Medidata findet mit Sumo Logic die Lösung für Sicherheitsanalysen

Herausforderung

Medidata benötigte einen Einblick in die Sicherheitslage seiner Systeme und musste in der Lage sein, potenzielle Anzeichen für Angriffe aus seinen lokalen Systemen und Cloud-Diensten zu erkennen, um Angriffe so schnell wie möglich zu stoppen und seinen Kunden gegenüber ein hohes Maß an Sicherheit nachweisen zu können.

Ergebnisse

Medidata protokolliert jeden Monat mehr als 2 Terabyte an Systemereignisdaten. Mit Sumo Logic verfügt Medidata über das gleiche Maß an Sicherheitstransparenz bei Cloud-Systemen wie bei On-Premise-Systemen. Jetzt kann Medidata proaktiv Sicherheitsvorfälle beheben, die sonst unentdeckt geblieben wären.

„Sumo Logic hat uns geholfen, unsere hybride Infrastruktur effektiv zu verwalten und Innovationen zu beschleunigen. Jetzt können wir Protokolle sowohl aus unserem Rechenzentrum vor Ort als auch aus unseren Cloud-Anwendungen sammeln, sie auswerten und in Echtzeit Maßnahmen ergreifen – und das ist wirklich das Beste daran.“ Glenn Watt, CISO, Medidata

Auf diese Weise hilft die Medidata Clinical Cloud Life-Science-Organisationen, ihre Risiken im Zusammenhang mit klinischen Studien zu verringern und die Ergebnisse zu verbessern, während gleichzeitig die Kosten und die Zeit bis zum Abschluss gesenkt werden. Der Kundenstamm von Medidata umfasst biopharmazeutische Unternehmen, Medizintechnik- und Diagnostikunternehmen, akademische und staatliche Einrichtungen, Auftragsforschungsinstitute und andere Forschungsorganisationen, 24 der 25 weltweit führenden Pharmaunternehmen, die lebensverbessernde medizinische Behandlungen und Diagnostika entwickeln.

Medidata wurde 1999 in New York gegründet und verfügt heute über Niederlassungen in den USA, dem Vereinigten Königreich und Japan. Das Unternehmen stützt sich bei der Abwicklung seiner Geschäfte und der Erbringung seiner Dienstleistungen stark auf Technologie. Diese Unternehmenstechnologie umfasst eine Kombination aus Rechenzentren vor Ort und öffentlichen Cloud-Systemen. Heute betreibt Medidata in seinem traditionellen Rechenzentrum in Houston, Texas, eine Reihe von Anwendungen, die für das Unternehmen von zentraler Bedeutung sind, wie z. B. den Plattform-Host Electronic Data Capture und das Safety Gateway, das potenziell schwerwiegende unerwünschte Wirkungen in einer klinischen Studie identifiziert und den größten Speicher von Medidatas Informationen enthält. „Dieses Rechenzentrum ist sehr wichtig und sehr groß, aber die restlichen Anwendungen, auf die Medidata angewiesen ist, laufen innerhalb von Amazon Web Services (AWS)“, sagt Glenn Watt, CISO bei Medidata.

Das Bedürfnis nach Transparenz und Einsicht

Um seine Systeme und Daten zu schützen, hatte Medidata ein ausgereiftes Sicherheitsprogramm mit zahlreichen Sicherheitskontrollen und -prozessen in seinem physischen Rechenzentrum eingeführt und nutzte die von AWS bereitgestellten Sicherheitsfunktionen, wie AWS-Sicherheitsgruppen. Zusätzlich zu den bereits bestehenden Bemühungen, seine lokalen und Cloud-Systeme zu schützen, musste Medidata die Transparenz der Sicherheitsereignisse auf seinen Systemen verbessern, seinen Kunden gegenüber seine hohe Sicherheitsprüfung untermauern, Datenverluste verhindern und Angriffe nahezu in Echtzeit analysieren können.

Watt musste in der Lage sein, die Protokoll- und Systemdateien von Medidata nach Ereignissen zu analysieren, die darauf hinweisen, dass etwas schief gelaufen sein könnte oder ein Angriff im Gange war. Das Team musste dies tun, ohne sich auf veraltete signaturbasierte Systeme oder Systeme zur Erkennung von Eindringlingen verlassen zu müssen, die zahllose Fehlalarme auslösen, wenn sie zu eng eingestellt sind, oder Vorfälle völlig übersehen, wenn sie zu locker eingestellt sind. „Wir generieren knapp zwei Terabyte pro Monat an Protokolldateien. Niemand kann realistischerweise all diese Daten durchgehen und die Korrelationen identifizieren, die notwendig sind, um Angriffe zu erkennen, und deshalb brauchten wir eine starke Fähigkeit zur Analyse von Sicherheitsdaten“, sagt Watt.

Darüber hinaus würde diese Fähigkeit dazu beitragen, die Bedenken einiger Kunden von Medidata zu zerstreuen, dass ein so großer Teil ihres Geschäfts in der Cloud stattfindet. Aufgrund der Art der Daten und der verstärkten Überprüfung durch Dritte und der Sorgfaltspflicht, die heute gilt, stellen einige Kunden von Medidata Fragen dazu, wie sie ihre Cloud-basierten Systeme sichern. „Aus der Sicht unserer Kunden ist das erste, was sie sehen, dass wir in erheblichem Umfang in der Cloud arbeiten. Einige sind sehr skeptisch, weil sie Angst vor der Cloud und der Tatsache haben, dass sie nicht sicher ist. Und diese Daten können angreifbar sein und im schlimmsten Fall vielleicht sogar manipuliert werden“, so Watt.

Um die richtige Lösung zu finden, hat Watt zunächst die besten SIEMs und eine Reihe von Tools zur Analyse von Sicherheitsdaten auf dem Markt bewertet. Leider funktionierten nur sehr wenige sowohl vor Ort als auch in AWS und viele erforderten sogar Geräte vor Ort. „Meine erste Frage an alle Anbieter, die wir evaluiert haben, war, ob das System innerhalb von AWS läuft oder nicht. Wenn nicht, war es eine fünfminütige Diskussion“, sagt Watt. „Aber die Lösung musste mehr können, als nur innerhalb von AWS zu funktionieren; sie musste auch in unserem Rechenzentrum funktionieren, und ich wollte eine Lösung, die keine zusätzliche Hardware oder Software erforderte.“

Der Wechsel zu Sumo Logic

Nach einer sorgfältigen Evaluierung erkannte Medidata, dass sie dies mit einer Cloud-nativen Datenanalyselösung erreichen konnten und entschied sich für Sumo Logic. Sumo Logic liefert kontinuierliche Echtzeit-Informationen über die gesamte Infrastruktur und den Anwendungsstack von Medidata und bietet Medidata eine Lösung, die es ermöglicht, automatisch revisionssichere Compliance-Berichte aus den Ereignisprotokollen vor Ort und auf AWS zu erstellen. Sumo Logic bietet Medidata außerdem eine Möglichkeit, Cloud- und Vor-Ort-Audits zu vereinfachen und die Sicherheitslage durch eine Gesamtübersicht über das Netzwerk, die Server und die Anwendungsstack zu stärken.

Darüber hinaus deckt die von Algorithmen des maschinellen Lernens unterstützte prädiktive Analyse unbekannte Sicherheitsereignisse auf, ohne sich auf Regeln oder vordefinierte Schemata zu verlassen, um drohende Gefahren abzuwehren. Watt war mit der reibungslosen Implementierung von Sumo Logic zufrieden. „Es dauerte buchstäblich Minuten, bis alles einsatzbereit war“, sagt er. „Unsere Ingenieure arbeiteten mit dem Sumo Logic-Entwicklungsteam zusammen und innerhalb von 20 Minuten war alles erledigt, und so einfach ist es geblieben. Von unserem ersten Bericht an konnten wir umsetzbare Informationen erhalten, die sich im Alltag als äußerst wertvoll erwiesen haben.“

Nur das sehen, was zählt

Da jeden Monat fast zwei Terabyte an Protokolldaten erzeugt werden, brauchte Watt eine Möglichkeit, schnell zu trennen, was wichtig ist und was nicht. „Sumo Logic macht das außergewöhnlich gut, keine Frage. Vor Sumo Logic wussten wir nicht einmal, was wir nicht wussten. Es gingen also Dinge vor sich und es gab Bedrohungen, die sich vor unserer Haustür abspielten, von denen wir nichts wussten. Mit Sumo Logic war es, als hätte uns jemand die Augenbinde abgenommen und wir konnten sehen, was sich möglicherweise auf unser Geschäft auswirkte“, sagt Watt.

Sumo Logic hat Watt auch dabei geholfen, das hohe Niveau der Datensicherheit bei Medidata und die Fähigkeit, auf Vorfälle zu reagieren, zu demonstrieren. „Wir haben Kunden, die wissen müssen, was wir tun, wenn es um unsere Sicherheitsbemühungen geht. Sie brauchen Beweise, und mit den Berichten, die Sumo Logic liefert, ist das möglich. Mit Sumo Logic kann Medidata jetzt seine Sicherheitsbemühungen leichter nachweisen und hat Einblick in Ereignisse auf AWS sowie die Möglichkeit, potenziell verdächtigen Datenverkehr zu identifizieren. Außerdem hilft diese Berichterstattung Medidata bei der Einhaltung von CFR Part 11 der Food and Drug Administration, die zahlreiche Anforderungen an die Cybersicherheit stellt, die Medidata erfüllen muss.

Angriffserkennung in Echtzeit

Es geht nicht nur um die Einhaltung gesetzlicher Vorschriften und die Überwachung um der Überwachung, Einhaltung und der Behauptungen von Kunden willen; Sumo Logic liefert auch verwertbare Sicherheitsinformationen und hat erfolgreich Angriffe abgewehrt, die im Gange waren. „Eines Nachts löste Sumo Logic einen Alarm aus, der einen Angriff auf unsere Server anzeigte. Wir wurden benachrichtigt und kamen innerhalb von Minuten zu dem Schluss, dass es wie ein Angriff aussah, und blockierten die Quelle“, erinnert sich Watt.

Sumo Logic verschaffte Medidata den Einblick, den es brauchte, um die Ursache dieses offensichtlichen Angriffs innerhalb von Minuten zu identifizieren. Der scheinbare Angriff kam vom Server eines Kunden. Watt setzte sich telefonisch mit dem Kunden in Verbindung, weil er dachte, dass es sich bei dem, was beobachtet wurde, um einen laufenden Angriff oder einen Fehlalarm handeln könnte. In jedem Fall war es wichtig, dass der Kunde informiert wurde. Der Kunde teilte Watt jedoch mit, dass er an diesem Wochenende einen Penetrationstest durchgeführt hatte.

„Jemand hat während des Penetrationstests etwas falsch eingegeben, so dass während des Angriffs nicht nur die eigenen Server angegriffen wurden, sondern auch ein Server, den Medidata mit dem Client verwendet hat. Ich habe ihnen gesagt, dass wir einen Angriff erkannt und ihn innerhalb von Minuten gestoppt haben und dass wir das jedes Mal tun werden, wenn wir etwas sehen“, sagt Watt. „Sie wurden von den Socken gehauen. Sie konnten nicht glauben, dass wir in der Lage waren, so schnell zu reagieren, und dass wir sie auf diesem Niveau schützen. Und ohne Sumo Logic hätten wir das nicht geschafft“, sagt er.

„Unser Wechsel zu Sumo Logic war in jeder Hinsicht ein großer Erfolg. Wir können sowohl in unserem physischen Rechenzentrum als auch bei Amazon Web Services sehen, was wir sehen müssen. Sumo Logic hilft uns, zu belegen, was unsere Kunden über unser Sicherheitsprogramm wissen müssen. Es gibt potenziell viele Angriffe und Aktivitäten, die uns nicht bekannt sind, und Sumo Logic hilft uns jetzt, diese Aktivitäten zu erkennen“, sagt Watt.