Gil Kirkpatrick

En el sector sanitario, los problemas de ciberseguridad tienen consecuencias que van mucho más allá de la pérdida de datos. Recientemente, el FBI y otras agencias federales advirtieron de una amenaza creíble de "ciberdelincuencia creciente e inminente" para los hospitales y proveedores sanitarios estadounidenses. Los grupos delictivos tienen como objetivo el sector sanitario para llevar a cabo "robos de datos e interrupciones de los servicios sanitarios".

A principios de este año, unataque de ransomwarecontra un hospital alemán demostró lo peligrosos que son los ciberataques. Según las noticias, una paciente del Hospital Universitario de Düsseldorf murió tras un ataque de ransomware que paralizó los sistemas informáticos del hospital y obligó a los médicos a trasladarla a otro centro.

En Estados Unidos, Universal Health Services (UHS) confirmó el 3 de octubre que unataque de ransomwarea finales de septiembre afectó a todos sus centros asistenciales y hospitales de Estados Unidos, lo que le obligó a desconectar sistemas y apagar su red temporalmente. Aunque hay evidencia de que el número de violaciones de datos en la industria disminuyó durante la primera mitad de 2020 en comparación con la última mitad de 2019, los eventos de ransomware en la atención médica aumentaron dramáticamente. La gestión de la ciberseguridad para las instituciones sanitarias no se está volviendo más fácil. Con ese pronóstico, el sector sanitario debe replantearse la seguridad centrándose en el acceso y la identidad.

Entonces, ¿qué medidas pueden tomar los defensores para evitar convertirse en víctimas del ransomware? Tuve el privilegio de unirme a Scott BreeceCISO de Community Health Systems,el jueves 19 de noviembrepara un debate franco y preguntas y respuestas del público. Hablamos del Marco de Ciberseguridad del NIST, de la gestión de múltiples sistemas de identidad en entornos de TI sanitarios y, por supuesto, del ransomware. Le invitamos asintonizar.

Por una confianza cero

Incluso antes de que la pandemia de COVID-19 aumentara la presión sobre hospitales y clínicas médicas, la gestión de la seguridad en el sector sanitario era compleja. Mantener el cumplimiento de requisitos normativos como HIPAA, HITECH, SOX, PCI y otros es sólo uno de los retos a los que se enfrenta el departamento de TI. Otro reto menos citado es la gran rotación de personal, acompañada de la realidad de que los sustitutos entrantes tendrán que ser incorporados y formados. Además, hay que tener en cuenta el número relativamente alto de fusiones y adquisiciones (M&A), que las organizaciones de TI tienen que incorporar a la infraestructura de TI existente.

Además, la creciente adopción de servicios de telesalud presenta un nuevo vector de ataque. Segúnun informe deSecurity Scorecard y DarkOwla medida que ha crecido el uso de la telesalud, también se han disparado los ataques dirigidos contra los proveedores de telesalud. Algunos de los problemas más destacados descubiertos en el informe son la seguridad de los puntos finales y los problemas de FTP y RDP. Además, la investigación de DarkOwl reveló la aparición de agentes de amenazas que venden historiales médicos electrónicos (HCE) y conjuntos de herramientas de malware diseñados específicamente para atacar tecnologías de telesalud y ransomware configurado para derribar infraestructuras sanitarias.

Esta realidad ha llevado a muchas organizaciones a buscar arquitecturas de confianza cero como solución. La confianza es un bien preciado en TI, demasiado preciado para concederlo a ciegas en un entorno en el que muchos puntos finales no tienen parches ni están gestionados. Muchos de ellos son dispositivos personales y móviles que deben compartir datos para atender eficazmente a los pacientes. Sin embargo, debido a la posibilidad de que se produzcan ataques de phishing, ransomware y de otro tipo, no se puede dar por sentado que un dispositivo es seguro sólo porque está detrás del cortafuegos. Cada operación desde cada dispositivo debe ser evaluada y debidamente autenticada y autorizada.

Cuando se aplica correctamente, Zero Trust reduce el alcance del compromiso después de una violación exitosa. Esto se consigue exigiendo un paso de autorización distinto para cada transacción de la aplicación, con autenticación adicional del usuario y del dispositivo según lo determinen la sensibilidad y el contexto de la operación. La implementación de estos pasos adicionales puede producirse en la propia aplicación, en la infraestructura de software subyacente, por ejemplo, la plataforma de identidad, o incluso en el tejido de red a través de la microsegmentación. El reto de la confianza cero es garantizar suficiente autorización y autenticación sin destruir el rendimiento o la facilidad de uso de la aplicación.

Centrarse en la seguridad de Active Directory

Para casi todas las empresas, la "fuente de verdad" subyacente para la autenticación y autorización heredadas y de confianza cero sigue siendo Active Directory. Active Directory contiene la identidad y las credenciales de usuarios y equipos, así como las políticas y los permisos utilizados en la mayoría de los sistemas locales, si no en todos. Y, por último, Active Directory también alimenta de datos a los servicios de identidad en la nube externos.

Mantener la seguridad de Active Directory es vital para limitar el impacto del ransomware y otros ataques contra la integridad de los sistemas empresariales. Los ataques de ransomware evolucionan rápidamente y se han vuelto más sofisticados incluso en los últimos seis meses. Los actores de las amenazas intentan robar datos y explotar Active Directory para mantener la persistencia y propagar el ransomware por todo el entorno. Endurecer Active Directory y hacerlo más resistente a los ataques es una empresa importante, pero dividir el problema en mejoras antes, durante y después del ataque puede simplificar el proceso.

Como elZerologon vulnerabilidadActive Directory es susceptible a las amenazas que buscan escalar privilegios. La aplicación oportuna de parches y la evaluación continua de la configuración de Active Directory, así como la supervisión de los cambios de objetos y atributos a nivel de directorio, ayudan a reducir la capacidad de los actores de amenazas para conseguir un punto de apoyo inicial dentro de su red.

Si un atacante consigue una presencia inicial en su red, es imperativo que disponga de sistemas para detectar la actividad maliciosa y revertir cualquier cambio en Active Directory que el atacante pueda realizar. Por ejemplo, los atacantes suelen conceder privilegios elevados a cuentas de usuario comprometidas modificando la pertenencia a grupos o el SIDHistory . Detectar estos cambios y revertirlos automáticamente reduce la capacidad de un atacante para moverse lateralmente y comprometer sistemas adicionales.

En el caso de que un atacante logre comprometer completamente su Active Directory a través de ransomware o wiperware, debe tener la capacidad de recuperarse de la copia de seguridad de forma rápida y rápida y fiable. El proceso de recuperación debe estar altamente automatizado y ser capaz de restaurar Active Directory únicamente en servidores Windows instalados de forma limpia y que se sepa que no tienen malware infectando los binarios del sistema.

Cura para el compromiso común

Puede que no exista una cura para el resfriado común, pero hay una forma de defenderse contra los tipos de ataques dirigidos al sector sanitario. Al adoptar un enfoque de confianza cero y proteger Active Directory, las organizaciones pueden mejorar su seguridad y reducir su nivel de riesgo.

Scott Breece, CISO de Community Health Systems, y yo charlamos recientemente sobre los retos únicos a los que se enfrentan cada día los CISO del sector sanitario y otras personas encargadas de la seguridad en primera línea.

Vea la sesión enhttps://bit.ly/3mBYC5x.