最后更新于2023年4月17日星期一23:09:35 GMT
在一个不受政府严格监管的行业开展网络安全仍然面临着自身的挑战. 我们采访了托尼·哈米尔, 他是达拉斯一家商业房地产开发公司的高级网络安全工程师, 德州, 听听他和他的团队面临的挑战,以及他们是如何管理安全的. Hamil的工作包括从应用程序设置到维护,再到集成和检查警报. 作为一个小安全小组的一员, 哈米尔和他的同事们在每个安全领域都有他们的手.
以下是我们采访的摘要:
问:房地产行业IT环境的本质是什么?它有何独特之处?
A: 它的独特之处在于没有太多的政府法规, 但我们的首席执行官非常注重安全, 所以我们坚持CIS和NIST的标准,即使我们不受其中任何一个的强制要求. 这对我们公司非常重要,因为我们有很多远程站点和用户, 所以我们的工作是让每个人都受到控制不管他们是在现场工作还是远程工作. 例如, 我们需要确保用户不会做一些事情,比如登录到一个恶意的Wi-Fi设备,让他们的账户受到损害.
问:为了保证公司的安全,你们采取了哪些措施?
A: 我们一直在使用Rapid7 InsightVM 和 Metasploit 到现在差不多五年了. 我们还引进了insighttidr和 管理检测和响应 (MDR)服务作为我们扩展的SOC团队. 最近,我们带来了 InsightConnect 来支持我们进一步一体化的倡议, 自动化, 和协调,使我们的安全行动更加流畅.
我相信有一个单一的窗格玻璃的看法. 这可能很难, 因为没有一个供应商是无所不能的, 但insighttidr在从我们的其他解决方案中获取日志方面做得很好,不仅可以摄取它们,还可以对它们发出警报,或者利用数据进行用户行为分析. 这使我们能够使用insighttidr作为警报的真实来源, data, 还有用户活动,这样我们就能很快弄清楚发生了什么. 现在InsightConnect和insighttidr集成了, 我可以看到用户是否进行了横向移动,并可以禁用它们或将它们踢出网络, 在同一个平台上提供了更多的功能,而不需要在多个平台之间跳转.
问:你们最大的安全挑战是什么?
A: 我们最大的问题是补丁管理. 我们的团队并不总是得到补丁或者正确地安装它们, 这会让我们的系统变得脆弱. 我们需要知道何时会发生这种情况,并有办法让他们知道将系统留在网络上一段时间,以便InsightVM可以安装补丁. Rapid7的 了解代理 在这个过程中很有帮助吗. 我们的员工来自世界各地, 其中很多都没有VPN, 但特工允许我从他们那里获取数据.
另一大挑战是用户和资产管理. 当员工加入或离开我们公司时, 我们需要从IT和安全的角度对他们进行管理. 有了InsightConnect,整个过程都是自动化的,一切都是无缝的.
问:你如何衡量你的安全项目的成功?
A: 我们最重要的指标是:“我们是否被入侵了??“如果发生了事故,会发生到什么程度?? 用户是否发现了,我们是否发现了,我们是否阻止了,他们是否泄露了数据? 我们的成功取决于我们是否损失了任何数据、收入或声誉. 如果没有发生这种情况,我认为这是成功的. 因为我们有Rapid7的产品, 这些问题通常在任何恶意事件发生之前被停止或阻止.
问:自从使用InsightVM以来,你们的漏洞管理方法是如何发展的?
A: 过去两年,我们的做法是天壤之别. 能够看到我们的终点, 远程和现场, 近乎实时地收集这些数据对我们的帮助最大. 因为不是每个人都在我们的网络上或使用vpn, 我们得知道发生了什么, 从InsightVM获取这些数据至关重要.
我们现在有报告给我们的基础设施工程团队,他们利用我们的补丁解决方案. 我们也有一份报告给我的老板和他们的老板,这样他们就知道我们的最高风险资产是什么,以及我们的总体风险评分. 如果分数上升了,他们想知道原因,而报告传达了这一点.
目前, 我们正在探索集装箱, 因为我们希望在开发项目的开始就嵌入安全性. 与InsightVM, 我们将能够在开发过程中监控容器,以确保它们在投入生产之前是安全的.
问:InsightVM如何帮助你发现网络中一些更深层次的问题?
A: InsightVM帮助我们发现了在我们的补丁解决方案中我们不知道的事情. 我们知道我们正在弥补, 但是一旦我们把代理放到我们所有的系统上,就能够近乎实时地收集数据, 我们看到了一些没有正确设置的东西. 这有助于我们进行配置,并确保遵循某些安全概念. 现在,当我们登录到我们的InsightVM仪表板, 我们可以看到我们的指标得到改善,因为我们已经获得了更多关于环境内部发生的事情的洞察力和可操作的数据.
问:在使用InsightConnect之前,你们是否将任何流程自动化了?
A: 不,我有一些自己运行的脚本,但它们不是自动化的. 我们研究自动化已经好几年了,在Rapid7收购Kom和之前,我们就已经在评估它了,后来它变成了InsightConnect. 我们做的第一件事是自动化和编排我们的入职过程. 过去五到六个小时的过程变成了五到六个小时一分钟 使用InsightConnect处理. 这为我们每周节省了30个小时的员工时间,这些时间现在可以用来做其他事情. 它还显著减少了用户错误,因为当流程自动化时, 它每次都精确地发生, 如果失败了, 我们会收到一封电子邮件,要求立即修复.
我们还利用InsightConnect来确保每次都能及时进行补丁. 例如,如果一个10级永恒之蓝漏洞出现,我们知道它需要尽快修补. InsightVM看到了这一点,并将实时推送补丁到InsightConnect, 节省人类的时间. 它还通过自动收集数据帮助我们隔离恶意用户或系统,以便我们的团队可以快速做出决定.
InsightConnect扩展了我们所有Rapid7产品的功能,因为它们都可以相互收集数据以进行更好的检测, 决定, 和警报. 当它们整合在一起时,它们的价值就会增加.
问:对于希望深入研究自动化和编排的安全团队,您有什么建议?
A: 找出IT团队中的所有部门都在做什么,以及如何实现自动化. 与您的应用程序交谈, 服务器基础设施, 发展, 以及安全团队了解哪些重复性任务可以自动化. 一旦你知道了这些, InsightConnect可以完成其中的大部分, 即使它需要一些手动脚本来开始.
问:你与Rapid7建立的关系如何为你的团队增加价值?
A: Rapid7是我合作过的供应商中最好的客户关系程序之一. 大多数公司一开始就承诺很多,但一旦你买了,你就再也没有收到他们的消息. 而Rapid7却不是这样. 我知道团队成员的名字,因为他们每个月都来检查,想知道发生了什么,以及他们如何帮助我. 我们花时间一起处理警报和异常情况——rapid7真正确保我们得到照顾. 和MDR团队一起, 我们经历了正常和不正常的环境,所以, 例如, 特定的活动适合特定的账户, 能不能把他们列入白名单,这样他们就不会出现在我们的报告上,浪费我们的时间.
Rapid7提供的培训也可以帮助我们设置东西. 知识库和论坛提供了大量的培训和支持,所以我们可以看到这些产品还能做些什么. 我们希望从我们拥有的产品中获得所有东西,而Rapid7使这一点变得容易.
问:Rapid7如何适应你们安全项目的未来目标?
A: 与云的集成将是我们下一步的重点. 我们的云环境中有很多活动和日志记录, 一旦数据开始进入insighttidr或InsightVM, 这会让我们的安全计划更完善.
