Home Tecnologie Cybersecurity Ransomware nel settore sanitario: consigli e soluzioni di CrowdStrike

Ransomware nel settore sanitario: consigli e soluzioni di CrowdStrike

Luigi Della Monica, Sales Director Italia, CrowdStrike, fornisce cinque consigli e illustra le migliori soluzioni di CrowdStrike per proteggersi dal ransomware nel settore sanitario.

Il settore sanitario è un obiettivo sempre più interessante per gli attori informatici. Secondo il Global Threat Report 2023 di CrowdStrike, infatti, la sanità rappresenta uno dei 5 obiettivi dei criminali, specialmente se parliamo del sempre più diffuso e praticato modello della doppia estorsione. Secondo tale modello gli aggressori informatici chiedono alle organizzazioni un riscatto per decriptare i dati ed uno ulteriore per evitare che questi vengano condivisi o venduti. I dati medici rappresentano una merce davvero preziosa sul dark web, e spesso costituiscono la base per ulteriori macchinazioni criminali, ad esempio nel campo del furto di identità, delle frodi mediche o delle frodi fiscali.

L’aumento delle attività di eCrime è un problema che si protrae da anni e i modelli Ransomware-as-a-Service (RaaS) hanno esacerbato la situazione, rendendo ancora più semplice perpetuare gli attacchi informatici in questo settore, che quindi risulta particolarmente a rischio. I criminali riescono sempre più a mettere in atto le loro macchinazioni senza possedere alcun know-how tecnico, semplicemente andando a contrattare servizi di ransomware. Esiste infatti oggi un’ampia gamma di modelli di guadagno e di business nel cosiddetto modello di affiliazione del ransomware e la ragione del fatto che il business sia estremamente remunerativo in questo settore è che i dati gestiti dal sistema sanitario forniscono praticamente tutto ciò di cui un aggressore ha bisogno per costruire il profilo digitale di un paziente. Il valore di un set di dati, che di solito include data e luogo di nascita, numero di previdenza sociale / codice fiscale, indirizzo, e-mail o, in alcuni casi, informazioni sulla carta di credito, è stimato essere fino a 1.000 dollari.

Per ottenerli, i criminali informatici devono prima ottenere l’accesso alla rete dell’organizzazione presa di mira e una via comune, ad esempio, è quella di sfruttare le vulnerabilità o le credenziali personali. Non è raro però che gli aggressori si servano anche dei servizi dei cosiddetti Access Broker, che vendono appunto l’accesso mirato alla rete ad altri criminali informatici, che utilizzano i toolkit RaaS per effettuare attacchi ransomware. Una volta ottenuto l’accesso a una rete in media essi impiegano solo 1 ora e 24 minuti per spostarsi lateralmente dal punto di origine.

Questi aggressori sanno bene che la sanità dispone di budget limitati per l’IT e la sicurezza, e cavalcano queste lacune. A questo si aggiunge il fatto che ogni attacco informatico ha di per sé un impatto diretto sull’efficienza e l’efficacia del sistema sanitario nell’erogazione delle cure ai pazienti e l’unione di questi fattori rende il settore un ‘bersaglio morbido’, estremamente vulnerabile.

La disponibilità a pagare un riscatto da parte delle organizzazioni sanitarie – la cui missione è ovviamente salvare vite umane e salvaguardare la salute delle persone prima di tutto – è significativamente più alta rispetto ad altri settori e, d’altra parte, gli aggressori stanno diventando sempre più sofisticati e pericolosi.

Per minimizzare la gravità e la frequenza degli attacchi informatici le organizzazioni sanitarie devono essere in grado prima di tutto di ridurre il numero di vettori di attacco nei loro sistemi IT e possono farlo adottando specifiche misure e tattiche, eccone alcune.

1.  Proteggere i carichi di lavoro in modo completo

La sicurezza degli endpoint e dei carichi di lavoro, la protezione dei dati e delle identità e l’archiviazione dati, sono solo alcuni degli aspetti critici da considerare per mantenere le organizzazioni sanitarie al sicuro dagli attacchi.

L’Extended Detection and Response (XDR) è il passo successivo verso una prevenzione ‘threat-driven’, un vero e proprio approccio olistico, che ottimizza la raccolta dei dati, l’analisi e i flussi di lavoro in tutta la soluzione di sicurezza di un’organizzazione ai fini di fornire una migliore visibilità e unificare la risposta alle minacce nascoste e sofisticate. XDR raccoglie e correla i dati provenienti da endpoint, workflow in cloud, reti ed email, li analizza e li classifica in modo da fornirli ai team di sicurezza in un formato normalizzato su un’unica console centralizzata.

La soluzione CrowdStrike Falcon XDR, ad esempio, combina nello specifico avanzate funzionalità di threat hunting, tecnologie di machine learning (ML), intelligenza artificiale (AI) e indicatori di attacco (IOAs), con fonti di dati di terze parti, per correlare gli eventi tra loro e fornire ai team di sicurezza la capacità di rilevare attacchi in tempo reale.

2. Implementare l’approccio Zero-Trust

Secondo il CrowdStrike Global Threat Report 2023, l’healthcare è tra i 10 settori maggiormente colpiti.

Nel 2021 quasi l’80% dei cyberattacchi registrati ha utilizzato attacchi basati sull’identità per compromettere le credenziali legittime e ha utilizzato tecniche come il movimento laterale per eludere il rilevamento rapido. Pertanto, un approccio zero-trust dovrebbe essere implementato anche nel settore sanitario per prevenire questo genere di attacchi in tempo reale.

3. Adottare la protezione proattiva: Threat Hunting e Threat Intelligence

I dati sulle minacce aiutano le organizzazioni sanitarie a preparare una difesa contro gli aggressori più probabili e consentono agli esperti in threat hunting di individuare prontamente i segni di un’intrusione e di espellere di conseguenza gli intrusi dalla rete. Solo allora i team di sicurezza IT possono essere impiegati in modo adeguato ed efficace.

In molti casi, oltre alle informazioni sulle minacce, è consigliabile impiegare team esterni di servizi di cybersecurity fully managed, in grado di eseguire non solo le informazioni sulle minacce, ma anche la risposta agli incidenti, la caccia alle minacce, i servizi di ripristino degli endpoint e il monitoraggio proattivo per colmare le lacune della sicurezza.

4. Sfruttare machine learning e intelligenza artificiale

Le organizzazioni sanitarie non devono mai dimenticare che gli hacker evolvono continuamente le proprie tecniche di attacco e che quindi occorra continuare a sviluppare e rafforzare le protezioni. Non è più possibile, infatti, difendersi dai moderni attacchi basandosi su tecnologie ormai superate. I software antivirus basati sulle firme, ad esempio, non sono più sufficienti da tempo.

Le tecniche di machine learning e di classificazione, in grado di determinare – in base al comportamento o ad altre caratteristiche osservabili – la presenza di un fattore dannoso, sono ormai uno standard per la difesa di qualsiasi azienda.

5. Puntare su formazione ed esercitazioni per essere pronti in caso di emergenza

Le esercitazioni sul campo sono un modo efficace per costruire le basi della giusta reazione e risposta in caso di emergenza. Dopo tutto, anche la migliore soluzione di sicurezza del mondo non serve a nulla se le organizzazioni non sanno a chi rivolgersi in caso di pericolo, cosa occorre fare, e chi è coinvolto nel processo di difesa all’interno dell’organizzazione.

Cicli di formazione regolari sono efficaci per formare il personale e garantire che venga adottata la risposta giusta in una situazione di pericolo. Inoltre, queste esercitazioni possono aiutare i team informatico, clinico, amministrativo e di sicurezza a continuare a identificare, e quindi a saper affrontare, le vulnerabilità della cybersecurity e i rischi per la continuità operativa della propria organizzazione.

Noi di CrowdStrike incoraggiamo ad adottare la regola del “1-10-60”, che si esprime nella capacità dei team di sicurezza di rilevare la minaccia durante il primo minuto dall’intrusione, analizzarla e comprenderla nell’arco dei 10 minuti e contenerla e neutralizzarla entro 60 minuti totali. Ciò vale assolutamente per le aziende del comparto sanitario, che continuano ad affrontare sfide importanti in termini di capacità di rilevamento degli incidenti di sicurezza.

Le organizzazioni hanno a che fare con autori delle minacce sempre più intelligenti, sofisticati e dotati di un numero maggiore di risorse e  soltanto dalla comprensione dei loro metodi criminali in rapida evoluzione, delle tecniche e degli obiettivi, e adottando una tecnologia alimentata dalla più recente threat intelligence, le aziende possono rimanere un passo avanti rispetto agli avversi. Scegliere tecnologie veloci e rapide nella loro fruizione, efficaci nel proteggere – pur senza impattare sulla user experience – le identità, le postazioni di lavoro e i dati, nel momento in cui gli utenti interagiscono con essi, è indispensabile per prepararsi a prevenire e rispondere agli attacchi, a tutti i livelli.

Le soluzioni CrowdStrike per il settore

La nostra soluzione di Identity Threat Protection completamente gestita e alimentata da Falcon Complete è stata sviluppata esattamente per garantire la sicurezza di una delle aree più critiche del rischio aziendale, quella dell’identità. Essa combina il modulo Falcon Identity Threat Protection e il servizio gestito Falcon Complete per abilitare la prevenzione delle minacce all’identità e l’applicazione dei criteri IT con un livello esperto di gestione, monitoraggio e neutralizzazione.

Falcon Identity Threat Protection Complete consente alle aziende di avere piena visibilità sulle minacce basate sull’identità e di rispondere ad esse in tempo reale, bloccando gli attacchi e impedendo quindi ad essi di progredire. La riteniamo particolarmente utile ad un settore come quello della sanità, molto sensibile alla voce budget, in quanto rende possibile eseguire un programma di sicurezza dell’identità efficace e maturo senza doversi accollare l’onere, i costi e tempi associati alla costruzione di un programma interno globale. La soluzione permette inoltre di ridurre la superficie di attacco e di avere piena visibilità su tutti i sistemi dell’organizzazione, con il monitoraggio delle identità e l’eliminazione dei punti ciechi.

Tra i prodotti che riteniamo ideali per il settore annoveriamo poi Spotlight, la nostra soluzione di gestione delle vulnerabilità (Vulnerability Management) che libera le organizzazioni dalla necessità di macchinosi report potendosi basare su una dashboard veloce e intuitiva per la gestione delle vulnerabilità, sempre attiva e automatizzata con dati prioritari in tempo reale.

Offriamo, inoltre, Falcon OverWatch Cloud Threat Hunting, il primo servizio stand-alone di settore del mercato, per il threat hunting delle minacce nascoste e avanzate che hanno origine, operano o persistono negli ambienti cloud. La rapida adozione di architetture cloud native ha aperto la strada anche in ambito sanitario a nuove e più ampie superfici di attacco e con OverWatch Cloud Threat Hunting offriamo ai team di sicurezza un livello di visibilità senza precedenti, per osservare e sconfiggere anche le minacce cloud più sofisticate.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

css.php