商品公司Ed＆F Man如何解决其威胁检测挑战

经过一项小型安全事件，Ed＆F Man，一个236岁的商人和商品的经纪人，如动物饲料，咖啡，糖蜜和糖等商品，都选择了Vectra的Cognito网络检测和响应平台作为振兴网络安全姿势的焦点。

据ED＆F Man的网络安全经理Carmelo Gallo（在事件发生后，NED＆F Man Cyber​​ Carlo Manager表示，非数据丢失事件迅速捕获了10亿美元的管理层的注意。

“在利用数据被剥削的情况下，我们没有被黑客入侵，所以没有盗窃，但服务器受到损害，我认为这是对企业开始认真对待网络安全的叫醒，实际上是唤醒在一个安全团队中，“Gallo每周告诉计算机。

“在我之前，有几个人试图自己做这项工作，这是一项不可能的任务。”

Gallo踏上了商业“安全姿势的全面尾巴重新加工，从头开始创造了一个新的安全运营中心（SoC），以使自己更广泛地了解威胁历史，并减少威胁演员可以在他的环境中运作的机会做任何伤害。

“我们没有任何工具来发现网络上发生的事情，”他说。“我们的终点保护是一种遗留，基于签名的检测系统，现在没有削减发现的工作。”

Gallo所谓的“SoC可见性三合会”包括集成网络检测和响应，端点检测和响应，以及安全信息和事件管理（SIEM）。

关键是Vectra Cognito平台，Gallo说他部分选择了，因为它很容易安装，从部署它的那一刻起，他就近乎瞬间了解攻击者行为隐藏在网络流量中。

“我们开始看到通常的命令和控制活动，以及一些隐藏的，即我们没有看到的背景下，”他说。“在那之后，我们可以开始采取行动。”

Gallo讲述了他在越南网站上迅速发现的早期问题。“我们发现了一个隐藏着了解它所在的时间区，等待直到没有活动，然后踢到生活中，”他说。“Vectra挑选起来，钻到它的过程，并确保它。通过我们的遗留端点保护，我们没有这种东西的可见性。“

Vectra平台通过一起带来和存储网络元数据，然后富有安全洞察力。其Cognito检测机器学习功能然后使用丰富的元数据实时检测和优先级攻击，而Cognito Recall功能进行人工智能（AI）译文的威胁狩猎。

“用于采取的调查，现实地，一个或两个小时 - 现在它只是点击手指，”Gallo说。“我们可以直接向主机向下钻取从网络警报，向下到过程，了解它是如何移动的，如果它完成了任何横向运动，在几分钟内。”

ED＆F Man还使用Cognito的特权访问分析（PAA）检测模型，以跟踪用户帐户，服务和主机之间的交互，希望捕获尝试使用特权帐户进入其系统的攻击者。

“特权访问分析使我持续了解对我最有价值的账户，服务和主机，”Gallo说。“我们可以轻松地仔细审查各自的行为，看看它们是否为我们的组织代表了重大风险。”

Ed＆F Man基于英国，但世界各地的100多个网站，包括全球南部的许多偏远农场，加州也很快意识到业务的传播是安全疲软的潜在来源。幸运的是，Cognito平台也能在这里提供帮助。

“在安全意识方面，我们人民的普遍性和分散是一个大问题，以及提供多种语言培训等问题，”Gallo说。“在非洲，南美洲或越南等地，我们的主要咖啡生产业务，使本地化的安全意识很复杂。”

该公司用于通过调查问卷形式进行安全培训，Gallo描述为“archaic”。此外，他发现有可能在几周内衡量意识的出现。通常，服务台将收到更多的电话几个月左右，但在此之后，大多数人都拥有，宽大，忘记了他们所学到的东西。

“现在我们在一个主题上发出每月的两个半分钟视频，例如我们想要瞄准网络钓鱼，例如，”他说。

“Cognito允许我们进行有针对性的广告系列，所以如果我们看到需要它的某些网站或部分业务，我们可以针对它们，或者如果有人点击网络钓鱼链接或者他们不应该做某事，我们可以直接针对它们。 “

Gallo已经预测了Ed＆F Man的威胁检测策略的未来增强，并突出了两个项目，希望在不久的将来 - 特权访问管理和网络访问控制（NAC）中开始。

“大多数黑客正在通过特权访问exfiltration发生，”他说。“我们看到了越来越多的攻击，外部[安全]公司确认我们所看到的，所以这是一个目标。

“然后有NAC。由于业务的普及，它可能很难管理，例如，坦桑尼亚正在做什么。我稍后会得到一个警报，但行动后它会很长，所以如果有一些恶意的东西，它可以进入。是的，我们可以稍后再收到它，但我想停止它进入开始。“