- 2021-10-19 14:43
- 作者:Bill Siwicki
- 来源:Healthcare IT News
网络安全公司CyCognito的首席执行官通过一项新研究,讨论了有关卫生系统网络入侵的风险,并针对该风险提供了一些应对策略。
网络安全公司CyCognto的一项新研究表明,网络攻击者常常通过小型医院入侵到卫生系统网络中,实现窃取IP、部署勒索软件或进行数据搜索等行为后,再将“窃取成果”在暗网上进行出售。
该公司最新的研究对象是收入超过10亿美元和19家以上医院的医疗系统。
记者在采访Rob Gurzeev CyCognito的创始人和CEO的过程中,对公司的最新研究的结果进行了交流和讨论,具体内容涉及“为什么入侵者选择从小型医院切入?卫生系统如何抵御因重视不足而导致的小型医院安全风险?入侵者是通过什么方式进入系统的?以及,卫生系统如何控制不断扩散的攻击范围?”等话题。
问:贵公司的研究发现,小医院往往是入侵者进入和窃取知识产权、发布勒索软件或在暗网上出售数据的切入点。是什么导致了这种情况的发生?
答:我们所进行的这次研究,主要是针对卫生体系内的附属机构,如小型的医院、诊所、医疗服务提供商及相关设施等。随着这些附属机构的发展,大型医疗体系针对它们的收购和剥离行为会越来越常见。全球知名会计事务所Baker Tilley的一份报告称,与2020年上半年相比,2021年下半年医疗行业并购活动增长了43%。随着并购行为的不断增加,网络攻击的范围和风险也越来越大。
例如,被收购的小型医疗机构平均可能拥有大约5000个数据资产。一个规模较大的机构可能拥有100,000或者更多的数据资产。CyCognito此前的一项研究表明,约有7%的小型机构其数据资产面临风险。这意味着,当一个较小的机构被收购时,大约350个风险资产会被带到收购它的大型机构中。
为了在数据资产的“海洋”中找到这350个潜在风险,母机构需要将所有数据资产进行检测,并采取相应的纠正措施。
很多时候,这些实体机构会在一些功能上(如网络安全)先进行一段时间内的持续运行,或与母公司保持一定的距离。这种情况下,小型机构会尽量利用所有数据资源。但通常与较大型的机构相比,它们在资源数量和训练有素的网络安全专业人才方面都大有不足。更可怕的是,大多数被收购的小型机构的系统与母公司关键卫生系统、应用程序和数据库均有链接。
攻击者往往非常擅长利用这些“机会”,他们十分了解卫生系统和其他大型机构的动态。他们知道,随着这些医疗保障提供商的IT生态系统增长,在虚线或“总部”安全团队间接控制下的部分实际上就是所谓的IT盲点(如云计算和SaaS应用程序),这部分在IT人员的控制或视图之外,是机构中安防最薄弱的“入口”。
正因如此,入侵者会把这些小型机构作为目标,因为它们是阻力最小的入侵途径,可以通过它们进入更大的卫生系统的网络、应用程序和数据库。
问:卫生体系的系统风险是如何因为疏忽小型机构安全问题而加重的?
答:“攻击范围”的盲点是卫生系统最大的风险。这些盲点通常包括小型医疗机构的联网合作伙伴、云服务提供商和其他相关实体机构。
这些正是导致机构系统被攻破的地方。研究公司ESG还发现,67%的机构其数据资产曾受到未知攻击,75%的机构认为此类情况还会再次发生。
问:入侵者是如何利用这些入口的?
答:过去18个月,随着勒索软件和供应链攻击越来越频繁,攻击者在此背景下的操作方式也逐渐明朗化——寻找突破口、布置勒索软件,而他们的主要攻击载体之一是那些未打补丁或安防不足的系统。
例如,攻击者通常会针对远程服务布置勒索软件(如远程桌面协议RDP),从而获得入口点,从受害者那里勒索钱财。CyCognito实验室研究发现,大型机构的攻击表面通常隐藏着2~20个甚至更多容易被利用的远程访问系统。这个初始入口点被称为“初始访问”点,如何尽快识别出这些点非常重要,因为它们是入侵者实施不法行为的关键。
一旦入侵者获得了初始访问的权限,它们就会将目标锁定在患者的个人身份信息(PII)上。这些记录单条价值高达250美元,这比其他PII(电子邮件凭证、电话号码甚至信用卡号码)的价值高出数百亿倍,因为个人的健康记录是无法轻易更改的。
当数据被窃取后,攻击者就可以获利了。最直接的获利方式便是出售信息。
其次,他们可以利用这些信息进行勒索,即直接向医疗保健提供商索要数百万美元的比特币,在某些情况下还会返还给患者自己(如2019年Vastaamo精神健康违约事件)。
第三种途径是使用勒索软件加密医疗IT系统,并要求支付解密费用。这种勒索行为对于卫生机构同样具有很大的不良影响,因为访问最新的健康信息对医疗业务和诊疗操作等行为都至关重要。
问:卫生系统如何处理不断扩张的攻击范围?
答:面对上述风险,理想的解决方案是卫生体系发现所有暴露的数据资产,并对其进行安全风险检测。此后,再与资产所有者合作,发现并纠正其中关键的风险因子。这一行为的基本步骤需要持续不断的进行,才能有效抵御不断扩张的攻击范围中那些网络风险。
研究还表明,网络风险会随母机构下属单元机构数量的增加而增加,因此,将小型机构或相关供应商的数据资产纳入核心安全管理的范畴内至关重要。
研究还发现,为了使网络安全管理的过程在操作上尽可能高效,受访者更喜欢专用的安全管理解决方案,经过多番尝试,他们认为专用的解决方案才是是管理附属风险最有效的方式。