Nello sviluppo di una strategia completa di protezione della rete sanitaria, la visibilità degli asset è fondamentale, ma rappresenta solo l’inizio. Per compiere un passo successivo verso la segmentazione di rete, infatti, sono necessarie non solo la consapevolezza di tutti gli asset connessi, ma anche la comprensione di come, quando e con quali altri dispositivi comunicano.
Comprendere il traffico di rete è la chiave per implementare con successo le politiche di segmentazione ed è anche il passo logico successivo all’identificazione di una solida base di dati. Per rafforzare la protezione di rete è cruciale effettuare un’analisi del traffico e individuare tutti gli aspetti fondamentali delle comunicazioni tra dispositivi nei flussi di lavoro clinici e non clinici.
Importanza dell’Analisi del Traffico di Rete nel Settore Sanitario
L’analisi del traffico di rete consiste nel monitorare e valutare le comunicazioni tra dispositivi sulla rete per identificare problemi, come attività anomale o comportamenti sospetti, migliorando così il funzionamento complessivo delle attività ospedaliere. La capacità di analizzare il traffico di rete è essenziale per la segmentazione, poiché conoscere il modo in cui gli asset comunicano tra loro permette di raggruppare correttamente i dispositivi nel processo di segmentazione.
Secondo il Global Healthcare Cybersecurity Study di Claroty, solo il 25% dei sistemi sanitari a livello globale dispone di una segmentazione completa delle reti IT aziendali, dei visitatori e di altri sistemi rispetto ai dispositivi medici, oltre ad aver implementato una microsegmentazione granulare tra diversi tipi di dispositivi e liste di controllo degli accessi all’interno delle varie VLAN.
Una corretta segmentazione della rete è particolarmente importante per le organizzazioni sanitarie, dove la cura e la sicurezza del paziente sono priorità assolute. Garantire che i dispositivi connessi siano correttamente integrati nella rete e comunichino solo con i dispositivi autorizzati aiuta a proteggere i pazienti nel caso in cui si verifichi un attacco.
Tuttavia, i sistemi cyber-fisici (CPS) rappresentano spesso punti ciechi all’interno delle reti sanitarie. Quando si tratta di device fondamentali per il corretto funzionamento dell’assistenza ai pazienti, è essenziale comprendere come operano, a che punto sono nel loro ciclo di vita e quali comunicazioni avvengono tra loro. Utilizzare la visibilità degli asset per individuare dove sono collegati i dispositivi critici e segmentarli è la prima linea di difesa per proteggere gli asset che hanno un impatto diretto sulla cura dei pazienti. L’analisi del traffico di rete è il pilastro fondamentale per segmentare i dispositivi in modo sicuro e garantire che gli asset siano raggruppati correttamente.
Come valutare il traffico di rete
Garantire la piena visibilità degli asset
Prima ancora di iniziare ad analizzare il traffico di rete, è necessario assicurarsi di avere visibilità su ogni singolo dispositivo connesso alla rete: è impossibile analizzare il traffico di dispositivi che non sono stati individuati. Gli asset CPS nel settore sanitario, come i dispositivi clinici, sono notoriamente difficili da rilevare, specialmente con i metodi tradizionali. L’uso di Deep Packet Inspection (DPI) è un metodo sicuro per individuare i dispositivi CPS sulla rete e ottenere informazioni dettagliate su di essi, come il sistema operativo, il numero di modello, i protocolli utilizzati e le modalità di comunicazione. Quando si pensa a costruire una base di dati affidabile, è utile considerare metodi di monitoraggio sia attivi che passivi, in grado di garantire un alto livello di accuratezza e una profilazione completa dei dispositivi, con una profonda e ampia raccolta di attributi tecnici sulla rete.
Analizzare il comportamento delle comunicazioni dei dispositivi
Una volta completato l’inventario degli asset e identificati i protocolli di ciascun dispositivo, è il momento di valutare il traffico di rete tipico, per comprendere con quale frequenza i dispositivi comunicano e con quali altri dispositivi interagiscono. Questo aiuta a stabilire una linea di base per il traffico di rete, utile per individuare rapidamente comportamenti anomali in futuro. Questa baseline permette anche di compiere i primi passi verso lo sviluppo di politiche di protezione della rete e di monitorare le politiche di segmentazione nel tempo.
Sviluppare un sistema di allerta
Una volta stabilita la baseline, è fondamentale sviluppare un sistema di allerta per segnalare qualsiasi comportamento anomalo o violazione delle politiche di sicurezza, consentendo al team di sicurezza di rispondere rapidamente ad attività sospette o irregolari. Questo è cruciale anche per garantire la conformità con le politiche aziendali e le normative di settore. L’uso di una piattaforma di protezione CPS per monitorare il traffico di rete e avvisare il team di sicurezza di comportamenti anomali è essenziale per far rispettare le politiche dell’organizzazione e mantenere la rete protetta dalle minacce.
Integrazione con l’Infrastruttura di rete esistente
Un altro passaggio chiave nell’analisi e nella segmentazione del traffico di rete è identificare e applicare correttamente le componenti dell’infrastruttura esistente. Firewall e NAC (Network Access Control) sono gli elementi più importanti da considerare per i programmi di segmentazione. Scegliendo una soluzione in grado di identificare gli asset CPS, di analizzare il traffico di rete e di consentire l’applicazione delle politiche di sicurezza all’interno dell’infrastruttura di rete esistente, è possibile semplificare notevolmente le operazioni di sicurezza e proteggere le informazioni sensibili dei pazienti.
Monitoraggio del traffico di rete con Claroty xDome
Claroty xDome è stato progettato appositamente per la protezione dei CPS nel settore sanitario, con funzionalità di protezione di rete integrate come parte centrale della soluzione.
- Visualizza le comunicazioni tra dispositivi filtrate per sito, rete e tipologie di comunicazione.
- Suggerisce politiche ACL direttamente all’interno della piattaforma, integrandole con l’infrastruttura di rete esistente.
- Utilizza un approccio basato su zone per semplificare il monitoraggio, la definizione e l’applicazione delle politiche di comunicazione.
- Simula le policy per visualizzarne l’impatto sull’ambiente specifico e sulla postura di rischio prima di applicarle.
- Automatizza il monitoraggio della conformità delle policy attraverso avvisi continui per affrontare eventuali deviazioni.
Queste funzionalità sono fondamentali per aiutare le organizzazioni sanitarie a monitorare e analizzare il traffico, segmentare efficacemente la rete e applicare policy di sicurezza per proteggere i dispositivi connessi e la sicurezza dei pazienti.