新墨西哥州渔猎局依靠Rapid7销售客户许可证, Maintaining PCI Compliance

Challenge

四年前，Russ Verbofsky刚加入新墨西哥州渔猎局，担任首席信息官, 他说，就事情的处理方式而言，这就像进入了一个时空隧道. Over the last 18 months, Russ几乎替换了该组织使用的所有硬件, from switches and routers to firewalls and servers. 

Russ was working with a small IT team and limited resources. There were 14 people on staff, 一半在帮助台，另一半在应用程序开发和数据库管理, and they had to support almost 300 employees across the state. 这些员工中约有四分之一在现场工作，并通过VPN连接到网络. With all these variables, 在决定升级国防部技术基础设施的最佳方法时，Russ面临着许多挑战.

同样重要的是，他找到了一种方法来安全管理该组织向客户出售狩猎和钓鱼许可证的web应用程序, 这些交易约占该部门预算的三分之二. Russ解释说:“我们出售许可证的网络应用程序是定制的. “我们还有大约140家供应商，他们使用我们的供应商销售网络应用程序代表我们销售许可证, 全球约有30万公民访问我们的在线销售网络应用程序.”

Additionally, Russ was informed they needed to be PCI compliant. 在此之前，信用卡信息从未通过部门的PCI视角. Looking at the state as one merchant, 这导致大约36个不同的机构需要变得合规.

Solution 

此前，该部门的IT团队主要负责打补丁，仅此而已. So, Russ started looking for testing tools. 他向高德纳(Gartner)订购了软件，并获得了许多公司的免费试用. He ultimately selected Nexpose, stating, “I found Nexpose (now InsightVM) was the most intuitive and easy to follow. 我将能够拿起它，使用它，并在短时间内提高效率.”

拉斯说，他没有太多的东西要弄清楚，也没有一个模板让他在expose中构建. “I pretty much set up a site, I said these are the IPs I want to scan, and here’s the template I want to use. It was already built.“这对拉斯来说是一个很大的好处，他以前不得不建立自己的规则和模板.

国防部通过降低关键漏洞来衡量进展. Russ第一次对Nexpose进行扫描时，发现了130-200个关键漏洞. Within 6-8 weeks, they were down to 3 or 4. And over the past year, the department had none. “Critical vulnerabilities are basically nil,” he says.

“I found Nexpose was the most intuitive and easy to follow. 我将能够拿起它，使用它，并在短时间内提高效率.”

Nexpose helped Russ perform his duties in a number of ways, 特别是它能够运行完整的审计扫描，并优先考虑首先要注意的漏洞. Russ特别发现了使用Nexpose独特的顶级补救报告对漏洞进行优先排序的价值.

“The Remediation Report is very good, because it tells us that if you do this, it’s going to correct these 10 or 20 criticals,” he says. “It allows us to give priority and say, 让我们做那些我们知道会对我们的系统产生最大影响的事情.’”

Today, Russ sets up auto scans to run every month, 然后他会进行额外的手动扫描如果部门有任何类型的重大释放. Russ也一直在使用expose中的PCI模板进行内部扫描，以确保该部门保持PCI合规性.

Russ声称，他从expose中获得的另一个巨大好处是，无论何时公布Heartbleed或Bash Bug等漏洞，都可以节省时间. “When there’s any type of major vulnerability announcement, 我知道在24小时内，expose就会推出这个漏洞，这样我就可以进行测试了,” he says. “从我的角度来看，这是至关重要的……它节省了我们在一天内了解我的系统是否干净的时间。.” Overall, Russ says Nexpose has been a blessing, 让他们在安全保护方面取得巨大进步.

Gaining Insights from the Rest of the Rapid7 Portfolio

在经历了Nexpose的成功之后，Russ将Metasploit加入了该部门. Before Metasploit, all web app penetration testing was outsourced. Now, Russ runs it himself. 作为一个没有渗透测试或Metasploit经验的人, Russ认为Rapid7 Metasploit 101培训班教他如何使用Metasploit Pro进行内包应用程序渗透测试. 他希望很快开始使用其他功能，如网络钓鱼活动和网络渗透程序.

Russ认为Metasploit给他带来的最大好处是节省成本和灵活性. “It’s a lot cheaper, and I can do it as needed,” he says. “If there’s a major change we put in, 在投入生产之前，我可以进入Metasploit进行测试.他最近还购买了insighttidr，以便深入了解他所有终端的用户行为. 因为很多部门的员工都在现场，通过VPN访问网络, Russ认为管理事件检测和响应是重要的一步.

至于Russ对Rapid7的整体体验，他说支持非常出色. “If I have an issue, I know I’m going to get it resolved very quickly. Both by phone and web posting.当通过电话联系时，他知道他会在五分钟内找到人. 他说，支持团队总是跟进，除非他指示他们，否则不会关闭订单. “I’ve been in the business for 30-plus years. I’ve never worked with anybody that’s that efficient,” he says.

关于Russ在新墨西哥州渔猎局工作的消息正在传播. 当其他机构想知道他是如何在他的安全项目中取得如此大的进步时，他的回应? “Come on over. I’ll show you a live demo.”