Per i provider di servizi sanitari: sicurezza più efficace con soluzioni

Per i provider di servizi sanitari: sicurezza più
efficace con soluzioni di nuova generazione
Sfide
Il personale di sicurezza e IT dei provider
di servizi sanitari si trova nel bel mezzo
di una tempesta perfetta. Deve infatti:
• Supportare l'adozione rapida di
nuove tecnologie: cartelle cliniche
elettroniche, applicazioni PACS,
apparecchiature mediche e dispositivi
mobili connessi alla rete.
• Consentire l'accesso sicuro ai dati dei
pazienti da una miriade di punti, tra
cui ospedali, studi medici, strutture
affiliate, dispositivi mobili e così via.
• Rilevare e bloccare le minacce;
indagare sugli incidenti che riguardano
la sicurezza informatica.
• Garantire l'assoluta conformità a
normative sempre più severe in materia
di dati dei pazienti e apparecchiature
mediche.
Soluzione
La piattaforma di sicurezza aziendale
Palo Alto Networks protegge i complessi
ambienti sanitari offrendo:
• Completa visibilità e controllo
granulare su applicazioni, utenti e
contenuti presenti nella rete.
• Segmentazione efficace e persino
isolamento delle singole zone della rete.
• Rilevamento e prevenzione delle
minacce note e sconosciute.
Vantaggi
• Sicurezza più efficace in corrispondenza
del perimetro e all'interno della rete.
• Eliminazione delle inutili complessità
generate dall'implementazione di
singole soluzioni non integrate.
• Approccio semplificato alla conformità
e riduzione dell'ambito delle rispettive
verifiche.
La piattaforma di sicurezza aziendale Palo Alto Networks® è la soluzione ideale per i provider
di servizi sanitari. La capacità di fornire completa visibilità su tutto il traffico di rete in base
all'applicazione (App-ID™), agli utenti (User-ID™) e al contenuto (Content-ID™) consente al
personale addetto alla sicurezza di valutare rapidamente lo stato attuale delle informazioni e
della sicurezza della rete senza interrompere le attività quotidiane. È possibile individuare le
principali vulnerabilità dell'azienda e prendere decisioni fondate sulle aree in cui implementare
controlli più severi.
App=ID
User=ID
Content=ID
www
Palo Alto Networks consente di
HL7
HL
L7
avviare l'implementazione di una
D
DI
ICO
COM
OM
DICOM
strategia di sicurezza informatica
completa a livello aziendale,
indipendentemente dalla posizione
dei punti di accesso, dal profilo di
Palo Alto
Next-Generation
Security
Platform
Figura
1: Networks
Sicurezza
di nuova
generazione
utilizzo, dal tipo di traffico e così via.
• Segmentazione efficace della rete in zone in base alla sensibilità delle risorse, ai profili
di accesso e alle informazioni scambiate.
• Applicazione dell'accesso basato su ruoli a qualsiasi risorsa della rete.
• Eliminazione delle applicazioni e del traffico non autorizzati, nonché del traffico
caratterizzato da un elevato consumo di larghezza di banda non legato all'attività
aziendale (ad esempio Netflix).
• Identificazione e blocco delle minacce (comprese quelle precedentemente sconosciute),
con l'esclusiva possibilità di arrestarne la propagazione in tutte le fasi del loro ciclo di vita.
• Effettiva applicazione della policy aziendale in materia di utilizzo di Internet e accesso
a Internet conforme alle normative.
• Accesso sicuro a Internet per i pazienti e isolamento delle reti WiFi dedicate agli ospiti
presso le varie strutture aziendali.
Il punto di partenza per una sicurezza più efficace
Applicare regole di sicurezza uniformi dalla periferia della rete al centro del data center è una priorità
irrinunciabile. Palo Alto Networks permette di implementare la stessa tecnologia per più casi d'uso,
semplificando così la sicurezza. Di seguito vengono illustrati alcuni dei casi d'uso più comuni:
Gateway Internet: rete libera dal traffico indesiderato e ad alto rischio
Palo Alto Networks consente di controllare in modo costante gli elementi presenti nella rete,
come non era mai stato possibile prima. Grazie alle funzioni di visibilità e classificazione di tutto
il traffico in base ad applicazione, utente e contenuto, è possibile individuare gli elementi anomali.
In questo modo è possibile iniziare a prendere decisioni più fondate sugli ambiti in cui applicare
controlli più severi sulle applicazioni non autorizzate (ad esempio i social network) o scegliere se
bloccare il traffico proveniente da aree geografiche ad alto rischio con cui non si hanno rapporti
professionali. Oltre a ridurre le sfide in materia di sicurezza, questa strategia consente di liberare
una certa quantità di larghezza di banda per le applicazioni legate all'attività aziendale. Segmentazione: protezione dei dati dei pazienti e riduzione
dell'ambito di conformità
I provider di servizi sanitari devono gestire e archiviare dati altamente
sensibili protetti da svariate normative che si differenziano a seconda
dei Paesi. Negli Stati Uniti, ad esempio, la tutela delle informazioni sui
pazienti è regolata dall'HIPAA, che limita l'accesso al personale medico,
previo accertamento dell'effettiva necessità. I dati delle carte di credito dei
pazienti sono protetti in tutto il mondo mediante lo standard PCI DSS.
Con Palo Alto Networks è possibile stabilire zone di profili di sicurezza
simili (affidabile, non affidabile, informazioni sanitarie personali,
amministratore, personale medico, ecc.) e definire regole di sicurezza
severe per il controllo del traffico in entrata e in uscita dalle varie zone.
Cartelle cliniche
elettroniche
Zona delle
informazioni
sanitarie personali
DICOM
Zona dei
dispositivi
medici
La protezione che la piattaforma per la sicurezza aziendale Palo Alto
Networks offre ai data center può essere estesa anche ai dispositivi
mobili utilizzati dal personale medico per connettersi alla rete e ai sistemi
di cartelle cliniche elettroniche. Un esempio tipico è quello di un medico
che prende appunti sul proprio iPad accanto al letto di un paziente.
GlobalProtect™, la nostra soluzione per la sicurezza dei dispositivi
mobili, permette di gestire il dispositivo, di proteggere le comunicazioni
e di controllare i dati, ponendo la massima attenzione a ogni singolo
aspetto della sicurezza mobile.
IMPLEMENTAZIONE DI UN APPROCCIO AUTOMATIZZATO A CIRCUITO
CHIUSO PER LA PREVENZIONE "ZERO-THREAT"
RETE WIFI
OSPITI
Zona ad
accesso aperto
SUPPORTO DI INIZIATIVE PER DISPOSITIVI MOBILI E RIDUZIONE AL
MINIMO DEI RISCHI INFORMATICI
Profili di
sicurezza
Figura 2: Segmentazione dei dati dei pazienti da altre comunicazioni
Nella maggior parte dei casi, in un ambiente altamente regolamentato
l'elenco delle applicazioni legittime è limitato. Palo Alto Networks consente
di rifiutare tutto il traffico, ad eccezione di queste poche applicazioni
autorizzate. Gli stessi rigorosi controlli possono essere applicati a utenti
e contenuti. Si viene così a ridurre drasticamente il numero di server,
applicazioni ed endpoint soggetti a verifiche di conformità, garantendo
al tempo stesso una protezione più efficace dei dati sensibili.
Oggi gli attacchi informatici sono molto sofisticati e possono risiedere
latenti nella rete per mesi. Palo Alto Networks offre una soluzione
end-to-end con un approccio a circuito chiuso, in cui vengono rilevate
le minacce note e quelle sconosciute, impendendo loro di spostarsi
lateralmente e, quindi, di propagarsi ulteriormente all'interno
dell'infrastruttura.
Questo approccio a circuito chiuso è specifico della nostra piattaforma
aziendale: il firewall segnala payload potenzialmente sospetti, il cloud
delle minacce procede alla protezione (firme), dopodiché queste
informazioni vengono inviate nuovamente al punto di applicazione
(firewall) per essere immediatamente utilizzate a fini di protezione.
Poiché tutte le funzioni di sicurezza (firewall, IPS, IDS, filtraggio degli
URL, analisi delle minacce basata su cloud) sono incorporate a livello
nativo nella piattaforma, quest'ultima consente di evitare in modo
automatico e proattivo l'ulteriore diffusione di minacce note e nuove.
SICUREZZA AD ALTA VELOCITÀ PER IL DATA CENTER
Nelle strutture sanitarie, l'accesso ai sistemi è di primaria importanza:
tempi di attività e prestazioni possono essere una questione di vita o di
morte. Pur non potendosi permettere problemi di sicurezza, le società che
operano in questo settore non possono più scendere a compromessi tra
sicurezza e prestazioni. Palo Alto Networks fornisce un'architettura di
sicurezza scalabile in grado di assicurare protezione e di evolversi al passo
con le esigenze del data center. Grazie a Palo Alto Networks, è possibile
implementare un'infrastruttura per la sicurezza di rete ad alte prestazioni,
flessibile e semplificata, che consente di supportare in sicurezza applicazioni
business-critical e volumi di traffico in continuo aumento.
Solo gli utenti finanziari in Active Directory (User-ID) possono
accedere alla zona dei titolari di carte di credito
Oracle (App-ID) è l'unica applicazione consentita
(inclusa nella whitelist)
Blocco di tutte le minacce in entrata
Distribuzione delle protezioni
Circuito chiuso
Riduzione della
superficie di attacco
• Blocco di applicazioni ad alto rischio
• Blocco di virus ed exploit noti
• Blocco dei tipi di file colpiti più spesso
da exploit
Rilevamento degli
elementi sconosciuti
• Blocco dei tipi di file colpiti più spesso
da exploit
• Analisi di tutto il traffico in base alle
applicazioni
• Test del payload alla ricerca di malware
Creazione
di protezioni
Creazione di firme per il malware
Rilevamento e blocco del traffico
C&C mediante:
• Domini dannosi nel traffico DNS
• URL (PAN-DB)
• Firme C&C (antispyware)
Figura 4: Approccio a circuito chiuso per la distribuzione automatica delle protezioni
Si consiglia inoltre di implementare le nostre best practice per la
prevenzione, la copertura e l'attenuazione delle minacce allo scopo di
ridurre al minimo l'esposizione al malware noto e sconosciuto, liberando
il team addetto alla sicurezza da un numero elevato di attività manuali
legate alle conseguenze degli incidenti, da eliminare o automatizzare.
Monitoraggio/blocco del trasferimento in uscita dei dati dei
titolari di carte di credito (Content-ID).
Tutto il resto viene rifiutato e registrato
Figura 3: Esempio: App-ID, User-ID e Content-IDapplicati allo standard PCI DSS
2 | Palo Alto Networks | Panoramica della soluzione per il settore dei provider di servizi sanitari
RIEPILOGO DEI CASI D'USO COMUNI DELLE SOLUZIONI PALO ALTO
NETWORKS IN AMBITO SANITARIO
ELIMINAZIONE DELLE COMPLESSITÀ DALLA SICUREZZA CON UN'UNICA
PIATTAFORMA
È possibile che i provider di servizi sanitari debbano gestire diversi
utenti e modelli di utilizzo e proteggere strutture distribuite in più aree
geografiche. Uno scenario del genere potrebbe presentare svariati casi
d'uso relativi alla sicurezza. Di seguito vengono illustrati quelli più
comuni per i quali i nostri clienti del settore sanitario hanno deciso
di implementare la nostra soluzione:
Spesso i provider di servizi sanitari devono gestire ospedali di grandi
dimensioni e le rispettive strutture satellite, con decine di migliaia di
endpoint da proteggere. L'approccio Palo Alto Networks semplifica
la sicurezza poiché tutte le funzioni in questo ambito sono integrate a
livello nativo in un'unica piattaforma.
Caso d'uso
Il nostro valore esclusivo
Gateway Internet
Prevenzione delle minacce
Protezione del data center
Protezione delle informazioni sanitarie
personali
Iniziativa di mobilità (BYOD)
iPad per il personale medico
Conformità all'HIPAA
Conformità allo standard PCI DSS
Protezione delle workstation mediche
Isolamento delle apparecchiature
mediche
Segmentazione delle reti WiFi guest
Controllo dell'accesso a Internet nei
reparti pediatrici
Fusioni e acquisizioni: sicurezza
continuativa durante l'integrazione
Accesso sicuro allo scambio di
informazioni sanitarie (Stati Uniti)
•100% di visibilità e controllo a livello
di applicazioni.
•Rilevamento integrato delle minacce
senza cali di prestazioni.
•Rilevamento delle minacce note e di
quelle sconosciute.
•Approccio a circuito chiuso alla
prevenzione delle minacce.
•Protezione ad alta velocità lungo il
perimetro del data center.
•Supporto di ambienti virtualizzati.
•Gestione della sicurezza mobile che
estende la protezione della sicurezza
aziendale a tutti i dispositivi mobili.
•Rigida segmentazione a livello di
applicazione, utente e contenuto
(approccio "zero trust").
•Funzionalità di filtraggio degli URL
integrate.
•Visibilità senza interruzioni.
GESTIONE CENTRALIZZATA PER L'AUTOMAZIONE E LA SEMPLIFICAZIONE
DELLE OPERAZIONI QUOTIDIANE
Panorama, la nostra soluzione per la gestione centralizzata, semplifica
la gestione della sicurezza e l'acquisizione dell'intelligence. È possibile
implementare policy in modo centralizzato e far sì che tutte le appliance
di sicurezza vengano aggiornate con le policy di configurazione e di
sicurezza più recenti, nonché accedere a registri e report sul traffico
a tutti i livelli dell'infrastruttura e facilitare l'identificazione di tutti i
dispositivi e degli endpoint connessi della rete.
IMPLEMENTAZIONE DELLA STESSA TECNOLOGIA DI SICUREZZA IN TUTTE
LE STRUTTURE
Il portafoglio di appliance di sicurezza Palo Alto Networks si basa sulla
stessa tecnologia per semplificare implementazione e gestione: si va
da appliance entry level, come la PA-200 o la PA-500 per le esigenze
di strutture periferiche, ad appliance di fascia alta basate su chassis,
come la PA-7050, ideale per i data center. La medesima funzionalità
è disponibile anche nel nostro fattore di forma virtuale, la Serie VM,
che può essere implementato all'interno del data center per proteggere
ambienti virtualizzati.
RIPRENDERE IL CONTROLLO DEGLI ELEMENTI PRESENTI NELLA RETE: FARE OGGI
STESSO IL PRIMO PASSO
Indipendentemente dal fatto che si utilizzi già Palo Alto Networks per proteggere il
proprio perimetro o non si conosca ancora la nostra tecnologia, è possibile scoprire i
vantaggi della nostra piattaforma per implementare controlli sulle policy in grado di
limitare le sfide in materia di sicurezza. È incredibile il livello di visibilità che è possibile
ottenere e il modo in cui il nostro approccio a circuito chiuso è in grado di contribuire
a bloccare automaticamente la propagazione degli attacchi all'interno dell'azienda.
È opportuno adottare le misure appropriate oggi stesso, scegliendo una delle seguenti
opzioni:
• Dimostrazione online del prodotto,
personalizzabile in base alle specifiche
esigenze delle singole organizzazioni.
• Test drive avanzati che consentono
ai team di provare direttamente
la nostra tecnologia. Per ulteriori
informazioni, contattare il
rappresentante commerciale di zona.
• Valutazione gratuita della rete e
Report personalizzato sull'utilizzo
delle applicazioni e sulle minacce:
http://connect.paloaltonetworks.com/
avr-alt
4401 Great America Parkway
Santa Clara, CA 95054 (Stati Uniti)
Telefono:+1.408.753.4000
Vendite:
+1.866.320.4788 Assistenza:+1.866.898.9087
www.paloaltonetworks.com
Copyright ©2014, Palo Alto Networks, Inc. Tutti i diritti riservati. Palo Alto
Networks, il logo Palo Alto Networks, PAN-OS, App-ID e Panorama sono marchi
di Palo Alto Networks, Inc. Tutte le specifiche sono soggette a modifiche senza
preavviso. Palo Alto Networks declina ogni responsabilità in merito a eventuali
inesattezze presenti nel documento e non ha alcun obbligo di aggiornare le
informazioni ivi contenute. Palo Alto Networks si riserva il diritto di modificare,
trasferire o correggere in altro modo la presente pubblicazione senza alcun
preavviso. PAN_SB_HPI_072314

Download Report