Nebraska Medicine repele ransomware, DDOS e outras ameaças cibernéticas com Elastic implantado no Microsoft Azure

Os ataques cibernéticos contra organizações de saúde estão aumentando. Os incidentes de ransomware mais que dobraram entre 2016 e 2021, interrompendo serviços médicos e expondo informações de saúde protegidas dos pacientes. O risco está se tornando ainda maior à medida que mais dispositivos médicos se conectam às redes hospitalares, expondo potencialmente os equipamentos a hackers e colocando os pacientes em perigo.

A Nebraska Medicine está trabalhando proativamente para se defender do número crescente de ameaças de crimes cibernéticos. A organização, recentemente incluída no top 50 dos Melhores Hospitais do Mundo da Newsweek, compreende dois hospitais: o Nebraska Medical Center e o Bellevue Medical Center. A Nebraska Medicine também tem parceria com o University of Nebraska Medical Center (UNMC), que é o braço acadêmico e de pesquisa da empresa. A responsabilidade pela proteção dos dados e das redes de TI da organização cabe a Gary Roth, engenheiro sênior de segurança de TI da Nebraska Medicine, e seus colegas da equipe de segurança empresarial. Ao todo, eles precisam proteger 70 mil endpoints, incluindo servidores, estações de trabalho, notebooks, dispositivos médicos conectados e impressoras de hospitais, departamentos de pesquisa e diversas clínicas em todo o estado.

Quando Roth ingressou na organização em 2020, faltava uma visão única dos dados desses ambientes. Em vez disso, a equipe precisava fazer login em várias ferramentas e executar as mesmas buscas relacionadas. “Essas ferramentas funcionavam de forma independente, mas eram ineficientes e sobrecarregavam a equipe”, diz ele.

A Nebraska Medicine configurou uma prova de conceito, que levou à implantação do Elastic Cloud no Microsoft Azure.

“O Elastic é a primeira e única plataforma que a Nebraska Medicine usa para logging centralizado, o que nos permite ingerir logs de toda a nossa infraestrutura de TI”, diz Roth.

A ingestão de log para o O365 e o Azure usava anteriormente módulos autônomos do Filebeat. Mais recentemente, a Nebraska Medicine migrou para o Elastic Agent com integrações prontas para uso para coletar logs de endpoint e da nuvem.

O Elastic Security também tem um impacto positivo na estratégia de gestão de ciclo de vida de identidade (ILM, pelas iniciais em inglês) da organização. Hoje, a Nebraska Medicine mantém os índices mais recentes em armazenamento “hot” por dois dias antes de passar para o armazenamento “cold” e, por fim, para o “frozen”. “A Elastic nos permite customizar nosso armazenamento e retenção de logs facilmente para atender às nossas necessidades”, diz Roth.

A Nebraska Medicine também está usando o Elastic Security para criar regras de segurança e detectar sinais de comportamento ameaçador.

O Elastic Security reduz a carga dos analistas de segurança da organização. Eles podem trabalhar nas investigações de alertas mais rapidamente agora que os logs estão consolidados em um único local fácil de buscar.

A Nebraska Medicine também está aproveitando os benefícios da automação do fluxo de trabalho no Elastic Security. Roth e sua equipe conectaram alertas de segurança centralizados no Elastic ao sistema de tíquetes ServiceNow da organização, o que lhes permite usar ainda melhor os manuais de resposta a incidentes de segurança do ServiceNow.

A Nebraska Medicine faz uso extensivo de dashboards do Kibana para visualizar dados e responder a alertas. Isso inclui dashboards de eventos do Windows prontos para uso para logons de usuários, gerenciamento de usuários e grupos e uso do PowerShell. Os administradores de servidor usam essas interfaces para detectar alterações em contas, uso inadequado de contas de administrador e outras anomalias.

Várias equipes criaram dashboards adaptados a seus requisitos específicos. “A consolidação de diferentes SSIDs sem fio que acumulamos ao longo dos anos é um bom exemplo”, diz Roth. “Nossos engenheiros de segurança de rede configuraram um dashboard que identifica dispositivos que tentam se conectar a redes desativadas.”

Roth enfatiza até que ponto o Elastic Security permite que sua equipe apoie os objetivos estratégicos mais amplos do negócio.

No futuro, Roth espera usar ferramentas do Elastic Security adicionais e criar mais dashboards para fontes de dados customizadas. Ele planeja criar alertas para métricas de desempenho e está analisando a possível implantação da integração do Endpoint Security no modo de detecção junto com os atuais agentes de segurança de endpoint. Essas etapas ajudam a Nebraska Medicine a se preparar para o futuro da saúde, onde consultas online de pacientes, robótica, dispositivos remotos e diagnóstico de IA desempenham um papel crescente.