Kliniker führen eine Tracheotomie an einem Patienten auf einer Intensivstation der Intensivstation COVID-19 in Los Angeles, Kalifornien, durch. Nach dem SolarWinds-Vorfall starten immer mehr Gesundheitseinrichtungen Bedrohungsjagden, um ausnutzbare Schwachstellen zu suchen und zu zerstören. (Foto von Mario Tama / Getty Images)

Wenn Ransomware- und Datenexfiltrationsangriffe, die während der Pandemie auf Krankenhäuser und Impfstoffforscher abzielten, eine Cyber-Hygiene-Krise im Gesundheitswesen signalisierten, zeigte der Angriff auf die Lieferkette von SolarWinds, wie tief das Problem geht.

Schließlich sind Gesundheitseinrichtungen besonders auf Software und medizinische Geräte von Drittanbietern angewiesen, um im täglichen Betrieb zu arbeiten, aber auch Leben zu retten. Je mehr Partner eine Einrichtung verwendet, desto größer ist das Risiko eines Systembruchs oder eines Systemangriffs.

Ein neuer Bericht, der diese Woche vom CyberPeace-Institut veröffentlicht wurde, soll die menschlichen Auswirkungen veranschaulichen, die unerbittliche Cyberangriffe auf Mitarbeiter, Patienten und die Gesellschaft im Gesundheitswesen haben. Der Bericht enthält eine Zusammenstellung von Interviews, externen Recherchen und aktuellen Nachrichten und bietet wichtige Empfehlungen für verschiedene Interessengruppen. Darunter: „Entwickeln Sie branchenweit Zertifizierungs- und Kennzeichnungssysteme, um das Vertrauen und die Sicherheit in Produkte und Dienstleistungen zu stärken und damit die komplexe Lieferkette im Gesundheitswesen zu schützen, die im täglichen Betrieb stark von Drittanbietern abhängig ist.“

In der Zwischenzeit sieht Tony Cook, Leiter der Abteilung für Bedrohungsinformationen im Beratungsteam von GuidePoint Security, einen weiteren Ansatz, der immer beliebter wird. Nach dem SolarWinds-Vorfall gibt es immer mehr Gesundheitseinrichtungen Beginn von Missionen zur Bedrohungsjagd ausnutzbare Schwachstellen in Anwendungen von Drittanbietern zu suchen und zu zerstören.

Cook, ein ehemaliger Abteilungsleiter des Navy Cyber ​​Operations Command, hat während seiner Karriere an verschiedenen Fronten mit Gesundheitsunternehmen zusammengearbeitet und diese konsultiert, unter anderem als Direktor der Incident-Response-Firma Crypsis Group, als Hauptsicherheitsberater bei RSA Security und jetzt bei GuidePoint. Cook hat kürzlich mit SC Media über diesen aufkeimenden Trend zur Bedrohungssuche gesprochen.

Geben Sie mir als Referenzrahmen einen Zeitplan, wann Sie diesen starken Anstieg der Bedrohungssuche bei Gesundheitseinrichtungen feststellen können.

Tony Cook, Leitfaden

Koch: Ich kann fast zu 100 Prozent – mit einiger Variabilität – auf die Verletzung von SolarWinds hinweisen, da dies der Haupttreiber dafür ist, warum Menschen ihre Netzwerke betrachten möchten, insbesondere in der Gesundheitsbranche. [which prior to SolarWinds saw] viele Ransomware-Hits.

Wenn wir uns also hinsetzen und mit den CISOs sprechen, machen sie sich in diesen Organisationen die meiste Zeit Sorgen um eine, Ransomware und die Auswirkungen und dann zwei Angriffe auf die Lieferkette.

Es war also eine große Trendwende oder ein Dreh- und Angelpunkt, die Grundlagen zu erarbeiten… und Ihre Netzwerkhygiene richtig zu machen, um sicherzustellen, dass Sie die Dinge richtig segmentieren: „Was in meinem Netzwerk kann ich nicht vertrauen?“

Wir gehen jetzt definitiv den Weg, sie zu Null-Vertrauens-Modellen zu führen und sie dazu zu bringen, das zu verstehen. Es war ein großer Wechsel von den Grundlagen zum Verständnis… wie diese Dritten in meinen Prozessen sind und wie ich die Art der Protokollierung erhalten kann, die ich wissen muss, wenn etwas Schlimmes passieren sollte.

Die Ransomware-Angriffe waren also nicht einmal so ein Anreiz, die Bedrohungssuche einzuleiten, wie der Vorfall in der Lieferkette von SolarWinds? Was ist mit anderen Verstößen, die über einen Dritten aktiviert wurden?

Koch: Es gab einige Folgemaßnahmen [incidents], wie Accellion … Es gab nur eine Sicherheitslücke, und jetzt werden Daten von Natur aus exfiltriert. Ein paar davon haben das Gesundheitswesen getroffen, an dem wir leider arbeiten mussten. Aber ja, [there’s now] Dieser gleitende Trend, nichts vertrauen zu können, was Sie nicht selbst bauen konnten.

Dies muss insbesondere für Krankenhäuser und Gesundheitsorganisationen ein erheblicher Schmerzpunkt sein, wenn Sie an die unzähligen Systeme und medizinischen IoT-Geräte von Drittanbietern denken, die alle ein Risiko von Drittanbietern darstellen.

Koch: Und das ist der Teil, der für viele Menschen schwierig ist, sich überhaupt Gedanken zu machen. Viele Unternehmen haben ohnehin nur Probleme mit der Sichtbarkeit in ihrer Umgebung, unabhängig davon, ob dunkle IT oder Schatten-IT ausgehen. Und Sie kennen nicht einmal die Server in Ihrer Umgebung oder die IoT-Geräte – etwas so Einfaches wie ein Fernseher, der nur für die Umgebung geöffnet ist.

Es geht wirklich darum, sicherzustellen, dass Sie vollständige Sichtbarkeit haben… Und dazu gehören viele Dinge wie die Sicherstellung, dass Sie die Umgebung durchsuchen können und es keine Ausreißer gibt. Was sind auf diesen Systemen? Was sind die Schwachstellen? Welche Dienstleistungen bieten sie an? Und im Großen und Ganzen, welche Artefakte können wir daraus ziehen, um zu sehen, ob bereits etwas Schlimmes passiert ist?

Diese Art der Bedrohungssuche ist etwas, was Organisationen in vielen Branchen und Sektoren tun. Können Sie mir neben der oben genannten Fülle von Geräten und Systemen in einem Krankenhaus erklären, was an den Herausforderungen der Bedrohungssuche im Gesundheitswesen noch einzigartig ist?

Koch: Es gibt… die Vorschriften, die damit einhergehen können [using] ein medizinisches Gerät: Sie müssen über bestimmte Genehmigungen von bestimmten Agenturen verfügen, um auf einem dieser Hosts sogar eine Endpunkterkennungs- und Antwortfunktion einrichten zu können. Das kann bis zu sechs Monate bis zu einem Jahr dauern, um sichtbar zu werden. Und das gilt auch für die geringsten Änderungen bei der Windows-Protokollierung. Offensichtlich gehen die Leute manchmal Schurken und machen dort einfach ihr eigenes Ding, aber wenn es um medizinische Geräte geht, wird viel geprüft, ob selbst kleinste Konfigurationsänderungen vorgenommen werden sollen.

Hoffentlich sind diese Dinge vom normalen Netzwerk getrennt und sie haben die richtigen Dinge getan, um es Angreifern schwer zu machen. Angesichts der heutigen Vernetzung der meisten dieser Geräte – ob Bluetooth oder eine andere Netzwerkkonnektivität – können Sie sich in vielen dieser Umgebungen relativ leicht drehen, wenn zuvor keine Netzwerkhygiene durchgeführt wurde.

Wie sieht dieser Anstieg bei der Bedrohungsjagd aus? Wie sieht es aus?

Koch: Um Ihre Frage zu beantworten, gehe ich zurück zu dem, was wir früher gesehen haben. Früher sahen wir viele Risikomanagement-Frameworks, die eintrafen und im Wesentlichen versuchten, jedes Risiko zu umgehen… in einer Organisation Prioritäten zu setzen und alles richtig zu machen. Es war ein so komplizierter Prozess – dieser Bericht, den diese Personen erhalten würden -, dass drei Vollzeitmitarbeiter diesen Bericht lesen und versuchen müssten, ihn an die richtige Organisation oder die richtigen Einheiten innerhalb der Organisation weiterzuleiten, um Bewegung zu erhalten. Sogar etwas so Einfaches wie “Sie müssen eine Richtlinie zum Zurücksetzen des Passworts haben” [was complicated].

Das war der große Schwerpunkt: Der Versuch, sicherzustellen, dass Sie für alles ein Risikomanagement-Framework haben. Versteh mich nicht falsch, das sollte immer noch eine Sache sein. Was wir jedoch gesehen haben, ist die Priorisierung der tatsächlichen Bedrohungssuche, bei der Sie die in der Vergangenheit beobachteten Kompromissindikatoren berücksichtigen und die richtige Hypothese in Ihrer Umgebung aufstellen. „Hier sind die Bedrohungen, die es geben würde [found in] es.” Und diese Bedrohungsmodellierung wirklich auf eine exakte Wissenschaft zu reduzieren, damit Sie die richtigen Bedrohungsjagden in Ihrer Umgebung durchführen können und nicht nur Ihre Zeit damit verschwenden, zu glauben, dass Sie sicher sind, weil Sie einige Bedrohungs-Feeds von einer zufälligen Organisation aktiviert haben.

Könnten Sie mir ein konkretes Beispiel für eine Gesundheitsorganisation geben, mit der Sie kürzlich zusammengearbeitet haben und die mehr rotes Teaming oder Bedrohungssuche einleiten wollte, um Bedrohungen auszurotten, die durch die jüngsten Vorfälle mit Ransomware und SolarWinds veranschaulicht wurden?

Koch: Ich habe definitiv eine aktuelle Fallstudie… Es war ein Ransomware-Hit. Wir haben festgestellt, dass die Verweilzeit etwa zweieinhalb Monate beträgt. Dort konnten sie sich in der Umgebung bewegen, die erforderlichen Anmeldeinformationen abrufen und sich dann nur seitlich bewegen, um ein paar wichtige Dinge zu erfassen, die sie wollten.

Wir glauben tatsächlich, dass… der erste Zugang zur Umwelt vermittelt wurde. Danach verkauften sie es an einen Ransomware-Schauspieler. Glücklicherweise hatte diese Gesundheitsorganisation Luftspalte bei allem, was möglicherweise schrecklich wäre [knocked] raus, wie [electronic health record] Systeme. Der größte Teil ihres gesamten Labors war nicht online oder hatte zumindest eine Lücke dazwischen.

Nachdem wir die gesamte Analyse abgeschlossen und ihnen gezeigt hatten, was geschehen war, kamen wir mit einem ganzen Empfehlungsteil zurück. [We said:] „Selbst Ihr IR-Plan sieht nicht nach Schnupftabak aus. Beginnen wir dort und arbeiten einige dieser Szenarien durch… Dies war Ransomware, aber was passiert, wenn es sich um eine SolarWinds handelt? “

Wir sind gerade dabei, sie dazu zu bringen, zu verstehen, dass diese sich wiederholenden konsistenten Tests – ob Pen-Tests, lila Teaming oder ähnliche Dinge – in Ihrer Umgebung durchgeführt werden müssen, damit Sie einen konstanten Daumen behalten am Puls Ihrer gesamten Umgebung zu verstehen, wann neue Dinge in Ihr System eingeführt werden.

Was ist Ihrer Meinung nach der Reifegrad der Bedrohungsjagdprogramme der meisten Gesundheitsorganisationen?

Koch: Ich würde vermuten, dass die meisten von ihnen auf Stufe eins sind. Es geht nicht nur darum, zu alarmieren. Sie haben wahrscheinlich ein Bedrohungsjagd-Futter gekauft und es wird in eine Art SIEM gestellt, die die Leute vielleicht anschauen, vielleicht nicht.

Der Versuch, sie dazu zu bringen, zu verstehen, wie sie von ihrem Standort aus zu zwei, drei, vier gelangen – das größte Problem besteht darin, ihnen zu zeigen, dass sie nicht die richtige Sichtbarkeit haben. Diese Lückenanalyse von “Sie würden dies nicht einmal erkennen können, wenn Sie dies in Ihrer Umgebung sehen würden, weil Sie diese Tools oder diese Protokollierung nicht installiert haben oder es hier einfach keine Segmentierung gibt.”

Sehen Sie zumindest Anzeichen dafür, dass sich dieses neu entdeckte Interesse an der Bedrohungsjagd später auszahlt?

Koch: Was ich bisher in diesem Jahr gesehen habe, ist eine Menge Buy-In, von Anfang dieses Jahres an nach dem SolarWinds-Zeug. Viel Buy-In von der C-Ebene abwärts, wo sie vorher vielleicht nur gesagt haben: “Wir haben nicht das Budget” oder “Es gibt einfach keine Möglichkeit, dass wir diese Dinge tun können, weil.” des Personals. “

Fast alle Organisationen, mit denen wir gerade zusammenarbeiten, haben ihr Geld wirklich dort eingesetzt, wo es ihnen gefällt – ob sie neue Mitarbeiter eingestellt haben, um zu helfen, ob sie neue Produkte kaufen oder nur versuchen, ein tieferes Verständnis für die Funktionsweise zu erlangen Arbeit in der Gesundheitsorganisation.

Ich habe momentan große Hoffnungen darauf, vor allem, weil ich denke, dass Maßnahmen gegen das C-Level-Management ergriffen werden könnten, wenn die Leute herausfinden, dass es viel laxe Sicherheit gibt [that led to a successful attack].

Was ist mit den Geräteherstellern und Softwareanbietern von Drittanbietern, die mit diesen Gesundheitseinrichtungen zusammenarbeiten?

Koch: Es gibt eine Menge Kommunikation hin und her, bei der viele Anbieter derzeit versuchen, so transparent wie möglich zu sein, um die Leute wissen zu lassen: „Wir arbeiten an all unseren Prozessen und stellen sicher, dass es keine SolarWinds-Probleme in unseren gibt Umgebung.” Was ich jedoch für die Zukunft sehe, sind bestimmte Branchen mit einem Rahmen, der besagt, dass sie diese Sicherheitsüberprüfungen erfüllen, bevor sie in unserer Umgebung aktiviert werden können.

Wird das das langfristige Problem wirklich beheben? Führen Sie immer eine vollständige Überprüfung jedes Codes durch, der in Ihre Appliance eingeht? Wahrscheinlich nicht, aber ich denke, dass die Idee,… sicherzustellen, dass Sie sogar das Baselining in Ihrer Umgebung haben, um zu sehen, ob dieses Gerät etwas Seltsames tut… [and] Die Idee, kein Vertrauen zu haben, wirklich zu sperren, wird die Zukunft sein.