LOS ANGELES WORLD AIRPORTS

KUNDENINTERVIEW
LOS ANGELES WORLD AIRPORTS
Kontrolle und Transparenz mit RSA Security
Analytics, ECAT und Archer
AUF EINEN BLICK
Herausforderungen
Ergebnisse
– Die Flughafenbetreibergesellschaft Los Angeles World Airports
– Mit RSA Security Analytics kann LAWA erheblich schneller auf
(LAWA) muss alle Vorgänge in ihrer IT-Umgebung nachverfolgen
können.
– Aufgrund der häufigen Zusammenarbeit mit dem FBI und dem
United States Secret Service muss sie Rechenschaft über ihre
Cybersicherheit ablegen.
– Das Ziel ist eine Echtzeiterkennung von Sicherheitsevents,
um die öffentliche Sicherheit zu gewährleisten.
– Das bisherige SIEM bot dem IR-Team keine ausreichenden
unmittelbare Bedrohungen reagieren.
– Die Lösung ermöglicht eine genaue Analyse von Nutzlasten vor
und nach einem Sicherheitsevent und liefert mehr Informationen
zu jedem Gerät, als es bisher möglich war.
– Mit der RSA Archer-Lösung konnte außerdem die Reaktionszeit
für Incidents verkürzt werden, da Analysten alle benötigten
Informationen in einer zentralen Ansicht sehen und keine Zeit
mehr mit der Suche verschwenden müssen.
Einblicke in die Endpunktgeräte, wenn auf Schadsoftware oder
Advanced Persistent Threats (APTs) reagiert werden musste.
„Am besten gefallen mir an Security Analytics die hervorragenden forensischen Funktionen, die eine
ausführliche Analyse von Nutzlasten vor und nach einem Sicherheitsevent ermöglichen. Außerdem erhält
man mehr Informationen zu jedem Gerät. Die Firewallprotokollinformationen von Security Analytics sind
z. B. wesentlich umfangreicher als die von jedem anderen SIEM, das ich bisher genutzt habe.“
BOB CHEONG, CISO, LOS ANGELES WORLD AIRPORTS
Los Angeles World Airports (LAWA) ist die
Flughafenbetreibergesellschaft der Stadt Los
Angeles in Kalifornien, USA und hat ihren
Hauptsitz am Los Angeles International
Airport. Sie beschäftigt ca. 2500 Personen
und betreibt drei Flughäfen:
– Los Angeles International Airport (LAX)
in Los Angeles
– LA/Ontario International Airport (ONT)
in Ontario
– Van Nuys Airport (VNY) im Viertel Van
Nuys des San Fernando Valley von
Los Angeles
Erzählen Sie uns etwas über sich und Ihr
Unternehmen.
Mein Name ist Bob Cheong und ich bin der
CISO von Los Angeles World Airports. Ich bin
für die Cybersicherheit von drei Flughäfen
verantwortlich: LAX International Airport, Ontario
International Airport und Van Nuys Airport. Der
LAX International Airport ist der meistgenutzte
Flughafen der Welt in Bezug auf Direktflüge.
Was ist Ihre Vision für das SOC?
In meiner Position bin ich hauptsächlich für den
Betrieb unseres Security Operations Center
zuständig. Wir benötigen eine brauchbare
Arbeitsumgebung, um alle Vorgänge im
Cyberspace nachverfolgen zu können, und in
puncto Cybersicherheit haben wir auch viel mit
Strafverfolgungsverfahren und dem FBI und dem
United States Secret Service zu tun, sodass wir
bestimmte Informationen zur Erfüllung unserer
Überwachungsanforderungen benötigen.
Unser Ziel ist ein optimaler IncidentManagement-Prozess und die
Echtzeiterkennung von Sicherheitsevents.
Mit welchen Herausforderungen hatten Sie
beim Umsetzen dieser Vision zu kämpfen?
ÜBER RSA
Die Intelligence Driven SecurityLösungen von RSA unterstützen
Unternehmen dabei, die Risiken zu
minimieren, die die digitale Welt mit sich
bringt. Dank Transparenz, Analysen und
geeigneter Maßnahmen können Kunden
Advanced Threats mit RSA-Lösungen
aufdecken, untersuchen und beseitigen,
Identitäten überprüfen, bestätigen und
verwalten sowie vor allem IP-Diebstahl,
Betrug und Cyberkriminalität verhindern.
Weitere Informationen zu RSA finden
Sie unter http://germany.emc.com/rsa.
KONTAKT
Um weitere Informationen darüber zu
erhalten, wie die Produkte, Services
und Lösungen von RSA Sie bei der
Bewältigung Ihrer Geschäfts- und
IT-Herausforderungen unterstützen
können, nehmen Sie Kontakt mit Ihrem
Vertriebsmitarbeiter oder autorisierten
Reseller vor Ort auf — oder besuchen
Sie unsere Website unter
http://germany.emc.com/rsa.
Bevor wir die RSA Security Analytics-Lösung
eingesetzt haben, nutzte unser SIEM lediglich
protokollierte Events, um Sicherheitsprobleme
nachverfolgen können. Dabei wurden jedoch
viele Sicherheitsevents gar nicht erkannt.
Stattdessen waren wir auf ein SchadsoftwareNachverfolgungssystem angewiesen, um auf
C&C-Callbacks reagieren und diese blockieren
zu können. Unser IR-Team hatte keinen Einblick
in die Endpunktgeräte, wenn es auf eine
Schadsoftware oder APT-Bedrohung reagieren
musste, sodass wir nicht wussten, ob sich nicht
der gleiche Schadcode möglicherweise auch in
anderen Geräten befand.
Wir verwenden RSA Archer Security Operations
zusammen mit Security Analytics. Über das
Security Operations-Modul haben die Personen,
die für die Behandlung von Incidents
zuständig sind, unmittelbaren Zugriff auf
Schwachstellendaten, Risiko- und
Nachverfolgungsinformationen sowie
Richtlinienmanagement- und BusinessContinuity-Informationen über eine
zentrale Plattform.
Welche Ergebnisse haben Sie dank
RSA Security Analytics erzielen können?
Mit einer Passagierzahl von 70 Millionen hat die
öffentliche Sicherheit für uns höchste Priorität.
Dank RSA Security Analytics können wir
wesentlich schneller auf unmittelbare
Bedrohungen reagieren, die die öffentliche
Sicherheit beeinträchtigen könnten. Wir konnten
die Reaktionszeit für Incidents erheblich senken.
Am besten gefallen mir an Security Analytics die
hervorragenden forensischen Funktionen, die
eine ausführliche Analyse von Nutzlasten vor
und nach einem Sicherheitsevent ermöglichen.
Außerdem erhält man mehr Informationen zu
jedem Gerät. Die Firewallprotokollinformationen
von Security Analytics sind z. B. wesentlich
umfangreicher als die von jedem anderen SIEM,
das ich bisher genutzt habe.
Vor dem Einsatz von Archer mussten wir für
die Beseitigung von Incidents die gesamte
IT-Umgebung nach Risiko- und
Nachverfolgungsinformationen durchsuchen.
Dank der Archer-Lösung erhalten wir all diese
Informationen nun an einer zentralen Stelle.
Wir können Informationen zum Risiko und zur
Business Continuity sowie Nachverfolgungs- und
Schwachstelleninformationen dort abrufen und
für eine einzige IP-Adresse korrelieren. Dadurch
verkürzen sich die Reaktionszeiten des SOCPersonals bei der Behandlung von Incidents.
Wie haben Sie diese Herausforderungen
gemeistert?
Welches ist der nächste Schritt auf
dem Weg zu optimaler Sicherheit?
Ich habe mich für die RSA Security AnalyticsLösung entschieden, um protokollierte Events
mit dem ausgehenden Datenverkehr korrelieren
zu können und dies mit Sicherheitsdatenfeeds
abzugleichen. Dank dieser leistungsstarken
Korrelation können wir externe und interne
Bedrohungen nun besser erkennen. Security
Analytics hat unsere Möglichkeiten
diesbezüglich erheblich verbessert.
Damit unser Sicherheitsprogramm noch besser
wird, möchte ich die Zusammenarbeit zwischen
den Archer-Modulen optimieren, sodass wir
einen zentralen Zugriffspunkt haben, um das
Sicherheitsprofil des gesamten Unternehmens
zu evaluieren. Außerdem wünsche ich mir, dass
mein Team die Gelegenheit hat, an Schulungen
zum Thema Informationskrieg teilzunehmen.
Außerdem habe ich mich für die RSA ECATLösung entschieden, die eine Kombination aus
Bit9, Yara-Regeln und Metascan ist. Sie
ermöglicht es mir, die Masterkontrolltabelle
eines Geräts anzuzeigen und einen
Arbeitsspeicherauszug zum Analysieren zu
erstellen. Nachdem wir einen gefährlichen
Prozess identifiziert haben, überprüfen wir,
ob er auch auf anderen Geräten vorhanden ist.
Welchen Ratschlag würden Sie anderen
geben, die ein ähnliches Projekt in Angriff
nehmen möchten?
Ich würde jedes Unternehmen dazu ermutigen,
tägliche Berichte mit aussagekräftigen Daten zu
erstellen, die sie in die Lage versetzen, ein Profil
von allen risikobehafteten Sicherheitsevents in
ihrem Unternehmensnetzwerk zu erstellen.
Ein Video mit dem vollständigen Interview finden Sie unter
http://germany.emc.com/video-collateral/demos/microsites/mediaplayer-video/los-angelesworld-airports-rsa-security-analytics-ecat.htm
http://germany.emc.com/rsa
© 2014 EMC Deutschland GmbH. Alle Rechte vorbehalten. EMC, das EMC Logo, RSA, das RSA-Logo und Archer sind Eigentum der
EMC Corporation in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument erwähnten Marken sind das Eigentum
ihrer jeweiligen Inhaber. LAWA QA 0914
H13699