Kalıcı siber tehditlerin damgasını vurduğu bir çağda, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sağlık ve Kamu Sağlığı (HPH) Sektörü için özel olarak hazırlanmış bir siber saldırı Azaltma Kılavuzu yayınladı.
Bu kılavuz yalnızca güvenlik açıklarını tanımlamakla kalmıyor, aynı zamanda siber tehditlere önleyici bir şekilde karşı koymak ve kritik sağlık hizmetleri altyapısının bütünlüğünü ve güvenliğini sağlamak için öneriler ve en iyi uygulamaları da sunuyor.
Kılavuz, CISA’nın Siber Hijyen Güvenlik Açığı Taraması ve Web Uygulaması Tarama hizmetleri aracılığıyla toplanan güvenlik açığı verilerinden yararlanmaktadır.
Kılavuz, internetten erişilebilen varlıkları inceleyerek, HPH Sektöründeki güvenlik açığı eğilimlerine ilişkin incelikli bir anlayış sunuyor.
Tehditleri ve riskleri bağlamsallaştırmak için CISA’nın KEV kataloğu, açık kaynak bilgileri, ticari tehdit istihbaratı beslemeleri ve MITRE ATT&CK çerçevesi dahil olmak üzere çeşitli kaynaklardan gelen verileri birleştirir.
Azaltma Stratejisi #1: Varlık Yönetimi ve Güvenlik:
Korunan sağlık bilgilerinin (PHI) yüksek değerini ve hasta odaklı hizmetlerin kritik doğasını kabul eden kılavuz, sağlam varlık yönetimi politikalarının uygulanmasını vurguluyor.
Donanım, yazılım ve verileri kapsayan güncel bir varlık envanterinin sürdürülmesinin öneminin altını çiziyor.
Siber güvenlik savunmasını güçlendirmek için ağ bölümlemeyle birlikte aktif ve pasif keşif teknikleri savunulmaktadır.
Azaltma Stratejisi #2: Kimlik Yönetimi ve Cihaz Güvenliği:
HPH Sektörü daha fazla varlığı çevrimiçi ortama aktardıkça, cihazların güvenliğini sağlamak ve dijital kimlikleri yönetmek çok önemli hale geliyor.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Kılavuz, e-posta güvenliği, kimlik avını önleme, erişim yönetimi, parola politikaları ve veri koruma uygulamalarını ayrıntılı olarak ele almaktadır.
Riskleri etkili bir şekilde azaltmak için çok faktörlü kimlik doğrulamanın (MFA), benzersiz kullanıcı hesaplarının, erişimin zamanında sonlandırılmasının ve sıkı parola politikalarının gerekliliğini vurgulamaktadır.
Azaltma Stratejisi #3: Güvenlik Açığı, Yama ve Yapılandırma Yönetimi:
Kılavuz, güvenlik açığı yönetiminin tanımlama, değerlendirme, önceliklendirme ve iyileştirmeyi kapsayan sürekli ve gelişen doğasının altını çiziyor.
Düzenli güvenlik açığı değerlendirmelerini, tehdit istihbaratından yararlanmayı ve sağlam yama yönetimi uygulamayı savunur.
Yanlış yapılandırmaları gidermek ve güvenli temelleri korumak için yapılandırma ve değişiklik yönetimi de vurgulanmaktadır.
CISA, Sağlık ve Kamu Sağlığı (HPH) ürünleri üreticilerinin, ürünlerine güvenli tasarım ilkeleri aşılamak için önlemler almasını tavsiye ediyor.
Eş zamanlı olarak, HPH kuruluşlarına, tasarım standartlarına göre güvenliğe uygun ürünlerin tedarikine öncelik vermeleri tavsiye edilir. Temel öneriler şunları içerir:
Satın Alma Kriterlerinin Geliştirilmesi:
Tedarikçi Bilgi Talepleri (RFI’ler) aracılığıyla siber güvenlik kriterlerinin satın alma süreçlerine entegrasyonu.
CISA yönergelerine bağlılık, tasarım gereği güvenli ve bellek güvenliği yol haritalarının yayınlanması, Yazılım Malzeme Listesi’nin (SBOM) sağlanması, güvenlik açığı açıklama politikasının uygulanması ve NIST’in Güvenlik Standardı ile uyum gibi tasarım gereği güvenlik ilkelerine vurgu Yazılım Geliştirme Çerçevesi (SSDF) ve CISA’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Siber Güvenlik Uygulamaları (CPG’ler).
Güvenlik Değerlendirmelerinin Uygulanması:
Tüm teknoloji alımlarında güvenlik değerlendirmesini gerektiren politikaların oluşturulması.
Önemli güvenlik hususlarına ilişkin içgörüler toplamak için bir Üretici Açıklama Beyanı (MDS) alma konusunda ısrar.
Stratejik Ortaklıklar:
Kilit BT tedarikçileriyle stratejik ittifakların kurulması, güvenli tasarım uygulamalarının resmi sözleşmelere ve anlaşmalara yerleştirilmesi.
Güvenli tekliflerle uyumlu hizmet düzeyi anlaşmalarının (SLA’lar) ve güvenlik açıklarının risk bilgisine dayalı olarak ifşa edilmesini gerektiren teknoloji tedarikçilerinden şeffaflık beklentisi.
Sektördeki Benzerleriyle İşbirliği:
Tasarım ilkelerine göre güvenliği bünyesinde barındıran ürün ve hizmetleri ayırt etmek için sektördeki emsallerle işbirlikçi ilişkilerin geliştirilmesi.
Bulut Sistemiyle İlgili Hususlar:
Bulut sağlayıcılarının güvenlik sorumluluklarının incelenmesi ve güvenlik duruşlarında şeffaflık gösterenlere öncelik verilmesi.
Sonuç olarak, CISA Azaltma Kılavuzu, HPH Sektöründe siber güvenliği güçlendirmek için kapsamlı bir yol haritası görevi görmektedir.
Sağlık kuruluşları, güvenlik açıklarını proaktif bir şekilde ele alarak, sağlam varlık ve kimlik yönetimi uygulamalarını uygulayarak ve etkili güvenlik açığı ve konfigürasyon yönetimini benimseyerek siber dayanıklılıklarını önemli ölçüde artırabilir.
Sağlık hizmetleri ortamı giderek dijitalleştikçe, siber güvenliğe proaktif bir yaklaşım yalnızca en iyi uygulama değil, aynı zamanda hasta verilerini korumak ve kritik sağlık hizmetlerinin kesintisiz sunulmasını sağlamak için hayati bir zorunluluktur.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.