3 Tendências que Afligem a Segurança Cibernética na Saúde e Como Comba
3 Tendências que Afligem a Segurança Cibernética na Saúde e Como Combatê-los
Revisar e responder a informações atuais sobre ameaças é uma parte essencial da estratégia de segurança cibernética de qualquer organização. No entanto, a necessidade de consultar regularmente os dados de ameaças e atualizar as defesas é amplificada no espaço da saúde, onde as interrupções às redes podem ser fatais. Isso é especialmente verdadeiro, já que os sistemas de saúde se tornam mais dependentes de tecnologia e dispositivos conectados diretamente aos pacientes e cuidados críticos com pacientes. Além disso, a organização média de assistência médica gasta US $ 1,4 milhão recuperando-se de uma violação, o que afeta a receita hospitalar e pode prejudicar gravemente a reputação e a confiança - dois pilares da experiência e retenção do paciente.
Para minimizar o risco de ataques cibernéticos bem sucedidos, as equipes de segurança e TI devem estar constantemente conscientes dos novos métodos projetados para se infiltrar nas redes e traduzi-los em novas táticas em seus esforços de segurança.
Ameaças ao espaço da saúde
Embora as equipes de segurança precisem se manter informadas sobre todas as principais tendências de ameaças - mesmo aquelas que aparentemente só visam outras indústrias -, há alguns destaques do mais recente Relatório de Panorama de Ameaças , que examina dados coletados durante o primeiro trimestre de 2019, que podem afetar especificamente os serviços de saúde.
Vivendo fora da terra
Isso se refere a um estilo de ataque que apareceu consistentemente durante todo o primeiro trimestre. Os cibercriminosos utilizam ferramentas pré-instaladas, como o PowerShell, que vêm em sistemas direcionados e podem ser exploradas para lançar ataques. Essa abordagem facilita a evasão, pois o código malicioso injetado parece fazer parte de um processo sancionado, dificultando a detecção e a definição das equipes de segurança. O PowerShell, que vem instalado em máquinas Windows, é um dos alvos mais populares para esses tipos de ataques. Os cibercriminosos usam o PowerShell para fornecer ransomware e outras cargas úteis maliciosas, para criptografar dados e mover-se lateralmente pela rede.
Essa é uma tática que as equipes de TI da área de saúde devem estar cientes, especialmente considerando o número de dispositivos de IoT conectados à rede. Os sistemas de saúde estão implantando constantemente novas ferramentas conectadas como parte dos tratamentos de pacientes, muitos dos quais não foram construídos com a segurança em mente. Para resolver isso, as equipes de TI devem realizar verificações regulares dos dispositivos para garantir que nenhuma ferramenta pré-instalada tenha sido comprometida, atuando assim como uma porta de entrada para a rede.
Ransomware Alvo
Houve vários ataques de ransomware de alto perfil este ano, que demonstraram um alto grau de direcionamento e planejamento. Na verdade, em uma instância do LockerGoga , os invasores já haviam feito a devida diligência para obter credenciais privilegiadas que permitissem a execução do malware. Com essas credenciais, eles puderam operar com o mínimo de evasão ou táticas de ofuscação implantadas. Isso indica que eles já avaliaram as defesas da rede e determinaram essas medidas desnecessárias.
O Anatova foi outro ransomware de destaque no primeiro trimestre, criptografando o maior número de arquivos possível e garantindo chances mínimas de restauração. No geral, parece que os criminosos estão se afastando de um modelo puramente oportunista de distribuição de malware para se concentrar em redes especificamente selecionadas.
Com isso em mente, os sistemas de saúde devem fortalecer suas defesas contra malware e garantir que eles tenham backups de dados atuais. Hospitais são conhecidos por serem alvos de ataques de ransomware, já que estão mais dispostos a pagar para recuperar dados, provavelmente devido a deficiências ou mau planejamento na recuperação de dados e processos de continuidade. Após o pagamento do resgate, os dados recuperados podem estar corrompidos ou ausentes, levando a um possível impacto na segurança do paciente.
Atividade pré e pós-comprometimento
A avaliação dos tipos de websites que estão sendo aproveitados e a fase da cadeia de ataques cibernéticos em que foram acessados fornecem informações sobre como os cibercriminosos estruturam seus ataques, ajudando nos esforços de defesa. Foi interessante observar quando ocorrem atividades pré e pós-comprometimento. A atividade de pré-comprometimento é três vezes mais provável de ocorrer durante a semana de trabalho, já que muitas vezes há envolvimento não intencional do funcionário. A atividade pós-comprometimento, no entanto, ocorre de forma bastante consistente nos dias da semana e nos finais de semana, já que pouca ou nenhuma interface de usuário é necessária.
Isso traz à mente um ponto importante sobre segmentação. A saúde é uma indústria de constante disponibilidade. A rede do departamento de emergência, por exemplo, deve estar sempre funcionando, incluindo o final de semana, e não pode ser interrompida ou desacelerada devido a um ataque. No entanto, existem outros departamentos que fecham. Se um dispositivo pertencente a esse departamento fizer logon durante o horário de inatividade, esse comportamento incomum pode ser um indicador de um ataque. Sistemas comprometidos operando durante o horário comercial irregular para iniciar ou estender ataques, ou para se mover lateralmente pela rede, poderiam afetar redes de alta necessidade, como o DE. É por isso que os sistemas de saúde devem segmentar as redes essenciais para adicionar uma camada extra de defesa enquanto isolam os dispositivos que exibem comportamento anômalo até que sua intenção possa ser determinada.
Considerações finais sobre a segurança cibernética da TI em saúde
Sistemas de saúde são alvos comuns para ataques cibernéticos. Manter-se ciente dos vetores e estratégias de ataque populares permite que as equipes de TI protejam melhor as funções cruciais da rede. Avançando, as equipes de TI da saúde devem manter essas descobertas do primeiro trimestre em mente e fortalecer as defesas de acordo.
Fonte: Fortinet