Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Tavsiyeler Teşkilatın Büyük Bir Kuruluşa İlişkin 2 Haftalık Güvenlik Değerlendirmesine Dayanmaktadır
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
15 Aralık 2023
ABD Siber Güvenlik, Altyapı ve Güvenlik Ajansı, federal kurum tarafından bu yılın başlarında bir tıbbi kuruluş üzerinde gerçekleştirilen iki haftalık risk ve güvenlik açığı değerlendirmesinden elde edilen bulgulara dayanarak, sağlık sektörü kuruluşlarını ortamlarını güçlendirmek için kritik adımlar atmaya çağırıyor.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Cuma günü yayınlanan bir danışma belgesinde CISA, değerlendirmeyi ajansın tanımlamadığı “şirket içi yazılım dağıtan büyük bir kuruluşun” talebi üzerine Ocak ayında gerçekleştirdiğini söyledi.
Risk ve güvenlik açığı değerlendirmesi, tüm organizasyonun iki haftalık bir sızma testidir. İlk hafta dış testlere ayrılır ve ikinci hafta iç ağın değerlendirilmesine odaklanır. CISA ekibi, birden fazla web arayüzü için varsayılan kimlik bilgilerini belirledi ve sızma testi sırasında varsayılan yazıcı kimlik bilgilerini kullandı. Diğer dahili değerlendirme testleri başka zayıflıklar da buldu.
Kuruluş, bulgularına dayanarak, sağlık ve kamu sağlığı sektörü kuruluşlarının, ilk erişimden sonra devam eden faaliyetleri azaltmak için iç ortamlarını geliştirmek, tüm idari erişimler için kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı kullanmak ve ağları ayırmak gibi önlemler almasını öneriyor. Ayrıca, tüm varsayılan kimlik bilgilerinin değiştirilmesi, kaldırılması veya devre dışı bırakılması da dahil olmak üzere bu sağlamlaştırma önlemlerinin uygulandığının doğrulanmasını da önerir.
CISA, tavsiyelerinin tüm kritik altyapı kuruluşlarının yanı sıra yazılım üreticileri için de geçerli olabileceğini söyledi.
Ajans, değerlendirmenin bir parçası olarak ekibinin web uygulaması, kimlik avı, sızma, veritabanı ve kablosuz değerlendirmeler yaptığını söyledi.
Değerlendirmelerde olumlu ve olumsuz bulgular ortaya çıktı. CISA ekibi, kuruluşa yönelik bir haftalık dış değerlendirmesinde, harici olarak kullanılabilen sistemlerde, kötü niyetli bir aktörün kuruluşun ağına ilk erişimi kolayca elde etmesine olanak tanıyabilecek herhangi bir önemli veya istismar edilebilir koşul tespit etmedi.
Değerlendirme ekibi ayrıca kimlik avı yoluyla değerlendirilen kuruluşa ilk erişim sağlayamadı.
Ancak dahili sızma testi sırasında CISA ekibi, kuruluşun etki alanını tehlikeye atmak için birden fazla saldırı yolu aracılığıyla yanlış yapılandırmalardan, zayıf şifrelerden ve diğer sorunlardan yararlandı.
CISA, ajans raporunda ayrıntılı olarak açıklanan bulgularını haritalamak için MITRE ATT&CK for Enterprise çerçevesinin 14. versiyonunu kullandı.