播客 > Ep. 171 - Integrating operations and IT to secure medical devices
Ep. 171
Integrating operations and IT to secure medical devices
Shankar Somasundaram, Founder & CEO, Asimily
Tuesday, March 28, 2023

本周我们的嘉宾是 Asimily 的创始人兼首席执行官Shankar Somasundaram Asimily 是一个医疗物联网风险调解平台,通过库存检测、网络安全管理和采购到运营支持,全面保护关键任务医疗设备。

在本集中,我们讨论了保护医疗环境的独特挑战,从异构设备群到广泛的攻击环境和复杂的法规。我们还探讨了在可能影响医疗设备性能的 IT 中集成操作的重要性。

关键问题:

  • 网络安全公司需要关注哪些领域来应对市场中的新威胁?
  • 您如何满足保护混合和家庭医疗保健环境的需求?
  • 医疗保健行业的网络安全问题责任在哪里?

音频文字.

Erik:Shankar,感谢你今天加入我们的播客。

香卡:谢谢你,埃里克。谢谢你邀请我来这里。很高兴来到这里。

埃里克:太好了。好吧,我很期待这个。我的妻子在这个行业,在医疗保健行业。所以,我开始偷听她的很多电话,并尝试以这种方式通过渗透来教育自己。但我在这里真的很兴奋,因为我最近一直在与许多网络安全公司交谈。在大多数情况下,它们往往是水平的。我一直认为与一家非常垂直的公司交谈是很有趣的,至少在他们的起源上,即使你在未来扩展。所以,我很期待这次谈话,Shankar。感谢您加入我们的播客。

Shankar:嗯,这很棒。没有多少人了解医疗保健面临的挑战,也没有多少人了解医疗保健是我们生态系统和日常生活的重要组成部分,因此确保医疗保健环境安全是一个非常重要的方面。很高兴我们今天能够更详细地讨论这个话题。

埃里克:是的,我想很多人都不知道这一点。但在美国,医疗保健大约占 GDP 的 20%。如果趋势线继续下去,到 2050 年它将占 GDP 的 50%,对吗?

香卡:没错。

埃里克:希望这不一定会继续下去。但是,是的,它确实是经济的重要组成部分。我知道您的背景更加多样化。我想最近,在创立 Asimily 之前,您是赛门铁克物联网高级总监——我想播客中的每个人都会熟悉这一点。我想在赛门铁克,您可能从相当广泛的角度看待物联网,对吧?赛门铁克涉足各种不同的行业。是什么让你想到,首先,你想成立一家专注于风险管理的独立公司,然后你想专门专注于医疗领域?

Shankar:是的,这是一个很好的问题。在赛门铁克,就像你提到的那样,我正在研究许多不同的垂直领域——工业、汽车。医疗保健实际上是该列表的一部分,零售也是如此。当我关注所有这些垂直领域时,很明显,你与许多客户交谈过。您与合作伙伴交谈。你与业内监管者交谈,你了解不同垂直领域面临的挑战。从这个意义上说,我发现医疗保健非常独特,因为医疗保健中有许多您必须遵守的隐私数据保护法规,其中存在许多挑战。

医疗保健——我没有将医疗保健定义为一个垂直领域。我将其定义为系统的系统。当你看医疗保健时,它不仅仅是医疗设备的元素。它有物联网设备。它具有工业设备、OT 设备,您可以在普通建筑物中找到这些设备,例如电梯和楼宇管理系统。然后它们都连接在一个网格中。因此,您确实拥有环境中存在的几乎所有可能的设备组合,所有这些都需要安全。其中任何一个都可以成为攻击的切入点。您还必须确保它们有效地工作,否则医疗保健费用会非常高。

这个医疗保健垂直提出了一个非常有趣和具有挑战性的问题,我意识到传统的 IT 解决方案并不能真正解决这个问题。显然,OT 有其自身的挑战。但正如我所说,医疗保健是一个系统的系统,面临着一系列挑战。它并没有真正得到解决。对我来说,感觉需要一种不同的方式来构建解决方案。无论您是在进行风险管理、事件响应,还是在研究如何真正有效地全面管理设备,我都觉得需要一种完全不同的方法。

那时,赛门铁克也正在经历转型。请记住,那是赛门铁克被博通收购的时候。对不起。它不是被 Broadcom 收购的,而是被一家私募股权公司收购的。他们开始重组整个组织。因此,我们意识到赛门铁克无法将重点放在垂直领域,扩展其在该垂直领域的能力。然后所需的产品种类也会略有不同。它需要大量的投资,大量的重新架构。感觉赛门铁克在那个阶段并不处于我们可以追赶它的位置。因此,我决定完全由我自己中断并重新考虑这个想法。这导致了 Asimily 的起源,其中整个架构、想法、一切都必须重做和重新思考——我可以在赛门铁克之外更有效地完成这些工作。所以,我离开了。 Asimily 就是这样诞生的。

埃里克:是的,我明白了。我想,现在,在不同的技术领域,我们正处于这个不断颠覆的时代,在这个时代,总会有一些东西在挑战现有公司,并为新公司提供成长空间。但在那个立场上,网络安全似乎有些独特或特别严格。在这一点上,与技术发展然后人们将产品推向市场的许多其他技术领域不同,网络安全几乎是一场战争,对吧?所以,比方说,白帽子和黑帽子之间确实存在着这场持续不断的战斗,这给进化带来了巨大的竞争压力。也许这就是为什么我们看到这么多新公司在这里涌现的原因之一。因为刚刚出现的新威胁需要以某种方式解决,并且可能需要使用不同的技术堆栈来解决。

当您谈论重塑业务以解决这组问题时——如果我们考虑业务架构,我们就会考虑底层技术。然后我们可能会考虑应用程序和服务,然后是业务模型等等——您在 Asimily 看到或想到的领域是什么,我们真的需要专注于重塑网络安全公司的这一部分,以便解决当今市场上目前没有得到很好解决的威胁?

Shankar:首先,从攻击面的角度来看,就像我说的,医疗保健是非常多样化的。我的意思是,这可能是我见过的最多样化的垂直领域。就像我说的,我在工业、汽车、零售和许多其他方面都有经验。这是我遇到过的最多样化的垂直领域。就像你说的那样,这会导致攻击者拥有巨大的攻击面来攻击系统。

所以,如果你从技术、不同功能的角度来看,有很多领域需要重新架构。你从漏洞管理开始,这就是你真正的方式——现在你有这么多设备。其中很多都是遗产。如此多的异质性。您如何在这样的环境中真正进行漏洞管理?我们无法扫描很多这些设备。因为如果我们扫描它们,它们就不会运行。我们已经进行了案例研究,其中人们扫描了设备,ECG 的增益已经完全改变。而且您不能再在环境中使用该 ECG 设备。因此,我们无法扫描设备。它很脆弱。您如何真正确定哪些是环境中最关键的设备?您最关键的医疗设备是什么?哪些是您最关键的工业设备?哪些是您最关键的物联网设备?当您将它们组合在一起时,您如何找出所有这些设备中最关键的设备?那么你如何真正减轻它们呢?因为如果我们要对环境中的每个设备进行细分和微细分,这可能需要数年时间才能完成。所以,这是第一个问题,你必须重新考虑和重新设计你如何进行漏洞管理。我们在这方面做了很多工作,我们有案例研究。这是我们擅长的事情。

例如,如果您查看事件响应,您如何进行事件响应?在正常的 IT 环境中,如果设备出现问题,您只需将设备报废即可。你从设备上抓取数据,然后分析它们。你不能用医疗设备做到这一点。你不能用很多工业设备来做到这一点。一个普通的攻击者只会在环境中停留 48 小时。因此,当您结合这些设备的限制以及围绕这些攻击者如何操作的问题时,您如何真正进行事件响应?您如何监控设备?如果您认为存在问题,您如何在网络、网络数据中找到问题?如果发生潜在事件,您如何收集数据?所有这些都需要一种不同的方法来处理事件响应问题。同样,这是我们花费了大量时间、致力于并真正重新设计的东西。看库存。您如何真正捕获数据?你如何分析它们?库存是一个问题,包括我们在内的许多公司都在考虑如何实际收集最有效的数据、网络上的流量以及物联网网络中无法使用的其他来源。

当我创立 Asimily 时,我围绕我们建立了这个团队,我们说,“好吧。我们必须重新构想技术堆栈的不同领域。”因为技术堆栈的每个领域——无论是库存、漏洞、事件响应、数据丢失,还是我们在未来关注的其他事情——所有这些都需要对技术堆栈进行重新构想。那么这些服务的交付也确实需要一些差异。医疗保健是一个可能不具备运营能力、采用所有不同技术能力的领域。运营人员可能不在。

在这种环境中,当你没有所有的运营材料时,你如何交付它?医疗保健领域有特定的合作伙伴,他们实际上可以在我们的解决方案之上增加服务价值,以确保医疗保健技术组织可以充分利用他们的能力,可以充分利用它。那么,您如何以组织可以吸收并充分利用它的形式提供这些功能?这又是您处理其中一些医疗保健与传统企业垂直行业的方式之间的差异。这也需要改变思维方式。这是一种想象,是对技术堆栈本身、它的不同方面以及进入市场的一些元素的重新想象。所以,我想说技术堆栈的重新构想远远大于它的上市部分。

埃里克:只是为了让我更准确地了解您对市场的看法。如果我们考虑医疗保健,我们有传统的医疗保健环境,即医院或诊所。这是一个高度监管、受控的环境。当然,在那个环境中有很多异质性。现在,我们也越来越多地拥有家庭保健服务。因此,我们的家用设备可能更适合消费者,但可能仍在输出被某种医疗保健系统吸收或未吸收的数据。或者它可能只是被消费者使用,但他们仍在使用它来围绕他们的健康做出医疗决策或分析。然后我们还有平台,它们不是真正的物联网系统,而是更严格的 IT 系统。但是尽管如此,它们仍然有关键数据在移动。因此,用于与医生等进行交流的应用程序。您在多大程度上扩展到传统医疗设施之外并解决这些家庭护理或混合环境。

Shankar:显然,家庭保健的数量和规模都在增长。越来越多的患者喜欢在更舒适的环境中接受治疗。对此也有更多的研究。我们正在研究它。当然,这是一个领域。技术堆栈与您在医院内处理设备的方式非常相似。在如何部署、如何收集数据方面存在一些差异。但总的来说,你解决问题的方式与医院环境非常相似。

显然,这会改变您的联系方式。你不会让消费者购买一个血糖仪,然后只为一个血糖仪购买一个完整的网络安全解决方案。与医院环境相比,以可扩展形式实际保护这些设备的方式将会发生变化。所以,这是我们正在关注的领域。基本上,它是仍在发展的东西。因此,我们仍在观察并了解如何应对该市场。但我们今天所做的很多事情也将直接适用于它。某些领域,就像我说的,我们在很大程度上,我们在技术方面所做的很多事情都适用于进入市场方面。需要进行一些更改。因此,这也是我们正在观察并与市场上的一些参与者讨论这个问题的事情。

埃里克:好的。明白了我还想更广泛地围绕整个行业解决几个问题。但在我们到达那里之前,我想更具体地了解一下贵公司提供的产品。因此,在您的产品页面上,您有一个不同的列表——对我来说,它们看起来像是某种模块。因此,漏洞管理、库存、设备关系、取证分析、策略管理、设备跟踪。这些看起来像是前端应用程序,有人可以用来评估情况、做出决策等。

所以,如果你能帮我分解一下,它在后端是什么样子的?它是一种具有多个模块的平台,人们可以在 SaaS 的基础上选择加入吗?您提供的是硬件层,还是在现有硬件基础上提供纯软件?您是在设备上进行部署,还是在更传统的 IT 系统上进行基于云的所有部署,然后从设备中获取数据? Asimily 的架构是什么样的?

Shankar:让我大致介绍一下我们在架构中提供的内容。我们是一个软件解决方案。我们在云端奔跑。我们也有能力在客户服务器上本地运行。在某些情况下,客户尚未迁移到云端,尤其是因为他们在医疗保健领域工作了很多。他们希望在内部部署。我们对此感到满意。有一个真正收集网络数据的硬件组件。但真正的智能和一切都在软件本身,就像我说的,它是基于云或内部部署的。

就我们所做的而言,它实际上是围绕环境中医疗和物联网设备的库存、网络安全和运营管理。不仅仅是 IoMT。这也是物联网。当你看它的时候,你谈到了很多不同的方面。我会大致将其分为四个不同的部分。第一个是关于库存。库存实际上与可见性有关。我想说可见性可能是那件作品的更好术语。因为它可以了解它们是什么设备,以及它们的所有参数。他们在哪儿说话?设备的流量是多少?谁在接触设备?谁在接触设备,等等?你想知道的关于设备的一切,它连接到哪里?您想要了解的有关该设备的所有信息,都集中在一个由它收集的位置。这是第一部分,真正围绕可见性和库存。这是第一个要素。

第二个要素实际上是围绕漏洞管理。它有很多元素。其中一些,我提到过。就像如果你有一个设备,与该设备相关的漏洞是什么?其中哪些对设备至关重要?其中哪些可以被攻击者利用?其中哪一个会对网络造成最大的危害?如果您不能对设备进行微分段或分段,您如何缓解它?如果可以的话,你真正关注的是什么?所以,它有很多元素。那么如果你采取某些行动,其中哪些会导致最大的影响?因此,真正模拟了设备的未来状态。所有这些实际上都围绕着漏洞管理保护伞,这是您如何将网络风险降至最低的重要因素。

第三个要素是围绕事件响应。您如何从威胁检测或异常检测的角度检测网络中发生的情况?如何大海捞针?所以,如果你有一个有大量数据流动的网络,有人会来找你说,“嘿,有没有一台服务器正在传输数据,有人在我的环境中泄露数据?”您可以按分钟或秒的顺序找到该信息。你如何获得这些数据?如果发生事件以供取证分析,您如何捕获数据?还有一些其他元素。他们都执行部分事件响应。

然后最后一块是真正围绕这种资产利用。您如何跟踪利用率?完成了多少次扫描?什么时候开,什么时候关?因此,您可以帮助进行采购和规划。当您查看连接的设备时,我会说,所有这些都是帮助它们形成全貌的不同元素。然后最近,我们有能力为非连接完成所有这些。

人们经常谈论联网设备。但现实情况是,无论是医疗保健还是一般垂直行业,一定比例的设备都是联网的。但仍有很大一部分人正在进入网络。这不像我们是 100% 的连通性。医疗保健的连通性为 30% 至 40%。所以,你仍然有很多连接。我们有一个模块说,“当你将设备连接到网络时,你如何评估它们的风险?”你如何评价他们?是否有标准的风险概况?有标准化的类似炸弹的东西吗?如果我以特定方式连接会发生什么?在连接设备之前,您如何评估设备的风险?当您将它们引入网络时,您实际上如何考虑减轻控制。这也是我们拥有的独立模块。我们一起帮助客户管理他们的设备,从他们考虑采购的那一刻起,一直到调试。将来我们也会将该系列扩展到其他方面。

Erik:Shankar,正如你所解释的那样,首先让我印象深刻的是,你讨论的很多话题并不是严格意义上的网络安全,但它们也与管理你的设备群有关。这是关于了解使用频率。我们是每天使用该设备 100 次还是每天 5 次?可能存在设备未被使用的情况,因为它放错了地方,等等。因此,这些是更具操作性的主题。但如果您有适当的设备清单,这些主题可以通过您正在收集的数据来解决。

你玩到什么程度?我的意思是,这几乎是一个跟踪主题,对吧?这是价值主张的重要组成部分吗?意思是,在运营团队如何运营和优化其医疗保健环境方面扩展到 IT 团队之外,但更多地进入运营团队?

Shankar:这是一个操作点。你是绝对正确的。但我认为在这个世界上,当你走出 IT 世界时,人们有时也看不到的是运营和网络安全的世界开始相互融合和相互作用。当您身处 IT 世界时,网络安全是一方面。操作是其他的。但是,当您转向医疗设备领域时——物联网和 OT 都是如此——运营和网络安全领域并不是相互独立的。他们彼此之间的互动非常密切。虽然我们看到了一些操作问题,但它们是某些网络安全所必需的。

我会给你几个简单的例子。假设您的设备存在漏洞。您需要在设备上打补丁。如果你不知道在哪里打补丁,设备在哪里,如果你不知道——它当前是否正在使用——你可能会在设备使用时去应用一些东西,你可能造成无意中的患者伤害。了解设备的使用情况有其自身的价值。但同样重要的是你要知道什么时候,什么时候在设备上采取行动,你可以在设备上采取什么样的行动?如果它很关键,也许你现在不能在设备上采取行动。所以,你真的必须非常了解运营影响。

另一件事可能是,我们遇到过这样的情况,有人会说,“这是我必须亲自去为设备打补丁的那种设备。”如果您甚至不知道设备在网络中的位置——哪个设施?如果你有 10 个设施,它在哪个设施上?它可能在哪一层——你到底是怎么做到的?因此,运营方面与网络安全方面密切相关。现在,很明显,在这方面存在一些细微差别,好吧,你可以在不必了解所有操作的情况下做很多网络安全元素。但是拥有像我们正在使用的操作元素,它大约在您的网络中,所有这些都可以提供,这有助于您的网络安全变得更好。当然,还有附加值。

埃里克:好的。清除。因此,就解决方案的实施而言,它们的关系非常密切。但是,双方也可能有独立的价值。您在产品中提到的主题之一是确定漏洞的优先级。这听起来像是对自身的独特挑战,比方说,存在着解决漏洞的问题。但在解决这些问题之前,请先确定优先级,因为在这个非常多样化的设备环境中,每年确实会出现数以千计的漏洞。正如您提到的那样,解决这些问题具有操作风险。因此,每次解决漏洞时,都会以某种方式影响操作环境,这可能会对设备的可用性产生无法预料的影响。那么,作为一家公司,您如何确定要重点解决哪些漏洞的优先级?

Shankar:这是一个非常难的问题。在 IT 世界中,您可以通过 ZIP 打补丁,通过您拥有的任何东西打补丁。然后,您只需通过修补设备来降低漏洞的风险。你不能在医疗保健领域这样做,因为对于每一个漏洞,对于每一个补丁,它们就像我们估计的一千个漏洞。正如您所说,这里的问题更具挑战性。

为了解决这个问题,我们采取了三管齐下的方法。第一种方法是,将漏洞与设备匹配后,这是基本的赌注。你必须这样做。第一步实际上是——标准攻击者利用环境中该设备的漏洞。所以,这就是我们正在做的分析。为了进行该分析,我们正在研究我们网站上的每个漏洞。我们正在做大量的后端工作,这是我们的核心 IP。然后我们在做一个分析。好的。根据我们正在进行的研究,根据设备的连接方式、配置方式和功能,设备上存在漏洞。有许多不同的因素。它连接到哪里,它周围的拓扑结构如何?攻击者(无论是在网络内还是网络外)能否真正找到通往设备的路径并利用该漏洞?这是我们要问的第一个大问题。这是我们正在进行的计算密集型操作。我们正在针对环境中每个设备上的每个漏洞执行此操作。

我们的环境很大,每周要分析 2000 万个漏洞。我们每周都会重复这个过程。我们正在对其进行分析和重新分析,因为环境中可能会发生变化,从而有效地改变此分析的结果。如果我们确定攻击者有利用它的潜在路径,那么我们会有效地查看它并说,“好吧。如果有路径,他们可以创造什么样的影响?”同样,它基于它连接的对象、它有什么影响、什么病人、它存储什么数据、它们可能产生什么样的操作影响?有许多不同的因素。我们说,“好吧。他们真的能对这个环境产生影响吗?”他们真的能在这个环境中造成真正的破坏,即使他们真的找到了漏洞吗?

它还取决于漏洞的类型。这是否只影响数据?这会影响可用性吗,病人?还有许多其他因素与之相关。所以,我们真的下定决心,他们真的能造成真正的影响吗?如果他们能做到这两点,那么随着时间的推移,我们已经创建了我们所说的这些经过临床验证的医学建议。然后对于物联网设备,我们提供了一组建议,我们知道这些建议不会运行,不会干扰设备的运行。

你还是要小心点。您要确保该设备未在使用中。您不想中断操作。但我们知道这种建议在很大程度上可以在不影响设备运行的情况下应用。当我们这样做时,我们发现我们能够使我们的客户在漏洞管理方面的效率提高 10 倍。这让我们的客户变得更好,降低了他们在环境风险方面的风险。我们能够降低 90% 的风险,并且效率比目前的任何其他产品高出 10 倍。

埃里克:监管机构在这方面的作用是什么?在其他一些 IT 领域,有一个相当强大的私营部门生态系统来共享漏洞。这在医疗保健领域似乎更具挑战性,因为它非常分散。但是,我可以想象监管机构也会有强烈的动力来鼓励共享漏洞。整个行业是否有某种协调?当您发现它们时,您会与设备 OEM 共享它们,或者以某种方式更广泛地与生态系统共享它们?或者,在构建这些漏洞数据库并确定如何解决这些漏洞方面,真的是每家公司都在为自己的利益服务吗?

Shankar:看,我认为这个行业正在发展。我就是这么说的。如果五年前你问我这个问题,我会说,感觉就像每个人都为自己,就像任何公司都为自己。但这正在发生很大变化。你看到了综合法案。你很清楚这一点,埃里克。我的意思是,有一系列法规有效地要求制造商做一些事情。但这仅适用于未来的设备。它并没有真正影响旧设备。然后你有了新的 HHS 405 D——它更像是一个指南,但它也是一个很好的步骤——它讨论了组织可以做的许多事情,医疗保健组织可以做的来查看他们目前部署的医疗设备保障条款。然后是一个医疗保健协调委员会,它有效地专注于共享有关漏洞的信息。然后是 HSI,它再次有效地确保信息在不同的组织中填充。

因此,监管领域正在采取许多不同的举措。所有这一切的唯一挑战是——看,我的意思是,每个医疗保健环境都是不同的。他们有自己的操作。他们有自己的预算限制。他们有自己的人为限制。由于环境的差异,这真的很难。我说每一种医疗保健,如果你看到一个医疗保健系统,你只看到了一个医疗保健系统。如果您看到 100 个医疗保健系统,每个医疗保健系统可能彼此略有不同。由于医疗保健彼此之间的独特性,一次性创建跨所有医疗系统的统一约束有点困难。但是,正如我所说,有许多针对未来设备的法规、针对当前环境的指南、专注于共享漏洞和信息的协调委员会、实际上专注于共享威胁的 HSI 站点。因此,有许多倡议和管理机构在将各个部分整合在一起方面做得很好。

显然,像 Asimily 这样的公司正在弥合这一差距。我们确保一切都放在一起,并针对该环境进行本地化,以便组织可以做适合他们的事情。他们也可以专注于对他们来说最重要的事情。因此,监管机构正在发挥作用。但显然,像 Asimily 这样的公司也有很大的发展空间。

埃里克:是的,然后我想在每个行业中,谁负责网络安全问题总是存在紧张关系。其中一部分是法律责任所在,一部分是更多的服务水平协议、业务期望等。但在医疗保健领域,责任和期望是落在设备制造商身上,还是落在医疗服务运营商身上?

Shankar:首先,这是一个非常具有挑战性的话题。因为现在您正在谈论患者护理和数据。这两个都是如此关键的方面。关于患者的数据非常有价值和重要。显然,患者护理是最重要的。所以,当你谈论这些关键方面时,这是各方之间的紧张点。因此,这确实取决于。我会说,没有人回答这个问题。有不同的情况。如果您查看卫生系统中的封闭网络,实际上是由制造商管理的重症患者护理网络,那么该封闭网络的责任将由制造商承担,但有一些限制。谁可以触摸设备,您可以用设备做什么,可能会有一些限制。任何违反这些限制的行为都可能有效地推翻制造商的责任。

当涉及到这些封闭的临床网络之外的设备时,其中很大一部分确实落在了卫生系统本身的身上。因为卫生系统使用不同的人来触摸它。他们以更适合其环境的方式使用它。因此,卫生系统对这些承担了很多责任。这就是服务提供商有时会介入的地方,他们会承担部分所有权。他们承担了一些网络安全责任,他们有效地说,“我们将为您端到端地管理设备。”他们在某种程度上弥合了 HDO 和制造商之间的差距。业内也有一些参与者也这样做。

我想说,从这个意义上说,谁真正拥有设备网络安全的责任确实取决于设备是什么,它是如何使用的,它在环境中是如何构建的,设备有多旧?因此,有许多因素取决于它。但我要说的是,在很大程度上,今天,它仍然落在 HDO 身上,即其他方面的实际医院。在某些情况下,它落在制造商身上。在某些情况下,中间方也承担责任。

埃里克:好的。听起来在 Asimily 的案例中,您主要关注操作员。浏览一两个案例会很棒。随意匿名化名称。但是,如果你能给我们一个相当详细的视角,让我们了解他们面临的挑战是什么,以及你们是如何合作的。另外,你和谁一起工作——我认为了解一个组织中谁实际上是决策者、谁是用户、第一或主要用户、次要用户等等总是很有趣。你有一个或两个案例吗?

Shankar:是的,当然。我可以谈谈,例如,这个卫生系统位于东海岸。它大约有 1000 个床位的卫生系统。很少有医院有数千张床位。所以,这是几年前的事了。他们看到医疗和物联网设备的库存有所增加。随着医疗和物联网设备库存的增加,他们基本上面临安全管理方面的问题。他们使用一些传统的 IT 工具进行漏洞管理和联网。扩大使用它时出现了问题。他们有一个配置管理系统,比如 CMMS 系统。数据不完整。他们看着它。数据不完整。他们还想要物联网。因此,数据非常孤立。有一些医疗设备,一些数据。物联网有一些数据,不同的系统完全孤立。它们基本上已经过时了。我的意思是,你可以看看它,你可以说,这些数据没有意义。主机名,这大概是他们四年前使用的东西。有人更改了设备的主机名。当他们真正去看它时,他们都没有加起来。

您在环境中也有很多网段。他们做了一些细分。他们有很多网段。但他们在那个时间点几乎持平。特定领域的医疗设备实际上并没有任何明确的细分,等等。像其他所有卫生系统一样,他们知道。我的意思是,他们有足够的责任心知道他们不应该扫描他们的医疗设备。大多数卫生系统都是如此。现在许多卫生系统,他们知道他们不应该深度扫描他们的医疗设备。那么,您如何真正进行漏洞管理呢?这真是个问题。这是一个真正的问题。因此,与其他所有卫生系统一样,他们真正关注的是如何真正获得库存。那是第一步。这样他们就知道设备在哪里,哪个 VLAN,关于设备的一切。然后他们可以使用该数据以更简洁的形式实际进行一些细分。

他们想要真正掌握风险管理,因为他们知道他们无法扫描此设备。他们知道他们有一支庞大的舰队。他们知道他们会这样做,而且他们每年都在增加更多的设备。现在他们拥有超过 8,000 台医疗设备。这只是逐年增长。因此,他们真的很想抓住机会。我如何控制环境中的 IoT 漏洞、IoT 和 IoMT 漏洞?您如何确定它们的优先级?基本上,就像每个卫生系统一样,他们的工作人员是有限的。那么,您如何在有限的员工的情况下真正做到这一点?然后他们想在此基础上开发事件响应流程,以便他们可以根据需要采取行动。所以,这就是我们进来的地方。

他们实际上选择了Asimily。他们有一个漫长的选择过程。他们运行了两个或三个不同的飞行员。然后他们选择了 Asimily。他们选择我们的原因之一仅仅是为了漏洞管理。其中一件事——当我们问他们“你为什么选择我们?”时,他们在最后有效地说道。他们说,“看,你们能够提供的漏洞管理和补救措施大大减少了我们保护连接设备的时间和精力。”他们能够事半功倍。这才是真正驱使他们走向 Asimily 的原因。但除此之外,他们还获得了环境中 8,000 多个联网医疗设备的完整风险概况。他们能够了解所有设备属性、安全功能和网络状态。他们现在能够分割出他们的物联网设备。这仍然是一个持续的过程。那时,当我们进来时他们还没有诀窍。他们很久以后才明白过来。但他们现在已经能够使用这些数据开始以更加一致的方式进行细分。他们已经能够发现他们环境中的某些异常情况,并且他们已经能够解决这些异常情况。谢天谢地,他们没有遭受任何重大袭击。但是我们已经能够发现某些可能在以后给他们带来问题的事情,以及可能在未来造成问题的妥协指标。

总的来说,他们已经根据我们经过临床验证的建议修复了数千台设备。我们还自动向他们提供有关 FDA 召回的通知。因此,他们已经能够使用它并将其集成到他们的流程中。他们现在正在使用所有这些。他们已经创建了基线。如果您查看我们提供的他们的组织风险代码,并将其与行业平均水平进行比较,就会发现它们远低于当今的行业平均水平。当我们开始时,他们没有那个指标。但是,如果粗略地看一下,它们的风险要高得多,因为其中很多都没有得到解决。从那时起,他们真正降低了行业风险。他们对某事做出反应的能力要快得多。他们有一些关于他们响应速度和缓解速度的 KPI。他们有一些他们正在做的持续改进过程,这实际上是我将他们的医疗设备安全计划放在该国一些顶级计划中,即使他们拥有的资源只是许多卫生系统的一小部分我们正在处理的。

埃里克:这听起来是个不错的结果。当你浏览这个案例时,我对商业模式感到好奇。因为你有很多活动部件。你有 x 号。您有 8,000 台设备,这些设备是受管理的。您提供不同的服务。我知道这不是答案。但我一直在想,正如你所说,在美国总是有这样的对话,即从按服务收费的医疗保健模式转变为一种预防性或基于结果的医疗保健模式——我认为这可能会在日本使用更像是您每年支付 X 金额。如果您身体健康,这就是您支付的金额。因此,它更多地围绕结果进行优化,而不是按服务付费。我知道,在物联网中,由于很多原因,仍然很难做到这一点。但是,就您将如何尝试标记您为服务提供的价值而言,今天的商业模式是什么样子的?

Shankar:今天,对于这些设备,对于我们生活的世界,它仍然是每项服务的成本。现在,每个服务可以有不同的指标。目前,在这种环境下,基于结果的做法非常困难。仅仅因为一般来说,对于任何网络安全,你仍然是任何在任何事情上进行网络安全的人。因为归根结底,企业软件领域是广阔而丰富的。它有很多不同的元素。没有哪一个供应商是解决所有问题的灵丹妙药。所以,这真的很难说,除非你拥有该客户的整个网络安全,并且你拥有它作为一站式商店。很难说是否会发生什么——因为你不知道切入点在哪里。它可能不在您的权限范围内。因此,很难有效地说,如果发生某些事情,那么这将是无效的。或者如果什么都没有发生,这将是有效的。因为如果什么都没有发生,也许你什么都没做。也许环境中的一些其他软件作为看门人做得更好。因此,就目前的情况而言,在网络安全领域进行基于结果的支付确实有点困难,因为这个难题有很多要素。

但是你有效地做的是,通过提供某些关键指标,比如有多少设备。您大概知道应该存在多少个设备。您找到了您期望找到的设备吗?您是否以一种真正让他们专注于并减少的方式有效地确定了他们的优先级?您是给他们一项任务还是一组有针对性的建议?您现在可以开始显示价值了。

我们有另一个客户,他们做了一项研究,他们说,“好吧。在 Asimily 之前,我花费了 X 工时。”他们实际上花费了大量的工时进行补救。他们研究了不同的解决方案。他们说,“有了所有这些解决方案,我们还需要一个额外的人,一个完整的人。然后我需要一个网络工程师去分段它。”对于 Asimily,他们实际上是在说,“我实际上花费了 0.2% 的资源来管理它和非常有限的网络资源。”

所以,他们实际上看到的是,好吧,如果没有 Asimily,如果我必须得到那里的设备,如果我必须进行漏洞管理,那么没有解决方案的成本是多少,完整的手册。找一个有其他解决方案的人,有效成本是多少?对于 Asimily,当我必须进行风险降低、漏洞管理时,有效的资源分配是什么?这是一个小型卫生系统。仅在漏洞管理方面,他们就节省了超过 50 万的成本。虽然就网络安全而言,这不是基于结果的确切结果,但就降低风险而言,它是基于结果的,因为他们正在减少风险。他们在优先考虑。他们实际上是在修复漏洞并减轻漏洞。

在节省成本方面,因为他们能够使用其他解决方案或手动完成的资源的一小部分来完成它。因此,这就是我们能够衡量结果的方式。我们有这方面的案例研究。但是今天,服务模型仍然是每项服务。但客户购买解决方案是因为我们为他们取得的成果。从这个意义上说,即使网络安全总体上更加无定形,我们也能够提供明确和明确的结果。

埃里克:明白了。 scale 的变量是什么?它是安全的设备数量吗?是按床位的多少,用户的多少?在确定客户 A 与 B 时,您考虑的变量是什么?

Shankar:是的,我会说,设备就是其中之一。数据量为二。因为您可以拥有少量床位,但可以连接很多设备。我们已经看到了。你可以拥有大量数据,因为可能有一些高端设备正在输入大量数据。这会在您必须保护的环境中产生大量流量。所以,我想说两个主要的决定因素通常是设备数量和数据量。一般来说,它们是相关的。有时它们可能不是,这取决于您要去的设施类型。我们将前往小型设施,那里只有某些类型的设备正在传输大量数据。因此,那里的数量要高得多。但如果你要问我一个因素,我会说设备数量可能是大多数环境中最具决定性的因素。

埃里克:明白了。伟大的。嗯,Shankar,Asimily 是——我想,在医疗保健行业,你不再是一家年轻的公司。它成立于 2017 年。但是,这个领域的发展仍然非常迅速。那么,如果您展望未来 12 个月,接下来的 24 个月,什么让您感到兴奋?您认为哪里会出现增长?

Shankar:我认为市场仍在发展。所以,这是第一。无论是在美国市场还是在国际市场,我认为卫生系统都有很大的保护范围和保障范围。我想说市场仍在不断发展,因为客户的需求也在不断发展。三年前,如果你问我这个问题,我会说每个人只关心获得库存。现在有很多关于降低风险的想法。人们将在未来一两年内更多地谈论事件响应。我会说有一个不断发展的趋势线。

从我们这边,我们看到两个方面的增长。我们看到许多卫生系统仍然存在,需要得到保护,我们认为我们实际上可以在帮助他们方面做得很好。我们还看到了人们将在他们今天正在做的传统事情之外寻找的其他用例的巨大潜力。我们是不断创新和添加大多数市场甚至没有谈论的模块的公司之一。随着市场的成熟,我们认为 Asimily 的巨大潜力在于能够利用市场中出现的这种需求,然后以其他人无法做到的方式解决它。

埃里克:你提到,当我们在节目开始前聊天时,你也在扩展到新的行业,我认为这是自然的,因为你已经在处理医疗领域的许多不同的物联网设备。您关注的新行业是什么?

Shankar:首先,看,我认为出现这种情况的部分原因是因为当我们看医疗保健时,我们已经在保护物联网设备。我们已经在确保建筑管理系统的安全。因此,还有其他具有类似设备集的环境。例如,具有与医疗保健类似的设备集的实验室环境。但如果你超越医疗保健,物联网设备在许多其他垂直领域。我的意思是,例如,如果你去大学校园,他们会使用医疗设备。人们在走路,或者学生在走来走去。他们实际上可以去接受治疗。还有大量的物联网设备,其中物联网设备可能比医疗设备多得多。但这些是我们可以保护的环境。我们正在研究其他环境,无论是制造业还是零售业。我们显然还没有决定进入这些。但是那些也使用我们今天保护的相同类型的设备。所以,这是我们感兴趣的。我们可能什么都不做,但那是我们将来也可能去保护的领域。

当你看看我们今天正在做的事情时——无论是医疗和物联网,无论是实验室环境,还是高端甚至更高端——Asimily 可以进入的领域,并真正帮助解决一些相同的问题我们今天正在解决的问题,并带来了我们今天拥有的一些相同的差异化因素和能力。因为我们在技术层面上应用到这些设备有限制的垂直领域中的每一个,并且很难解决所有这些问题并且很难减轻它们。而 Asimily 可以帮助解决这个问题。

埃里克:太好了。好吧,Shankar,祝你在世界上一切顺利。我认为我们当然需要更多像你们这样的公司来帮助确保这个未来。因为它并没有变得更容易,对吧?人们联系您或团队的最佳方式是什么?

Shankar:他们可以给我发电子邮件。给公司发邮件 info@asimily.com。这样,来自 Asimily 的人就会回复他们。或者,如果他们愿意,他们可以直接联系我——shankar@asimily.com。同样,shankar@asimily.com。再说一次,您不必仅仅因为对 Asimily 感兴趣就联系我。我在这个行业(包括赛门铁克)工作了十多年。我已经看到了医疗保健、工业等所有这些领域的发展。在过去的许多年里,我参与了很多不同的法规。我一直在为许多标准做出贡献。所以,即使从指导的角度,在个人层面上,我也绝对可以帮助人们。所以,是的,如果对这个行业有任何疑问或任何事情,请随时与我联系。我很乐意回答。

埃里克:太好了。好吧,谢谢你,Shankar。感谢您今天加入我们的播客。

Shankar:是的,谢谢你,埃里克。

联系我们

欢迎与我们交流!
* Required
* Required
* Required
* Invalid email address
提交此表单,即表示您同意 IoT ONE 可以与您联系并分享洞察和营销信息。
不,谢谢,我不想收到来自 IoT ONE 的任何营销电子邮件。
提交

感谢您的信息!
我们会很快与你取得联系。