新墨西哥州渔猎局依靠Rapid7销售客户许可证, 维护PCI合规性

Challenge

四年前，Russ Verbofsky刚加入新墨西哥州渔猎局，担任首席信息官, 他说，就事情的处理方式而言，这就像进入了一个时空隧道. 在过去的18个月里, Russ几乎替换了该组织使用的所有硬件, 从交换机和路由器到防火墙和服务器. 

Russ的IT团队很小，资源有限. 有14名员工, 一半在帮助台，另一半在应用程序开发和数据库管理, 他们必须支持全州近300名员工. 这些员工中约有四分之一在现场工作，并通过VPN连接到网络. 有这么多变量, 在决定升级国防部技术基础设施的最佳方法时，Russ面临着许多挑战.

同样重要的是，他找到了一种方法来安全管理该组织向客户出售狩猎和钓鱼许可证的web应用程序, 这些交易约占该部门预算的三分之二. Russ解释说:“我们出售许可证的网络应用程序是定制的. “我们还有大约140家供应商，他们使用我们的供应商销售网络应用程序代表我们销售许可证, 全球约有30万公民访问我们的在线销售网络应用程序.”

此外，Russ被告知他们需要符合PCI标准. 在此之前，信用卡信息从未通过部门的PCI视角. 把国家看成一个商人, 这导致大约36个不同的机构需要变得合规.

Solution 

此前，该部门的IT团队主要负责打补丁，仅此而已. 所以，Russ开始寻找测试工具. 他向高德纳(Gartner)订购了软件，并获得了许多公司的免费试用. 他最终选择了Nexpose，他说:“我(现在)找到了Nexpose InsightVM)是最直观、最容易理解的. 我将能够拿起它，使用它，并在短时间内提高效率.”

拉斯说，他没有太多的东西要弄清楚，也没有一个模板让他在expose中构建. “我基本上建立了一个网站, 我说过这些是我要扫描的ip, 这是我要用的模板. 它已经建成了.“这对拉斯来说是一个很大的好处，他以前不得不建立自己的规则和模板.

国防部通过降低关键漏洞来衡量进展. Russ第一次对Nexpose进行扫描时，发现了130-200个关键漏洞. 在6-8周内，它们减少到3或4个. 而在过去的一年里，该部门一个也没有. “关键漏洞基本上是零，”他说.

“我发现Nexpose最直观，也最容易上手. 我将能够拿起它，使用它，并在短时间内提高效率.”

expose在很多方面帮助Russ履行了他的职责, 特别是它能够运行完整的审计扫描，并优先考虑首先要注意的漏洞. Russ特别发现了使用Nexpose独特的顶级补救报告对漏洞进行优先排序的价值.

“补救报告非常好, 因为它告诉我们，如果你这样做, 它会纠正这10到20个临界,” he says. “这让我们能够优先考虑, 让我们做那些我们知道会对我们的系统产生最大影响的事情.’”

Today, 拉斯设置自动扫描每个月运行一次, 然后他会进行额外的手动扫描如果部门有任何类型的重大释放. Russ也一直在使用expose中的PCI模板进行内部扫描，以确保该部门保持PCI合规性.

Russ声称，他从expose中获得的另一个巨大好处是，无论何时公布Heartbleed或Bash Bug等漏洞，都可以节省时间. “当有任何类型的重大漏洞宣布时, 我知道在24小时内，expose就会推出这个漏洞，这样我就可以进行测试了,” he says. “从我的角度来看，这是至关重要的……它节省了我们在一天内了解我的系统是否干净的时间。.” Overall, 拉斯说，曝光是一件幸事, 让他们在安全保护方面取得巨大进步.

从Rapid7的其他投资组合中获得见解

在经历了Nexpose的成功之后，Russ将Metasploit加入了该部门. 在Metasploit出现之前，所有的web应用渗透测试都是外包的. 现在，拉斯自己经营. 作为一个没有渗透测试或Metasploit经验的人, Russ认为Rapid7 Metasploit 101培训班教他如何使用Metasploit Pro进行内包应用程序渗透测试. 他希望很快开始使用其他功能，如网络钓鱼活动和网络渗透程序.

Russ认为Metasploit给他带来的最大好处是节省成本和灵活性. 他说:“这要便宜得多，而且我可以根据需要来做。. “如果我们做出了重大改变, 在投入生产之前，我可以进入Metasploit进行测试.他最近还购买了insighttidr，以便深入了解他所有终端的用户行为. 因为很多部门的员工都在现场，通过VPN访问网络, Russ认为管理事件检测和响应是重要的一步.

至于Russ对Rapid7的整体体验，他说支持非常出色. “如果我有问题，我知道我会很快解决它. 通过电话和网络发帖.当通过电话联系时，他知道他会在五分钟内找到人. 他说，支持团队总是跟进，除非他指示他们，否则不会关闭订单. “我从事这一行已经30多年了. 我从来没有和这么有效率的人合作过。.

关于Russ在新墨西哥州渔猎局工作的消息正在传播. 当其他机构想知道他是如何在他的安全项目中取得如此大的进步时，他的回应? “Come on over. 我将向您展示一个现场演示.”