目前,攻击者对医疗保健行业造成了巨大压力,占据了新闻周期的主导地位,并使勒索软件和其他网络攻击成为人们关注的焦点。医疗保健行业对网络犯罪分子来说是一个极具吸引力的目标,平均每周受到 1,463 次攻击(与 2021 年相比增加了 74%)。在过去的 12 年中,医疗保健行业的漏洞成本一直高于其他行业,2022 年将达到 1010 万美元。随着越来越多的医疗系统转向数字和互联技术,这些攻击将会进一步增加。
为什么要打击医疗保健系统?
攻击者关注医疗保健有几个原因。首先,当然是当人命受到威胁时,被攻击的组织更有可能支付赎金,这样他们就可以恢复正常的业务运营--这实际上就是提供关键的紧急护理、接生和为易受伤害的患者提供持续护理。在这些情况下,只要中断业务就会危及生命。
在安大略省,一家医院经历了公用事业损失,包括电力、水和关键IT 系统等必需品。该医院称这是一次 "灰色代码 "事件,它努力提供关键的医院服务,但敦促病情不太紧急的病人寻求其他护理选择。即使在网络攻击平息后,医院系统在恢复正常运营方面也可能会遇到挑战。
就在几天前,佛罗里达州一家医疗系统受到攻击,导致塔拉哈西纪念医疗保健公司(TMH)的IT 系统下线,并暂停了非紧急程序。该系统是一家非营利性的私营医疗保健系统,在佛罗里达州和佐治亚州提供急症护理医院、精神病医院、38 个附属医生诊所和多个专科护理中心。
据美国网络安全和基础设施安全局(CISA)今年早些时候称,朝鲜的勒索软件行动正在勒索资金,并利用这些资金支持朝鲜政府的国家级优先事项和目标。这些攻击的目标是公共卫生和其他关键基础设施部门。CISA 表示,除了私人开发的储物柜外,黑客还使用多种文件加密恶意软件攻击韩国和美国的医疗保健系统。
美国卫生部门网络安全协调中心(Health Sector Cybersecurity Coordination Center)指出,除了民族国家行为者通过勒索软件攻击资助政府运作外,一个名为 KillNet 的黑客组织也一直在积极 针对美国医疗保健部门发动分布式拒绝服务(DDoS)网络攻击。该组织以支持乌克兰的国家为目标,对其发动分布式拒绝服务攻击,造成持续数小时或数天的服务中断。这些延误可能会导致预约延迟、重要的电子病历系统宕机以及救护车转向其他医疗系统。随着乌克兰战争的持续,美国医疗保健行业必须提高警惕,努力防范网络威胁。
攻击者如何入侵?
医疗系统是极其复杂的IT 生态系统。规模较小的医院并购、未经安全团队监督的云和 SaaS 应用程序配置、连接的医疗设备以及成千上万到数十万的数字资产,所有这些都形成了一个攻击面,管理起来极具挑战性。此外,还有许多未知的漏洞始终存在并被用于零日攻击,这使得任何未打补丁的系统都面临着巨大的风险。
由于保险信息和患者数据的访问点众多,IT 团队很难确保所有访问点的安全。更复杂的是,医生、理疗师、医生助理、护士和患者本身现在都在与数十个端点进行交互,但这些人很少是成熟的用户。他们可能会共享密码或使用容易猜到的密码,而且很少有人会有效地使用多因素身份验证功能。被破坏的凭证和松懈的身份验证为攻击者提供了进入医疗系统网络、应用程序和数据的途径。
降低攻击可能性和影响
世界的联系越来越紧密,安全计划和协议需要适应这一现实。医疗系统可以通过制定定义明确、经过演练的应对计划,为攻击做好准备,以防攻击发生。定期进行网络安全演习,确保协议协调有序、与时俱进,可以帮助安全团队为看似不可避免的攻击做好准备。
虽然预算和人力资源可能有限,但投资额外的零信任技术可以大大降低威胁面。医疗保健行业在很大程度上依赖电子邮件进行日常沟通,并依赖网络应用门户共享和上传文件及患者数据。然而,这两者都会带来勒索软件、数据盗窃、合规问题等重大风险。零信任电子邮件和文件上传解决方案可利用数据净化、主动数据丢失防护来移除敏感数据,并使用多个反恶意软件引擎进行多重扫描,这些都有助于大大降低恶意软件和零日攻击的风险。
在这些复杂的环境中实施零信任访问控制,还可以让不太老练的用户在允许访问系统之前,根据组织的安全策略执行无缝的安全检查。通过零信任网络访问,医疗机构可以确保云、远程和内部访问的安全,即时了解谁连接到了网络,检测漏洞并部署自动补丁,必要时强制执行端点合规性和更新。防止对企业数据的未经授权访问还能帮助机构满足 HIPAA 的要求,确保敏感患者数据的安全并保护其不受攻击。
从攻击中恢复
为攻击做好准备是组织从网络攻击中快速恢复的最重要方法。由于每个医疗系统都有特定的需求和资源,因此必须让高管、安全和IT 专家、法律团队和通信团队参与创建可操作且经过测试的事件响应流程。及早发现可疑活动并进行调查是重要的第一步,同时也是确保启用 EDR 的第一步。无论是外部事件响应团队还是内部资源,都必须进行技术分析,找出事件原因,启动 IR 计划,并在端点上启用备份解决方案。在收集取证数据用于持续调查的同时,控制攻击者也很重要,通知地方、州和联邦执法机构也很重要。法律、IT 和通信团队必须通力合作,确保符合法规要求,并限制关键事件可能造成的法律和声誉影响。
攻击范围会影响恢复流程和违规通知要求。一旦勒索软件或 DDoS 攻击被清除,组织必须从备份中恢复数据并解决任何安全漏洞。利用从攻击中吸取的经验教训,医疗系统可以调整 IR 计划,并制定策略和安全解决方案,以便更容易检测和更快地遏制未来的攻击。
想了解OPSWAT 如何提供帮助?
