Medidata findet mit Sumo Logic die Lösung für Sicherheitsanalysen

Herausforderung

Medidata benötigte Einblicke in die Sicherheitslage seiner Systeme und musste in der Lage sein, potenzielle Anzeichen für Angriffe aus seinen lokalen Systemen und Cloud-Diensten zu erkennen, um Angriffe so schnell wie möglich zu stoppen und seinen Kunden gegenüber ein hohes Maß an Sicherheit nachweisen zu können.

Ergebnisse

Medidata protokolliert jeden Monat mehr als 2 Terabyte an Systemereignisdaten. Mit Sumo Logic hat Medidata das gleiche Maß an Sicherheitstransparenz bei Cloud-Systemen wie bei Systemen vor Ort. Jetzt kann Medidata proaktiv Sicherheitsvorfälle beheben, die sonst unentdeckt geblieben wären.

„Sumo Logic hat uns geholfen, unsere hybride Infrastruktur effektiv zu verwalten und Innovationen zu beschleunigen. Jetzt können wir Logs sowohl aus unserem Rechenzentrum vor Ort als auch aus unseren Cloud-Anwendungen sammeln, sie auswerten und in Echtzeit Maßnahmen ergreifen – und das ist wirklich das Beste daran.“ Glenn Watt, CISO, Medidata

Auf diese Weise unterstützt die Medidata Clinical Cloud Unternehmen und Organisationen aus den Biowissenschaften dabei, ihre Risiken im Zusammenhang mit klinischen Studien zu reduzieren und die Ergebnisse zu verbessern. Dies geschieht bei gleichzeitiger Senkung der Kosten und der Zeit bis zum Abschluss. Der Kundenstamm von Medidata umfasst biopharmazeutische Unternehmen, Hersteller von Medizinprodukten und Diagnostika, akademische und staatliche Einrichtungen, Auftragsforschungsinstitute (Contract Research Organizations, CROs) sowie weitere Forschungsunternehmen, darunter 24 der 25 weltweit größten Pharmaunternehmen, die lebensverbessernde medizinische Behandlungen und Diagnostika entwickeln.

Medidata wurde 1999 in New York gegründet und verfügt heute über Niederlassungen in den Vereinigten Staaten, Großbritannien und Japan. Das Unternehmen stützt sich in hohem Maße auf Technologie, um seine Geschäftsabläufe und Dienstleistungen zu gewährleisten. Diese Geschäftstechnologie umfasst eine Kombination aus On-Prem-Rechenzentren und Public-Cloud-Systemen. Heute betreibt Medidata in seinem traditionellen Rechenzentrum in Houston, Texas, eine Reihe von Anwendungen, die für das Unternehmen von zentraler Bedeutung sind, wie z. B. den Plattform-Host Electronic Data Capture und das Safety Gateway, das potenziell schwerwiegende unerwünschte Wirkungen in einer klinischen Studie identifiziert und den größten Speicherort für die Informationen von Medidata darstellt. „Dieses Rechenzentrum ist sehr wichtig und sehr groß, aber der Rest der Anwendungen, auf die Medidata angewiesen ist, läuft über Amazon Web Services (AWS)“, sagt Glenn Watt, CISO bei Medidata.

Das Bedürfnis nach Transparenz und Einsicht

Um seine Systeme und Daten zu schützen, hatte Medidata ein ausgereiftes Sicherheitsprogramm mit zahlreichen Sicherheitskontrollen und -prozessen in seinem physischen Rechenzentrum eingeführt und nutzte die von AWS bereitgestellten Sicherheitsfunktionen, wie AWS-Sicherheitsgruppen. Zusätzlich zu den bestehenden Bemühungen zur Sicherung seiner On-Premise- und Cloud-Systeme musste Medidata den Grad der Transparenz bei Sicherheitsereignissen auf seinen Systemen verbessern, die hohe Sorgfaltspflicht im Bereich Sicherheit gegenüber den Kunden belegen, Datenlecks verhindern und in der Lage sein, Angriffe nahezu in Echtzeit zu analysieren.

Watt musste in der Lage sein, die Log- und Systemdateien von Medidata nach Ereignissen zu analysieren, die darauf hinweisen, dass etwas schief gelaufen sein könnte oder ein Angriff im Gange war. Dabei durfte sich das Team nicht auf veraltete signaturbasierte Systeme oder Systeme zur Erkennung von Eindringlingen verlassen, die unzählige Fehlalarme ausgeben, wenn sie zu scharf eingestellt sind, oder Vorfälle gänzlich übersehen, wenn sie zu locker eingestellt sind. „Wir generieren knapp zwei Terabyte an Logdateien pro Monat. Niemand kann realistisch all diese Daten durchgehen und die Korrelationen identifizieren, die notwendig sind, um Angriffe zu erkennen, und deshalb brauchten wir eine starke Fähigkeit zur Analyse von Sicherheitsdaten“, sagt Watt.

Darüber hinaus würde diese Fähigkeit wesentlich dazu beitragen, die Bedenken einiger Kunden von Medidata zu zerstreuen, dass so viele ihrer Geschäfte in der Cloud abgewickelt werden. Aufgrund der Art der Daten und der zunehmenden Überprüfung durch Dritte und der Sorgfaltspflicht, die heute gilt, stellen einige Kunden von Medidata die Frage, wie das Unternehmen ihre Cloud-basierten Systeme sichert. „Aus Sicht unserer Kunden ist das Erste, was sie sehen, dass wir erhebliche Geschäftsaktivitäten in der Cloud betreiben. Manche sind sehr skeptisch, da eine inhärente Angst vor der Cloud besteht und der Tatsache, dass sie möglicherweise nicht sicher ist. Und dass Daten angreifbar sind und schlimmstenfalls vielleicht manipuliert werden könnten“, so Watt.

Um die richtige Lösung zu finden, evaluierte Watt zunächst die besten SIEMs und eine Reihe von Tools zur Analyse von Sicherheitsdaten, die auf dem Markt erhältlich sind. Leider konnten nur sehr wenige sowohl vor Ort als auch in AWS eingesetzt werden, und viele erforderten sogar Geräte vor Ort. „Meine erste Frage an alle Anbieter, die wir evaluiert haben, war, ob das System in AWS läuft oder nicht. Wenn das nicht der Fall war, war das Gespräch nach fünf Minuten vorbei“, sagt Watt. „Aber die Lösung musste nicht nur innerhalb von AWS funktionieren, sondern auch in unserem Rechenzentrum, und ich wollte eine Lösung, die keine zusätzliche Hardware oder Software erforderte.“

Der Wechsel zu Sumo Logic

Nach sorgfältiger Evaluierung erkannte Medidata, dass sie dies mit einer Cloud-nativen Datenanalyselösung erreichen konnten – und entschied sich für Sumo Logic. Sumo Logic liefert Echtzeit- und kontinuierliche Intelligenz über die gesamte Infrastruktur und den gesamten Application Stack von Medidata und bot Medidata eine Lösung, die dabei hilft, automatisch Audit-fähige Compliance-Berichte sowohl aus den On-Premise- als auch aus den AWS-Ereignis-Logs zu generieren. Sumo Logic bietet Medidata außerdem eine Möglichkeit, Cloud- und On-Premise-Audits zu vereinfachen und seine Sicherheitsposition durch eine zusammengesetzte Ansicht über das Netzwerk, den Server und den Application Stack zu stärken.

Darüber hinaus deckt die von Machine-Learning-Algorithmen angetriebene prädiktive Analyse unbekannte Sicherheitsereignisse auf, ohne sich auf Regeln oder vordefinierte Schemata zur Abwehr drohender Gefahren zu verlassen. Watt war mit der reibungslosen Implementierung von Sumo Logic sehr zufrieden. „Es dauerte buchstäblich nur wenige Minuten, bis das System einsatzbereit war“, berichtet er. „Unsere Techniker arbeiteten mit dem Sumo Logic-Entwicklungsteam zusammen und innerhalb von 20 Minuten war alles erledigt, und so einfach ist es geblieben. Von unserem ersten Bericht an konnten wir verwertbare Informationen erhalten, die sich im Alltag als äußerst wertvoll erwiesen haben.“

Nur das sehen, was zählt

Da jeden Monat fast zwei Terabyte an Protokolldaten erzeugt werden, brauchte Watt eine Möglichkeit, schnell Wichtiges von Unwichtigem zu unterscheiden. “Sumo Logic macht das außergewöhnlich gut, keine Frage. Vor Sumo Logic wussten wir nicht einmal, was wir nicht wussten. Es gab also Dinge und Bedrohungen, die vor unserer Haustür auftauchten, von denen wir nichts wussten. Mit Sumo Logic war es, als hätte uns jemand die Augenbinde abgenommen, und wir konnten sehen, was unser Geschäft potenziell beeinträchtigt“, sagt Watt.

Sumo Logic hat Watt auch dabei geholfen, das hohe Niveau der Datensicherheit von Medidata und seine Fähigkeit zur Reaktion auf Vorfälle nachzuweisen. „Wir haben Kunden, die wissen müssen, was wir in Bezug auf unsere Sicherheitsbemühungen tun. Sie benötigen einen Nachweis, und mit den Berichten, die Sumo Logic bereitstellt, wird dies möglich. Mit Sumo Logic kann Medidata nun seine Sicherheitsbemühungen einfacher belegen und hat Visibilität in Ereignisse auf AWS sowie die Fähigkeit, potenziell verdächtigen Datenverkehr, der auftreten könnte, zu identifizieren. Außerdem hilft dasselbe Reporting Medidata bei der Einhaltung von CFR Part 11 der Food and Drug Administration, das zahlreiche regulatorische Cybersecurity-Anforderungen vorschreibt, die Medidata erfüllen muss.

Angriffserkennung in Echtzeit

Es geht nicht nur um die Einhaltung gesetzlicher Vorschriften und die Überwachung um der Überwachung, der Compliance und der Kundenaussagen willen; Sumo Logic liefert auch verwertbare Sicherheitsinformationen und hat erfolgreich Angriffe blockiert, die im Gange waren. „Spät in der Nacht löste Sumo Logic einen Alarm aus wegen eines scheinbaren Angriffs gegen unsere Server. Wir wurden benachrichtigt, und innerhalb von Minuten kamen wir zu dem Schluss, dass es nach einem Angriff aussah, und wir blockierten die Quelle“, erinnert sich Watt.

Sumo Logic lieferte Medidata die notwendige Einsicht, um die Ursprungsquelle dieses scheinbaren Angriffs innerhalb von Minuten zu identifizieren. Der scheinbare Angriff stammte von einem Server eines Kunden. Watt kontaktierte den Kunden telefonisch, da er dachte, dass das Beobachtete ein im Gange befindlicher Angriff oder ein False Positive sein könnte. So oder so war es entscheidend, den Kunden zu informieren. Der Kunde teilte Watt jedoch mit, dass er an diesem Wochenende einen Penetrationstest durchgeführt hatte.

„Jemand hat während des Penetrationstests etwas falsch eingegeben, so dass während des Angriffs nicht nur die eigenen Server angegriffen wurden, sondern auch ein Server, den Medidata mit dem Kunden benutzt hat. Ich habe ihnen gesagt, dass wir einen Angriff aufgedeckt und innerhalb von Minuten gestoppt haben und dass wir das jedes Mal tun werden, wenn wir etwas sehen“, sagt Watt. „Sie waren völlig von den Socken. Sie konnten nicht glauben, dass wir in der Lage waren, so schnell zu reagieren, und dass wir sie auf diesem Niveau beschützt haben. Und ohne Sumo Logic hätten wir das nicht geschafft“, erzählt Watt.

„Unser Wechsel zu Sumo Logic war in jeder Hinsicht ein großer Erfolg. Wir können sowohl in unserem physischen Rechenzentrum als auch bei Amazon Web Services sehen, was wir sehen müssen. Sumo Logic hilft uns, zu belegen, was unsere Kunden über unser Sicherheitsprogramm wissen müssen. Es gibt potenziell viele Angriffe und Aktivitäten, die uns nicht bekannt sind, und Sumo Logic hilft uns jetzt, diese Aktivitäten zu erkennen“, so Watt.