网络防御状态 ： 诊断医疗保健中的网络威胁

网络防御的状态 ： 诊断医疗保健中的网络威胁 目录 主要发现。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 04050708091011121314严重的自我诊断差距 … … … … … … … … … … … … … … … … … … … … … …自我报告担保 … … … … … … … … … … … … … … … … … … … … … … … … … … …真实世界的安全能力 … … … … … … … … … … … … … … … … … … … … … … … …期限分割 … … … … … … … … … … … … … … … … … … … … … … … … … … … …安全优先事项医疗保健行业面临的威胁 … … … … … … … … … … … … … … … … … … … … …进攻性安全的教训 … … … … … … … … … … … … … … … … … … … … … … … … …数据泄露 … … … … … … … … … … … … … … … … … … … … … … … … … … … …网络安全服务外包 … … … … … … … … … … … … … … … … … … … … … … …Kroll 能力 … … … … … … … … … … … … … … … … … … … … … … … … … … … … 关键发现 这份报告提供了关于医疗保健领域特定安全挑战的新见解和分析。基于Kroll在每年处理超过3,000起事件方面的前线数据经验，本研究概述了医疗保健行业当前面临的网络安全威胁 landscape。 我们之前的报告,2023 年网络防御状态 ： 检测和响应成熟度模型，对全球1,000名安全决策者进行了调查，并揭示了困扰网络安全团队的最大不一致性。它展示了组织对自己网络安全状况的信任水平与实现真正网络安全韧性之间明显的差距。 通过将检测与响应成熟度模型研究与Kroll数据相结合，本报告发现医疗健康领域的高级领导者是最为自信的受访者之一。他们坚信自己能够防御网络风险，并选择自行处理而非外包。 然而，数据也显示，医疗保健在更客观的安全成熟度衡量标准中得分较低。它也是其中之一。最常见的违反行业. 高于平均水平的信心 -医疗保健行业最有可能自我报告其安全措施非常成熟。只有极少数的医疗保健受访者(3%)他说 ， 他们不相信他们的组织抵御大多数网络攻击的能力。 低于平均水平的能力 -不幸的是，医疗保健组织的实际安全能力低于平均水平。在医疗保健企业中，26%被评定为网络安全成熟度较低，相比之下， Healthcare 行业的安全自评得分远低于其他高分行业。 内部安全服务 -医疗保健组织是65%由于这些工作环境的动态性质，它们比其他部门更不可能外包网络安全服务。然而，近三分之二(62%)目前在内部处理所有事情的医疗保健公司计划在未来 12 个月内外包一些服务。 凭证访问恐惧 -在所有对组织构成的威胁中，医疗健康行业的受访者将凭证访问视为最大的恐惧，超过了勒索软件、商务电子邮件诈骗（BEC）和钓鱼攻击。有趣的是，从其他所有行业来看，凭证访问是最不重要的威胁之一。 电子邮件泄露和勒索软件 -尽管医疗行业存在担忧，Kroll威胁情报发现，他们始终被勒索软件团伙一致 targeting，这些团伙通过结合合法凭证窃取和利用漏洞来实施攻击。 违规的最高目标 -医疗行业是被攻击最为严重的行业之一，在2022年排名首位，2023年排名第二（根据Kroll的数据）。此外，该行业一直面临较高的安全风险。同比增长查询的数量和确定的监控激活。 严重的自我诊断差距 在考虑医疗保健领域中的网络安全成熟度时，我们应该注意到医院和其他医疗提供者所面临的威胁规模和严重性。如果网络事件导致医院运营中断，这可能会对患者护理和治疗产生极其恶劣的影响，甚至危及人类生命。正是出于这个原因，关键基础设施（包括医疗组织）成为了试图对其目标造成尽可能多混乱的威胁行为者的高优先级目标。 医疗保健的关键性质也是勒索软件团伙瞄准该行业的原因。 他们无法像私营服务企业那样容忍 downtime。攻击者知道医疗机构可能因此更有可能支付赎金以确保其持续运营。这正是我们看到诸如 Lockbit 等团伙利用 Citrix Bleed 和其他漏洞大规模攻击医疗机构的原因。其他操作，如 Rhysida 勒索软件，专门针对医院及其他高调目标（例如英国图书馆）进行构建。最近，UnitedHealth Group 的 Change Healthcare 在遭受 ALPHV/BlackCat 勒索软件团伙的网络攻击事件进一步证明了不幸的事实：该行业将继续成为具有吸引力的目标。 自我诊断与医疗健康领域对其安全性的信心与其实际安全能力之间的差距并非抽象问题。发现医院和医疗组织的安全性远不如其认为的那样可靠是极其令人担忧的。这类差距可能导致严重的现实后果。 自我报告的安全性 正如我们在网络防御状态 ： 检测和响应成熟度模型， 组织认为自己的成熟程度与他们的真正成熟程度之间存在令人担忧的脱节。 除制造业和金融业外 ， 医疗保健行业是我们研究中最看好的行业。 接近50%的医疗保健受访者认为其整体网络安全“非常成熟”，这一比例在各个行业中最高，比调查平均值高16个百分点。 它也是最有可能认为其安全性需要绝对零改进的公司之一。 只有极少数的医疗保健受访者（3%）表示他们不相信组织有能力防御大多数网络攻击。绝大多数受访者对此没有这样的疑虑。 超过三分之一（39%）的人表示他们“完全”信任自己的保护措施，并且没有任何漏洞。考虑到威胁演变的速度以及每个行业中报告的数据泄露数量之高，这一数字显得异常高。 不幸的是 ， 我们的其他调查问题表明了这些问题的网络成熟度组织 ， 会暗示这种信心是疯狂的过分热心。 真实世界的安全能力 鉴于医疗保健行业受访者对自身网络安全措施的高度自信以及他们认为自己拥有“非常成熟”的网络安全机制的普遍信念，我们预计这将在他们的实际技术能力中得到体现。然而，医疗保健行业自我报告的成熟度得分与医疗保健组织实际检测和应对网络安全事件的能力之间存在显著差距。 在威胁检测和响应能力方面，医疗行业更倾向于采用更为基础或不成熟的流程。 确实，许多组织仅采用了最基本的security能力，如网络安全监控，而接受调查的医疗健康行业受访者中没有一家具备所有威胁检测能力。 到期拆分 我们的上一份报告分析了全球受访者，并根据他们在检测和响应成熟度旅程所处的阶段，将他们归类为三种类型之一——初级者、探索者或先行者，从而形成了检测和响应成熟度模型. 该图表显示，大多数受访者处于初级或探索者成熟度组别，仅有少量企业的业务属于开拓者。 然而，大部分医疗保健行业（49%）的企业认为自己属于先驱者（Trailblazer）组。不幸的是，根据研究结果，大多数企业（71%）属于探索者（Explorer）组，而超过四分之一（26%）的医疗保健行业企业属于最不成熟的初级者（Novice）组。先驱者、探索者和初级者成熟度组别的特征可以在我们的报告中找到。成熟度模型报告. 与所有行业相比，医疗保健组织更有可能被归类为“新手”类别，而不太可能被归类为“先行者”类别。 安全优先事项 该图表显示，医疗保健组织面临的安全优先事项和威胁与其他行业大致一致。医疗保健公司与其它行业一样，同样关注勒索软件、商务电子邮件妥协（BEC）和钓鱼攻击。然而，存在一些值得注意的异常情况。医疗保健组织对内部威胁的关注度明显较低，仅有13%的医疗保健受访者选择了内部威胁，而所有受访者的这一比例为21%。 与此同时，医疗保健组织似乎比其他任何行业更加关注凭证访问威胁。 凭证访问被所有1000名受访者中仅有16%的人认为是最令人担忧的威胁类型，因此它在整个行业领域中被视为最不令人担忧的威胁。然而，有超过四分之一（26%）的医疗专业人士选择了凭证访问——这一数字超过了勒索软件、零日攻击和供应链妥协。 医疗保健行业面临的威胁 如前文所述，医疗健康行业似乎更加关注凭证访问威胁，而非勒索软件、零日攻击和供应链篡改。 然而，Kroll的网络安全威胁情报团队发现，医疗行业一直受到勒索软件团伙的持续 targeting，这些团伙结合使用了有效的凭据窃取和利用漏洞的方法。 如上图所示 ， 电子邮件入侵和勒索软件是两个最常见的事件类型。 根据 Kroll 的数据 ， 三分之一 (33%) 的医疗保健行业攻击使用网络钓鱼作为初始访问方法。 进攻性安全的教训 环境正在蔓延 ：医疗保健领域覆盖面广泛，包括诊所、医院、医生办公室、医疗实验室等。可用的网络安全投资水平将根据运营规模而有很大差异。一个小规模的农村诊所所投入的网络安全预算与一家尖端医院相比将大不相同。然而，许多医疗保健机构可能会使用相同的计费、保险或第三方供应商，这将它们连接成一个网络，威胁行为者可能利用这个网络进行攻击。 法规直至解释 ：像《健康保险便携性和责任法案》（Health Insurance Portability and Accountability Act，简称HIPAA）这样的法规在通过使用安全控制措施保护患者隐私方面极为重要。然而，由于行业的分散性，这些法规的语言可能会更加严格和具体。确定什么是或不是适当或充足的保护措施可能会有显著差异，尤其是在上一节中我们发现，行业中很大一部分仅采用了最不成熟的检测和响应能力。 时间差和高风险 ：正如预期的那样，医疗行业的专业人士时间极为紧张，他们面临的后果比其他行业更为严重。试图培训医疗专业人员了解新的安全措施或在医生签到过程中增加额外的安全步骤往往会遇到反对意见。当失去时间可能意味着生死之差时，该行业处于一个尤为困难的位置，因此在升级其安全实践方面进展较慢。 传统系统 ：在测试医院网络时，通常会遇到遗留系统。然而，这些遗留系统往往是至关重要的，并可能涉及医疗设备的运行，例如MRI机器。替换这些遗留系统并不简单；更换PC可能意味着需要更换整个医疗设备，从而使变更变得极其昂贵。 行业的主要考虑因素 ： 企业必须定期完成风险评估，如HIPAA风险评估，以识别漏洞并至少每年保护一次患者信息。 每年进行外部和内部渗透测试对于全面测试安全措施并洞察企业面临的风险至关重要，尤其是随着威胁的不断演变。 确保基础工作到位并做好“基本事项”。虽然这听起来可能有些基础，但良好的密码管理、多因素认证和系统更新与医疗行业的手部清洁类似。这些都是防止恶意行为者渗透网络的关键第一步。 数据泄露 当然，卫生保健行业是威胁行为者最常针对的行业之一，并不令人意外。确实，未经授权的访问是导致数据泄露的一个可能原因。 Kroll 的最后两次数据泄露展望报告清楚地表明该行业的脆弱性。不仅因为它存储敏感数据，这些数据可能因处理不当而面临风险，而且意图恶意的威胁行为者也可能被诱惑去针对并暴露这些数据以造成扰乱。 进一步的研究发现，医疗保健行业在数据泄露后对相关问题的关注程度。医疗保健行业在数据泄露后咨询数量同比增加了14%，同时申请信用监控或身份监控的比例增加了99%。 克罗尔公司在2023年与医疗保健行业相比，与金融行业的互动更加频繁——表现为电话咨询次数和激活的身份监控服务数量增加。这令人意外，因为金融行业是遭受数据泄露最严重的行业之一。克罗尔提供了超过20万个身份监控服务的激活量。 网络安全服务外包 医疗卫生组织将完全外包网络安全服务的可能性比平均水平低65%（分别为17%对28%）。它们更倾向于将所有事务都自行处理。 再次，这可能是由于传统办公室环境与医院等更具灵活性的场所之间的差异。通常，医疗保健组织拥有内部IT和安全团队以保持控制；对于医疗提供者来说，运行远程或托管服务可能会更加困难。 然而，这一趋势可能正在开始转变。在当前管理所有网络安全服务的医疗健康行业受访者中，有62%的人确认他们在未