13.11.2021

Как «охота за угрозами» защищает отрасль здравоохранения?

Bitdefender > Новости > Как «охота за угрозами» защищает отрасль здравоохранения?

За 12 месяцев до июля 2021 года было сообщено о 706 утечках данных в сфере здравоохранения (из 500 или более записей), раскрывших записи о 44 369 781 человеке. Причина, по которой утечки медицинских данных настолько распространены, в том, что злоумышленники могут надолго задерживаться в медицинских сетях.

В отчете IBM «Стоимость утечки данных за 2020 год» говорится, что среднее время на выявление утечки в 2020 году составило 228 дней. А среднее время в сфере здравоохранения составляло 329 дней (слишком много). Чтобы отрасль здравоохранения могла уменьшить ущерб от таких нарушений, поставщики медицинских услуг должны проявлять инициативу при обнаружении угроз.

Что такое охота за угрозами?

Охота за угрозами – это упреждающий подход к обеспечению безопасности, при котором аналитики тщательно прочесывают сети, чтобы обнаружить и изолировать киберугрозы, ускользающие от стандартных мер кибербезопасности. Охота за угрозами поможет там, где брандмауэры, бесплатное ПО для защиты от вирусов и другие программы реактивного типа бессильны.

Ручной процесс поиска угроз теперь перешел в автоматизированный подход с помощью искусственного интеллекта и машинного обучения. Благодаря чему быстро обнаруживаются угрозы, которые в противном случае были бы упущены из виду.

Переход от реагирования к упреждающему поиску угроз

Типичные предприятия настраивают системы обнаружения вторжений и другие системы мониторинга и ждут, сработают ли предупреждения о вторжении. Эти системы основаны на сигнатуре с некоторой помощью машинного обучения. Когда срабатывают предупреждения, аналитикам по безопасности необходимо проверять их на предмет потенциальных ложных срабатываний, чтобы найти те, что представляют угрозу и имеют значение.

Команда сможет:

  • изучить предупреждения и просмотреть SIEM;
  • извлечь соответствующие доступные журналы;
  • определить источник потенциального инцидента и понять, что произошло;
  • извлечь дополнительные инструменты (специальные наборы инструментов для анализа и системы реагирования на инциденты) для изучения.

Предположим, в организации произошел серьезный инцидент. Компания, скорее всего, позвонит консультанту по реагированию на инциденты, который:

  • приедет на место и развернет свои собственные инструменты,
  • проведет собственное независимое расследование (когда атака впервые началась, что было отправной точкой, как злоумышленник уже давно был активен),
  • попытается определить, к каким другим ресурсам в сети можно было получить доступ, и кто может стоять за атакой,
  • поможет разработать план сдерживания и искоренения, который будет выполнять взломанная фирма.

Такие инциденты часто обходятся в десятки тысяч долларов. Чем дольше продолжается проникновение, тем больше ресурсов и сетей может взломать злоумышленник, тем больше данных он, вероятно, украдет, и тем дороже будет взлом данных. Здесь и появляется упреждающая охота за угрозами. С помощью нее компании выявят бреши в начале цикла атаки и ограничивайте их урон.

Упреждающий поиск угроз в здравоохранении

Упреждающий поиск угроз – это, по сути, активный поиск угроз, скрывающихся в системах и сетях, которые прошли защиту на основе правил и сигнатур. Если «охотники за угрозами» понимают, как действуют субъекты угроз и какие тактики, методы и процедуры те используют, эксперты могут построить гипотезу о том, как субъекты угроз могут атаковать, а также на что они могут нацеливаться и что они могут делать в среде.

Конечно, чтобы добиться успеха в поиске угроз, необходимы эксперты, информация и ресурсы. Это будет включать в себя четкое понимание своего окружения, природы действующих лиц и квалифицированных специалистов для проведения анализа.

Во-первых, давайте посмотрим на окружающую среду и связанные с ней технологии. Чтобы успешно найти угрозы в сети, нужно смотреть на окружающую среду так же, как это сделал бы злоумышленник. Например, какое сетевое оборудование, интернет-приложения, беспроводные сети, подключенные устройства? Практически все, что увеличивает поверхность атаки.

Помимо понимания устройств, подключенных к сети, и ее топологии, очень важно, чтобы охотники за угрозами знали, как «нормально» выглядит их сеть. Типичный способ сбора данных для аналитиков становится все более сложной задачей для здравоохранения. Поскольку для этого сбора данных обычно требуется, чтобы агент был размещен на конечной точке и подключен к платформе аналитики безопасности. С этими данными аналитики могут изучить данные, установить базовый уровень для нормального поведения и определить потенциальные угрозы. Однако в сфере здравоохранения не всегда все так просто.

В сфере здравоохранения появляется все больше устройств IoT и множество специализированных и проприетарных медицинских устройств, медицинских платформ, которые не могут принимать агента. Иногда это происходит по техническим причинам. В других случаях это связано с проблемами соответствия нормативным требованиям в отношении сертификации устройств. Это значительно усложняет разработку исходных данных и выявление потенциальных угроз. Тем не менее, медицинские организации могут получить больше информации о своей сетевой активности и отслеживать этот трафик на предмет возможных аномалий.

Мыслить, как киберпреступник

Успешный поиск угроз требует от аналитиков мыслить, как злоумышленники, нацеленные на их среду. То есть для успешного построения гипотезы о том, как злоумышленники атакуют среду, крайне важно:

  • иметь четкое представление о ресурсах и данных, используемых злоумышленниками;
  • понимать, какие активы под наибольшей вероятности атаки;
  • понимать ландшафт угроз для здравоохранения (существуют ли субъекты угроз, нацеленные на здравоохранение в вашем географическом регионе? Какие ТТП и тактические приемы, и процедуры они используют? Когда эти ответы известны, охотники за угрозами приступают к работе в поисках признаков компрометации).

Когда злоумышленники разыскиваются таким образом, время на выявление нарушений может быть сокращено примерно с девяти месяцев до недель, что может значительно снизить влияние стоимости и масштабов нарушения. Конечно, получить нужные инструменты, информацию и людей непросто.

Инструменты для успешного поиска угроз

Один из основных наборов инструментов для охотников за угрозами будет включать платформу обнаружения и реагирования на конечные точки (EDR). Платформы включают интегрированные продукты безопасности, которые непрерывно отслеживают данные конечных точек на предмет потенциальных угроз:

  1. Когда это возможно, они предоставят автоматический ответ для удаления или смягчения любых выявленных угроз.
  2. Когда такие ответы невозможны, платформы EDR предоставляют данные о конечных точках охотникам за угрозами или аналитикам безопасности для расследования и принятия мер.

Секрет успешного поиска угроз заключается в использовании EDR для выявления известных угроз и сбора данных об угрозах, в то время как специалисты по поиску угроз активно ищут текущие нарушения. К сожалению, когда дело доходит до успешного поиска угроз, специалисты имеют решающее значение. Реальность такова, что на рынке не хватает квалифицированных охотников за угрозами. У этих профессионалов высокие зарплаты, и многие крупные организации активно стремятся нанять людей с такими навыками.

Не имеет значения, решит ли медицинская организация расширить свои возможности по поиску угроз или обратиться к партнеру за помощью. Важно то, что организация создает эффективную внутреннюю программу поиска угроз. Медицинские организации должны проявить инициативу, когда дело доходит до выявления угроз, чтобы сократить время для обнаружения утечки данных с почти 9 месяцев до нескольких дней, если не часов.

Новости
24.11.2021
Как защитить дистанционное обучение от киберугроз?
20.11.2021
Что такое RaaS и почему он опасен?
17.11.2021
Будущее контейнерной безопасности для малого и среднего бизнеса