德克萨斯州农工大学系统使用 Elastic Security 保护学生、急救人员和领先的研究机构

每天全球发生数千起网络攻击，要防御 IT 系统已经很困难。当您是一个拥有数十个合作伙伴、数万个端点和每月数十亿个遥测事件的公共组织时，挑战会更大。这就是德克萨斯州农工大学系统网络安全运营团队面临的挑战，这是一个公共的、赠地研究机构，拥有美国第二大的学生群体。

除了保护构成 A&M 系统的 11 所大学外，网络安全团队还必须保护八个州机构。其中包括德克萨斯州应急管理部门和德克萨斯州农工林务局。研究部门也依赖于 A&M 系统的网络防御，因为它涵盖了一些世界领先的工程创新中心。

德克萨斯州农工大学系统办公室的安全分析师布拉克斯顿·威廉姆斯表示：“我们的使命是保护所有成员的数据安全，保持紧急响应服务的高可用性，并确保所有利益相关者和联邦合作伙伴的研究成果不受损害。”

农工大学系统必须在预算紧张的情况下实现所有这些目标，并且其在国际研究网络中的核心地位使其成为国家支持的行为者和黑客的攻击目标。“我们有成千上万的学生和用户，他们都拥有自己的设备。这是一个巨大的攻击面，容易遭受勒索软件和网络钓鱼攻击，这些攻击可能会破坏运营或敲诈勒索钱财，”威廉姆斯说。

安全分析师在捍卫农工大学系统的安全方面发挥着至关重要的作用。过去，他们需要从基于不同查询语言的多个安全产品中获取数据，这限制了他们的技能。长时间的工作增加了团队的压力，因为他们需要收集信息并与同事分享。

为了寻求解决这些问题的端点检测和响应（EDR）解决方案，农工大学系统选择了Elastic Endpoint Security。“我们现在拥有一个用于所有安全分析师的界面，而不是多个安全产品和门户。它为他们提供了调查和修复安全事件所需的所有工具，”威廉姆斯说。

现在，网络安全团队在其大学、机构、应急响应团队和研究组织的所有设备上自动部署Elastic Security。“我们拥有来自25,000个端点的30天数据，包括设备遥测数据、网络钓鱼数据和威胁情报数据。借助Elastic，我们只需使用一种通用语言和一个单一模式进行一次查询，即可获得所需的一切。”

Elastic Security 大大减少了安全工作流程中创建的文档量，并减少了重复检测和误报。“通过在我们的文档流程中添加自动化层，我们每月可以节省大约 100 小时的分析师时间。我们可以专注于交付成果，这大大提高了士气，”威廉姆斯说。

为了说明这一点，威廉姆斯比较了在部署 Elastic Security 前后发生的来自同一对手的两次几乎相同的攻击。第一次攻击成功地使用大学的内部中继发送了网络钓鱼电子邮件。在几个月后检测到违规行为时，又花了两个星期的时间来调查受感染的计算机并缓解攻击。

在部署 Elastic Security 两年后，同一个对手试图发起类似的活动。“我们在几个小时内完全关闭并缓解了问题，与之前的响应时间相比，加速了 11,000%，”威廉姆斯说。“凭借 Elastic Security 解决方案中结合的端点和 SIEM 功能，它为我们提供了一个单一的、以情报为主导的解决方案，进一步简化了我们的安全运营，”威廉姆斯说。

他还对 Elastic 支持团队给予了高度评价，他们的专业知识使农工大学系统能够快速扩展其 SIEM。“每当我们与 Elastic 工程师交谈时，我们都感觉像是说着同一种语言，这意味着我们可以在短暂的对话中解决问题，而不是漫长的升级过程。”

定价也是一个优势，尤其是在政府部门，大学必须明智地管理预算。农工大学系统不是按端点收费，而是为资源容量付费。“我们预计未来几年我们的端点数量可能会增加到 85,000 个，”威廉姆斯说。“Elastic 一致且透明的定价框架有助于我们确定地进行规划。”

现在，威廉姆斯正将注意力转向 Elastic 最新的 AI 和机器学习技术。这包括基于异常的检测，即使它们没有签名，也可能发现新的或未知的攻击。添加创新功能和版本也让他对农工大学系统的持续防御充满信心。“无论是开箱即用的检测，还是添加解决新出现的网络安全威胁的新功能，Elastic 一直处于研究和部署的最前沿，”他说。

最重要的是，Elastic Security 使农工大学系统网络安全运营团队能够防御各种威胁。“农工大学系统的机构和机构有私人和联邦赞助商，他们向我们授予大量的拨款。Elastic 提供了必要的安全级别，以支持与这些知名组织的合作并支持研究。”