TECHNOLOGIE DE SANTÉ : Quels sont les domaines d’intervention que les établissements de santé peuvent cibler immédiatement pour renforcer leur sécurité ? Qu’en est-il des domaines qui nécessitent des efforts à long terme ?
QUIN : À court et à long terme, l’inventaire et la gestion des actifs seront l’une des choses les plus efficaces que vous puissiez faire en tant qu’organisation pour garantir votre protection. Il ne s’agit pas seulement de savoir de quels appareils vous disposez, mais également de savoir où ils se trouvent, à la fois physiquement et sur le réseau ; savoir combien vous en avez ; quels systèmes d’exploitation ou micrologiciels ils exécutent ; et quand ils ont été mis à jour pour la dernière fois.
Il s’agit d’un vaste projet pour de nombreux hôpitaux. Il y a tout le temps beaucoup de changements de vitesse. Tout cela rend le suivi incroyablement difficile et rend l’inventaire des actifs encore plus critique, car il peut être si facile de perdre la trace de ce que vous possédez, ce qui peut permettre à un attaquant de potentiellement trouver des appareils non suivis et non corrigés et d’aller plus loin. le réseau.
À long terme, je suggérerais d’investir dans une forte segmentation du réseau. En tant qu’ingénieur en sécurité ou en réseau entrant dans un établissement de santé, vous remarquerez souvent que le réseau ne présente pas une segmentation très forte et, dans certains cas, vous pouvez hériter d’un réseau qui nécessite de nombreuses mises à jour. Malheureusement, il n’y a pas toujours de financement pour soutenir les révisions à grande échelle des infrastructures, ce qui peut réellement avoir un impact à long terme. Il peut être coûteux de placer un réseau dans une position complètement segmentée et sûre. Mais c’est l’un des principaux facteurs permettant de garantir la sécurité de votre organisation.
Une forte segmentation du réseau peut aider à atténuer les risques de toute violation qui se produit. Avec une segmentation appropriée, par exemple, vous pouvez vous assurer que vos appareils de dialyse sont sur leur propre réseau et séparés de tout le reste. Vous pouvez vous assurer que votre équipement de laboratoire et vos appareils similaires sont sécurisés, de sorte que dans le pire des cas, si vous êtes touché par un ransomware, celui-ci ne se déploiera pas sur ces réseaux spécifiques. Cela peut sauver des vies.
TECHNOLOGIE DE SANTÉ : Pourquoi les établissements de santé devraient-ils effectuer régulièrement des tests d’intrusion ? Comment devraient-ils aborder les tests d’intrusion ? Quelles sont les idées fausses courantes ?
QUIN : Les établissements de santé doivent effectuer régulièrement des tests d’intrusion pour détecter et couper tous les chemins qu’un attaquant pourrait trouver au sein de leurs réseaux. De plus en plus, il est indispensable de supposer qu’une violation s’est déjà produite dans notre organisation, qu’elle soit le fruit d’un phishing, d’un exploit ou d’une menace interne. Il devient impératif d’aborder le réseau comme s’il avait déjà été compromis et de découvrir comment un attaquant pourrait compromettre d’autres systèmes ou causer des dommages à l’environnement grâce à un tel accès.
Une idée fausse courante est que les tests d’intrusion et l’analyse des vulnérabilités sont la même chose. La plus grande différence entre les tests d’intrusion et l’analyse des vulnérabilités est que l’analyse des vulnérabilités détectera les vulnérabilités au sein du réseau, mais elle ne les enchaînera pas et ne créera pas de chemin d’attaque.
Supposons que vous disposiez d’un serveur sur lequel un exploit est connu : le testeur de stylet pourrait en fait exploiter cette vulnérabilité, l’enchaîner avec d’autres erreurs de configuration ou vulnérabilités découvertes et accéder à des systèmes que vous pensiez sécurisés. Pendant ce temps, une analyse de vulnérabilité vous informera simplement de cette vulnérabilité. C’est pourquoi il est important d’effectuer des tests d’intrusion : pour voir quelle compromission supplémentaire peut survenir si un système est compromis.
Il est facile d’examiner une analyse de vulnérabilité de notre réseau et de dire que nous avons tous les correctifs, que nous sommes tous à jour et que nous devrions être en sécurité. Mais sans cette vérification et ces tests manuels, il pourrait exister des vulnérabilités supplémentaires qu’un attaquant pourrait exploiter pour compromettre considérablement votre environnement. Active Directory, en particulier, présente de nombreuses erreurs de configuration et vulnérabilités susceptibles de conduire à une compromission, et celles-ci n’ont pas tendance à être détectées par un scanner de vulnérabilités classique.
Les stylos testeurs sont là pour vous aider. De nombreuses entreprises considèrent que se préparer à un test d’intrusion signifie se préparer à réussir ou à échouer en tant qu’équipe de sécurité. Mais ce n’est pas l’approche la plus propice à un bon test. Ce que nous devrions essayer d’accomplir lors des tests d’intrusion, c’est qu’une partie connue trouve ces vulnérabilités pour vous. Vous voulez qu’ils trouvent toutes vos vulnérabilités ; vous voulez qu’ils trouvent des voies d’attaque qui pourraient être utilisées à mauvais escient. Si nous ne les trouvons pas de notre côté, un attaquant le fera, et l’attaquant n’aura pas le même état d’esprit que nous lorsque nous l’abordons. Ils vont chercher à causer des dégâts. Ils vont chercher à exploiter ces systèmes pour vous extorquer tout ce qu’ils peuvent obtenir ou vous faire tomber.
