得克萨斯农工大学体系使用 Elastic 安全解决方案保护学生、紧急事务响应人员以及领先的研究机构

每天全球发生数千起网络攻击事件，所以保护 IT 系统已经很困难了。如果你是一个拥有数十家合作伙伴、上万个终端的公共机构，且每个月会产生数十亿次的遥测事件，这就更具挑战性了。这正是得克萨斯农工大学体系的网络安全运营团队面临的挑战。该大学体系是一所公立的赠地研究机构，在美国拥有第二多的学生人数。

除了保护农工大学体系下的 11 所大学外，网络安全团队还必须保护 8 个州政府机构的安全。这些机构包括得克萨斯州紧急事务管理部和得克萨斯州农工林务局。研究行业也依赖农工大学体系的网络防御系统，因为此防御系统也服务于世界上领先的工程创新中心。

得克萨斯农工大学体系办公室安全分析师 Braxton Williams 说道：“我们的使命是保护所有成员的数据的安全，保证应急响应服务的高可用性，并确保我们所有利益相关者和联邦合作伙伴的研究能够安全无虞地交付。”

农工大学体系必须在预算有限的前提下实现所有这些目标，而它在国际研究网络中的核心位置使得它成为国家支持的行为者和黑客的首要攻击目标。“我们有成千上万的学生和用户，每个人都有自己的设备。这是勒索软件和网络钓鱼攻击的巨大威胁面，而勒索软件和网络钓鱼攻击会造成威胁，可能会扰乱运营或勒索金钱。”Williams 说道。

安全分析师在保护农工大学体系的安全方面发挥着关键作用。过去，由于他们需要基于不同查询语言从多个安全产品中获取数据，他们的技能受到了限制。因为他们需要收集信息并与同事共享，所以每天工作时间很长，这给团队造成了压力。

在追求解决这些问题的终端检测和响应 (EDR) 解决方案时，农工大学体系选择了 Elastic Security for Endpoint。“我们现在不再需要多个安全产品和门户，而是拥有一个可供所有安全分析师使用的单一界面。此界面为他们提供了调查和修复安全事件所需的每个工具。”Williams 说道。

网络安全团队现在会自动将 Elastic 安全解决方案部署到其大学、机构、应急响应团队和研究组织中的所有设备上。“我们拥有来自 25,000 个终端的 30 天的数据，包括设备遥测数据、网络钓鱼数据和威胁情报数据。使用 Elastic，我们需要的所有内容只需要使用单一模式通过通用语言进行一次查询就能找到。”

Elastic 安全解决方案极大地减少了在安全工作流程中产生的文档数量，并减少了重复检测和误报。“通过将自动化层添加到我们的文档处理过程中，每个月我们节省了约 100 个分析师工时。我们可以专注于提供结果，这大幅提升了士气。”Williams 说道。

为了说明这一点，Williams 比较了同一个敌手在部署 Elastic 安全解决方案之前和之后进行的两次几乎相同的攻击。第一次攻击利用大学的内部中继网络成功发送了钓鱼邮件。在数月后发现入侵时，团队又花了两周时间来调查受影响计算机并缓解攻击。

在两年后部署了 Elastic 安全解决方案后，同一个敌手尝试了类似的行动。“我们完全关闭了它，并在几个小时内就缓解了问题，与以前的响应时间相比，速度快了 11,000%。”Williams 说道，“通过结合使用 Elastic 安全解决方案中的终端和 SIEM 功能，我们获得了单一的情报驱动的解决方案，这进一步简化了我们的安全运营。”Williams 说道。

他还大力赞扬了 Elastic 支持团队，因为他们的专业知识使得农工大学体系能够快速扩展其 SIEM。“我们每次与 Elastic 工程师交流时，都感觉我们说着同一种语言，这意味着我们可以在短时间内解决问题，而不用经历漫长的升级过程。”

定价也是一个优势，特别是在政府部门，因为大学必须明智地管理预算。农工大学体系不按终端数量付费，而是按照资源容量付费。“我们预计未来几年我们的终端数量可能增加到 85,000 个。”Williams 说道，“Elastic 提供一致且透明的定价框架，这有助于我们充满信心地进行规划。”

现在，Williams 将注意力转向 Elastic 最新一波的 AI 和机器学习技术。这包括基于异常的检测，即使攻击没有签名，此技术也有可能发现新的或未知的攻击。Elastic 定期添加创新功能和发布新版本，这让 Williams 对农工大学体系的长期防御能力充满信心。“无论是开箱即用的检测，还是增加新功能以应对新兴网络安全威胁，Elastic 始终处于研究和部署前沿。”他说道。

最重要的是，Elastic 安全解决方案使得农工大学体系的网络安全运营团队能够保护资产免受大量威胁的侵害。“农工大学体系的研究所和机构拥有私人和联邦赞助商，这些赞助商为我们提供了大量的补助。Elastic 提供了必要的安全级别，以便我们能与这些知名组织建立合作关系并支持研究。”