今年2月的攻擊破壞了全美的保險理賠處理,給診所、藥房和患者帶來了混亂,他們無法完成預(yù)先授權(quán)的處方或保險覆蓋的醫(yī)療治療。
Change Healthcare處理的向醫(yī)療服務(wù)提供者的付款流動因系統(tǒng)被攻擊而突然中斷,系統(tǒng)被迫下線以應(yīng)對攻擊。
尤其是較小的醫(yī)療服務(wù)提供者和農(nóng)村藥房在這次攻擊中遭受了巨大的收入損失,有些甚至接近破產(chǎn)。最終,這次攻擊暴露了潛在三分之一美國公民的個人數(shù)據(jù),給母公司UnitedHealth Group(UHG)帶來了超過8.72億美元的處理費(fèi)用和由此引起的破壞。
這些費(fèi)用的一部分包括向成千上萬的提供者提供加速付款和無息、無費(fèi)用貸款。另一部分被 earmarked用于事件響應(yīng)和徹底重建Change Healthcare的系統(tǒng)。包括收入損失在內(nèi),預(yù)計此次攻擊將使UHG損失超過10億美元。
對此,美國政界人士呼吁在衛(wèi)生部門強(qiáng)制實施基礎(chǔ)網(wǎng)絡(luò)安全標(biāo)準(zhǔn),并加強(qiáng)信息共享。他們還擔(dān)心行業(yè)整合正在增加網(wǎng)絡(luò)風(fēng)險。
總的來說,對Change Healthcare的勒索軟件攻擊——UHG在2022年以近80億美元收購的公司——展示了安全控制不佳在勒索軟件攻擊中經(jīng)常出現(xiàn)的因素。以下是攻擊后的幾個教訓(xùn)。
多因素認(rèn)證(MFA)是必不可少的
在5月初的國會聽證會上,UHG首席執(zhí)行官Andrew Witty表示,犯罪分子使用被盜的憑證遠(yuǎn)程訪問了Change Healthcare的Citrix門戶,這是一種允許遠(yuǎn)程訪問桌面的技術(shù),大約在2月12日。該門戶未啟用多因素認(rèn)證(MFA),這是基本的企業(yè)安全控制措施。
雖然不能完全防彈,但MFA長期以來被認(rèn)為是保護(hù)系統(tǒng)免受憑證攻擊的最佳實踐。據(jù)ESET首席安全傳道者Tony Anscombe稱,MFA未啟用很可能在攻擊者能夠遠(yuǎn)程訪問Change Healthcare的系統(tǒng)中起了關(guān)鍵作用,使得這一事件高度可避免,未能采用最基本的網(wǎng)絡(luò)安全原則是一場巨大的失敗。
“我們不知道沒有MFA的原因是什么,是無能、預(yù)算限制、用戶需求還是其他原因?”Anscombe說。
Illumio關(guān)鍵基礎(chǔ)設(shè)施主管Trevor Dearing評論道:“成功的勒索軟件攻擊中,效率低下的安全控制往往是一個因素。無論是缺乏MFA控制、未修補(bǔ)的網(wǎng)絡(luò)門戶,還是過期的DLP(數(shù)據(jù)丟失防護(hù))系統(tǒng),任何漏洞都可能導(dǎo)致巨大的破壞。”
分段你的系統(tǒng)
在獲得Change Healthcare系統(tǒng)的立足點(diǎn)后,攻擊者隨后進(jìn)行了橫向移動并在2月21日部署ALPHV/BlackCat勒索軟件之前提取了數(shù)據(jù)。
因此,許多事后報告中提出的另一個問題是Change Healthcare的系統(tǒng)缺乏分段,導(dǎo)致攻擊的橫向移動變得容易,這導(dǎo)致了關(guān)鍵資產(chǎn)暴露給攻擊者,據(jù)Dearing稱。
分段涉及將一個大型網(wǎng)絡(luò)系統(tǒng)劃分為較小、隔離的子段,從而使安全團(tuán)隊更容易保護(hù)和監(jiān)控IT資產(chǎn),防止像針對Change Healthcare的橫向攻擊。分段長期以來一直是縱深防御策略的關(guān)鍵部分。
并購活動需要網(wǎng)絡(luò)盡職調(diào)查
Change Healthcare的勒索軟件攻擊也為后并購的系統(tǒng)盡職調(diào)查提供了教訓(xùn)。
UHG在2022年10月收購了美國最大的醫(yī)療理賠清算機(jī)構(gòu)Change Healthcare,此前曾與美國司法部展開法律斗爭,后者認(rèn)為此次收購會損害健康保險市場的競爭,并影響用于處理健康保險理賠的技術(shù),從而使UHG,這家美國最大的健康保險提供商,獲得其競爭對手的數(shù)據(jù)。
收購后,Change Healthcare與UHG的Optum健康服務(wù)公司合并,由Optum的CIO和CTO以及UHG的CISO Steven Martin領(lǐng)導(dǎo)安全運(yùn)營。
并購創(chuàng)造了新的網(wǎng)絡(luò)威脅,因為它們涉及來自不同組織的系統(tǒng)、數(shù)據(jù)和流程的整合,每個企業(yè)都有其自己的安全協(xié)議和潛在漏洞。
“在此過渡期間,網(wǎng)絡(luò)犯罪分子可以利用安全措施的差異、IT治理的漏洞以及管理合并的IT環(huán)境的復(fù)雜性增加的情況,”CTERA的CTO Aron Brand告訴CSOonline。“此外,各方之間敏感信息的高度共享也為數(shù)據(jù)泄露提供了更多機(jī)會。”
鑒于所涉及的復(fù)雜性和風(fēng)險,Brand建議,醫(yī)療和非醫(yī)療組織在合并期間必須擁有一份全面的盡職調(diào)查清單。
“這應(yīng)包括詳盡的安全審計,以評估被收購公司的網(wǎng)絡(luò)安全狀況、識別漏洞并評估其事件響應(yīng)能力,”Brand說,“例如,如果徹底的評估解決了缺乏強(qiáng)大MFA控制的問題,Change Healthcare的漏洞可能會得到緩解。”
Expel的威脅情報分析師Aaron Walton表示同意。
“從聽證會上,我們沒有了解到導(dǎo)致延遲的原因,但這表明Change未能與UnitedHealth Group的所有安全政策保持同步,”他說,“如果Change實施了UnitedHealth的升級、流程和政策,可能會解決導(dǎo)致Change Healthcare遭到攻擊的一些問題,例如缺乏MFA。”
自保的風(fēng)險
在國會聽證會期間回答問題時,UHG首席執(zhí)行官Witty承認(rèn)公司對網(wǎng)絡(luò)事件采取了“自保”。
網(wǎng)絡(luò)保險提供商在批準(zhǔn)保單之前會要求高水平的風(fēng)險緩解。對于許多企業(yè)而言,這本身就是確保系統(tǒng)強(qiáng)化的動力。對于那些放棄保險的組織來說,這一點(diǎn)尤為重要。
“自保并接受風(fēng)險的選擇,Change Healthcare似乎采取了這種立場,不應(yīng)以犧牲網(wǎng)絡(luò)安全措施為代價,”ESET的Anscombe告訴CSOonline,“我認(rèn)為不可能由于風(fēng)險增加而無法獲得保險——一切都可以投保,只是保費(fèi)的成本問題。”
Anscombe補(bǔ)充道:“由于非合規(guī)的網(wǎng)絡(luò)安全措施導(dǎo)致保費(fèi)過高而不投保是不可原諒的,因為這不必要地將企業(yè)、客戶、合作伙伴和許多其他人置于風(fēng)險之中。”
企業(yè)應(yīng)采取符合網(wǎng)絡(luò)風(fēng)險保險要求的立場,或者更好的是,符合公認(rèn)的網(wǎng)絡(luò)安全框架的要求,Anscombe建議。
與敵人共存
攻擊者在Change Healthcare系統(tǒng)上停留了超過一周(九天),然后才部署勒索軟件。
這種延遲在企業(yè)攻擊中并不罕見。據(jù)專家介紹,攻擊者在被攻破的網(wǎng)絡(luò)中升級權(quán)限和橫向移動所需的時間,并不意味著被發(fā)現(xiàn)的可能性更大,這是因為攻擊者費(fèi)盡心思偽裝他們的活動,例如濫用合法的程序和命令,使其輕易融入常規(guī)的預(yù)期流量中。
Silobreaker的Baumgaertner評論說:“勒索軟件組織通常會在受害者的系統(tǒng)中停留很長時間,利用時間在網(wǎng)絡(luò)中橫向移動,以造成盡可能大的破壞。此外,他們在網(wǎng)絡(luò)中保持未被發(fā)現(xiàn)的時間越長,就有更多時間找到并竊取敏感數(shù)據(jù)。”
雖然很難說Change Healthcare是否可以在攻擊者升級其行動時檢測到他們,但這些關(guān)于勒索軟件攻擊進(jìn)展的事實在制定應(yīng)對策略時應(yīng)予以考慮。
雙重風(fēng)險——關(guān)于贖金支付的辯論
UHG首席執(zhí)行官Witty在國會證詞中證實,這家醫(yī)療保健集團(tuán)已向BlackCat/ALPHV勒索軟件組織的網(wǎng)絡(luò)犯罪分子支付了相當(dāng)于2200萬美元的比特幣作為贖金。
隨后,BlackCat/ALPHV實施了退出騙局,攜款消失,據(jù)報道還欺騙了其附屬組織Nichy。
Change Healthcare支付贖金的行為重新引發(fā)了關(guān)于是否允許支付網(wǎng)絡(luò)犯罪分子的勒索要求的廣泛辯論,尤其是在支付贖金并不能保證攻擊者會刪除被盜數(shù)據(jù)或避免未來攻擊的情況下。
ESET的Anscombe評論說:“是否支付勒索軟件要求的決定應(yīng)該由法院做出,就像一些醫(yī)療決定是由法院做出的一樣。
“然而,在大多數(shù)支付情況下,這個決定似乎純粹是出于財務(wù)考慮,以減少業(yè)務(wù)中斷和重建系統(tǒng)以恢復(fù)的持續(xù)任務(wù)。”他總結(jié)道。
CTERA的Brand告訴CSOonline:“最近的調(diào)查顯示,雙重勒索——即攻擊者要求贖金并威脅泄露被盜數(shù)據(jù)——是77%的勒索軟件攻擊的一部分。贖金支付還可能激勵網(wǎng)絡(luò)犯罪分子攻擊其他組織,從而引發(fā)延續(xù)勒索軟件攻擊循環(huán)的倫理困境。”
最終,支付贖金未能保護(hù)UHG免受二次勒索企圖的侵害。
據(jù)安全供應(yīng)商Forescout分析,4月,RansomHub組織的網(wǎng)絡(luò)犯罪分子威脅要泄露從Change Healthcare泄露中獲得的6TB敏感數(shù)據(jù)的一部分,這些數(shù)據(jù)是通過Nichy獲取的。據(jù)估計,有三分之一的美國人因這次攻擊而暴露了敏感數(shù)據(jù)。
醫(yī)療行業(yè)面臨越來越多的攻擊
合規(guī)專家指出,這種二次詐騙越來越普遍,醫(yī)療保健提供商尤其容易受到攻擊。
國際律師事務(wù)所Taylor Wessing技術(shù)、知識產(chǎn)權(quán)和信息團(tuán)隊的合伙人Victoria Hordern告訴CSOonline:“對于打算進(jìn)行勒索軟件攻擊的網(wǎng)絡(luò)犯罪分子來說,健康數(shù)據(jù)泄露是一個誘人的前景,因為他們知道如果醫(yī)療機(jī)構(gòu)無法訪問數(shù)據(jù)以提供患者護(hù)理,將會陷入癱瘓。”
Hordern繼續(xù)說:“當(dāng)系統(tǒng)數(shù)量增加且涉及多方(如患者、醫(yī)療提供者、技術(shù)支持)時,就會有更多的薄弱點(diǎn)和漏洞,壞人可以通過這些點(diǎn)進(jìn)入并控制系統(tǒng)。”
美國衛(wèi)生與公眾服務(wù)部(HHS)正在調(diào)查是否在評估UHG或Change Healthcare是否違反嚴(yán)格的醫(yī)療保健行業(yè)隱私法規(guī)時,發(fā)生了受保護(hù)健康信息泄露的情況。
這項調(diào)查仍在進(jìn)行中。
Change Healthcare遭受的攻擊與最近對多家醫(yī)療公司進(jìn)行的攻擊相吻合,包括Ascension、London Drugs、Cencora和Synnovis。
勒索軟件依然活躍
根據(jù)專家的說法,盡管ALPHV顯然實施了退出騙局,并且RansomHub的出現(xiàn)也未能改變利潤豐厚的勒索軟件即服務(wù)(RaaS)市場的基本驅(qū)動力。
Silobreaker研究負(fù)責(zé)人Hannah Baumgaertner表示:“ALPHV的退出騙局發(fā)生在執(zhí)法行動導(dǎo)致LockBit被取締的同一時間,這使得兩個最活躍的勒索軟件即服務(wù)組織不再運(yùn)作。”
Baumgaertner警告說:“雖然有人可能會認(rèn)為這意味著勒索軟件攻擊會減少,但事實并非如此。”
由于RaaS業(yè)務(wù)的性質(zhì),之前與ALPHV合作的任何附屬機(jī)構(gòu)只會去尋找新的合作運(yùn)營,與此同時,ALPHV的主要成員很可能會以不同的名稱開展新項目,根據(jù)Baumgaertner的說法。
據(jù)HHS統(tǒng)計,過去五年中勒索軟件攻擊增加了三倍多(264%)。與此同時,根據(jù)Proofpoint最近的《CISO之聲》調(diào)查,勒索軟件現(xiàn)在已成為CISO認(rèn)為最大的威脅。
企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。