蓝谷学区与Rapid7合作,授权他们的新安全团队

行业

公司规模

客户的网站

关于蓝谷学校

堪萨斯州的蓝谷联合学区有超过23所学校,000名学生和3名,100名教职员工分布在5所高中, 9所中学和21所小学. 地区有一个长期的承诺,确保使用技术作为地区课程和教学的一个组成部分. 蓝谷学校是一个1:1的学区, 也就是说从幼儿园开始, 每个学生都有一个设备,从六年级开始,这些设备就会在学校和家里来回移动——这种环境足够具有挑战性,足以让任何安全专业人士认真停下来. 

同样重要的是, 蓝谷学校致力于为学生提供安全的学习环境. 学生在线执行的所有区域设备和活动都通过基于云的过滤系统全天候保护. 这意味着学生可以随时学习, 无论何时何地,在使用区域设备时,都能体验到相同水平的数字安全, 他们是否在教室里, 在公交车上, 或者在家里.

挑战

2019年8月,蓝谷成为了一次成功的勒索软件攻击的目标,在缓解了攻击后,蓝谷立即对其庞大的应用程序和网络基础设施进行了自上而下的安全评估. 网络安全工程师埃文·尼科尔斯(Evan Nichols)是蓝谷的第一位网络安全工程师,也是该部门的常驻专家. 在这篇文章中,Evan强调了该学区面临的主要安全挑战.

Ransomware 

尼科尔斯指出,勒索软件攻击将永远是安全团队威胁列表的首位. “我们最大的持续威胁是网络钓鱼的入口点. 人们的看法是,公立学区预算有限,缺乏人力,网络罪犯就指望这一点. 我们的学区在2019年成为攻击目标,因为我们是该州最大的学区之一,而且就在开学前几天.”

可见性

“归根结底就是能够得到1分,只需要一小群人就能看到1000英尺高的东西,尼科尔斯解释道。. “最大的挑战是避免像警报疲劳这样的事情,并确保我们立即向地区管理部门提供相关数据.”

人员配备

Nichols还承认,许多学区无法在人员配备和软件方面进行投资,以满足当今网络安全环境的需求. “很多公共K-12环境没有足够的人力来运行一个成熟的安全堆栈. Or they may rely on open-source tools that require a lot of attention; but that also requires staffing hours 和 expertise which a lot of school districts don’t have.”

我选择了Rapid7 Insight 平台,因为它的尺寸合适,适合我们. 我们正在处理大量的数据,但我们没有很多温暖的身体. 我们没有很多受过SOC分析师或工程师培训的人. 我们需要Rapid7平台为我们做很多繁重的工作.
Evan Nichols,网络安全工程师

解决方案

Nichols的第一步是实现Rapid7 Insight 平台, 包括用于检测和响应的insighttidr, InsightVM用于漏洞管理,InsightConnect用于自动化. Nichols说:“我选择Rapid7 Insight平台是因为它的尺寸合适,适合我们. “我们正在处理大量的数据,但我们没有很多温暖的身体. 我们没有很多受过SOC分析师或工程师培训的人. 我们需要Rapid7平台为我们做很多繁重的工作.” 

“我们从检测开始,因为在评估之前,你不知道还需要什么. 而且,我们能够在不到一周的时间内启动并运行Rapid7 insighttidr. 在我们的环境中部署它非常容易和快速.“蓝谷还使用insightvm扫描数据中心资产,作为其转向零信任模型的目标的一部分. “InsightVM让我们能够充满信心地实现这一目标."

今天, 蓝谷学校有三名专业人员在网络安全方面进行持续培训 , 一个瘦, 但是非常高效的安全团队. Rapid7洞察平台为他们提供了监督和保护其充满挑战的环境所需的大图景和深度可见性. 尼科尔斯说:“洞察平台擅长将我们想要看到的数据绘制到表面。. “我不需要搜索很远就能看到发生了什么. 这是因为InsightDR中的搜索非常容易导航,并根据我们的环境进行定制. 此外,保存和回调查询也很容易.”

“我们对每件事都进行了一点点监控. insighttidr的基本来源完全是一回事, 并为insighttidr提供的用户行为检测分析模型提供信息. 最重要的是, 我们有大量的自定义解析和日志事件源,我们能够比其他产品更快地完成这些解析和日志事件源. 很多前期的跑腿工作已经由Rapid7完成了,因为Rapid7和我们一样关心安全和IT事件源.” 

“Rapid7通过InsightConnect为我们的人力问题准备了答案,尼科尔斯继续说道。. “它确实有助于解决我们的人力短缺问题,因为你可以把所有的警报都扔到一个中央工作流系统中. 在此之前,我们很难采取大规模的行动和应对. lnsightConnect使我们能够以自动化的方式进行许多事件响应. 我说的“我们”是指我自己. 因为一开始我是唯一一个处理事件响应的人.”

Rapid7的简单设置给尼科尔斯和他的团队留下了深刻的印象. “insighttidr和InsightConnect之间真的很棒. 你可以把任何东西带到桌子上,这很好. 它真的很容易设置和运行. 我们有一个用于网络流量分析的思科产品. 它消耗所有流数据,我们从中生成警报和行为阈值警报. 然后我们将其输入到insighttidr中,通过利用InsightConnect,我们能够更自动地做出反应.” 

的好处

“当我们研究其他具有类似广度和深度的云安全解决方案时, 我们的价格很快就会超出预算. 有了Rapid7平台,我们就能物有所值地获得很多功能. 其他平台对于我们的小团队来说太复杂了,无法进行日常操作. 唯一的另一个选择就是我们自己用开源软件来完成这一切. 这意味着大量的本地存储和系统,这等于大量的成本. 然后你必须考虑人力资本来管理它. 这是你必须监督的整个环境. 正是这些东西指引着我们朝着insighttidr和更广泛的Insight 平台的方向发展.”

使用Rapid7帮助蓝谷学校团队更有效地管理他们的工作流程. “从离开办公室到第二天上班,我们可以很容易地休息和睡觉,因为我们有量身定制的工作流程来处理环境中的事情,否则会让我们在晚上睡不着. 我们知道我们需要一种方法来收集所有的事件. 我们之所以选择insighttidr,是因为它对总事件或数据存储没有上限.”

“Rapid7帮助我们实现了所有目标. 我们有足够的能见度. 我们已经调整了所有的检测分析和数据源. 我对Rapid7很有信心。”Nichols总结道.