مراکز بهداشتی و درمانی از جمله اهداف رایج حملات سایبری هستند
یکی از بخش های بسیار مهم استراتژی امنیت سایبری هر سازمانی، بررسی و پاسخ به هوش تهدید فعلی است. اما مراجعه منظم به داده های تهدید و بروزرسانی روش های دفاعی در فضای مراکز بهداشتی و درمانی که اختلال در شبکه های آن می تواند برای زندگی افراد خطرآفرین باشد از اهمیت بالاتری برخوردار است. به دلیل این که سیستم های سلامت بر تکنولوژی و دیوایس های متصل به بیماران و مراقبت از بیمار بیشتر تکیه کرده اند این مسئله بسیار جدی تر می شود. علاوه بر این میانگین هزینه سازمان مراکز بهداشتی و درمانی از حد گذشته است که بر درآمد بیمارستان تأثیرگذار بوده و می تواند به اعتبار و اعتماد (که دو اصل اساسی نگهداری و تجربه بیمار محسوب می شوند) آسیب جدی وارد کند.
برای کاهش ریسک حملات سایبری، تیم های امنیتی و آی تی باید دائماً از روش های جدید نفوذ به شبکه ها آگاه باشند و آن ها را به تاکتیک های جدیدی در اقدامات امنیتی خود تبدیل کنند.
تهدیداتی که فضای مراقبت بهداشتی در معرض آن ها قرار گرفته است
اگرچه تیم های امنیتی باید در جریان تمام تهدیدات مهم روز قرار داشته باشند (حتی تهدیداتی که ظاهراً فقط صنایع دیگر را تهدید می کنند)، چند نکته برجسته در جدیدترین گزارش Threat Landscape که داده های جمع آوری شده در سه ماهه اول 2019 را مورد برسی قرار داده است به چشم می خورد و می تواند بر مراکز بهداشتی و درمانی تأثیر قابل توجهی داشته باشند.
حمله Living Off the Land
Living Off the Land نوعی حمله است که در سه ماهه اول دائماً مشاهده شد. مجرمان سایبری برای حملات خود از ابزارهای از پیش نصب شده ای همچون PowerShell که در سیستم های هدف وجود دارند استفاده می کنند. این روش کمک می کند تا کد مخرب تزریق شده به ظاهر بخشی از یک پردازش مجاز محسوب می شود که باعث می شود تشخیص و تعریف آن توسط تیم های امنیتی سخت شود. پاورشل (PowerShell) که بر روی ماشین های ویندوز نصب است، یکی از مشهورترین اهداف این نوع حملات به حساب می آیند. مجرمان سایبری برای انتقال باج افزار و بارهای ویروسی مخرب دیگر از PowerShell استفاده می کنند تا داده ها را رمزگشایی کرده و در شبکه انتقال دهند.
با توجه به این که تعداد دیوایس های اینترنت اشیا (IoT) متصل به شبکه بسیار زیاد است، تیم های آی تی مراکز بهداشتی و درمانی باید کاملاً مراقب این تاتیک باشند. سیستم های سلامت دائماً در حال به کارگیری ابزارهای متصل جدید برای درمان بیماران هستند که بسیاری از آن ها امنیت بالایی ندارند. برای بررسی این مسئله تیم های آی تی باید تجهیزات را به صورت کاملاً منظم بازبینی کنند تا مطمئن هیچ ابزار از پیش نصب شده ای مورد حمله قرار نگرفته باشد و به عنوان راه ورود به شبکه عمل نکند.
باج افزار هدف
امسال حملات باج افزاری بزرگ مختلفی مشاهده شد که نشان دهنده تعداد بالای هدفگیری و برنامه ریزی بود. در واقع در یک نمونه LockerGoga، مهاجمین برای دستیابی به اعتبارنامه های مجازی که امکان اجرای بدافزار را فراهم می کردند، از ارزیابی ویژه (due diligence) استفاده نمودند. آن ها با استفاده از این اعتبارنامه ها می توانستند با حداقل گریز ممکن یا تاکتیک های مبهم سازی عمل کنند. این مسئله نشان می دهد آن ها استحکامات شبکه را ارزیابی کرده اند و این اقدامات را غیرضروری دانسته اند.
آناتوا (Anatova) یکی دیگر از باج افزارهای برجسته سه ماهه اول سال است که تا حد امکان فایل ها را رمزنگاری می کند و احتمال تفکیک آن ها را کاهش می دهد. روی هم رفته به نظر می رسد مجرمان از مدل های توزیع بدافزار خوشبینانه به تمرکز بر روی شبکه های منتخب ویژه در حرکت اند.
با توجه به این مسئله سیستم های سلامت باید استحکامات بدافزاری خود را تقویت کنند و حتماً از داده های فعلی خود پشتیبان گیری کنند. بیمارستان ها یکی از اهداف رایج حملات باج افزارها هستند، چون آن ها برای بازیابی داده ها هزینه بیشتری می پردازند و علت آن بیشتر کمبودها یا برنامه ریزی ضعیف در بازیابی داده ها و پروسه های پیوستگی است. با پرداخت باج، داده های بازیابی شده ممکن است خراب یا ناپدید شوند و بر سلامت بیمار اثر بگذارد.
اقدامات قبل و بعد از خطر
با ارزیابی وب سایت های مورد استفاده و فاز موجود در (kill chain) سایبری که مجرمان سایبری به آن دست می یابند می توان به نحوه ایجاد حملات پی برد و به اقدامات دفاعی کمک می کند. نکته جالب توجه زمانی است که اقدام پیش از خطر و پس از خطر انجام می شود. در طول هفته کاری، احتمال اقدام پیش از خطر سه برابر فعالیت پس از خطر است، چون کارکنان به صورت ناخواسته در آن کمک می کنند. اما اقدام پس از خطر در روزهای هفته و اواخر هفته تقریباً به شکل یکسان انجام می شود، چون به رابط کاربری نیازی ندارد یا نیاز آن کم است.
این مسئله ما را به یاد نکته مهمی راجع به قطعه بندی می اندازد. مراقبت بهداشتی یک صنعت با Uptime پایدار است. برای مثال شبکه اورژانس باید همیشه و از جمله اواخر هفته فعال باشد و نمی تواند به دلیل حمله تعطیل شود یا اقدامات آن کاهش یابد. اما بخش های دیگری هم هستند که شبیه اورژانس اند. در ساعات غیرکاری دیوایس متعلق به این بخش باید وارد سیستم شود و چنین رفتار غیر معمولی می تواند نشانه حمله باشد. سیستم های به خطر افتاده ای که در طول ساعات کاری عادی کار می کنند تا حملات را آغاز کرده یا گسترش دهند یا از یک جناح شبکه حرکت می کنند، بر شبکه های پرتقاضایی مثل ED تأثیر زیادی دارند. به همین دلیل است که سیستم های مراکز بهداشتی و درمانی باید شبکه های ضروری را قطعه بندی کنند تا یک لایه دفاعی دیگر را به آن اضافه نمایند و در عین حال تجهیزاتی که رفتار غیرعادی دارند را تا زمان تعیین هدفشان ایزوله کنند.
خلاصه ای از امنیت سایبری بخش آی تی سلامت
مراکز بهداشتی و درمانی از جمله اهداف رایج حملات سایبری هستند. آگاهی از حاملین حمله و استراتژی های مشهور به تیم های آی تی کمک می کند کارکردهای حیاتی شبکه را به شکل بهتری ایمن سازی کنند. تیم های آی تی مراکز بهداشتی و درمانی در اقدامات خود باید این یافته ها را در ذهن داشته باشند و طبق آن ها اقدامات دفاعی خود را تقویت کنند.
نویسنده مقاله : شبکه هزاره
منبع مقاله :
- 01 دی 1398
- ادمین سایت
- 1132