Gil Kirkpatrick

Dans le secteur de la santé, les problèmes de cybersécurité ont des conséquences qui vont bien au-delà de la perte de données. Récemment, le FBI et d'autres agences fédérales ont mis en garde contre une menace crédible de "cybercriminalité accrue et imminente" pour les hôpitaux et les prestataires de soins de santé américains. Des groupes criminels ciblent le secteur de la santé pour commettre des vols de données et perturber les services de santé.

Au début de l'année, uneattaque par ransomwarecontre un hôpital allemand a montré à quel point les cyberattaques sont dangereuses. Selon la presse, une patiente de l'hôpital universitaire de Düsseldorf est décédée à la suite d'une attaque par ransomware qui a paralysé les systèmes informatiques de l'hôpital et contraint les médecins à la transférer dans un autre établissement.

Aux États-Unis, Universal Health Services (UHS) a confirmé le 3 octobre qu'une attaque par ransomware avait eu lieu.attaque par ransomwareà la fin du mois de septembre avait touché tous ses sites de soins et hôpitaux aux États-Unis, l'obligeant à déconnecter les systèmes et à fermer temporairement son réseau. Bien qu'il soit prouvé que le nombre de violations de données dans le secteur a diminué au cours du premier semestre 2020 par rapport au dernier semestre 2019, les événements liés aux ransomwares dans le secteur de la santé ont augmenté de façon spectaculaire. La gestion de la cybersécurité pour les établissements de santé ne devient pas plus facile. Avec ce pronostic, le secteur de la santé doit repenser la sécurité en se concentrant sur l'accès et l'identité.

Quelles mesures les défenseurs peuvent-ils prendre pour éviter d'être victimes d'un ransomware ? J'ai eu le privilège de rejoindre Scott BreeceCISO de Community Health Systems,le jeudi 19 novembreJ'ai eu le privilège de rejoindre Scott Breece, CISO de Community Health Systems, le jeudi 19 novembre, pour une discussion franche et des questions-réponses. Nous avons abordé le cadre de cybersécurité du NIST, la gestion de systèmes d'identité multiples dans les environnements informatiques des soins de santé et, bien sûr, les ransomwares. Nous vous invitons àécouter.

Les arguments en faveur de la confiance zéro

Même avant que la pandémie de COVID-19 n'accroisse la pression sur les hôpitaux et les cliniques médicales, la gestion de la sécurité dans le secteur des soins de santé était complexe. Le maintien de la conformité avec les exigences réglementaires telles que HIPAA, HITECH, SOX, PCI et autres n'est qu'un des défis que doivent relever les services informatiques. Un autre défi moins cité est le taux de rotation du personnel, accompagné de la réalité que les remplaçants devront être intégrés et formés. Il faut également tenir compte du nombre relativement élevé de fusions et d'acquisitions, que les services informatiques doivent intégrer dans l'infrastructure informatique existante.

En outre, l'adoption croissante des services de télésanté constitue un nouveau vecteur d'attaque. Selon unun rapport deSecurity Scorecard et DarkOwlles attaques ciblées contre les fournisseurs de services de télésanté se sont multipliées avec l'augmentation de l'utilisation de la télésanté. Parmi les problèmes les plus importants mis au jour dans le rapport figurent la sécurité des points finaux et les problèmes FTP et RDP. En outre, la recherche de DarkOwl a révélé l'émergence d'acteurs menaçants qui vendent des dossiers médicaux électroniques (EHR) et des boîtes à outils de logiciels malveillants spécialement conçus pour cibler les technologies de télésanté, ainsi que des ransomwares configurés pour détruire les infrastructures de soins de santé.

Cette réalité a conduit de nombreuses organisations à chercher une solution dans les architectures de confiance zéro. La confiance est une denrée précieuse dans l'informatique, trop précieuse pour être accordée aveuglément dans un environnement où de nombreux terminaux ne sont pas corrigés et ne sont pas gérés. Il s'agit souvent d'appareils personnels et mobiles qui doivent partager des données pour servir efficacement les patients. Pourtant, en raison des risques de phishing, de ransomware et d'autres attaques, on ne peut pas simplement supposer qu'un appareil est sûr simplement parce qu'il se trouve derrière le pare-feu. Chaque opération effectuée à partir de chaque appareil doit être évaluée et faire l'objet d'une authentification et d'une autorisation appropriées.

Lorsqu'elle est correctement mise en œuvre, la confiance zéro réduit la portée de la compromission après une violation réussie. Pour ce faire, elle exige une étape d'autorisation distincte pour chaque transaction d'application, avec une authentification supplémentaire de l'utilisateur et de l'appareil en fonction de la sensibilité et du contexte de l'opération. La mise en œuvre de ces étapes supplémentaires peut avoir lieu dans l'application elle-même, dans l'infrastructure logicielle sous-jacente, par exemple la plateforme d'identité, ou même dans le réseau via la micro-segmentation. Le défi de la confiance zéro est de d'assurer L'enjeu de la confiance zéro est de garantir une autorisation et une authentification suffisantes sans détruire les performances ou la facilité d'utilisation de l'application.

Se concentrer sur la sécurisation d'Active Directory

Pour la quasi-totalité des entreprises, la "source de vérité" sous-jacente pour l'authentification et l'autorisation traditionnelles et Zero Trust est toujours Active Directory. Active Directory détient l'identité des utilisateurs et des machines, ainsi que les informations d'identification, les politiques et les autorisations utilisées dans la plupart, voire la totalité, des systèmes sur site. Enfin, Active Directory alimente également en données les services d'identité en nuage externes.

La sécurisation d'Active Directory est essentielle pour limiter l'impact des ransomwares et autres attaques d'intégrité sur les systèmes d'entreprise. Les attaques par ransomware évoluent rapidement et sont devenues plus sophistiquées au cours des six derniers mois. Les acteurs de la menace tentent de voler des données et d'exploiter Active Directory pour maintenir la persistance et propager le ransomware dans l'environnement. Renforcer Active Directory et le rendre plus résistant aux attaques est une entreprise de taille, mais diviser le problème en améliorations avant, pendant et après l'attaque peut simplifier le processus.

Comme leZerologon vulnerabilitéZerologon, Active Directory est susceptible d'être attaqué par des acteurs cherchant à élever leurs privilèges. L'application de correctifs en temps opportun, l'évaluation continue de la configuration d'Active Directory et la surveillance des modifications d'objets et d'attributs au niveau de l'annuaire contribuent à réduire la capacité des acteurs de la menace à prendre pied au sein de votre réseau.

Si un attaquant parvient à s'implanter dans votre réseau, il est impératif que vous disposiez de systèmes permettant de détecter les activités malveillantes et d'annuler les modifications apportées par l'attaquant à Active Directory. Par exemple, les attaquants accordent souvent des privilèges élevés aux comptes d'utilisateurs compromis en modifiant l'appartenance à un groupe ou l'historique du SIDHistory ou de l'attribut SIDHistory. La détection de ces modifications et leur annulation automatique réduisent la capacité d'un attaquant à se déplacer latéralement et à compromettre d'autres systèmes.

Si un pirate parvient à compromettre complètement votre Active Directory par le biais d'un ransomware ou d'un wiperware, vous devez être en mesure de récupérer les données sauvegardées rapidement et de manière fiable. rapidement et de manière fiable. Le processus de récupération doit être hautement automatisé et capable de restaurer Active Directory uniquement sur des serveurs Windows installés proprement et dont on sait que les binaires du système ne sont pas infectés par des logiciels malveillants.

Remède au compromis commun

Il n'y a peut-être pas de remède au rhume, mais il existe un moyen de se défendre contre les types d'attaques qui ciblent le secteur de la santé. En adoptant une approche de confiance zéro et en protégeant Active Directory, les organisations peuvent améliorer leur posture de sécurité et réduire leur niveau de risque.

Scott BreeceCISO de Community Health Systems, et moi avons récemment discuté des défis uniques auxquels les CISO du secteur de la santé et les autres personnes chargées de la sécurité en première ligne sont confrontés chaque jour.

Regardez la session sur,https://bit.ly/3mBYC5x.