布鲁克斯依靠Rapid7 SOAR解决方案自动化他们的安全程序

挑战

布鲁克斯正在迅速成长，这意味着潜在的漏洞越来越多. “我们在短时间内从一家销售额5亿美元的公司成长为10亿美元的公司,赖安·弗里德解释道, 高级安全工程师.. 我们已经发展到近1800名员工. 这给我们的网站带来了更多的点击量和更多的合作伙伴, 这意味着更多的安全事件, 更多网络钓鱼邮件, 潜在的风险更大.“即使只有三名分析师，安全团队也在快速运行，以保持在警报之前一步. 

解决方案

Ryan实现了InsightConnect, Rapid7的安全编排, 自动化和响应(SOAR)解决方案，以加速其传统的手动操作, 时间密集的事件响应和漏洞管理流程. InsightConnect帮助安全团队直面挑战. “InsightConnect帮助我们扩大规模. 它并不关心有多少集成系统，”Ryan说.

瑞安·弗里德是布鲁克斯公司的高级安全工程师. 他是由两名工程师和三名分析师组成的五人安全团队中的一员. Ryan的团队与多个业务部门紧密集成. “我们很早就植入了安全措施, 以及我们的安全管理策略，如网络分段, 安全自动化, 防火墙与网络安全, 在其他任何事情中. 我们喜欢构建一些东西来帮助我们的安全分析师完成他们的工作.”

瑞安指出，布鲁克斯之前没有使用SOAR的经验. “我们用另一款SOAR产品做了POC，但它非常复杂.“那就是瑞安, 谁在以前的公司使用过Rapid7 InsightConnect, 我建议布鲁克斯考虑一下这种产品. “为了证明POC的价值，我们选择了Rapid7 InsightConnect.” 

增加分析师参与度

Ryan对SOAR采取了积极主动的方法，指出传统的SOAR解决方案, 专注于没有动手, 自动化来减少fte. 我的感觉完全相反. 我已经能够用InsightConnect构建大量的丰富工作流，这样我们的Teams通道就成为了我们的中心命令. 我认为，就我们的分析师需要在浏览器中打开的标签页数量而言, 当涉及到事故调查时，我把它从10个减少到20个，只减少到1到2个. 我给他们一个超级可重复的过程，对每个分析都一样.” 

InsightConnect节省了分析师的时间, 但对Ryan来说更重要的是，InsightConnect提高了分析师的参与度，使他们的工作更轻松. “现在他们可以做自己真正想做的事情了. 他们不会花60分钟查看钓鱼邮件，也不会花20到30分钟阻止url.而且，Ryan指出，InsightConnect省去了繁重的工作. “当我们屏蔽一个URL时, 或域, 或IP地址, 我们需要封锁三四个不同的地方. 如果我们使用InsightConnect工作流，它会在正确的地方被阻塞，每次都是这样. 这种一致性是巨大的.”

全天候覆盖和更快的响应时间

InsightConnect确实提高了他们的响应覆盖率. “以前，我们是朝九晚五，从周一到周五的那种商店. 我们没有寻呼之类的东西. 有了InsightConnect，我们已经变成了一个24/7的商店，而不需要增加员工. 现在我们有三到四种不同的警报类型，我们预先定义了我们应该在半夜叫醒哪些警报. 如果没有InsightConnect，我们不可能做到这一点.”

Ryan也看到了改进的响应时间, 特别是在潜在的勒索软件攻击等关键情况下. “我们利用InsightConnect将我们的寻呼系统与我们的警报系统进行了整合. 现在我们的分析师只有在真正重要的时候才会在半夜被叫醒, 所以我们的响应时间非常快. 如果是勒索软件, 我们的分析人员可以直接将主机与手机隔离，而不用等20分钟让电脑启动并登录. 这是非常关键的. 这对我们来说是一个巨大的价值.” 

预构建工作流库

与InsightConnect, Ryan可以快速找到并利用其他人的工作构建无数的工作流.“我喜欢InsightConnect的原因之一是，如果我被难住了, 我可以在Rapid7扩展库中找到一个工作流. 如果这不是我需要的工作流程, 可以导入, 看看是怎么做的, 然后将其应用到我自己的工作流程中.瑞恩解释道, 每个工作流通常与前一个工作流具有可比性, 所以他可以很快地添加多个工作流. 展望未来, 布鲁克斯团队将开始与Active 导演y团队合作，使用InsightConnect自动终止用户帐户. 

瑞安继续说道:“在安全领域，你三分之一的工作就是证明东西坏了不是你的错. “我的工作流程可以查看我拥有的工具的配置日志, 例如防火墙, 它显示了过去24小时内所有的配置变化. 这样我就知道是我做了改变，还是队友做了改变. 使用InsightConnect，可以更快地证明这不是你的错. 我们用过很多不同的方式. 我们所做的很多工作都是通过团队进行特别的工作流程. 这是新的. 我们从中发现了很多价值.”

Ryan认为，InsightConnect帮助他的安全团队有效地应对了公司的飞速增长. “随着我们的发展，我们正在采用额外的安全工具. 随着我们增加更多的IT和安全系统，我们将它们集成到InsightConnect中. 如果我们有这些不同的安全工具, 这意味着我们需要花更多时间在不同的主机上，从一个主机切换到另一个主机. 但是，支持API的新安全工具不会增加复杂性, 只是更多可用的功能. 拥有InsightConnect的自动化优势几乎就像使用操作系统一样. 你只需插入下一个应用程序，它就会与其他用户和系统集成，”瑞安说.

节省人力，最大化分析人员的时间

对于Ryan来说，InsightConnect自动化节省时间的好处是显而易见的. “就指标和查看仪表板而言, InsightConnect无疑节省了分析师的时间. 我估计它每个月可以节省11天或88小时的人力, 只是基于我们运行的工作流程. InsightConnect还减少了响应和解决的时间, 这有助于减轻任何进入公司的威胁.” 

Ryan继续说道:“如果你把InsightConnect从我们的分析师手中夺走，那将会使我们士气低落. “他们将不得不重新进行手动流程. InsightConnect帮助我们更有效地扩展团队. 随着我们获得更多的活动，增加新的业务和更多的流程，InsightConnect帮助我们跟上. 我们刚刚有了一个新的分析师，他说, “我以前从未见过这样的事情(指的是现有的自动化水平)。. 他的工作变得容易了，因为他不需要学习从哪里获得所有的信息. 和, 现在他有了一个频道，可以显示他可以使用的所有命令, 而且他不需要到处登录. 安全流程无论如何都是一致的.