蓝谷学校 District 合作伙伴 with Rapid7 to Empower their New Security Team

挑战

2019年8月，蓝谷成为了一次成功的勒索软件攻击的目标，在缓解了攻击后，蓝谷立即对其庞大的应用程序和网络基础设施进行了自上而下的安全评估. 网络安全工程师埃文·尼科尔斯(Evan Nichols)是蓝谷的第一位网络安全工程师，也是该部门的常驻专家. 在这篇文章中，Evan强调了该学区面临的主要安全挑战.

Ransomware 

尼科尔斯指出，勒索软件攻击将永远是安全团队威胁列表的首位. “Our biggest ongoing threats are the entry points for phishing. 人们的看法是，公立学区预算有限，缺乏人力，网络罪犯就指望这一点. 我们的学区在2019年成为攻击目标，因为我们是该州最大的学区之一，而且就在开学前几天.”

可见性

“It comes down to being able to get a 1,只需要一小群人就能看到1000英尺高的东西,尼科尔斯解释道。. “最大的挑战是避免像警报疲劳这样的事情，并确保我们立即向地区管理部门提供相关数据.”

人员配备

Nichols还承认，许多学区无法在人员配备和软件方面进行投资，以满足当今网络安全环境的需求. “很多公共K-12环境没有足够的人力来运行一个成熟的安全堆栈. Or they may rely on open-source tools that require a lot of attention; but that also requires staffing hours 和 expertise which a lot of school districts don’t have.”

解决方案

Nichols first step was to implement the Rapid7 了解平台, including InsightIDR for detection 和 response, InsightVM for vulnerability management 和 InsightConnect for automation. Nichols说:“我选择Rapid7 Insight平台是因为它的尺寸合适，适合我们. “我们正在处理大量的数据，但我们没有很多温暖的身体. And we don’t have a lot of people trained as SOC analysts or engineers. We need the Rapid7 platform to do a lot of the heavy lifting for us.” 

“我们从检测开始，因为在评估之前，你不知道还需要什么. And, we were able to get up 和 running with Rapid7 InsightIDR in less than a week. It was really easy 和 quick to deploy in our environment.“蓝谷还使用insightvm扫描数据中心资产，作为其转向零信任模型的目标的一部分. “InsightVM gave us the ability to move there with confidence."

今天, 蓝谷学校有三名专业人员在网络安全方面进行持续培训 , 一个瘦, but highly effective security team. Rapid7洞察平台为他们提供了监督和保护其充满挑战的环境所需的大图景和深度可见性. 尼科尔斯说:“洞察平台擅长将我们想要看到的数据绘制到表面。. “I don’t have to search very far to see what’s happening. 这是因为InsightDR中的搜索非常容易导航，并根据我们的环境进行定制. Also, it’s easy to save 和 call back to queries.”

“We are monitoring a little bit of everything. The foundational sources for InsightIDR are one thing entirely, 和 that feeds the user behavior detective analytics models InsightIDR provides. 最重要的是, 我们有大量的自定义解析和日志事件源，我们能够比其他产品更快地完成这些解析和日志事件源. 很多前期的跑腿工作已经由Rapid7完成了，因为Rapid7和我们一样关心安全和IT事件源.” 

“Rapid7通过InsightConnect为我们的人力问题准备了答案,尼科尔斯继续说道。. “它确实有助于解决我们的人力短缺问题，因为你可以把所有的警报都扔到一个中央工作流系统中. Before it was really hard for us to act 和 respond at scale. lnsightConnect使我们能够以自动化的方式进行许多事件响应. And by us, I really mean me. Because early on I was the only one h和ling incident response.”

Nichols 和 his team were impressed with the easy Rapid7 setup. “It’s really great between InsightIDR 和 InsightConnect. You can bring anything to the table 和 it’s fine. It’s really easy to set up 和 get going. We have a Cisco product for network traffic analytics. 它消耗所有流数据，我们从中生成警报和行为阈值警报. 然后我们将其输入到insighttidr中，通过利用InsightConnect，我们能够更自动地做出反应.” 

的好处

“当我们研究其他具有类似广度和深度的云安全解决方案时, we would’ve been priced out of our budget pretty quickly. With the Rapid7 Platform we get a lot of capabilities for the money. 其他平台对于我们的小团队来说太复杂了，无法进行日常操作. 唯一的另一个选择就是我们自己用开源软件来完成这一切. 这意味着大量的本地存储和系统，这等于大量的成本. And then you have to consider the human capital to manage it. That’s an entire environment you must oversee. 正是这些东西指引着我们朝着insighttidr和更广泛的了解平台的方向发展.”

使用Rapid7帮助蓝谷学校团队更有效地管理他们的工作流程. “从离开办公室到第二天上班，我们可以很容易地休息和睡觉，因为我们有量身定制的工作流程来处理环境中的事情，否则会让我们在晚上睡不着. We knew that we needed a way to gather all the events. We l和ed on InsightIDR because there was not a cap on total events or data storage.”

“Rapid7 helped us meet all our goals. We have all the visibility we need. We have tuned up all the detection analytics 和 data sources. I’m confident in what we have put in place with Rapid7,” concludes Nichols.