LOS ANGELES WORLD AIRPORTS
Transcription
LOS ANGELES WORLD AIRPORTS
KUNDENINTERVIEW LOS ANGELES WORLD AIRPORTS Kontrolle und Transparenz mit RSA Security Analytics, ECAT und Archer AUF EINEN BLICK Herausforderungen Ergebnisse – Die Flughafenbetreibergesellschaft Los Angeles World Airports – Mit RSA Security Analytics kann LAWA erheblich schneller auf (LAWA) muss alle Vorgänge in ihrer IT-Umgebung nachverfolgen können. – Aufgrund der häufigen Zusammenarbeit mit dem FBI und dem United States Secret Service muss sie Rechenschaft über ihre Cybersicherheit ablegen. – Das Ziel ist eine Echtzeiterkennung von Sicherheitsevents, um die öffentliche Sicherheit zu gewährleisten. – Das bisherige SIEM bot dem IR-Team keine ausreichenden unmittelbare Bedrohungen reagieren. – Die Lösung ermöglicht eine genaue Analyse von Nutzlasten vor und nach einem Sicherheitsevent und liefert mehr Informationen zu jedem Gerät, als es bisher möglich war. – Mit der RSA Archer-Lösung konnte außerdem die Reaktionszeit für Incidents verkürzt werden, da Analysten alle benötigten Informationen in einer zentralen Ansicht sehen und keine Zeit mehr mit der Suche verschwenden müssen. Einblicke in die Endpunktgeräte, wenn auf Schadsoftware oder Advanced Persistent Threats (APTs) reagiert werden musste. „Am besten gefallen mir an Security Analytics die hervorragenden forensischen Funktionen, die eine ausführliche Analyse von Nutzlasten vor und nach einem Sicherheitsevent ermöglichen. Außerdem erhält man mehr Informationen zu jedem Gerät. Die Firewallprotokollinformationen von Security Analytics sind z. B. wesentlich umfangreicher als die von jedem anderen SIEM, das ich bisher genutzt habe.“ BOB CHEONG, CISO, LOS ANGELES WORLD AIRPORTS Los Angeles World Airports (LAWA) ist die Flughafenbetreibergesellschaft der Stadt Los Angeles in Kalifornien, USA und hat ihren Hauptsitz am Los Angeles International Airport. Sie beschäftigt ca. 2500 Personen und betreibt drei Flughäfen: – Los Angeles International Airport (LAX) in Los Angeles – LA/Ontario International Airport (ONT) in Ontario – Van Nuys Airport (VNY) im Viertel Van Nuys des San Fernando Valley von Los Angeles Erzählen Sie uns etwas über sich und Ihr Unternehmen. Mein Name ist Bob Cheong und ich bin der CISO von Los Angeles World Airports. Ich bin für die Cybersicherheit von drei Flughäfen verantwortlich: LAX International Airport, Ontario International Airport und Van Nuys Airport. Der LAX International Airport ist der meistgenutzte Flughafen der Welt in Bezug auf Direktflüge. Was ist Ihre Vision für das SOC? In meiner Position bin ich hauptsächlich für den Betrieb unseres Security Operations Center zuständig. Wir benötigen eine brauchbare Arbeitsumgebung, um alle Vorgänge im Cyberspace nachverfolgen zu können, und in puncto Cybersicherheit haben wir auch viel mit Strafverfolgungsverfahren und dem FBI und dem United States Secret Service zu tun, sodass wir bestimmte Informationen zur Erfüllung unserer Überwachungsanforderungen benötigen. Unser Ziel ist ein optimaler IncidentManagement-Prozess und die Echtzeiterkennung von Sicherheitsevents. Mit welchen Herausforderungen hatten Sie beim Umsetzen dieser Vision zu kämpfen? ÜBER RSA Die Intelligence Driven SecurityLösungen von RSA unterstützen Unternehmen dabei, die Risiken zu minimieren, die die digitale Welt mit sich bringt. Dank Transparenz, Analysen und geeigneter Maßnahmen können Kunden Advanced Threats mit RSA-Lösungen aufdecken, untersuchen und beseitigen, Identitäten überprüfen, bestätigen und verwalten sowie vor allem IP-Diebstahl, Betrug und Cyberkriminalität verhindern. Weitere Informationen zu RSA finden Sie unter http://germany.emc.com/rsa. KONTAKT Um weitere Informationen darüber zu erhalten, wie die Produkte, Services und Lösungen von RSA Sie bei der Bewältigung Ihrer Geschäfts- und IT-Herausforderungen unterstützen können, nehmen Sie Kontakt mit Ihrem Vertriebsmitarbeiter oder autorisierten Reseller vor Ort auf — oder besuchen Sie unsere Website unter http://germany.emc.com/rsa. Bevor wir die RSA Security Analytics-Lösung eingesetzt haben, nutzte unser SIEM lediglich protokollierte Events, um Sicherheitsprobleme nachverfolgen können. Dabei wurden jedoch viele Sicherheitsevents gar nicht erkannt. Stattdessen waren wir auf ein SchadsoftwareNachverfolgungssystem angewiesen, um auf C&C-Callbacks reagieren und diese blockieren zu können. Unser IR-Team hatte keinen Einblick in die Endpunktgeräte, wenn es auf eine Schadsoftware oder APT-Bedrohung reagieren musste, sodass wir nicht wussten, ob sich nicht der gleiche Schadcode möglicherweise auch in anderen Geräten befand. Wir verwenden RSA Archer Security Operations zusammen mit Security Analytics. Über das Security Operations-Modul haben die Personen, die für die Behandlung von Incidents zuständig sind, unmittelbaren Zugriff auf Schwachstellendaten, Risiko- und Nachverfolgungsinformationen sowie Richtlinienmanagement- und BusinessContinuity-Informationen über eine zentrale Plattform. Welche Ergebnisse haben Sie dank RSA Security Analytics erzielen können? Mit einer Passagierzahl von 70 Millionen hat die öffentliche Sicherheit für uns höchste Priorität. Dank RSA Security Analytics können wir wesentlich schneller auf unmittelbare Bedrohungen reagieren, die die öffentliche Sicherheit beeinträchtigen könnten. Wir konnten die Reaktionszeit für Incidents erheblich senken. Am besten gefallen mir an Security Analytics die hervorragenden forensischen Funktionen, die eine ausführliche Analyse von Nutzlasten vor und nach einem Sicherheitsevent ermöglichen. Außerdem erhält man mehr Informationen zu jedem Gerät. Die Firewallprotokollinformationen von Security Analytics sind z. B. wesentlich umfangreicher als die von jedem anderen SIEM, das ich bisher genutzt habe. Vor dem Einsatz von Archer mussten wir für die Beseitigung von Incidents die gesamte IT-Umgebung nach Risiko- und Nachverfolgungsinformationen durchsuchen. Dank der Archer-Lösung erhalten wir all diese Informationen nun an einer zentralen Stelle. Wir können Informationen zum Risiko und zur Business Continuity sowie Nachverfolgungs- und Schwachstelleninformationen dort abrufen und für eine einzige IP-Adresse korrelieren. Dadurch verkürzen sich die Reaktionszeiten des SOCPersonals bei der Behandlung von Incidents. Wie haben Sie diese Herausforderungen gemeistert? Welches ist der nächste Schritt auf dem Weg zu optimaler Sicherheit? Ich habe mich für die RSA Security AnalyticsLösung entschieden, um protokollierte Events mit dem ausgehenden Datenverkehr korrelieren zu können und dies mit Sicherheitsdatenfeeds abzugleichen. Dank dieser leistungsstarken Korrelation können wir externe und interne Bedrohungen nun besser erkennen. Security Analytics hat unsere Möglichkeiten diesbezüglich erheblich verbessert. Damit unser Sicherheitsprogramm noch besser wird, möchte ich die Zusammenarbeit zwischen den Archer-Modulen optimieren, sodass wir einen zentralen Zugriffspunkt haben, um das Sicherheitsprofil des gesamten Unternehmens zu evaluieren. Außerdem wünsche ich mir, dass mein Team die Gelegenheit hat, an Schulungen zum Thema Informationskrieg teilzunehmen. Außerdem habe ich mich für die RSA ECATLösung entschieden, die eine Kombination aus Bit9, Yara-Regeln und Metascan ist. Sie ermöglicht es mir, die Masterkontrolltabelle eines Geräts anzuzeigen und einen Arbeitsspeicherauszug zum Analysieren zu erstellen. Nachdem wir einen gefährlichen Prozess identifiziert haben, überprüfen wir, ob er auch auf anderen Geräten vorhanden ist. Welchen Ratschlag würden Sie anderen geben, die ein ähnliches Projekt in Angriff nehmen möchten? Ich würde jedes Unternehmen dazu ermutigen, tägliche Berichte mit aussagekräftigen Daten zu erstellen, die sie in die Lage versetzen, ein Profil von allen risikobehafteten Sicherheitsevents in ihrem Unternehmensnetzwerk zu erstellen. Ein Video mit dem vollständigen Interview finden Sie unter http://germany.emc.com/video-collateral/demos/microsites/mediaplayer-video/los-angelesworld-airports-rsa-security-analytics-ecat.htm http://germany.emc.com/rsa © 2014 EMC Deutschland GmbH. Alle Rechte vorbehalten. EMC, das EMC Logo, RSA, das RSA-Logo und Archer sind Eigentum der EMC Corporation in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber. LAWA QA 0914 H13699