加强针对医疗保健中的勒索软件的防御

自使用勒索软件攻击者以来已经过去了超过五年的时间 开始了 专注于 卫生保健 提供者。尽管最初针对面向网络犯罪的地下论坛的居民表达了针对以救生组织为目标的担忧,但在随后的几年中,医疗保健行业已成为 勒索软件帮派’ 选择的目标。

防御勒索软件医疗保健

为什么医疗保健组织制定良好目标

It’原因不难理解:医院和其他医疗机构需要访问病历中的最新信息以提供护理,因此他们更有可能支付赎金,以避免延误生命危险。 (随着 新冠肺炎,快速恢复系统并接触患者’信息变得更加重要。)

当然,还有其他因素在攻击者中起作用’对医疗保健相关目标的偏好: 人才短缺 对于具有医疗保健专业知识的网络安全专家来说,大多数医疗保健员工仍然没有’优先考虑网络安全,因为他们使用的许多设备和技术都在过时的操作系统上运行– to name just a few.

“A 研究 由HIPAA Journal在2020年完成的一项研究发现83%的IoT设备仍在运行旧版不受支持的操作系统,例如Windows XP。这为网络攻击者提供了利用和损害医疗卫生组织的机会,”Jon DiMaggio,首席安全策略师 分析师1,告诉Help Net Security。

但是,即使组织在这方面是安全的,攻击者也始终可以在将仿冒电子邮件发送给医疗保健人员之后简单地发送仿冒电子邮件,以窃取信息或提供可以为其提供初始访问权限的恶意软件。

有时可能会出现网络安全成为医学课程中(很小)一部分的情况–DiMaggio指出,与此同时,医疗机构可​​以通过适当的防御和培训大大降低成功攻击的次数。

如何使攻击者’ job difficult

不幸的是,在认真对待安全性之前,通常需要先进行重大突破。但是,随着针对医疗保健组织的攻击不断成为头条新闻,越来越多的组织正在努力改善其网络安全状况,并且希望有更多的员工接受这一事实,即他们是其组织的一部分’抵御网络攻击的防御线。

“现实是您无法阻止所有攻击。但是,您可以大大减少它们并使攻击者’工作要困难得多,”迪马乔指出。

组织应避免省钱的捷径,因为捷径会给他们带来虚假的安全感,而应选择 采用安全最佳实践 和防御:限制用户访问,分段网络,使用端点检测和保护解决方案,培养员工’ security awareness.

“医疗保健组织必须坚持要求供应商开发在最新的受支持的操作系统上运行所需的软件。如果X射线设备在Windows XP上运行,则应从其设备在受支持的平台上运行的竞争对手处购买。行业的这种转变将迫使供应商基于安全性而不是易于访问来开发设备,” he noted.

定期在组织内部搜寻网络威胁’的系统和网络也是防止勒索软件攻击的好方法。

“大多数企业勒索软件攻击者在目标组织中花费数天甚至数周’的环境。他们使用已经存在的管理和双重用途工具‘stage’在环境中,它们会枚举网络上的设备,提升特权并禁用安全防护。威胁搜寻者可以识别这些恶意事件,并在加密和保留关键数据以勒索之前阻止攻击。用适当的工具训练威胁猎人会增加成功的机会,” he opined.

他补充说,由于大流行,在家工作的人数增加为攻击者提供了更大的攻击面,但是有一些简单而廉价的解决方案在保护组织,最终用户及其数据方面大有帮助。

两因素身份验证是彻底降低由于以下原因导致的帐户被盗风险的最便宜,最有效的方法之一 网络钓鱼攻击。定期修补所有面向公众的基础架构,并确保不必要的端口和协议不处于未打开状态且不受保护,这几乎不会造成攻击者的损失’ job more difficult.

“确保已删除管理工具,并且这些工具对于用户或不需要它们的系统不可用。我调查的几乎所有勒索软件攻击实例都涉及使用合法管理工具(例如PowerShell,PSExec和类似工具)的攻击者,” he advised.

“最后,如果您不需要某些文件类型(例如.RAR,.EXE或.HLP),请阻止它们通过电子邮件服务器传递。攻击者经常使用这些文件类型/扩展名来通过网络钓鱼电子邮件传递恶意软件。您可以在环境中使用这些文件类型,但不需要通过电子邮件将其输入环境。”

共享攻击信息应该是习惯性的

随着勒索软件犯罪团伙扩大对包括医疗保健行业在内的所有组织的瞄准,并尝试不同的方法以尽可能多地获得收益(例如,与Vastaamo一样,将勒索请求和勒索用户/患者结合在一起)攻击和其他由Maze和Sodinokibi攻击者发起的攻击),有针对性的组织可以通过共享威胁信息和攻击细节来帮助整个行业。

“存在许多共享威胁信息的组和工具。您几乎可以想到的每个行业都存在ISAC(即信息共享和分析中心)。医疗保健肯定存在。这些小组允许组织,甚至直接竞争者,在不造成影响的情况下共享违规细节。共享通常包括攻击详细信息,例如威胁指标(恶意软件散列&样本,基础架构,网络钓鱼属性等),而这些组织可能是同一攻击者所针对的同级组织,”Di Maggio指出,并说未能做到这一点的组织应追究责任并处以罚款。

“最后,对共享组织没有任何危害,尤其是在违规行为已经公开的情况下,但对目标行业的其他人来说却是巨大的好处:同行医疗保健组织可以在其网络上寻找活动或进行更好的准备识别对手是否应执行攻击。这是双赢的方案,并且正在成为跨行业垂直行业的常见商业惯例。”

分享这个