作者:Greg Bartay(首席技术官)和Arturo Gonzalez (Pearland Independent School District网络经理
Pearland独立学区涵盖了27个地点,其中包括23个校区和位于休斯顿南部的4座支持建筑。我们的学区有21000多名学生和大约3500名全职员工,其中1300多人是教师。我们是一个幅员辽阔的K-12学区,与其他学区一样面临着同样的挑战。在这个移动时代,学生们带着大量设备进入学校,从智能手机到平板电脑再到笔记本电脑。教师也带来了他们的设备,越来越多的课程、演示和课堂作业都是数字化的。
我们的Wi-Fi网络是我们学区学习环境的重要组成部分,在这个BYOD和物联网的世界里,对网络的要求越来越高。自2013年以来,我们一直使用Aruba作为我们的无线网络,我们看到的性能和可靠性使我们很容易决定再次求助于Aruba,以确保我们的Wi-Fi安全。去年我们引进了阿鲁巴岛内省,一个用户和实体行为分析(UEBA)解决方案,利用人工智能、机器学习、分析和取证,让我们对网络有更大的可视性,并能够快速检测、调查和补救攻击。
IntroSpect保证学生和教师数据的安全
当我们被介绍给IntroSpect时,我们立刻意识到它对我们的学区是多么有用。有了IntroSpect,我们可以近乎实时地分析互联网流量,建立基线来检测异常和网络攻击,以近乎实时的方式在整个网络中绘制设备来跟踪用户行为,并找出问题,比如当学生试图绕过我们的安全系统时。当检测到问题时,解决方案发送优先级警报,允许我们快速开始调查。
我们的教师和员工不是技术专家,所以作为it部门,我们的工作是确保他们可以安全地连接到一个高度可靠的网络。教师和员工的账户可能会受到内部和外部威胁的威胁,这可能会导致一些事件,比如他们被看到同时从多个校园登录系统。有了IntroSpect,我们可以快速检测,看到登录发生在哪里,并开始调查,以保护评分系统和网络上其他数据的完整性。
我们认识到,与私营企业不同,作为一个学区,我们必须向所有用户提供访问权限,这可能会使网络更加脆弱。我们需要尽快知道网络上是否有病毒或其他威胁,以最小化任何负面影响。通过IntroSpect基于行为检测攻击、调查问题和快速补救/缓解问题的能力,我们可以做到这一点。
IntroSpect POC捕获多态木马恶意软件
当IntroSpect检测到网络受到攻击时,我们几乎立即在POC中看到了结果Emotet木马病毒,通过恶意邮件传播。有人从外面对每个账户进行暴力攻击,也就是说教职员工都被锁在门外了。在90分钟的检测时间内,我们能够隔离病毒所在的子网,关闭它,找到有问题的机器,并将其交付给我们的it人员。金融和其他敏感数据受到了保护,攻击者无法在整个网络中横向移动,该地区的商业和教育工作也没有中断。
我们看到其他学区也受到了同样的Emotet恶意软件的攻击,他们花了六个星期的时间才清理干净,因为他们一开始无法找到并隔离它。我们在不到两个小时内完成了所有这些工作,因为IntroSpect向我们发送了关于异常活动的详细信息的警报。它收集并关联来自端点的Active Directory身份验证数据和网络流量,将攻击绑定到特定实体,最终绑定到单个用户的机器上。
ClearPass集成在地平线上
为了继续确保我们的网络安全,我们还购买了ClearPass取代Avaya/Extreme的传统NAC(网络访问控制)解决方案。我们开始迁移到ClearPass上,一旦它就位,我们将决定如何利用IntroSpect和ClearPass之间的集成。这将帮助许多现在手工完成的检测、决策制定和执行过程实现自动化,这意味着更快地检测、调查和补救安全威胁。
与许多K-12学区一样,很难获得额外的全职员工,这意味着我们必须更好地利用我们所利用的系统,在不对服务和无障碍产生负面影响的情况下,提高和改善网络的性能。越多的系统能够帮助我们有效地处理我们所拥有的人数,那就越好。因此,我们努力成为自动化技术的领先采用者。
展望未来,当我们集成ClearPass和IntroSpect时,我们将能够扩展我们的自动化能力。这将使我们能够继续改善我们的网络可视性和安全性,而无需增加额外的人员。当问题出现时,我们将能够快速发现和发现问题,并在不影响学生和教师的情况下做出回应。
