https://twcert2024.informationsecurity.com.tw/

觀點

保障醫療行業資訊安全,7個重點要關注

2022 / 10 / 24
編輯部
保障醫療行業資訊安全,7個重點要關注
現階段越來越多網路犯罪分子將勒索攻擊目標轉向醫療衛生部門。本文整理了7個重點動作,提供醫療行業網路安全建設參考。

加強電子郵件安全

醫療衛生機構應該為各種電子郵件傳播設置多個防禦層,一個好的電子郵件安全解決方案應該在第一道防線就能夠檢測多個惡意信號(惡意 IP、可疑 URL、隱藏的惡意軟體檔等)。
此外,培訓員工識別惡意電子郵件很有必要,但要必須注意,真正發現明顯攻擊跡象時,員工不應首當其衝地承擔責任。此外,培訓應側重於適當政策的重要性,例如通過電子郵件以外的第二個管道確認付款和轉帳。

設置複雜的登錄密碼和憑證

目前,大多數網路攻擊的目標是獲取登錄憑據,許多網路攻擊者專門向他人出售使用者資訊。Trustwave SpiderLabs 團隊調查發現,大量的登錄憑證和瀏覽器記錄被盜,從而可以存取暗網市場上宣傳的醫療設施。

因此員工應該使用複雜的登錄密碼,醫療機構在後台存儲密碼時,也必須確保使用相對安全的密碼亂數演算法,在整個組織內優先實施雙因素身份驗證。

提高網路安全意識

發現並阻止網路攻擊的責任不應該由普通醫療人員來承擔,但一支訓練有素的員工隊伍可以有效的避免網路安全危險。

當前的安全培訓往往局限於一些硬性規定的研討會,但這對提高意識沒有什麼作用。相反,醫療機構應考慮更深入的演習,複習盤點勒索軟體攻擊等嚴重安全事件,這樣才有助於決策者在巨大壓力下做出快速正確的決定。

為勒索軟體攻擊做準備

眾所周知,勒索軟體對任何行業都是一種巨大威脅,其中醫療保健行業更是及其容易受到其破壞性影響。一個癱瘓的 IT 網路不僅僅意味著醫療機構資料或生產力出現問題,如果資料和設備一旦被長時間鎖定,患者的生命可能會受到威脅。

基於此,網路犯罪分子期望醫療機構為儘快回復系統而屈服並立刻付款。另外,網路攻擊者還會竊取大量的醫療資料,出售給暗網買家,獲得額外利潤。一個強大的電子郵件安全系統可能會阻止大多數惡意電子郵件,醫療組織應該對此做好準備。具有管理檢測和回應(MDR)能力的網路威脅搜索團隊將有助於快速識別和阻止勒索軟體,以減少其影響。

保護好物聯網網路

支援物聯網(IoT)的設備為醫療服務提供者實現遠端工作自動化和便利化方面發揮了巨大的作用。但是如果沒有適當的監控和修補,這些連接的設備也可以為威脅行為者提供簡單的攻擊路徑。

醫院可能會部署數百台設備,因此保持所有設備的更新和修補可能是一項非常耗費資源的任務。此外,許多醫療機構還需要努力適應更新重要設備所需的停機時間,自動化設備更新過程將更容易保護設備的安全。

醫療機構在購買醫療設備時應該審查,以確保它們具有關鍵的安全功能,並可用於維護和更新。

供應鏈風險

醫療衛生機構處於極其龐大複雜供應網路的中心,需要承接上下游的醫療材料、硬體和設施維護的供應商等。

這些供應商往往有很大程度的網路連接或資料存取,使其成為威脅攻擊者駭進醫療機構網路的主要目標。如果一個被信任的託管或管理其資料的公司受到攻擊,醫療機構也可能成為二次傷害者。

醫療機構可以通過審查所有協力廠商連接的安全級別,儘量減少供應鏈風險,通過公開的資訊實現,如 DNS 伺服器配置和向網路開放的不安全埠(如MS-TERM-SERV、SMB等),而不需要侵入性網路掃描。

定期攻防演練

網路安全從來都不是一件簡單的事情。即使有了正確的解決方案,員工也經過了良好的培訓,流程也無懈可擊,但最重要的是要不斷測試防禦並尋找改進方法。

定期漏洞掃描對於跟上不斷變化的IT和網路威脅形勢至關重要。應用程式和網路滲透測試將進一步利用經驗豐富的安全人員的聰明才智,尋找可以發現和利用的漏洞。

大型醫療服務提供者(如醫院)也可能考慮進行滲透測試,以確定其設施的IT基礎設施是否容易受到入侵者的攻擊。

本文轉載自helpnetsecurity.com。