Nel settore sanitario, i problemi di sicurezza informatica hanno conseguenze che vanno ben oltre la perdita di dati. Recentemente, l'FBI e altre agenzie federali hanno avvertito di una minaccia credibile di "aumento e imminenza della criminalità informatica" per gli ospedali e i fornitori di servizi sanitari statunitensi. I gruppi criminali prendono di mira il settore sanitario per compiere "furti di dati e interruzioni dei servizi sanitari".
All'inizio di quest'anno, unattacco ransomwarecontro un ospedale in Germania ha dimostrato quanto siano pericolosi i cyberattacchi. Secondo le notizie riportate, una paziente dell'ospedale universitario di Düsseldorf è morta in seguito a un attacco ransomware che ha paralizzato i sistemi informatici dell'ospedale e costretto i medici a trasferirla in un'altra struttura.
Negli Stati Uniti, la Universal Health Services (UHS) ha confermato il 3 ottobre che un attacco ransomwareattacco ransomwarea fine settembre ha colpito tutti i suoi siti di cura e ospedali statunitensi, costringendola a scollegare i sistemi e a chiudere temporaneamente la rete. Sebbene sia dimostrato che il numero di violazioni di dati nel settore sia diminuito nella prima metà del 2020 rispetto alla seconda metà del 2019, gli eventi di ransomware nel settore sanitario sono aumentati drasticamente. La gestione della sicurezza informatica per le istituzioni sanitarie non sta diventando più semplice. Con questa previsione, il settore sanitario deve ripensare la sicurezza concentrandosi su accesso e identità.
Quindi, quali azioni possono intraprendere i difensori per evitare di diventare vittime di ransomware? Ho avuto il privilegio di unirmi a Scott BreeceCISO di Community Health Systems,giovedì 19 novembreper una discussione franca e per le domande del pubblico. Abbiamo parlato del NIST Cybersecurity Framework, della gestione di più sistemi di identità negli ambienti IT sanitari e, naturalmente, di ransomware. Siete invitati asintonizzarsi.
Il caso della fiducia zero
Anche prima che la pandemia COVID-19 aumentasse la pressione su ospedali e cliniche mediche, la gestione della sicurezza nel settore sanitario era complessa. Il mantenimento della conformità ai requisiti normativi come HIPAA, HITECH, SOX, PCI e altri è solo una delle sfide per l'IT. Un'altra sfida, meno citata, è la quantità di turnover del personale, accompagnata dalla realtà che i sostituti in arrivo devono essere imbarcati e formati. A ciò si aggiunge il numero relativamente elevato di fusioni e acquisizioni (M&A), che le organizzazioni IT devono incorporare nell'infrastruttura IT esistente.
Inoltre, la crescente adozione di servizi di teleassistenza rappresenta un nuovo vettore di attacco. Secondoun rapporto diSecurity Scorecard e DarkOwlcon l'aumento dell'uso della teleassistenza, anche gli attacchi mirati contro i fornitori di teleassistenza sono saliti alle stelle. Alcuni dei problemi più importanti rilevati nel rapporto sono la sicurezza degli endpoint e i problemi FTP e RDP. Inoltre, la ricerca di DarkOwl ha rivelato l'emergere di attori che vendono cartelle cliniche elettroniche (EHR) e kit di malware specificamente progettati per colpire le tecnologie di teleassistenza e ransomware configurati per distruggere le infrastrutture sanitarie.
Questa realtà ha portato molte organizzazioni a guardare alle architetture Zero Trust come soluzione. La fiducia è un bene prezioso nell'IT, troppo prezioso per essere concesso alla cieca in un ambiente in cui molti endpoint sono privi di patch e non gestiti. Molti di questi sono dispositivi personali e mobili che devono condividere i dati per servire efficacemente i pazienti. Tuttavia, a causa della prospettiva di phishing, ransomware e altri attacchi, non si può semplicemente presumere che un dispositivo sia sicuro solo perché si trova dietro il firewall. Ogni operazione da ogni dispositivo deve essere valutata e opportunamente autenticata e autorizzata.
Se implementato correttamente, Zero Trust riduce la portata della compromissione dopo una violazione riuscita. A tal fine, richiede una fase di autorizzazione distinta per ogni transazione applicativa, con un'autenticazione aggiuntiva dell'utente e del dispositivo in base alla sensibilità e al contesto dell'operazione. L'implementazione di questi passaggi aggiuntivi può avvenire all'interno dell'applicazione stessa, dell'infrastruttura software sottostante, ad esempio la piattaforma di identità, o anche all'interno del tessuto di rete tramite micro-segmentazione. La sfida di Zero Trust è garantire autorizzazione e l'autenticazione sufficienti senza distruggere le prestazioni o l'usabilità dell'applicazione.
Concentrarsi sulla protezione di Active Directory
Per quasi tutte le aziende, la "fonte di verità" sottostante per l'autenticazione e l'autorizzazione legacy e Zero Trust è ancora Active Directory. Active Directory detiene le identità e le credenziali di utenti e macchine, nonché i criteri e le autorizzazioni utilizzati nella maggior parte, se non in tutti, i sistemi on-premises. Infine, Active Directory alimenta anche i dati dei servizi di identità cloud esterni.
Mantenere la sicurezza di Active Directory è fondamentale per limitare l'impatto del ransomware e di altri attacchi all'integrità dei sistemi aziendali. Gli attacchi ransomware si evolvono rapidamente e sono diventati sempre più sofisticati anche solo negli ultimi sei mesi. Gli attori delle minacce cercano di rubare i dati e di sfruttare Active Directory per mantenere la persistenza e diffondere il ransomware in tutto l'ambiente. L'hardening di Active Directory e la sua maggiore resilienza agli attacchi è un'impresa significativa, ma dividere il problema in prima, durante e dopo i miglioramenti dell'attacco può semplificare il processo.
Come ilZerologon vulnerabilitàcome dimostra Zerologon, Active Directory è suscettibile agli attori delle minacce che cercano di aumentare i privilegi. L'applicazione tempestiva di patch e la valutazione continua della configurazione di Active Directory e il monitoraggio delle modifiche agli oggetti e agli attributi a livello di directory contribuiscono a ridurre la capacità degli attori delle minacce di ottenere un punto d'appoggio iniziale all'interno della rete.
Se un utente malintenzionato è presente nella rete, è indispensabile disporre di sistemi in grado di rilevare le attività dannose e di annullare le modifiche apportate ad Active Directory dall'utente malintenzionato. Per esempio, gli aggressori spesso concedono privilegi elevati agli account utente compromessi modificando le appartenenze ai gruppi o la SIDHistory o l'attributo SIDHistory. Il rilevamento di queste modifiche e il loro ripristino automatico riducono la capacità dell'attaccante di muoversi lateralmente e compromettere altri sistemi.
Nel caso in cui un aggressore riesca a compromettere completamente la vostra Active Directory tramite ransomware o wiperware, dovete essere in grado di ripristinare il backup in modo rapido e affidabile. affidabile. Il processo di ripristino deve essere altamente automatizzato e in grado di ripristinare Active Directory solo su server Windows installati in modo pulito e che non presentano malware che infettano i binari del sistema.
Cura per il compromesso comune
Forse non esiste una cura per il raffreddore comune, ma esiste un modo per difendersi dai tipi di attacchi che colpiscono il settore sanitario. Sfruttando un approccio Zero Trust e proteggendo Active Directory, le organizzazioni possono migliorare la loro posizione di sicurezza e ridurre il livello di rischio.
Scozia BreeceScott Brece, CISO di Community Health Systems, e io abbiamo recentemente parlato delle sfide uniche che i CISO del settore sanitario e gli altri addetti alla sicurezza in prima linea devono affrontare ogni giorno.
Guarda la sessione su,https://bit.ly/3mBYC5x.
