攻擊者希望迅速制造混亂，迫使受害者迅速支付異常高額的贖金。在人命攸關(guān)的情況下，醫(yī)療供應鏈是首要目標。聯(lián)合醫(yī)療集團以比特幣支付了2200萬美元的贖金，比特幣在數(shù)字貨幣區(qū)塊鏈上可見。BlackCat，或ALPHV主導了這次網(wǎng)絡(luò)攻擊。關(guān)于如何分配贖金的爭議導致其中一名攻擊者在他們的網(wǎng)絡(luò)犯罪地下論壇上指責ALPHV，他們沒有獲得公平的份額。

這些攻擊的影響繼續(xù)通過地區(qū)和國家醫(yī)療供應鏈產(chǎn)生影響，造成廣泛的金融混亂。《紐約時報》報道，攻擊對每個人的影響是多么深遠，從病人到準備進行手術(shù)的醫(yī)生。

醫(yī)療保健行業(yè)正面臨著巨大的挑戰(zhàn)

這是醫(yī)療史上最嚴重的網(wǎng)絡(luò)攻擊，進一步驗證了該行業(yè)在持續(xù)的數(shù)字入侵和勒索軟件攻擊中是多么脆弱。衛(wèi)生與公眾服務HHS漏洞門戶網(wǎng)站量化了隨著攻擊者加強對該行業(yè)的交易技巧，醫(yī)療保健行業(yè)的網(wǎng)絡(luò)攻擊如何繼續(xù)增長。埃森哲的一項研究顯示，18%的醫(yī)療保健員工愿意以500至1000美元的價格將機密數(shù)據(jù)出售給未經(jīng)授權(quán)的各方。

受到攻擊的組織聯(lián)合健康集團在其自動警報中報告稱，仍有113多個系統(tǒng)受到攻擊的影響。聯(lián)合健康集團于2月21日向美國證券交易委員會提交了一份8K文件，解釋了此次攻擊，并提供了更新鏈接。

衛(wèi)生與公眾服務部(HHS)已經(jīng)預見到了這一點，他們的信息安全辦公室制作了詳細解釋網(wǎng)絡(luò)威脅的報告和演示文稿。今年早些時候，他們發(fā)布了一份關(guān)于勒索軟件和醫(yī)療保健的50頁綜合演示文稿。

Expanso.io和BalkanID的顧問、前CISO Merritt Baer告訴記者：“勒索軟件組織喜歡供應鏈攻擊——我們從Kaseya到SolarWinds等備受矚目的目標中看到了這一點的證據(jù)。這是有道理的：他們的目標是在供應鏈中發(fā)揮作用的實體，以獲得超大的影響。換句話說，那些嵌入供應鏈的公司有下游客戶，而這些客戶有自己的下游客戶?！盉aer向記者強調(diào)，“勒索軟件組織正在尋找愿意付出代價的受害者。在像醫(yī)療保健這樣的受監(jiān)管領(lǐng)域，我們談論的是導致他們想要付費的業(yè)務和監(jiān)管成本?！?/p>

醫(yī)療保健提供者需要從哪里開始進行防御

勒索軟件攻擊戰(zhàn)略在識別和阻止方面正變得越來越具有挑戰(zhàn)性，勒索軟件即服務(RaaS)小組積極招聘具有通用Windows和系統(tǒng)管理工具專業(yè)知識的專家來發(fā)起傳統(tǒng)安全解決方案難以識別的攻擊，從而加速了勒索軟件攻擊戰(zhàn)略的實施。攻擊者最喜歡的詭計包括LotL攻擊和那些通過發(fā)現(xiàn)終端防御漏洞來從終端獲取身份的攻擊，LotL是使用常見工具發(fā)起的攻擊，因此不容易被跟蹤。

Baer觀察到，“從技術(shù)角度來看，請記住，使用勒索軟件即服務(RaaS)，人們可以在黑市上‘租用’實施勒索軟件的設(shè)備——所以你甚至不需要非常優(yōu)秀就能夠敲定一個實體?！?/p>

Ivanti的首席產(chǎn)品官Srinivas Mukkamala告訴記者：“威脅參與者越來越多地瞄準網(wǎng)絡(luò)環(huán)境方面的缺陷，包括遺留的漏洞管理流程?！盋ISO們表示，他們對供應鏈漏洞、勒索軟件和軟件漏洞的防御準備最少。只有42%的CISO和高級網(wǎng)絡(luò)安全負責人表示，他們已經(jīng)做好了防范供應鏈威脅的準備，46%的人認為這是一個高級別的威脅。

醫(yī)療保健行業(yè)的CISO及其團隊需要考慮以下入門策略：

首先完成評估，然后考慮事件響應定位器。醫(yī)療保健IT戰(zhàn)略顧問、前CIO Drex DeFord表示，醫(yī)療保健行業(yè)的CISO必須首先建立一個基線，并確保安全的環(huán)境。DeFord在接受采訪時表示：“當你做了一個評估后，要全面審視整個環(huán)境?！? DeFord還建議醫(yī)療保健行業(yè)的CISO，如果他們還沒有事件反應定位器，就去買一個。他建議說：“這確保了一旦發(fā)生安全事故，你可以打電話給別人，他們會立即趕來?！?/p>

立即消除IAM和PAM系統(tǒng)中任何不活動、未使用的身份。要刪除休眠憑據(jù)，請將技術(shù)堆棧中的每個IAM和PAM系統(tǒng)硬重置為身份級別，它們將網(wǎng)絡(luò)攻擊者引向IAM和PAM服務器。首先，刪除過期的帳戶訪問權(quán)限，其次，通過重置特權(quán)訪問策略，按角色限制用戶數(shù)據(jù)和系統(tǒng)訪問。

確保BYOD資產(chǎn)配置是最新的和合規(guī)的，安全團隊的大部分終端資產(chǎn)管理時間都花在更新和合規(guī)的公司擁有的設(shè)備配置上，團隊并不總是使用BYOD終端，而且IT部門對員工設(shè)備的政策可能過于寬泛。CISO及其團隊開始更多地依賴終端保護平臺來自動化公司和BYOD終端設(shè)備的配置和部署。CrowdStrike Falcon、Ivanti Neurons和Microsoft Defender for Endpoint將來自電子郵件、終端、身份和應用程序的威脅數(shù)據(jù)關(guān)聯(lián)在一起，是可以大規(guī)模實現(xiàn)這一點的領(lǐng)先終端平臺。

為每個經(jīng)過驗證的帳戶啟用多因素身份驗證(MFA)。攻擊者的目標是醫(yī)療保健提供者經(jīng)常做生意的企業(yè)，他們試圖獲得特權(quán)訪問和身份盜竊的憑據(jù)，這使他們能夠訪問內(nèi)部系統(tǒng)。帳戶擁有的權(quán)限越高，就越有可能成為基于憑據(jù)的攻擊的目標。作為第一步，為所有外部業(yè)務合作伙伴、承包商、供應商和員工實施MFA。在取消第三方不需要的憑據(jù)時要嚴格。

通過自動化補丁程序管理降低勒索軟件風險。自動化將IT和桌面員工從支持虛擬員工和高優(yōu)先級數(shù)字化轉(zhuǎn)型項目的繁重工作負擔中解脫出來。62%的IT和安全專業(yè)人員拖延補丁管理，因為71%的人認為打補丁太復雜、太耗時。他們的目標是超越基于庫存的補丁管理，轉(zhuǎn)向人工智能、機器學習和基于機器人的技術(shù)，以便對威脅進行優(yōu)先排序。

是時候把網(wǎng)絡(luò)安全支出視為商業(yè)決策了。醫(yī)療保健提供商需要將網(wǎng)絡(luò)安全支出視為降低風險的商業(yè)投資。隨著攻擊者將他們的行業(yè)視為最軟弱和最有利可圖的目標之一，迫切需要定義網(wǎng)絡(luò)安全的商業(yè)價值，而不僅僅是一種費用——它是一種投資。

Baer表示：“請記住，勒索軟件通常是以金錢為動機的。聯(lián)合健康集團支付贖金這一事實表明攻擊者選擇了一個容易得逞的目標?！?/p>