立刻註冊 按需型網路研討會,了解 2024 年 Microsoft 數位防禦報告深入解析。
以下部分概述了當前醫療保健領域的網路安全形勢,強調了這個產業作為主要目標的狀態、勒索軟體攻擊的頻率不斷增加,以及這些威脅造成的嚴重財務影響和患者護理的後果。
由 Microsoft 威脅情報策略總監 Sherrod DeGrippo 主持的影片進一步探討了這些重要問題,並提供了專家對威脅行為者、復原策略和醫療保健弱點的深入解析。
美國醫療保健產業因為廣泛的受攻擊面、舊版系統和不一致的安全性協定,吸引了擁有財務動機的網路罪犯並成為了他們的目標。醫療保健對數位技術的依賴、具敏感性資料以及許多組織面臨的資源限制 (通常是利潤微薄的情況) 所組成的因素,限制了他們充分投資於網路安全性的能力,使得他們很容易受到攻擊。此外,醫療保健組織不惜代價優先考慮患者護理,這可能會導致願意支付贖金以避免遭受破壞。
醫療保健組織也傳輸了大量資料。根據國家衛生資訊技術協調員辦公室的資料,超過 88% 的醫院揭露採用電子型式發送和獲取患者的健康資訊,超過 60% 的醫院揭露這些資訊都會整合到其電子健康記錄 (EHR) 中。15
網路罪犯的攻擊過程通常遵循兩步驟策略:通常透過網路釣魚或利用弱點獲得對網路的第一次存取,然後部署勒索軟體來加密重要系統和資料。這些策略的演變,包括合法工具的使用和激增的 RaaS,使得攻擊更容易進行並更加頻繁。
"電子郵件仍然是勒索軟體攻擊中,提供惡意軟體和網路釣魚攻擊的主要傳播途徑之一。"
針對醫療保健組織的活動,經常使用高度獨特性的誘餌。例如,Mott 強調威脅行為者使用醫療保健的特定術語 (例如引用屍檢報告) 來製作電子郵件,以提高可信度並成功欺騙醫療保健專業人員。
像這種社交工程策略,尤其是在醫療保健業的高壓環境中利用醫護人員經常感受到的緊迫性,來創造潛在的安全性失誤。
Mott 還指出,攻擊者的方法越來越複雜,經常使用"真實姓名、合法服務和 IT 部門常用的工具 (例如遠端管理工具)" 來逃避偵測。這些策略使得安全性系統難以區分惡意活動和合法活動。
Microsoft 威脅情報資料還顯示了攻擊者經常利用過去在組織軟體或系統中曾發現的已知弱點。這些常見弱點與暴露風險 (CVE) 有據可查,有可用的修補或修復程式,攻擊者通常以這些舊有的弱點為目標,因為他們知道許多組織尚未解決這些漏洞。18
在獲得初始存取的機會之後,攻擊者通常會進行網路偵察,若要識別可以透過異常掃描活動等指標來進行。這些操作幫助了威脅行為者描繪網路、識別重要系統,並為下一階段的攻擊做好準備:部署勒索軟體。
"RaaS 平台大眾化了複雜勒索軟體工具的使用程度,即使是技術技能最低的人也可以發起高效的攻擊。」
Mott 進一步詳細說明了 RaaS 的運作方式,他說,"這些平台通常會提供全方位的工具套件,包括加密軟體、支付處理,甚至用於協商贖金支付的客戶服務。這種統包方式使得更多的威脅行為者有能力執行勒索軟體活動,促使攻擊的數量和嚴重性都有增加。"
此外,Mott 強調了這些攻擊的配套狀況,強調"一旦部署了勒索軟體,攻擊者會迅速採取行動來加密重大系統和資料,通常是在幾個小時內完成。它們以基本基礎結構為目標,例如患者記錄、診斷系統,甚至計費作業,最大化地擴大對醫療保健組織支付贖金的影響力和壓力。"
面對日益複雜的勒索軟體攻擊,醫療保健組織必須對網路安全性採用多方面的方法。他們必須準備好承受、回應網路事件並從中復原,同時保持患者護理的連續性。
下列指導提供了全方位的架構,以增強復原力、確保快速復原、培養安全性優先的員工,並促進整個醫療保健產業的共同作業。
醫療保健網路安全性的有效治理,對於準備和回應勒索軟體攻擊至關重要。加州大學聖地牙哥分校醫療保健網路安全性中心的 Dameff 和 Tully 建議建立強大的治理架構,具有清晰的角色、定期訓練和跨學科共同作業。這有助於醫療保健組織增強其抵禦勒索軟體攻擊的復原能力,並確保患者護理的連續性,即使面臨重大破壞也是如此。
這個架構的一個重要觀念是打破臨床工作人員、IT 安全性團隊和緊急管理專業人員之間的孤島,並制定有凝聚力的事件回應計劃。當技術系統遭入侵時,這種跨部門共同作業對於維護患者安全和護理品質非常重要。
Dameff 和 Tully 還強調了設立專門的治理機構或委員會的必要性,該機構或委員會定期開會審查和更新事件回應計劃。他們建議授權這些治理機構透過逼真的模擬和演習來測試回應計畫,確保所有員工 (包括可能不熟悉紙本記錄的年輕臨床醫生) 都能在沒有數位工具的情況下而有效地運作。
此外,Dameff 和 Tully 強調了外部共同作業的重要性。他們主張建立區域和國家架構,允許醫院在大規模事件期間 相互支援,這呼應了"國家戰略性技術儲備"的必要性,這些技術可以暫時取代遭入侵的系統。
採用深度防禦策略非常重要,可以建立有效阻止勒索軟體攻擊的層級安全性態勢。這個策略包含保護醫療保健基礎結構的每個層級,從網路到端點再到雲端。透過確保實施多層級防禦,醫療保健組織可以降低勒索軟體攻擊成功的風險。
作為協助 Microsoft 客戶進行層級方法的參與者,Microsoft 威脅情報團隊會主動監視攻擊者的行為。當偵測到此類活動時,將會直接通知。
這不是付費或分級服務,各種規模企業都會得到相同的關注。目的是偵測到潛在威脅 (包括勒索軟體) 時及時提供警示,並協助採取措施保護組織。
除了實施這些防禦層級之外,制定有效的事件回應和偵測計劃也非常重要。有計劃是不夠的;醫療保健組織必須準備好在實際攻擊期間有效地執行,以最小化損害並確保快速復原。
最後,持續監控和即時偵測能力是強大的事件回應架構重要的構成要素,可確保及時識別和解決潛在威脅。
關於醫療保健網路復原的更多資訊,美國衛生及公共服務部 (HHS) 發佈了自願性醫療保健特定網路安全性效能目標 (CPG),以幫助醫療保健組織優先完成高影響力網路安全性的任務。
透過公共/私人合作流程進行建置,使用通用的產業網路安全性架構、指導方針、最佳做法和策略,CPG 的網路安全性實施子計劃,提供醫療保健組織用於加強網路準備、提高網路復原力,以及保護患者健康資訊和安全。
建立安全性優先的員工團隊,需要跨領域持續地共同作業。打破 IT 安全性團隊、緊急管理人員和臨床工作人員之間的孤島,並制定有凝聚力的事件回應計劃非常重要。如果沒有這種共同作業,醫院的 其他部門可能無法做好充分準備,也無法在網路事件期間有效地回應。
Dameff 和 Tully 強調團結內部團隊的重要性,例如醫生、緊急管理人員和 IT 安全性人員,他們經常單獨工作。將這些群體聚集在一起,設計和實施全方位的事件回應計劃,可以預防攻擊期間出現作業混亂。
在區域層級,醫療保健組織應建立合作夥伴關係,使醫療保健設施能夠共用容量和資源,確保即使某些醫院受到勒索軟體的影響,患者護理也能繼續進行。這種形式的集體防禦還可以協助管理患者溢出,並在醫療保健服務提供者之間分配重擔。
除了區域共同作業之外,國家和全球資訊共用網路也是關鍵。ISAC (資訊共用和分析中心),例如 Health-ISAC,是醫療保健組織交換重要威脅情報的平台。Health-ISAC 的首席資訊安全官 Errol Weiss 將這些組織與"虛擬鄰里守望計劃進行了比較,"成員組織可以快速共用關於攻擊和已驗證的緩解技術詳細資訊。這種情報共用有助於所有人準備或消除類似的威脅,更大規模地加強集體防禦。
關注 Microsoft 安全性