醫(yī)療數(shù)據(jù)安全面臨嚴峻挑戰(zhàn)

01 網(wǎng)絡(luò)數(shù)據(jù)泄露事件愈演愈烈

最近的統(tǒng)計數(shù)據(jù)表明：近三年內(nèi)，在數(shù)據(jù)泄露中暴露的個人醫(yī)療信息數(shù)量增加了300%。在暗網(wǎng)上，個人醫(yī)療信息（PHI）的售價高達每條1000美元。根據(jù)Critical Insight的一份報告，2021年有超過4500萬份患者資料在數(shù)據(jù)泄露中被曝光。這意味著去年約有七分之一的美國人被盜取了姓名、家庭住址、社會安全號碼，甚至生物識別數(shù)據(jù)等信息。現(xiàn)在，僅醫(yī)療信息泄露就占了所有大型數(shù)據(jù)泄露事件的30%。

20世紀90年代以來，醫(yī)療信息數(shù)據(jù)化技術(shù)不斷發(fā)展，《健康保險流通與責任法案》(下稱HIPAA)正式立法，最大程度地降低患者信息泄露風險成為醫(yī)療服務(wù)機構(gòu)工作的重中之重。

02 網(wǎng)絡(luò)威脅越來越難被發(fā)現(xiàn)

2021年1月23日，克羅格藥房的高管接到布洛克團伙入侵的通知。一周后，克羅格又收到了500萬美元的贖金要求和超過500,000名克羅格客戶的個人健康信息被盜的證據(jù)。盡管他們所有系統(tǒng)都是在線的，網(wǎng)絡(luò)也沒有出現(xiàn)惡意攻擊的跡象，但還是發(fā)生了這起規(guī)模巨大的數(shù)據(jù)泄露事件。

這場網(wǎng)絡(luò)攻擊究竟是如何進行的？

CLOP用了一個已知的Accellion文件共享漏洞作為攻擊媒介，來攻擊克羅格制藥公司的網(wǎng)絡(luò)。CLOP使用零日攻擊獲得入口，然后在設(shè)備內(nèi)存中部署DEWMODE Web外殼來訪問和滲透數(shù)十萬條個人健康信息，但不會引發(fā)任何終端安全解決方案警報。這種情況正變得越來越普遍。隨著醫(yī)療服務(wù)行業(yè)攻擊面的不斷擴大，醫(yī)療零日攻擊達到歷史最高水平，攻擊者有更多的地方進入網(wǎng)絡(luò)，并在進入網(wǎng)絡(luò)后就隱藏起來。

根據(jù)IBM的數(shù)據(jù)，一個醫(yī)療機構(gòu)平均需要329天的時間來檢測和控制一次數(shù)據(jù)泄露。然而，威脅者正越來越多地使用不產(chǎn)生簽名或依賴磁盤可執(zhí)行文件的惡意軟件。去年，使用Cobalt Strike beacons等無簽名工具的無文件攻擊率飆升了900%。這類威脅可能會繞過EDR或AV等通過簽名和識別已知威脅行為的工具。

03 網(wǎng)絡(luò)攻擊使醫(yī)療機構(gòu)損失重大

年初，網(wǎng)絡(luò)攻擊迫使Tenet Healthcare旗下的五家醫(yī)院的病人記錄系統(tǒng)離線，且第一階段的破壞持續(xù)了一個多月。一些醫(yī)護人員甚至用筆和紙來記錄信息。這次攻擊還影響了100多萬人的個人醫(yī)療信息，對Tenet的業(yè)務(wù)造成了持久的損害。

根據(jù)該公司第二季度的收益報告，2022年4月的網(wǎng)絡(luò)攻擊造成的連帶損失已經(jīng)超過1億美元。其中大部分是重建幾家醫(yī)院的整個IT系統(tǒng)的費用。但即使是1億美元的投入也無法彌補損失。

對于小型的醫(yī)療機構(gòu)來說，網(wǎng)絡(luò)攻擊造成的停機成本可能較低。但對一家中等規(guī)模的醫(yī)療機構(gòu)來說，一個完整的漏洞所造成的停機時間的平均成本是45,700美元/h。在這種威脅環(huán)境下，醫(yī)療服務(wù)機構(gòu)繼續(xù)依賴反應(yīng)性策略是極不可取的。顯然，為了應(yīng)對不斷增加的醫(yī)療網(wǎng)絡(luò)攻擊，醫(yī)療領(lǐng)域的數(shù)據(jù)安全需要探索新的發(fā)展方向。

如何保護醫(yī)療數(shù)據(jù)安全？

1

醫(yī)療領(lǐng)域網(wǎng)絡(luò)安全發(fā)展新方向

改善醫(yī)療網(wǎng)絡(luò)的安全狀況需要向零信任環(huán)境和深度防御（DiD）戰(zhàn)略邁進。然而，即使是基本的零信任要求，如強制要求多因素認證（MFA）或在特定時間限制后禁用賬戶，也很難執(zhí)行。醫(yī)療保健人員對影響其生產(chǎn)力或影響生活的安全控制措施的容忍度很小。對安全團隊來說，克服這些障礙面臨著程序和政治上的挑戰(zhàn)。

2

保障醫(yī)療數(shù)據(jù)安全的有效方法

現(xiàn)在，加強零信任和深化DiD在技術(shù)上和經(jīng)濟上都是可行的。輕量級、革命性的移動目標防御（MTD）技術(shù)可以主動阻止下一代反病毒（NGAV）、終端檢測和響應(yīng)（EDR）無法持續(xù)檢測的高級無文件和運行時攻擊。移動目標防御（MTD）技術(shù)在不影響用戶體驗的同時，為醫(yī)療保健服務(wù)器和終端帶來零信任保護。

3

移動目標防御技術(shù)如何實現(xiàn)零信任保護？

移動目標防御（MTD）技術(shù)將應(yīng)用程序內(nèi)存變成一個無信任的環(huán)境，隨機變化受信任的運行時應(yīng)用程序代碼并自動阻止未經(jīng)授權(quán)的代碼。它會不斷改變真正的入口，留下假的入口，但不會影響任何授權(quán)的應(yīng)用程序和進程。

如果未經(jīng)授權(quán)的代碼試圖在目標上執(zhí)行，它就會打開一扇“假門”，將其困住，以便進行取證分析。不用先行識別或分析，MTD能在它們部署和造成破壞之前，主動阻止最先進的破壞性攻擊。

MTD增加了一個超輕量級的主動防御層，填補了其他安全解決方案無法有效彌補的運行時漏洞的安全缺口。

因此，MTD對設(shè)備性能沒有影響，也不需要監(jiān)控。這對醫(yī)療機構(gòu)網(wǎng)絡(luò)安全環(huán)境來說是非常重要的。

Morhpisec（摩菲斯）

Morphisec（摩菲斯）作為移動目標防御的領(lǐng)導者，已經(jīng)證明了這項技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動的漏洞預(yù)防解決方案，每天保護800多萬個端點和服務(wù)器免受許多最先進的攻擊。事實上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點保護平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標)

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費的Guard Lite解決方案，將微軟的Defener AV變成一個企業(yè)級的解決方案。讓企業(yè)可以從單一地點控制所有終端。請聯(lián)系我們免費獲取！

審核編輯 黃昊宇