In der Gesundheitsbranche haben Probleme mit der Cybersicherheit Konsequenzen, die weit über den Verlust von Daten hinausgehen. Kürzlich warnten das FBI und andere Bundesbehörden vor einer glaubwürdigen Bedrohung durch "erhöhte und drohende Cyberkriminalität" für US-Krankenhäuser und Gesundheitsdienstleister. Kriminelle Gruppen haben es auf den Gesundheitssektor abgesehen, um "Datendiebstahl und Unterbrechung von Gesundheitsdiensten" zu begehen.
Zu Beginn dieses Jahres wurde einRansomware-Angriffgegen ein Krankenhaus in Deutschland gezeigt, wie gefährlich Cyberangriffe wirklich sind. Medienberichten zufolge starb eine Patientin der Universitätsklinik Düsseldorf nach einem Ransomware-Angriff, der die IT-Systeme des Krankenhauses lahmlegte und die Ärzte zwang, sie in eine andere Einrichtung zu verlegen.
In den USA bestätigte Universal Health Services (UHS) am 3. Oktober, dass einRansomware-AngriffEnde September alle seine US-Pflegestandorte und Krankenhäuser betroffen hat, so dass das Unternehmen gezwungen war, seine Systeme zu trennen und sein Netzwerk vorübergehend abzuschalten. Obwohl es Anzeichen dafür gibt, dass die Zahl der Datenschutzverletzungen in der Branche in der ersten Hälfte des Jahres 2020 im Vergleich zur zweiten Hälfte des Jahres 2019 zurückgegangen ist, haben die Ransomware-Ereignisse im Gesundheitswesen dramatisch zugenommen. Das Management der Cybersicherheit für Gesundheitseinrichtungen wird nicht einfacher. Angesichts dieser Prognose muss die Gesundheitsbranche die Sicherheit neu überdenken und sich auf Zugang und Identität konzentrieren.
Welche Maßnahmen können Verteidiger also ergreifen, um zu vermeiden, Opfer von Ransomware zu werden? Ich hatte das Privileg, mit Scott Breece, CISO bei Community Health Systems, zu sprechen,Donnerstag, 19. Novemberfür eine offene Diskussion und Fragen aus dem Publikum. Wir sprachen über das NIST Cybersecurity Framework, die Verwaltung mehrerer Identitätssysteme in IT-Umgebungen im Gesundheitswesen und natürlich über Ransomware. Sie sind herzlich eingeladeneinschalten.
Der Fall für Zero Trust
Schon bevor die COVID-19-Pandemie den Druck auf Krankenhäuser und medizinische Kliniken erhöhte, war das Sicherheitsmanagement im Gesundheitswesen komplex. Die Einhaltung gesetzlicher Vorschriften wie HIPAA, HITECH, SOX, PCI und anderer ist nur eine Herausforderung für die IT. Eine weitere, weniger häufig genannte Herausforderung ist die hohe Personalfluktuation und die Tatsache, dass die neuen Mitarbeiter eingearbeitet und geschult werden müssen. Hinzu kommt die relativ hohe Zahl von Fusionen und Übernahmen (M&A), die IT-Organisationen in die bestehende IT-Infrastruktur einbinden müssen.
Hinzu kommt, dass die zunehmende Verbreitung von telemedizinischen Diensten einen neuen Angriffsvektor darstellt. Laut einemeinem Bericht vonSecurity Scorecard und DarkOwlsind mit der zunehmenden Nutzung von Telemedizin auch die gezielten Angriffe auf Anbieter von Telemedizin in die Höhe geschnellt. Einige der wichtigsten Probleme, die in dem Bericht aufgedeckt wurden, waren die Sicherheit von Endgeräten sowie FTP- und RDP-Probleme. Darüber hinaus hat die Forschung von DarkOwl das Auftauchen von Bedrohungsakteuren, die elektronische Gesundheitsakten (EHR) und Malware-Toolkits verkaufen, die speziell auf Telegesundheitstechnologien und Ransomware abzielen, die so konfiguriert sind, dass sie die Infrastruktur des Gesundheitswesens lahmlegen.
Diese Realität hat viele Unternehmen dazu veranlasst, Zero Trust-Architekturen als Lösung in Betracht zu ziehen. Vertrauen ist ein kostbares Gut in der IT, zu kostbar, um es blind zu gewähren in einer Umgebung, in der viele Endgeräte ungepatcht und nicht verwaltet sind. Bei vielen dieser Geräte handelt es sich um persönliche und mobile Geräte, die Daten austauschen müssen, um Patienten effektiv zu helfen. Angesichts der Gefahr von Phishing-, Ransomware- und anderen Angriffen kann man jedoch nicht einfach davon ausgehen, dass ein Gerät sicher ist, nur weil es sich hinter der Firewall befindet. Jeder Vorgang von jedem Gerät muss bewertet und entsprechend authentifiziert und autorisiert werden.
Wenn Zero Trust richtig implementiert wird, reduziert es die Möglichkeiten der Kompromittierung nach einem erfolgreichen Einbruch. Dies wird erreicht, indem für jede Anwendungstransaktion ein separater Autorisierungsschritt mit zusätzlicher Authentifizierung des Benutzers und des Geräts je nach Sensibilität und Kontext der Operation erforderlich ist. Diese zusätzlichen Schritte können in der Anwendung selbst, in der zugrundeliegenden Software-Infrastruktur, z.B. der Identitätsplattform, oder sogar in der Netzwerkstruktur durch Mikrosegmentierung implementiert werden. Die Herausforderung bei Zero Trust besteht darin sicherzustellen. eine ausreichende Autorisierung und Authentifizierung zu gewährleisten und gleichzeitig die Leistung und Benutzerfreundlichkeit der Anwendung nicht zu beeinträchtigen.
Schwerpunkt auf der Sicherung von Active Directory
Für fast alle Unternehmen ist die zugrunde liegende "Quelle der Wahrheit" für Legacy- und Zero Trust-Authentifizierung und -Autorisierung immer noch Active Directory. Active Directory enthält Benutzer- und Rechneridentitäten, Anmeldeinformationen sowie Richtlinien und Berechtigungen, die in den meisten, wenn nicht sogar allen lokalen Systemen verwendet werden. Und schließlich speist Active Directory auch Daten in externe Cloud-Identitätsdienste ein.
Die Sicherheit von Active Directory ist entscheidend, um die Auswirkungen von Ransomware und anderen Integritätsangriffen auf Unternehmenssysteme zu begrenzen. Ransomware-Angriffe entwickeln sich rasant weiter und sind selbst in den letzten sechs Monaten immer raffinierter geworden. Bedrohungsakteure versuchen, Daten zu stehlen und Active Directory auszunutzen, um die Persistenz zu erhalten und Ransomware in der gesamten Umgebung zu verbreiten. Active Directory zu härten und widerstandsfähiger gegen Angriffe zu machen, ist ein bedeutendes Unterfangen, aber eine Aufteilung des Problems in Verbesserungen vor, während und nach dem Angriff kann den Prozess vereinfachen.
Als dieZerologon vulnerabilitätzeigt, ist Active Directory anfällig für Bedrohungsakteure, die versuchen, ihre Privilegien zu erweitern. Rechtzeitige Patches und eine kontinuierliche Bewertung der Active Directory-Konfiguration sowie die Überwachung von Objekt- und Attributänderungen auf Verzeichnisebene tragen dazu bei, dass Bedrohungsakteure weniger Möglichkeiten haben, in Ihrem Netzwerk Fuß zu fassen.
Wenn ein Angreifer in Ihr Netzwerk eindringt, müssen Sie unbedingt Systeme einrichten, um bösartige Aktivitäten zu erkennen und alle Änderungen an Active Directory rückgängig zu machen, die der Angreifer möglicherweise vornimmt. Beispielsweise gewähren Angreifer kompromittierten Benutzerkonten oft erhöhte Rechte, indem sie Gruppenmitgliedschaften oder die SIDHistory Attribut ändern. Wenn diese Änderungen erkannt und automatisch rückgängig gemacht werden, kann ein Angreifer nicht mehr seitlich ausweichen und weitere Systeme kompromittieren.
Für den Fall, dass es einem Angreifer gelingt, Ihr Active Directory durch Ransomware oder Wiperware vollständig zu kompromittieren, müssen Sie in der Lage sein, ein Backup schnell und zuverlässig wiederherzustellen. zuverlässig wiederherzustellen. Der Wiederherstellungsprozess sollte hochgradig automatisiert und in der Lage sein, Active Directory nur auf sauber installierten Windows-Servern wiederherzustellen, von denen bekannt ist, dass die System-Binärdateien nicht mit Malware infiziert sind.
Heilmittel für den gemeinsamen Kompromiss
Es gibt vielleicht kein Heilmittel für die Erkältung, aber es gibt eine Möglichkeit, sich gegen die Arten von Angriffen zu schützen, die auf das Gesundheitswesen abzielen. Durch den Einsatz eines Zero Trust-Ansatzes und den Schutz von Active Directory können Unternehmen ihre Sicherheitslage verbessern und ihr Risiko reduzieren.
Scott Breece, CISO bei Community Health Systems, und ich unterhielten uns kürzlich über die einzigartigen Herausforderungen, denen sich CISOs im Gesundheitswesen und andere, die an vorderster Front für die Sicherheit sorgen, jeden Tag stellen müssen.
Sehen Sie sich die Sitzung an unter,https://bit.ly/3mBYC5x.
