Nebraska Medicine repele el ransomware, DDOS y otras ciberamenazas con Elastic desplegado en Microsoft Azure

Los ataques cibernéticos dirigidos a organizaciones de atención médica están en aumento. Los incidentes de ransomware aumentaron a más del doble entre 2016 y 2021, afectaron los servicios médicos y expusieron la información médica protegida (PHI) de los pacientes. El riesgo se está volviendo cada vez mayor, dado que más dispositivos médicos se conectan a redes hospitalarias, lo que potencialmente expone los equipos a hackers y pone en riesgo a los pacientes.

Nebraska Medicine trabaja de forma proactiva en la prevención de la creciente cantidad de amenazas de ciberdelito. La organización, que recientemente se incluyó dentro de los principales 50 Mejores hospitales del mundo de Newsweek, consiste en dos hospitales: The Nebraska Medical Center y Bellevue Medical Center. Nebraska Medicine también se asoció con University of Nebraska Medical Center (UNMC), que es la rama académica y de investigación de la empresa. La responsabilidad de proteger los datos y las redes de IT de la organización recae en Gary Roth, ingeniero de seguridad de IT sénior de Nebraska Medicine, y sus colegas del equipo de seguridad empresarial. En total, deben asegurar 70 000 endpoints, incluidos servidores, estaciones de trabajo, laptops, dispositivos médicos conectados e impresoras de hospitales, departamentos de investigación y varias clínicas en todo el estado.

Cuando Roth se unió a la organización en 2020, esta no tenía una vista única de los datos de estos entornos. En cambio, el equipo debía conectarse a varias herramientas y ejecutar las mismas búsquedas relacionadas. "Estas herramientas trabajaban de forma independiente, pero resultaba ineficiente y era una carga para el equipo", explica.

Nebraska Medicine armó una prueba de concepto, que llevó al despliegue de Elastic Cloud en Microsoft Azure.

"Elastic es la primera y única plataforma que usa Nebraska Medicine para el registro centralizado, lo que nos permite ingestar logs de toda nuestra infraestructura de IT completa", comenta Roth.

La ingesta de logs para O365 y Azure antes se realizaba con módulos de Filebeat independientes. Más recientemente, Nebraska Medicine migró a Elastic Agent con integraciones listas para usar a fin de recopilar logs de endpoints y del cloud.

Elastic Security también tiene un impacto positivo en la estrategia de gestión de ciclo de vida de la identidad (ILM) de la organización. En la actualidad, Nebraska Medicine mantiene los índices más nuevos en un almacenamiento caliente durante dos días antes de pasarlos a uno frío y, por último, a un almacenamiento congelado. "Elastic nos permite personalizar con facilidad el almacenamiento de logs y la retención para satisfacer nuestras necesidades", explica Roth.

Nebraska Medicine también está aprovechando Elastic Security para crear reglas de seguridad y detectar señales de comportamiento amenazante.

Elastic Security reduce la carga a los analistas de seguridad de la organización. Pueden ocuparse de las investigaciones de alertas más rápido ahora que los logs están consolidados en una ubicación en la que es fácil buscar.

Nebraska Medicine también está disfrutando de los beneficios de la automatización del flujo de trabajo dentro de Elastic Security. Roth y su equipo conectaron las alertas de seguridad centralizadas de Elastic al sistema de tickets ServiceNow de la organización, lo que les permite hacer un mejor uso de los cuadernos de estrategias de respuesta ante incidentes de seguridad de ServiceNow.

Nebraska Medicine hace un vasto uso de los dashboards de Kibana para visualizar los datos y responder ante alertas. Esto incluye dashboards de eventos de Windows listos para usar para inicios de sesión, gestión de usuarios y grupos, y uso de PowerShell. Los administradores de servidores usan estas interfaces para detectar cambios en las cuentas, uso inapropiado de la cuenta de administrador y otras anomalías.

Varios equipos han creado dashboards adaptados a sus requisitos específicos. "La consolidación de SSID inalámbricos diferentes que acumulamos con los años es un buen ejemplo", comenta Roth. "Nuestros ingenieros de seguridad de red configuraron un dashboard que identifica los dispositivos que intentan conectarse a redes retiradas".

Roth enfatiza el punto hasta el que Elastic Security permite a su equipo brindar soporte para los objetivos estratégicos más amplios de la empresa.

En el futuro, Roth espera usar herramientas de Elastic Security adicionales y crear más dashboards para fuentes de datos personalizadas. Planea crear alertas para métricas de rendimiento y está evaluando el potencial despliegue de la integración de Endpoint Security en modo de detección junto con los agentes de seguridad de endpoint. Estos pasos ayudan a Nebraska Medicine a prepararse para el futuro de la atención médica, donde las citas de pacientes en línea, la robótica, los dispositivos remotos y los diagnósticos por AI tienen un rol cada vez más importante.