医疗保健长期以来一直是勒索软件攻击的主要目标。这不会改变,也不可能改变。Claroty/Team82 的《CPS 安全状况 – 2023 年医疗保健》讨论了原因。
医疗保健是一个关键行业,将大规模使用融合 IT 和 OT 与大量不同的 OT 设备相结合,这些设备依赖于通过 WiFi 提供的 IT 控制,并且对中断的容忍度非常低。该行业非常容易被利用,并且有强烈的动机尽可能快速、无缝地解决敲诈勒索攻击。生命可能取决于它。
根据 FBI 2023 IC3 报告,医疗保健行业去年遭受了 249 起勒索软件攻击,比第二大受攻击的 CNI 行业(关键制造业)多出 31 起,是金融服务遭受攻击的两倍多。
Claroty/Team82 的报告分析了医疗保健 IT 环境的组件,以解释其对攻击的敏感性。它指出,对患者隐私(由 HIPAA 涵盖)的威胁已转变为对患者生命的威胁。
该报告有一些令人担忧的结论。CISA KEV 目录中跟踪的被利用漏洞中有 63%可以在医疗网络上找到。显然,“打补丁”对于医疗保健来说是一个问题,但这并不是一件容易解决的问题:医疗保健领域共有 360 家不同的设备制造商,必须遵守其补丁认证计划。
虽然控制 OT 设备的 IT 设备通常是经常打补丁的 Windows 和 Linux 系统,但这种形式并不适用于大多数 OT 设备。报告称:“相反,漏洞修补通常是本已昂贵的支持合同的附加内容。”
使这个问题变得更加复杂的是获得 FDA 设备认证所需的时间长度。开发补丁并实施该补丁可能需要新的 FDA 认证,但设备的预期寿命可能有限(医疗技术是一个快速发展的领域)。人们自然倾向于通过补偿控制而不是正式修补来尝试缓解问题——古老的 OT 格言“如果它没有坏,就不要修理它,以免损坏它”存在于医疗类固醇中。
由于在不受支持的操作系统上运行的设备数量较多,这一问题变得更加复杂。报告指出:“我们研究中的 14% 的医疗设备运行的是已报废或不受支持的操作系统。” 这些大多是 Windows 的旧版本,但包括 Linux、移动操作系统、Sun Solaris、SunOS 等。更糟糕的是,许多不受支持的 Windows 设备也是不受管理的,并且不属于 Active Directory 域。防御者无法使用域管理来推送更新和新策略或强制执行 ACL。
这些补丁或更新问题的结果是,医疗设备为攻击者提供了丰富的“永久漏洞”来源:制造商已知并修复的漏洞,但客户从未修补过。由于预算限制意味着 HDO 不太可能舍弃旧的并用新的替代,因此这些漏洞就等着被利用。总体而言,很大一部分医疗设备没有端点保护。
![]()
自动生成的无端点保护的设备图 描述
HDO OT 的另一个长期存在的问题是设备涉及大量第三方(通过交付而不是供应)。这些患者几乎按照定义对安全性不感兴趣,也不了解。起搏器安装在活动能力极强的人体内(其目的就是让这些人保持活动状态)。数据从起搏器收集,并通过 wifi 或通过患者自己的家用路由器通过互联网转发回 HDO。这是对患者隐私的潜在威胁。输液泵虽然大多只在医院内运行,但长期以来存在漏洞。这是对患者生命的潜在威胁。
针对此类设备的攻击可能会伤害个别患者,但他们并不是攻击者的主要目标——攻击者寻求访问 HDO 网络。作为勒索攻击的一部分,他们可能会从这里破坏所有设备。这些第三方患者可能是一个弱点。
首先,HDO 提供访客网络,为患者提供互联网访问。Claroty/Team82 的研究表明,手术中使用的设备中有 4% 可以通过医院的访客网络进行访问。但其次,患者获得直接访问主要公司网络的密码并不是什么新鲜事。护士的工作通常是职业性的,而不是野心勃勃的——他们的动机是让病人尽可能舒适;患者因访客网络带宽不足而烦恼的问题也可以轻松解决。但所使用的个人设备(通常是笔记本电脑)对于网络管理员来说是未知的,也未经验证。
HDO 防御者面临的问题之一是复杂性。他们面临的几乎所有问题都有安全解决方案,但修补可以修补的内容、减轻无法修补的内容、安装新设备以及提高职业本能可能与安全性截然相反的员工的安全意识等复杂性太复杂,无法保证完整并不断取得成功。
脆弱的网络和快速解决勒索攻击的高动机相结合,解释了勒索软件犯罪分子持续攻击的原因。Recorded Future 的 Dmitry Smilyanets 最近指出Ramp 论坛(2024 年 3 月 3 日)上的一篇帖子,声称来自 BlackCat/Alphv 附属机构,该附属机构攻击了Change Healthcare。该附属公司抱怨 BlackCat/Alphv 拒绝支付其所支付的 2200 万美元赎金中的利润份额。这一说法得到了 BlackCat/Alphv 比特币钱包中 2200 万美元的证据的支持。
或者这可能是BlackCat/Alphv 实施的退出骗局,以便让他们获得第二口樱桃……尽管如此,目前尚未得到 Change Healthcare 证实的暗示是,HDO 悄悄支付了 2200 万美元的赎金以阻止机密数据的泄露泄漏并获取解密密钥。
Claroty/Team82 的论点是,任何保护医疗保健网络中单个设备安全的尝试都应该得到网络分段的支持。报告称:“细分是最重要的战略。” “将连接的医疗设备(患者设备和手术设备)与企业网络隔离。这意味着如果任何特定设备受到损害,攻击者可能会受到限制,并且损害也将受到限制。
发表评论
您还未登录,请先登录。
登录