從Change Healthcare遭遇的災難性的勒索軟件攻擊中得出的教訓正在逐漸明晰，這一事件鮮明地展示了醫(yī)療行業(yè)的脆弱性，并促使人們呼吁采取監(jiān)管行動。

今年2月的攻擊破壞了全美的保險理賠處理，給診所、藥房和患者帶來了混亂，他們無法完成預先授權(quán)的處方或保險覆蓋的醫(yī)療治療。

Change Healthcare處理的向醫(yī)療服務(wù)提供者的付款流動因系統(tǒng)被攻擊而突然中斷，系統(tǒng)被迫下線以應對攻擊。

尤其是較小的醫(yī)療服務(wù)提供者和農(nóng)村藥房在這次攻擊中遭受了巨大的收入損失，有些甚至接近破產(chǎn)。最終，這次攻擊暴露了潛在三分之一美國公民的個人數(shù)據(jù)，給母公司UnitedHealth Group(UHG)帶來了超過8.72億美元的處理費用和由此引起的破壞。

這些費用的一部分包括向成千上萬的提供者提供加速付款和無息、無費用貸款。另一部分被 earmarked用于事件響應和徹底重建Change Healthcare的系統(tǒng)。包括收入損失在內(nèi)，預計此次攻擊將使UHG損失超過10億美元。

對此，美國政界人士呼吁在衛(wèi)生部門強制實施基礎(chǔ)網(wǎng)絡(luò)安全標準，并加強信息共享。他們還擔心行業(yè)整合正在增加網(wǎng)絡(luò)風險。

總的來說，對Change Healthcare的勒索軟件攻擊——UHG在2022年以近80億美元收購的公司——展示了安全控制不佳在勒索軟件攻擊中經(jīng)常出現(xiàn)的因素。以下是攻擊后的幾個教訓。

多因素認證(MFA)是必不可少的

在5月初的國會聽證會上，UHG首席執(zhí)行官Andrew Witty表示，犯罪分子使用被盜的憑證遠程訪問了Change Healthcare的Citrix門戶，這是一種允許遠程訪問桌面的技術(shù)，大約在2月12日。該門戶未啟用多因素認證(MFA)，這是基本的企業(yè)安全控制措施。

雖然不能完全防彈，但MFA長期以來被認為是保護系統(tǒng)免受憑證攻擊的最佳實踐。據(jù)ESET首席安全傳道者Tony Anscombe稱，MFA未啟用很可能在攻擊者能夠遠程訪問Change Healthcare的系統(tǒng)中起了關(guān)鍵作用，使得這一事件高度可避免，未能采用最基本的網(wǎng)絡(luò)安全原則是一場巨大的失敗。

“我們不知道沒有MFA的原因是什么，是無能、預算限制、用戶需求還是其他原因?”Anscombe說。

Illumio關(guān)鍵基礎(chǔ)設(shè)施主管Trevor Dearing評論道：“成功的勒索軟件攻擊中，效率低下的安全控制往往是一個因素。無論是缺乏MFA控制、未修補的網(wǎng)絡(luò)門戶，還是過期的DLP(數(shù)據(jù)丟失防護)系統(tǒng)，任何漏洞都可能導致巨大的破壞。”

分段你的系統(tǒng)

在獲得Change Healthcare系統(tǒng)的立足點后，攻擊者隨后進行了橫向移動并在2月21日部署ALPHV/BlackCat勒索軟件之前提取了數(shù)據(jù)。

因此，許多事后報告中提出的另一個問題是Change Healthcare的系統(tǒng)缺乏分段，導致攻擊的橫向移動變得容易，這導致了關(guān)鍵資產(chǎn)暴露給攻擊者，據(jù)Dearing稱。

分段涉及將一個大型網(wǎng)絡(luò)系統(tǒng)劃分為較小、隔離的子段，從而使安全團隊更容易保護和監(jiān)控IT資產(chǎn)，防止像針對Change Healthcare的橫向攻擊。分段長期以來一直是縱深防御策略的關(guān)鍵部分。

并購活動需要網(wǎng)絡(luò)盡職調(diào)查

Change Healthcare的勒索軟件攻擊也為后并購的系統(tǒng)盡職調(diào)查提供了教訓。

UHG在2022年10月收購了美國最大的醫(yī)療理賠清算機構(gòu)Change Healthcare，此前曾與美國司法部展開法律斗爭，后者認為此次收購會損害健康保險市場的競爭，并影響用于處理健康保險理賠的技術(shù)，從而使UHG，這家美國最大的健康保險提供商，獲得其競爭對手的數(shù)據(jù)。

收購后，Change Healthcare與UHG的Optum健康服務(wù)公司合并，由Optum的CIO和CTO以及UHG的CISO Steven Martin領(lǐng)導安全運營。

并購創(chuàng)造了新的網(wǎng)絡(luò)威脅，因為它們涉及來自不同組織的系統(tǒng)、數(shù)據(jù)和流程的整合，每個企業(yè)都有其自己的安全協(xié)議和潛在漏洞。

“在此過渡期間，網(wǎng)絡(luò)犯罪分子可以利用安全措施的差異、IT治理的漏洞以及管理合并的IT環(huán)境的復雜性增加的情況，”CTERA的CTO Aron Brand告訴CSOonline?！按送?，各方之間敏感信息的高度共享也為數(shù)據(jù)泄露提供了更多機會?！?/p>

鑒于所涉及的復雜性和風險，Brand建議，醫(yī)療和非醫(yī)療組織在合并期間必須擁有一份全面的盡職調(diào)查清單。

“這應包括詳盡的安全審計，以評估被收購公司的網(wǎng)絡(luò)安全狀況、識別漏洞并評估其事件響應能力，”Brand說，“例如，如果徹底的評估解決了缺乏強大MFA控制的問題，Change Healthcare的漏洞可能會得到緩解?！?/p>

Expel的威脅情報分析師Aaron Walton表示同意。

“從聽證會上，我們沒有了解到導致延遲的原因，但這表明Change未能與UnitedHealth Group的所有安全政策保持同步，”他說，“如果Change實施了UnitedHealth的升級、流程和政策，可能會解決導致Change Healthcare遭到攻擊的一些問題，例如缺乏MFA。”

自保的風險

在國會聽證會期間回答問題時，UHG首席執(zhí)行官Witty承認公司對網(wǎng)絡(luò)事件采取了“自?！?。

網(wǎng)絡(luò)保險提供商在批準保單之前會要求高水平的風險緩解。對于許多企業(yè)而言，這本身就是確保系統(tǒng)強化的動力。對于那些放棄保險的組織來說，這一點尤為重要。

“自保并接受風險的選擇，Change Healthcare似乎采取了這種立場，不應以犧牲網(wǎng)絡(luò)安全措施為代價，”ESET的Anscombe告訴CSOonline，“我認為不可能由于風險增加而無法獲得保險——一切都可以投保，只是保費的成本問題?！?/p>

Anscombe補充道：“由于非合規(guī)的網(wǎng)絡(luò)安全措施導致保費過高而不投保是不可原諒的，因為這不必要地將企業(yè)、客戶、合作伙伴和許多其他人置于風險之中。”

企業(yè)應采取符合網(wǎng)絡(luò)風險保險要求的立場，或者更好的是，符合公認的網(wǎng)絡(luò)安全框架的要求，Anscombe建議。

與敵人共存

攻擊者在Change Healthcare系統(tǒng)上停留了超過一周(九天)，然后才部署勒索軟件。

這種延遲在企業(yè)攻擊中并不罕見。據(jù)專家介紹，攻擊者在被攻破的網(wǎng)絡(luò)中升級權(quán)限和橫向移動所需的時間，并不意味著被發(fā)現(xiàn)的可能性更大，這是因為攻擊者費盡心思偽裝他們的活動，例如濫用合法的程序和命令，使其輕易融入常規(guī)的預期流量中。

Silobreaker的Baumgaertner評論說：“勒索軟件組織通常會在受害者的系統(tǒng)中停留很長時間，利用時間在網(wǎng)絡(luò)中橫向移動，以造成盡可能大的破壞。此外，他們在網(wǎng)絡(luò)中保持未被發(fā)現(xiàn)的時間越長，就有更多時間找到并竊取敏感數(shù)據(jù)?！?/p>

雖然很難說Change Healthcare是否可以在攻擊者升級其行動時檢測到他們，但這些關(guān)于勒索軟件攻擊進展的事實在制定應對策略時應予以考慮。

雙重風險——關(guān)于贖金支付的辯論

UHG首席執(zhí)行官Witty在國會證詞中證實，這家醫(yī)療保健集團已向BlackCat/ALPHV勒索軟件組織的網(wǎng)絡(luò)犯罪分子支付了相當于2200萬美元的比特幣作為贖金。

隨后，BlackCat/ALPHV實施了退出騙局，攜款消失，據(jù)報道還欺騙了其附屬組織Nichy。

Change Healthcare支付贖金的行為重新引發(fā)了關(guān)于是否允許支付網(wǎng)絡(luò)犯罪分子的勒索要求的廣泛辯論，尤其是在支付贖金并不能保證攻擊者會刪除被盜數(shù)據(jù)或避免未來攻擊的情況下。

ESET的Anscombe評論說：“是否支付勒索軟件要求的決定應該由法院做出，就像一些醫(yī)療決定是由法院做出的一樣。

“然而，在大多數(shù)支付情況下，這個決定似乎純粹是出于財務(wù)考慮，以減少業(yè)務(wù)中斷和重建系統(tǒng)以恢復的持續(xù)任務(wù)。”他總結(jié)道。

CTERA的Brand告訴CSOonline：“最近的調(diào)查顯示，雙重勒索——即攻擊者要求贖金并威脅泄露被盜數(shù)據(jù)——是77%的勒索軟件攻擊的一部分。贖金支付還可能激勵網(wǎng)絡(luò)犯罪分子攻擊其他組織，從而引發(fā)延續(xù)勒索軟件攻擊循環(huán)的倫理困境?！?/p>

最終，支付贖金未能保護UHG免受二次勒索企圖的侵害。

據(jù)安全供應商Forescout分析，4月，RansomHub組織的網(wǎng)絡(luò)犯罪分子威脅要泄露從Change Healthcare泄露中獲得的6TB敏感數(shù)據(jù)的一部分，這些數(shù)據(jù)是通過Nichy獲取的。據(jù)估計，有三分之一的美國人因這次攻擊而暴露了敏感數(shù)據(jù)。

醫(yī)療行業(yè)面臨越來越多的攻擊

合規(guī)專家指出，這種二次詐騙越來越普遍，醫(yī)療保健提供商尤其容易受到攻擊。

國際律師事務(wù)所Taylor Wessing技術(shù)、知識產(chǎn)權(quán)和信息團隊的合伙人Victoria Hordern告訴CSOonline：“對于打算進行勒索軟件攻擊的網(wǎng)絡(luò)犯罪分子來說，健康數(shù)據(jù)泄露是一個誘人的前景，因為他們知道如果醫(yī)療機構(gòu)無法訪問數(shù)據(jù)以提供患者護理，將會陷入癱瘓?！?/p>

Hordern繼續(xù)說：“當系統(tǒng)數(shù)量增加且涉及多方(如患者、醫(yī)療提供者、技術(shù)支持)時，就會有更多的薄弱點和漏洞，壞人可以通過這些點進入并控制系統(tǒng)?！?/p>

美國衛(wèi)生與公眾服務(wù)部(HHS)正在調(diào)查是否在評估UHG或Change Healthcare是否違反嚴格的醫(yī)療保健行業(yè)隱私法規(guī)時，發(fā)生了受保護健康信息泄露的情況。

這項調(diào)查仍在進行中。

Change Healthcare遭受的攻擊與最近對多家醫(yī)療公司進行的攻擊相吻合，包括Ascension、London Drugs、Cencora和Synnovis。

勒索軟件依然活躍

根據(jù)專家的說法，盡管ALPHV顯然實施了退出騙局，并且RansomHub的出現(xiàn)也未能改變利潤豐厚的勒索軟件即服務(wù)(RaaS)市場的基本驅(qū)動力。

Silobreaker研究負責人Hannah Baumgaertner表示：“ALPHV的退出騙局發(fā)生在執(zhí)法行動導致LockBit被取締的同一時間，這使得兩個最活躍的勒索軟件即服務(wù)組織不再運作?！?/p>

Baumgaertner警告說：“雖然有人可能會認為這意味著勒索軟件攻擊會減少，但事實并非如此?！?/p>

由于RaaS業(yè)務(wù)的性質(zhì)，之前與ALPHV合作的任何附屬機構(gòu)只會去尋找新的合作運營，與此同時，ALPHV的主要成員很可能會以不同的名稱開展新項目，根據(jù)Baumgaertner的說法。

據(jù)HHS統(tǒng)計，過去五年中勒索軟件攻擊增加了三倍多(264%)。與此同時，根據(jù)Proofpoint最近的《CISO之聲》調(diào)查，勒索軟件現(xiàn)在已成為CISO認為最大的威脅。