Gil Kirkpatrick

No sector da saúde, os problemas de cibersegurança têm consequências que vão muito além da perda de dados. Recentemente, o FBI e outras agências federais alertaram para uma ameaça credível de "cibercrime crescente e iminente" para os hospitais e prestadores de cuidados de saúde dos EUA. Os grupos criminosos têm como alvo o sector da saúde para levar a cabo "o roubo de dados e a perturbação dos serviços de saúde".

No início deste ano, umataque de ransomwarecontra um hospital na Alemanha mostrou como os ciberataques são realmente perigosos. De acordo com as notícias, uma paciente do Hospital Universitário de Düsseldorf morreu após um ataque de ransomware que danificou os sistemas informáticos do hospital e obrigou os médicos a transferi-la para outra unidade.

Nos Estados Unidos, a Universal Health Services (UHS) confirmou, a 3 de Outubro, que um ataque deataque de ransomwareno final de setembro afetou todos os seus locais de atendimento e hospitais nos EUA, forçando-o a desconectar sistemas e desligar sua rede temporariamente. Embora existam provas de que o número de violações de dados no sector diminuiu durante o primeiro semestre de 2020 em comparação com o segundo semestre de 2019, os eventos de ransomware nos cuidados de saúde aumentaram drasticamente. A gestão da cibersegurança das instituições de saúde não está a ficar mais fácil. Com esse prognóstico, o setor de saúde precisa repensar a segurança, concentrando-se no acesso e na identidade.

Então, que medidas podem os defensores tomar para evitarem ser vítimas de ransomware? Tive o privilégio de me juntar a Scott BreeceCISO da Community Health Systems,quinta-feira, 19 de Novembropara uma discussão franca e perguntas e respostas do público. Abordámos o Quadro de Cibersegurança do NIST, a gestão de vários sistemas de identidade em ambientes de TI dos cuidados de saúde e, claro, o ransomware. Não hesite emsintonizar.

O caso da Confiança Zero

Mesmo antes de a pandemia da COVID-19 aumentar a pressão sobre os hospitais e clínicas médicas, a gestão da segurança no sector dos cuidados de saúde era complexa. Manter a conformidade com os requisitos regulamentares como HIPAA, HITECH, SOX, PCI e outros é apenas um dos desafios para as TI. Outro desafio menos citado é a quantidade de rotatividade de pessoal, acompanhada pela realidade de que os substitutos que entram terão de ser integrados e formados. Além disso, há que ter em conta o número relativamente elevado de fusões e aquisições (M&A), que as organizações de TI têm de incorporar na infra-estrutura de TI existente.

Além disso, a crescente adopção de serviços de telesaúde apresenta um novo vector de ataque. De acordo comum relatório daSecurity Scorecard e DarkOwlà medida que a utilização dos serviços de telessaúde tem vindo a crescer, os ataques dirigidos contra os fornecedores de serviços de telessaúde também aumentaram rapidamente. Alguns dos problemas mais proeminentes revelados no relatório foram a segurança dos terminais e os problemas de FTP e RDP. Além disso, a investigação da DarkOwl revelou o aparecimento de agentes de ameaças que vendem registos electrónicos de saúde (EHR) e kits de ferramentas de malware especificamente concebidos para visar tecnologias de telessaúde e ransomware configurado para derrubar infra-estruturas de saúde.

Essa realidade levou muitas organizações a buscar arquiteturas Zero Trust como uma solução. A confiança é um bem precioso em TI, demasiado precioso para ser concedido cegamente num ambiente em que muitos terminais não estão corrigidos e não são geridos. Muitos deles são dispositivos pessoais e móveis que têm de partilhar dados para servir eficazmente os doentes. No entanto, devido à perspectiva de ataques de phishing, ransomware e outros, não se pode simplesmente assumir que um dispositivo é seguro só porque está atrás da firewall. Cada operação de cada dispositivo precisa de ser avaliada e devidamente autenticada e autorizada.

Quando implementado correctamente, o Zero Trust reduz o âmbito do compromisso após uma violação bem sucedida. Para tal, é necessário um passo de autorização distinto para cada transacção da aplicação, com autenticação adicional do utilizador e do dispositivo, conforme determinado pela sensibilidade e pelo contexto da operação. A implementação destes passos adicionais pode ocorrer na própria aplicação, na infra-estrutura de software subjacente, por exemplo, na plataforma de identidade, ou mesmo no tecido da rede através da micro-segmentação. O desafio do Zero Trust é garantir autorização e autenticação suficientes, sem destruir o desempenho ou a usabilidade da aplicação.

Foco na segurança do Active Directory

Para quase todas as empresas, a "fonte de verdade" subjacente para a autenticação e autorização herdada e de confiança zero continua a ser o Active Directory. O Active Directory detém a identidade e as credenciais dos utilizadores e das máquinas, bem como as políticas e as permissões utilizadas na maioria dos sistemas locais, se não em todos. E, finalmente, o Active Directory também alimenta dados para serviços de identidade externos na nuvem.

Manter o Active Directory seguro é vital para limitar o impacto do ransomware e de outros ataques de integridade nos sistemas empresariais. Os ataques de ransomware evoluem rapidamente e tornaram-se mais sofisticados mesmo nos últimos seis meses. Os agentes de ameaças tentam roubar dados e explorar o Active Directory para manter a persistência e espalhar o ransomware pelo ambiente. Fortalecer o Active Directory e torná-lo mais resistente a ataques é uma tarefa significativa, mas dividir o problema em melhorias antes, durante e depois do ataque pode simplificar o processo.

Como oZerologon vulnerabilidadedemonstra, o Active Directory é susceptível a agentes de ameaças que procuram aumentar os privilégios. A aplicação atempada de correcções e a avaliação contínua da configuração do Active Directory, bem como a monitorização das alterações de objectos e atributos ao nível do directório, ajudam a reduzir a capacidade dos agentes de ameaças de obterem uma posição inicial na sua rede.

Se um atacante conseguir uma presença inicial na sua rede, é imperativo que tenha sistemas implementados para detectar actividade maliciosa e reverter quaisquer alterações ao Active Directory que o atacante possa fazer. Por exemplo, os atacantes concedem frequentemente privilégios elevados a contas de utilizador comprometidas, modificando os membros do grupo ou o SIDHistory . Detectar essas alterações e revertê-las automaticamente reduz a capacidade do invasor de se mover lateralmente e comprometer outros sistemas.

Na eventualidade de um atacante conseguir comprometer completamente o seu Active Directory através de ransomware ou wiperware, tem de ter a capacidade de recuperar da cópia de segurança de forma rápida e fiável. de forma fiável. O processo de recuperação deve ser altamente automatizado e capaz de restaurar o Active Directory apenas para servidores Windows instalados de forma limpa e que não tenham malware a infectar os binários do sistema.

Cura para o compromisso comum

Pode não haver uma cura para o resfriado comum, mas há uma maneira de se defender contra os tipos de ataques que visam o setor de saúde. Ao utilizar uma abordagem Zero Trust e proteger o Active Directory, as organizações podem melhorar a sua postura de segurança e reduzir o seu nível de risco.

Scott BreeceScott Bre ece, CISO da Community Health Systems, e eu conversámos recentemente sobre os desafios únicos que os CISO dos cuidados de saúde e outros responsáveis pela segurança na linha da frente enfrentam todos os dias.

Ver a sessão em,https://bit.ly/3mBYC5x.