Vectra Spotlight Report on Healthcare
Gesundheitseinrichtungen sind anfällig für Cyberangriffe
Die Ergebnisse des Vectra 2019 Spotlight Report on Healthcare offenbaren prekäre Sicherheitsrisiken im Gesundheitswesen aufgrund der Verwendung konventioneller Infrastruktur und unsachgemäß verwalteter Geräte.
Das Internet der Dinge findet mehr und mehr Verwendung in der Gesundheitsbranche. Cyberkriminellen sind hierdurch in Kombination mit nicht partitionierten Netzwerken, unzureichenden Zugangskontrollen und der Verwendung von Altsystemen Tor und Türen geöffnet, um an personenbezogene Daten und geschützte Gesundheitsinformationen zu gelangen.
Die Ergebnisse des Vectra 2019 Spotlight Report on Healthcare zeigen, wie wichtig maschinelles Lernen (ML) und künstliche Intelligenz (KI) für das Aufdecken von versteckten Bedrohungsverhaltensweisen in IT-Netzwerken sind. Damit sind Unternehmen den Cyberkriminellen einen Schritt voraus und können deren Sabotage verhindern.
„Maschinelles Lernen und KI können Gesundheitseinrichtungen dabei unterstützen, Netzwerke, Workloads und Geräte besser abzusichern. Durch die systemübergreifende Analyse des Bedrohungsverhaltens wird eine ganzheitliche Datensicherheit erzielt“, kommentiert Jon Oltsik, Senior Principal Analyst bei der Enterprise Strategy Group. „Laut Forschungsergebnissen der ESG setzen bereits 12 Prozent der Unternehmen KI-basierte Sicherheitsanalysen in großem Stil ein. 27 Prozent greifen auf KI-basierte Sicherheitsanalysen nur in begrenztem Umfang zurück. Wir gehen davon aus, dass der Trend zur Implementierung derartiger Lösungen zunehmen wird.“
Mängel in den Richtlinien und Verfahren sowie die unsachgemäße Umsetzung eines Sicherheitsplans sind häufig der Grund für einen inadäquaten Umgang und eine ungünstige Aufbewahrung von Patientenakten. Cyberkriminellen kommen derartige Schwächen entgegen und sie schlagen zu, sobald sie diese erkennen. Auf diese Weise infiltrieren sie weltweit Unternehmen und ganze Branchen.
„Das Wachstum des medizinischen Internets der Dinge ist für die Patienten von Vorteil. Für den Schutz der Gesundheitssysteme ergibt sich jedoch eine Herausforderung, da die Sicherheitskontrollen bei diesen Geräten begrenzt sind“, bemerkt Brett Walmsley, Chief Technology Officer des Bolton NHS Foundation Trust. Der Gesundheitsdienstleister bietet stationäre und ambulante Dienste für über 140.000 Menschen in Bolton und dem Umland nordwestlich von Manchester in England. „Die Transparenz, um Bedrohungsverhalten auf und zwischen allen Geräten schnell und präzise zu erkennen, ist der Schlüssel zu guter Sicherheitspraxis, Einhaltung gesetzlicher Vorschriften und Risikomanagement.“
Die Basis des 2019er Spotlight Report on Healthcare bilden Beobachtungen und Daten der RSA Conference Edition 2019 des Attacker Behavior Industry Report. Eine Stichprobe hieraus von 354 Unternehmen aus dem Gesundheitswesen und acht weiteren Branchen legt sowohl das Angreiferverhalten, als auch Trends in Netzwerken dar. Die teilnehmenden Unternehmen haben nach dem Opt-in-Prinzip der Nutzung von Daten aus ihren Netzwerken zu Analysezwecken zugestimmt.
Im Jahr 2019 beobachtete die Vectra Cognito Plattform für Bedrohungserkennung und -reaktion zwischen Juli und Dezember den Netzwerkverkehr dieser Unternehmen. In diesem Zuge trugen sie Metadaten von mehr als drei Millionen Geräten und Workloads aus Kunden-Clouds, Rechenzentren und Unternehmensumgebungen zusammen. Die Analyse brachte eine Reihe von Erkenntnissen bezüglich des Verhaltens und der Trends von Angreifern sowie über Geschäftsrisiken.
Die wichtigsten Ergebnisse des 2019er Spotlight Report on Healthcare auf einen Blick:
- Versteckte HTTPS-Tunnel sind das häufigste Command-and-Control-Verhalten im Gesundheitswesen. Dieser Datenverkehr stellt eine externe Kommunikation mit mehreren Sessions über einen längeren Zeitraum dar, die wie normaler verschlüsselter Webverkehr aussieht.
- Die häufigste Methode, mit der Angreifer das Verhalten bei der Datenexfiltration in Gesundheitsnetzen verbergen, waren versteckte DNS-Tunnel. Ein mit der Exfiltration übereinstimmendes Verhalten kann auch durch IT- und Sicherheitstools verursacht werden, die DNS-Kommunikation verwenden.
- Vectra beobachtete einen Anstieg der internen Auskundschaftung im Gesundheitswesen, zurückzuführen auf interne Darknet-Scans und Scans von Microsoft Server Message Block (SMB)-Accounts. Interne Darknet-Scans erfolgen, wenn interne Host-Geräte nach internen IP-Adressen suchen, die im Netzwerk nicht vorhanden sind. SMB-Account-Scans treten auf, wenn ein Host-Gerät schnell mehrere Konten über das SMB-Protokoll verwendet, das typischerweise für die Dateifreigabe verwendet wird.
- Während viele Gesundheitseinrichtungen in den letzten Jahren Ransomware-Angriffe erlebt haben, stellte der Bericht fest, dass Ransomware-Bedrohungen in der zweiten Jahreshälfte 2018 nicht so verbreitet waren. Es ist immer noch wichtig, Ransomware-Angriffe frühzeitig zu erkennen, bevor Dateien verschlüsselt werden und der klinische Betrieb unterbrochen wird.
- Botnets stellen opportunistische Angriffe dar, die nicht auf bestimmte Unternehmen ausgerichtet sind. Während Botnet-Angriffe überall fortbestehen, ist ihr Auftreten im Gesundheitswesen geringer als in anderen Branchen.
„Da neue medizinische Technologien zur Verbesserung der Gesundheitsversorgung eingesetzt werden, wird es immer wichtiger, die Sicherheit zu erhöhen, indem man die Technologien versteht, die im Einsatz sind. Es ist entscheidend, zu wissen, wie diese Technologien verwendet werden, und rechtzeitig Warnmeldungen zu erhalten, wenn eine unbefugte Nutzung stattfindet“, erklärt Robert Rivera, Senior Security Engineer bei Cooper University Health Care, ein führendes akademisches Gesundheitssystem in Camden, New Jersey.
„Gesundheitseinrichtungen haben Schwierigkeiten bei der Verwaltung von Altsystemen und Medizintechnikprodukten mit schwachen Sicherheitskontrollen. Beide Umgebungen sind jedoch entscheidend, um sicherzustellen, dass medizinische Teams sofortigen Zugriff auf kritische Gesundheitsinformationen von Patienten haben“, sagt Chris Morales, Head of Security Analytics bei Vectra. „Eine verbesserte Transparenz des Netzwerks kann Gesundheitseinrichtungen dabei helfen, die Vorteile der Technologie risikofrei zu nutzen. Die Medizintechnik ist für die Gesundheitsversorgung von entscheidender Bedeutung. Daher ist es entscheidend, zu wissen, welche Technologie im Einsatz ist, wie sie genutzt wird, und zu erkennen, wenn eine unbefugte Nutzungsweise gerade stattfindet.“
Lesen Sie mehr zum Thema
