Pourquoi les organisations de soins de santé se tournent vers les MSSP
En plus du potentiel de combler les pénuries de personnel, les MSSP aident à aborder le «barrage constant des attaques contre l'industrie», selon Christopher Fielder, directeur du marketing de produits chez Arctic Wolf. Les soins de santé sont une cible attrayante, ajoute-t-il, et les enjeux n'ont jamais été plus élevés: «Dans le meilleur des cas, un attaquant obtient beaucoup d'informations personnellement identifiables. Dans le pire des cas, il y a perdu des revenus et le potentiel de préjudice des patients.»
La vulnérabilité des soins de santé découle en grande partie d'un coupable familier: l'infrastructure héritée. Les organisations peuvent avoir des systèmes de pointe pour interpréter des images radiologiques ou effectuer des chirurgies, mais elles fonctionnent souvent aux côtés des dispositifs de surveillance critiques exécutant des versions au coucher du soleil de Windows ou des systèmes basés sur le cloud avec des configurations non sécurisées par défaut. «Il y a tellement de lacunes à combler», explique Fielder.
Des tâches telles que l'isolement des appareils non corrigés peuvent rapidement submerger une équipe informatique. Ensuite, il est nécessaire de sécuriser les réseaux et les points de terminaison, de gérer l'accès, de surveiller les menaces et de les répondre avant que les attaques paralysent le système.
«Ils ont du mal à suivre le rythme du changement», explique McFarlane. Cela vaut également pour la politique. De nombreuses organisations savent qu'elles bénéficieraient de manuels scriptés pour la réponse aux incidents, mais cela nécessite de documenter les workflows de réponse aux incidents, un effort que peu de gens ont entrepris. «Il faut beaucoup de graisse de coude pour aller au fond de ce qui ne va pas.»
C'est pourquoi la véritable valeur ajoutée pour un MSSP est les personnes fournies par le service, pas seulement la technologie, dit Fielder.
«Vous obtenez une équipe d'experts pour le coût d'une personne. Cela offre une valeur fractionnée», dit-il. «Si vous êtes un hôpital de taille moyenne, vous avez besoin d'une réponse aux incidents, d'une chasse aux menaces, d'une détection et d'une réponse de point final, et tout le reste. Vous avez besoin de quelqu'un avec de l'expérience qui peut être des nuits et des week-ends disponibles.»
Il est difficile de trouver des talents de sécurité, surtout lorsqu'il y a plusieurs hôpitaux dans la même zone en essayant de rivaliser pour les mêmes personnes, note le joueur de champ.
Comment les organisations de soins de santé bénéficient du MSSPS
Fielder décrit les offres typiques d'un MSSP en termes militaires.
Avant une attaqueou «gauche de boom», les organisations peuvent bénéficier d'une gamme de services:
- Gestion de la vulnérabilité Implique d'obtenir un inventaire de tous les matériels et logiciels dans un environnement et notant quelles identités ont accès aux systèmes. Cela aide les organisations à hiérarchiser leurs efforts pour corriger les systèmes ou à savoir où surveiller pour une mauvaise utilisation, explique Fielder.
- Gestion de l'identité Assure que les utilisateurs, les applications et les appareils n'ont accès qu'à ce dont ils ont besoin – et rien d'autre. De cette façon, si une attaque se produit, le rayon de souffle est minimisé parce qu'un attaquant ne peut pas aller très loin, dit McFarlane.
- Journalisation centralisée Ingère les journaux incidents des outils de surveillance des menaces disparates pour fournir une vue unique de l'endroit où les incidents se produisent, ainsi que la façon dont ils sont liés. Cela réduit le volume d'alertes tout en fournissant un contexte supplémentaire sur les incidents.
- Analyse du comportement des utilisateurs regarde quand les utilisateurs se connectent et ce qu'ils essaient d'accéder. Ceci est particulièrement important pour les soins de santé, dit McFarlane, car «un accès anormal n'est pas nécessairement néfaste» (par exemple, un médecin qui se connecte après les heures pour terminer les notes ou examiner les études d'imagerie).
Pendant une attaqueou «le boom», tout est question détection et réponse gérées. Ici, les organisations voudront un MSSP qui «ressemble à une extension de l'équipe de cybersécurité», explique Fielder. « Le bon fournisseur vous traitera comme si c'était leur propre organisation, pas seulement une autre alerte sur une console. »
Après une attaqueou «droit de boom», l'objectif se tourne vers réponse aux incidents. «Vous avez besoin de quelqu'un sur le retenue», explique Fielder. «Vous devez être en mesure de passer un appel téléphonique et de faire travailler une équipe pour résoudre le problème et négocier dans l'heure.»
McFarlane prévient que la réponse n'est pas la même que la correction: «Les organisations devront toujours prendre des mesures.» Il recommande de repasser à l'avance quelles tâches de correction sont la responsabilité du MSSP et qui devraient reprendre le système de santé. Ici, les connaissances institutionnelles d'une organisation les aideront à identifier la bonne personne pour gérer la situation sur place.