医疗保健领域的勒索软件: 应用威胁向量
医疗保健行业仍然是攻击者最喜欢的目标,因为该行业面临着日益增多的安全事件和缓慢的恢复时间。 紧张的预算和复杂的基础设施现代化工作不可避免地会导致网络安全漏洞。 虽然勒索软件针对所有垂直行业,但在医疗保健领域,威胁越来越多地受到应用程序级攻击——尤其是通过利用漏洞和泄露凭证。
满足《健康保险流通与责任法案》(HIPAA)、《经济与临床健康法案》的健康信息技术(HITECH)以及支付卡行业数据安全标准(PCI-DSS)等合规性要求是企业的当务之急,但保护个人健康信息(PHI)对于在快速变化的行业中保持竞争力和客户信任至关重要。
在这篇博文中,我们探讨了医疗保健组织如何在提供个性化的患者和提供者体验(现在通过人工智能增强)与防御针对连接它们的应用程序和 API 的日益增加的勒索软件安全威胁之间找到日益困难的平衡。
应用程序、API 和 AI 对患者护理至关重要
通过电子健康记录 (EHR) 系统在线访问患者门户的便利性和在线支付的能力是最重要的。
坏人早已留意到这一点。 威胁者通过利用云应用漏洞获取未授权访问敏感数据,从而破坏供应链,给关键基础设施带来严重威胁。
根据 Forrester 的预测,美国十大健康保险公司中有一半将使用人工智能来加强会员倡导。 该领域的先驱企业 Epic 指出,四分之一的患者会担心自己的医疗系统是否使用了人工智能。鉴于人工智能生态系统通过 API 连接,且其底层软件供应链包含跨混合云和多云环境的组件,人工智能将进一步增加风险暴露,并增加安全黑客攻击事件,例如通过机器人程序和恶意自动化程序进行漏洞利用和业务逻辑滥用。 同样的风险也适用于向患者和提供者展示的自然语言处理 (NLP) 界面,以通过生成性人工智能改善客户体验并简化护理。
合规要求开始生效
美国医疗保健组织很快发现自己处于难以承受的风险境地。 尽管自 2018 年以来与黑客相关的违规行为增加了 239% ,但只有 42% 的公司计划维持对改善网络安全和保护隐私的技术的投资,有些公司甚至可能减少对此类技术的投资。 尽管情报机构和行业协会对患者护理数据面临的迫在眉睫的威胁发出警告,但这种差距仍然存在。 虽然 HITECH 和 PCI-DSS 要求强制履行充分的安全责任,但医疗保健行业必须明白,仅仅满足合规性要求已经不够了。
勒索软件正受到应用攻击的推动
2024 年,医疗保健勒索软件攻击中最常见的攻击媒介是利用漏洞和泄露的凭据,并且由于攻击的复杂性和严重性增加,恢复时间更长。 例如,自 1 月份以来,一系列利用应用漏洞并在未经身份验证的情况下执行任意代码的野外攻击一直在持续发生,威胁行为者瞄准这些漏洞来部署 Web Shell,然后滥用这些 Web Shell 进行后续活动。
除了漏洞之外,应用程序和 API 公开的业务逻辑本质上容易受到机器人的滥用。 据F5 Labs称,针对登录流的高级持久机器人在医疗保健行业最为普遍。 例如,基因检测公司 23andMe 的衰落部分归因于撞库攻击活动,该活动泄露了客户的健康和血统信息。 由于机器人使用合法凭证并且不会试图利用软件漏洞,因此它们可能不会触发安全警报。 多因素身份验证 (MFA) 可以帮助防止撞库攻击,但由于实时网络钓鱼代理 (RTPP) 的兴起,它并非万无一失。
新的基准已准备就绪
好消息是,安全行业已经走在了前列。 多年来,各组织通过动态、基于策略的 SSL/TLS 流量控制来优化其安全检查能力,以最大化投资、简化策略并使用纵深防御方法检测基础设施和应用中的勒索软件。
Web 应用程序和 API 保护平台进一步加强了针对勒索软件的应用安全防御。 集成控制可以减轻漏洞利用并保护业务逻辑免遭滥用——针对 Web、API 和 AI 应用程序——跨多个环境,包括客户端浏览器、移动设备、云、新的交互界面和软件开发生命周期。
F5 医疗保健解决方案可帮助组织拉平曲线——满足合规性要求并通过阻止任何应用程序、任何 API、任何地方的勒索软件来减少患者和提供商数据的泄露。
想了解更多,请访问F5 医疗解决方案。