攻击者希望迅速制造混乱,迫使受害者迅速支付异常高额的赎金。在人命攸关的情况下,医疗供应链是首要目标。联合医疗集团以比特币支付了2200万美元的赎金,比特币在数字货币区块链上可见。BlackCat,或ALPHV主导了这次网络攻击。关于如何分配赎金的争议导致其中一名攻击者在他们的网络犯罪地下论坛上指责ALPHV,他们没有获得公平的份额。
这些攻击的影响继续通过地区和国家医疗供应链产生影响,造成广泛的金融混乱。《纽约时报》报道,攻击对每个人的影响是多么深远,从病人到准备进行手术的医生。
医疗保健行业正面临着巨大的挑战
这是医疗史上最严重的网络攻击,进一步验证了该行业在持续的数字入侵和勒索软件攻击中是多么脆弱。卫生与公众服务HHS漏洞门户网站量化了随着攻击者加强对该行业的交易技巧,医疗保健行业的网络攻击如何继续增长。埃森哲的一项研究显示,18%的医疗保健员工愿意以500至1000美元的价格将机密数据出售给未经授权的各方。
受到攻击的组织联合健康集团在其自动警报中报告称,仍有113多个系统受到攻击的影响。联合健康集团于2月21日向美国证券交易委员会提交了一份8K文件,解释了此次攻击,并提供了更新链接。
卫生与公众服务部(HHS)已经预见到了这一点,他们的信息安全办公室制作了详细解释网络威胁的报告和演示文稿。今年早些时候,他们发布了一份关于勒索软件和医疗保健的50页综合演示文稿。
Expanso.io和BalkanID的顾问、前CISO Merritt Baer告诉记者:“勒索软件组织喜欢供应链攻击——我们从Kaseya到SolarWinds等备受瞩目的目标中看到了这一点的证据。这是有道理的:他们的目标是在供应链中发挥作用的实体,以获得超大的影响。换句话说,那些嵌入供应链的公司有下游客户,而这些客户有自己的下游客户。”Baer向记者强调,“勒索软件组织正在寻找愿意付出代价的受害者。在像医疗保健这样的受监管领域,我们谈论的是导致他们想要付费的业务和监管成本。”
医疗保健提供者需要从哪里开始进行防御
勒索软件攻击战略在识别和阻止方面正变得越来越具有挑战性,勒索软件即服务(RaaS)小组积极招聘具有通用Windows和系统管理工具专业知识的专家来发起传统安全解决方案难以识别的攻击,从而加速了勒索软件攻击战略的实施。攻击者最喜欢的诡计包括LotL攻击和那些通过发现终端防御漏洞来从终端获取身份的攻击,LotL是使用常见工具发起的攻击,因此不容易被跟踪。
Baer观察到,“从技术角度来看,请记住,使用勒索软件即服务(RaaS),人们可以在黑市上‘租用’实施勒索软件的设备——所以你甚至不需要非常优秀就能够敲定一个实体。”
Ivanti的首席产品官Srinivas Mukkamala告诉记者:“威胁参与者越来越多地瞄准网络环境方面的缺陷,包括遗留的漏洞管理流程。”CISO们表示,他们对供应链漏洞、勒索软件和软件漏洞的防御准备最少。只有42%的CISO和高级网络安全负责人表示,他们已经做好了防范供应链威胁的准备,46%的人认为这是一个高级别的威胁。
医疗保健行业的CISO及其团队需要考虑以下入门策略:
首先完成评估,然后考虑事件响应定位器。医疗保健IT战略顾问、前CIO Drex DeFord表示,医疗保健行业的CISO必须首先建立一个基线,并确保安全的环境。DeFord在接受采访时表示:“当你做了一个评估后,要全面审视整个环境。” DeFord还建议医疗保健行业的CISO,如果他们还没有事件反应定位器,就去买一个。他建议说:“这确保了一旦发生安全事故,你可以打电话给别人,他们会立即赶来。”
立即消除IAM和PAM系统中任何不活动、未使用的身份。要删除休眠凭据,请将技术堆栈中的每个IAM和PAM系统硬重置为身份级别,它们将网络攻击者引向IAM和PAM服务器。首先,删除过期的帐户访问权限,其次,通过重置特权访问策略,按角色限制用户数据和系统访问。
确保BYOD资产配置是最新的和合规的,安全团队的大部分终端资产管理时间都花在更新和合规的公司拥有的设备配置上,团队并不总是使用BYOD终端,而且IT部门对员工设备的政策可能过于宽泛。CISO及其团队开始更多地依赖终端保护平台来自动化公司和BYOD终端设备的配置和部署。CrowdStrike Falcon、Ivanti Neurons和Microsoft Defender for Endpoint将来自电子邮件、终端、身份和应用程序的威胁数据关联在一起,是可以大规模实现这一点的领先终端平台。
为每个经过验证的帐户启用多因素身份验证(MFA)。攻击者的目标是医疗保健提供者经常做生意的企业,他们试图获得特权访问和身份盗窃的凭据,这使他们能够访问内部系统。帐户拥有的权限越高,就越有可能成为基于凭据的攻击的目标。作为第一步,为所有外部业务合作伙伴、承包商、供应商和员工实施MFA。在取消第三方不需要的凭据时要严格。
通过自动化补丁程序管理降低勒索软件风险。自动化将IT和桌面员工从支持虚拟员工和高优先级数字化转型项目的繁重工作负担中解脱出来。62%的IT和安全专业人员拖延补丁管理,因为71%的人认为打补丁太复杂、太耗时。他们的目标是超越基于库存的补丁管理,转向人工智能、机器学习和基于机器人的技术,以便对威胁进行优先排序。
是时候把网络安全支出视为商业决策了。医疗保健提供商需要将网络安全支出视为降低风险的商业投资。随着攻击者将他们的行业视为最软弱和最有利可图的目标之一,迫切需要定义网络安全的商业价值,而不仅仅是一种费用——它是一种投资。
Baer表示:“请记住,勒索软件通常是以金钱为动机的。联合健康集团支付赎金这一事实表明攻击者选择了一个容易得逞的目标。”