Rapid7 InsightVM和insighttidr集成，为科特布斯Suedbayern节省60%的时间并简化合规性

挑战

德国庞大的能源部门是黑客的一个重要目标. 今天的网络犯罪, 黑客行为主义者, 国家支持的特工既有动机，也有能力进行旨在窃取敏感运营和客户信息的攻击, 向组织勒索赎金, 或者破坏关键控制系统. Suedbayern需要遵守德国的IT安全法案，还需要一个具有智能的技术解决方案, 不仅仅是规则, 以检测其IT基础设施中的异常活动.

解决方案

因为ESB可以证明该技术是用于安全目的的, 它得到了工委会的批准. Rapid7 InsightVM和InsightIDR提供了“一个代理来管理它们”，以简化管理和集中报告.

这些只是让Benjamin Nawrath夜不能寐的部分威胁. Benjamin Nawrath是南巴伐利亚能源供应商科特布斯Suedbayern (ESB)的信息安全官。, 谁为120人提供天然气和电力,德国南部的1万户家庭. 该地区最大的同类运营商, ESB大约有350名员工, 14名员工与Benjamin Nawrath一起在IT部门工作.

合规负担

Benjamin Nawrath面临的最大挑战之一是遵守德国的IT安全法案(ITSG)。, 该法案于2015年成为法律，但从2017年7月起生效. 该法律要求所有关键基础设施提供商运行先进的网络安全程序，以确保可用性, 完整性, 真实性, 以及信息技术基础设施的保密性. 它还要求组织定期提供证明其合规性的认证. 如果不这样做，可能会被罚款数十万欧元.

用大型复杂的环境进行监控(包括2,000个IP地址), 有限的资讯科技人员资源, 日益增长的合规负担, 还有那些顽固的黑客, Benjamin Nawrath需要强大的技术解决方案来帮助克服这些重大挑战.

获得批准

ESB IT之前一直在使用Rapid7领先的漏洞管理解决方案expose*, 所以用Rapid7扩展他们的产品组合是一个自然的选择. 满足对事件检测和响应解决方案的需求, Rapid7 insighttidr的概念验证(PoC)可以快速轻松地进行设置，以提供对产品行业领先功能的所有重要确认.

“我需要一个内置智能的解决方案，而不仅仅是一个创建规则的技术解决方案. 我买的是情报，不是规则. 这就是Rapid7在我们的评估中真正取得成功的原因，”Benjamin Nawrath说. “Splunk和类似的解决方案只是收集日志，我需要自己跟踪它们. 但我想知道是否发生了什么奇怪或不规律的事情，这是insighttidr告诉我的. 这是以合理的价格提供我需要的情报的最佳解决方案.”

ESB将InsightVM (Rapid7 expose的演进版)和insightidr(两者都由Rapid7 Insight平台提供支持)结合起来，提供业界领先的漏洞管理、事件检测和响应. Benjamin Nawrath表示，这两种解决方案都易于设置和维护, 他们提供了“一个代理来管理他们”——简化管理和集中报告. ESB一直是云服务的积极采用者，因此在交付方面没有任何障碍. 因为这是出于安全考虑, 对IP地址的监控得到了德国劳动委员会代表的批准.

加速事件响应

insighttidr节省了ESB的IT时间，并帮助他们更快地响应事件. 统一SIEM, 用户行为分析, 端点检测和响应(EDR), 它从头开始设计，以便在攻击链中尽可能早地检测入侵, 让坏人无处藏身.

“老实说，在insighttidr之前，我没有任何事件响应流程. 我只会从用户那里得到一份报告，说“有些事情不像预期的那样”.“然后我就得自己挖洞收集原木, 这花费了大量的时间,Benjamin Nawrath说. “insighttidr确实帮助我能够更快地对事件做出反应. 它真的很容易使用，代理提供了很好的洞察力.”

Benjamin Nawrath正在利用实时仪表板功能来跟踪特殊用户登录失败的情况. “其中一件好事是, 我不需要告诉insighttidr什么是服务账户——它可以识别它,他说.

易于管理的门户使他能够密切关注任何异常高的价值, 如果远程用户正在从其他国家登录, 或者任何其他可能指示不遵守的度量标准. 电子邮件提醒完成了整个过程，并且还发送给IT团队的其他成员, 允许他们在发现任何恶意行为时做出回应.

使用InsightVM降低风险

需要监控复杂的IT环境, 包括高度敏感的工业控制系统, Nawrath还需要将企业级漏洞管理紧密集成到insighttidr中. Rapid7的InsightVM自动收集, 监控, 并分析公司网络上的漏洞, 具有高级分析和报告功能，允许用户优先考虑和修复风险.

对ESB, 成功的衡量标准是随着时间的推移降低风险, InsightVM在这方面做得很好. “我定期扫描，并使用用户证书，所以我得到了我需要的尽可能多的信息. 我们几乎没有假阳性，这很棒。. InsightVM还可以帮助我们识别需要更新的旧系统, 升级, 甚至被遗弃. 它为我如何评估风险提供了很好的洞察力. 很高兴看到通过实施补救措施降低风险.“insighttidr帮助我更快地对事件做出反应。. 它很容易使用，代理提供了很好的洞察力.”

与常规扫描相比，这些代理也节省了时间, 与insighttidr紧密集成的好处是，通过在事件和漏洞之间实现高度精确的关联，提高了效率.

展望未来

最终, insighttidr和InsightVM的联合力量为Benjamin Nawrath和他的团队节省了60%的时间. 这反过来又允许他花更多的时间来验证漏洞本身, 并准备即将到来的OSCP考试. 更重要的是, Rapid7生成的数据的价值甚至帮助他提高了在组织中的地位.

“高层管理人员不会过度参与安全工作, 但有了这两款产品，我就能让他们相信我们面临的真正风险. 这有助于我在工作中获得更多尊重，”他说. 因为这些解决方案并不昂贵，所以说服管理层腾出预算不成问题.”

至于未来, Benjamin Nawrath计划通过实施InsightVM的补救工作流程，将任务委派给他的同事，进一步扩展他的投资能力. 但最重要的是, 他相信，insighttidr和InsightVM的结合将提供所有必要的保证，以履行IT安全法规定的义务——保持ESB的安全, 安全, 并且在未来的岁月里都是顺从的.