Phân tích pháp y tỉ mỉ luôn đóng vai trò quan trọng đối với các tổ chức cung cấp dịch vụ chăm sóc sức khỏe nhằm trau dồi các quy trình và chính sách bảo mật dữ liệu. Nhưng phân tích pháp y hiện đang trở nên đặc biệt quan trọng khi các nhà cung cấp dịch vụ chăm sóc sức khỏe triển khai—và sau đó mở rộng quy mô—Internet vạn vật y tế (IoMT) thiết bị. Chăm sóc sức khỏe là mục tiêu hàng đầu của ngành đối với các cuộc tấn công mạng và phân tích pháp y có hệ thống cho phép các nhóm bảo mật của tổ chức chăm sóc sức khỏe tìm hiểu và nhận ra chính xác nơi cần củng cố tình trạng bảo mật của họ sau các sự cố.
Giám sát chủ động thu thập bằng chứng để tái tạo lại các điểm bất thường về bảo mật có thể mang tính hướng dẫn cao, tiết lộ các chiến thuật chính xác của kẻ tấn công để khai thác lỗ hổng và xâm nhập vào các thiết bị và mạng IoMT. Với số lượng thiết bị IoMT đang tăng lên nhanh chóng trong các tổ chức chăm sóc sức khỏe, đây là cách các nhóm có thể định vị các chiến lược phân tích pháp y sao cho hiệu quả nhất.
“Chăm sóc sức khỏe là mục tiêu hàng đầu của ngành đối với các cuộc tấn công mạng và phân tích pháp y có hệ thống cho phép các nhóm bảo mật của tổ chức chăm sóc sức khỏe tìm hiểu và nhận ra chính xác nơi cần củng cố vị trí bảo mật của họ sau các sự cố.”
-Shankar Somasundaram
Phân tích pháp y cho các chính sách bảo mật dựa trên dữ liệu
Mặc dù phát hiện mối đe dọa liên quan đến việc ứng phó với các tình huống tức thời, nhưng phân tích pháp y là một quá trình hồi cứu cần thiết để hiểu nguyên nhân cốt lõi của vấn đề bảo mật. Đó là một sự khác biệt quan trọng. Phân tích pháp y bao gồm các giai đoạn cụ thể—chẳng hạn như thu thập dữ liệu, diễn giải và rút ra kết luận dựa trên dữ liệu—để cung cấp các đề xuất chính sách quan trọng.
Ngoài mọi chi tiết cụ thể về vi phạm nghiêm trọng, báo cáo dữ liệu sự cố ban đầu phải bao gồm mọi trục trặc thiết bị IoMT hoặc hành vi không mong muốn. Các nhóm tiến hành phân tích pháp y phải được trang bị các nhà phân tích dữ liệu giỏi, được bố trí để sử dụng tài nguyên giữa các phòng ban khi cần thiết và cũng sẵn sàng khai thác các đối tác bên ngoài, chẳng hạn như các nhà sản xuất thiết bị IoMT.
Bản thân việc thu thập dữ liệu phải được tự động hóa và phải kết hợp các thiết bị IoMT, thiết bị di động, máy chủ, dữ liệu giám sát mạng và nhật ký ứng dụng. Phân tích pháp y hoạt động tốt nhất với dữ liệu chính xác đã theo dõi kết nối và hành vi của tất cả các thiết bị và dữ liệu liên quan đến sự cố.
Phương pháp hay nhất là các nhóm nên chạy tất cả phân tích trên các bản sao dữ liệu thay vì dữ liệu gốc và sử dụng các biện pháp kiểm soát truy cập mạnh mẽ để đảm bảo tính toàn vẹn của dữ liệu. Ghi lại tất cả các quy trình và công cụ thu thập dữ liệu. Nếu quy trình phân tích pháp y yêu cầu xóa thiết bị khỏi mạng để bảo mật hệ thống và thu thập bằng chứng, hãy lưu ý đến tác động của hoạt động đó đối với tổ chức chăm sóc sức khỏe.
Chuẩn bị sẵn một bộ máy thu thập dữ liệu hiệu quả trước khi bắt đầu quy trình này, hoàn chỉnh với bộ lưu trữ dự phòng, biểu mẫu chuỗi hành trình sản phẩm và mọi thứ khác cần thiết. Ngoài ra, hãy sẵn sàng chia tay với phần cứng lưu trữ dữ liệu trong trường hợp cuộc điều tra cuối cùng liên quan đến cơ quan thực thi pháp luật.
Cũng đáng lưu ý rằng việc lưu trữ dữ liệu thiết bị IoMT (và rộng hơn là IoT) đặc biệt khó khăn và đòi hỏi một chiến lược chu đáo. Thu thập dữ liệu truyền thống không hoạt động đối với các thiết bị này vì sẽ không có đủ nhật ký. Vì vậy, đảm bảo bạn không bị mất thông tin có giá trị về cuộc tấn công có nghĩa là bạn phải thu thập dữ liệu trên mạng tại thời điểm xảy ra sự cố.
Đánh giá các cuộc tấn công thông qua điều tra chính thức
Bất kỳ sự cố bảo mật lớn nào cũng sẽ kích hoạt việc khởi động một cuộc điều tra chính thức sử dụng phân tích pháp y để xác định nguyên nhân của sự cố, sau đó xác định các cơ hội để cải thiện tình trạng bảo mật của bạn và phục hồi sau sự cố. Từ điểm bắt đầu của một thiết bị hoặc tài khoản nhân viên bị xâm phạm, cuộc điều tra nên bao gồm một cuộc tìm kiếm rộng rãi để khám phá thêm các điểm xâm phạm.
Lần xâm nhập đầu tiên được phát hiện có thể không phải là điểm xâm nhập thực sự của kẻ tấn công hoặc hoạt động đầu tiên trên mạng của bạn. Một cuộc điều tra rộng rãi và kỹ lưỡng sẽ tiết lộ điểm tấn công ban đầu và chỉ ra một phản ứng an toàn hơn. Ví dụ: nếu nguồn gốc của sự cố được truy tìm từ một nhân viên đã nhấp vào email lừa đảo, thì việc kiểm soát truy cập và đào tạo nhân viên hiệu quả hơn có thể tạo ra sự khác biệt chính đối với kết quả bảo mật trong tương lai.
Ngoài ra, việc xây dựng các bẫy mạng cho phép các nhà điều tra hiểu được nguyên nhân tiềm ẩn của cuộc tấn công. Cũng rất quan trọng ở giai đoạn này: hiểu chính xác cuộc tấn công đã đi được bao xa bằng cách tận dụng dữ liệu lưu lượng truy cập mạng và thiết bị để điền vào bức tranh toàn cảnh về sự cố (và trích xuất càng nhiều kiến thức hướng dẫn càng tốt).
Tạo các báo cáo sâu sắc sau sự cố
Các báo cáo sau sự cố cho phép các tổ chức chăm sóc sức khỏe tận dụng lợi thế của một cuộc tấn công mạng và biến nó thành nước chanh của các phương pháp an toàn hơn. Kiểm tra chặt chẽ bất kỳ quy trình nào không thể ngăn chặn cuộc tấn công, điều này sẽ phát hiện ra những cải tiến chính sách tiềm năng trong tương lai. Ghi lại cẩn thận tất cả những phát hiện, cùng với bất kỳ sự không chắc chắn hoặc giải thích thay thế nào cho các hành vi được quan sát.
Các bước cuối cùng là tạo và thực hiện một kế hoạch hành động dựa trên kết quả của báo cáo sau sự cố. Bất kỳ lỗ hổng nguy hiểm nào được xác định bằng phân tích pháp y đều phải được giải quyết. Đào tạo lại nhân viên và các chính sách mới có thể phù hợp nếu hành vi của nhân viên góp phần vào vụ việc. Các tổ chức chăm sóc sức khỏe thiếu khả năng giám sát liên tục có thể giải quyết nhu cầu đó bằng công cụ bổ sung của bên thứ ba. Các biện pháp kiểm soát truy cập được thắt chặt và các chính sách lưu trữ dữ liệu mới cũng có thể được đưa ra thảo luận.
Các tổ chức chăm sóc sức khỏe cũng có thể thử nghiệm các phương pháp của họ bằng cách tiến hành kiểm tra bút và mô phỏng tấn công, đồng thời tham gia vào các sự kiện như Cyber Storm. các cơ quan chính phủ hỗ trợ với các bài tập trên bàn thực tế và các tình huống đe dọa. Sau đó, tất cả các bài học sẽ cung cấp thông tin cho các kế hoạch hành động mới để sửa đổi các chính sách về tổ chức, mạng và thiết bị IoMT một cách phù hợp.
Coi phân tích pháp y như một quá trình
Phân tích pháp y mang lại kết quả tốt nhất khi được thực hiện không phải dưới dạng một bước đơn lẻ hoặc một hộp kiểm đơn thuần, mà là một quá trình điều tra liên tục, đánh giá dữ liệu, báo cáo sau sự cố và các kế hoạch hành động tiếp theo mang tính quyết định.
Bằng cách cam kết với quá trình phát triển và cải thiện các chính sách và khả năng bảo mật này để bảo vệ các hệ thống và thiết bị trước nhiều vectơ tấn công hơn—đặc biệt là khi các thiết bị IoMT tiếp tục tăng tốc—tổ chức chăm sóc sức khỏe có thể đạt được các tư thế bảo mật mạnh mẽ hơn khiến chúng ít bị tổn thương hơn trước các mối đe dọa trong tương lai.
Nguồn : https://www.iotforall.com/ .
Post by Automation Bot.
