Semperis HIP 大会试图诊断医疗保健网络安全 媒体

保护医疗行业身份的最佳实践

关键要点

在上周于新奥尔良举办的Semperis Hybrid Identity Protection (HIP)大会上，会议主要聚焦于勒索软件、网络韧性以及国家安全等话题。其中，保护医疗行业的身份和个人信息成为突出的议题。

上图：Semperis的Hybrid Identity Protection (HIP)大会上，坦帕综合医院的CISO James Bowie与SC Media讨论网络安全与身份保护。

“医疗行业是一个身份的噩梦，”Saviynt战略高级副总Henrique Teixeira在上周四的演讲中说道。“例如，有医生为一个实体工作，但在另一个实体有访问权限。”

这种情况在医疗行业非常普遍。医生可能作为独立承包商在医院内自由工作，或可能完全为另一家公司工作。例如，患者在纽约市的纽约长老会医院就医时，需支付医院使用设施的费用和支付给Weill Cornell Medicine的医生服务费。

坦帕综合医院的CISO James Bowie表示，医院的身份安全环境确实存在挑战，但他的方法简单有效，他表示：“他们与其他用户一样会获得一个Active Directory账户，但需要经过审查，遵循相同的政策和规则。这很困难，因为我们的用户数量是员工数量的两倍。”

抵御虚假的医院勒索攻击

维护医疗系统中的身份和网络安全的困难在于会议周三11月13日举行的一个模拟推演中表现得淋漓尽致。此次模拟了一起针对虚构新奥尔良医院的勒索软件攻击。

红队拥有多个工具和方法，并有多个重要目标可供选择。在会议演练中，红队通过资料从LinkedIn个人资料和密码泄露获取管理员信息和同时利用被盗的健康记录进行勒索与欺诈进行攻击。

上图：在Semperis的Hybrid Identity Protection (HIP)大会上，SC Media与一家大型制造供应公司的身份主任Grant Meyer讨论网络安全与身份融合。

尽管医院设有EDR保护和分段网络，但攻击者通过针对影像X光、MRI和CT扫描系统来绕过这些防御措施，这些系统通常涉及遗留设备，无法安装EDR软件。

他们通过社交工程手段覆盖了管理员账户的多因素认证，假冒一名刚刚生育的员工，声称需要在家中访问账户，并在通话中播放录音中婴儿啼哭的声音。

红队还通过撤销医院所有的TLS/SSL安全连接证书以及Office 365许可证来制造内部混乱。

“一言不合就真是卑鄙，”一位蓝队成员表示。

蓝队的成员同样是志愿参加演练的网络安全专业人士，但他们发现自己始终处于被动状态。最终，他们只能通过完全关闭网络来防御医院的攻击。

“没有人赢，”一位参与者说道。

拒绝密码重置请求

在桌面演练中，红队通过说服一名帮助台员工禁用管理账户的MFA设置成功入侵这与攻击并迫使MGM Resorts International的攻击者在2023年8月使用的方法一致。

然而，Bowie表示，他的医疗机构已基本中和了这个潜在的攻击向量：“我们不允许帮助台重置密码。”

上图：SC Media与南非Discovery Health的安全专家John Steenkamp在