採取預防性的雲安全措施 新思科技助力Rally提升醫療資訊保安
“網際網路 + 醫療”、“智慧醫療”已經不再是新鮮詞了。全球醫療行業正在不斷地融入 人工智慧 、感測技術等高科技,使醫療服務走向 智慧化 。在這個智慧化的過程中,資訊保安起到了舉足輕重的作用。
Rally 是一家美國的醫療服務公司,旨在簡化醫療服務流程,為公司和員工管理複雜的福利政策,並幫助改善整體健康狀況。此外,公司開發團隊支援 Rally 數字生態系統內的關鍵服務,以建立使用者身份並驗證資格。
Rally 使用雲提供商 PaaS 服務和 IaaS 虛擬基礎架構(包括 Amazon Web 和 Relational Database Service 服務,以及 MongoDB 和 Scala ),這些基礎架構涵蓋身份管理、提供商及患者資格,以及終端使用者和特權使用者系統。
Rally 的軟體安全工程師 Nathan Coleman 表示:“我們希望對雲基礎架構進行全面的架構風險分析,尤其是身份驗證和資格系統。這是我們還未完善的領域,公司亟需精通這方面技術的人才。新思科技擁有我們所需的專業技術知識,而且能確保與我們面談的專業人士也會負責接下來的審查分析。而很多其它供應商不能確保這點。這也是我們選擇和新思科技合作的原因之一。”
Rally 主要有三個方面需要安全評估:
- 其核心身份驗證和授權系統的安全狀態;
- 安全控制;
- 洞察其執行時環境的威脅狀況。
新思科技軟體質量與安全部門為 Rally 提供的服務包括架構風險分析( ARA )、配置審查和程式碼輔助滲透測試。
- 配置審查深入評估 Rally 雲基礎架構安全狀況,並稽核了其部署的雲應用程式和安全控制執行時配置,以識別漏洞,並提供描述配置如何滿足或不滿足安全性目標的簡要報告。
- 滲透測試識別 Rally 管理的資料中哪些是敏感的,並開發應用程式,根據易受攻擊狀況及有可能被利用的方式進行分類。每個問題都是按照感知風險的順序進行測試,使用手動和基於工具的混合方式進行執行時和安全程式碼分析。
Nathan Coleman 指出:“ ARA 驗證了我們對架構的理解,並提供了建議。編碼系統滲透測試和配置審查為修復提供了明確的路徑 – 不僅檢測出配置存在的問題,而且指導我們如何解決問題。 ARA 結果會反饋給滲透測試,誤報率很低。配置審查可能是直接融入我們工作流程最簡單的方法。”
他接著說:“我們希望進行徹底的架構風險分析,尤其是身份驗證和資格系統。”
他總結道:“和新思科技合作十分順暢,他們提供了專業的技術,分享了豐富的知識。我們熱切期望參與到安全社群,並推動安全發展。與新思科技的合作有助於推動我們實現這兩個目標。”