Nebraska Medicine repousse les attaques par ransomware, par déni de service et autres cybermenaces grâce à Elastic sur Microsoft Azure

Les cyberattaques qui ciblent les organisations de santé augmentent de façon exponentielle. Les incidents par ransomware ont plus que doublé entre 2016 et 2021, ce qui a eu pour conséquence d'interrompre les services médicaux et d'exposer les informations de santé des patients. Le risque s'est même aggravé étant donné que le nombre d'appareils médicaux à se connecter aux réseaux des hôpitaux a augmenté. Les équipements se retrouvent potentiellement à la merci des pirates informatiques, ce qui peut nuire à la confidentialité des données des patients.

Nebraska Medicine met tout en œuvre pour repousser le nombre croissant de cybermenaces. L'organisation, qui a été classée récemment parmi les 50 meilleurs hôpitaux au monde par Newsweek, se compose de deux hôpitaux : le Nebraska Medical Center et le Bellevue Medical Center. Nebraska Medicine travaille aussi en partenariat avec l'Université du Nebraska Medical Center (UNMC), qui est le centre académique et de recherche de l'entreprise. C'est Gary Roth, ingénieur en chef de la sécurité informatique à Nebraska Medicine, et son équipe qui sont chargés de protéger les données et les réseaux informatiques de l'entreprise. En tout, ils doivent sécuriser 70 000 points de terminaison, dont des serveurs, des postes de travail, des ordinateurs portables, des appareils médicaux connectés et des imprimantes, dans les hôpitaux, les centres de recherches et les différentes cliniques de l'état.

Lorsque Gary Roth a rejoint l'organisation en 2020, il n'avait pas de vue centralisée sur les données de ces environnements. À la place, l'équipe devait se connecter à de nombreux outils et exécuter les mêmes recherches associées. "Ces outils fonctionnaient de manière indépendante, mais c'était contreproductif et fastidieux pour l'équipe", indique-t-il.

Nebraska Medicine a procédé à une démonstration de faisabilité, ce qui a conduit au déploiement d'Elastic Cloud sur Microsoft Azure.

"Elastic est la première et seule plateforme que Nebraska Medicine utilise pour le logging centralisé. Elle nous permet d'ingérer des logs provenant de l'ensemble de notre infrastructure informatique", déclare-t-il.

L'ingestion de logs pour O365 et Azure s'appuyait auparavant sur des modules Filebeat autonomes. Plus récemment, Nebraska Medicine a opté pour Elastic Agent avec des intégrations prêtes à l'emploi pour collecter les logs des points de terminaison et du cloud.

Elastic Security a aussi un impact positif sur la stratégie de l'organisation en matière de gestion du cycle de vie des identités. Aujourd'hui, Nebraska Medicine conserve les index les plus récents dans un stockage de niveau "hot" pendant deux jours, avant de les faire passer dans un stockage de niveau "cold", puis de niveau "frozen". "Elastic nous permet de personnaliser le stockage de nos logs et leur conservation en fonction de nos besoins", indique Gary Roth.

Nebraska Medicine s'appuie aussi sur Elastic Security pour configurer des règles de sécurité et détecter les signaux symptomatiques d'une menace.

Elastic Security réduit la charge qui incombe aux analystes en sécurité. Grâce à la centralisation des logs, les analystes en sécurité peuvent examiner les alertes bien plus rapidement.

Et ce n'est pas tout. Nebraska Medicine profite des avantages que lui offre l'automatisation des workflows au sein d'Elastic Security. Gary Roth et son équipe ont connecté l'alerting de sécurité centralisé d'Elastic au système de tickets de ServiceNow. Ils peuvent ainsi exploiter au maximum les manuels de réponse aux incidents de sécurité de ServiceNow.

Nebraska Medicine se sert couramment des tableaux de bord Kibana pour visualiser les données et prendre des mesures en cas d'alerte. Par exemple, elle se sert des tableaux de bord prêts à l'emploi concernant les événements Windows, tels que les ouvertures de session des utilisateurs, la gestion des utilisateurs et des groupes, ou encore l'utilisation de PowerShell. Sur ces interfaces, les administrateurs de serveur détectent les modifications apportées aux comptes, l'utilisation inappropriée de comptes d'administration, et d'autres anomalies.

Plusieurs équipes ont créé des tableaux de bord adaptés à leurs exigences spécifiques. "La consolidation des nombreux SSID sans fil que nous avions accumulés au fil des ans est un bon exemple", affirme Gary Roth. "Nos ingénieurs en sécurité réseau ont configuré un tableau de bord qui identifient les appareils qui tentent de se connecter à des réseaux mis hors service."

Gary Roth insiste sur les possibilités qu'Elastic Security offre à son équipe pour étayer les objectifs stratégiques à plus grande échelle de l'entreprise.

Pour l'avenir, Gary Roth prévoit d'utiliser d'autres outils d'Elastic Security et de créer d'autres tableaux de bord pour les sources de données personnalisées. Il compte créer des alertes basées sur des indicateurs de performance et réfléchit au déploiement éventuel de l'intégration de sécurité aux points de terminaison en mode détection en plus des agents actuels de sécurité aux points de terminaison. Grâce à ces différentes étapes, Nebraska Medicine se prépare à l'avenir du domaine de la santé, dans lequel la prise de rendez-vous en ligne, la robotique, les appareils à distance et les diagnostics adossés à l'IA auront la part belle.