首页 » » <h3>启用远程管理</h3>
首页> 满足网络安全绩效目标和 HHS 计划的解决方案

满足网络安全 
绩效目标和 HHS 计划的解决方案

卫生与公共服务部(HHS)推出了网络安全绩效目标(CPGs)——一套基于广泛采用的 NIST CSF 和 HICP 优先排序的控制措施,重点强化针对医疗行业最高优先级威胁的弹性(如 HHS 医院网络弹性计划景观分析所揭示)。

为什么选择 CPG?

从 2015 年的 CSA 法案到 2024 年的 HISAA 法案,HHS 网络安全绩效目标的简史。

美国国会认识到关键领域面临日益严峻的威胁,遂通过 CSA 法案。第 405(d) 条旨在建立自愿最佳实践,保护医疗机构(HCOs)免受网络风险。

torn-paper-1

2015

国会通过网络安全法案(CSA)

2015

HHS 设立工作组以应对 CSA 第 405(d) 条项下的相关问题

HHS 承担此责任,召集了 405(d) 工作组,成员超过 150 人,涵盖网络安全、隐私、医疗从业者、IT 及其他领域专家。

工作组制定了 HICP,作为专注于医疗行业主要威胁的最佳实践指南,提出了医疗机构可遵循的具体措施,同时支持符合 HIPAA 安全规则。

2018

《医疗行业网络安全实践》(HICP)诞生

2018—2022

FBI 表示,勒索软件的#1 目标是医疗行业

93% 向 HHS 民权办公室(OCR)报告的大型数据泄露事件增加。
278% 伴随勒索软件的大型数据泄露事件增加。

COVID-19 大流行期间勒索软件攻击影响癌症治疗:

41% 门诊总量减少。

圣地亚哥某医疗非营利机构遭遇重大勒索软件攻击

- 原因 1.12 亿美元 损失的收入、修复费用和罚款。

尽管 HICP 已被执行,勒索软件事件仍在增加,显示许多医疗机构因以下限制而难以有效采纳和实施这些标准:

  • 医疗机构 IT 团队人手不足,技术人员多职兼任。
  • 大多数 IT 预算优先分配给诸如电子病历(EHR)实施等大型项目,网络安全需求被忽视。
  • 尽管存在多个框架,攻击依然频发。
  • HHS 开展研究以了解主要威胁及预防控制措施。
  • HHS 以《医院网络弹性计划景观分析》报告形式发布研究结果。
  • 报告揭示了医疗机构现有网络安全实践中的严重缺陷,并确认必须优先实施 HICP 中的某些措施。

报告主要发现:

勒索软件:主要威胁

- %

2023 年受影响的医疗机构比例。

漏洞评估不足

- %

有文档响应漏洞计划的医院比例。

- %

进行高级漏洞测试的医院比例。

第三方网关

- %

勒索软件事件涉及第三方源头的比例。

- 第三

根据首席信息安全官(CISO)调查,最常见的风险向量。

过时资产

- %

运行存在已知漏洞的遗留系统的医院比例。

网络保险保费上涨

- %

2021 年保费上涨,导致部分医院选择自保。

查看 HHS 详细报告

2023 年 4 月

HHS 开展医院网络弹性计划景观分析

2024 年 1 月

HHS 发布自愿网络安全绩效目标(CPGs)

  • 基于医院网络弹性计划景观分析的发现,HHS 发布了一套优先排序的网络安全实践,即 CPGs。
  • CPGs 重点解决困扰医疗行业的主要威胁,并参考了 NIST CSF 和 HICP 中的关键控制和实践。
  • 这些自愿目标分为两类:基础和增强。
  • HHS 与国会合作,为实施 CPGs 提供资金支持。

尽管有诸多 HHS 计划,医疗行业网络攻击仍在增加:

“像 UnitedHealth 这样的大型企业在网络安全基础知识方面表现不佳,导致美国家庭受到影响……这些都是常识性改革,包括对向政府隐瞒网络安全信息的 CEO 处以监禁。”

Ron Wyden, 
美国参议院财政委员会主席

Change Healthcare 网络攻击:

  • 1 亿 个人受到涉及最大已知医疗信息泄露事件的影响。
  • UnitedHealth 记录 25 亿美元 Change Healthcare 网络攻击带来的总体影响。
67% 2024 年受勒索软件攻击的医疗机构比例。

应对威胁,网络安全成为医疗机构董事会层面的优先事项,如 KLAS 报告 所示。

2024 年 1 月至 2024 年 9 月

美国医疗行业经历有史以来最大网络攻击,医疗机构优先事项转向网络安全。

2024 年 9 月

《健康基础设施安全与问责法》(HISAA)带来更严格法规和更重罚款

网络安全被提升为国家级优先事项,美国参议院提出 HISAA 法案,规定了严厉的网络安全违规监管和罚款。

HISAA 的一些重点内容包括:

  • 取消 HHS 和 HIPAA 对罚款的法定上限,确保大规模医疗机构面临足够高的惩罚以遏制网络安全松懈。
  • HISAA 将拨款 13 亿美元覆盖实施成本,特别是针对较小的医疗机构。
  • 所有医疗机构必须公开披露合规状况,医疗高管需每年进行认证。
  • 任何虚假信息可能导致罚款高达 100 万美元 和最长 10 年.
  • 监禁。
  • HHS 应对医疗机构进行年度审计,并每两年向国会提交总结报告。
  • HHS 必须在两年内制定基于 CPGs 的最低和增强安全要求。

在新标准出台之前,医疗机构应评估自身对 CPGs 的遵从情况。

CPGs 是通向 HISAA 的基石——以下是如何对齐并做好准备

在 HISAA 特定的最低安全要求生效前,医疗机构应评估对 CPGs 的合规性。目前满足 CPGs 是自愿的,但 HISAA 将在未来强制这些目标。此外,CPGs 采取 NIST CSF 和 HICP 的控制措施,依据医疗行业最高威胁优先排序,提前采纳将有助于缓解关键威胁,并为 HISAA 的未来强制要求做好准备。

使用 ManageEngine Endpoint Central 执行相关 CPG 部分的战术建议

ManageEngine Endpoint Central 助力您实现 CPGs 下基础和增强目标中的终端管理和安全部分。
满足基础目标CPG 目标描述
Endpoint Central 的帮助减轻已知漏洞风险降低攻击者利用互联网直接访问的已知漏洞攻击组织网络的可能性。 扫描已知漏洞并立即部署补丁以修复漏洞。
了解更多漏洞管理信息邮件安全降低常见邮件威胁风险,如邮件伪造、网络钓鱼和欺诈。 通过移动设备向员工传播教育内容,提高对钓鱼威胁的认知。
了解更多内容管理信息基础网络安全培训确保组织用户学习并执行更安全的行为。 通过移动设备向用户分发内容,持续教育网络安全最佳实践。
了解更多内容分发信息强加密部署加密,确保敏感数据的机密性,以及 IT 和运营技术(OT)流量在传输过程中的完整性。 在设备上强制执行加密,保证敏感数据的完整性。
了解更多加密信息撤销离职成员凭证防止离职员工、承包商、合作方和志愿者未经授权访问组织账户或资源,及时移除其访问权限。 医疗人员在多台共享设备上有配置文件,需一次性删除所有相关设备上的本地用户配置文件。
了解如何删除所有设备上的本地用户配置文件基础事件规划与准备
  • 确保对重大网络安全事件的安全和有效响应及恢复。
  • 对所有设备执行漏洞扫描以识别潜在风险。
  • 自动检测和缓解勒索软件攻击,将设备恢复到最稳定的备份状态。
  • 监控设备异常活动,识别可能的攻击迹象(IoC)。
根据攻击严重程度,远程清除和重置被攻陷设备。唯一凭证在组织网络内部使用唯一凭证,检测异常活动,防止攻击者横向移动,尤其是 IT 和 OT 网络间。 通过强制执行用户密码政策为所有用户实施唯一凭证。
了解更多密码政策分离用户账户和特权账户建立次级账户,防止攻击者通过普通用户账户访问特权或管理员账户。
提供专门仪表板,快速查看整个设备群中的管理员账户,管理用户访问控制(UAC),撤销普通用户管理员权限,仅允许批准应用提升权限。供应商/供应链网络安全要求识别、评估并缓解第三方产品和服务相关的风险。 轻松识别漏洞并为超过 850 种应用程序提供补丁支持,降低第三方风险。
了解更多补丁和漏洞管理信息
满足基础目标CPG 目标描述
满足增强目标资产清单识别已知、未知(影子)及未管理资产,更快速检测和响应潜在风险和漏洞。 获取全面的管理设备清单,并与主流 ITSM 产品集成,实现资产可视性的统一数据源。
了解更多资产管理信息第三方漏洞披露建立流程,迅速发现并应对供应商和服务供应商资产中的已知威胁和漏洞。 扫描已知漏洞并立即部署补丁以修复漏洞。
持续监控资产,发现第三方产品中的已知威胁和漏洞。第三方事件报告
  • 建立流程,及时发现和响应供应商及服务提供商中的安全事件或违规行为。
  • 扫描设备和应用,快速查找漏洞,支持风险评估。

轻松识别漏洞并为超过 850 种应用程序提供补丁支持,降低第三方风险。

通过应用补丁和修正错误配置,应对超过 1,500 项第三方漏洞相关威胁。网络安全缓解措施内部建立流程,迅速处理通过渗透测试和攻击模拟发现的优先漏洞。
对相关漏洞应用补丁并修正不安全配置。检测与响应相关威胁与战术、技术与流程(TTPs)确保组织能够在终端检测并响应相关威胁与 TTPs,保障网络入口和出口点安全。 对设备进行实时监控,检测并响应恶意软件,保护终端安全。
集中式事件规划与准备确保组织持续维护、演练并更新针对相关威胁场景的网络安全事件响应计划。
  • 确保对重大网络安全事件的安全和有效响应及恢复。
  • 对所有设备执行漏洞扫描以识别潜在风险。
  • 自动检测和缓解勒索软件攻击,将设备恢复到最稳定的备份状态。
  • 监控设备异常活动,识别可能的攻击迹象(IoC)。
配置管理一致定义安全的设备和系统设置,并根据既定基线进行维护。配置标准系统设置,使设备符合您组织的基线政策。 了解更多关于配置管理的信息

来源: hhscyber.hhs.gov/performance-goals.html

   CPGs 和勒索软件影响的调查与同行见解! 

我们正在启动一项调查,以了解医疗IT领导者如何应对勒索软件、HISAA和CPG的采用。分享您的观点,提前获取我们的同行见解,并了解您组织的现状。

分享您的观点!

如果您是医疗企业,了解我们能为您做什么。

预约定制演示联系销售

学习与探索

如果您在购买流程的早期阶段尚未准备好与我们的产品专家交流,我们建议您访问我们的内容中心。您可以找到关于如何获得高层管理支持的思想领导内容、类似案例研究及与您相关的用例演示视频。

带我去内容中心 测试您的用例 查看版本 查看价格

受信赖的

统一终端管理与安全解决方案
补丁管理软件部署终端安全操作系统部署资产管理移动设备管理工具与配置