Các đội SecOps (hoạt động bảo mật) cần được chuẩn bị tốt hơn để chống lại các cuộc tấn công ransomware và “các cuộc tấn công tự động” được thiết kế để làm gián đoạn các hoạt động khai thác hàng ngày.
Hai năm qua đã chứng minh rằng tuyên bố “Không ai muốn làm hại bệnh viện hoặc cơ sở y tế” là một nhận định sai lầm. Theo báo cáo từ Fortified Health Security, các cuộc tấn công vào các máy chủ mạng trong ngành y tế đã tăng 35% vào năm 2020 và 54% vào năm 2021. Các tác nhân xấu đang khiến các tổ chức y tế ngừng hoạt động. nền kinh tế phải chi tiêu cho việc bảo vệ an ninh ngay bây giờ hoặc trả tiền chuộc, tiền phạt và các vụ kiện sau này.
Keith Bromlay, Giám đốc Tiếp thị Cấp cao, Keysight Technologies, cho biết việc bắt đầu quá trình này cần có một kế hoạch ba điểm: Tập trung vào phòng ngừa, phát hiện và cảnh giác. Kế hoạch ba điểm này có một số khuyến nghị chính như sau:
Đầu tiên, hãy triển khai một giải pháp bảo mật nội tuyến để giảm thiểu số lượng lỗ hổng bảo mật trong mạng.
Các giải pháp bảo mật nội tuyến là một kỹ thuật hiệu quả cao để đối phó với các mối đe dọa bảo mật, đặc biệt là phần mềm tống tiền nhắm mục tiêu vào các mạng y tế. Các giải pháp này có thể loại bỏ tới 90% các mối đe dọa bảo mật trước khi chúng có thể xâm nhập vào mạng của bạn. Các giải pháp bảo mật nội tuyến bao gồm các thiết bị bảo mật chuyên dụng (như hệ thống ngăn chặn xâm nhập (IPS), tường lửa ứng dụng web (WAF), mã hóa TLS 1.3 …) và các thành phần cơ sở hạ tầng. như các công tắc bỏ qua bên ngoài và các thiết bị quản lý giám sát lưu lượng mạng để truy cập và cung cấp khả năng hiển thị giám sát dữ liệu đầy đủ. Các giải pháp này cho phép kiểm tra TẤT CẢ dữ liệu đáng ngờ xâm nhập vào mạng của bạn.
Thứ hai, săn lùng các hành vi xâm nhập để tìm và nhanh chóng xử lý các hành vi xâm nhập được phát hiện trên mạng.
Thật không may, các giải pháp nội tuyến không thể bảo vệ khỏi tất cả các mối đe dọa. Do đó, bạn cần một tuyến phòng thủ thứ hai, giúp bạn chủ động tìm kiếm các mối đe dọa. Tuyến phòng thủ này sử dụng trình trích xuất gói và giám sát lưu lượng mạng để thu thập dữ liệu gói có liên quan, sau đó cung cấp dữ liệu này cho những kẻ săn lùng mối đe dọa chuyên biệt để chủ động theo dõi. chỉ số thâm nhập (IOC) trong các thành phần mạng và thiết bị trong Internet của các thiết bị y tế (IoMT Internet of Medical Things).
Thứ ba, định kỳ kiểm tra khả năng phòng thủ của bạn bằng mô phỏng vi phạm và tấn công (BAS) để đảm bảo chúng thực sự có thể phát hiện và ngăn chặn các mối đe dọa.
Tuyến phòng thủ thứ ba thường xuyên xác minh rằng kiến trúc bảo mật của bạn hoạt động như thiết kế. Điều này có nghĩa là bạn sử dụng giải pháp BAS để kiểm tra an toàn khả năng phòng thủ chống lại các mối đe dọa trong thế giới thực nhằm phát hiện các lỗ hổng trước khi tin tặc thực hiện.
Ông Keith Bromlay, Giám đốc Tiếp thị Cấp cao, Keysight Technologies.
Sẵn sàng cho mọi bất ngờ
Tập trung vào khả năng phục hồi trực tuyến là chìa khóa thành công của bạn. Khi một cuộc tấn công hoặc vi phạm đã được bắt đầu, bạn cần phải ngăn chặn mối đe dọa. Tuy nhiên, khả năng trở lại hoạt động bình thường càng nhanh càng tốt cũng rất quan trọng để duy trì hoạt động liên tục và đáp ứng nhu cầu của bệnh nhân. Chìa khóa để có khả năng phục hồi an toàn là kết hợp khả năng tự phục hồi vào thiết kế kiến trúc bảo mật của bạn ngay từ đầu.
Một số ví dụ về khả năng phục hồi thiết kế mạng bao gồm:
– Các công tắc bỏ qua bên ngoài, sử dụng các thông báo giám sát trạng thái. Bạn có thể chọn cấu hình Fail Open (mở khi lỗi) hoặc Fail Closed (đóng khi hỏng) cho các thiết bị này và khôi phục hoạt động bình thường khi sự cố đã được giải quyết. Kết quả là, bạn sẽ tạo ra một kiến trúc tự phục hồi.
– Sử dụng giám sát lưu lượng mạng nội tuyến và ngoại tuyến với khôi phục n + 1 cho các ứng dụng bảo mật. Do đó, độ tin cậy của mạng được cải thiện và các kỹ thuật chuyển đổi dự phòng hệ thống bảo mật nội tuyến bổ sung có thể được áp dụng.
– Định cấu hình một cụm thiết bị bảo mật chuyên dụng để tăng cường khả năng phục hồi.
– Giám sát lưu lượng mạng nội tuyến với bộ xử lý có thể cấu hình Active-Active để nâng cao tính liên tục hoạt động mà không bị mất dữ liệu. Các giải pháp Active-Standby gây ra mất dữ liệu khi bộ xử lý dự phòng bắt đầu hoạt động.
Sử dụng các thiết bị giám sát lưu lượng mạng hỗ trợ tích hợp với SIEM. Kết quả là mạng của bạn có thể tự động thu thập dữ liệu nhanh hơn và dập tắt các cuộc tấn công bảo mật càng nhanh càng tốt.
– Giải pháp BAS hỗ trợ một công cụ để đưa ra các khuyến nghị, nhanh chóng cung cấp thông tin về vị trí và cách giải quyết vấn đề. Một số giải pháp BAS có thể thông báo cho SIEMS về các hành động khắc phục cần thiết để tăng tốc độ phản ứng với các cuộc tấn công bảo mật.