通过在 Microsoft Azure 上部署的 Elastic，Nebraska Medicine 抵御勒索软件、DDOS 及其他网络威胁

针对医疗机构的网络攻击正在增加。在 2016 年至 2021 年期间，勒索软件事件增加了一倍多，扰乱了医疗服务，并暴露了患者的受保护健康信息 (PHI)。这一风险正变得越来越大，因为随着越来越多的医疗设备连接到医院网络，这可能会将设备暴露给黑客，并使患者面临危险。

Nebraska Medicine 正在采取积极行动来避免日益增多的网络犯罪威胁。该组织最近入选了《新闻周刊》全球最佳医院 50 强，旗下包括两家医院：Nebraska Medical Center（内布拉斯加医疗中心）和 Bellevue Medical Center（贝尔维尤医疗中心）。Nebraska Medicine 还与内布拉斯加大学医疗中心（UNMC，这家企业的学术和研究分支机构）合作。保护组织的数据和 IT 网络的责任落在 Nebraska Medicine 高级 IT 安全工程师 Gary Roth 及其企业安全团队的同事身上。总体而言，他们必须保护 70,000 个终端，这些终端包括来自州内各个医院、研究部门和各种诊所的服务器、工作站、笔记本电脑、联网医疗设备和打印机。

当 Roth 在 2020 年加入公司时，公司还不能通过单一视图查看来自这些环境的数据。相反，团队必须登录多个系统并运行同样的相关搜索。“这些工具独立运行，但是它们的效率非常低，给团队造成了很大的负担。”他说道。

Nebraska Medicine 开展了一个概念验证项目，并在该项目的推动下，部署了 Elastic Cloud on Microsoft Azure。

“Elastic 是 Nebraska Medicine 用于实现集中日志管理的第一个也是唯一一个平台，它支持我们从整个 IT 基础架构采集日志。”Roth 说道。

我们之前使用单独的 Filebeat 模块采集 O365 和 Azure 的日志。最近，Nebraska Medicine 改用了带有开箱即用型集成的 Elastic Agent 来采集终端和云日志。

Elastic 安全解决方案同时也为组织的身份生命周期管理 (ILM) 战略带来了积极的影响。现在，Nebraska Medicine 将新索引在热存储上保留两天，然后移至冷存储，并最终移至冷冻存储。“通过 Elastic，我们能够轻松地定制日志存储和保留策略，从而满足我们的需求。”Roth 说道。

Nebraska Medicine 也在利用 Elastic 安全解决方案的优势来构建安全规则并检测威胁行为的迹象。

Elastic 安全解决方案减少了组织的安全分析师的工作负担。由于日志现在已经集中到单个易于使用的位置，团队能够更快速地调查告警。

Nebraska Medicine 同时也十分喜欢 Elastic 安全解决方案内的工作流程自动化所带来的益处。Roth 和他的团队将 Elastic 中的集中安全告警连接至 ServiceNow 工单系统，这一举措让他们能够进一步利用 ServiceNow 的安全事件响应策略。

Nebraska Medicine 充分利用 Kibana 仪表板来对数据进行可视化并响应告警。这包括针对用户登录、用户和群组管理以及 PowerShell 使用情况的开箱即用型 Windows 事件仪表板。服务器管理员可以使用这些界面检测账户更改、不适当使用管理员账户的情况，以及其他异常。

多个团队都针对他们的特定需求量身定制了仪表板。“我们将多年来累积的不同无线 SSID 整合到了一起，这就是一个很好的例子。”Roth 说道，“我们的网络安全工程师配置了一个仪表板，它能识别尝试连接至已退役网络的设备。”

Roth 强调，Elastic 安全解决方案在极大程度上支持了他的团队，让他们可以支持公司更广泛的战略目标。

在未来，Roth 预计要使用更多的 Elastic 安全工具，并针对定制数据源构建更多的仪表板。他计划针对性能指标创建告警，并且正在查看是否有可能在当前的终端安全代理之外，以检测模式部署终端安全集成。这些措施帮助 Nebraska Medicine 为医疗保健行业的未来做好准备，在未来，在线患者约诊、机器人技术、远程设备，以及 AI 诊断都会发挥越来越大的作用。