Flygbolaget får SASE att modernisera verksamheten

Flygbolaget får SASE att modernisera verksamheten

Tidsstämpel: 25 januari 2024 5:00
Källnod: 3088162

Klagomål som försenade och inställda flyg, förlorat och skadat bagage och kundtjänstproblem är genomgående i flygbranschen. Det som inte hörs lika ofta - men kan vara ännu mer lömskt - är cybersäkerhetsincidenterna.

Modernt flyg är en blandning av arv och ny teknik, vilket skapar en komplex miljö som är svår att säkra. Flygsystem är mycket beroende av maskininlärning och artificiell intelligens, förstärkt verklighet, molnteknik och Internet of Things, som alla utökar attackytan. Äldre, mindre säkra protokoll används fortfarande i kritiska funktioner, vilket ger motståndare ännu fler möjligheter att attackera. Till exempel är protokollet som används för att kommunicera mellan piloten och markpersonalen fortfarande okrypterat, så kommunikation kan avlyssnas och manipuleras.

Flygbolag är också vanligtvis beroende av hundratals tjänsteleverantörer för att hantera olika aspekter av sin verksamhet. Ett problem med försörjningskedjan i hur mjukvaruapplikationerna är byggda eller ett hårdvarufel i systemen kan återspegla hela vägen till flygplanet och människorna ombord.

Och flygbolagens cybersäkerhetsincidenter växer. Bara under 2020 mer än 40 luftfartsrelaterade cybersäkerhetshändelser rapporterades. De främsta vektorerna inkluderar distribuerade DDoS-attacker (denial-of-service), dataintrång och ransomware. British Airways och Cathay Pacific har upplevt stora dataintrång de senaste åren, och en 2021 kompromiss kl global flygindustri IT-leverantör SITA påverkade flygbolagens bokningar. Pilotapplikationsdata för American och Southwest Airlines stals genom en rekryteringsportal 2023.

Inför ett växande cybersäkerhetsproblem och behovet av att modernisera teknikverksamheten beslutade Cathay, ett livsstilsvarumärke för resor som inkluderar det stora flygbolaget Cathay Pacific, att ersätta sin infrastruktur med en som har inbyggd cybersäkerhet.

Tänk på säkerhet vid modernisering

Pandemin, och den tillhörande övergången till hybridarbete och boom i molnanvändning, lyfte fram begränsningarna i Cathays åldrande infrastruktur. Cathays bandbreddskrav ökade från cirka 600 Kbit/s före pandemin till cirka 4 Mbit/s efter. Cathay började med att ersätta ett 40 år gammalt multiprotocol label switching-nätverk (MPLS) som flygbolaget förlitade sig på för kommunikation med sina nästan 200 kontor runt om i världen. Nätverket kunde inte hålla jämna steg med efterfrågan, synlighet för slutpunkter var begränsad, applikationsprestanda drabbades och det var bedrövligt otillräckligt när det kom till säkerhet.

"Den enda säkerhetskontrollen vi hade med MPLS var åtkomstkontroll över nätverksenheter, vilket innebar att även om vi ville undersöka ett potentiellt intrång eller incident, var det en kamp för säkerhetsoperationsteamet att borra ner tillräckligt långt", säger Rajeev Nair , general manager för IT-infrastruktur och säkerhet på Cathay Pacific.

MPLS var tvungen att gå. Cathay behövde en ersättningsmolnbaserad teknologi som kan hantera kraven på en moderniserad infrastruktur och ge synlighet från slut till ände över VPN, SD-WAN och andra molnresurser. Så småningom valde företaget Secure Access Service Edge (SASE), som ger datacentrerade funktioner som dataförlust och läckageskydd, samt minskar behovet för användare att försöka kringgå befintliga säkerhetskontroller.

"SASE-modellen att ha säkerhetsfunktioner levererade som en tjänst är ett gångbart sätt för organisationer att optimera sina egna säkerhetsinsatser", säger Fernando Montenegro, senior huvudanalytiker för cybersäkerhet på Omdia. "SASE-metoden med regionala närvaropunkter för säkerhetstjänster och avancerad trafikteknik kan förbättra användarupplevelsen. Och för pågående hantering kan SASE både centralisera säkerhetspolicyhanteringen, vilket gör den tydligare och mer konsekvent, och förenkla kantkonfigurationer.”

Dessa säkerhetsfunktioner var också viktiga för Cathay eftersom den traditionella nätverksperimetern är mindre effektiv i en molnbaserad miljö. SASE-baserade lösningar använder en säkerhetsmodell med noll förtroende, vilket är avgörande för att kontrollera enheter, identitetsbaserad åtkomst och nätverk, säger Nair.

"SASE tillhandahåller nätverksomfattande säkerhetsskydd, vilket är en enorm förbättring när vi går mer mot distansarbete och [förbättra] medarbetarnas engagemang och erfarenhet", tillägger han.

Blå himmel framåt med SASE

Cathay-teamet tog ett medvetet beslut att undvika produkter som stöds av stora telekommunikationsföretag på grund av oro över smidighet, framtida möjligheter och snabbhet till marknaden. Efter flera år långa proof-of-concept-experiment valde Cathay slutligen Aryakas enhetliga SASE.

Med denna lösning säkerställer nätverksdriftstjänster att alla säkerhetshändelser som täcker olika platser och typer loggas korrekt och åtgärdas, inklusive beteendeanalys. Dessutom kommer den säkra webbgatewayen, som är en del av tjänsten, att hjälpa till att säkerställa att Cathays policyer och kontroller är på plats oavsett vilka nätverksenheter som ansluter från eller till. Slutligen förbättrar lösningen säkerheten genom att upprätthålla rollbaserade policyer och ger säker surfning oavsett vilken webbläsare som används, plats eller nätverk.

Med tiden kan många av funktionerna som Cathay letar efter andra verktyg att tillhandahålla läggas till i SASE-lösningar, säger Omdias Montenegro. SASE har integrerat teknologier som SD-WAN, säkra webbgateways, brandvägg-som-en-tjänst och nollförtroendeåtkomst, och leverantörer fortsätter att förnya sig genom att lägga till nya funktioner. Funktioner som webbläsarsäkerhet, hantering av datasäkerhet och molnsäkerhet är nyckelområden av intresse för SASE-leverantörer.

Nairs grupp håller för närvarande på att avsluta pilotfasen av implementeringen av lösningen, som består av att distribuera tekniken till fem till 10 av företagets 200 platser. Baserat på lärdomarna från det kommer teamet att förfina tidslinjen och tillvägagångssättet för de återstående platserna.

"Vi vill se till att vi har synlighet över webbplatserna när det gäller nätverksprestanda och hur säkerhetselement övervakas och kontrolleras", förklarar Nair. Piloten kommer också att testa enkel implementering, policyhantering över regioner och prestanda. Den andra delen av pilotfasen kommer att utöka lösningen till att omfatta flygplatser.

För att säkerställa full övervakning och kontroll kommer den nya implementeringen att dra fördel av Aryakas enhetliga plattform för säker åtkomst över applikationer, arbetsbelastningar och enheter. Det kommer också att införliva Aryakas molnåtkomstsäkerhetsmäklare (CASB) – en del av dess säkra tjänster edge, en delmängd av dess SASE-lösning – för att upptäcka användarnas aktiviteter på osanktionerade appar och tillämpa lämpliga kontroller. För att säkerställa säkerhet i stor skala kommer Cathay att använda den inbyggda brandväggen som en tjänst, som appliceras i tjänstens kantskikt.

När pilotfasen har avslutats kommer fullständig implementering, inklusive integration med mer än 400 applikationer i det offentliga molnet, att påbörjas. Det är en stor förändring; idag kommer all trafik från huvudkontoret i Hong Kong och går genom olika nav för att nå sin slutdestination. När den är helt implementerad kommer trafiken att ansluta till närmaste Aryaka-hub eller krets och sedan anslutas tillbaka till molnleverantören.

När den är i full drift kommer Cathay Pacific att vara ett av de första flygbolagen att anamma SASE – men det kommer inte att vara det sista. I november meddelade Qatar Airways att de kommer att lägga till SASE till sin teknologistack för att förbättra anslutningsmöjligheter, operativ effektivitet och säkerhet. United Airlines och Qantas har också indikerat att de rör sig i riktning mot SASE.

Med tiden planerar Nair att göra andra säkerhetsförbättringar. Nästa steg är att föra säkerheten närmare slutanvändarna. För att göra det planerar teamet att uppgradera brandväggarna och programvarans webbgateways i sina datacenter och offentliga molnmiljö, separat från SASE-lösningen.

Tidsstämpel:

Mer från Mörk läsning