Hur Encryption Consulting hjälpte ett USA-baserat vårdföretag med CodeSign Secure  

Företagsöversikt  

Denna organisation är en välkänd och respekterad institution känd för att erbjuda de bästa hälso- och sjukvårdsinrättningarna inom sektorn. De har ett omfattande system av sjukhus, kliniker och forskningsanläggningar som gör det möjligt för dem att hantera känslig information om patienter och kritiska procedurer dagligen. Institutionen är också känd för att vara passionerad och engagerad i att förbättra teknik som är patientvänlig. Som en organisation som är betrodd av hälso- och sjukvårdssektorn måste denna enhet implementera övervakningsstandarder, dataskyddsåtgärder och affärsverksamhetshantering.  

En av de största bristerna i alla företags strategier för cybersäkerhet är avsaknaden av kodsigneringsmetoder. Kodsignering är en teknik som är avsedd att förhindra att en kod manipuleras genom att använda en digital signatur för att verifiera integriteten och äktheten hos det körbara skriptet och koden. I sådana fall riskerar organisationen att introducera skadlig kod i form av programuppdateringar eller applikationer, vilket potentiellt kan äventyra dess IT-infrastruktur.  

De var försiktiga med äktheten hos organisationens verktyg och strävade efter att integrera kodsignering med sin Jenkins-pipeline och även införliva reproducerbar build i sina CI/CD pipelineFör testningen siktade organisationen på att ha en SBOM-funktion (Software Bill of Materials) på plats för att förbättra synligheten och säkerställa att säkerhetskraven uppfylldes. Vårt team hjälpte dem genom att framgångsrikt driftsätta vår CodeSign Secure-lösning.  

Utmaningar  

Organisationen upplevde ett antal problem gällande effektivitet, säkerhet och efterlevnad i programvaruutvecklingsprocesserna. Av alla utmaningar nämns några viktiga svårigheter i detalj nedan.   

1. Ingen kodsignering

   Organisationen hade svårt att integrera kodsignering med sina befintliga Jenkins pipelineUtan kodsigneringsprocess förlitade de sig på manuell verifiering och stötte på kritiska problem i sin CI/CD-pipeline. Integreringen av en kodsigneringsprocess i deras CI/CD-pipeline krävdes för att säkerställa sömlös kompatibilitet med Jenkins byggtriggare, hantera lagring av privata nycklar säkert och följa vårdindustrins standarder som HIPAA.

2. Att genomföra reproducerbar byggnad

   Reproducerbar build är en funktion som garanterar att en given källkod alltid genererar identiska artefakter under kompilering, oavsett vilken miljö den kompileras i. En av de största utmaningarna för denna organisation var att uppnå reproducerbar build i sin CI/CD-pipeline, eftersom även mindre inkonsekvenser kan leda till felsökningsproblem, manipuleringsrisker och till och med underlåtenhet att uppfylla säkerhets- och integritetskrav, vilket är avgörande när man hanterar känsliga patientdata inom hälso- och sjukvården.  

3. Prestandaproblem i deras CI/CD-pipeline

   I komplex mjukvaruinfrastruktur kan kodsårbarheter hämma prestandan för alla organisationer. Även detta företag stötte på liknande problem. På grund av flera externa och interna beroenden gjorde företaget det svårt att garantera en sömlös tillförlitlighet och prestanda för sina tjänster. Denna lucka i sårbarhetshanteringsprocessen bromsade deras prestanda och gjorde det tydligt att en effektiv SBOM-integration var avgörande.  

4. Cybersäkerhetsrisker

   Denna organisation kämpade med att upprätthålla äktheten hos sina programvarukomponenter. I avsaknad av effektiv kodsignering och verifiering var det möjligt att oautentiserad eller ändrad kod kunde distribueras vid en viss tidpunkt. Oförmågan att följa andra kritiska regler som HIPAA och GDPR ökade sannolikheten för cyberhot där patienters känsliga information lämnades sårbar och öppen för utnyttjande av obehörig personal.  

Lösning  

För att övervinna de problem som organisationen stötte på implementerade Encryption Consulting CodeSign Secure, vår kodsigneringslösning, som syftade till att förbättra säkerhet, efterlevnad och driftseffektivitet under hela programvaruutvecklingscykeln.  

1. Integration med den befintliga Jenkins-pipelinen

   Med hjälp av CodeSign Secure-integrationen kunde organisationen utnyttja sin befintliga Jenkins-pipeline på ett bättre sätt. Detta gjorde det möjligt för teamet att undvika exponentiell omskolning av nya verktyg och öka utnyttjandet av sin nuvarande konfiguration.  

2. Introduktion av reproducerbar version i Jenkins

   Reproducerbara byggen konfigurerades framgångsrikt inom deras Jenkins-pipeline. Garantin var att varje byggen skulle producera identiska artefakter (som en hash i vårt fall), oavsett miljö. Detta minskade avsevärt risken för avvikelser i programvaruleveranskedjan, vilket säkerställde att både säkerhets- och integritetsklausulerna uppfylldes.  

3. Hashvalidering före signering

   Vår lösning, CodeSign Secure, hjälpte den här organisationen genom att implementera hashvalidering före signering i deras Jenkins-pipeline. Denna process säkerställer att integriteten hos den kod som signeras förblir intakt innan den faktiska signeringsprocessen äger rum.  

4. Skanning av kodsårbarheter med SBOM

   Med SBOM-funktionen som tillhandahålls av CodeSign Secure kunde organisationen utföra säkerhetsskanning på sin kod innan den skickades till GitHub. Detta gjorde det möjligt för dem att hantera säkerhetsutmaningar i ett tidigt skede av programvaruutvecklingens livscykel.  

5. Förbättrad säkerhet och efterlevnad

   Vår lösning, CodeSign Secure, implementerade funktioner som automatiserad kodsignering, automatisk hashvalidering och SBOM-skanning och gjorde det möjligt för organisationen att hålla jämna steg med viktiga säkerhetsföreskrifter, såsom HIPAA, och förbättra den övergripande efterlevnaden. Detta minskade hoten från eventuella cyberattacker och förbättrade organisationens säkerhet.  

6. Automatiserad sårbarhetsdetektering och förebyggande

   Uppladdningen skulle inte ske om kodens sårbarhetsgrad var mer än 10 %, vilket gjorde det möjligt för dem att minska sårbarheter under utvecklingsfasen av programvarans livscykel. Detta hjälpte organisationen att hålla koden ren för att minska cyberattacker och följa relevanta regler. 

7. Avancerat nyckelskydd

   Denna organisation gynnades mycket av vår lösning, CodeSign Secure, som erbjuder integration med branschledande Hårdvarusäkerhetsmoduler (HSM) leverantörer som Utimaco, nCipher och Thales. Vår lösning säkerställde att deras kryptografiska nycklar förvarades säkert i manipulationssäkra hårdvaruenheter och erbjöd robust skydd mot nyckelkorruption, stöld eller missbruk. Detta förbättrade deras förmåga att upprätthålla programvarans äkthet och uppfylla stränga säkerhetsstandarder.  

Inverkan  

Genom att etablera tydliga kommunikationskanaler arbetade vi tillsammans för att skapa skräddarsydda lösningar som tog itu med deras problem samtidigt som de var i linje med deras långsiktiga säkerhet. Implementeringen av CodeSign Secure löste inte bara viktiga problem som ineffektiv kodsignering och säkerhetsbrister, utan gav också organisationen möjlighet att med tillförsikt möta sjukvårdsbranschens stränga krav.  

Integreringen av reproducerbara builds i Jenkins pipeline gav den nödvändiga konsekvensen och säkerheten samtidigt som det säkerställdes att varje build skulle vara identisk oavsett miljö. Dessutom åtgärdade införandet av SBOM och hashvalidering före signering deras cybersäkerhetsrisker genom att möjliggöra tidig upptäckt av sårbarheter.  

Omfattande signerade revisionsloggar är en av de framträdande funktionerna hos CodeSign Secure-lösning erbjuds dem, vilket säkerställer att transparens och ansvarsskyldighet upprätthålls i varje transaktion och signering. Detta gjorde det möjligt för organisationen att ha kontroll över alla aktiviteter och få tillgång till granskningsloggar, vilket underlättade deras säkerhets- och efterlevnadsrapportering. Integreringen av Timestamp Security, som stöder både RFC 3161- och Authenticode-standarderna, ökade förtroendenivån ytterligare eftersom det gav en säker tidsstämpel för varje kodsignatur och säkerställde att deras programvaras integritet kunde verifieras för en säkrare framtid.  

 Organisationen kunde enkelt säkra känsliga data och uppfylla efterlevnadsstandarder som HIPAA genom att fokusera på avancerat kryptografiskt nyckelskydd, inklusive integration av hårdvarusäkerhetsmoduler (HSM) som uppfyller FIPS 140-2 Nivå 3-standarder. Det automatiserade systemet för sårbarhetsdetektering minimerade ytterligare mänskliga fel, vilket säkerställde att ingen osäker kod någonsin skulle distribueras. Denna funktion var också i linje med CA / Browser Forum Efterlevnad och säkerställde att organisationen uppfyllde CA/Browser Forums krav från den 1 juni 2023, vilket gav dem möjlighet att navigera framtida utmaningar inom den ständigt föränderliga hälso- och sjukvårdsbranschen med tillförsikt.  

Slutsats  

För vårdorganisationer är det av största vikt att skydda känsliga patientuppgifter och upprätthålla sina systems integritet. Implementeringen av CodeSign Secure visade sig vara en utmärkt lösning på alla de svårigheter som organisationen stod inför och förbättrade därefter dess programvaruutvecklingslivscykel vad gäller säkerhet, efterlevnad och operativ effektivitet. Organisationen uppfyllde inte bara kraven från den hårt reglerade vårdbranschen, inklusive HIPAA- och CA/Browser Forum-beslut, genom att använda sin kodsigneringsintegrerade Jenkins-pipeline för att implementera reproducerbara build- och SBOM-funktioner, utan förbättrade också sin cybersäkerhetsposition. Genom att integrera build-verifieringsfunktioner säkerställde CodeSign Secure att endast oförändrad och säker programvara distribuerades till slutanvändare och upprätthöll förtroendet i leveranskedjan.

Användningen av sofistikerade åtkomstkontrollsystem minskade deras arbetsbelastning, sparade konfidentiell patientinformation och bibehöll programvarans kvalitet. Denna metod gav organisationen möjlighet att fortsätta leverera innovativa, patientvänliga vårdlösningar med tillförlitlighet och trygghet.