醫療企業是勒索軟體攻擊者的首要目標

This post is also available in: English (英語) 日本語 (日語)

依據 2021 年 Unit 42 勒索軟體威脅報告，醫療產業是 2020 年勒索軟體攻擊最集中的領域。這份報告指出，勒索軟體操作者很可能將目標鎖定在這個領域，因為這些操作者知道醫療企業正承受 COVID-19 病患大量湧入的龐大壓力。這些醫療企業無法承受本身的系統遭鎖定的後果，因此可能會支付贖金。2021 年 5 月，聯邦調查局發出警示，指出最近破壞愛爾蘭醫療系統的 Conti 勒索軟體團體在去年也攻擊了美國至少 16 個醫療和急救網路。

這家研究公司Comparitech追蹤 2020 年美國醫療產業超過 92 起的個人勒索軟體攻擊，這比上一年增加 60%。結果 600 多家診所、醫院和企業受到影響，包括超過 1800 萬份病患記錄。這些攻擊的估計成本接近 210 億美元。我們得出的結論指出，由於下列一些因素威脅行動者鎖定醫療企業：

• 企業控制和維護的數據的價值 — 由於許多威脅行動者的動機主要是錢財，因此鎖定財務和/或數據資產相當有價值而可轉換為資金的企業。醫療企業會收集相當廣泛的病患資訊，包括完整的聯絡資訊、社會安全號碼、支付卡數據、敏感的健康資訊和醫療保險資訊。許多醫療服務機構 (HDO) 也進行研究工作，因此高價值數據更加龐大。整體來說，威脅行動者能夠藉此竊取數據、做出詐欺性內部人員行為，並實施犯罪計劃 (例如進行保險詐騙)。
• 企業感知的安全狀況 — 醫療企業包括小型和大型企業，從裝置製造商到技術供應商和 HDO，各個企業都對安全性有獨特的貢獻。所以，重點是不要一概而論。不過威脅行動者反而很可能一概採用無差別攻擊的方式。醫療通常被認為仰賴高度熟練的 IT/安全人力。產業的安全性愈低，可能遭受的攻擊就愈多。
• 企業的安全狀況 — 如果企業的防禦措施存在弱點，攻擊者自然更容易成功。隨著 IT 環境變得日益複雜，許多醫療企業 (和其他企業) 都在努力彌補各個漏洞。現今的威脅行動者相當擅長掃描任何開啟的連接埠、暴露的雲端錯誤設定或其他弱點。此外，我們必須協助處理的事件與一個或多個未解決的弱點有關。
• 持續營運的關鍵性 — 我們知道，某些策略假設企業需要保持系統正常運作來確保核心營運正常作業。醫療企業無法承受病患照護的不連續性。中斷 (整個系統、部分或局部) 是不可接受的結果，這會造成系統 (例如網路交換器) 長年未獲得修補/重新啟動或妥善維護。如果企業沒有從備份恢復運作的事件回應 (IR) 計劃，就可能會認為有必要向攻擊者支付贖金。即使企業確實擬定 IR 計劃而且有備份，一些企業仍然支付贖金，因為備份系統也可能受到影響，或者需要恢復的數據和系統量超出備份系統在合理的時間內處理的能力。無論備份解決方案的整體品質如何，如果攻擊者能夠鎖定最近未備份或未妥善備份的重要系統，企業可能會發現本身必須考慮支付贖金以取得解密金鑰。

某些策略為什麼較頻繁用於醫療企業？

讓我們評估先前提到的醫療威脅，以及這些企業的防禦態勢和鎖定這些企業的威脅行動者所顯現的意涵。

首先，勒索軟體假設企業需要保持核心系統正常運作。EMR 和 PACS 之類的應用程式最為重要，因為這些應用程式持續用於存取病患記錄，其中包含有關疾病、藥物等的重要資訊。無法存取這些應用程式會減損提供病患照護的能力。醫療產業並不是唯一需要持續營運的產業。勒索軟體也針對需要持續營運的其他產業發動大量攻擊。

威脅行動者的動機是財務詐騙。這些人通常利用開立發票流程，接管電子郵件帳戶並假冒合法的行政人員或工作人員來授權付款，然後將資金轉移到自己的帳戶。醫療企業經常發送和接收高額醫療服務、解決方案和技術的發票。網路罪犯將醫療企業視為可能從企業和病患等竊取大量錢財的機會。

最後，數據的無意洩露，例如意外洩露儲存在面向網際網路的雲端數據庫或網際網路應用程式中的敏感數據，可能 (而且確實) 會影響任何產業。醫療企業逐漸採用雲端運算和第三方解決方案以滿足業務需求和加速醫療創新。雖然這些解決方案和供應商看起來都是外包處理，不過需要盡力運用企業端安全控制和監控。Cortex Xpanse 通常發現客戶擁有的資產至少比客戶自身認知的資產多出 30%。隨著複雜度提高，攻擊範圍也會隨之擴大。威脅行動者持續尋找採取行動的任何機會，而且由於醫療產業是理想的目標，因此任何尚未發現和補救的漏洞都是可以探索和利用的機會。

醫療企業如何自我保護？

許多最佳實務可以抵禦這些威脅策略，包括採用功能強大的進階產品，例如機器學習式新世代防火牆 (NGFW) 和擴展的偵測與回應 (XDR) 平台。

除了備妥適當的備份並採用 IR 流程之外，我們針對防禦一系列威脅提出下列 10 項建議：

1. 部署零信任架構，保護企業的數據、資產和人員。
2. 對於可透過網際網路存取的所有裝置和帳戶實施多因素驗證 (MFA)。
3. 清點裝置和軟體。
4. 完成硬體裝置和軟體的安全設定。
5. 執行持續的弱點管理。
6. 限制使用管理帳戶。
7. 將筆記型電腦和行動裝置加密。
8. 維護和監控稽核日誌。
9. 教育使用者防範網路釣魚和社交工程的危險。
10. 保持備份隔離和/或離線。

結論

一些產業比其他產業更容易遭受針對性攻擊，而且威脅行動者成功的頻率愈高，發動攻擊的頻率也愈高。威脅行動者的部分目標策略是使用最可能獲得經濟報酬並獲得成功的策略，因此醫療產業首當其衝，遭受勒索軟體、公司電子郵件入侵 (BEC) 和無意洩露有關的攻擊。

勒索軟體是針對醫療企業的最大威脅，勒索軟體操作者目前採取雙重敲詐手法，在使用數據揭露將數據加密的基礎上結合數據洩露，藉以迫使可能備妥適當備份並採用 IR 流程的企業為了盡快恢復而支付贖金。

確保醫療企業關注點對點的安全需求不僅有其必要，而且在 COVID-19 疫情大流行等健康危機時期也變得更加重要。了解我們為醫療企業提供的網路事件回應和保護。