Παραβίαση στο Stewart Home & School: 3.677 αρχεία χάθηκαν λόγω κλοπής διαπιστευτηρίων
Ένα περιστατικό ransomware στο Stewart Home & School έφερε ξανά στο προσκήνιο την πρόληψη ransomware μέσω κλοπής διαπιστευτηρίων στον τομέα της υγείας, και οι μηχανισμοί αυτής της συγκεκριμένης παραβίασης αξίζουν προσεκτικής εξέτασης. Κλεμμένα διαπιστευτήρια έδωσαν σε έναν επιτιθέμενο πρόσβαση σε δύο εσωτερικούς δίσκους. Τα δεδομένα αντλήθηκαν, αντιγράφηκαν εκτός του περιβάλλοντος και στη συνέχεια κρυπτογραφήθηκαν, επηρεάζοντας μέχρι και 3.677 άτομα των οποίων προσωπικές, οικονομικές και προστατευόμενες πληροφορίες υγείας ήταν αποθηκευμένες σε αυτούς τους δίσκους. Η αλληλουχία είναι σχεδόν υποδειγματική, αλλά αυτό ακριβώς την καθιστά τόσο διδακτική.
Πώς τα κλεμμένα διαπιστευτήρια άνοιξαν τον δρόμο για ransomware στο Stewart Home & School
Η επίθεση στο Stewart Home & School ακολούθησε ένα μοτίβο που ερευνητές ασφαλείας έχουν καταγράψει σε εκατοντάδες περιστατικά στον χώρο της υγείας: ο επιτιθέμενος αποκτά έγκυρα διαπιστευτήρια σύνδεσης, τα χρησιμοποιεί για κανονική αυθεντικοποίηση, κινείται πλευρικά για να εντοπίσει ευαίσθητες αποθήκες δεδομένων, εξάγει ένα αντίγραφο αυτών των δεδομένων και στη συνέχεια αναπτύσσει ransomware για να κρυπτογραφήσει ό,τι έχει απομείνει. Κάθε βήμα χτίζεται πάνω στο προηγούμενο.
Αυτό που κάνει τις εισβολές που βασίζονται σε διαπιστευτήρια ιδιαίτερα καταστροφικές είναι ότι, από την οπτική γωνία του δικτύου, ο επιτιθέμενος μοιάζει με νόμιμο χρήστη. Οι περιμετρικές άμυνες, τα τείχη προστασίας και τα βασικά αντιιικά εργαλεία δεν έχουν σχεδιαστεί για να επισημαίνουν πιστοποιημένες συνεδρίες. Μέχρι να ξεκινήσει η κρυπτογράφηση, τα δεδομένα έχουν ήδη φύγει. Το ransomware είναι σχεδόν ένα δευτερεύον συμβάν, μια τακτική πίεσης που τοποθετείται πάνω σε μια επιτυχημένη ήδη εξαγωγή δεδομένων.
Γι' αυτό ο αρχικός συμβιβασμός των διαπιστευτηρίων είναι το πιο κρίσιμο σημείο σε όλη την αλυσίδα. Αν τον σταματήσετε εκεί, καμία από τις μετέπειτα ζημιές δεν συμβαίνει.
Ποια δεδομένα εκτέθηκαν και ποιοι κινδυνεύουν
Η παραβίαση περιλάμβανε προσωπικές πληροφορίες, οικονομικές πληροφορίες και προστατευόμενες πληροφορίες υγείας (PHI), ένας συνδυασμός που δημιουργεί σύνθετο κίνδυνο για τα επηρεαζόμενα άτομα. Οι PHI διέπονται από το HIPAA, που σημαίνει ότι οι επηρεαζόμενοι οργανισμοί αντιμετωπίζουν έκθεση σε ρυθμιστικές κυρώσεις επιπλέον της άμεσης βλάβης στα άτομα. Τα οικονομικά δεδομένα στην ίδια παραβίαση αυξάνουν δραματικά τον κίνδυνο απάτης ταυτότητας και δόλιας δραστηριότητας λογαριασμών.
Με ενδεχομένως 3.677 επηρεαζόμενα άτομα, η κλίμακα είναι σημαντική για έναν μόνο οργανισμό. Οι τρόφιμοι, οι μαθητές και ενδεχομένως το προσωπικό στο Stewart Home & School, μια μονάδα φροντίδας για άτομα με αναπτυξιακές αναπηρίες, αντιπροσωπεύουν έναν ιδιαίτερα ευάλωτο πληθυσμό. Πολλοί μπορεί να έχουν περιορισμένη ικανότητα να παρακολουθούν οι ίδιοι την πιστοληπτική τους κατάσταση ή να ανταποκριθούν ανεξάρτητα σε ειδοποιήσεις απάτης, γεγονός που προσθέτει επιπλέον ευθύνη στον οργανισμό και στους οικογενειακούς φροντιστές.
Αυτού του είδους η παραβίαση δεν τελειώνει όταν εξουδετερωθεί το ransomware. Τα εξαχθέντα δεδομένα παραμένουν και τα άτομα παραμένουν σε κίνδυνο για μήνες ή και χρόνια καθώς οι κλεμμένες εγγραφές κυκλοφορούν σε δευτερογενείς αγορές.
Γιατί τα περιβάλλοντα υγείας είναι ιδιαίτερα ευάλωτα σε επιθέσεις που βασίζονται σε διαπιστευτήρια
Τα περιβάλλοντα υγείας και μονάδων φροντίδας φέρουν δομικές ευπάθειες που καθιστούν την πρόληψη ransomware μέσω κλοπής διαπιστευτηρίων δυσκολότερη από ό,τι σε άλλους τομείς. Ο κύκλος εργασιών του προσωπικού είναι υψηλός, πράγμα που σημαίνει ότι η υγιεινή των διαπιστευτηρίων, συμπεριλαμβανομένης της έγκαιρης απενεργοποίησης λογαριασμών αποχωρησάντων υπαλλήλων, βρίσκεται συνεχώς υπό πίεση. Οι κοινοί σταθμοί εργασίας είναι συνηθισμένοι σε κλινικά πλαίσια και πλαίσια παροχής φροντίδας σε οίκους ευγηρίας, γεγονός που περιπλέκει τόσο τη διαχείριση κωδικών πρόσβασης όσο και την απόδοση ευθυνών όταν ένα διαπιστευτήριο χρησιμοποιείται καταχρηστικά.
Η απομακρυσμένη πρόσβαση έχει επίσης επεκταθεί σημαντικά σε όλα τα περιβάλλοντα φροντίδας, και όχι πάντα με επαρκείς ελέγχους. Το προσωπικό που συνδέεται από προσωπικές συσκευές ή οικιακά δίκτυα το κάνει συχνά χωρίς την προστασία ενός VPN ή ελέγχου ταυτότητας πολλαπλών παραγόντων, αφήνοντας τα διαπιστευτήρια εκτεθειμένα σε phishing, κακόβουλο λογισμικό υποκλοπής πληροφοριών και υποκλοπή δικτύου.
Αξίζει να σημειωθεί ο παραλληλισμός με άλλους τομείς. Μια προηγούμενη υπόθεση που αφορούσε το ManageMyHealth εξέθεσε σχεδόν 100.000 αρχεία ασθενών παρά τις εκ των προτέρων προειδοποιήσεις, αποδεικνύοντας ότι οι αποτυχίες διαπιστευτηρίων και πρόσβασης στον χώρο της υγείας σπάνια είναι μεμονωμένα γεγονότα. Τείνουν να αντανακλούν συστημικά κενά που παραμένουν ανεπίλυτα έως ότου μια παραβίαση τα φέρει στην επιφάνεια. Παρομοίως, κυβερνητικά συστήματα έχουν αντιμετωπίσει συγκρίσιμα κενά λογοδοσίας όταν γνωστές ευπάθειες παρέμεναν χωρίς επιδιόρθωση για εκτεταμένες περιόδους.
Οι οργανισμοί υγείας τείνουν επίσης να λειτουργούν παλαιά συστήματα που δεν σχεδιάστηκαν με γνώμονα τις σύγχρονες απαιτήσεις αυθεντικοποίησης. Η προσθήκη ελέγχου ταυτότητας πολλαπλών παραγόντων σε παλαιότερη υποδομή είναι τεχνικά εφικτή, αλλά απαιτεί προϋπολογισμό, σχεδιασμό και εκπαίδευση προσωπικού που πολλές μικρότερες εγκαταστάσεις δυσκολεύονται να θέσουν ως προτεραιότητα.
Πώς το υγειονομικό προσωπικό μπορεί να κλειδώσει την πρόσβαση και να σταματήσει την αλυσίδα παραβίασης
Η παραβίαση στο Stewart Home & School προσφέρει ένα σαφές σημείο εκκίνησης για κάθε οργανισμό υγείας που επανεξετάζει τη δική του έκθεση. Η παρέμβαση δεν απαιτεί τεχνολογία αιχμής. Απαιτεί πειθαρχημένη εφαρμογή ελέγχων που είναι ήδη καλά κατανοητοί.
Επιβάλετε έλεγχο ταυτότητας πολλαπλών παραγόντων σε κάθε απομακρυσμένη πρόσβαση. Ένας κλεμμένος κωδικός πρόσβασης δεν αρκεί για την αυθεντικοποίηση εάν απαιτείται δεύτερος παράγοντας. Αυτός ο απλός έλεγχος σπάει την πιο συνηθισμένη αλυσίδα επίθεσης κλοπής διαπιστευτηρίων.
Απαιτήστε χρήση VPN για όλες τις απομακρυσμένες συνδέσεις σε εσωτερικούς δίσκους και κλινικά συστήματα. Οι εργαζόμενοι που συνδέονται από το σπίτι ή κοινά δίκτυα θα πρέπει να δρομολογούνται μέσω κρυπτογραφημένης σήραγγας. Αυτό μειώνει την επιφάνεια επίθεσης για υποκλοπή διαπιστευτηρίων και περιορίζει το τι μπορεί να φτάσει ένας αυθεντικοποιημένος επιτιθέμενος.
Ελέγχετε και απενεργοποιείτε λογαριασμούς τακτικά. Οι αχρησιμοποίητοι ή λογαριασμοί πρώην εργαζομένων αποτελούν ένα επαναλαμβανόμενο σημείο εισόδου. Ένας τριμηνιαίος έλεγχος των ενεργών διαπιστευτηρίων, αντιστοιχισμένος με τα τρέχοντα μητρώα προσωπικού, μειώνει σημαντικά τον κίνδυνο εκμετάλλευσης ορφανών λογαριασμών.
Κατατμήστε τους εσωτερικούς δίσκους και εφαρμόστε πρόσβαση ελάχιστων προνομίων. Κάθε πιστοποιημένος χρήστης δεν χρειάζεται πρόσβαση σε κάθε δίσκο. Ο περιορισμός της πρόσβασης στο τι πραγματικά απαιτεί ο κάθε ρόλος σημαίνει ότι ένα μόνο παραβιασμένο διαπιστευτήριο δεν μπορεί να ξεκλειδώσει ολόκληρο το περιβάλλον δεδομένων.
Παρακολουθείτε για ανώμαλη συμπεριφορά αυθεντικοποίησης. Συνδέσεις σε ασυνήθιστες ώρες, από άγνωστες διευθύνσεις IP ή σε πολλά συστήματα σε γρήγορη διαδοχή είναι προειδοποιητικές ενδείξεις. Η αυτοματοποιημένη ειδοποίηση για αυτά τα μοτίβα μπορεί να αποκαλύψει εισβολές πριν ολοκληρωθεί η εξαγωγή δεδομένων.
Τι σημαίνει αυτό για εσάς
Εάν εργάζεστε στη διοίκηση υγείας, την πληροφορική ή τη συμμόρφωση, η παραβίαση στο Stewart Home & School αποτελεί άμεση προτροπή να ελέγξετε τη δική σας ασφάλεια απομακρυσμένης πρόσβασης πριν ένα περιστατικό σας αναγκάσει. Η αλληλουχία διαπιστευτήρια-εξαγωγή-κρυπτογράφηση που τεκμηριώθηκε εδώ είναι επαναλήψιμη και καλά κατανοητή από τους επιτιθέμενους. Θα ξανασυμβεί σε οργανισμούς που δεν έχουν αντιμετωπίσει τα υποκείμενα κενά ελέγχου πρόσβασης.
Ανατρέξτε στην υπόθεση παραβίασης ManageMyHealth ως παράλληλη μελέτη περίπτωσης: αυτό το περιστατικό χαρακτηρίστηκε ως απολύτως αποτρέψιμο μετά από κυβερνητική έρευνα, που σημαίνει ότι τα προειδοποιητικά σημάδια υπήρχαν πριν χαθούν δεδομένα. Το ίδιο ισχύει σχεδόν με βεβαιότητα για οργανισμούς που λειτουργούν σήμερα χωρίς MFA, επιβολή VPN και τακτικούς ελέγχους διαπιστευτηρίων. Οι έλεγχοι είναι διαθέσιμοι. Το ερώτημα είναι αν είναι σε εφαρμογή πριν ο επόμενος κλεμμένος κωδικός πρόσβασης ανοίξει μια πόρτα.




