Ransomware-Angriffe im Gesundheitswesen nehmen zu – wie man sich vorbereitet

Konnten Sie an der Transform 2022 nicht teilnehmen? Sehen Sie sich jetzt alle Summit-Sitzungen in unserer On-Demand-Bibliothek an! Schau hier.


Cyberkriminelle werden immer geschickter darin, legitime Tools einzusetzen, um schwerere und bewaffnete Ransomware-Angriffe auf Gesundheitsdienstleister zu starten. Darüber hinaus vermeiden sie eine Entdeckung, indem sie sich auf Technologien für außerirdische Lebende (LotL) verlassen, die Angriffe in eine langfristige digitale Pandemie verwandeln. Mit nativen Windows- und Standard-Fernverwaltungstools vermischen sich die Aktionen von Ransomware unentdeckt mit regulären Systemadministratoraktivitäten. Infolgedessen gab es allein im vergangenen Jahr einen Anstieg der Ransomware-Angriffe auf das Gesundheitswesen um 94 %.

Die aktuelle Sophos-Studie „The State of Ransomware in Healthcare 2022“ stellte fest, dass allein in diesem Jahr das Volumen der Cyberangriffe um 69 % und ihre Komplexität um 67 % gestiegen sind. Eine andere Umfrage ergab, dass 18 % der Beschäftigten im Gesundheitswesen bereit sind, vertrauliche Daten für weniger als 500 bis 1.000 US-Dollar an Unbefugte zu verkaufen. Jeder vierte Mitarbeiter kennt jemanden, der den Zugang zu Patientendaten an Fremde verkauft hat. Es überrascht nicht, dass Insider diejenigen sind, die 58 % aller Missbräuche im Gesundheitswesen initiieren. Der jüngste Bericht von IBM über Datenschutzverletzungen ergab, dass 83 % aller befragten Unternehmen mehr als eine Datenschutzverletzung erlebt haben. Zu den wichtigsten Faktoren gehören Remote-Arbeit und interne Mitarbeiter, die ihre Premium-Zugangsdaten verkaufen möchten.

Ransomware im Gesundheitswesen: eine sich beschleunigende digitale Pandemie

Gesundheitsdienstleister sind die Hauptziele von Ransomware-Angriffen, da sie oft weniger als 10 % ihres IT-Budgets für Sicherheit ausgeben und Patientendaten häufig verwendet werden, um Betrug und Identitätsdiebstahl zu starten. Accellion zahlt im Januar eine Abfindung in Höhe von 8,1 Millionen US-Dollar, den Cyberangriff CaptureRX, der 17 Krankenhäuser betraf, und den Cyberangriff Scripps, der fünf Krankenhäuser und 19 ambulante Einrichtungen betraf, mit geschätzten Kosten von 106,8 Millionen US-Dollar, die die Schwere dieser digitalen Epidemie bestimmen.

Laut Breakthrough Portal des US-Gesundheitsministeriums gab es im Jahr 2022 bisher 368 Verstöße, von denen 25,1 Millionen Patienten betroffen waren. 206 der Hacks begannen mit dem Hacken von Netzwerkservern mit Malware, und 95 begannen mit E-Mail-Phishing und dem Missbrauch privilegierter Anmeldeinformationen.

Vorfall

Metabit 2022

MetaBeat wird am 4. Oktober in San Francisco, Kalifornien, Vordenker zusammenbringen, um eine Anleitung zu geben, wie die Metaverse-Technologie die Art und Weise verändert, wie alle Branchen kommunizieren und Geschäfte machen.

Hier registrieren

„Wir wissen, dass die Bösewichte, sobald sie sich dem Netzwerk angeschlossen und das erste Gerät gehackt haben, im Durchschnitt in etwa einer Stunde und 38 Minuten seitwärts zum nächsten Gerät, dann zum nächsten Gerät und zum nächsten Gerät gehen können Sobald sie es herausgefunden haben, steigt die Wahrscheinlichkeit, dass Sie Ransomware ausgesetzt werden und Daten aus Ihrer Umgebung extrahieren.“Und die Executive Strategist und CIO, CrowdStrike, sagte VentureBeat in einem Interview.

Die wachsende Bedrohung durch fortschrittliche Ransomware-as-a-Service (RaaS)-Pakete verdoppelt das Risiko für Gesundheitsdienstleister durch häufige Ransomware-Angriffe. Das HHS-Cybersicherheitsprogramm stellte fest, dass ALPHV/BlackCat, Conti, Hive, LockBit und SunCrypt die fünf aktivsten RaaS-Gruppen sind, die auf das Gesundheitswesen abzielen.

Jede RaaS-Gruppe hat Erfahrung in der Automatisierung von Ransomware-Angriffen mit nativen Windows- und beliebten Remote-Management-Tools, die über das hinausgehen, was Unternehmen blockieren oder eindämmen können. Wenn Angreifer Ransomware-Angriffe mit vorhandenen Tools starten, sind Eindringlinge schwer zu identifizieren, da ihr Verhalten mit legitimen Verwaltungsaktivitäten verschmolzen ist.

Ransomware-Angreifer verlassen sich auf Fernzugriff, Verschlüsselung, Dateiübertragung, Microsoft Sysinternals und Open-Source-Dienstprogramme und -Tools, einschließlich Cobalt Strike, Process Hacker und andere, um Gesundheitsdienstleister anzugreifen und Ransomware zu erpressen. Quelle: HHS Cybersecurity Program, Ransomware-Trends im HPH-Sektor (Q1 2022).

Wie Misstrauen helfen kann

Ransomware-Angriffe beginnen oft, wenn Endpunkte, privilegierte Zugangsdaten und Schwachstellen im Identitätsmanagement kompromittiert werden. Viele Gesundheitsdienstleister haben automatisierte Identitäten, die mehr geschützt werden müssen als menschliche Identitäten, wodurch Identity Access Management (IAM) und Privileged Access Management (PAM) im Mittelpunkt von ZTNA-Initiativen stehen. Das Ziel sollte sein, für mehr Flexibilität zu entwerfen. CISOs und ihre Teams brauchen Barrieren, um auf Kurs zu bleiben und gleichzeitig zu erkennen, dass viele Anbieter ihre eigenen Misstrauenslösungen verzerren.

Zwei Standarddokumente bieten Sicherheits- und Risikomanagementexperten im Gesundheitswesen Sicherheit bei der Definition ihrer ZTNA-Initiativen. Das erste ist ein kürzlich veröffentlichtes Update des Nationalen Cybersicherheitszentrums des National Institute of Standards and Technology (NIST) mit dem Titel „Implementing a Zero Trust Architecture“.

John Kindervag, der während seiner Zeit bei Forrester Zero Trust aufgebaut hat und derzeit Senior Vice President, Cyber ​​Security Strategy und ON2IT Group Fellow im Bereich ON2IT Cyber ​​Security ist, und Chase Cunningham, Ph. Industry, der das National Security Communications Advisory Committee (NSTAC ) Entwurf zu Zero Trust und Trusted Identity Management. Das NSTAC-Dokument definiert eine Zero-Trust-Architektur als „eine Architektur, die alle Benutzer als potenzielle Bedrohungen behandelt und den Zugriff auf Daten und Ressourcen verhindert, bis Benutzer ordnungsgemäß authentifiziert und autorisiert werden können“. Das NSTAC-Dokument und die neuen NCCoE-Richtlinien sind für Gesundheitsdienstleister unerlässlich, um ihre eigenen Anti-Trust-Initiativen zu planen und umzusetzen.

Wo Gesundheitsdienstleister ansetzen müssen

Ransomware-Angriffsstrategien im Gesundheitswesen werden immer schwieriger zu identifizieren und zu stoppen. RaaS-Gruppen rekrutieren Spezialisten mit kombiniertem Fachwissen in Windows- und Systemadministrator-Tools, um weitere LotL-Angriffe zu starten. Die Perimetersicherheit verlangsamt diese Angriffe nicht, während sich die Kernprinzipien der unternehmensweiten Anwendung von ZTNA als effektiv erwiesen haben.

CIOs im Gesundheitswesen und ihre Teams müssen die folgenden Strategien berücksichtigen, um loszulegen:

Lassen Sie zuerst eine Siedlungsbewertung durchführen und erwägen Sie, eine Reaktion auf Vorfälle aufrechtzuerhalten

DeFord von CrowdStrike sagt, dass Manager von Gesundheitsinformationsdiensten zunächst eine Grundlinie festlegen und eine saubere Umgebung sicherstellen müssen. Er sagte VentureBeat kürzlich in einem Interview: „Wenn eine mittlere Bewertung erfolgt ist, werfen Sie einen Blick auf die gesamte Umgebung und stellen Sie sicher, dass Sie nicht im Besitz sind und … wissen Sie es nur noch nicht, das ist sehr wichtig.“

DeFord rät außerdem den Informationssicherheitsmanagern im Gesundheitswesen, einen Agenten für die Reaktion auf Vorfälle zu beauftragen, falls sie noch keinen haben. „Das stellt sicher, dass Sie jemanden anrufen können, wenn etwas passiert und Sie einen Sicherheitsvorfall haben, und er wird sofort kommen“, rät er.

Entfernen Sie sofort alle toten und ungenutzten Identitäten in IAM- und PAM-Systemen

Führen Sie auf jedem IAM- und PAM-System im technischen Stack einen Hard-Reset auf die Identitätsebene durch, um sicherzustellen, dass keine ungenutzten Anmeldeinformationen mehr aktiv sind. Sie sind die Eingangstür zu IAM- und PAM-Servern, nach denen Cyberangreifer Ausschau halten. Entfernen Sie als ersten Schritt die Zugriffsrechte für alle abgelaufenen Konten. Setzen Sie zweitens privilegierte Zugriffsrichtlinien nach Rolle zurück, um die Art der Daten und Systeme einzuschränken, auf die jeder Benutzer zugreifen kann.

Implementieren Sie Multi-Faktor-Authentifizierung (MFA) für alle verifizierten Konten

Hacker zielen auf Unternehmen ab, mit denen Gesundheitsdienstleister regelmäßig zusammenarbeiten, um ihre Identitäten und privilegierten Zugangsdaten zu stehlen und sich dann Zugang zu internen Systemen zu verschaffen. Je mehr Privilegien ein Konto hat, desto wahrscheinlicher ist es, dass es einem auf Anmeldeinformationen basierenden Angriff ausgesetzt ist. Führen Sie die MFA in der ersten Phase jeder Misstrauensinitiative bei allen externen Geschäftspartnern, Lieferanten, Auftragnehmern und Mitarbeitern ein.

Automatisieren Sie Konfigurationen und Bereitstellungen von Endpunktgeräten über eine einzige Cloud-Plattform, um die Ransomware-Angriffsfläche zu reduzieren

Der neueste Bericht von Forrester, The Future of Endpoint Management, bietet nützliche Einblicke und Vorschläge für CIOs und ihre Teams, wie sie das Endpoint-Management modernisieren können. Forrester identifiziert sechs Merkmale des modernen Endpunktmanagements, die Herausforderungen des Endpunktmanagements und die vier Trends, die die Zukunft des Endpunktmanagements im Jahr 2022 und darüber hinaus bestimmen. „Die meiste selbstreparierende Firmware ist direkt in die OEM-Hardware selbst integriert“, sagte Andrew Hewitt, Forrester-Analyst und Autor des Berichts, gegenüber VentureBeat.

“Es lohnt sich, in Gesprächen vor dem Kauf danach zu fragen, wenn neue Bedingungen für Endpunkte ausgehandelt werden. Welche Arten von Sicherheit sind in die Hardware integriert? Wer sind die Akteure dort? Welche zusätzlichen Verwaltungsvorteile können wir erhalten?”, riet Hewitt.

Forrester stellte fest, dass „ein globaler Personalvermittler bereits die Selbstreparatur auf Firmware-Ebene mit der Anwendungskontinuitätsfunktion von Absolute Software integriert, um sicherzustellen, dass sein VPN weiterhin für alle Remote-Mitarbeiter funktioniert.“ Absolute bietet selbstheilende Endpunkte und ein nicht entfernbares digitales Halteband für jeden computerbasierten Endpunkt. Das Unternehmen hat kürzlich Ransomware Response auf der Grundlage seiner Erkenntnisse aus dem Schutz vor Ransomware-Angriffen eingeführt. Andere führende Anbieter, die die Konfiguration und Bereitstellung von Peripheriegeräten automatisieren können, sind CrowdStrike Falcon, Ivanti Neurons und Microsoft Defender 365.

Automatisieren Sie das Patch-Management, um das Risiko eines Ransomware-Angriffs weiter zu reduzieren

Die Patch-Management-Automatisierung entlastet die IT und trägt dazu bei, das Büropersonal von der hohen Arbeitsbelastung zu entlasten, die IT-Teams bereits haben, um virtuelle Mitarbeiter und Projekte zur digitalen Transformation mit hoher Priorität zu unterstützen. Die Mehrheit (71 %) der IT- und Sicherheitsexperten hält das Debugging für zu komplex und zeitaufwändig, und 62 % geben zu, dass sie nur zögernd Zeit für die Debugging-Verwaltung aufwenden. Sie suchen nach einer Möglichkeit, über das inventarbasierte Patch-Management hinaus zu einem stärker automatisierten Ansatz auf der Grundlage künstlicher Intelligenz (KI), maschinellem Lernen und Bot-basierter Technologie zu wechseln, die bei der Priorisierung von Bedrohungen helfen kann.

Zu den führenden Anbietern zählen Blackberry, CrowdStrike Falcon, Ivanti Neurons for Patch Intelligence und Microsoft. Die Übernahme von RiskSense durch Ivanti im vergangenen Jahr kombinierte Ivantis Expertise bei der Vereinfachung der Debug-Intelligenz mit dem vielfältigen Datensatz von RiskSense für Ransomware-Angriffe, der als der umfassendste der Branche gilt. Die Erstellung von Schwachstellen-Risikoprofilen und Risikoinformationen von RiskSense war ein wesentlicher Bestandteil der Übernahme. Die Übernahme spiegelt die Zukunft des KI-basierten Patch-Managements wider und integriert alle verfügbaren Daten in eine Echtzeit-Risikobewertung, um Ransomware-Angriffe zu identifizieren und gleichzeitig das Patch-Management zu automatisieren, um exponierte Bedrohungsoberflächen für Gesundheitsdienstleister zu reduzieren.

Mehr Flexibilität zu schaffen ist der Schlüssel

Anfang dieser Woche sagte George Kurtz, President, CEO und Mitbegründer von CrowdStrike, auf CNBC, dass 80 % der Verstöße identitätsbasiert seien. Er betonte, dass Vorstände sehen müssen, dass die wichtigsten Risiken für ihr Geschäft internetbasierte Risiken sind, „das systematische Risiko, dass Geschäfte mit Dingen wie Ransomware zusammenbrechen“, während die Compliance immer komplexer wird, erwähnte er auch in einem Interview.

Basierend auf den Kommentaren von Kurtz ist klar, dass CISOs in den Vorstand aufgenommen werden sollten, um das Risikomanagement zu unterstützen und gleichzeitig die Compliance zu automatisieren. Die Stärkung von Endpunkten sei eine der effektivsten Strategien zum Schutz von Identitäten, sagte Kurtz in seinem CNBC-Interview.

In einem Interview Anfang dieses Jahres mit VentureBeat sagte Paddy Harrington, Chief Security and Risk Analyst bei Forrester, dass drei Faktoren die Zukunft von Endpunktplattformen bestimmen. Sie sind Isolierung, Eindämmung und Fragmentierung. Automatisierung; und intelligente Berichte. In Bezug auf die Automatisierung sagt Harrington: „Künstliche Intelligenz, maschinelles Lernen, Skripte und vorkonfigurierte Prozesse reduzieren die Menge an menschlicher Interaktion und sind konsistent.“ Leider wächst die Anzahl der IT-/Sicherheitsmitarbeiter nicht, um mit der Vielfalt Schritt zu halten Umgebungen, und die zusätzliche Komplexität führt nur zu verlängerten Reaktionszeiten. Angriffe werden auch komplexer, und ein fehlerhafter Parser-Fehler oder eine Antwortverzögerung können schwerwiegende Folgen haben.“

In der Zwischenzeit werden Cyberangreifer weiterhin Endpunkte im Gesundheitswesen angreifen, um Ransomware-Angriffe zu starten, da Endpunkte der perfekte Verteilungspunkt für zusätzliche Payloads sind. Der Schlüssel zur Reduzierung von Ransomware-Angriffen im Gesundheitswesen besteht darin, Endpunkte zu stärken und sie widerstandsfähiger und selbstheilender zu machen, während das unternehmensweite ZTNA-Framework definiert und implementiert wird.

VentureBeat-Mission Es soll die digitale Stadtarena für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologien und -transaktionen anzueignen. Entdecken Sie unsere Briefings.

William

Leave a Reply

Your email address will not be published.