.png)
3 Schritte, um die Zero-Trust-Reise Ihrer Gesundheitsorganisation zu beginnen
Jedes Jahr nehme ich an der HIMSS-Konferenz teil. Die geschäftigsten Cybersicherheitssitzungen haben immer etwas damit zu tun Null Vertrauen — und ich erwarte HIMMEL 2024 um nicht anders zu sein. Die Gesundheitsbranche hat sich das Konzept von Zero Trust schneller und intensiver als fast jeder andere Sektor zu eigen gemacht. Während Exekutivverordnung 14028 hat Regierungsbehörden in Richtung Zero Trust getrieben, es ist das Gesundheitswesen, das die Initiative ergriffen hat.
In diesem Blogbeitrag werde ich detailliert beschreiben, wie Gesundheitsdienstleister eine Zero-Trust-Strategie umsetzen können, die auf Das Zero-Trust-Reifegradmodell von CISA und die grundlegende Rolle Illumio Zero Trust-Segmentierung spielt in jeder Zero-Trust-Architektur.
Bauen Sie Cyber-Resilienz mit Zero Trust auf
Zero Trust bietet ein einfaches Framework zur Verbesserung der Cyber-Resilienz. In der Tat ESG-Forschung hat gezeigt, dass es auch die Sicherheitsausgaben und die Gesamtkosten einer Sicherheitsverletzung senkt.
Das Problem ist, dass sich die Definition von Zero Trust im Laufe der Zeit geändert hat, sodass es schwierig ist, genau zu wissen, was es ist. Zero Trust wurde ursprünglich 2010 von John Kindervag in seinem Forrester Research-Bericht eingeführt Keine zähen Zentren mehr: Das Zero-Trust-Modell der Informationssicherheit. Seit vielen Jahren wird die Bedeutung von Zero Trust jedoch von den Marketingabteilungen der Sicherheitsanbieter missbraucht. Das machte es den Leuten schwer, herauszufinden, was sie tun sollten, da sie mit zu vielen widersprüchlichen Botschaften bombardiert wurden. Die gute Nachricht ist, dass die meisten dieser Marketingabteilungen jetzt von KI besessen sind und die Dinge viel einfacher sind.
Zur Unterstützung der Executive Order 14028 veröffentlichte das National Institute for Science and Technology (NIST) eine Zero-Trust-Architektur (NIST SP 800-207) das definierte Aspekte von Zero Trust und was es ist als „eine sich entwickelnde Reihe von Cybersicherheitsparadigmen, die die Verteidigung von statischen, netzwerkbasierten Perimetern auf Benutzer, Vermögenswerte und Ressourcen verlagern“.
So starten Sie die Zero-Trust-Reise Ihrer Gesundheitsorganisation
Wenn wir ein klareres Bild davon haben, was Zero Trust ist, müssen wir im nächsten Schritt verstehen, wie dies erreicht werden kann. Die gute Nachricht ist, dass die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine eingerichtet hat Zero-Trust-Reifegradmodell (ZTMM) das bietet:
- Ein Leitfaden zur Abbildung des aktuellen Status Ihres Unternehmens anhand der fünf Zero-Trust-Säulen
- Eine Roadmap zur zunehmenden Optimierung Ihrer Zero-Trust-Architektur
Zu viele Unternehmen setzen Zero Trust Network Access (ZTNA) -Tools als VPN-Ersatz ein und erklären Zero Trust dann für abgeschlossen. Die Realität ist, dass das Erreichen des optimalen Niveaus in allen fünf Säulen des ZTMM von CISA ein langer Weg sein kann — und der weit über ZTNA hinausgeht.
Mithilfe des ZTMM können Sie den Kurs Ihres Unternehmens auf seiner Zero-Trust-Reise planen und sicherstellen, dass es auf dem Weg dorthin geschützt ist.
1. Identifizieren Sie, was Sie schützen müssen
CISA empfiehlt, Entscheidungen über Zero-Trust-Implementierungen auf der Grundlage von Faktoren wie Risiko, Mission, behördlichen und behördlichen Anforderungen sowie Betriebsbeschränkungen zu treffen. Die Identifizierung von Risiken ist ausschlaggebend dafür, ob Ihr Unternehmen breit angelegt und in allen fünf Säulen zusammen eine Stufe höher oder tiefer in eine oder mehrere Säulen einsteigen muss.
Wenn Sie beispielsweise ein EHR-System wie Epic haben, können Sie entscheiden, dass das Abschirmen dieser Umgebung die höchste Priorität hat.
2. Verstehen Sie den Status Ihrer Organisation in Bezug auf jede ZTMM-Säule
Das Reifegradmodell basiert auf den fünf Säulen von Zero Trust und definiert vier Reifegrade, von traditionell, dem aktuellen Status Quo, bis Optimal, dem höchsten Leistungsniveau. Nachdem Sie verstanden haben, was Sie sichern möchten, besteht der nächste Schritt darin, den aktuellen Status für jede Säule des ZTMM zu verstehen.
3. Beginnen Sie mit der Arbeit an den vorrangigen Säulen
Jeder Anbieter wird unterschiedliche Prioritäten haben, um das optimale Niveau jeder Säule zu erreichen. Dies hängt von Sicherheitslücken, dem Budget, der Verfügbarkeit von Personal oder den Compliance-Anforderungen ab. Es ist auch wichtig zu berücksichtigen, dass einige Säulen schwieriger und teurer zu erreichen sind, während andere einfacher sind.
Trotz unterschiedlicher Prioritäten sind Netzwerke eine wichtige Säule, mit der sich jedes Unternehmen eingehender befassen sollte. Bei dieser Säule geht es nicht um Switches und Router, sondern um das Gesamtkonzept des Netzwerks und des Datenverkehrs, der darüber fließt. Bewerben Netzwerksegmentierung würde traditionell statische VLANs oder komplexe Firewallregeln beinhalten, aber das CISA ZTMM befürwortet einen dynamischeren und flexibleren Ansatz, der eine feinere Granularität bietet.
CISA hat weitere Einzelheiten zu jeder Implementierungsebene der Netzwerksäule bereitgestellt, einschließlich Segmentierung, Verkehrsmanagement und Resilienz:
Weitere Zero-Trust-Ressourcen für Gesundheitsdienstleister
Der britische National Health Service (NHS) hat Leitlinien herausgegeben zu Netzwerksegmentierung wo sie beraten, wie fünf wichtige diagnostische Säulen unterteilt werden können:
_logo.svg.webp){kind=logo}
- Genomik
- Bildgebung
- Pathologie
- Endoskopie
- Physiologische Messung
Obwohl ein Großteil der Segmentierungsempfehlungen des NHS in die niedrigste traditionelle Ebene des ZTMM von CISA fällt, hebt der NHS die Netzwerksegmentierung als grundlegenden Bestandteil der Zero-Trust-Strategie hervor. In ihrem Leitfaden heißt es, dass Zero-Trust-Sicherheit „das Konzept eines vertrauenswürdigen Netzwerks innerhalb des Unternehmensperimeters abschafft und die Einrichtung von Mikroperimetern zur Kontrolle kritischer Ressourcen sowie die Durchsetzung strenger Zugriffskontrollen, Netzwerksegmentierung und Identitätsmanagement befürwortet“. Diese Definition von Segmentierung entspricht genau dem Optimal-Niveau des ZTMM von CISA.
Bauen Sie Angriffstoleranz mit Illumio Zero Trust Segmentation auf
Organisationen des Gesundheitswesens wenden sich an Illumio Zero Trust Segmentation (ZTS) für einen einfachen, kostengünstigen Ansatz, um das optimale Niveau der Netzwerksegmentierung ohne komplexe Netzwerktechnik oder statische Firewallregeln zu erreichen.
Mit Illumio ZTS kann Ihr Unternehmen:
- Werden Sie angriffstolerant: Gewinnen Durchgängige Sichtbarkeit der gesamten Kommunikation zwischen Workloads und Geräten auf der gesamten hybriden Angriffsfläche. Finden Sie heraus, wo Sicherheitslücken liegen, und schließen Sie unnötige Verbindungen.
- Plan für einen Angriff: Richten Sie automatisch detaillierte und dennoch flexible Richtlinienkontrollen ein, um die Ausbreitung von Cyberbedrohungen zu stoppen, die Cyber-Resilienz kritischer Systeme zu verbessern und Ihr Unternehmen proaktiv auf den nächsten unvermeidlichen Angriff vorzubereiten.
- Passen Sie sich in Echtzeit an: Reaktiv kompromittierte Systeme isolieren während eines aktiven Angriffs, um die seitliche Bewegung zu stoppen und den Betrieb aufrechtzuerhalten. Skalieren Sie die Transparenz und Sicherheitsrichtlinien dynamisch, wenn sich Ihre IT-Umgebung weiterentwickelt, um die Agilität und Widerstandsfähigkeit Ihres Unternehmens zu gewährleisten.
- Erfüllen Sie die Compliance-Anforderungen: Nutzen Sie Transparenz und Mikrosegmentierung, um Risiken zu bewerten, die Einhaltung von Vorschriften nachzuweisen und sensible Daten und wichtige Ressourcen zu schützen.
Lesen Sie unseren Leitfaden auf Illumio ZTS für Gesundheitsdienstleister und erfahren Sie mehr über die drei Arten, wie ZTS Sicherheitsprobleme im Gesundheitswesen löst:
Kontaktieren Sie uns noch heute um zu erfahren, wie Illumio Ihrem Unternehmen helfen kann, die Ausbreitung von Sicherheitslücken und Ransomware-Angriffen zu stoppen.
