医疗保健供应链正面临数字大流行,最新的 UnitedHealth Group 漏洞显示了精心策划的勒索软件攻击关闭供应链的力量。
攻击者希望迅速制造混乱,迫使受害者快速支付异常高的赎金。由于人命攸关,医疗保健供应链是主要目标。United Healthcare 以比特币支付了 2200 万美元的赎金,在数字货币区块链上可见。BlackCat 或 ALPHV 领导了网络攻击,在他们的网站上获得了荣誉,然后迅速删除了它的提及。关于如何分配赎金的争议导致其中一名攻击者在他们的网络犯罪地下论坛 RAMP 上指责 AlphV 他们被骗走了他们应得的份额。
这些攻击的影响继续在区域和国家医疗保健供应链中产生反响,造成广泛的金融混乱。《纽约时报》报道说,这些攻击对每个人的影响是多么深远,从患者到医生,尽管获得批准、报销和付款被搁置或不存在,但仍试图继续运营。
医疗保健正面临数字大流行
这是医疗保健史上最严重的网络攻击,进一步验证了该行业在持续的数据泄露和勒索软件攻击中是多么脆弱。卫生与公众服务部 HHS 漏洞门户量化了随着攻击者在该行业的磨砺,医疗保健的数字大流行如何继续增长。根据埃森哲的一项研究,18% 的医疗保健员工愿意以低至 500 至 1,000 美元的价格将机密数据出售给未经授权的各方。
Change Healthcare,受到攻击的单位报告说,今天早上有超过113个系统在其自动警报中仍然受到攻击的影响。UnitedHealth Group 于 2 月 21 日向美国证券交易委员会提交了 8K,解释了这次攻击并提供了更新链接。
卫生与公众服务部 (HHS) 已经看到了这一点。他们的信息安全办公室制作了详细解释网络威胁的报告和演示文稿。今年早些时候,他们发表了一份关于勒索软件和医疗保健的 50 页综合演示文稿。
expanso.io 和balkanID的顾问、前首席信息安全官梅里特·贝尔(Merritt Baer)告诉VentureBeat,“勒索软件组织喜欢供应链攻击——我们从他们的高调目标(从Kaseya到SolarWinds)中看到了这一点的证据。这是有道理的:他们针对在供应链中发挥作用的实体,以获得巨大的影响。换句话说,那些嵌入供应链的人有下游客户,而这些客户有自己的下游客户。Baer 向 VentureBeat 强调,“勒索软件组织正在寻找愿意付出代价的受害者。在像医疗保健这样的受监管领域,我们谈论的是导致他们想要支付的业务和监管成本。
医疗保健提供者需要从哪里开始
勒索软件攻击策略的识别和阻止变得越来越具有挑战性,勒索软件即服务 (RaaS) 组织积极招募具有常见 Windows 和系统管理工具专业知识的专家来发起传统安全解决方案难以识别的攻击,从而加速了这一进程。攻击者最喜欢的交易手法包括离地生存 (LotL) 攻击,以及通过寻找端点防御漏洞从端点获取身份的攻击。LotL 是使用常用工具发起的攻击,因此无法轻易跟踪。
Baer 观察到,“从技术角度来看,请记住,通过勒索软件即服务 (RaaS),人们可以在黑市上”租用“设备来实施勒索软件——所以你甚至不必非常优秀就能 pwn 一个实体。
“威胁行为者越来越多地针对网络卫生中的缺陷,包括遗留的漏洞管理流程,”Ivanti 首席产品官 Srinivas Mukkamala 告诉 VentureBeat。首席信息安全官表示,他们在防御供应链漏洞、勒索软件和软件漏洞方面准备最差。只有 42% 的首席信息安全官和高级网络安全领导者表示,他们已经做好了防范供应链威胁的准备,46% 的人认为这是一种高级威胁。
医疗保健首席信息安全官及其团队需要考虑以下入门策略:
首先完成妥协评估,并考虑事件响应保留。医疗保健 IT 战略顾问和前首席信息官 Drex DeFord 表示,医疗保健 CISO 必须首先建立基线并确保环境清洁。“当你完成妥协评估时,全面了解整个环境,并确保你没有被拥有,而你只是不知道它非常重要,”DeFord告诉VentureBeat。DeFord 还建议医疗保健 CISO 如果还没有发病率响应保留器,请获得保留器。“这样可以确保,如果发生什么事情,并且你确实发生了安全事件,你可以打电话给某人,他们会立即来,”他建议道。
立即消除 IAM 和 PAM 系统中任何非活动、未使用的身份。 要删除休眠凭证,请在技术堆栈中的每个 IAM 和 PAM 系统上硬重置为身份级别。他们将网络攻击者引导到 IAM 和 PAM 服务器。首先,删除过期的帐户访问权限。其次,通过重置特权访问策略,按角色限制用户数据和系统访问。
确保 BYOD 资产配置是最新且合规的。 安全团队的大部分端点资产管理时间都用于更新和合规的公司拥有的设备配置。团队并不总是能够到达 BYOD 端点,IT 部门对员工设备的政策可能过于宽泛。首席信息安全官及其团队开始更多地依赖端点保护平台来自动配置和部署企业和 BYOD 端点设备。CrowdStrike Falcon、Ivanti Neurns 和 Microsoft Defender for Endpoint 将来自电子邮件、端点、标识和应用程序的威胁数据关联起来,是可以大规模执行此操作的领先端点平台。
为每个已验证的帐户启用多重身份验证 (MFA)。 攻击者以医疗保健提供商经常开展业务的企业为目标,试图获取特权访问和身份盗窃的凭据,从而允许他们访问内部系统。帐户的特权越大,它就越有可能成为基于凭据的攻击的目标。作为第一步,为所有外部业务合作伙伴、承包商、供应商和员工实施 MFA。严格取消第三方不需要的凭据。
通过自动化补丁管理来降低勒索软件风险。 自动化将 IT 和办公桌员工从支持虚拟员工和高优先级数字化转型项目的繁重工作量中解放出来。62% 的 IT 和安全专业人员拖延补丁管理,因为 71% 的人认为补丁过于复杂和耗时。他们的目标是超越基于库存的补丁管理,转向人工智能、机器学习和基于机器人的技术,这些技术可以确定威胁的优先级。Ivanti Neurons for Patch Intelligence、Blackberry、CrowdStrike Falcon Spotlight for Vulnerability Management 等。
是时候将网络安全支出视为一项商业决策了。医疗保健提供商需要将网络安全支出视为降低风险的商业投资。由于攻击者将他们的行业视为最软弱和最有利可图的目标之一,因此迫切需要定义网络安全的商业价值,而不仅仅是一项投资。
Baer 告诉 VentureBeat,“请记住,勒索软件通常是出于金钱动机(尽管有时是民族国家支持的)。UnitedHealth支付赎金的事实表明,攻击者选择了一个成熟的目标。
椰有料原创,作者:小椰子啊,转载请注明出处:http://www.studioyz.com/5619.html
文章评论