近日有外媒报道称,纽约一家名为Refuah的健康医疗机构通报了一起勒索攻击网络安全事件,有超过26万人因本次事件造成个人敏感信息泄露。报道称,该机构在2021年6月发现该次勒索攻击,随即对事件展开了调查,但通知并没有对长达一年的延迟通知进行解释。
报道称,本次安全事件黑客可能已经获取了个人的敏感数据,可能包括姓名、社会安全号码、医疗记录号码、驾驶执照号码、州身份证号码、出生日期和信用卡和债务卡信息,以及财务账户信息、医疗保险/医疗保险号码、患者账户号码、诊断信息和健康保险单号码。
安全专家评论称,安全事件应尽早披露,因为敏感信息一旦被不法黑客所获取,很有可能被勒索的中途被转卖,从而产生基于敏感个人信息的钓鱼欺诈等活动,这将对患者造成进一步损害。
基于调查显示,事件的攻击者来自Lorenz勒索组织,该组织在过去一年里表现活跃,袭击了全球多个组织,要求受害者支付高额赎金。与其他勒索软件团伙一样,Lorenz也实施双重勒索模式,即在加密数据之前窃取数据,并威胁受害者不支付赎金就会泄露数据。
也有报道称,Lorenz还因公开发布数据泄露档案的密码而闻名。在某些情况下,Lorenz还出售对受害者内部网络的访问权限。因为对于一些攻击者来说,访问内部网络被认为比医疗数据更有价值。
“请接受我们对发生此事件的歉意。我们致力于维护我们拥有的个人和受保护的健康信息的隐私,并采取了许多预防措施来保护它,” 医疗机构Refuah在最近的一份通知中说。显然,这并不能让人感到满意,但事实上勒索攻击正在普遍发生,没有谁会觉得自己100%安全。
在我国,此前根据腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。
此前安全419在《勒索攻击解决方案》系列访谈中曾对话多家网络安全企业,他们也对医疗行业内频繁发生的勒索攻击表示担心,其中某安全企业给出数据显示,2021年全网勒索攻击总次数高达2000万+,其中针对医疗系统的攻击同比增加了45%。
克利夫兰诊所的CISO Vugar此前在HIMSS22医疗安全论坛表示,近年来,随着勒索软件猖獗,网络威胁已成为日常生活的一部分,并且也延伸影响了机构的高管,他们对安全也越来越加重视。该诊所CEO更是在公开场合表示,“除了自然灾害外,网络攻击是诊所面临的头号风险。”
对于医疗机构的网络安全重要性问题,由数十家医院组成的非营利性卫生机构 Intermountain Healthcare CISO Erik此前曾表示,CISO的权限不再仅限于如何保护患者隐私,而是要为生命安全负责。他担心的是,如果护理设备因攻击而停机或是有任何的延迟行为,都将会对患者生命安全造成威胁。
针对勒索攻击的防范及应对建议
为应对勒索攻击,我们汇总了以下建议:(注.以下来源于安全419持续呈现的《勒索攻击解决方案》系列访谈中我们与多家知名网络安全企业(绿盟科技、天融信、安恒信息、奇安信、深信服)交流总结所得。)
1.企业不断的成长和新技术的广泛应用,进一步加剧了安全风险和暴露面,鉴于安全重要性正在日益提升,设立专职岗位(如CSO)负责统筹全面的IT安全风险管理,是应对以勒索攻击为首的网络安全建设的重要前提;
2.真实勒索案例中,绝大多数勒索攻击源于员工的意识疏忽所造成。企业一方面需系统的开展安全意识培训工作,同时应针对具体的安全事件进行日常演练,以在攻击发生时最大化降低企业损失;
3.同时安全意识应延伸至企业外部,比如企业将IT运维承包给第三方机构,还有涉及庞大供应链当中的任何一环。可以以安全合约为抓手,建立安全责任制,强化外部的安全风险管理;
4.安全基线必不可少,利用专业安全厂商提供的防御、检测类产品为勒索病毒设置重重障碍,可降低80%以上被勒索攻击的可能性。其中终端安全更是重中之重,大量案例证明,特别是国内,终端缺乏安全防护是造成勒索加密的主要原因;安全基线产品或服务以威胁情报建立防御机制,也是应对勒索组织不断变化趋势的有力抓手;
5.勒索攻击最终指向的是系统、应用和数据,对于处于数字经济时代的我们,如何让数据在各业务线上安全流通已成当务之急。《数据安全法》催生了数据安全产业的迅猛发展,以数据保护为抓手,应对勒索攻击已是可行方案;
6.产品服务化趋势,企业限于没有专业的运维人员来管理网络安全,会存在即使部署了安全产品也没有得到有效利用,这是广泛存在的现状问题,大中型企业尚能自行解决问题,小型企业问题更为明显。现在安全企业也注意到了这一问题,安全托管服务可以帮助企业解决这一难题;
7.企业应该认识到针对性地勒索攻击致使数据加密,当前技术上是无法恢复的,应该立即着手数据备份工作,且强化数据备份的隔离加密,始终让备份数据保持高可用性。对于生产经营性质企业,为了追求业务的持续运营,灾备解决方案已成为他们的最佳选择,该方案在保证数据高可用前提下,可支持系统在异地迅速再生;
8.企业承担勒索攻击所致损失的程度并不相同,为了避免遭受灭顶之灾,可以考虑从网络安全保险一侧切入防范。