新思科技助力Rally提升医疗信息安全

采取预防性的云安全措施 改善数字生态系统

数据泄露是医疗行业信息系统面临的主要风险之一。由于这个行业保存了大量的敏感信息，比如个人信息、财务信息和健康信息等，一旦泄露，容易引发严重的后果。因此，无论是医院还是医疗服务公司，都在积极寻求预防性措施，防患于未然。

Rally是一家美国的医疗服务公司，旨在简化医疗服务流程，为公司和员工管理复杂的福利政策，并帮助改善整体健康状况。此外，公司开发团队支持Rally数字生态系统内的关键服务，以建立用户身份并验证资格。

Rally使用云提供商PaaS服务和IaaS虚拟基础架构（包括Amazon Web和Relational Database Service服务，以及MongoDB和Scala），这些基础架构涵盖身份管理、提供商及患者资格，以及最终用户和特权用户系统。

Rally的软件安全工程师Nathan Coleman表示：“我们希望对云基础架构进行全面的架构风险分析，尤其是身份验证和资格系统。这是我们还未完善的领域，公司亟需精通这方面技术的人才。新思科技拥有我们所需的专业技术知识，而且能确保与我们面谈的专业人士也会负责接下来的审查分析。而很多其它供应商不能确保这点。这也是我们选择和新思科技合作的原因之一。”

Rally主要有三个方面需要安全评估：

• 其核心身份验证和授权系统的安全状态；
• 安全控制；
• 洞察其运行时环境的威胁状况。

新思科技软件质量与安全部门为Rally提供的服务包括架构风险分析（ARA）、配置审查和代码辅助渗透测试。

配置审查深入评估Rally云基础架构安全状况，并审核了其部署的云应用程序和安全控制运行时配置，以识别漏洞，并提供描述配置如何满足或不满足安全性目标的简要报告。

渗透测试识别Rally管理的数据中哪些是敏感的，并开发应用程序，根据易受攻击状况及有可能被利用的方式进行分类。每个问题都是按照感知风险的顺序进行测试，使用手动和基于工具的混合方式进行运行时和安全代码分析。

Nathan Coleman 指出：“ARA验证了我们对架构的理解，并提供了建议。编码系统渗透测试和配置审查为修复提供了明确的路径 – 不仅检测出配置存在的问题，而且指导我们如何解决问题。ARA结果会反馈给渗透测试，误报率很低。配置审查可能是直接融入我们工作流程最简单的方法。”

他接着说：“我们希望进行彻底的架构风险分析，尤其是身份验证和资格系统。”

他总结道：“和新思科技合作十分顺畅，他们提供了专业的技术，分享了丰富的知识。我们热切期望参与到安全社区，并推动安全发展。与新思科技的合作有助于推动我们实现这两个目标。”