Ransomware und Angriffe auf die Lieferkette zwingen Gesundheitsorganisationen zum Handeln

Cyber Security News

Kliniker führen einen Luftröhrenschnitt an einem Patienten auf der Intensivstation COVID-19 in Los Angeles, Kalifornien, durch. Nach dem SolarWinds-Vorfall gehen immer mehr Einrichtungen des Gesundheitswesens auf Bedrohungsjagd, um ausnutzbare Schwachstellen zu finden und zu beseitigen. (Foto: Mario Tama/Getty Images)

Wenn Ransomware- und Datenexfiltrationsangriffe, die während der Pandemie auf Krankenhäuser und Impfstoffforscher abzielten, eine Cyber-Hygienekrise im Gesundheitswesen signalisierten, so zeigte der Angriff auf die Lieferkette von SolarWinds, wie tief das Problem reicht.

Schließlich sind Einrichtungen des Gesundheitswesens besonders auf Software und medizinische Geräte von Drittanbietern angewiesen, um den täglichen Betrieb zu gewährleisten, aber auch um Leben zu retten. Doch je mehr Partner eine Einrichtung nutzt, desto größer ist das Risiko einer Systemverletzung oder eines Angriffs.

Ein neuer Bericht, der diese Woche vom CyberPeace Institute herausgegeben wurde, versucht, die menschlichen Auswirkungen zu veranschaulichen, die unerbittliche Cyberangriffe auf Mitarbeiter im Gesundheitswesen, Patienten und die Gesellschaft haben. Der Bericht enthält eine Zusammenstellung von Interviews, externen Untersuchungen und aktuellen Nachrichtenberichten und bietet wichtige Empfehlungen für verschiedene Interessengruppen. Darunter: “Entwickeln Sie branchenweite Zertifizierungs- und Kennzeichnungssysteme, um das Vertrauen in Produkte und Dienstleistungen zu stärken und so die komplexe Versorgungskette im Gesundheitswesen zu schützen, die für ihren täglichen Betrieb stark auf Drittanbieter angewiesen ist.”

In der Zwischenzeit sieht Tony Cook, Leiter der Abteilung für Bedrohungsanalysen im Beratungsteam von GuidePoint Security, jedoch einen anderen Ansatz an Popularität gewinnen. Nach dem Vorfall bei SolarWinds gehen immer mehr Einrichtungen des Gesundheitswesens auf Bedrohungsjagd, um ausnutzbare Schwachstellen in Anwendungen von Drittanbietern zu finden und zu beseitigen.

Als ehemaliger Divisionsoffizier des Navy Cyber Operations Command hat Cook im Laufe seiner Karriere an mehreren Fronten mit Unternehmen des Gesundheitswesens zusammengearbeitet und sie beraten, unter anderem als Direktor der Incident-Response-Firma Crypsis Group, als leitender Sicherheitsberater bei RSA Security und jetzt bei GuidePoint. Cook sprach kürzlich mit SC Media über diesen aufkeimenden Trend zur Bedrohungsjagd.

Nennen Sie mir einen zeitlichen Rahmen, ab wann Sie diesen starken Anstieg der Bedrohungsjagd bei Gesundheitseinrichtungen beobachten.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/03/GPS_Tony-Cook_Headshot.jpeg]Tony Cook, GuidePoint

Cook: Ich kann fast zu 100 Prozent – mit einigen Schwankungen – auf die SolarWinds-Verletzung als den treibenden Faktor Nummer eins verweisen, warum die Leute ihre Netzwerke überprüfen lassen wollen, besonders in der Gesundheitsbranche, [which prior to SolarWinds saw] eine Menge Ransomware trifft.

Wenn wir uns also mit den CISOs zusammensetzen und mit ihnen sprechen, machen sie sich in den meisten Fällen Sorgen über die Auswirkungen von Ransomware und die Angriffe auf die Lieferkette.

Es ist also eine große Trendwende oder ein Schwenk von dem Versuch, die Grundlagen zu schaffen … und die Netzwerkhygiene richtig zu machen, sicherzustellen, dass man die Dinge richtig segmentiert: “Wem in meinem Netzwerk kann ich nicht trauen?”

Wir gehen jetzt definitiv den Weg, sie in Richtung Zero-Trust-Modelle zu führen und zu versuchen, sie dazu zu bringen, das zu verstehen; es war ein großer Wechsel von den Grundlagen zum Verständnis… wie diese Drittparteien in meinen Prozessen sind, und wie kann ich die Art der Protokollierung bekommen, die ich brauche, um zu wissen, wenn etwas Schlimmes passiert.

Die Ransomware-Angriffe waren also nicht einmal ein so großer Anreiz, eine Bedrohungsjagd zu initiieren wie der SolarWinds-Vorfall in der Lieferkette? Was ist mit anderen Sicherheitsverstößen, die über eine dritte Partei ermöglicht wurden?

Cook: Es gab eine Reihe von Folgemaßnahmen. [incidents], wie z. B. Accellion… Es gab einfach eine Schwachstelle, und jetzt werden die Daten der Leute von selbst exfiltriert. Ein paar davon haben das Gesundheitswesen getroffen, an denen wir leider arbeiten mussten. Aber ja, [there’s now] dieser schleichende Trend, dass man nichts mehr trauen kann, was man nicht selbst entwickelt hat.

Das muss vor allem für Krankenhäuser und Gesundheitsorganisationen ein erheblicher Schmerzpunkt sein, wenn man an die unzähligen Drittsysteme und medizinischen IoT-Geräte denkt, die alle ein Risiko für Dritte darstellen.

Cook: Und das ist der Teil, der für viele Leute schwer zu begreifen ist. Viele Unternehmen haben ohnehin Probleme mit der Transparenz ihrer Umgebung, egal ob es sich um Dark IT oder Schatten-IT handelt. Sie kennen nicht einmal die Server, die sich in ihrer Umgebung befinden, oder die IoT-Geräte – etwas so Einfaches wie ein Fernseher, der einfach offen zur Umgebung ist.

Es geht wirklich darum, sicherzustellen, dass Sie vollständige Transparenz haben … Und das beinhaltet eine Menge Dinge, wie zum Beispiel sicherzustellen, dass Sie die gesamte Umgebung durchsuchen können und es keine Ausreißer gibt. Was befindet sich auf diesen Systemen? Was sind die Schwachstellen? Was sind die Dienste, die sie anbieten? Und, im Großen und Ganzen, welche Artefakte können wir daraus ziehen, um zu sehen, ob bereits etwas Schlimmes passiert ist?

Diese Art der Bedrohungssuche ist etwas, das Unternehmen in vielen vertikalen Bereichen und Sektoren durchführen. Abgesehen von der bereits erwähnten Fülle an Geräten und Systemen in einem Krankenhaus, können Sie mir erklären, was die Herausforderungen der Bedrohungssuche in einer Gesundheitsumgebung sonst noch einzigartig macht?

Cook: Es gibt… die Vorschriften, die mit der Suche nach Bedrohungen einhergehen können. [using] ein medizinisches Gerät: Man muss bestimmte Genehmigungen von bestimmten Behörden haben, um überhaupt eine Endpoint Detection and Response-Funktion auf einem dieser Hosts zu installieren. Das kann bis zu sechs Monate oder ein Jahr dauern, nur um Sichtbarkeit zu erlangen. Und das gilt selbst für die kleinsten Änderungen an der Windows-Protokollierung. Natürlich gibt es manchmal Leute, die ihr eigenes Ding machen, aber wenn es um medizinische Geräte geht, werden selbst die kleinsten Konfigurationsänderungen sehr genau geprüft.

Nun, hoffentlich sind diese Dinge vom normalen Netzwerk abgetrennt und sie haben die richtigen Dinge getan, um es Angreifern schwer zu machen. Da die meisten dieser Geräte heutzutage miteinander verbunden sind – sei es über Bluetooth oder andere Netzwerkverbindungen – kann man relativ leicht in viele dieser Umgebungen eindringen, wenn nicht vorher eine Netzwerkhygiene durchgeführt wurde.

Wie sieht dieser Aufschwung bei der Bedrohungsjagd aus? In welcher Form findet sie statt?

Cook: Um Ihre Frage zu beantworten, werde ich auf das zurückgehen, was wir früher gesehen haben. Wir haben früher eine Menge Risikomanagement-Frameworks gesehen, die im Wesentlichen versuchten, jedes Risiko … in einer Organisation zu umhüllen, zu priorisieren und alles richtig zu machen. Es war ein so komplizierter Prozess – dieser Bericht, der diesen Leuten gegeben wurde – man brauchte drei Vollzeitmitarbeiter, die diesen Bericht lasen und versuchten, ihn an die richtige Organisation oder die richtigen Stellen innerhalb der Organisation weiterzuleiten, um Bewegung zu bekommen. Selbst etwas so Einfaches wie “Sie brauchen eine Richtlinie zum Zurücksetzen von Passwörtern” [was complicated].

Das war der große Schwerpunkt: dafür zu sorgen, dass man für alles ein Risikomanagement-Rahmenwerk hat. Verstehen Sie mich nicht falsch, das sollte immer noch eine Sache sein. Aber was wir gesehen haben, ist die Priorisierung der tatsächlichen Bedrohungsjagd, bei der Sie die Indikatoren für die Kompromittierung, die wir in der Vergangenheit gesehen haben, aufnehmen und die richtige Hypothese in Ihrer Umgebung aufstellen. “Hier sind die Bedrohungen, die in Frage kommen. [found in] es.” Und diese Bedrohungsmodellierung zu einer exakten Wissenschaft zu machen, so dass Sie die richtigen Bedrohungsjagden in Ihrer Umgebung durchführen können und nicht nur Ihre Zeit damit verschwenden, zu denken, dass Sie sicher sind, weil Sie irgendeinen Bedrohungsfeed von irgendeiner beliebigen Organisation aktiviert haben.

Können Sie mir ein konkretes Beispiel für eine Organisation im Gesundheitswesen nennen, mit der Sie in letzter Zeit zusammengearbeitet haben und die mehr Red Teaming oder Threat Hunting einführen wollte, um Bedrohungen aufzuspüren, die durch die jüngsten Vorfälle mit Ransomware und SolarWinds veranschaulicht wurden?

Cook: Ich habe definitiv eine aktuelle Fallstudie… Es war ein Ransomware-Vorfall. Wir fanden heraus, dass die Verweildauer etwa zweieinhalb Monate betrug. Sie waren in der Lage, sich in der Umgebung zu bewegen, sich die benötigten Anmeldeinformationen zu beschaffen und sich dann einfach seitlich zu bewegen und ein paar wichtige Dinge mitzunehmen, die sie haben wollten.

Wir glauben tatsächlich, dass… der anfängliche Zugang zur Umgebung vermittelt wurde. Und danach haben sie ihn an einen Ransomware-Akteur verkauft. Glücklicherweise hatte diese Gesundheitsorganisation Luftlöcher bei allem, was potenziell schrecklich wäre, wenn es [knocked] aus, wie [electronic health record] Systeme. Der größte Teil ihres gesamten Labors war nicht online, oder hatte zumindest eine Lücke dazwischen.

Nachdem wir also die gesamte Analyse durchlaufen und ihnen gezeigt hatten, was passiert war, kamen wir mit einem ganzen Teil an Empfehlungen zurück. [We said:] “Sogar Ihr IR-Plan sieht nicht mehr so gut aus wie früher. Lassen Sie uns dort ansetzen und einige dieser Szenarien durcharbeiten… Das war Ransomware, aber was passiert, wenn das ein SolarWinds war?”

Im Moment versuchen wir, ihnen klar zu machen, dass wiederholte, konsistente Tests – ob Pen-Tests, Purple Teaming oder ähnliche Dinge – in Ihrer Umgebung durchgeführt werden müssen, damit Sie Ihre gesamte Umgebung ständig im Blick haben und verstehen, wann neue Dinge in Ihr System eingeführt werden.

Wie hoch ist Ihrer Meinung nach der Reifegrad der Bedrohungsjagdprogramme der meisten Organisationen im Gesundheitswesen?

Cook: Ich würde schätzen, dass die meisten von ihnen auf Stufe eins sind. Es geht über die reine Alarmierung hinaus. Wahrscheinlich haben sie einen Threat-Hunting-Feed gekauft, der in irgendeinem SIEM gespeichert wird, das sich die Leute vielleicht ansehen, vielleicht auch nicht.

Das größte Problem besteht darin, ihnen zu zeigen, dass sie nicht die richtige Sichtbarkeit haben. Diese Lückenanalyse: “Sie wären nicht einmal in der Lage, das zu erkennen, wenn Sie das in Ihrer Umgebung sehen würden, weil Sie nicht über diese Tools oder diese Protokollierung verfügen oder weil es hier einfach keine Segmentierung gibt.”

Sehen Sie zumindest Anzeichen dafür, dass sich dieses neu entdeckte Interesse an der Bedrohungsjagd auf lange Sicht auszahlen wird?

Cook: Was ich bisher in diesem Jahr gesehen habe, ist eine große Zustimmung, seit Anfang des Jahres und nach der SolarWinds-Sache. Eine Menge Zustimmung von der Führungsebene abwärts, wo es vorher vielleicht hieß: “Wir haben kein Budget” oder “Wir können diese Dinge aufgrund der Personalausstattung einfach nicht machen.”

Fast alle Organisationen, mit denen wir im Moment zusammenarbeiten, haben wirklich Geld in die Hand genommen – sei es, dass sie neue Mitarbeiter eingestellt haben, sei es, dass sie neue Produkte gekauft haben, oder auch nur versucht haben, ein tieferes Verständnis dafür zu bekommen, wie die Abläufe in der Gesundheitsorganisation funktionieren.

Ich setze im Moment große Hoffnungen darauf, vor allem weil ich denke, dass es eine Art von Maßnahmen gegen das C-Level-Management geben könnte, wenn die Leute herausfinden, dass es eine Menge laxer Sicherheitsmaßnahmen gab [that led to a successful attack].

Was ist mit den Drittgeräteherstellern und Softwareanbietern, die mit diesen Gesundheitseinrichtungen zusammenarbeiten?

Cook: Es gibt eine Menge Kommunikation hin und her, wobei viele Anbieter versuchen, im Moment so transparent wie möglich zu sein und die Leute wissen zu lassen: “Wir arbeiten an allen unseren Prozessen und stellen sicher, dass es in unserer Umgebung keine Probleme mit SolarWinds gibt.” Aber was ich für die Zukunft sehe, ist, dass es für bestimmte Branchen eine Art Rahmenwerk gibt, das besagt, dass sie dieses Niveau an Sicherheitsprüfungen erfüllen müssen, bevor es in unserer Umgebung aktiviert werden kann.

Wird das nun wirklich das langfristige Problem lösen? Werden Sie immer eine komplette Überprüfung jedes Codes durchführen, der in Ihre Appliance kommt? Wahrscheinlich nicht, aber ich denke, dass die Idee, … sicherzustellen, dass Sie sogar die Ebene des Baselineings in Ihrer Umgebung haben, um zu sehen, ob diese Appliance etwas ein bisschen seltsam macht… [and] Die Zukunft wird darin bestehen, diese Idee des Null-Vertrauens wirklich festzuschreiben.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com