20 फरवरी को, टेक्सास स्थित जोखिम प्रबंधन कंपनी हिट्रस्ट ने अपनी दूसरी वार्षिक 2025 ट्रस्ट रिपोर्ट जारी की। एक hitrust प्रमाणीकरण के साथ संगठनों ने रिपोर्ट किया Hitrust के अनुसार, 2024 में 0.59 प्रतिशत की घटना दर। पिछले साल, 60 प्रतिशत संगठन जो सूचना जोखिम का प्रबंधन करते हैं, तदर्थ-हॉक ने डेटा उल्लंघन का अनुभव किया, इसके अनुसार उद्योग आंकड़े।
Hitrust ने तीन वर्षों में शीर्ष उल्लंघन प्रकार के रूप में सिस्टम भेद्यता का शोषण पाया। पासवर्ड प्रबंधन, डेटा सुरक्षा और अभिगम नियंत्रण को सबसे जटिल डोमेन पाया जाता है जिसमें सुरक्षा परिपक्वता प्राप्त होती है। एक प्रेस विज्ञप्ति में कहा गया है कि अपर्याप्त समापन बिंदु सुरक्षा hitrust प्रमाणन विफलताओं का प्रमुख कारण है।
स्वास्थ्य सेवा नवाचार रिपोर्ट में निष्कर्षों के बारे में विन्सेंट बेनेकर्स, क्वालिटी के वीपी के साथ बात की।
क्या आप Hitrust प्रमाणन के लिए कुछ पृष्ठभूमि प्रदान कर सकते हैं?
हमारे पास एक आकलन हैंडबुक है कि सभी संगठनों और ग्राहकों से अपेक्षा की जाती है कि जब हम प्रमाणन जारी करते हैं तो हम हमें एक आकलन प्रस्तुत करते हैं। हम तीन अलग -अलग मूल्यांकन प्रकार प्रदान करते हैं। पहला ई 1 है, एक संगठन के लिए प्रवेश-स्तरीय मूल्यांकन। इसमें 44 विभिन्न आवश्यकताएं शामिल हैं।
I1 E1 से अगला कदम है। यह एक संगठन के लिए अग्रणी प्रथा है। इसमें एक आकलन के भीतर 182 आवश्यकताएं शामिल हैं।
R2 है … एक बहुत ही मजबूत सुरक्षा मूल्यांकन। इसमें हमारा जोखिम विश्लेषण शामिल है, जिसे प्रत्येक संगठन यह निर्धारित करने के लिए जाता है कि उस मूल्यांकन में कौन सी आवश्यकताएं शामिल हैं। इसमें I1 से सभी 182 आवश्यकताएं शामिल हैं, लेकिन फिर यह अतिरिक्त आवश्यकताओं को जोड़ता है कि एक संगठन को उस जोखिम विश्लेषण के आधार पर मिलना चाहिए।
प्रमाणन प्रक्रिया में कितना समय लगता है?
हम हमेशा एक मूल्यांकन करने से पहले संगठनों को तत्परता आकलन करने की सलाह देते हैं। समय लगता है कि आप इस बात पर निर्भर करते हैं कि आप हिट्रस्ट, आवश्यकताओं को पूरा करने और आपके मूल्यांकन के दायरे से कितने परिचित हैं। आम तौर पर, किसी भी हिटस्ट्रस्ट मूल्यांकन के लिए फील्डवर्क अवधि 90 दिन होती है। मूल्यांकन करने के लिए आपके पास 90 दिन हैं और फिर इसे हमें प्रस्तुत करें, और हम प्रमाणन के लिए मानदंड निर्धारित कर सकते हैं।
मुख्य बाधाएं क्या हैं?
संगठनों को लगता है कि वे विशेष डोमेन में सबसे अधिक चुनौतियां हैं, जो इस बात पर निर्भर करते हैं कि वे क्या कर रहे हैं। यदि कोई संगठन किसी आकलन में किसी विशेष आवश्यकता को पूरा नहीं करता है, तो उन्हें एक सुधारात्मक कार्रवाई मिलती है जो उन्हें प्रदर्शन करना चाहिए।
R2 में पासवर्ड प्रबंधन में सबसे कम स्कोर था। I1 के लिए, सबसे कम स्कोरिंग डोमेन, भेद्यता प्रबंधन में था। E1 के लिए, यह एक्सेस कंट्रोल था। हमने जो कुछ सामान्य सुरक्षा उल्लंघनों में देखा, वह उन श्रेणियों में भी था।
हमने इस वर्ष वेरिज़ोन डेटा ब्रीच इन्वेस्टिगेशन रिपोर्ट से तुलना की, क्योंकि यह एक ऐसा संगठन है जो पूरे उद्योग में सबसे आम उल्लंघन का कारण बताता है। वेरिज़ोन ने कहा कि पिछले वर्ष में उन भेद्यता कारनामे लगभग तीन गुना हो गए थे। इसका बहुत कुछ ऐसा करना था जिसे शून्य दिन की कमजोरियां कहा जाता है। यह उन कमजोरियों की है जो एक कंपनी के पास अभी तक एक पैच नहीं है।
वेरिज़ोन की डेटा ब्रीच रिपोर्ट ने एक हमलावर के लिए अग्रणी तरीके पर प्रकाश डाला, जो खाता समझौता के माध्यम से था। यह मूल रूप से उपयोगकर्ता नाम और पासवर्ड चोरी है। हमारे द्वारा सूचित किए गए उल्लंघनों के लिए, यह प्रमुख कारणों में से दूसरा था।
क्या कोई अप्रत्याशित निष्कर्ष थे?
ग्राहक अपनी सुरक्षा मुद्राओं में सुधार करना चाहते हैं। वे केवल एक उच्च ट्रस्ट प्रमाणीकरण नहीं कर रहे हैं क्योंकि उन्हें आवश्यक है। हमने सुधारात्मक कार्यों में I1 के लिए उन साल-दर-साल ग्राहकों में बहुत सुधार देखा। हमने दोहराने पर उन सुधारात्मक कार्यों में 50 प्रतिशत से अधिक की कमी देखी।
सुरक्षा प्राप्त करने के लिए संगठनों के लिए सबसे जटिल डोमेन क्या हैं?
पासवर्ड प्रबंधन डोमेन सबसे कठिन था, और यह उल्लंघनों में भी जुड़ता है। उच्च ट्रस्ट मूल्यांकन में हमारे पास 19 अलग -अलग डोमेन हैं। मुझे नहीं लगता कि यह एक संयोग है कि हम इसी तरह के डोमेन को देख रहे हैं, जो साल दर साल उन मुद्दों पर है।
सबसे आम कारण क्या है एक संगठन एक प्रमाणन विफल होता है?
जिस डोमेन को हमने देखा, वह एंडपॉइंट प्रोटेक्शन में विफल होने का उच्चतम कारण था। यह वह डोमेन है जहां हम लैपटॉप और सर्वर को उनके इन-स्कोप सिस्टम से जोड़ते हैं, यह सुनिश्चित करते हैं कि उन लैपटॉप और सर्वर में एंटीवायरस स्थापित है और अन्य मैलवेयर सुरक्षा है। मुझे लगता है कि कुछ मामलों में, संगठनों को यह सुनिश्चित करने में चुनौतियां हो सकती हैं कि सिस्टम को पूरे उद्यम में ठीक से स्थापित किया गया है। मुझे लगता है कि हो सकता है कि हम उन कुछ मुद्दों को एंडपॉइंट प्रोटेक्शन में देख रहे हैं।
क्या आप इस बात पर चर्चा कर सकते हैं कि कैसे हिट्रस्ट रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) को संबोधित करता है?
हम चाहते हैं कि संगठन वास्तव में प्रासंगिक खतरे पर ध्यान केंद्रित करें जो वे सामना कर रहे हैं। हमारा ढांचा साइबर थ्रेट एडेप्टिव है, जिसका अर्थ है कि हम लगातार उन टीटीपी को देखते हैं और विभिन्न तरीकों पर हमलावर एक सिस्टम में आने के लिए उपयोग करते हैं। हम Miter ATT & CK फ्रेमवर्क से डेटा का उपयोग करते हैं। यह एक तीसरा पक्ष है जो सभी अलग -अलग टीटीपी को देखता है और हमला करने वाले तरीकों पर हमला करते हैं और फिर उन हमलों को कैसे कम किया जा सकता है। हम उन mitigations को देखते हैं और उच्च ट्रस्ट आवश्यकताओं की पहचान करते हैं जो एक संगठन उस शमन की पेशकश के लिए लागू कर सकता है।
हमने प्रत्येक मूल्यांकन प्रकार को उन mitigations में मैप किया है Miter att & ck फ्रेमवर्क। E1 के लिए, हालांकि इसकी केवल 44 आवश्यकताएं हैं, यह उन mitigations के 62 प्रतिशत तक मैप करता है।
क्या आपके पास स्वास्थ्य संगठनों के लिए सलाह है जो प्रमाणन प्राप्त करना चाहते हैं?
जो सवाल उन्हें खुद से पूछना चाहिए, वह यह है कि वे कैसे जानते हैं कि वे जो जानकारी और सुरक्षा मूल्यांकन प्राप्त कर रहे हैं, वह संगठन के लिए प्रासंगिक है? क्या यह एक संगठन के रूप में उनकी आवश्यकताओं को संबोधित करता है? आपके पास संगठनों के अलग -अलग आकार हैं, और आपके पास संगठनों के लिए अलग -अलग जोखिम प्रोफाइल हैं।
हम समझते हैं कि संगठनों के पास सीमित बजट भी हैं, इसलिए वे ओवरस्पीड नहीं करना चाहते हैं। वे यह सुनिश्चित करना चाहते हैं कि वे सुरक्षा आकलन प्रासंगिक हैं, लेकिन विश्वसनीय भी हैं। हमने ट्रस्ट रिपोर्ट पेश की क्योंकि हम यह सुनिश्चित करने के लिए कि हम जो कुछ भी कर रहे हैं, वह सब कुछ संवाद करना चाहते थे जो कि सुरक्षा आकलन का प्रतिनिधित्व करते हैं जो प्रासंगिक और विश्वसनीय है।
हम किसी भी नेता को यह देखने के लिए प्रोत्साहित करेंगे कि हम क्या कर रहे हैं, फिर अन्य सुरक्षा आकलन को देखें, और सवाल करें कि क्या वे उन रिपोर्टों पर भरोसा कर सकते हैं जो वे प्राप्त कर रहे हैं और क्या जानकारी उनके संगठन के लिए प्रासंगिक है।
कुछ प्रासंगिक प्रश्न वे किसी भी आश्वासन प्रदाता से पूछ सकते हैं: मूल्यांकन प्रक्रिया और स्कोरिंग दृष्टिकोण क्या था? मूल्यांकन ने उनकी कंपनी के लिए प्रासंगिक सुरक्षा खतरों को कैसे संबोधित किया, और उनके मूल्यांकन में क्या गुणवत्ता आश्वासन का उपयोग किया गया?
