Ugrás a tartalomra

Health-ISAC Hacking Healthcare 11

|

 

Ezen a héten belemerülünk az Európai Unió Kiberbiztonsági Ügynöksége (ENISA) fenyegetési tájképének (ETL) jelentésébe, hogy uniós perspektívát mutassunk a kiberfenyegetettségekkel kapcsolatos eseményekről 2021 közepétől 2022 közepéig. válasszon néhány érdekesebb és relevánsabb megállapítást, és közöljük elemzésünket arról, hogy ezek milyen hatással lehetnek az egészségügyi szektorra.

Emlékeztetőül: ez a Hacking Healthcare blog nyilvános verziója. Ha további mélyreható elemzést és véleményt szeretne kapni, legyen a H-ISAC tagja, és megkapja a blog TLP Amber verzióját (elérhető a tagportálon).

 

Pdf verzió

Letöltés

 

Szöveges változat:

Üdvözöljük a Hacking Healthcare.

 

Az ENISA Threat Landscape (ETL) jelentésének átvétele

November 3-énrd, az Európai Unió Kiberbiztonsági Ügynöksége (ENISA) közzétette 2022-es jelentését a kiberbiztonsági fenyegetettségről.[1] Ez az éves jelentés hasznos betekintést nyújt abba, hogy az EU kiberbiztonsági ügynöksége szerint melyek az elsődleges kiberfenyegetések, valamint a fenyegetés szereplői körében tapasztalható tendenciák és motivációk. Ezenkívül egy átfogó melléklet az események részletes listáját, a CVE-környezet lebontását, valamint az ISO/IEC 27001 szabványhoz és a NIST Cybersecurity Framework (CSF) szabványhoz kapcsolódó ajánlásokat tartalmazza. 150 oldalas terjedelme ellenére olyan megközelíthető módon van megírva, hogy a nem műszaki közönség nagyrészt megértse. A jelentést a 2021 júliusa és 2022 júliusa között gyűjtött adatokból állították össze.

 

Szóval, melyek azok a releváns kivonatok, amelyeket érdemes megjegyezni?

 

  • - Supply Chain: Az ETL jelentése szerint mind az államilag támogatott fenyegetés szereplői, mind a kiberbűnözők egyre inkább érdeklődnek az ellátási lánc támadásai és az azok végrehajtására szolgáló képességek iránt. Az ETL megjegyzi, hogy 17-ben a behatolások 2021%-át az ellátási lánc kompromisszumai okozták, ami 16 százalékpontos növekedést jelent 2020-hoz képest. Az ENISA ezt a növekedést a SolarWinds utóhatásaként a fenyegetés szereplői által levont tanulságokhoz köti.

Az ENISA azt is értékeli, hogy „a felhőszolgáltatók (CSP-k), a felügyelt szolgáltatók (MSP-k) és az IT-szolgáltató szervezetek elsődleges célpontjai a fenyegetés szereplőinek, hogy bizalmi kapcsolataikat aljas műveletek végrehajtására használják ki.[2] Végső soron az ENISA arra számít, hogy „a kiberbűnözők a belátható jövőben továbbra is megcélozzák a szoftverellátási láncot és az MSP-ket”, és „valószínűleg az MSP-k által használt felügyeleti eszközöket is megcélozzák, mint például a professzionális szolgáltatások automatizálási szoftverét (PSA) vagy a távfelügyeletet. és menedzsment (RMM) eszközök.”

 

  •  – Geopolitika
  • Az ETL-jelentés világossá teszi, hogy az ukrajnai konfliktus „átalakította a fenyegetettséget”, és a geopolitika továbbra is fontos szerepet játszik a kiberműveletekben.[3] Három problémát érdemes kiemelni: a megnövekedett hacktivista aktivitást, a hacktivista és kiberbûnözõ elemek mozgósítását az állami képességek növelése érdekében, valamint a DDoS használatának felfutását.

 

  • – Ransomware márkaváltás:
  • Az ENISA megjegyzi, hogy egyre gyakrabban fordul elő, hogy a zsarolóprogram-csoportok megpróbálják átnevezni a márkát, mióta a Colonial Pipeline támadás „megnövekedett erőfeszítéseket eredményezett a bűnüldözés és a kormányok részéről világszerte”.[4] Az ETL jelentés szerint a ransomware csoportoknak átlagosan 17 hónap kell a márkaváltásig, és fő motivációik a következők lehetnek:

 

  1. 1. Indítsa újra működésüket, ha eszközeiket, TTP-jüket vagy infrastruktúrájukat kritikusan veszélyeztették;
  2. 2. Kerülje a bűnüldözés, a média és a politikai figyelmet;
  3. 3. Akadályozza és késleltesse a támadásnak tulajdonítható erőfeszítéseket, hogy az áldozatok kifizessék a váltságdíjat egy nem szankcionált entitásnak; és
  4. 4. Belső viták megoldása.

 

  • Adathalászat:
  • – Nem valószínű, hogy meglepő, hogy az ENISA úgy találta, hogy „az adathalászat ismét a kezdeti hozzáférés leggyakoribb vektora”.[5] Kiemelték azt is, hogy „az adathalászat kifinomultabbá válása, a felhasználók fáradtsága és a célzott, kontextus alapú adathalászat ehhez a növekedéshez vezetett”, és hogy a fenyegetés szereplői továbbra is hozzáigazítják az adathalász kampányok tartalmát a világ fontosabb eseményeihez a kíváncsiság felkeltése reményében.
  • Működési technológia:
  • Az ENISA tavalyi értékelésében arra figyelmeztetett, hogy „a közeljövőben minden bizonnyal növekedni fog az állami szereplők érdeklődése a kritikus infrastruktúrák és az operatív technológiai (OT) hálózatok megcélzása iránt”.[6] Az idei frissítés szerint „az értékelést az ilyen infrastruktúrát elsősorban intelligenciagyűjtést, újonnan megfigyelt ICS-t célzó rosszindulatú programok telepítését és zavarokat célzó kiberműveletekként tartották érvényesnek”.[7]

 

 

Az ETL-jelentés nagy hangsúlyt fektet az államilag támogatott szereplők fenyegetésére, akik egyre inkább olyan OT-központú képességeket szeretnének kifejleszteni, amelyeket válság vagy konfliktus idején lehetne használni. Az ENISA arra figyelmeztet, hogy valószínű, hogy azok, akik érdeklődnek az OT célzás iránt, „továbbra is erőforrásokat szentelnek és bővíthető ICS rosszindulatú programkeretrendszereket fejlesztenek, mivel modulárisak, és képesek több áldozatot megcélozni, valamint több iparágban használt berendezéseket is megcéloznak”.

 

  • Zsarolási trendek:
  • Az egyik trend, amelyre érdemes figyelni az ENISA szerint, az adatlopások és zsarolások számának növekedése zsarolóprogramok használata nélkül. A zsarolási módszerek az elmúlt néhány évben úgy fejlődtek, hogy különböző taktikákat alkalmaznak az áldozatok kifizetésének maximalizálása érdekében, és úgy tűnik, hogy ez a konkrét iteráció egyre gyakoribb. Az ENISA megjegyzi, hogy a kiberbűnözők úgy találták, hogy egyszerűen váltságdíjat kérhetnek az ellopott adatokkal kapcsolatban, anélkül, hogy át kellene menniük a zsarolóprogramok telepítésével.
  • Fizetési tilalom:
  • Az egyik különösen érdekes fejlemény az ENISA felhívása a váltságdíjfizetést tiltó jogszabályokra és szabályozásokra. Az ETL jelentés megjegyzi, hogy 2022-ben az Egyesült Államok Észak-Karolina állama „bejelentette, hogy az állami szerveknek megtiltották a váltságdíj fizetését”, és Florida állam is követte a példát valami hasonlóval a kormányzati szervek számára. Az ENISA továbbra is azt sugallja, hogy „meglátjuk, hogy ezek a kötelezettségvállalások hatékonyak lesznek-e, mivel a [Ransomware-as-a-Service] (RaaS) csoportok nem korlátozzák magukat a helyi jogszabályok miatt”.[8] Úgy vélik, hogy „csak globálisabb kontextusban válhatnak hatékonyabbá ezek a jogi intézkedések”.

Ezekről a kérdésekről átfogóbb lebontások találhatók a teljes hosszúságú ETL-jelentésben, amely ingyenesen elérhető az ENISA honlapján. Arra biztatjuk az érdeklődő tagokat, hogy nézzék át a jelentést a rájuk vonatkozó egyéb szakaszok tekintetében.

 

Akció és elemzés

*A H-ISAC tagsággal együtt* 

 

Kongresszus

november 22-én, kedden:

– Nincs releváns meghallgatás

november 23-án, szerdán:

– Nincs releváns meghallgatás

november 24-én, csütörtökön:

– Nincs releváns meghallgatás

Nemzetközi Meghallgatások/találkozók

– Nincsenek releváns találkozók

 

Lépjen kapcsolatba velünk: kövesse @HealthISAC

[1] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[2] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[3] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[4] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[5] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[6] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[7] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[8] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[9] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[10] https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf

Források

https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

 

TLP:FEHÉR: A szabványos szerzői jogi szabályoknak megfelelően a TLP:WHITE információk korlátozás nélkül terjeszthetők.

Kérdések és/vagy megjegyzések esetén:Kérjük, írjon nekünk a contact@h-isac.org címre

 

Konferenciák, webináriumok és csúcstalálkozók:https://h-isac.org/events/ 

 

Egészségügyi feltörés:

Írta: John Banghart, aki a kiberbiztonsági incidensekkel és felkészültséggel kapcsolatos elsődleges tanácsadóként szolgált, valamint a Nemzetbiztonsági Tanácsot vezette"s erőfeszítéseket tesz a jelentős kiberbiztonsági incidensek kezelésére, beleértve az OPM-nél és a Fehér Háznál történteket. John jelenleg a Venable kiberbiztonsági szolgáltatásokért felelős vezető igazgatója. Előéletéhez tartozik a Nemzetbiztonsági Tanács tisztsége"s Szövetségi kiberbiztonsági igazgató, a Medicare és Medicaid Services központok kiberbiztonsági főtanácsadója, a National Institute of Standards and Technology (NIST) kiberbiztonsági kutatója és szakpolitikai szakértője, valamint a Szabványügyi és Kereskedelmi Minisztérium helyettes államtitkára. Technológia. 

János elérhető a címen jbanghart@h-isac.org és a jfbanghart@venable.com. 

  • Kapcsolódó források és hírek
IoT biztonsági szabványok: Hol kell a biztonság a hálózatainkban?
CHIME, EGÉSZSÉGÜGYI ISAC PARTNER BIZTONSÁGI RIASZTÁSOK ÉS TAKTIKÁK BIZTOSÍTÁSÁBAN A TAGOKNÁL