Пробив в Stewart Home & School: 3 677 записа изгубени при кражба на удостоверения

Инцидент с рансъмуер в Stewart Home & School отново постави на фокус превенцията на рансъмуер чрез кражба на удостоверения в здравеопазването, а механизмите на този конкретен пробив заслужават внимателен анализ. Откраднати удостоверения дадоха на атакуващия достъп до две вътрешни устройства. Данните бяха прегледани, копирани извън средата и след това криптирани, което засегна до 3 677 лица, чиято лична, финансова и защитена здравна информация се съхраняваше на тези устройства. Последователността е почти христоматийна, но точно това я прави толкова поучителна.

Как откраднатите удостоверения отвориха вратата за рансъмуер в Stewart Home & School

Атаката срещу Stewart Home & School следва модел, който изследователите по сигурността документират в стотици инциденти в здравеопазването: нападателят се сдобива с валидни потребителски данни, използва ги за нормално удостоверяване, придвижва се странично, за да открие чувствителни хранилища на данни, изтегля копие от тях и след това пуска рансъмуер, за да криптира останалото. Всяка стъпка надгражда предишната.

Особената вреда от проникванията, базирани на удостоверения, е, че от гледна точка на мрежата нападателят изглежда като легитимен потребител. Периметровите защити, защитните стени и основните антивирусни инструменти не са проектирани да сигнализират за удостоверени сесии. Когато започне криптирането, данните вече са изнесени. Рансъмуерът е почти вторично събитие, тактика за натиск, наслоена върху вече успешно извършено източване на данни.

Ето защо първоначалното компрометиране на удостоверенията е най-критичната точка в цялата верига. Спрете я там и нито една от последващите щети няма да се случи.

Какви данни бяха изложени и кой е изложен на риск

Пробивът включва лична информация, финансова информация и защитена здравна информация (ЗЗИ), комбинация, която създава съставен риск за засегнатите лица. ЗЗИ се регулира от HIPAA, което означава, че засегнатите организации са изправени пред регулаторна отговорност наред с пряката вреда за хората. Финансовите данни в същия пробив драстично увеличават риска от кражба на самоличност и измамни дейности по сметки.

С потенциално засегнати 3 677 души, мащабът е значителен за една институция. Обитатели, ученици и вероятно служители на Stewart Home & School – грижовна институция за хора с увреждания в развитието – представляват особено уязвима група. Много от тях може да имат ограничена способност да следят кредита си или да реагират самостоятелно на сигнали за измами, което възлага допълнителна отговорност на институцията и на семейните полагащи грижи.

Този вид пробив не приключва, когато рансъмуерът бъде неутрализиран. Източените данни остават и засегнатите лица са изложени на риск месеци или години, докато откраднатите записи циркулират из вторични пазари.

Защо здравните среди са особено уязвими към атаки, базирани на удостоверения

Здравните и грижовните среди имат структурни уязвимости, които правят превенцията на рансъмуер чрез кражба на удостоверения по-трудна, отколкото в други сектори. Текучеството на персонала е високо, което поставя под постоянно напрежение хигиената на удостоверенията, включително навременното премахване на акаунти на напуснали служители. Споделените работни станции са обичайни в клинични и резидентни грижови среди, което усложнява както управлението на пароли, така и проследимостта, когато удостоверения бъдат злоупотребени.

Отдалеченият достъп също значително се разшири в грижовите среди и невинаги с адекватни контроли. Служителите, които влизат от лични устройства или домашни мрежи, често го правят без защитата на VPN или многофакторно удостоверяване, оставяйки удостоверенията изложени на фишинг, злонамерен софтуер за кражба на данни и мрежово прихващане.

Паралелът с други сектори заслужава отбелязване. Предшестващ случай, включващ ManageMyHealth, изложи близо 100 000 пациентски записа въпреки предварителните предупреждения, илюстрирайки, че провалите с удостоверения и достъп в здравеопазването рядко са еднократни изненади. Те обикновено отразяват системни пропуски, които не се адресират, докато пробив не наложи проблема. Подобно правителствените системи са се сблъсквали с аналогични пропуски в отчетността, когато известни уязвимости са оставали незакърпени за дълги периоди.

Здравните организации също често поддържат наследени системи, които не са проектирани с мисъл за съвременните изисквания за удостоверяване. Наслояването на многофакторно удостоверяване върху по-стара инфраструктура е технически осъществимо, но изисква бюджет, планиране и обучение на персонала, които много по-малки обекти трудно приоритизират.

Как здравните служители могат да заключат достъпа и да прекъснат веригата на пробива

Пробивът в Stewart Home & School дава ясна отправна точка за всяка здравна организация, която преразглежда собствената си експозиция. Намесата не изисква авангардни технологии. Изисква дисциплинирано прилагане на контроли, които вече са добре разбрани.

Въведете многофакторно удостоверяване за всички видове отдалечен достъп. Открадната парола не е достатъчна за удостоверяване, ако се изисква втори фактор. Този единствен контрол прекъсва най-често срещаната верига на атака с кражба на удостоверения.

Изисквайте използване на VPN за всички отдалечени връзки до вътрешни устройства и клинични системи. Служителите, които се свързват от дома или споделени мрежи, трябва да минават през криптиран тунел. Това намалява атакуващата повърхност за прихващане на удостоверения и ограничава до какво може да достигне удостоверен нападател.

Редовно одитирайте и премахвайте акаунти. Неизползваните акаунти или тези на бивши служители са повтаряща се входна точка. Тримесечен преглед на активните удостоверения, съпоставени с текущите списъци на персонала, значително намалява риска от експлоатиране на изоставени акаунти.

Сегментирайте вътрешните устройства и прилагайте достъп с минимални привилегии. Не всеки удостоверен потребител се нуждае от достъп до всяко устройство. Ограничаването на достъпа до това, което всяка роля действително изисква, означава, че едно компрометирано удостоверение не може да отключи цяла среда с данни.

Следете за аномално поведение при удостоверяване. Влизания в необичайни часове, от непознати IP адреси или в множество системи в бърза последователност са сигнални знаци. Автоматизираното предупреждение за тези модели може да открие прониквания преди източването да е завършено.

Какво означава това за вас

Ако работите в здравна администрация, ИТ или съответствие, пробивът в Stewart Home & School е директен подтик да одитирате собствената си сигурност на отдалечения достъп, преди инцидент да ви принуди да го направите. Документираната тук последователност от удостоверения към източване към криптиране е повторима и добре позната на заплашващите лица. Тя ще се случи отново в организации, които не са адресирали основните пропуски в контрола на достъпа.

Прегледайте случая с пробива в ManageMyHealth като паралелно практическо проучване: този инцидент беше определен като напълно предотвратим след правителствено разследване, което означава, че предупредителните знаци са съществували преди загубата на данни. Същото почти сигурно важи и за организациите, които днес работят без МFA, наложено използване на VPN и редовни одити на удостоверения. Контролите са налични. Въпросът е дали са на място, преди следващата открадната парола да отвори врата.