摩迪安利用Rapid7安全服务和解决方案阻止威胁
Industries
Company Size
Products
Customer Website
About Modine Manufacturing
摩迪安是一家以“不断创新和改善”为宗旨的企业。。我们对待网络安全的态度也一样。。摩迪安是全球热管理技术和解决方案的领导者,总部位于美国威斯康星州拉辛,业务遍及北美、南美、欧洲和亚洲。。它设计、工程、测试和生产各种各样的产品,它的产品“在世界的每一个角落,每天都能看到”。。
该公司正在积极保护自己的数字资产和客户的资产。。该公司全球IT安全经理Andrew Detloff说:“摩迪安全球IT安全团队的使命是保护人才、产品、流程和数据免受网络安全的威胁。。摩迪安将安全措施融入自己的系统、产品和流程中,以确保员工和客户能够正确且简单地实施网络安全措施。。」
課題
摩迪安公司的安全团队规模虽小,却肩负着重大使命,而且随着业务的增长,风险也在不断扩大。。Detloff带领的安全团队的监控对象事件源的数量从数百迅速扩大到数千。。摩迪安需要能够帮助他们改进安全计划的合作伙伴,以及能够应对主动和主动安全需求的合作伙伴。。为了实现这些战略目标,我们需要一个战略合作伙伴,在产品和服务方面拥有多个专家集团。。
解決策
摩迪安选择的战略合作伙伴是Rapid7。。现在,该公司正在通过使用Rapid7的管理服务和基于云的软件来改进安全程序。。引入的安全配置包括:InsightAppSec,扫描面向客户的应用程序和公司内部开发的应用程序;MVM(管理vm),减少脆弱性风险的扫描和管理业务;InsightIDRrapid7mdr,自动化解决方案InsightConnect的SOAR功能,SOC专家使用革命来检测和应对威胁。。
据Dettlof介绍,“Rapid7不仅仅是对端点和用户进行监控,而是将其与网络检测功能和其他数据源相结合,将本公司可能接受的各种各样的帮助我们更恰当、更广泛地掌握攻击方法。。结果,就能得到与本公司相关的文脉化数据。”。Detloff还说,通过在InsightIDR和InsightVM上都可以使用的轻量代理,我们可以在最大限度地减少对系统的影响的同时使用更多的功能。。
脅威を早期に発見早期に阻止
摩迪安定期对全球的系统和网络进行全面扫描,其安全团队在漏洞被攻击者利用之前对系统进行评估,并进行优先排序和补丁处理。。「MDRの導入によって、Rapid7 SOCが注意すべきアラートを知らせてくれるようになったため、今までの、大量の砂から砂金を探すような莫大なアラート処理の手間が省けるようになりました」とDetloff氏は述べています。“最近发生零日威胁的时候,也是Rapid7团队在发布前一晚告诉我们的。。第二天,当我在新闻上看到关于零日的消息时,我说:“这就是专业集团。。所以我们这些安保人员晚上可以安心睡觉了。”。」
如果没有MDR服务,安全团队的三个人每天要过滤约16,000个警报。。“多亏了Rapid7团队,我们团队每天要确认的事件减少到了5件左右。。5件なら余裕です。你也可以分离你的端点,让你的用户有效或无效直到事件被解决。。」
“由于Rapid7的团队提供了正确的信息,我们不必对每一个警报都进行调查,从而节省了大量的时间,”Detloff说。。“有一天,Rapid7的安全顾问联系了我们,告诉我们在其他地区运行可疑脚本的最终用户。。我们调查了一下,发现那个用户有一个被感染的USB驱动器,正在试图运行一个恶意脚本。。Rapid7团队掌握了所有的行动,在问题发生之前阻止了我们。。」
Detloff说,“从入侵发生到被发现,通常是90到207天。”。rapid7mdr在1小时内发现我们认为严重的事故,2小时内做出反应,48小时内修正。。光是这样的应对,就足以抵消今年MDR服务的成本。。」
在不增加人员的情况下扩大安全应对范围
Detloff说:“如果没有rapid7mdr,我们至少需要4到5个人来提供同等的覆盖率。”。“在漏洞管理方面,我认为至少需要增加两名工作人员来确定哪些是需要修复的,但让他们执行修复是不可能的。。另外,MDR方面还需要增加4 - 5人。。
“Rapid7的MDR负责人拥有其他公司没有的专业知识。。我们还喜欢代理修改功能和自动停用或启用用户的功能。。MDR和InsightConnect的合并对我们来说也很有吸引力。。
确保有时间专注于安全程序
“我很喜欢这份工作,我想尽可能深入地研究每一个突发事件,但如果我必须用一整天的时间对事件进行优先级排序,我没有时间。。rapid7mdr让我们有更多的时间去做战略性的事情,我们可以专注于整个安全程序,而不仅仅是检测。。」
“去年冬天,当一个重大的安全事故发生时,我正在湖里的冰面上钓鱼。”。“我们与我们的安全分析师和Rapid7通电话,远程确认事故并做出决定。。在威斯康辛的湖的中心进行了意外的应对!如果没有rapid7mdr,我就得赶紧回家处理。。」
フィッシングの課題への対処
“网页仿冒是我们公司的一个重要安全问题,”Detloff说。。“80%的侵害是由网页仿冒邮件引起的,每天大约会收到40份可疑邮件的用户报告,经过分析,其中大约有5份是有问题的邮件。。通过InsightConnect系统,我们不再需要分析40封邮件,而是可以集中精力处理其中的5封问题。。“工作流程是这样的:接收邮件,将所有链接和附件传递给几个不同的威胁情报源并执行,以确定哪些是无害的、哪些是已知的、哪些是可疑的”他解释道。。
“我们唯一需要做的就是点击一个按钮来确认这个目标是否是恶意的。。这样,InsightConnect就会把你从微软change中删除。。这样一来,以前写一封邮件需要30 ~ 40分钟,现在只需要几分钟。。“我们正在向新的邮件网关迁移以改进邮件过滤,我们将使用与InsightConnect服务的集成来进一步自动化地修复网页仿冒。。
定期测试应用程序的安全性
莫迪恩使用InsightAppSec动态扫描应用程序。。“我们公司内部开发了面向客户的应用程序,但这必须受到保护。。应用程序的开发者们很期待每次OWASP报告,因为它能让他们知道他们制作的应用程序是否遵守OWASP。。」
摩迪安公司计划今后在提供事件源和指示符的同时,扩大代理和警报系统的使用范围,并增加自动化。。“我认为自动化对小团队非常重要。。」
轻松实现的、专业的终端SOC操作
