Hevesli siber sorun çözücülerden oluşan bir ekibe liderlik eden MITRE’de siber yeni profesyonellerin kıdemli yöneticisi Suneel Sundar, BT ortamlarında bilinen içeriden kişilerin kullandığı taktikleri, teknikleri ve prosedürleri araştırıyor.
Sundar, “Gizlice dolaştığınızda görüşürüz: BT sistemlerinde içeriden öğrenen teknikler ve trendler” başlıklı eğitici bir tartışmayı sunacak. HIMSS Healthcare Siber Güvenlik Forumu5 ve 6 Aralık tarihlerinde Boston’da gerçekleşecek.
Oturumu, içeriden gelen tehditleri ele alacak ve objektif kanıta dayalı analiz yoluyla incelenen tekniklerinden birkaçını paylaşacak. İçeriden Gelen Tehdit TTP (Taktikler, Tehditler ve Prosedürler) Bilgi Bankası. Kâr amacı gütmeyen MITRE Engenuity Center for Threat-Informed Defense’deki araştırmacılar tarafından oluşturulan bilgi tabanı, 50’den fazla içeriden gelen tehdit TTP’si örneğiyle Şubat ayında kullanıma sunuldu.
MITRE ATT&CK’den ve aşağıdaki gibi araçlardan esinlenilmiştir: Hastaneler ve sağlık sistemleri için Fidye Yazılımı Destek MerkeziSundar ve meslektaşları yeni topluluk odaklı içeriden gelen tehdit bilgi tabanı eyleme geçirilebilir tespitler ve müdahaleye yönelik içeriden gelen tehdit azaltma programlarına rehberlik etmek. Gönderim platformu, kullanıcıların kimliğini doğrular ve gönderimleri anonimleştirir.
“Katkıda bulunan bir kuruluşun kirli çamaşırlarını ortaya çıkarmaması için ilgili verileri soyutluyor; daha fazlasını değil, analiz yapmamıza izin verecek minimum şeyi paylaşıyorlar. Bu utanç verici olabilir veya kendi yasal eşitliklerini tehlikeye atabilir. ,” dedi Sundar Sağlık Bilişim Haberleri. “Kirli çamaşır aramıyoruz, yeni kumaşlar arıyoruz.”
Sundar’a göre, siber savunucuların içeriden gelen tehditlere ilişkin toplu anlayışını ilerletmek, hastanelerin, sağlık sistemlerinin ve her ölçekten ve teknolojinin her aşamasındaki sağlayıcıların bu sektörler arası işbirliğine katılmasını gerektiriyor.
Daha az karmaşık BT’ye sahip bir kuruluş, başka kimsenin görmediği bazı içeriden teknikler belirleyebilir, diye açıkladı.
“Bu teknik bir kez tanımlandıktan ve bilgi tabanına girdikten sonra, sağlık sektöründeki herkes ve genel olarak güvenlik topluluğu bunun için tespitler ve savunmalar oluşturabilir.”
Sağlık hizmetlerinin içeriden tehdit planlarını anlamanın bir yolu
Bir Ponemon Enstitüsüne göre bildiri Ocak ayında yayınlanan içeriden öğrenilen olaylar %44 arttı.
Sundar, Sağlık Bilgileri Paylaşım ve Analiz Merkezi ve diğer sağlık kuruluşlarının bilgi tabanını kullandığını ve kullanım durumlarını paylaştığını çünkü bunun doğrulama için daha geniş bir veri kümesi oluşturmaya yardımcı olduğunu söyledi.
“Kendi içeriden tehdit programı olmayan veya içeriden gelen tehdit programına karşı çıkmak isteyen kuruluşlar için, bu onlara bir yumruk listesi verecektir” dedi.
Güvenlik ortaklarıyla çalışanlar için veriler, güvenlik işlevinin o kuruluşa en zararlı içeriden öğrenilen olayları belirlediğini ölçmek için nesnel bir yol sağlar.
“Kullanıcı için doğrulanan ve kuruluştan anonim hale getirilen bu verilere dayanarak, sağlık sektörü için içeriden tehdit olarak neyin daha belirgin olduğunu analiz edebileceğiz.”
Gelecekte, kullanıcılar içeriden gelen tehdit verilerini sektöre göre sıralayabilir.
Sundar, “İçeriden gelen vaka sunumlarıyla katkıda bulunmak ve bilgi tabanını oluşturmak, sağlık hizmetlerindeki içeriden gelen tehditlerin diğer sektörlerdeki tehditlerden nasıl farklılaştığını anlamaya yönelik araştırmayı ilerletmek için çok önemlidir.”
En yaygın içeriden tehdit
Sundar, en yaygın içeriden tehdidin, kişisel bilgilerin ve hasta sağlık bilgilerinin alınmasını içeren veri hırsızlığı olduğunu ve en yaygın olarak harici medya ve e-posta yoluyla kaldırıldığını söyledi.
“Bulut depolamada da bir artış görüyoruz” diye ekledi.
Savunma, genellikle ortak veri hırsızlığı kanallarını izliyor veya kullanıcıların bu kanalları nasıl ve ne zaman kullandığına ilişkin düzenlemeler ekliyor.
Bununla birlikte, bunlar aynı zamanda sağlık hizmetlerinin birlikte çalışabilirliğini destekleyen kritik veri paylaşım yöntemleridir ve kuruluşlar, bir teknolojiye izin vermenin ticari faydasını, kullanımının güvenlik risklerine karşı tartmalıdır.
“E-posta için meşru kullanımlar, USB için meşru kullanımlar ve bulut depolama için meşru kullanımlar olduğunu kabul ediyoruz; dedi Sundar.
Bununla birlikte, içeriden veri ihlallerinde fark edilebilir modeller vardır. Kullanıcılar, veri paketlerini günler veya birkaç saat içinde indireceklerini söyledi.
“Verilerden gözlemlediğimiz bir eğilim var, o da içeridekilerin bir niyeti var. İçeridekiler çalmak istedikleri verileri sızmadan önce hazırlayacaklar. Yani bunun anlamı, görebildiğimiz bir model, bir güvenlik operasyonları merkez bir kullanıcının indirdiğini, indirdiğini, indirdiğini, indirdiğini görebiliyordu.”
İçeriden birinin yerel sürücüsüne kaydetmesi kadar basit değil.
Sundar, “İçerdekilerin ne alabileceklerini planladıklarını, bir pakete koyduklarını ve sonra tek seferde gönderdiklerini görüyoruz.” dedi.
HIMSS 2022 Sağlık Hizmetleri Siber Güvenlik Forumu, 5 ve 6 Aralık tarihlerinde Renaissance Boston Waterfront Hotel’de gerçekleşecek. Buradan kaydolun.
Andrea Fox, Healthcare IT News’in kıdemli editörüdür.
E-posta: afox@himss.org
Healthcare IT News, bir HIMSS yayınıdır.