Yakın zamanda meydana gelen ve hassas bilgilerin tehlikeye atıldığı bir ihlalin ardından, bir sağlık kuruluşu güvenlik duruşlarını nasıl önemli ölçüde iyileştirebilecekleri konusunda rehberliğime başvurdu. Eski bir Baş Bilgi Sorumlusu (CIO) olarak deneyimlerimden yola çıkarak, temel güvenlik önlemlerini güçlendirmeyi, hızlı yanıt yeteneklerini geliştirmeyi ve uygulama güvenliği stratejilerini entegre etmeyi amaçlayan kapsamlı bir çerçeve geliştirdim. Bu girişimlerin tümü, uzun vadeli esneklik ve uyarlanabilirlik sağlayan sürdürülebilir bir Tasarım Yoluyla Güvenlik çerçevesi içine yerleştirilmiştir.
Ana hatlarını çizdiğim ihlal sonrası strateji, kuruluşun CIO’su olarak hizmet ediyor olsaydım uygulayacağım şeye dayanmaktadır. Bu özel yaklaşım, sürekli iyileştirme için dayanıklı bir temel oluştururken acil güvenlik açıklarını gidermek için dört temel alana odaklanır.
- Güvenlik Açıklarını Belirlemek ve Önceliklendirmek için Otonom Sızma Testinden Yararlanın
Bir sağlık kuruluşunun güvenliğini güçlendirmenin ilk adımı, BT altyapısındaki istismar edilebilir güvenlik açıklarını etkili bir şekilde belirlemek ve ele almaktır. Buradaki amaç, yazılımdaki yanlış yapılandırmalara, bilinen istismar edilebilir güvenlik açıklarına, zayıf kimlik bilgilerine ve saldırganlar için giriş noktası görevi görebilecek diğer yetersiz güvenlik önlemlerine odaklanmaktır.
Bunu başarmak için, kuruluşun tüm şirket içi, bulut ve hibrit ortamlarındaki istismar edilebilir güvenlik açıklarını sürekli olarak tespit etmek, kataloglamak ve önceliklendirmek için otonom bir sızma testi yaklaşımı kullanılmasını önerdim; böylece güvenlik ekibine, güvenlik ekibine bu durumun doğru ve güncel bir resmini sundum. risk manzaraları.
Bu yaklaşımı kullanmanın sonucu, riskin önceliklendirilmesi, ardından anında ve uzun vadeli risk azaltımına yol açan hafifletmenin uygulanmasıdır. Güvenlik ekipleri öncelikle en büyük riski oluşturan güvenlik açıklarını gidermeye odaklanmalıdır. Kuruluş, istismar edilebilir saldırı yüzeyini aşamalı olarak en aza indirerek, kaynaklarını en çok ihtiyaç duyulan yerde yoğunlaştırırken başka bir ihlal olasılığını da azaltabilir.
Gerekçe: Altyapı düzeyindeki güvenlik açıklarından saldırganların yararlanması genellikle daha kolaydır çünkü uygulama düzeyindeki güvenlik açıklarıyla karşılaştırıldığında bu açıkların daha yaygın olması ve hedef alınması daha kolaydır. Kuruluş, öncelikle bu zayıflıkları ele alarak daha güvenli bir temel oluşturabilir ve gelecekteki ihlallere ilişkin genel riski azaltabilir.
- Güvenlik Operasyon Merkezi (SOC) Yanıt Sürelerini Karşılaştırın ve Geliştirin
Bir sağlık kuruluşunun güvenliğini güçlendirmenin kritik bir yönü, Güvenlik Operasyon Merkezi (SOC) ve/veya BT güvenlik ekiplerinin verimliliğini ve yanıt verebilirliğini artırmaktır. Tehditleri hızlı ve doğru bir şekilde tespit etme ve bunlara yanıt verme yeteneği, herhangi bir riskin etkisini en aza indirmek için çok önemlidir.
SOC etkinliğini artırmak için iki yönlü bir yaklaşım önerdim. İlk olarak kuruluş, temel olay tespitlerini ve yanıt sürelerini anlamak için otonom penetrasyon testini kullanarak mevcut SOC performansını değerlendirmeli ve kıyaslamalı, ardından iyileştirilecek alanları belirlemelidir. İkinci olarak, gürültüyü azaltmak ve yüksek öncelikli tehditlere odaklanmak için uyarı ayarlarını iyileştirmeleri gerekir. Bu, karar verme süreçlerini basitleştirerek ve müdahale iş akışlarını düzene sokarak gerçekleştirilebilir.
Aynı derecede önemli olan liderlik iletişimidir. Bir güvenlik olayı durumunda üst düzey yöneticilerin derhal bilgilendirilmesine yönelik açık ve doğrudan protokoller bulunmalıdır; karar vericilerin bilgilendirilmesi ve gerektiğinde hızlı harekete geçebilmesi sağlanmalıdır.
Gerekçe: Kuruluş, SOC’nin operasyonel verimliliğini artırarak tehditleri tespit etmek ve etkisiz hale getirmek için gereken süreyi azaltabilir; bu, kesinti ve güvenlik olaylarının önemli sonuçlara yol açabileceği hızlı tempolu bir sağlık hizmeti ortamında kritik öneme sahiptir.
- Uygulama Güvenliğini Güçlendirin
Altyapı açıklarının yanı sıra şirket içinde geliştirilen özel uygulamalar da başka bir potansiyel saldırı vektörünü temsil ediyor. Bu uygulamaların güvenliğinin arttırılması, herhangi bir ihlal sonrası kurtarma stratejisinin hayati bir parçasıdır.
SAST ve DAST gibi gelişmiş uygulama güvenliği test araçlarının yazılım geliştirme yaşam döngüsüne dahil edilmesini önerdim. Bunu yaparak kuruluş, uygulamaları dağıtılmadan önce güvenlik açıklarını proaktif olarak tanımlayabilir ve giderebilir.
Bir diğer önemli husus, özel uygulamalarında kullanılan tüm açık kaynak kitaplıklarını ve bileşenlerini izleyen bir Yazılım Malzeme Listesi (SBOM) oluşturmak ve sürdürmektir. Bu, üçüncü taraf bileşenlerin uygun şekilde incelenmesini ve içlerindeki tüm güvenlik açıklarının hızlı bir şekilde tespit edilip düzeltilmesini sağlar.
Ek olarak, özellikle sağlık hizmetleri ortamlarında üçüncü taraf entegrasyonlarının yaygınlığı göz önüne alındığında, API güvenliğine güçlü bir vurgu yapılmalıdır. Tüm API’lerin belgelenmesi, gölge veya zombi API’lerin (belgelenmemiş veya artık kullanılmayanlar) uygun şekilde yönetilmesini veya kullanımdan kaldırılmasını sağlar.
Son olarak, özel uygulamalardaki güvenlik açıklarını belirleme ve çözme konusunda dış güvenlik uzmanlarıyla işbirliği yapmak için bir hata ödül programı uygulamayı önerdim. Bu, küresel güvenlik topluluğuna ekstra bir inceleme ve içgörü katmanı sağlar.
Gerekçe: Dahili testler, harici işbirliği ve ayrıntılı bileşen takibinin bir kombinasyonu yoluyla uygulama güvenliğini güçlendiren API dokümantasyonu, kuruluşun aksi takdirde maliyetli ihlallere yol açabilecek güvenlik açıklarını azaltmasına olanak tanır. Kuruluş, bu riskleri proaktif bir şekilde ele alarak hasta verilerini koruyabilir ve mevzuat uyumluluğunu koruyabilir.
- Güvenlik Geliştirmelerini Tasarım Çerçevesine Göre Uzun Vadeli Güvenlikle Bütünleştirin
Acil güvenlik açıklarını ele almak çok önemli olsa da, sürekli güvenlik iyileştirmeleri sağlayan uzun vadeli bir strateji geliştirmek de aynı derecede önemlidir. Tasarım Yoluyla Güvenlik çerçevesinin devreye girdiği yer burasıdır.
Kuruluşa, altyapısının, SOC’sinin ve uygulamalarının günlük operasyonlarına sürekli güvenlik değerlendirmeleri yerleştirmesini tavsiye ettim. Bu yaklaşım, güvenliğin sonradan akla gelen bir düşünce olmaktan çıkıp, tüm teknoloji ve organizasyonel süreçlerin temel unsuru haline gelmesini sağlar.
Tasarımdan Gelen Güvenlik çerçevesi, kuruluşun yalnızca mevcut güvenlik açıklarına tepki vermek yerine proaktif bir şekilde tahmin etmesine ve gelecekteki saldırılara hazırlık yapmasına olanak tanır. Kuruluş, sürekli iyileştirme kültürünü teşvik ederek ortaya çıkan tehditlerin önünde kalabilir ve dayanıklı bir güvenlik duruşunu koruyabilir.
Gerekçe: Güvenliğin kuruluşun operasyonlarının her katmanına dahil edilmesi, proaktif ve uyarlanabilir bir savunma stratejisi oluşturur. Bu sadece mevcut risklerin azaltılmasına yardımcı olmakla kalmaz, aynı zamanda organizasyonu gelecekteki zorluklarla daha etkili bir şekilde başa çıkmaya hazırlar.
Çözüm
Bu stratejiyi sağlık kuruluşuna sunarak hem acil güvenlik açıklarıyla mücadele etmelerine hem de devam eden güvenlik iyileştirmeleri için sürdürülebilir bir temel oluşturmalarına yardımcı olmayı amaçladım. Yaklaşım, altyapı güvenliğini güçlendirmeye, SOC duyarlılığını iyileştirmeye, uygulama güvenliğini artırmaya ve bu geliştirmeleri kapsamlı bir Tasarım Yoluyla Güvenlik çerçevesine entegre etmeye odaklandı. Bu önlemlerin uygulanması, kuruluşu gelecekteki siber tehditlere karşı etkili bir şekilde koruyacak ve hem hastalar hem de ortaklar arasında güven sağlayacaktır.
Benzer bir stratejinin nasıl uygulanacağına ilişkin daha fazla ayrıntı için teknik incelememizi indirin: İhlal Sonrası Siber Güvenliğin Geliştirilmesi: Kapsamlı Bir Kılavuz.
Yazar Hakkında
Snehal Antani Horizon3.ai’nin CEO’su ve kurucu ortağıdır. Horizon3.ai’den önce Amerika Birleşik Devletleri Özel Harekat Komutanlığı’nda (USSOCOM) CTO, Splunk’ta CTO ve GE Capital’da CIO olarak görev yaptı. Snehal, USPTO tarafından veri işleme, bulut bilişim ve sanallaştırma alanlarında verilen 18 patente sahiptir. Sık sık liderlik, inovasyon, dijital dönüşüm, veri güvenliği ve bulut güvenliği üzerine makaleler yazıyor.
Snehal’e çevrimiçi olarak LinkedIn ve X (eski adıyla Twitter) üzerinden ve şirketimizin web sitesi https://www.horizon3.ai/ adresinden ulaşılabilir.