和睦家医疗通过 IBM Security QRadar SIEM 优先考虑威胁防护和监管合规
和睦家医疗 (UFH) 始终将患者放在首位。事实上,“以患者为中心的医疗服务”是该公司的核心使命:秉承国际标准,追求卓越医疗,表达温馨呵护,处处以人为本,睦邻社区家庭,自强健行致远。
UFH 采用独特的方法应用这种医疗服务,将东西方医疗模式融于一体。自 1997 年在中国北京成立以来,该公司取得了长足的发展。目前,该公司在中国及其他地区 7 个城市运营 10 多家医院,拥有 700 多名医生、1,000 名专家和 1,500 名医疗助理。
这样一家大型企业会在 UFH 的分布式 IT 环境中产生大量数据。随着该公司追求成为亚洲领先的医疗保健提供商的愿景,这些数据及其背后的 IT 基础架构预计将在未来几年呈指数级增长。
2020 年,UFH 开始评估其安全基础架构,以更好地保护数据和应用程序、遵守合规性法规并为未来的增长做好准备。鱼叉式网络钓鱼、恶意软件后门与恶意软件和勒索软件等外部威胁以及公司 5,000 多名员工的内部安全漏洞都令人担忧。个人电脑、社交平台和智能手机以及员工之间的密码和信息共享都可能造成风险。
当时,该公司没有统一的安全运营中心 (SOC) 平台。由于没有集中式视图,因此很难检测风险或可能的违规行为,也很难在发生风险或违规行为时对其进行管理。
UFH 需要一个 SOC 平台,通过该平台可以清楚地查看和管理其多个站点的安全事件,并生成证明遵守当地法规的报告。此外,该平台需要易于安装、更新和使用,以便 IT 人员无需深入培训即可对其进行管理。
30 分钟
可以在 30 分钟内检测、遏制和响应勒索软件攻击,而这在以前需要数天时间
1 天
可以在 1 天内完成事件处理、溯源和报告,而这在过去有时需要数周时间
在选择解决方案时,UFH 利用多家顶级供应商的安全产品进行了概念验证 (POC)。以 IBM Security® QRadar® SIEM 为重点的 IBM 安全解决方案脱颖而出,不仅因为其功能,还在于其易用性。
“我们在测试阶段发现 IBM 的解决方案相对于竞争产品具有突出的优势,”UFH 医疗信息安全经理楚春鹏说道,“具体来说,通过 IBM 的解决方案,我们发现系统中存在明文用户名和密码以及员工之间共享帐户等不合规行为。”
必须为该解决方案提供支持服务。“我们没有大量的安全运维人员,IBM 的增值服务可以弥补这一点,”楚春鹏说,“这是与其他安全供应商的区别,其中一些安全供应商无法使软件以最佳状态运行,因为他们销售产品,但不提供支持和服务。”
借助 IBM Security QRadar SIEM,接受过有限正式安全培训的 UFH 团队成员可以查看优先威胁并对其进行一级调查。集中式日志管理帮助 UFH 使用自动报告功能来管理对当地监管要求的遵守情况,从而可以立即生成内部和外部审计报告。
“QRadar 很多预设的内置规则非常全面,可以检测到更多的风险,例如强大的日志管理和流量采集功能,与日志源的兼容性高,易于进行直接关联分析,”楚春鹏说,“总体来说,高效、省时、省力。”
通过利用这些开箱即用的集成和分析功能,UFH 在不到一个月的时间内部署了 SOC 解决方案。为了识别潜在的高风险用户行为和活动,UFH 实施了 IBM Security QRadar User Behavior Analytics,这是一款机器学习附加应用程序,可以确定基线用户和同级群组行为,以检测可疑的异常情况,并就潜在的内部威胁或受损主机发送警报。另一个附加组件是 IBM Security QRadar Network Insights,它可以分析网络流量以监控敏感的患者数据流并提供实时警报。
IBM Security 技术的核心部分 IBM Cloud Pak® for Security 正在实施过程中,预计将于 2023 年全面投入使用。该统一安全管理平台与 IBM Security QRadar SIEM 集成,可以加强安全事件的检测、调查和响应。
2020 年首次实施后,新 SOC 的价值很快就显现出来。“系统上线后,效果非常显著,”楚春鹏说,”仪表板使整个企业的安全管理清晰可见,因此管理层可以随时查看我们系统的运行状态,这一点得到了我们首席体验官 (CXO) 的高度评价。”集中式视图使管理员可以在几分钟而不是几个月的时间内了解整体安全状况。
这种影响在内部也产生了积极的影响。“过去两年,我们看到警报和风险逐年减少,”楚春鹏说,“通过可视化安全管理,部门现在可以及时发现员工的危险行为并立即发出提醒,从而提高员工的安全意识,降低可能的风险。”客户也正在体验这些好处。不仅他们的敏感信息得到保护,而且他们的安全感也得到增强。
该解决方案的有效性已通过测试得到证实。“在一次应急演练中,我们的终端设备上发现了勒索软件,系统立即发出警报,”楚春鹏说,“我们的管理人员立即断网,在 30 分钟内控制了风险点的影响。过去,采取这种行动可能需要几天或更长时间。此外,我们可以在一天内完成事件处理、溯源和报告,而这在过去需要数周时间。”
如今,IBM Security QRadar SIEM 解决方案正在中国 7 座城市 11 个地点的 UFH 医院和诊所运行。进一步的改进正在进行中。“在短期内,我们计划扩大 QRadar 的容量,并将 IBM Cloud Pak for Security 部署到生产系统中,”楚春鹏说,“从长远来看,我们努力在 UFH 内部建立安全生态系统,并就 IBM Security ReaQta 端点检测和响应解决方案以及 IBM Security Guardium 的数据隐私解决方案继续合作。”
相互信任是 IBM 和 UFH 之间关系的核心。“这次合作创造了许多难忘的时刻,从一开始的 POC 到应急演练 – 效果总是比预期好,”楚春鹏总结道。“IBM 不断与 UFH 合作构建安全系统,为我们的客户提供更好的保护。”
UFH(ibm.com 外部链接)是一家国际医院和诊所网络,总部位于中国北京。该公司融合东西方医疗模式,专注于提供以患者为中心的高品质医疗服务。它在北京、上海、广州、深圳、天津、青岛和博鳌设有医院和诊所,拥有 700 多名医生、1,000 名医疗专家和 1,500 名训练有素的护士。
脚注
美国生产,2023 年 5 月。
IBM、IBM 徽标、IBM Cloud Pak、IBM Security 和 QRadar 是 International Business Machines Corporation 在美国和/或其他国家或地区的商标或注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。有关 IBM 商标的最新列表,请访问 ibm.com/trademark。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
以上所有引用或描述的客户实例的展示取决于部分客户使用 IBM 产品的方式以及他们可能取得的结果。实际的环境成本和性能特征会因具体客户配置和情况而有所不同。无法提供通用的预期结果,因为每个客户的结果将完全取决于客户的系统和订购的服务。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
良好安全实践声明:任何 IT 系统或产品都不应被视为完全安全,任何单一产品、服务或安全措施都不能完全有效防止不当使用或访问。IBM 不保证任何系统、产品或服务可免于或使您的企业免于受到任何一方恶意或非法行为的影响。
客户负责确保对所有适用的法律和法规的合规性。IBM 不提供任何法律咨询,也不声明或保证其服务或产品确保客户遵循任何法律或法规。