Histórias de Sucesso: McGill University Health Centre (MUHC)

Fortalecendo sua postura de segurança com inteligência global aprofundada

Uma nova plataforma de inteligência em segurança permite que a empresa detecte e responda rapidamente a ameaças.

700 eventos analisados por segundo

01

Resumo executivo

Uma nova solução de inteligência em segurança ajuda o MUHC a detectar e responder a ameaças com maior rapidez, e oferece uma plataforma para reduzir o tempo e o custo para a gestão de vulnerabilidade.

Os registros de saúde são uma commodity valiosa no mercado negro, pois criminosos cibernéticos procuram números de previdência social e outras informações pessoais para roubo de identidade. A solução de inteligência em segurança desenvolvida para o MUHC ajuda sua equipe de segurança a detectar e responder a ameaças com maior rapidez e oferece uma plataforma que reduz o tempo e o custo para gestão de vulnerabilidade. Atualmente, essa plataforma analisa 700 eventos por segundo, transformando o ruído de rede em uma história coerente que ajuda a equipe a descobrir e impedir aproximadamente cinco ameaças de segurança por ano.

O principal para a nossa organização é focar nos problemas que têm "aplicabilidade pertinente", em que a combinação de exposição e de ameaça estão presentes em um hospital escola. Com o software QRadar, podemos ganhar essa visibilidade instantaneamente e ser mais proativos para solucionar os pontos fracos de segurança com rapidez.

afirma o analista de segurança sênior do Center of Surveillance and Security (CSS) do MUHC.

analista de segurança sênior do Center of Surveillance and Security (CSS) do MUHC.

02

Introdução

O McGill University Health Centre (MUHC) é um dos principais centros de saúde acadêmicos no mundo.

Anualmente, o MUHC trata quase 40 mil pacientes em internação e realiza mais de 700 mil visitas ambulatoriais e quase 35 mil cirurgias. Seu Instituto de Pesquisa é o segundo maior em pesquisa médica e de ciências biológicas deste tipo no Canadá.

03

Desafio

A equipe de segurança do MUHC queria identificar e avaliar rapidamente as possíveis ameaças e os riscos à segurança.

No MUHC, o trabalho de implementar uma plataforma de inspeção global para ajudar a equipe de segurança a identificar e responder rapidamente a ameaças e a proteger as informações eletrônicas de pacientes e da rede começou há anos.

Uma prioridade para o MUHC é encontrar os pontos fracos de segurança e minimizar possíveis ataques à rede. “A gestão de vulnerabilidade e a verificação manual podem consumir muito tempo, não só para resolução, mas também para identificação”, afirma um analista de segurança sênior do CSS do MUHC.

As ferramentas de software livre que o MUHC usava anteriormente exigiam muito tempo de gerenciamento e não tinham a inteligência de um sistema de correlação corporativo necessária para que a equipe de segurança pudesse monitorar de forma eficiente seis hospitais ao mesmo tempo. Ameaças de malware são comuns para todas as empresas, principalmente para o MUHC, que tem um ambiente heterogêneo composto por alunos, executivos, médicos, pesquisadores, empresas contratadas, fornecedores, entre outros. Na era do BYOD (use de seu próprio dispositivo), os meios de dispersão aumentam constantemente e requerem que as equipes de segurança observem constantemente as ameaças conhecidas e desconhecidas, identificadas pela presença de comportamento anormal ou de sistemas de detecção especializados.

A visibilidade global e a rápida resposta em toda a rede são fundamentais para proteger a nossa infraestrutura”, afirma um analista de segurança sênior do Center of Surveillance and Security (CSS) do MUHC. “Pode-se gastar milhões para retornar às operações normalmente caso os sistemas sejam infectados, portanto, a detecção antecipada é fundamental”.

04

Solução

Trabalhando com a IBM e a Trend Micro, o MUHC lançou uma plataforma de segurança inteligente com análise avançada e detecção de anomalias.

A plataforma de segurança integrada ajuda o MUHC a detectar e responder a ataques que, caso contrário, poderiam poderiam se perder no "ruído".

“O gerenciamento de alto nível aumentou a visibilidade da rede usando o IBM QRadar e o software da Trend Micro”, afirma um analista de segurança sênior do CSS.

O software IBM® Security QRadar® oferece recursos avançados de análise e detecção de anomalias para ajudar a transformar dados de eventos de aproximadamente 3 mil ativos em rede, incluindo servidores, dispositivos de rede e dispositivos e aplicações de segurança, em insights acionáveis. A empresa pretende também incorporar a atividade de aplicativos clínicos.

A equipe de segurança pode determinar rapidamente se incidentes aparentemente sem conexão estão relacionados de alguma forma e se o problema é operacional (por exemplo, uma indisponibilidade na rede que pode ser causada por uma configuração não validada) ou é uma ameaça de segurança. A equipe também tem maior visibilidade dos sistemas customizados que não podem executar softwares anti-vírus devido a diretrizes do fabricante.

Componentes da Solução
Software

  • IBM® QRadar® Security Intelligence Platform
    • IBM Security QRadar SIEM
    • IBM Security QRadar Risk Manager –
    • IBM Security QRadar Vulnerability Manager
  • Trend Micro Deep Discovery

Parceiro de Negócios IBM

  • Trend Micro

Temos exceções em nossa rede que não podem seguir as nossas normas”, afirma um analista de segurança sênior do CSS. “Com esta solução, podemos monitorar esses sistemas e agir rapidamente se um deles executar alguma ação que seja uma ameaça contra si ou contra outras máquinas na rede.

De acordo com um analista de segurança sênior do CSS no MUHC, integrar o Trend Micro Deep Discovery à plataforma QRadar dá à equipe de segurança tem maior capacidade de descobrir ataques direcionados por malware que roubam informações confidenciais ou credenciais de funcionários ou interrompem operações.

O software inspeciona o tráfego de rede em busca de ameaças evasivas, como malware zero-day, e coloca as informações na plataforma QRadar para acelerar as respostas.

“Antes, poderia levar dias para analisar algo que estava se comportando de forma anormal na rede e reconhecer a causa como um software malicioso”, afirma um analista de segurança sênior do CSS. “Agora, podemos fazer isso em minutos e saber se uma infecção está se propagando e em qual local para poder responder imediatamente.”

05

Resultados

Impedindo possíveis ataques.

Atualmente, a plataforma analisa 700 eventos por segundo, colocando milhões de eventos em uma única "história" coerente, o que tem ajudado a equipe de segurança do MUHC a reduzir o tempo de resposta a incidentes e a interromper ataques antes que eles ocorram.

“Geralmente, descobrimos cerca de cinco casos sérios por ano”, afirma um analista de segurança sênior do CSS. “Podemos identificar as ameaças à medida que elas surgem e agir para interrompê-las antes que elas possam causar danos.”

A prioridade a curto prazo da empresa é incluir contexto aos eventos, trabalhando com a IBM para integrar informações relacionadas à vulnerabilidade e risco com as medidas de proteção em vigor. Esse trabalho aumentará o nível de inteligência na identificação de risco de alta prioridade para ajudar o MUHC a reduzir o tempo e os esforços necessários na priorização dos eventos, o que também ajuda a reduzir o risco geral da empresa.

“Combinando informações de vulnerabilidade de ativos em rede com os dados de aplicações que fornecem o grau real do risco de uma ameaça identificada, podemos ver com mais rapidez os possíveis furos na rede que exigem atenção imediata e entender o risco, concentrando esforços primeiro nos problemas de maior risco”, afirma um analista de segurança sênior do CSS.

De acordo com o MUHC, houve melhoria no desempenho e na disponibilidade da rede como benefício adicional.

“Conseguimos identificar e ajudar nossa equipe de TI a validar configurações que afetam a rede, a disponibilidade do sistema ou criam ruído na conexão, podendo reduzir a visibilidade de segurança”, afirma um analista de segurança sênior do CSS. “Conseguimos demonstrar em inúmeros casos o valor da plataforma tanto aos executivos de negócios quanto aos de TI. Agora, o QRadar faz parte dos processos da empresa para resolução de problemas, investigações, monitoramento e criação de alertas. Uma demo rápida chamou a atenção dos nossos executivos, conquistando-os rapidamente.”

Ele conclui, “A carga de informações com a qual temos que lidar, proveniente de sistemas de TI, sistemas administrativos, aplicativos clínicos e sistemas biomédicos, é extremamente grande para qualquer equipe de segurança que trabalha no mesmo contexto. O QRadar ajuda a limpar o ruído na conexão e permite obter a clareza necessária para avaliar as ameaças de forma eficiente. Em um mundo de interconectividade e convergência de rede, o QRadar também agrega valor aos negócios. O monitoramento de equipamentos biomédicos fundamentais para a vida humana e a confirmação de suas disponibilidades é um claro exemplo de como a segurança é fundamental para os negócios e não apenas uma questão de TI".

Deseja falar com um especialista da IBM em Saúde?