect有助于加速和简化耗时的流程,从而最大限度地发挥每个工具的潜力. 将解决方案之间的点连接起来可以更好地通知您的安全团队,并丰富您的数据和安全警报, 导致运营效率的重大改进.
