L'étude de Vectra met en évidence les risques de sécurité précaires dans le secteur de la santé en raison des infrastructures existantes et des appareils non gérés.
Vectra a annoncé aujourd'hui que la prolifération des appareils de l'internet des objets (IoT) dans le domaine de la santé, ainsi que les réseaux non cloisonnés, les contrôles d'accès insuffisants et la dépendance à l'égard des systèmes existants, ont exposé une surface d'attaque vulnérable qui peut être exploitée par des cybercriminels déterminés à voler des informations personnelles identifiables (PII) et des informations de santé protégées (PHI), en plus de perturber les processus de prestation de soins de santé.
Publiées dans le rapport Vectra 2019 Spotlight Report on Healthcare, ces conclusions soulignent l'importance de l'utilisation de l'apprentissage automatique et de l'intelligence artificielle (IA) pour détecter les comportements de menace cachés dans les réseaux informatiques des entreprises avant que les cybercriminels n'aient une chance d'espionner, de se propager et de voler.
"L'apprentissage automatique et l'IA peuvent aider les organismes de santé à mieux sécuriser les réseaux, les charges de travail et les appareils, et à assurer la sécurité des données en analysant les comportements dans l'ensemble des systèmes", a déclaré Jon Oltsik, analyste principal chez Enterprise Strategy Group. Selon l'étude d'ESG, "12 % des entreprises ont déjà déployé des analyses de sécurité basées sur l'IA à grande échelle, et 27 % ont déployé des analyses de sécurité basées sur l'IA de manière limitée. Nous nous attendons à ce que ces tendances de mise en œuvre continuent à gagner du terrain."
Les lacunes dans les politiques et les procédures peuvent entraîner des erreurs de la part du personnel de santé. Parmi ces erreurs, on peut citer la manipulation et le stockage inadéquats des dossiers des patients, qui constituent un terrain de prédilection pour les cybercriminels lorsqu'ils ciblent des organisations et des secteurs d'activité internationaux à la recherche de faiblesses à exploiter.
"L'augmentation de l'IoT médical est bénéfique pour les patients, mais fait de la sécurisation des systèmes de santé un défi en raison des contrôles de sécurité limités autour de ces appareils", a déclaré Brett Walmsley, directeur de la technologie chez Bolton NHS Foundation Trust, qui fournit des services de santé hospitaliers et ambulatoires à plus de 140 000 personnes à Bolton et dans la région environnante, au nord-ouest de Manchester, en Angleterre. "Disposer de la visibilité nécessaire pour détecter rapidement et précisément les comportements menaçants sur et entre tous les appareils est la clé d'une bonne pratique de sécurité, de la conformité aux réglementations et de la gestion des risques.
Le rapport Spotlight 2019 sur la santé est basé sur les observations et les données de l'édition 2019 de RSA Conference de l'Attacker Behavior Industry Report, qui révèle les comportements et les tendances dans les réseaux à partir d'un échantillon de 354 organisations d'entreprise opt-in dans le domaine de la santé et huit autres industries. Les attaquants motivés masquent souvent leurs actions malveillantes en se fondant dans les comportements existants du trafic réseau.
De juillet à décembre 2018, la plateforme de détection et de réponse aux menaces Cognito de Vectra a surveillé le trafic réseau et collecté des métadonnées provenant de plus de trois millions de charges de travail et d'appareils dans cloud, les centres de données et les environnements d'entreprise de ses clients. L'analyse de ces métadonnées permet de mieux comprendre les comportements et les tendances des attaquants ainsi que les risques pour l'entreprise, ce qui permet aux clients de Vectra d'éviter des violations de données catastrophiques.
Principales conclusions du rapport Spotlight 2019 sur les soins de santé
- La méthode la plus répandue utilisée par les attaquants pour dissimuler les communications de commande et de contrôle dans les réseaux de soins de santé est celle des tunnels HTTPS cachés. Ce trafic représente une communication externe impliquant de multiples sessions sur de longues périodes de temps qui semblent être du trafic web crypté normal.
- La méthode la plus courante utilisée par les attaquants pour dissimuler les comportements d'exfiltration de données dans les réseaux de soins de santé était les tunnels cachés du système de noms de domaine (DNS). Les comportements compatibles avec l'exfiltration peuvent également être provoqués par des outils informatiques et de sécurité qui utilisent la communication DNS.
- Vectra a observé un pic dans les comportements correspondant à des attaquants effectuant une reconnaissance interne sous la forme de scans darknet internes et de scans de comptes Microsoft Server Message Block (SMB). Les analyses du darknet interne se produisent lorsque des dispositifs hôtes internes recherchent des adresses IP internes qui n'existent pas sur le réseau. Les analyses de comptes SMB se produisent lorsqu'un dispositif hôte utilise rapidement plusieurs comptes via le protocole SMB, généralement utilisé pour le partage de fichiers.
- Alors que de nombreux organismes de soins de santé ont subi des attaques de ransomware ces dernières années, le rapport a constaté que les menaces de ransomware n'étaient pas aussi répandues au second semestre 2018. Il est toujours important d'attraper les attaques de ransomware à temps, avant que les fichiers ne soient cryptés et que les opérations cliniques ne soient perturbées.
- Les attaques de botnets sont opportunistes et ne ciblent pas d'organisations spécifiques. Bien que les attaques de botnets persistent partout, leur taux d'occurrence dans les soins de santé est inférieur à celui d'autres secteurs.
"À mesure que les nouvelles technologies médicales émergentes sont adoptées pour améliorer la prestation des soins de santé, il devient de plus en plus important de renforcer la sécurité en comprenant les technologies dont vous disposez, la manière dont elles sont utilisées et en recevant des alertes en temps utile en cas d'utilisation non autorisée", a déclaré Robert Rivera, ingénieur principal en sécurité à Cooper University Health Care, un système de santé universitaire de premier plan situé à Camden, dans le New Jersey.
"Les organismes de santé sont confrontés à la gestion des systèmes existants et des dispositifs médicaux qui ont traditionnellement des contrôles de sécurité faibles, alors qu'ils fournissent tous deux un accès critique aux informations de santé des patients ", a déclaré Chris Morales, responsable de l'analyse de la sécurité chez Vectra. "L'amélioration de la visibilité du comportement du réseau permet aux organismes de santé de gérer les risques liés aux systèmes existants et aux nouvelles technologies qu'ils adoptent."
plateforme Cognito plateforme la détection et la réponse aux menaces réseau grâce à une intelligence artificielle sophistiquée qui permet de collecter, d'enrichir et de stocker des métadonnées réseau dans leur contexte, afin de détecter, de traquer et d'analyser les menaces cachées en temps réel. La plateforme Cognito plateforme efficacement aux réseaux des plus grandes entreprises grâce à une architecture distribuée combinant cloud physiques, virtuels et cloud , offrant ainsi une visibilité à 360 degrés sur les réseaux cloud, les centres de données, les utilisateurs et l'IoT, ne laissant aucune échappatoire aux attaquants.
