從Change Healthcare遭遇的災(zāi)難性的勒索軟件攻擊中得出的教訓(xùn)正在逐漸明晰，這一事件鮮明地展示了醫(yī)療行業(yè)的脆弱性，并促使人們呼吁采取監(jiān)管行動(dòng)。

今年2月的攻擊破壞了全美的保險(xiǎn)理賠處理，給診所、藥房和患者帶來(lái)了混亂，他們無(wú)法完成預(yù)先授權(quán)的處方或保險(xiǎn)覆蓋的醫(yī)療治療。

Change Healthcare處理的向醫(yī)療服務(wù)提供者的付款流動(dòng)因系統(tǒng)被攻擊而突然中斷，系統(tǒng)被迫下線(xiàn)以應(yīng)對(duì)攻擊。

尤其是較小的醫(yī)療服務(wù)提供者和農(nóng)村藥房在這次攻擊中遭受了巨大的收入損失，有些甚至接近破產(chǎn)。最終，這次攻擊暴露了潛在三分之一美國(guó)公民的個(gè)人數(shù)據(jù)，給母公司UnitedHealth Group(UHG)帶來(lái)了超過(guò)8.72億美元的處理費(fèi)用和由此引起的破壞。

這些費(fèi)用的一部分包括向成千上萬(wàn)的提供者提供加速付款和無(wú)息、無(wú)費(fèi)用貸款。另一部分被 earmarked用于事件響應(yīng)和徹底重建Change Healthcare的系統(tǒng)。包括收入損失在內(nèi)，預(yù)計(jì)此次攻擊將使UHG損失超過(guò)10億美元。

對(duì)此，美國(guó)政界人士呼吁在衛(wèi)生部門(mén)強(qiáng)制實(shí)施基礎(chǔ)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，并加強(qiáng)信息共享。他們還擔(dān)心行業(yè)整合正在增加網(wǎng)絡(luò)風(fēng)險(xiǎn)。

總的來(lái)說(shuō)，對(duì)Change Healthcare的勒索軟件攻擊——UHG在2022年以近80億美元收購(gòu)的公司——展示了安全控制不佳在勒索軟件攻擊中經(jīng)常出現(xiàn)的因素。以下是攻擊后的幾個(gè)教訓(xùn)。

多因素認(rèn)證(MFA)是必不可少的

在5月初的國(guó)會(huì)聽(tīng)證會(huì)上，UHG首席執(zhí)行官Andrew Witty表示，犯罪分子使用被盜的憑證遠(yuǎn)程訪問(wèn)了Change Healthcare的Citrix門(mén)戶(hù)，這是一種允許遠(yuǎn)程訪問(wèn)桌面的技術(shù)，大約在2月12日。該門(mén)戶(hù)未啟用多因素認(rèn)證(MFA)，這是基本的企業(yè)安全控制措施。

雖然不能完全防彈，但MFA長(zhǎng)期以來(lái)被認(rèn)為是保護(hù)系統(tǒng)免受憑證攻擊的最佳實(shí)踐。據(jù)ESET首席安全傳道者Tony Anscombe稱(chēng)，MFA未啟用很可能在攻擊者能夠遠(yuǎn)程訪問(wèn)Change Healthcare的系統(tǒng)中起了關(guān)鍵作用，使得這一事件高度可避免，未能采用最基本的網(wǎng)絡(luò)安全原則是一場(chǎng)巨大的失敗。

“我們不知道沒(méi)有MFA的原因是什么，是無(wú)能、預(yù)算限制、用戶(hù)需求還是其他原因?”Anscombe說(shuō)。

Illumio關(guān)鍵基礎(chǔ)設(shè)施主管Trevor Dearing評(píng)論道：“成功的勒索軟件攻擊中，效率低下的安全控制往往是一個(gè)因素。無(wú)論是缺乏MFA控制、未修補(bǔ)的網(wǎng)絡(luò)門(mén)戶(hù)，還是過(guò)期的DLP(數(shù)據(jù)丟失防護(hù))系統(tǒng)，任何漏洞都可能導(dǎo)致巨大的破壞。”

分段你的系統(tǒng)

在獲得Change Healthcare系統(tǒng)的立足點(diǎn)后，攻擊者隨后進(jìn)行了橫向移動(dòng)并在2月21日部署ALPHV/BlackCat勒索軟件之前提取了數(shù)據(jù)。

因此，許多事后報(bào)告中提出的另一個(gè)問(wèn)題是Change Healthcare的系統(tǒng)缺乏分段，導(dǎo)致攻擊的橫向移動(dòng)變得容易，這導(dǎo)致了關(guān)鍵資產(chǎn)暴露給攻擊者，據(jù)Dearing稱(chēng)。

分段涉及將一個(gè)大型網(wǎng)絡(luò)系統(tǒng)劃分為較小、隔離的子段，從而使安全團(tuán)隊(duì)更容易保護(hù)和監(jiān)控IT資產(chǎn)，防止像針對(duì)Change Healthcare的橫向攻擊。分段長(zhǎng)期以來(lái)一直是縱深防御策略的關(guān)鍵部分。

并購(gòu)活動(dòng)需要網(wǎng)絡(luò)盡職調(diào)查

Change Healthcare的勒索軟件攻擊也為后并購(gòu)的系統(tǒng)盡職調(diào)查提供了教訓(xùn)。

UHG在2022年10月收購(gòu)了美國(guó)最大的醫(yī)療理賠清算機(jī)構(gòu)Change Healthcare，此前曾與美國(guó)司法部展開(kāi)法律斗爭(zhēng)，后者認(rèn)為此次收購(gòu)會(huì)損害健康保險(xiǎn)市場(chǎng)的競(jìng)爭(zhēng)，并影響用于處理健康保險(xiǎn)理賠的技術(shù)，從而使UHG，這家美國(guó)最大的健康保險(xiǎn)提供商，獲得其競(jìng)爭(zhēng)對(duì)手的數(shù)據(jù)。

收購(gòu)后，Change Healthcare與UHG的Optum健康服務(wù)公司合并，由Optum的CIO和CTO以及UHG的CISO Steven Martin領(lǐng)導(dǎo)安全運(yùn)營(yíng)。

并購(gòu)創(chuàng)造了新的網(wǎng)絡(luò)威脅，因?yàn)樗鼈兩婕皝?lái)自不同組織的系統(tǒng)、數(shù)據(jù)和流程的整合，每個(gè)企業(yè)都有其自己的安全協(xié)議和潛在漏洞。

“在此過(guò)渡期間，網(wǎng)絡(luò)犯罪分子可以利用安全措施的差異、IT治理的漏洞以及管理合并的IT環(huán)境的復(fù)雜性增加的情況，”CTERA的CTO Aron Brand告訴CSOonline。“此外，各方之間敏感信息的高度共享也為數(shù)據(jù)泄露提供了更多機(jī)會(huì)。”

鑒于所涉及的復(fù)雜性和風(fēng)險(xiǎn)，Brand建議，醫(yī)療和非醫(yī)療組織在合并期間必須擁有一份全面的盡職調(diào)查清單。

“這應(yīng)包括詳盡的安全審計(jì)，以評(píng)估被收購(gòu)公司的網(wǎng)絡(luò)安全狀況、識(shí)別漏洞并評(píng)估其事件響應(yīng)能力，”Brand說(shuō)，“例如，如果徹底的評(píng)估解決了缺乏強(qiáng)大MFA控制的問(wèn)題，Change Healthcare的漏洞可能會(huì)得到緩解。”

Expel的威脅情報(bào)分析師Aaron Walton表示同意。

“從聽(tīng)證會(huì)上，我們沒(méi)有了解到導(dǎo)致延遲的原因，但這表明Change未能與UnitedHealth Group的所有安全政策保持同步，”他說(shuō)，“如果Change實(shí)施了UnitedHealth的升級(jí)、流程和政策，可能會(huì)解決導(dǎo)致Change Healthcare遭到攻擊的一些問(wèn)題，例如缺乏MFA。”

自保的風(fēng)險(xiǎn)

在國(guó)會(huì)聽(tīng)證會(huì)期間回答問(wèn)題時(shí)，UHG首席執(zhí)行官Witty承認(rèn)公司對(duì)網(wǎng)絡(luò)事件采取了“自保”。

網(wǎng)絡(luò)保險(xiǎn)提供商在批準(zhǔn)保單之前會(huì)要求高水平的風(fēng)險(xiǎn)緩解。對(duì)于許多企業(yè)而言，這本身就是確保系統(tǒng)強(qiáng)化的動(dòng)力。對(duì)于那些放棄保險(xiǎn)的組織來(lái)說(shuō)，這一點(diǎn)尤為重要。

“自保并接受風(fēng)險(xiǎn)的選擇，Change Healthcare似乎采取了這種立場(chǎng)，不應(yīng)以犧牲網(wǎng)絡(luò)安全措施為代價(jià)，”ESET的Anscombe告訴CSOonline，“我認(rèn)為不可能由于風(fēng)險(xiǎn)增加而無(wú)法獲得保險(xiǎn)——一切都可以投保，只是保費(fèi)的成本問(wèn)題。”

Anscombe補(bǔ)充道：“由于非合規(guī)的網(wǎng)絡(luò)安全措施導(dǎo)致保費(fèi)過(guò)高而不投保是不可原諒的，因?yàn)檫@不必要地將企業(yè)、客戶(hù)、合作伙伴和許多其他人置于風(fēng)險(xiǎn)之中。”

企業(yè)應(yīng)采取符合網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)要求的立場(chǎng)，或者更好的是，符合公認(rèn)的網(wǎng)絡(luò)安全框架的要求，Anscombe建議。

與敵人共存

攻擊者在Change Healthcare系統(tǒng)上停留了超過(guò)一周(九天)，然后才部署勒索軟件。

這種延遲在企業(yè)攻擊中并不罕見(jiàn)。據(jù)專(zhuān)家介紹，攻擊者在被攻破的網(wǎng)絡(luò)中升級(jí)權(quán)限和橫向移動(dòng)所需的時(shí)間，并不意味著被發(fā)現(xiàn)的可能性更大，這是因?yàn)楣粽哔M(fèi)盡心思偽裝他們的活動(dòng)，例如濫用合法的程序和命令，使其輕易融入常規(guī)的預(yù)期流量中。

Silobreaker的Baumgaertner評(píng)論說(shuō)：“勒索軟件組織通常會(huì)在受害者的系統(tǒng)中停留很長(zhǎng)時(shí)間，利用時(shí)間在網(wǎng)絡(luò)中橫向移動(dòng)，以造成盡可能大的破壞。此外，他們?cè)诰W(wǎng)絡(luò)中保持未被發(fā)現(xiàn)的時(shí)間越長(zhǎng)，就有更多時(shí)間找到并竊取敏感數(shù)據(jù)。”

雖然很難說(shuō)Change Healthcare是否可以在攻擊者升級(jí)其行動(dòng)時(shí)檢測(cè)到他們，但這些關(guān)于勒索軟件攻擊進(jìn)展的事實(shí)在制定應(yīng)對(duì)策略時(shí)應(yīng)予以考慮。

雙重風(fēng)險(xiǎn)——關(guān)于贖金支付的辯論

UHG首席執(zhí)行官Witty在國(guó)會(huì)證詞中證實(shí)，這家醫(yī)療保健集團(tuán)已向BlackCat/ALPHV勒索軟件組織的網(wǎng)絡(luò)犯罪分子支付了相當(dāng)于2200萬(wàn)美元的比特幣作為贖金。

隨后，BlackCat/ALPHV實(shí)施了退出騙局，攜款消失，據(jù)報(bào)道還欺騙了其附屬組織Nichy。

Change Healthcare支付贖金的行為重新引發(fā)了關(guān)于是否允許支付網(wǎng)絡(luò)犯罪分子的勒索要求的廣泛辯論，尤其是在支付贖金并不能保證攻擊者會(huì)刪除被盜數(shù)據(jù)或避免未來(lái)攻擊的情況下。

ESET的Anscombe評(píng)論說(shuō)：“是否支付勒索軟件要求的決定應(yīng)該由法院做出，就像一些醫(yī)療決定是由法院做出的一樣。

“然而，在大多數(shù)支付情況下，這個(gè)決定似乎純粹是出于財(cái)務(wù)考慮，以減少業(yè)務(wù)中斷和重建系統(tǒng)以恢復(fù)的持續(xù)任務(wù)。”他總結(jié)道。

CTERA的Brand告訴CSOonline：“最近的調(diào)查顯示，雙重勒索——即攻擊者要求贖金并威脅泄露被盜數(shù)據(jù)——是77%的勒索軟件攻擊的一部分。贖金支付還可能激勵(lì)網(wǎng)絡(luò)犯罪分子攻擊其他組織，從而引發(fā)延續(xù)勒索軟件攻擊循環(huán)的倫理困境。”

最終，支付贖金未能保護(hù)UHG免受二次勒索企圖的侵害。

據(jù)安全供應(yīng)商Forescout分析，4月，RansomHub組織的網(wǎng)絡(luò)犯罪分子威脅要泄露從Change Healthcare泄露中獲得的6TB敏感數(shù)據(jù)的一部分，這些數(shù)據(jù)是通過(guò)Nichy獲取的。據(jù)估計(jì)，有三分之一的美國(guó)人因這次攻擊而暴露了敏感數(shù)據(jù)。

醫(yī)療行業(yè)面臨越來(lái)越多的攻擊

合規(guī)專(zhuān)家指出，這種二次詐騙越來(lái)越普遍，醫(yī)療保健提供商尤其容易受到攻擊。

國(guó)際律師事務(wù)所Taylor Wessing技術(shù)、知識(shí)產(chǎn)權(quán)和信息團(tuán)隊(duì)的合伙人Victoria Hordern告訴CSOonline：“對(duì)于打算進(jìn)行勒索軟件攻擊的網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)，健康數(shù)據(jù)泄露是一個(gè)誘人的前景，因?yàn)樗麄冎廊绻t(yī)療機(jī)構(gòu)無(wú)法訪問(wèn)數(shù)據(jù)以提供患者護(hù)理，將會(huì)陷入癱瘓。”

Hordern繼續(xù)說(shuō)：“當(dāng)系統(tǒng)數(shù)量增加且涉及多方(如患者、醫(yī)療提供者、技術(shù)支持)時(shí)，就會(huì)有更多的薄弱點(diǎn)和漏洞，壞人可以通過(guò)這些點(diǎn)進(jìn)入并控制系統(tǒng)。”

美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)正在調(diào)查是否在評(píng)估UHG或Change Healthcare是否違反嚴(yán)格的醫(yī)療保健行業(yè)隱私法規(guī)時(shí)，發(fā)生了受保護(hù)健康信息泄露的情況。

這項(xiàng)調(diào)查仍在進(jìn)行中。

Change Healthcare遭受的攻擊與最近對(duì)多家醫(yī)療公司進(jìn)行的攻擊相吻合，包括Ascension、London Drugs、Cencora和Synnovis。

勒索軟件依然活躍

根據(jù)專(zhuān)家的說(shuō)法，盡管ALPHV顯然實(shí)施了退出騙局，并且RansomHub的出現(xiàn)也未能改變利潤(rùn)豐厚的勒索軟件即服務(wù)(RaaS)市場(chǎng)的基本驅(qū)動(dòng)力。

Silobreaker研究負(fù)責(zé)人Hannah Baumgaertner表示：“ALPHV的退出騙局發(fā)生在執(zhí)法行動(dòng)導(dǎo)致LockBit被取締的同一時(shí)間，這使得兩個(gè)最活躍的勒索軟件即服務(wù)組織不再運(yùn)作。”

Baumgaertner警告說(shuō)：“雖然有人可能會(huì)認(rèn)為這意味著勒索軟件攻擊會(huì)減少，但事實(shí)并非如此。”

由于RaaS業(yè)務(wù)的性質(zhì)，之前與ALPHV合作的任何附屬機(jī)構(gòu)只會(huì)去尋找新的合作運(yùn)營(yíng)，與此同時(shí)，ALPHV的主要成員很可能會(huì)以不同的名稱(chēng)開(kāi)展新項(xiàng)目，根據(jù)Baumgaertner的說(shuō)法。

據(jù)HHS統(tǒng)計(jì)，過(guò)去五年中勒索軟件攻擊增加了三倍多(264%)。與此同時(shí)，根據(jù)Proofpoint最近的《CISO之聲》調(diào)查，勒索軟件現(xiàn)在已成為CISO認(rèn)為最大的威脅。