商品公司Ed&F Man如何解决其威胁检测挑战
经过一项小型安全事件,Ed&F Man,一个236岁的商人和商品的经纪人,如动物饲料,咖啡,糖蜜和糖等商品,都选择了Vectra的Cognito网络检测和响应平台作为振兴网络安全姿势的焦点。
据ED&F Man的网络安全经理Carmelo Gallo(在事件发生后,NED&F Man Cyber Carlo Manager表示,非数据丢失事件迅速捕获了10亿美元的管理层的注意。
“在利用数据被剥削的情况下,我们没有被黑客入侵,所以没有盗窃,但服务器受到损害,我认为这是对企业开始认真对待网络安全的叫醒,实际上是唤醒在一个安全团队中,“Gallo每周告诉计算机。
“在我之前,有几个人试图自己做这项工作,这是一项不可能的任务。”
Gallo踏上了商业“安全姿势的全面尾巴重新加工,从头开始创造了一个新的安全运营中心(SoC),以使自己更广泛地了解威胁历史,并减少威胁演员可以在他的环境中运作的机会做任何伤害。
“我们没有任何工具来发现网络上发生的事情,”他说。“我们的终点保护是一种遗留,基于签名的检测系统,现在没有削减发现的工作。”
Gallo所谓的“SoC可见性三合会”包括集成网络检测和响应,端点检测和响应,以及安全信息和事件管理(SIEM)。
关键是Vectra Cognito平台,Gallo说他部分选择了,因为它很容易安装,从部署它的那一刻起,他就近乎瞬间了解攻击者行为隐藏在网络流量中。
“我们开始看到通常的命令和控制活动,以及一些隐藏的,即我们没有看到的背景下,”他说。“在那之后,我们可以开始采取行动。”
Gallo讲述了他在越南网站上迅速发现的早期问题。“我们发现了一个隐藏着了解它所在的时间区,等待直到没有活动,然后踢到生活中,”他说。“Vectra挑选起来,钻到它的过程,并确保它。通过我们的遗留端点保护,我们没有这种东西的可见性。“
Vectra平台通过一起带来和存储网络元数据,然后富有安全洞察力。其Cognito检测机器学习功能然后使用丰富的元数据实时检测和优先级攻击,而Cognito Recall功能进行人工智能(AI)译文的威胁狩猎。
“用于采取的调查,现实地,一个或两个小时 - 现在它只是点击手指,”Gallo说。“我们可以直接向主机向下钻取从网络警报,向下到过程,了解它是如何移动的,如果它完成了任何横向运动,在几分钟内。”
ED&F Man还使用Cognito的特权访问分析(PAA)检测模型,以跟踪用户帐户,服务和主机之间的交互,希望捕获尝试使用特权帐户进入其系统的攻击者。
“特权访问分析使我持续了解对我最有价值的账户,服务和主机,”Gallo说。“我们可以轻松地仔细审查各自的行为,看看它们是否为我们的组织代表了重大风险。”
Ed&F Man基于英国,但世界各地的100多个网站,包括全球南部的许多偏远农场,加州也很快意识到业务的传播是安全疲软的潜在来源。幸运的是,Cognito平台也能在这里提供帮助。
“在安全意识方面,我们人民的普遍性和分散是一个大问题,以及提供多种语言培训等问题,”Gallo说。“在非洲,南美洲或越南等地,我们的主要咖啡生产业务,使本地化的安全意识很复杂。”
该公司用于通过调查问卷形式进行安全培训,Gallo描述为“archaic”。此外,他发现有可能在几周内衡量意识的出现。通常,服务台将收到更多的电话几个月左右,但在此之后,大多数人都拥有,宽大,忘记了他们所学到的东西。
“现在我们在一个主题上发出每月的两个半分钟视频,例如我们想要瞄准网络钓鱼,例如,”他说。
“Cognito允许我们进行有针对性的广告系列,所以如果我们看到需要它的某些网站或部分业务,我们可以针对它们,或者如果有人点击网络钓鱼链接或者他们不应该做某事,我们可以直接针对它们。 “
Gallo已经预测了Ed&F Man的威胁检测策略的未来增强,并突出了两个项目,希望在不久的将来 - 特权访问管理和网络访问控制(NAC)中开始。
“大多数黑客正在通过特权访问exfiltration发生,”他说。“我们看到了越来越多的攻击,外部[安全]公司确认我们所看到的,所以这是一个目标。
“然后有NAC。由于业务的普及,它可能很难管理,例如,坦桑尼亚正在做什么。我稍后会得到一个警报,但行动后它会很长,所以如果有一些恶意的东西,它可以进入。是的,我们可以稍后再收到它,但我想停止它进入开始。“