Könnte das Zulassen von Listen die Auswirkungen von Ransomware und Cyberangriffen auf das Gesundheitswesen verringern?

  • Medizinisches Personal arbeitet in der Pflegestation der Station COVID-19 im United Memorial Medical Center am 29.12.2020 in Houston. Ein CEO sagt, dass die Erlaubnisliste ideal für Sicherheitsstapel im Gesundheitswesen ist. (Foto: Go Nakamura/Getty Images)

    Ein aktueller IDC-Bericht bestätigt, dass das Gesundheitswesen anfälliger für die Folgen von Cyberangriffen ist als andere Branchen und am ehesten von Anwendungsausfällen betroffen ist: 53 % der betroffenen Einrichtungen berichten von Ausfallzeiten nach einem Angriff.

    Das Gesundheitswesen hat auch die höchste Rate an kompromittierten Websites (44 %) und die höchste Rate an Markenschäden (31 %) zu verzeichnen.

    Bei einigen Anbietern können Netzwerkausfälle wochen- und manchmal monatelang andauern. Letztes Jahr kostete die dreiwöchige Ausfallzeit von Universal Health Services nach einem Ransomware-Angriff das Gesundheitssystem 67 Millionen US-Dollar an Wiederherstellungskosten und entgangenen Einnahmen.

    Der CEO von PC Matic, Rob Cheng, erklärt, dass sich diese Probleme noch verschärft haben, als Anbieter mit eingeschränkten Ressourcen gezwungen waren, schnell Technik einzusetzen, um Innovationen zu unterstützen, die für die Reaktion auf die Pandemie COVID-19 benötigt wurden.

    In Anbetracht der DNS-Angriffe und der anhaltenden Ransomware-Plage ist es mehr als an der Zeit, dass Provider auch mit begrenzten Budgets kreativere Antworten auf Cyber-Herausforderungen suchen, und zwar in Kombination mit der Teilnahme an Programmen zur gemeinsamen Nutzung von Bedrohungen und unter Rückgriff auf kostenlose oder kostengünstige Ressourcen.

    Für Cheng ist die Erlaubnisliste ideal für Sicherheitsstacks im Gesundheitswesen, da sie als zusätzlicher Abwehrmechanismus für Antiviren-Tools und andere Sicherheitsmaßnahmen konzipiert ist.

    “Allowlisting ist der absolut beste Schutz gegen Ransomware und andere Malware wie Keylogger, Zero-Days und Advanced Persistent Threats”, so Cheng. “Wenn die Ransomware zum Beispiel in eine E-Mail eingebettet ist und ein Mitarbeiter auf den Anhang klickt, bevor die Ransomware ausgeführt wird, blockiert die Zulassen-Liste die Ransomware, bevor Schaden entsteht.”

    “Ransomware ist das Geschäft mit der Monetarisierung von Sicherheitslücken”, fuhr er fort. “Allowlisting ist kein Schutz gegen andere Formen der Cyberkriminalität, wie z. B. die Kompromittierung von Geschäfts-E-Mails, bei denen Firmengeheimnisse gestohlen werden können, oder betrügerische Kommunikation.”

    Laut NIST ist Allowlisting eine detaillierte Liste von Anwendungen und zugehörigen Komponenten, die für die Nutzung innerhalb einer Organisation zugelassen sind. Die unterstützenden Technologien verwenden allowlists, um die spezifischen Anwendungen zu kontrollieren, die innerhalb einer Host-Umgebung gestartet werden dürfen, was die Ausführung von Malware und nicht lizenzierter oder nicht autorisierter Software im Netzwerk verhindern kann.

    Während das im Security Stack enthaltene Antivirus auf einer Denyliste von bestätigten schlechten Anwendungen, wie z.B. Ransomware, basiert, blockiert die Allowlist die Ransomware standardmäßig, da sie von den Sicherheitstools nicht als gute Anwendung eingestuft wurde, erklärt Cheng.

    Auf der anderen Seite würde die Denylist-Architektur der Ransomware-Bedrohung erlauben, in das System einzudringen, da das Tool sie auf verdächtiges Verhalten hin beobachtet.

    Frühere Iterationen von Zulassen-Listen waren schwierig und teuer zu installieren und zu warten, da jedes Unternehmen eine maßgeschneiderte Zulassen-Liste von Anwendungen, die im Netzwerk betrieben werden dürfen, erstellen musste. Und wenn eine Anwendung aktualisiert wurde, musste das Sicherheitsteam das Update zur Zulassungsliste hinzufügen.

    Und da einige Anwendungen mehrmals im Monat aktualisiert wurden, würde es mehrere Ressourcen erfordern, um die allowlist am Laufen zu halten. Cheng betonte, dass viele Neuerungen die Allowlist weniger teuer und einfacher zu pflegen gemacht haben.

    Infolgedessen können die Unternehmen, die Allowlisting implementieren, eine globale Allowlist nutzen, die ein detailliertes Inventar von kuratierten Anwendungen enthält, die entweder im Handel erhältlich sind oder heruntergeladen wurden. Die Liste “erspart einen Großteil der Arbeit bei der Installation beliebter Programme wie Adobe, Google, Microsoft.”

    Darüber hinaus können die Zulassen-Listen nun für jede Organisation angepasste Software enthalten, um zu verhindern, dass unerwünschte Software in einem Netzwerk installiert wird.

    “Wenn die benutzerdefinierte Software eine Signatur hat, kann diese Signatur hinzugefügt werden, und es wird alle benutzerdefinierte Software behandelt, die von der Organisation geschrieben wurde, plus die benutzerdefinierte Software, die in der Zukunft geschrieben wird”, erklärte Chenge.

    “Die Entwickler müssen mehrere Versionen ihrer Software schreiben und testen, bis sie fertig ist. Das Zulassen eines bestimmten Verzeichnisses auf einer Teilmenge von Rechnern sollte möglich sein, um diesen Anwendungsfall zu handhaben”, fügte er hinzu. “Wenn die Erlaubnisliste alle oben genannten Eigenschaften hat, dann beschränkt sich die Wartung auf Software mit geringer Prävalenz, die aktualisiert wird.”

    Das Tool ist nicht ohne Nachteile, denn es ist bekannt, dass Erlaubnislisten gelegentlich gute Programme blockieren, was laut Cheng zu Frustration bei den Mitarbeitern des Unternehmens führen kann. Das Tool sollte einen Mechanismus enthalten, um gute Programme einfach in Echtzeit zuzulassen, was die Reibung reduzieren kann.

    Die Allowlist-Anleitung des NIST kann Einrichtungen des Gesundheitswesens mit den Best-Practice-Schritten für die Implementierung des effektiven Tools versorgen. Administratoren sollten die Verwendung von Allowlisting-Technologien in Betracht ziehen, die bereits in einigen Host-Betriebssystemen integriert sind, da diese kostengünstiger und einfach zu verwenden sind.

    Wenn diese nicht verfügbar sind oder als ungeeignet erachtet werden, empfiehlt das NIST, dass Einrichtungen auf Drittanbietertechnologien mit zentralisierten Verwaltungsfunktionen und Software zurückgreifen, die anspruchsvollere Whitelisting-Attribute unterstützen, einschließlich der Kombination aus digitaler Signatur/Publisher und kryptografischen Hash-Verfahren.

    Das NIST bestätigte, dass dies die genaueste und umfassendste Möglichkeit zur Erlaubniserteilung ist, aber es kann zu Reibungsverlusten bei den Benutzern führen.

    Unternehmen können die Funktion zur Erstellung von Zulässigkeitslisten auch im Überwachungsmodus testen, um zu sehen, wie sie sich im Netzwerk verhält, bevor sie eingesetzt wird, was eine Bewertung einschließen sollte, wie die Lösung auf Softwareänderungen wie ein Update reagiert.

    In Anbetracht des Umfangs und der Komplexität des Gesundheitswesens sollten diese Organisationen in Erwägung ziehen, Alertlisting in einem phasenweisen Ansatz mit detaillierten Schritten des Prozesses zu planen und einzuführen, um ungeplante Probleme zu reduzieren, potenzielle Probleme zu identifizieren und Fortschritte in der Technologie zu berücksichtigen.

    “Es kann zu einer gewissen Frustration bei den Anwendern kommen, aber dies kann als eine Unannehmlichkeit angesehen werden, im Gegensatz zu Ransomware, wo die Auswirkungen in der Regel katastrophal sind”, so Cheng. “Cybersecurity-Schulungen und Multifaktor-Authentifizierung sind zusätzliche Sicherheitswerkzeuge, um die Kompromittierung von Geschäfts-E-Mails zu bekämpfen.”

    “Das Erlauben von Listen schließt eine der größten, was die Infektionsraten und damit die externen Lösegeldzahlungen verringern wird. Dadurch sinken die Einnahmen der Ransomware-Macher”, schloss er. “Je geringer ihre Einnahmen sind, desto langsamer wird sich Ransomware verbreiten.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com