1. 我是CIO首页
  2. 观点

如何执行正确的政策以确保医院中已连接设备的安全

军医-563423_1920-darkostojanovic-pixabay

“物联网”和连接设备的革命已经席卷全球医院,随之而来的是改善患者护理和体验的不可思议的希望。

但是,随着许多技术的进步,这些新的奇迹将风险引入了我们最关键的系统。要同时确保这些设备的安全性和合规性,就需要一种新的安全性思考方式,即可以在整个网络的粒度级别上实施特定策略的方式。

医院必须遵守严格的合规性和隐私要求。同时,许多医院资金不足,最终导致信息技术不足。这就是医疗保健组织成为网络犯罪(尤其是勒索软件攻击)如此受欢迎的目标的原因之一。

IT专业人员不会解决预算问题-不会在今天,而且肯定不会在未来几年内解决。那么,在此期间可以做什么?

自动化,编排和细分

尽管用于实现我们常见问题的解决方案的技术确实发生了变化,但是数十年来,如何保护网络安全的基本原理仍然不变:自动化,编排和分段网络。尽可能广泛地应用最小特权原则。

  • 自动化之所以重要,有两个原因:可重复性和可审核性。当某事自动化时,它以可预测的方式重复执行相同的事情。可预测性很好,因为它使我们能够建立基线。从那里,我们可以使用简单的工具(例如异常检测)发现问题,直到问题变得无法控制。自动化系统也可以轻松进行审核。对于单独的系统,可以检查脚本以确定它们的作用和方式。
  • 编排是跨多个系统的大规模自动化,通常使审核更加容易。
  • 细分会破坏网络。必须相互通信的系统被放置在单个网段中,但是理想情况下,IT团队不会在绝对不需要的任何网段上放置任何东西。当折衷不可避免地发生时,这  有助于遏制折衷的扩散。

但是,很难通过物理方式或使用VLAN来分割传统方法。不仅繁琐而烦人,而且各种系统一直在互相交谈。在传统的分段模型下,单个系统可能需要同时存在于多个网段中。执行此操作的系统越多,跨网段折衷存在的向量越多。

微细分

最小特权原则规定,仅授予计算机系统,最终用户乃至应用程序内的各个模块和进程以其合法目的且仅在此需求持续时间内访问所需数据和资源的权限。最低权限在现实世界中的应用往往使计算机难以使用-这在医院是一个大问题。

微分段是限制使用专门为此任务设计的编排平台与各种工作负载,端点和基础结构组件进行对话的过程。不同的提供者以不同的方式进行此操作,但基本知识始终相同。IT团队将数据库中所有内容的信息辛苦地填充到数据库中。工作负载/端点/基础结构组件使用应用程序/协议/端口与许多事物进行对话。一旦数据输入数据库,网络业务流程平台就会锁定所有内容。 

微分段网络可确保一切都只能与绝对需要的内容进行通信,而没有其他任何内容。由于受感染的系统只能危害明确允许与其交互的其他系统,因此这也限制了危害的扩散。

如果微细分听起来像是要设置的麻烦,那么您没错。但是一旦到位,便开启了无限的可能性。

为什么是医院?

医院面临的问题之一是,他们使用大量的物联网设备,各种医疗设备,这些设备运行的软件和传感器都过时了。有患者和员工使用智能手机,平板电脑和可穿戴设备。最重要的是,医院需要担心传统的办公室IT基础架构,通常还需要大型虚拟桌面基础架构或VDI环境。

VDI环境主要是为了易于使用:员工需要能够从医院中任何位置的任何终端或平板电脑访问数据。他们甚至可能需要跨多家医院的多个护理机构访问该信息。

暂时考虑一家拥有1,000台医疗设备的医院,这些设备全部在过期或未修补的操作系统上运行。预算不支持更新它们,但是必须确保它们安全运行。没有任何类型的网络分段,IT团队就没有机会。第一个单击错误链接的人将使这1000个易受攻击的医疗设备中的每一个都开采比特币,而不是让人们活着。

即使没有在那家医院中确保其他任何东西的安全,几乎可以肯定的是,仅细分此类设备就值得微细分软件的成本。但是,可以告诉微细分业务流程平台基于一类设备执行操作-意味着IT管理员不必为每个设备输入这些限制,而只为设备类别输入这些限制。每当其中之一连接到网络时,无论它们在整个网络中的何处连接,都将得到适当的保护。

还可以配置微分段,以便所有未知设备可以完全相互隔离,只有最基本的信息服务访问权限,直到分配了一个类别。可以将其视为许多商业Wi-Fi接入点中常见的隔离功能的更强大版本,并且是应对正在发生的物联网和移动设备大规模爆炸的最简单方法。其中大多数无法保证安全,但是,IT部门必须将它们放在网络上。

突然,微分段开始显得很重要。对于医院等在物联网采用曲线方面遥遥领先的环境而言,这尤其重要。它是一项随着时间而增加的红利的技术。尽管这使得很难在短时间内量化投资回报率,但很难理解如果没有它,明天的物联网丰富的网络将如何成为可能。

Trevor Pott是Juniper Networks Inc.的产品营销开发人员,专注于信息安全。

本文为作者 大咖说 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论