Public Manager
25.04.2019 | Gesundheitswesen und Hygiene, Sicherheit

IT-Netzwerke von Gesundheitseinrichtungen weisen verwundbare Angriffsoberflächen auf

Forschungsbericht von Vectra verdeutlicht prekäre Sicherheitsrisiken im Gesundheitswesen infolge der Nutzung herkömmlicher Infrastruktur und nicht sachgemäß verwalteter Geräte Vectra Cognito Plattform für Bedrohungserkennung und -reaktion

Vectra, der Marktführer für die Erkennung und Reaktion auf Cyberangriffe im Netzwerk, hat gestern die Forschungsergebnisse seines Spotlight-Reports 2019 für das Gesundheitswesen bekannt gegeben. In der Branche hält das Internet der Dinge vermehrt Einzug. In Kombination mit nicht partitionierten Netzwerken, unzureichenden Zugangskontrollen und der Verwendung von Altsystemen entsteht eine riesige, anfällige Angriffsfläche. Diese kann von Cyberkriminellen ausgenutzt werden, die es auf personenbezogene Daten und geschützte Gesundheitsinformationen abgesehen haben, neben der Störung von klinischen Prozessen. 

Die veröffentlichten Ergebnisse unterstreichen die Bedeutung von maschinellem Lernen (ML) und künstlicher Intelligenz (KI), um versteckte Bedrohungsverhaltensweisen in IT-Netzwerken zu erkennen. So können Unternehmen den Cyberkriminellen zuvorkommen, bevor letztere eine Chance haben, zu spionieren, sich im Netzwerk zu verbreiten und Daten zu stehlen. 

„Maschinelles Lernen und KI können Gesundheitseinrichtungen dabei unterstützen, Netzwerke, Workloads und Geräte besser abzusichern. Durch die systemübergreifende Analyse des Bedrohungsverhaltens wird eine ganzheitliche Datensicherheit erzielt“, erklärte Jon Oltsik, Senior Principal Analyst bei der Enterprise Strategy Group. „Laut Forschungsergebnissen der ESG setzen bereits 12 Prozent der Unternehmen KI-basierte Sicherheitsanalysen in großem Stil ein. 27 Prozent greifen auf KI-basierte Sicherheitsanalysen nur in begrenztem Umfang zurück. Wir gehen davon aus, dass der Trend zur Implementierung derartiger Lösungen zunehmen wird.“ 

Lücken in der ordnungsgemäßen Umsetzung eines Sicherheitsplans oder in den Richtlinien und Verfahren können zu Fehlern auf Mitarbeiterseite führen. Daraus resultieren oftmals eine unsachgemäße Handhabung und Aufbewahrung von Patientenakten. Für Cyberkriminelle ist dies ein gefundenes Fressen, da sie weltweit Unternehmen und ganze Branchen ins Visier nehmen. Sie suchen nach Schwächen, die sie ausnutzen können. 

„Das Wachstum des medizinischen Internets der Dinge ist für die Patienten von Vorteil. Für den Schutz der Gesundheitssysteme ergibt sich jedoch eine Herausforderung, da die Sicherheitskontrollen bei diesen Geräten begrenzt sind“, erklärte Brett Walmsley, Chief Technology Officer des Bolton NHS Foundation Trust. Der Gesundheitsdienstleister bietet stationäre und ambulante Dienste für über 140.000 Menschen in Bolton und dem Umland nordwestlich von Manchester in England. „Die Transparenz, um Bedrohungsverhalten auf und zwischen allen Geräten schnell und präzise zu erkennen, ist der Schlüssel zu guter Sicherheitspraxis, Einhaltung gesetzlicher Vorschriften und Risikomanagement.“ 

Der 2019er Spotlight Report on Healthcare basiert auf Beobachtungen und Daten der RSA Conference Edition 2019 des Attacker Behavior Industry Report. Daraus stammt eine Stichprobe von 354 Unternehmen aus dem Gesundheitswesen und acht weiteren Branchen, die das Angreiferverhalten und Trends in Netzwerken aufzeigt. Die teilnehmenden Unternehmen haben nach dem Opt-in-Prinzip der Nutzung von Daten aus ihren Netzwerken zu Analysezwecken zugestimmt. 

Die Vectra Cognito Plattform für Bedrohungserkennung und -reaktion überwachte von Juli bis Dezember 2018 den Netzwerkverkehr dieser Unternehmen. Sie sammelte Metadaten von mehr als drei Millionen Geräten und Workloads aus Kunden-Clouds, Rechenzentren und Unternehmensumgebungen. Die Analyse dieser Metadaten liefert ein besseres Verständnis für das Verhalten und die Trends von Angreifern sowie für Geschäftsrisiken. Kunden von Vectra sind dadurch in der Lage, gravierende Datenschutzverletzungen zu vermeiden. 

Wichtigste Ergebnisse des 2019er Spotlight Report on Healthcare 

Versteckte HTTPS-Tunnel sind das häufigste Command-and-Control-Verhalten im Gesundheitswesen. Dieser Datenverkehr stellt eine externe Kommunikation mit mehreren Sessions über einen längeren Zeitraum dar, die wie normaler verschlüsselter Webverkehr aussieht.

Die häufigste Methode, mit der Angreifer das Verhalten bei der Datenexfiltration in Gesundheitsnetzen verbergen, waren versteckte DNS-Tunnel. Ein mit der Exfiltration übereinstimmendes Verhalten kann auch durch IT- und Sicherheitstools verursacht werden, die DNS-Kommunikation verwenden. 

Vectra beobachtete einen Anstieg der internen Auskundschaftung im Gesundheitswesen, zurückzuführen auf interne Darknet-Scans und Scans von Microsoft Server Message Block (SMB)-Accounts. Interne Darknet-Scans erfolgen, wenn interne Host-Geräte nach internen IP-Adressen suchen, die im Netzwerk nicht vorhanden sind. SMB-Account-Scans treten auf, wenn ein Host-Gerät schnell mehrere Konten über das SMB-Protokoll verwendet, das typischerweise für die Dateifreigabe verwendet wird.

Während viele Gesundheitseinrichtungen in den letzten Jahren Ransomware-Angriffe erlebt haben, stellte der Bericht fest, dass Ransomware-Bedrohungen in der zweiten Jahreshälfte 2018 nicht so verbreitet waren. Es ist immer noch wichtig, Ransomware-Angriffe frühzeitig zu erkennen, bevor Dateien verschlüsselt werden und der klinische Betrieb unterbrochen wird. 

Botnets stellen opportunistische Angriffe dar, die nicht auf bestimmte Unternehmen ausgerichtet sind. Während Botnet-Angriffe überall fortbestehen, ist ihr Auftreten im Gesundheitswesen geringer als in anderen Branchen.    

„Da neue medizinische Technologien zur Verbesserung der Gesundheitsversorgung eingesetzt werden, wird es immer wichtiger, die Sicherheit zu erhöhen, indem man die Technologien versteht, die im Einsatz sind. Es ist entscheidend, zu wissen, wie diese Technologien verwendet werden, und rechtzeitig Warnmeldungen zu erhalten, wenn eine unbefugte Nutzung stattfindet“, sagte Robert Rivera, Senior Security Engineer bei Cooper University Health Care, ein führendes akademisches Gesundheitssystem in Camden, New Jersey.  

„Gesundheitseinrichtungen haben Schwierigkeiten bei der Verwaltung von Altsystemen und Medizintechnikprodukten mit schwachen Sicherheitskontrollen. Beide Umgebungen sind jedoch entscheidend, um sicherzustellen, dass medizinische Teams sofortigen Zugriff auf kritische Gesundheitsinformationen von Patienten haben“, kommentierte Chris Morales, Head of Security Analytics bei Vectra. „Eine verbesserte Transparenz des Netzwerks kann Gesundheitseinrichtungen dabei helfen, die Vorteile der Technologie risikofrei zu nutzen. Die Medizintechnik ist für die Gesundheitsversorgung von entscheidender Bedeutung. Daher ist es entscheidend, zu wissen, welche Technologie im Einsatz ist, wie sie genutzt wird, und zu erkennen, wenn eine unbefugte Nutzungsweise gerade stattfindet.“ 

Die Cognito Plattform beschleunigt die Erkennung und Reaktion auf Netzwerkbedrohungen durch ausgeklügelte künstliche Intelligenz. Cognito sammelt Netzwerk-Metadaten, reichert sie mit dem richtigen Kontext an und speichert sie, um versteckte Bedrohungen in Echtzeit zu erkennen, zu jagen und zu untersuchen. Die Cognito Plattform lässt sich effizient skalieren, bis hinauf für die größten Unternehmensnetzwerke. Die verteilte Architektur umfasst eine Kombination aus physischen, virtuellen und Cloud-Sensoren. Daraus resultiert eine 360-Grad-Sichtbarkeit in Cloud-, Rechenzentrums-, Benutzer- und IoT-Netzwerken, sodass Angreifer sich nirgendwo verstecken können. Weitere Informationen zu Cognito Stream, Cognito Recall oder Cognito Detect: siehe Link