攻擊者熱門目標:醫療行業網絡攻擊概覽
責編:gltian |2018-04-13 15:43:26全球人均壽命平穩增長,這歸因于醫療技術和醫藥技術的發展,而技術的核心則是醫院,技術的進步讓醫生能夠更加高效和快速地識別疾病和治療病人。在這樣的醫院中,只需要很少的醫護人員就可以診療相對較多的病人。系統能夠確保病人以最高效的方式受到最佳的診療。
醫院信息系統(Hospital Information System, HIS)就是其中數據傳輸和管理所有信息處理的骨干,這些信息處理包括醫療數據、法律數據、管理數據、經濟數據、醫療記錄等。
而網絡上運行的每個設備和應用都是對醫院進行攻擊的一個可能的入口。這種互聯性也讓技術比較現代化的醫院變成網絡犯罪分子的高價值目標。
比如,對于醫院的核心設施,網絡犯罪分子如果使用勒索軟件成功入侵系統IT系統,那么醫院支付贖金的概率是很大的。
除了勒索軟件外,醫院含有的個人身份信息(PII)也是一筆財富,包括金融數據,可以在暗網市場進行售賣。
下面是攻擊者的動機以及使用的攻擊方法。
風險
勒索軟件對于醫療領域的攻擊已經被人們所熟知,但勒索軟件并不是唯一的威脅。醫院的環境其實有很多不同的威脅單元和漏洞區域。
三個主要的高風險目標區域是:
醫院運作系統。醫院日常運作系統,比如人員值班數據庫、建筑(樓宇)控制、管理系統、工資數據等等。
數據隱私。病人和雇員的PII,包括病人診斷和治療數據,保險和財務信息,研究和藥物試用數據,以及其中的知識產權數據。
病人健康。診斷,治療和病人的監控。
攻擊者
?是誰在攻擊醫療行業呢?
一旦有機會,就有網絡犯罪分子嘗試攻擊,竊取和濫用系統。
其中的原因有很多,有些威脅單元是成熟的犯罪團伙,由政府或其他犯罪組織資助發起攻擊,使用的攻擊方法也有很多,比如勒索軟件和釣魚攻擊。一般威脅單元利用這些攻擊來獲取收入或達到政治目的。
類似的還有國家通過軟件監聽工具和定制的惡意軟件來收集情報,進行社會工程攻擊,竊取知識產權,獲取競爭優勢等。
網絡恐怖分子也會發起破壞性的網絡攻擊造成財產的物理破壞,威脅生命安全,并傳播恐怖主義。
另一種網絡威脅來自內部。這類攻擊者一般是出于金錢,理想,政治等目的,內部工作人員錯誤打開釣魚郵件也會導致攻擊。
?為什么是醫療行業?
其實我們日常所見的網絡攻擊的主要動機就是金錢;但也不是所有對醫療提供商的攻擊的動機是為了錢。因為醫院這樣的醫療提供商本身就是可見性比較高的目標,而且這樣的攻擊帶來的影響會比較大,這本身就是一種攻擊動機。
比如,威脅單元使用勒索軟件可以嚴重影響醫療提供商的日常運作。而破壞性的攻擊可以使醫院的重要系統下線或者不能正常使用。
除此之外,攻擊者還可以竊取知識產權、研究數據、藥物試驗數據、PII、財務保險數據、醫療記錄等。這些數據都可以通過各種方式變現。
竊取的數據可以用做身份竊取、隱私破壞、工業間諜活動、金融詐騙、敲詐勒索、以及地下市場出售等。竊取的研究數據包括重要的研究投入資金,研究期限,珍貴的病人試驗數據,這些數據都會給利益相關方節省好多錢。
?如何攻擊醫療產業?
醫療產業是與上千個終端,系統和用戶互聯的大規模,復雜的生態系統。規模,復雜度以及生態系統的功能創建了大量的不可預測的攻擊面。
從技術角度講,威脅單元可以使用以下的攻擊向量來攻擊系統:
魚叉式釣魚攻擊。攻擊特定組織的欺詐郵件,這是Business?Email?Compromise(BEC)的一個子集,攻擊目標是那些使用有線轉賬的公司。
分布式DDOS攻擊。可以同時在多個地方發起DOS攻擊。
軟件漏洞利用。利用軟件中已知和未知的漏洞。
惡意軟件。使設備不能正常運行,對設備造成破壞或入侵,從設備中竊取數據的惡意代碼,包括勒索軟件,鍵盤記錄器,蠕蟲,木馬等。
權限誤用。通過非授權的方式獲取管理權限,比如攻擊者利用含有弱口令和可以提權的第三方軟件來入侵供應商的網絡。
數據操作。2015年,FDA發出警告說,有些輸液系統含有漏洞,攻擊者可以利用漏洞來操作輸液泵的數據,這就可能會讓病人處于威脅中。
威脅單元可以用上面的攻擊方法來發起針對醫院的網絡攻擊。威脅共享平臺HITRUST網絡威脅交換項目提供了一個常見的感染單元圖譜。
截止目前,公開的針對醫院的網絡安全攻擊的主要方式有數據泄露,勒索軟件和醫療設備入侵。
根據Privacy Rights Clearinghouse(PRC)的數據,因為被黑或者惡意軟件攻擊造成的數據泄露事件呈增長趨勢。
WannaCry事件是醫療行業相關的最嚴重的勒索攻擊,但勒索軟件影響力整個網絡威脅圖譜,而且持續時間較長。
勒索軟件加密了文檔、文件夾、數據庫以及其他的數據,要求受害者支付贖金(比特幣)才可以解密并訪問這些文件。
勒索軟件用釣魚郵件和順帶下載作為主要的感染向量,最新的勒索軟件家族都植入了類蠕蟲的功能。然而,這些攻擊的最終目的都是為了錢。
