Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Najczęściej wykrywane cyberzagrożenia w organizacjach służby zdrowia

04 październik 2022

Najczęściej wykrywane cyberzagrożenia w organizacjach służby zdrowia
Christian Putz

Christian Putz

Dla sektora opieki zdrowotnej, który nie może pozwolić sobie na przerwy w działaniu, cyberataki są bardzo groźne. Vectra AI przeanalizowała najczęstsze zgłoszenia naruszeń wśród klientów z branży zdrowotnej i opracowała raport Spotlight Report-Vision and Visibility: Top 10 Threat Detections Across Microsoft Azure AD and Office 365. Przyjrzyjmy się wnioskom płynącym z tej analizy.

Oprogramowanie ransomware

Cyberprzestępcy w swoich działaniach często wykorzystują oprogramowanie ransomware. Ataki tego typu wiążą się z dotkliwymi skutkami finansowymi, wynikającymi z wysokich żądań przestępców w zamian za klucze szyfrujące. Z tego powodu branża ta stanowi częsty cel cyberprzestępców.

Ataki typu ransomware, które są przeprowadzane w instytucjach opieki zdrowotnej, mogą oznaczać kradzież dokumentacji medycznej oraz danych, ale mogą być również fizycznie uciążliwe, powodując opóźnienia w leczeniu pacjentów.

Z tej perspektywy kwestie problemów technicznych stają się mało istotne w porównaniu do problemów, które mogą wpłynąć na stan zdrowia lub zagrażać życiu ludzi. Biorąc pod uwagę fakt, że napastnicy cały czas zdobywają nowe umiejętności i rozszerzają swój zasięg ataku np. na chmurę — w jaki sposób zespoły ds. bezpieczeństwa w opiece zdrowotnej powinny się przygotować by poznając zachowanie i taktykę napastników, skutecznie ich powstrzymać?

Chociaż transformacja cyfrowa poszerzyła obszar ataków, nie oznacza to, że nie można powstrzymać ataków ransomware i innych form cyberprzestępczości, takich jak przejmowanie kont. Przede wszystkim, trzeba zrozumieć, że ataki ransomware można powstrzymać, ale niekoniecznie można im zapobiec — możemy mieć szansę na uniknięcie kryzysu. Możliwość wykrycia zachowań atakujących już w systemach opieki zdrowotnej jest możliwa dzięki odpowiedniemu monitorowaniu środowiska i widoczności.

Najczęściej wykrywane zagrożenia cybernetyczne w służbie zdrowia

Ostatni raport Spotlight Report-Vision and Visibility: Top 10 Threat Detections Across Microsoft Azure AD and Office 365 szczegółowo analizuje ten scenariusz we wszystkich branżach, jednak poniższe spostrzeżenia koncentrują się na sektorze opieki zdrowotnej. Zawierają najważniejsze zagrożenia zaobserwowane w bazie klientów Vectra AI z sektora zdrowotnego i pokazują, że organizacje opieki zdrowotnej są celem ataków w ramach Microsoft Azure AD i Office 365. Poniższe informacje dotyczące najczęstszych wykryć mogą być wykorzystane, by pomóc w zwiększeniu poziomu bezpieczeństwa pod warunkiem zapewnienia odpowiednich definicji i widoczności.

Potrzebna jest wizja tego, jak powinno wyglądać autoryzowane użytkowanie systemów oraz widoczność pozwalająca monitorować i mierzyć odchylenia od tych definicji. Chmura ciągle zmienia wszystko, co wiemy o bezpieczeństwie. Tylko odpowiednie wykorzystanie danych przy wsparcie sztucznej inteligencji mogą pomóc w zapewnieniu przejrzystości w chmurze.

Oczywiście należy pamiętać, że wykrycie i reagowanie na zagrożenia są najłatwiejsze, gdy przeciwnicy podejmują działania, które są w oczywisty sposób złośliwe. To sprawia, że ​​niezwykle ważne jest, aby współcześni specjaliści ds. bezpieczeństwa sieci znali punkty wspólne w operacjach, które przeciwnik musiałby podjąć, aby osiągnąć swoje cele, a zachowaniami rutynowo podejmowanymi przez autoryzowanych użytkowników w całym przedsiębiorstwie. Wie-le wykryć omówionych w raporcie reprezentuje nietypowe zachowanie i nie wszystkie z nich są spowodowane złośliwą aktywnością. Zobaczmy, jakie detekcje są często wyzwalane w tym środowisku.

Power Automate może udostępniać duży zakres dostępu atakującym

Sektor opieki zdrowotnej zazwyczaj doświadcza ataków na poziomie O365 Suspicious Power Automate Flow Creation, O365 Risky Exchange Operation i O365 Redundant Access Creation.

Najczęstszym wykryciem w sektorze opieki zdrowotnej było O365 Suspicious Power Automate Flow Creation, co może wskazywać, że atakujący konfiguruje mechanizm stałego dostępu. Ten problem odnotował również sektor edukacji (wykrycie w pierwszej trójce), jednak na ogólnej liście 10 najczęstszych wykryć we wszystkich branżach, jest dopiero na siódmym miejscu.

Power Automate pomaga zautomatyzować żmudne zadania, takie jak zapisywanie załączników do wiadomości e-mail w usłudze OneDrive, rejestrowanie odpowiedzi na formularze w programie SharePoint i ma wiele innych wygodnych zastosowań. Należy zwrócić uwagę, że jest domyślnie włączony w usłudze Office 365 i standardowo wyposażony w setki łączników. Nawet z podstawowym, nie uprzywilejowanym dostępem do Office 365, Power Automate jest potężnym narzędziem, które jest atrakcyjne dla atakujących.

W marcu 2020 roku zespół reagowania Microsoftu odkrył zespół hakerów wykorzystujących Power Automate do eksfiltracji danych w międzynarodowej organizacji, w której napastnicy pozostają niewykryci przez 213 dni. Wynika z tego, że wszystkie międzynarodowe organizacje powinny zracjonalizować dostęp do Power Automate Flow tylko dla użytkowników, którzy tego dostępu wymagają i ściśle monitorować manipulacje kontami, które mogą prowadzić do zwiększenia uprawnień i kradzieży informacji.

Oprócz wykrycia O365 Suspicious Power Automate Flow Creation, klienci z sektora opieki zdrowotnej doświadczyli również wykrycia O365 Risky Exchange Operation i O365 Redundant Access Creation, które znalazły się w pierwszej trójce. Wykrycie O365 Risky Exchange Operation może wskazywać, że zapewniony jest dostęp do wrażliwych informacji, które byłyby dostępne w poczcie elektronicznej, co może wskazywać, że atakujący manipuluje serwerami Exchange w celu uzyskania dostępu do danych, umożliwiających dalszą penetrację systemów. Natomiast O365 Redundant Access Creation oznacza, że uprawnienia administracyjne zostały przypisane do nowego podmiotu, co może z kolei może wskazywać, że atakujący zapewnia sobie namiarowe dostępy by poradzić sobie z reakcją zespołu bezpieczeństwa.

Ogólnie rzecz biorąc, klienci z sektora opieki zdrowotnej wykazywali niższą względną częstotliwość wykrywania w porównaniu z większością innych branż. Jednak automatyzacja przepływów pracy za pomocą Power Automate i nadawanie praw administracyjnych aplikacji, użytkownikowi lub zleceniodawcy usługi to usługi, które napastnicy często wykorzystywali do uzyskania dostępu do poczty elektronicznej i poufnych informacji. Są obecne w Office 365, z którego korzystają wszyscy klienci, co sprawia, że pełna widoczność aktywności kont jest kluczową częścią zarządzania bezpieczeństwem.

Znajomość zachowań "Twojego" konta

Niezależnie od branży, atakujący chętnie wybierają chmurę jako cel ataków. Office 365 to niezwykle użyteczne i potężne narzędzie – dlatego za dostęp do niego płaci ponad 250 milionów osób. Tak duża aktywność użytkowników jest postrzegana przez atakujących jako ogromna szansa, nic dziwnego, że wykazują motywację do pobrania za cel każdej organizacji, w której istnieje możliwość wyłudzenia pieniędzy lub kradzieży aktywów.

Microsoft Office 365 i Azure AD to tylko część dużej powierzchni ataku, którą organizacje muszą zarządzać, ale jak wykazano na przykładzie Power Automate, które jest niezwykle wygodne dla automatyzacji i przyspieszania procesów, otwiera wiele możliwości hakerom. Dlatego niezwykle ważne jest, aby zrozumieć ryzyko i dokładnie wiedzieć, jak używane są takie narzędzia.

Różnica między zachowaniem napastników i pra-widłowych uprzywilejowanych kont może być bardzo rozmyta bez możliwości zbierania właściwych danych, które są odpowiednio dopasowane do definicji zachowań i widoczności. Ważne jest, aby dojść do punktu, w którym wiadomo, jak wygląda autoryzowane użycie, aby zrozumieć zachowania, które podejmują przeciwnicy. Odpowiednio wyposażona SI może pomóc zamknąć luki bezpieczeństwa w Office 365 i Azure AD, udostępniając dane i sygnalizując, gdy dzieje się coś niestandardowego.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności