攻擊者希望迅速制造混亂，迫使受害者迅速支付異常高額的贖金。在人命攸關(guān)的情況下，醫(yī)療供應(yīng)鏈?zhǔn)鞘滓繕?biāo)。聯(lián)合醫(yī)療集團(tuán)以比特幣支付了2200萬美元的贖金，比特幣在數(shù)字貨幣區(qū)塊鏈上可見。BlackCat，或ALPHV主導(dǎo)了這次網(wǎng)絡(luò)攻擊。關(guān)于如何分配贖金的爭議導(dǎo)致其中一名攻擊者在他們的網(wǎng)絡(luò)犯罪地下論壇上指責(zé)ALPHV，他們沒有獲得公平的份額。

這些攻擊的影響繼續(xù)通過地區(qū)和國家醫(yī)療供應(yīng)鏈產(chǎn)生影響，造成廣泛的金融混亂?！都~約時(shí)報(bào)》報(bào)道，攻擊對(duì)每個(gè)人的影響是多么深遠(yuǎn)，從病人到準(zhǔn)備進(jìn)行手術(shù)的醫(yī)生。

醫(yī)療保健行業(yè)正面臨著巨大的挑戰(zhàn)

這是醫(yī)療史上最嚴(yán)重的網(wǎng)絡(luò)攻擊，進(jìn)一步驗(yàn)證了該行業(yè)在持續(xù)的數(shù)字入侵和勒索軟件攻擊中是多么脆弱。衛(wèi)生與公眾服務(wù)HHS漏洞門戶網(wǎng)站量化了隨著攻擊者加強(qiáng)對(duì)該行業(yè)的交易技巧，醫(yī)療保健行業(yè)的網(wǎng)絡(luò)攻擊如何繼續(xù)增長。埃森哲的一項(xiàng)研究顯示，18%的醫(yī)療保健員工愿意以500至1000美元的價(jià)格將機(jī)密數(shù)據(jù)出售給未經(jīng)授權(quán)的各方。

受到攻擊的組織聯(lián)合健康集團(tuán)在其自動(dòng)警報(bào)中報(bào)告稱，仍有113多個(gè)系統(tǒng)受到攻擊的影響。聯(lián)合健康集團(tuán)于2月21日向美國證券交易委員會(huì)提交了一份8K文件，解釋了此次攻擊，并提供了更新鏈接。

衛(wèi)生與公眾服務(wù)部(HHS)已經(jīng)預(yù)見到了這一點(diǎn)，他們的信息安全辦公室制作了詳細(xì)解釋網(wǎng)絡(luò)威脅的報(bào)告和演示文稿。今年早些時(shí)候，他們發(fā)布了一份關(guān)于勒索軟件和醫(yī)療保健的50頁綜合演示文稿。

Expanso.io和BalkanID的顧問、前CISO Merritt Baer告訴記者：“勒索軟件組織喜歡供應(yīng)鏈攻擊——我們從Kaseya到SolarWinds等備受矚目的目標(biāo)中看到了這一點(diǎn)的證據(jù)。這是有道理的：他們的目標(biāo)是在供應(yīng)鏈中發(fā)揮作用的實(shí)體，以獲得超大的影響。換句話說，那些嵌入供應(yīng)鏈的公司有下游客戶，而這些客戶有自己的下游客戶?！盉aer向記者強(qiáng)調(diào)，“勒索軟件組織正在尋找愿意付出代價(jià)的受害者。在像醫(yī)療保健這樣的受監(jiān)管領(lǐng)域，我們談?wù)摰氖菍?dǎo)致他們想要付費(fèi)的業(yè)務(wù)和監(jiān)管成本?！?/p>

醫(yī)療保健提供者需要從哪里開始進(jìn)行防御

勒索軟件攻擊戰(zhàn)略在識(shí)別和阻止方面正變得越來越具有挑戰(zhàn)性，勒索軟件即服務(wù)(RaaS)小組積極招聘具有通用Windows和系統(tǒng)管理工具專業(yè)知識(shí)的專家來發(fā)起傳統(tǒng)安全解決方案難以識(shí)別的攻擊，從而加速了勒索軟件攻擊戰(zhàn)略的實(shí)施。攻擊者最喜歡的詭計(jì)包括LotL攻擊和那些通過發(fā)現(xiàn)終端防御漏洞來從終端獲取身份的攻擊，LotL是使用常見工具發(fā)起的攻擊，因此不容易被跟蹤。

Baer觀察到，“從技術(shù)角度來看，請(qǐng)記住，使用勒索軟件即服務(wù)(RaaS)，人們可以在黑市上‘租用’實(shí)施勒索軟件的設(shè)備——所以你甚至不需要非常優(yōu)秀就能夠敲定一個(gè)實(shí)體?！?/p>

Ivanti的首席產(chǎn)品官Srinivas Mukkamala告訴記者：“威脅參與者越來越多地瞄準(zhǔn)網(wǎng)絡(luò)環(huán)境方面的缺陷，包括遺留的漏洞管理流程?！盋ISO們表示，他們對(duì)供應(yīng)鏈漏洞、勒索軟件和軟件漏洞的防御準(zhǔn)備最少。只有42%的CISO和高級(jí)網(wǎng)絡(luò)安全負(fù)責(zé)人表示，他們已經(jīng)做好了防范供應(yīng)鏈威脅的準(zhǔn)備，46%的人認(rèn)為這是一個(gè)高級(jí)別的威脅。

醫(yī)療保健行業(yè)的CISO及其團(tuán)隊(duì)需要考慮以下入門策略：

首先完成評(píng)估，然后考慮事件響應(yīng)定位器。醫(yī)療保健IT戰(zhàn)略顧問、前CIO Drex DeFord表示，醫(yī)療保健行業(yè)的CISO必須首先建立一個(gè)基線，并確保安全的環(huán)境。DeFord在接受采訪時(shí)表示：“當(dāng)你做了一個(gè)評(píng)估后，要全面審視整個(gè)環(huán)境。” DeFord還建議醫(yī)療保健行業(yè)的CISO，如果他們還沒有事件反應(yīng)定位器，就去買一個(gè)。他建議說：“這確保了一旦發(fā)生安全事故，你可以打電話給別人，他們會(huì)立即趕來?！?/p>

立即消除IAM和PAM系統(tǒng)中任何不活動(dòng)、未使用的身份。要?jiǎng)h除休眠憑據(jù)，請(qǐng)將技術(shù)堆棧中的每個(gè)IAM和PAM系統(tǒng)硬重置為身份級(jí)別，它們將網(wǎng)絡(luò)攻擊者引向IAM和PAM服務(wù)器。首先，刪除過期的帳戶訪問權(quán)限，其次，通過重置特權(quán)訪問策略，按角色限制用戶數(shù)據(jù)和系統(tǒng)訪問。

確保BYOD資產(chǎn)配置是最新的和合規(guī)的，安全團(tuán)隊(duì)的大部分終端資產(chǎn)管理時(shí)間都花在更新和合規(guī)的公司擁有的設(shè)備配置上，團(tuán)隊(duì)并不總是使用BYOD終端，而且IT部門對(duì)員工設(shè)備的政策可能過于寬泛。CISO及其團(tuán)隊(duì)開始更多地依賴終端保護(hù)平臺(tái)來自動(dòng)化公司和BYOD終端設(shè)備的配置和部署。CrowdStrike Falcon、Ivanti Neurons和Microsoft Defender for Endpoint將來自電子郵件、終端、身份和應(yīng)用程序的威脅數(shù)據(jù)關(guān)聯(lián)在一起，是可以大規(guī)模實(shí)現(xiàn)這一點(diǎn)的領(lǐng)先終端平臺(tái)。

為每個(gè)經(jīng)過驗(yàn)證的帳戶啟用多因素身份驗(yàn)證(MFA)。攻擊者的目標(biāo)是醫(yī)療保健提供者經(jīng)常做生意的企業(yè)，他們?cè)噲D獲得特權(quán)訪問和身份盜竊的憑據(jù)，這使他們能夠訪問內(nèi)部系統(tǒng)。帳戶擁有的權(quán)限越高，就越有可能成為基于憑據(jù)的攻擊的目標(biāo)。作為第一步，為所有外部業(yè)務(wù)合作伙伴、承包商、供應(yīng)商和員工實(shí)施MFA。在取消第三方不需要的憑據(jù)時(shí)要嚴(yán)格。

通過自動(dòng)化補(bǔ)丁程序管理降低勒索軟件風(fēng)險(xiǎn)。自動(dòng)化將IT和桌面員工從支持虛擬員工和高優(yōu)先級(jí)數(shù)字化轉(zhuǎn)型項(xiàng)目的繁重工作負(fù)擔(dān)中解脫出來。62%的IT和安全專業(yè)人員拖延補(bǔ)丁管理，因?yàn)?1%的人認(rèn)為打補(bǔ)丁太復(fù)雜、太耗時(shí)。他們的目標(biāo)是超越基于庫存的補(bǔ)丁管理，轉(zhuǎn)向人工智能、機(jī)器學(xué)習(xí)和基于機(jī)器人的技術(shù)，以便對(duì)威脅進(jìn)行優(yōu)先排序。

是時(shí)候把網(wǎng)絡(luò)安全支出視為商業(yè)決策了。醫(yī)療保健提供商需要將網(wǎng)絡(luò)安全支出視為降低風(fēng)險(xiǎn)的商業(yè)投資。隨著攻擊者將他們的行業(yè)視為最軟弱和最有利可圖的目標(biāo)之一，迫切需要定義網(wǎng)絡(luò)安全的商業(yè)價(jià)值，而不僅僅是一種費(fèi)用——它是一種投資。

Baer表示：“請(qǐng)記住，勒索軟件通常是以金錢為動(dòng)機(jī)的。聯(lián)合健康集團(tuán)支付贖金這一事實(shí)表明攻擊者選擇了一個(gè)容易得逞的目標(biāo)。”