Als Chief Information Security Officer bei cloud-IT-Riese athenahealth, Taylor Lehmann ist verantwortlich für den Schutz der verwalteten Daten von 5300 Mitarbeiterinnen und Mitarbeiter – über 160,000 Provider portion 110 Millionen Patienten.
Lehmann, der bereits einen CISO für sieben Jahre und der KKV bei athenahealth für ein Jahr, ist zu versuchen, die Dinge aufzurütteln mit einer neuen Sicherheits-Strategie – „interne offensive“, ruft er es. Teil dieser Strategie ist ein neues Sicherheits-system entwickelt, von einem ex-rot-teamer und Carbon Black executive bei einer Firma namens Randori.
Immer werfen Schläge
Der neue Ansatz zunächst identifiziert athenahealth wertvollsten Ziele, dann wirkt es wie ein rotes team oder nation-state hacker würde: die Entfesselung der Laufenden Skripts und APTs, bis es bricht durch.
Lehmann nennt dies ein anti-traditionalistischen Ansatz, da die meisten Unternehmen konzentrieren sich auf die Vermeidung von Angriffen. Er weiß, dass seine Blaue team muss die Widerstandsfähigkeit von immer werfen Schläge in der Verteidigung die Art und Weise dieses neue system tut.
„Wir können nicht mehr verlassen sich auf traditionelle Sicherheits-Kontrollen wie Schwachstellen-scans und regelmäßige Penetrationstests, um zu gewährleisten unseren Stakeholdern, Vorstand und Kunden, die unsere Systeme halten mit der rate und Tempo, mit dem sich Angriffe auftreten“, sagte er. „Weiterentwicklung der Organisation Perspektive auf Cyber-Sicherheit ist der Schlüssel – der Wandel von einer ’schützen, was Sie denken, Sie brauchen, um‘ ein ‚zu schützen, was Sie kennen und verteidigen forward“ ist unser plan.“
„Verständnis und Zuordnung von Wert zu einem gegebenen Ziel – aus Außenstehender Sicht – hilft uns, uns zu informieren, welche Vermögenswerte die meisten wahrscheinlich zuerst angegriffen und welche Rolle Sie spielen würde, in einem koordinierten, vom Menschen gesteuerten Angriff.“
Taylor Lehmann, athenahealth
Man kann diese Verschiebung durch die Einführung von proaktiven security-Maßnahmen gemeint, Möglichkeiten zu finden, bevor Sie zu Problemen werden. Eine Methode ist die Schaffung von einem internen team oder die Fähigkeit, konzentrierte sich auf die offensive security. Die „interne offensive“ – team führt ständige penetration testing und nutzt tools wie den MITRE ATT&CK-framework zu geben, Ihre Arbeit: schützende und defensive, die überprüft wurden, und diejenigen, die nicht bestanden haben.
„Die feedback-Schleife erzeugt dies ermöglicht es Sicherheitsexperten, aufhören sich zu Wundern über Ihre Kontrollen und der Bewertung Ihrer Wirksamkeit mit übertreibung Metriken, um mit Hilfe von Daten, die zeigt, wo die Verteidigung erfolgreich war oder nicht“, erklärte er. „Dann können intelligentere Investitionen, Ihre Ressourcen zu schützen oder zu verteidigen, der Organisation, basierend auf was muss verbessert werden um einen Angriff zu vereiteln.“
Fahren eine bessere Entscheidungsfindung
Fast jeder Teil des traditionellen Cyber-Risiko-management-Programm aktiviert ist, indem Sie bessere Informationen über Bedrohungen, Schwachstellen und Auswirkungen. Interne Offensive Strategien für den Aufbau dieses Daten-set zu fahren, bessere Entscheidungen“, fügte er hinzu.
Angriff-und-Verletzung simulation ist ein emerging-market-Kategorie in cybersecurity und Lehmann hat schon viele Spieler in diesem Raum suchen, neue Kunden zu gewinnen mit dem Versprechen, dass Ihre Lösungen wirksam Angriffe simulieren und helfen, eine Organisation von Ihnen lernen.
„Viele dieser Werkzeuge in Augenschein zu nehmen Ware Angriffs-tools wie Metasploit und öffentlich verfügbare exploits, legte Sie in die Hände von Sicherheitsexperten, die Sie gegen eine Reihe von Infrastruktur zu sehen, was erhalten werden kann“, erklärte er. „Andere Techniken demonstriert werden kann, aber größtenteils commodity-Werkzeuge, die erhalten werden können durch die verschiedenen offenen Quellen.“
Während hilfreich, Rohstoff-Angriffs-tools nicht simuliert das Verhalten eines menschlichen Angreifer – komplett mit unkonventionell, kreativ, einfallsreich, dachte Prozesse und Konzepte, fügte er hinzu. Diese sind von entscheidender Bedeutung, und dies sind Fähigkeiten, die bekam Lehmann interessiert Randori.
„Gebäude im menschlichen Perspektiven ist der Schlüssel,“ erklärt er. “Zum Beispiel, bestimmte Ziele für einen Angriff sind wertvoller als andere. Raffinierte Angreifer nicht unbedingt gehen, nachdem die einfachsten Ziele, die Sie gehen Sie nach der diejenigen, die wertvoll sind, zu einer bestimmten Kampagne und der Zweck. Verständnis und Zuordnung von Wert zu einem gegebenen Ziel – aus Außenstehender Sicht – hilft uns, uns zu informieren, welche Vermögenswerte die meisten wahrscheinlich zuerst angegriffen und welche Rolle Sie spielen würde, in einem koordinierten, vom Menschen gesteuerten Angriff.“
Menschen passen Ihre Techniken
Weiter -, Angreifer-Techniken anpassen, basierend auf dem, was Sie finden, sobald Sie die Durchführung von Aufklärungs-und schaffen den Einstieg in die Netzwerk -, fügte er hinzu.
„Randori ist der Ansatz, den Kunden mit einer vertrauenswürdigen Widersacher besser an, wie sich die Menschen Verhalten, die Analyse und die Entscheidungen, die Sie machen, weil Sie sind modelliert nach der real eindringen und rot-Tester-team „- Aktionen, die schauen, um ein Ziel zu erreichen – nicht einfach eine Liste der Sicherheitslücken, die jemand finden konnte“, erklärte er. „Diese Perspektive ist der Schlüssel, und wenn kombiniert mit Randori die offensive-security-team Pflege und Wartung der Angriff-Muster, das hilft uns sicherzustellen, dass unsere Tests sind robust.“
Randori CEO Brian Hazzard erklärt, wie das security-Unternehmen ist Technologie-und Dienstleistungsunternehmen arbeiten.
„Bestimmt, verstohlen und ‚Black Box‘ Randori beginnt mit nur einer E-Mail-Adresse“, sagte er. “Wenn sich eine Möglichkeit bietet, das Unternehmen führt real-world-Attacken so können Organisationen die Quantifizierung der Risiken, Stärkung der Antworten, und beweisen, dass Ihre wertvollsten Vermögenswerte zu sichern. Das Unternehmen attack-Plattform ermöglicht es Organisationen, um kontinuierlich zu üben, testen Sie und bewerten Ihre Sicherheit.“
Start real-world-Attacken
Die Plattform dient als virtueller Spiegel für die nationalstaatlichen Akteure und Cyberkriminelle und im Gegensatz zu einer simulation, die replays historischen Angriffe innerhalb der künstlichen Grenzen, es bietet die Möglichkeit, sicher zu starten real-world-Attacken gegen die Herstellung von Vermögenswerten, fügte er hinzu.
„Athenahealth verwendet Randori die Aufklärungs-Fähigkeiten zu verstehen, die Zugänglichkeit und Wert der Vermögenswerte, die angegriffen werden könnten und stellen Bestimmungen auf, wie Sie am besten zu priorisieren und Sie zu schützen,“ ein Duke kommt selten allein weiter. „Das Unternehmen Werkzeuge helfen uns bei der Identifizierung von internet-facing-Systeme – wo wir sind, wie wir erscheinen, um Angreifer auf das internet, was die Wege zum Zugriff verfügbar sind und welche Daten im internet gibt, die verwendet werden könnten, zu erwerben zugreifen.“
Viel von der Aufklärung erfolgt automatisch in der gleichen Weise bedrohlich Schauspieler führen solche Aktivitäten, erläuterte er.
„Wir haben festgestellt, Chancen mit dem Unternehmen Daten zur Verbesserung der Sicherheitslage und machen bestimmte Angriffe weniger möglich, mehr schwierig, oder erfordern eine viel höhere Ebene der Komplexität zu führen“, sagte er. „Wir bewegen uns in dann Operationalisierung des Aufklärungs-Informationen, die fahren sehr Häufig zu penetration testing-Aktivitäten, wo wir uns bewegen, um diese Schwachstellen ausnutzen, und bewerten Sie unsere Leistung.“
Was athenahealth gelernt hat
Penetrationstests und red-team-Projekte bieten langfristig zu wenig Wert und kann zu sehr hohen Kosten, Lehmann behauptet.
„Die Realität ist, diese Art des engagements zeigen sich Probleme, die nie erzählen eine ganze Geschichte über eine Organisation, Sicherheitsstruktur, und werden nicht ausgeführt, Häufig genug, um aufzählen von neuen Fragen, dass könnte auf Sie auswirken,“ sagte er. „Sie sind beschränkt in dem, was Sie entdecken, wie Umfang und Techniken in einem bestimmten engagement sind in der Regel basierend auf einer einzigen menschlichen Schauspieler, die Kreativität, das wissen der Werkzeuge und die Durchführung ein Spielbuch Sie sind komfortabel mit.“
Während Sie wertvoll sein können, diese wenig tun, um alle der Wert, der möglich ist, mit solchen Aktivitäten, Lehmann, sagte.
„Durch die Umstellung auf eine Plattform baut auf die Kreativität der vielen raffinierten Akteure mit der Fähigkeit zur Durchführung von Angriffen kontinuierlich und gegen die Infrastruktur oder Dienstleistungen, sind die meisten interessant und verlockend, bietet eine klarere Sicht auf die Realität Ihres systems und Schutz, als auch, was Sie tun müssen, um Ihre Haltung zu verbessern, die in kürzeren, häufigeren Ausbrüche“, Schloss er.
Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.