Herausforderung

Mehrere Geschäftsbereiche von Maritz akzeptieren Kreditkartendaten und müssen daher jährlich Rechenschaft über die Einhaltung des PCI DSS ablegen. Um den Sicherheitsansatz von Maritz zur Unterstützung der PCI DSS-Anforderung 6.6 zu verbessern, implementierte das Team eine Web Application Firewall (WAF) als zusätzlichen Sicherheitslayer für die von Maritz gehostete PCI-Umgebung.

Maritz ist eine Holdinggesellschaft, deren Geschäftsbereiche Markt- und Kundenforschung, Kundenbindungs-, Sales-Incentive-, Mitarbeiterprämien- und -anerkennungsprogramme, sowie Tagungs-, Veranstaltungs- und Reise-Incentive-Services für Fortune-500-Unternehmen und weitere umfassen. Bei so vielen verschiedenen Geschäftsbereichen, Anwendungen und unterschiedlichen Technologie-Stacks, musste das Team ein einziges Produkt finden, das in aktuellen und zukünftigen Hosting-Umgebungen eingesetzt werden kann – egal ob physisch oder virtuell, vor Ort oder in der Cloud. Maritz hatte zuvor Erfahrungen mit einer Open-Source-Lösung gemacht, deren Betrieb einen hohen manuellen Aufwand erforderte. Daher war das Unternehmen auf der Suche nach einer nutzerfreundlichen Lösung, die eine automatisierte Blockierung von Angriffen und eine einfache Bereitstellung ermöglicht.

 Lösung

Signal Sciences wurde zunächst nur für 5 % der Unternehmensanwendungen implementiert. Die Einführung war aber so erfolgreich, dass das Unternehmen damit inzwischen 90 % aller Anwendungen in mehreren Geschäftsbereichen schützt.

 Eine einfache Bereitstellung beschleunigt die Akzeptanz über Teams und Technologie-Stacks hinweg

Ziel des Projektteams war es, einen zusätzlichen Sicherheitslayer zu implementieren, ohne den legitimen Traffic oder die Performance zu beeinträchtigen oder komplizierte Firewall-Regeln zu ändern, die den Traffic zwischen der Edge und den Webservern so verändern, wie es andere Sicherheitstools tun. Die einfache Agent- und Module-Software von Signal Sciences, die direkt auf dem Webserver eingesetzt wird, erforderte keine Änderung beim Traffic Flow. Das Monitoring-Team bestätigte außerdem, dass die Ladezeiten und die Performance nicht in die Höhe schossen.

Maritz nimmt den Agent-Status von Signal Sciences über API in sein SIEM auf. So wird sichergestellt, dass die Agenten auf dem neuesten Stand sind und ordnungsgemäß funktionieren. Die Dashboards von Signal Sciences zeigen auf einfache Weise, welche IPs aus einem bestimmten Grund als bösartig gekennzeichnet und identifiziert wurden – Details, die den Teams Vertrauen geben und die Tür zu tiefergreifenden Diskussionen zum Thema Security öffnen.

Die Webserverbereitstellung von Signal Sciences bietet Unterstützung für verschiedene Infrastrukturen, die von unterschiedlichen Geschäftsbereichen genutzt werden. Lynette Ormsby, Technical Project Manager: „Die Tatsache, dass die Bereitstellung nur wenige Tage dauerte, gab dem Team die nötige Sicherheit, das Tool schon früher als erwartet in größerem Umfang bereitzustellen. Da der zusätzliche Sicherheitslayer in unserer Umgebung viele Vorteile bietet, stieß der beschleunigte Zeitplan innerhalb des Unternehmens auf große Akzeptanz.“ Wir bieten Signal Sciences jetzt unternehmensweit im Rahmen eines Opt-in-Modells an, das es Maritz ermöglicht, eine breitere Abdeckung als ursprünglich geplant zu erreichen – für bis zu 90 % der Unternehmensanwendungen.

 Sparen, sparen, sparen: Keine dedizierten FTEs erforderlich

Für Signal Sciences musste kein neues Team zur Verwaltung des Produkts gegründet werden. Dies war eines der Hauptargumente für Maritz. In operativer Hinsicht fügt sich Signal Sciences in das bestehende Security Operations Center (SOC) und die neuen Standard Operating Procedures ein. Es ist schwierig, die gesamte Zeit- und Kostenersparnis einzuschätzen, da der Webtraffic unvorhersehbar ist. Dennoch ist Maritz jetzt in der Lage, bestimmte Angriffsmuster automatisch zu blockieren, für deren Untersuchung und Bekämpfung das Unternehmen vor Signal Sciences vielleicht ein gesamtes Wochenende gebraucht hätte. Das SOC kann bösartige Aktivitäten jetzt schnell erkennen und untersuchen, den Risikograd bestimmen und entscheiden, welche Teams gebraucht werden.

### Die Vorteile für Dev und Ops: Transparenz und virtuelles Patching

Signal Sciences hat für Transparenz auf dem Application-Layer gesorgt.
So hat das Team für Infrastrukturservices bei Maritz eine bessere Grundlage für Gespräche mit Entwicklern zum Thema Anwendungssicherheit.
„Es ist ein großer Unterschied für einen Entwickler, Hypothesen über OWASP-Angriffe zu lesen oder einen Command-Injection-Angriff in der Produktivumgebung in Echtzeit zu erkennen und zu sagen: „Hey, das ist meine Site, und wir können sie blockieren“, so Andy Wolfe, Technical Architect. Die automatischen Traffic-Kategorien von Signal Sciences bieten Anwendungsentwicklern auch Einblicke in „Anomalien“, von denen viele mit minimalem Aufwand beseitigt werden können (z. B. Roboterdateien oder Lieblingssymbole).

Das virtuelle Patching von Signal Sciences hat dem Team
Einblicke in häufig auftretende Schwachstellen (CVEs) verschafft. Durch den Einsatz von Signal Sciences Power Rules zur gezielten Blockierung anhand von vorkonfigurierten Signaturen ist das Team in der Lage, diese bösartigen Versuche zu blockieren und Zeit zu gewinnen, um die zugrundeliegende Schwachstelle zu beheben. Da Signal Sciences seine CVE-Bibliothek weiter ausbaut, verspricht diese Funktion künftig sogar einen noch höheren Mehrwert und zusätzliche Zeitersparnis.