El análisis forense meticuloso siempre ha sido crucial para que las organizaciones de atención médica perfeccionen los procesos y las políticas de seguridad de datos. Pero el análisis forense ahora se está volviendo especialmente vital a medida que los proveedores de atención médica implementan, y luego escalan,Internet de las cosas médicas (IoMT) dispositivos. La atención médica es el principal objetivo de la industria para los ataques cibernéticos, y el análisis forense sistemático permite que los equipos de seguridad de una organización de atención médica aprendan y reconozcan exactamente dónde reforzar su postura de seguridad después de los incidentes.
El monitoreo proactivo que reúne evidencia para reconstruir anomalías de seguridad puede ser muy instructivo, revelando las tácticas exactas de los atacantes para explotar vulnerabilidades e infiltrarse en dispositivos y redes de IoMT. Con el volumen de dispositivos IoMT creciendo rápidamente en las organizaciones de atención médica, así es como los equipos pueden posicionar las estrategias de análisis forense para que sean más efectivas.
“La atención médica es el principal objetivo de la industria para los ataques cibernéticos, y el análisis forense sistemático permite que los equipos de seguridad de una organización de atención médica aprendan y reconozcan exactamente dónde reforzar su postura de seguridad después de los incidentes”.
-Shankar Somasundaram
Análisis forense para políticas de seguridad basadas en datos
Si bien la detección de amenazas implica responder a situaciones inmediatas, el análisis forense es un proceso retrospectivo necesario para comprender la causa raíz del problema de seguridad. Es una distinción importante. El análisis forense implica etapas específicas, como la recopilación de datos, la interpretación y la obtención de conclusiones basadas en datos, que informan sugerencias de políticas críticas.
Además de los detalles específicos de infracciones importantes, el informe inicial de datos de incidentes debe incluir cualquier mal funcionamiento del dispositivo IoMT o comportamientos inesperados. Los equipos que realizan análisis forenses deben estar equipados con analistas de datos sólidos, estar posicionados para utilizar los recursos en todos los departamentos según sea necesario y también estar listos para recurrir a socios externos, como los fabricantes de dispositivos IoMT.
La recopilación de datos en sí debe estar automatizada y debe incorporar dispositivos IoMT, dispositivos móviles, servidores, datos de monitoreo de red y registros de aplicaciones. El análisis forense funciona mejor con datos precisos que han rastreado la conectividad y el comportamiento de todos los dispositivos y datos relevantes para un incidente.
Como práctica recomendada, los equipos deben ejecutar todos los análisis en copias de datos en lugar de los datos originales, y utilizar controles de acceso sólidos para garantizar la integridad de los datos. Documente todos los procedimientos y herramientas de recopilación de datos. Si el proceso de análisis forense requiere la eliminación de dispositivos de la red para proteger los sistemas y capturar evidencia, tenga en cuenta cómo esa actividad afecta a la organización de atención médica.
Tenga listo un aparato eficaz de recopilación de datos antes de comenzar este proceso, completo con almacenamiento de respaldo, formularios de cadena de custodia y todo lo demás necesario. Además, prepárese para deshacerse del hardware de almacenamiento de datos en caso de que una investigación finalmente involucre a la policía.
También vale la pena señalar que el almacenamiento de datos de dispositivos IoMT (y, más ampliamente, IoT) es especialmente desafiante y requiere una estrategia reflexiva. La recopilación de datos tradicional no funciona para estos dispositivos, ya que no habrá suficientes registros. Por lo tanto, asegurarse de no perder información valiosa sobre el ataque significa que debe recopilar datos en la red en el momento del incidente.
Evaluar ataques a través de investigaciones formales
Cualquier incidente de seguridad importante debe desencadenar el lanzamiento de una investigación formal que emplee un análisis forense para determinar la causa del incidente y luego identifique oportunidades para mejorar su postura de seguridad y la recuperación posterior al incidente. Desde el punto de partida de un dispositivo o una cuenta de empleado comprometidos, la investigación debe incluir una búsqueda amplia para descubrir puntos adicionales de compromiso.
Es probable que la primera intrusión detectada no sea el punto de entrada real del atacante ni la primera actividad en su red. Una investigación amplia y exhaustiva revelará el punto inicial del ataque y señalará una respuesta más segura. Por ejemplo, si la fuente de un incidente se rastrea hasta un empleado que hizo clic en un correo electrónico de phishing, una capacitación y controles de acceso más efectivos para los empleados pueden marcar una diferencia clave en los resultados de seguridad futuros.
Además, la creación de trampas de red permite a los investigadores comprender la posible causa raíz del ataque. También es crucial en esta etapa: comprender exactamente hasta dónde llegó el ataque aprovechando los datos de tráfico de la red y del dispositivo para completar la imagen completa del incidente (y extraer todo el conocimiento instructivo que esté disponible).
Produzca informes detallados posteriores al incidente
Los informes posteriores a los incidentes permiten a las organizaciones de atención médica tomar el limón de un ciberataque y convertirlo en la limonada de prácticas más seguras. Examine de cerca cualquier procedimiento que no haya podido evitar el ataque, lo que debería revelar posibles mejoras de políticas en el futuro. Documente cuidadosamente todos los hallazgos, junto con cualquier incertidumbre o explicación alternativa para los comportamientos observados.
Los pasos finales son la creación y ejecución de un plan de acción informado por los hallazgos del informe posterior al incidente. Se deben abordar todas las vulnerabilidades peligrosas identificadas por el análisis forense. El reentrenamiento de los empleados y las nuevas políticas pueden ser apropiados si el comportamiento de los empleados contribuyó al incidente. Las organizaciones de atención médica que carecen de capacidades de monitoreo continuo podrían abordar esa necesidad con herramientas adicionales de terceros. Los controles de acceso más estrictos y las nuevas políticas de almacenamiento de datos también podrían estar sobre la mesa.
Las organizaciones de atención médica también pueden poner a prueba sus prácticas realizando pruebas de penetración y simulaciones de ataques y participando en eventos como Cyber Storm donde las agencias gubernamentales ayudan con ejercicios de simulación realistas y escenarios de amenazas. Todos los aprendizajes deben luego informar nuevos planes de acción para revisar las políticas organizacionales, de red y de dispositivos IoMT de manera adecuada.
Tratar el análisis forense como un proceso
El análisis forense produce los mejores resultados cuando se implementa no como un solo paso o una simple casilla de verificación, sino como un proceso continuo de investigación, evaluación de datos, informes posteriores al incidente y planes de acción de seguimiento decisivos.
Al comprometerse con este proceso de evolución y mejora de las políticas y capacidades de seguridad para defender sistemas y dispositivos a lo largo de más vectores de ataque, particularmente a medida que los dispositivos IoMT continúan acelerándose,organizaciones de salud pueden lograr posturas de seguridad más sólidas que los hacen mucho menos susceptibles a amenazas futuras.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
- Fuente: https://www.iotforall.com/forensic-analysis-is-critical-to-iomt-security-heres-what-to-know
