Университет Манчестер Метрополитан(MMU) - одно из пяти крупнейших учреждений дополнительного образования в Великобритании, расположенное в самом популярном студенческом городе страны. Имея два сайта, 38 000 студентов и 3000 сотрудников, Стивен Фицсиммонс и его команда из трех человек всегда заняты работой. Как и их коллеги в Соединенных Штатах и ​​других странах Запада, британские университеты по-прежнему являются главной мишенью для онлайн-атак. Исследование, основанное на свободе информации (FoI), опубликованное в 2017 году, показало, что почти три четверти (70%) стали жертвами фишинговых атак за последние 24 месяца. В отдельном отчете, опубликованном позднее в том же году, утверждалось, что количество утечек данных в Университете Великобритании удвоилось, и в результате деликатных исследований в области ИС и новаторских исследований, особенно со стороны подслушивающих государство данных. За последние месяцы перебои в работе программ-вымогателей и DDoS пострадали во многих учреждениях, и существует риск, связанный с небрежными пользователями. Короче говоря, у Фитцсиммонса и команды было много возможностей, и им нужно было расширить охват, учитывая имеющиеся ресурсы. Проблема По словам Фитцсиммонса, часть проблемы защиты сети с размером MMU заключается в ее неоднородности. Его / ее работа состоит в том, чтобы управлять и поддерживать безопасность конечных точек и брандмауэры, следить за необычным поведением сети, защищать от внешних угроз и снижать риск, если обнаруживаются какие-либо уязвимости. Это серьезное начинание, когда в физической и виртуальной инфраструктуре используются Windows, Linux-компьютеры, Mac, настольные и мобильные устройства. После трех лет работы с предыдущим вендором по управлению уязвимостями Фитцсиммонс знал о быстром развитии технологий в космосе и решил подготовиться к возможной замене. Он поговорил со сверстниками в других университетах и ​​обнаружил, что имя Rapid7 должно появиться на экране. Последующие тесты рассказали команде MMU, что нужно знать. «Мы искали такие вещи: как отображались уязвимости? Какую информацию продукт сообщил нам? Каковы были функции отчетности? »Он объясняет. «Чем больше мы изучали Rapid7, тем больше нас впечатлил InsightVM. Это определенно дало нам больше, чем мы имели с предыдущим решением, поэтому мы решили инвестировать ». Внедрение InsightVM InsightVM - это ведущее решение Rapid7 по управлению уязвимостями, разработанное с учетом современных динамичных сетей для обеспечения мощных возможностей анализа, исправления и автоматизации. InsightVM использует обширное исследование уязвимостей Rapid7, знания об уязвимостях Metasploit, аналитику злоумышленников, данные сканирования по всему Интернету и более широкое использование отчетов в режиме реального времени. Переход на решение Rapid7 прошел в основном без проблем. «Продажи и поддержка были действительно гладкими от начала до конца», - говорит Фицсиммонс. «С нашей точки зрения, правила было легко перенести в InsightVM, поэтому нет простоев из-за потерянных проверок. У каждого были действительно хорошие вещи, чтобы сказать об этом. " Сетевая команда MMU особенно впечатлена своей новой способностью выполнять обнаружение и другие сканирования в зависимости от требований подсети. "Windows, Linux, Mac и огромная сеть, поэтому нам нужно было что-то, что могло бы собрать всю эту информацию в одном месте, и можно было бы использовать ее в качестве центрального инвентаря для всего мира активов, а затем мы можем запустить различные сканирования для каждого из них ", говорит он. Таким образом, Фитцсиммонс впечатлен уровнем детализации уязвимостей; например, если существует плагин Metasploit, или если в ExploitDB есть код подтверждения концепции. По разным критериям: например, по риску или количеству уязвимостей. В целом, InsightVM обеспечил «великолепную видимость» сети MMU, что позволило команде углубиться в операционные системы, программное обеспечение и службы, чтобы узнать больше. Экономия времени, снижение риска Сетевая команда MMU также упростила свою жизнь с помощью функции исправления и отчетности в InsightVM. «Когда мы видим уязвимости, это впечатляет, как это дает нам много информации. Рекомендованные лекарства действительно понятны и полезны », - говорит Фицсиммонс. «На других решениях мы видели это». Там, где требуются патчи, есть прямая ссылка для скачивания, так что вам не придется искать ее самостоятельно ». Настраиваемые отчеты дополняют картину, позволяя его команде адаптировать свои выводы в соответствии с потребностями департамента для их просмотра. Ответственные за веб-серверы могут получить отчет, отличный от команд, отвечающих за объединенные коммуникации и т.д.

Перспективы По мере роста уверенности в MMU с InsightVM появляется еще больше возможностей для расширения использования команды этим инструментом в будущем. Это включает в себя функцию «Проекты исправления», которая интегрируется с ИТ-билетами, чтобы помочь командам отслеживать ход исправления. Тем временем Стивен Фитцсиммонс и его команда продолжают оценивать Rapid7 InsightIDR в качестве своего решения SIEM

О компании Энергетический сектор Германии - притягательная мишень для хакеров. У сегодняшних киберпреступников и хактивистов есть как мотивы, так и возможности для нанесения мощных ударов с помощью атак, что ставят целью кражу конфиденциальной информации производства и информации об их клиентах. Это фактор беспокоил Бенджамина Наврата - специалиста по информационной безопасности энергетического провайдера Energie Suedbayern (ESB), который поставляет природный газ и электричество в 120 000 домохозяйствах на юге Германии. ESB является крупнейшим оператором в своем роде в регионе. В нем занято около 350 сотрудников, 14 из которых работают вместе с Бенджамином в сфере информационных технологий.

Проблема Одной из самых больших проблем Бенджамина Наврата являлось соблюдение немецкого “Закона об информационной безопасности (ITSG)”, который начал действовать с июля 2017 года. Закон обязывает всех поставщиков критически важной инфраструктуры запускать расширенную программу кибербезопасности, предназначенную для обеспечения доступности, целостности, подлинности и конфиденциальности их ИТ-инфраструктуры. Закон также требует, чтобы организации регулярно предоставляли сертификаты, подтверждающие их соответствие этим требованиям. Невыполнение может повлечь за собой штраф в размере сотен тысяч евро. С комплексной промышленной средой для мониторинга (включая 2000 IP-адресов), ограниченными ресурсами ИТ-персонала и постоянными угрозами со стороны хакеров, Бенджамину Наврату требовались надежные технологические решения для преодоления этих проблемы.

Интеграция
Компания ESB ранее уже использовала ведущее решение Rapid7 по управлению уязвимостямиRapid7 insightVM (ранее Nexpose), поэтому естественным выбором было дальнейшее расширение своего портфеля с помощью Rapid7. Чтобы удовлетворить потребность обнаружения и реагирования на инциденты, было решено настроить Proof of Concept (PoC) в InsightIDR. Команда ESB утверждает, что решение легкое в настройке и обслуживании, упрощает управление и централизует отчетность. «Мне нужно решение, которое обладает собственным интеллектом, а не просто автомат для создания свода правил. Я плачу за рациональные решения, а не правила. Splunk и подобные ему продукты просто собирают логи, и дальше я вынужден следить за событиями самостоятельно. Но я хочу знать, происходит ли что-то странное и нетипичное - а об этом как раз и сообщает InsightIDR. Это лучшее решение для предоставления необходимых мне интеллектуальных данных за разумную цену».
Бенджамин Наврат, специалист по информационной безопасности Energie Suedbayern

Результат InsightIDR сэкономил команде ИТ ESB время и помог быстрее реагировать на инциденты. Объединяя SIEM, аналитику поведения пользователей (UBA) и обнаружение и реагирование конечных точек (EDR), продукт был настроен с нуля для обнаружения вторжений как можно раньше в цепочке атак, не оставляя злоумышленникам шансов. «Если честно, до InsightIDR у меня не было никакого процесса реагирования на инциденты. Раньше я просто получал от пользователей отчет о том, что «что-то идет не так, как ожидалось». И после этого я был вынужден сам копаться и собирать журналы логов, что занимало огромное количество времени».
Бенджамин Наврат, специалист по информационной безопасности Energie Suedbayern Бенджамин Наврат использует функциональные возможности live-панели мониторинга для отслеживания неудачных входов в систему отдельных пользователей. «Одна из многих хороших вещей заключается в том, что мне не нужно сообщать InsightIDR, что такое учетная запись службы - он ​​просто распознает ее».
Бенджамин Наврат, специалист по информационной безопасности Energie Suedbayern Интуитивный в управлении портал позволяет ему следить за любыми необычными значениями - если удаленные пользователи входят в систему из других стран, или любые другие показатели, указывающие на несоответствие. Оповещения по электронной почте дополняют картину и  рассылаются другим членам ИТ-группы, что позволяет им оперативно реагировать, если обнаруживается что-либо вредоносное. В конечном счете, объединенные возможности продуктов Insight высвободили Бенджамину Наврату 60% времени. Это, в свою очередь, позволяет им тратить больше времени на проверку самих уязвимостей. Более того, ценность данных, сгенерированных Rapid7, даже помогла ему повысить свою репутацию в организации и убедить компанию инвестировать в безопасность. «Высшее руководство не слишком понимает проблемы безопасности, но с продуктами Insight я могу убедить их в реальности рисков, с которыми мы сталкиваемся. И поскольку решения были не дорогими, не было никаких проблем с тем, чтобы убедить руководство выделить финансирование”.
Бенджамин Наврат, специалист по информационной безопасности Energie Suedbayern

Ритейлер использует Rapid7 Nexpose и Rapid7 Metasploit Pro для защиты своей среды. Как и во многих организациях в этой отрасли, соответствие является основным драйвером для наличия сильной программы управления уязвимостями: новые требования PCI DSS для тестирования на проникновение послужили толчком для их первоначальной покупки Rapid7. До этого момента команда безопасности проверяла машины вручную, чтобы увидеть, какие патчи отсутствуют, и какие другие уязвимости необходимо устранить.

«Мы дошли до того, что делать это вручную было невозможно, учитывая временные рамки», - вспоминает Стив, менеджер по информационной безопасности. «Даже команда, в три раза превышающая наш размер, не смогла бы этого сделать».

Это не означает, что Стив считает, что организация безопасна, пока она соответствует требованиям - история показала, что совместимые компании все еще могут стать жертвами кибератак.

«Соблюдение требований, безусловно, является ключевым фактором для нашей программы управления уязвимостями, но только то, что я могу пройти тест, не означает, что я в безопасности. Нам нужно сделать шаг вперед, чтобы действительно защитить сеть ».

И Nexpose, и Metasploit могут помочь выполнить необходимые для PCI сканирования уязвимостей и тесты на проникновение, но именно Стив обратил внимание на Nexpose и Metasploit вместе. Эти два продукта, работающие в тандеме, предоставляют возможности, которые необходимы ему и его команде, чтобы выйти за рамки базовых оценок соответствия и получить действенную информацию о безопасности - обнаружение активов и угроз, оценку состояния безопасности организации и помощь в исправлении или реализации мер по смягчению последствий. «С ними обоими вы получаете больше отдачи, - соглашается Стив. - Это то, что в конечном итоге заставило меня принять решение о переходе на Rapid7».

Чад Кливер пришел в компанию два года назад и вскоре стал ее сотрудником по информационной безопасности. Ему была поручена реализация общего плана безопасности для бизнеса, а также обеспечение соблюдения стандартов соответствия. Для этого ему нужно было объединить несколько групп по всей организации, включая корпорации, телефонный бизнес и широкополосный доступ, чтобы создать единую инфраструктуру. Еще одно препятствие? Это нужно было сделать без централизованной ИТ-команды.

«Я работаю в команде из одного человека», - говорит Чад. «Помимо реализации программы, я также слежу за ней. У меня нет команды, которая бы настраивала ситуацию и следила за ней весь день. Мне нужна аналитика, чтобы пролить свет на то, что важно, а что нет».

Для Чада тут вступают Rapid7 InsightIDR и Nexpose.

«Они объединяют все эти области и дают одно общее представление одновременно», - говорит он.