Mit einem verwalteten Vermögen von über 4,3 Billionen US-Dollar ist Fannie Mae gemessen an den Vermögenswerten das viertgrößte Unternehmen der Welt. Da so viel auf dem Spiel steht, versucht das Unternehmen, Cyberkriminellen mithilfe einer Vielzahl von App-Sicherheitslösungen von F5 zu entgehen, die die IT-Kollegen von Fannie Mae als „erstklassig“ bezeichnen.
Fast ein Jahrhundert lang hat Fannie Mae den Menschen in den Vereinigten Staaten den Kauf, die Refinanzierung oder die Miete von Eigenheimen ermöglicht. Anstatt Kreditnehmern direkt Geld zu verleihen, kauft das Unternehmen Hypothekendarlehen, stellt Kreditgebern Finanzierungen zur Verfügung und gibt hypothekenbesicherte Wertpapiere aus. Da Fannie Mae sowohl ein staatlich gefördertes als auch ein börsennotiertes Unternehmen ist, arbeitet sie mit einer Vielzahl von Kreditgebern, gemeinnützigen Organisationen und anderen zusammen, um Mietern und Eigenheimkäufern dabei zu helfen, jährlich über 2,5 Millionen Eigenheime zu erwerben und zu behalten.
Fannie Mae verwaltet fast 1.000 digitale Anwendungen, von denen etwa ein Drittel für externe Kunden und Partner bestimmt sind. Sie werden in einer Hybridarchitektur aus Cloud- und lokalen Umgebungen bereitgestellt.
„Technologie ist das Rückgrat des Unternehmens“, sagt Aparna Kadari, Information Security Director bei Fannie Mae.
Ruban Thangaraj, Information Security Operations Lead Associate, stimmt zu, dass digitale Erfahrungen für die Geschäftstätigkeit des Unternehmens von grundlegender Bedeutung sind. Er sagt: „Indem wir den Schwerpunkt auf Zugänglichkeit, Personalisierung, Kommunikation und Anpassungsfähigkeit legen, kann unser Unternehmen starke Beziehungen zu unseren Kunden in der digitalen Landschaft aufbauen. Und Cybersicherheit spielt eine sehr wichtige Rolle dabei, unseren Kunden dieses digitale Erlebnis zu ermöglichen, sei es, indem wir ihnen beim Schutz ihrer persönlichen Daten helfen, ihnen benutzerfreundliche Sicherheitsmaßnahmen bieten oder unsere Reaktion auf Sicherheitsvorfälle transparent machen und so ihr Vertrauen stärken.“
Angesichts der zunehmenden Cyberkriminalität sind diese Ziele immer schwieriger zu erreichen. Vasanth Barre, Information Security Engineering und Operations Principal des Unternehmens, sagt: „Die Raffinesse der Angriffe hat im Laufe der Jahre erheblich zugenommen. Die Herausforderung besteht darin, sich an diese sich ständig weiterentwickelnde Landschaft anzupassen und gleichzeitig sicherzustellen, dass unsere Sicherheitslage unsere Geschäftsanwendungen unterstützt.“
Da das IT-Personal von Fannie Mae aus Hunderten von Mitarbeitern besteht, fügt Barre hinzu: „Unser größtes Hindernis besteht darin, dass wir nicht über die nötigen Ressourcen und das nötige Verständnis für die Technologie verfügen, um sie richtig zu konfigurieren. Die Wahl des richtigen Partners, der in der Lage ist, neue Telemetriedaten bereitzustellen und abzuwickeln, ist von größter Bedeutung.“
Fannie Mae verwendet einen vielschichtigen Ansatz zur Anwendungsbereitstellung und -sicherheit, der mehrere Strategien und Technologien umfasst, um die Apps gleichzeitig zu optimieren und zu sichern. F5-Technologien sind seit mehr als einem Jahrzehnt Teil dieses Ansatzes.
„F5 ist in der Branche für die Bereitstellung robuster Lösungen im Bereich der Cybersicherheit anerkannt“, sagt Barre. „F5 bietet erstklassige Lösungen, die auf die Bewältigung sich ständig weiterentwickelnder Sicherheitsherausforderungen zugeschnitten sind und bei den Bereitstellungsstandards für Anwendungen keine Kompromisse eingehen.“
Kadari fügt hinzu: „Die Produkte und Dienstleistungen von F5 sind wärmstens zu empfehlen, ebenso wie die Fachkompetenz von F5 in Anwendungs- und Netzwerksicherheit und anderen Bereichen, die für die Verwaltung komplexer Ökosysteme wie dem unseren relevant sind.“
Im Zuge der mehrjährigen Migration in die Cloud benötigt Fannie Mae Sicherheitsmaßnahmen, die zum Schutz seiner Daten und Anwendungen sowohl während der Übertragung als auch nach der Migration der Apps in die Cloud beitragen. Kadari sagt: „Wir versuchen, unsere Infrastruktur und unseren Platzbedarf vor Ort zu reduzieren, da die Migration in die Cloud mehr Flexibilität und Skalierbarkeit bietet, sodass wir uns effektiv auf größere und bessere Dinge konzentrieren können.“
Deshalb hoffen Barre und Thangaraj, dass F5 Distributed Cloud Services nach einer erfolgreichen Evaluierung Teil ihres F5-Produktmix werden. Zu den für sie interessanten Distributed-Cloud-Lösungen und Lösungspaketen zählen Distributed Cloud Web Application and API Protection (WAAP) sowie Bot-Abwehrfunktionen.
„Die F5-Lösungen helfen uns, unsere kritischen externen Apps vor Sicherheitsbedrohungen und Schwachstellen zu schützen, sodass unsere externen Apps betriebsbereit sind und eine hohe Verfügbarkeit, Skalierbarkeit und Leistung unterstützen“, sagt Thangaraj. „Alle F5-Produkte leisten bei uns großartige Arbeit.“
F5-Verkehrsmanagement und Lastausgleich sind für die App-Bereitstellung von Fannie Mae wichtig, ebenso wie der Schutz der Anmeldeportale der VDI-Lösungen des Unternehmens. Für andere Sicherheitsanforderungen sei BIG-IP Advanced WAF laut Barre besonders nützlich gewesen.
„BIG-IP Advanced WAF hat bei der Gestaltung der Sicherheit unserer Apps eine sehr wichtige Rolle gespielt“, sagt er. „Wir nutzen die nativen Sicherheitsfunktionen intensiv.“ Beispielsweise waren die Angriffssignaturen, die RADIUS-Telemetrie und die Bot-Abwehr verschiedener F5-Lösungen besonders hilfreich beim Schutz von Fannie Mae vor Bedrohungen, die von illegalen Cross-Origin-Anfragen bis hin zu Credential Stuffing reichten.
Als Beispiel nennt Barre die Log4j-Sicherheitslücke. „Als Log4j veröffentlicht wurde, konnten wir die Telemetriedaten identifizieren, schnell die manuelle Angriffssignatur für diese Telemetriedaten schreiben und sehen, dass die manuellen Signaturen die Angriffe erfolgreich blockierten. Für die Zero-Day-Lücke lieferte BIG-IP Advanced WAF eine Lösung.“
Kadari und Thangaraj betonen beide, wie einfach die Implementierung von F5-Produkten ist und wie effizient ihr Betrieb ist.
„F5-Produkte sind äußerst benutzerfreundlich, sie ermöglichen eine einfache Ereignis- und Berichterstellung und reduzieren die Komplexität unserer Betriebsabläufe“, sagt Thangaraj. „Das bedeutet, dass sich unsere Geschäftsteams auf die Erfüllung unserer Mission konzentrieren können.“
Aus ähnlichen Gründen freut er sich auf F5 BIG-IP NEXT, die nächste Generation der F5 BIG-IP-Software. Er sagt: „BIG-IP NEXT wird die Leistung steigern, die Sicherheit stärken und gleichzeitig die betriebliche Komplexität und die Kosten reduzieren.“
„Das F5-Supportteam ist großartig“, sagt Thangaraj. „Sie reagieren schnell, gehen den Problemen auf den Grund und helfen, eine Lösung zu finden.“
Barre lobt außerdem die F5 DevCentral-Community, die Fachwissen, Lösungen für spezifische Herausforderungen und Tools wie Schwachstellenbeschreibungen bereitstellt. „DevCentral ist schon seit langem mein bevorzugter Partner“, sagt er und fügt hinzu, dass er seinen Kollegen häufig Site-Links schickt. „Es war schon immer eine großartige Ressource.“
Insgesamt sagt Kadari, dass die Technologien und der Support von F5 wichtig seien, um das Vertrauen der Kunden von Fannie Mae zu gewinnen. Auf die Bitte, die Produkte von F5 kurz zu beschreiben, antwortet sie: „Vertrauen, Wirksamkeit und Wirkung. Es ist zwingend erforderlich, die richtigen Lösungen zur Verfügung zu haben, und die Wirkung, die wir gemeinsam mit F5 erzielt haben, ist enorm.“
Sie kommt zu dem Schluss: „Indem wir F5 mit ins Boot holen und unsere externe Landschaft unterstützen, stärken wir unsere Kundenbeziehungen und können unseren Kunden und IT-Mitarbeitern den Schlaf verschaffen, den sie verdienen.“