Steeds slimmere malware, mobiele medewerkers en de opkomst van cloud-diensten zorgen voor nieuwe uitdagingen in it-beveiliging in de gezondheidszorg. Maar het is lastig cybercriminelen één stap voor te blijven en te voorkomen dat uw netwerk wordt geïnfecteerd. Cyberaanvallen evolueren snel en er is een steeds groter gebrek aan it-experts. Cloud-security kan ziekenhuizen helpen bij het moderniseren van hun bescherming.
Sinds de Loki-malware in 2016 hebben ransomware-aanvallen zich ontwikkeld tot een winstgevende business voor cybercriminelen. Dergelijke kwaadaardige programma’s, ook wel encryptie-trojans genoemd, maken gebruik van versleuteling om toegang tot gegevens of een heel netwerk te blokkeren. Waarbij men pas weer wordt toegelaten na betaling van losgeld. Wanneer de it-systemen in een zorginstelling zijn geïnfecteerd met ransomware, betekent dit dat patiëntgegevens niet langer toegankelijk zijn en er hoge sommen losgeld worden geëist. Hierdoor lopen de patiëntenzorg en werkzaamheden van de instelling uiteindelijk risico.
We zien deze gerichte aanvallen op zorginstellingen sterk toenemen. In Nederland zijn de afgelopen jaren minstens vijftien ziekenhuizen getroffen door ransomware. Ook wereldwijd is het aantal gerapporteerde gevallen sterk toegenomen, vooral in de afgelopen twaalf maanden.
De cloud-sandbox
Een enkele geïnfecteerde pc in een ziekenhuis is vaak voldoende om het hele netwerk van de instelling tot stilstand te brengen. In het geval van ransomware kan dit rampzalige gevolgen hebben voor de diensten. Het primaire doel van een it-beveiligingsafdeling in ziekenhuizen moet daarom gericht zijn op het proactief voorkomen van de initiële infectie, bij deze ‘patient zero’. Een cloud-gebaseerde sandbox, in combinatie met een beveiligings-proxy, vormt een robuuste bescherming tegen dergelijke aanvallen. Deze biedt realtime malware-controle van al het inkomende en uitgaande dataverkeer.
Een dergelijke aanpak ligt één stap voor op traditionele, hardware-gebaseerde, on-premises beveiligingsconcepten, vanwege de mogelijkheid al het dataverkeer inline te scannen in realtime. Een cloud-gebaseerde sandbox kan een verdacht bestand in quarantaine plaatsen en blokkeren voordat het wordt gedownload. Wanneer tijdens de gedragsanalyse in quarantaine een bestand inderdaad schadelijk blijkt, kan de samenwerking tussen sandbox en proxy elke ‘primaire besmetting’ voorkomen door de schadelijke code te blokkeren.
Een wereldwijde security-cloud zorgt er automatisch voor dat elke andere gebruiker wereldwijd ook wordt beschermd als een nieuwe malware-sample ergens wordt geïdentificeerd. Zo vindt er een onmiddellijke update plaats van de malware-signatures in de database van het wereldwijde beveiligingsplatform – zonder handmatige interactie – en wordt een golf van infecties voorkomen. De elastische schaalbaarheid en de bijbehorende prestaties van de cloud zijn ook geschikt voor het decrypten, onderzoeken en re-encrypten van ssl/tls-dataverkeer om te voorkomen dat aanvallers zich daar verbergen en onopgemerkt blijven.
Legacy hardwarebeveiligingsomgevingen inspecteren geen versleuteld netwerkverkeer om problemen met netwerkprestaties te voorkomen, maar dit verhoogt het risico op besmetting. De nieuwste versie van het HTTPS-protocol voor beveiligde verbindingen, transport layer security (tls) 1.3, heeft tot gevolg dat het overgrote deel van het internetverkeer nu versleuteld wordt verzonden (meer dan 90 procent van het wereldwijde verkeer naar Google is al versleuteld volgens het Google Transparantierapport). Aanvallers profiteren van deze ontwikkeling en verbergen hun schadelijke software binnen deze versleutelde gegevensstromen, wetende dat veel organisaties geen uitgebreide screening uitvoeren op verborgen schadelijke code.
Therapie
Het automatiseren van beschermende maatregelen wordt steeds belangrijker voor ziekenhuizen, zeker gezien het tekort aan it-beveiligingsspecialisten. De gezondheidszorg hecht veel belang aan de hoogst mogelijke beveiliging, maar moet het vaak zonder gekwalificeerd personeel doen. Daarom is automatisering via Security-as-a-Service een welkome remedie. Een cloud-gebaseerde security-aanpak, die ook gebruikmaakt van big data-analyse, vermindert de gebruikelijke complexiteit van het samenspel tussen verschillende traditionele hardware-apparaten, doordat het beveiligingsoplossingen binnen het cloudplatform centraliseert. Een dergelijke op services gebaseerde bundel van beveiligingsmodules uit de cloud omvat zaken zoals url-filtering, next-gen firewall, gedragsanalyse, webproxy, ssl-scanning of loganalyse, op geïntegreerde wijze. Coördinatie tussen de modules maakt een extern beveiligingsinformatie- en eventmanagementsysteem (siem) overbodig. Valse alarmen kunnen worden vermeden en de cloud-gebaseerde componenten correleren de logs met elkaar zonder de snelheid van het systeem te beïnvloeden.
Het gebruik van een dergelijk servicemodel reduceert de beheerinspanningen van de security-hardware. De serviceprovider maakt automatisch tot 125.000 updates per dag – een aanzienlijk hoger aantal dan handmatig mogelijk zou zijn. Dit elimineert de fouten van handmatig beheer en eventuele openstaande gaten als gevolg van achterblijvende updates.
Conclusie
Bij een hardware-gebaseerde beveiligingsinfrastructuur worden de gegevens van verschillende componenten, zoals virusscanners, url-filtering en apt-detectie, vaak in een siem-systeem ingevoerd, omdat de afzonderlijke apparaten niet met elkaar kunnen communiceren. Dit zorgt voor een complex analyseproces, wat tevens valse alarmen veroorzaakt.
Omgekeerd voegt een cloud-securitydienst de logs van verschillende beveiligingsfuncties automatisch samen, zodat er niet alleen een duidelijk alarm is als reactie op malware, maar ook de mogelijkheid om de schadelijke code onmiddellijk te blokkeren. Als een ziekenhuis bijvoorbeeld wordt aangevallen, detecteren de beveiligingscomponenten binnen het geïntegreerde cloud-platform wat er in het netwerk gebeurt en zorgen onmiddellijk voor tegenmaatregelen – in realtime.
De infectie van ‘patient zero’ wordt daarmee gelijk de kop ingedrukt!
Hallo Marc,
Je maakt in je opinie nogal opzichtig reclame voor een product van je eigen bedrijf wat volgens de regels niet mag maar ik snap het probleem. Tenslotte heb ik jaren eerder al gewaarschuwd voor het feit dat de ziekenhuizen steeds kwetsbaarder worden voor virussen en ransomware door de aansluiting op internet van oplossingen die van onveilige protocollen gebruik maken.
Zo kan de Windows 10 PC met SMBv1 voor het uitlezen van het €10 miljoen kostend apparaat met embedded Windows95 een ‘stepping stone’ voor kwaadwillenden worden. Een probleem dat Zscaler uiteindelijk niet oplost waardoor het kwaad al geschiedt is voordat het opgemerkt wordt want veel legacy applicaties communiceren met oude onveilige protocollen terwijl de netwerken zelf nauwelijks gesegmenteerd zijn. Kortom, Zscaler is de antibiotica voor een virus wat dus even effectief is als paracetamol tegen een slagaderlijke bloeding.
Ik kwam laatst een floppy tegen, deze was eenvoudig te beschermen tegen ransomware door een schuifje. Principe van read-only voorkomt een corruptie van de (referentie)data door ransomware en hoeft niet veel geld te kosten.
@oud lid
Ben jij dezelfde als degene die nu zonder naam op nummer 1 in de reactielijst staat, en eerder ook als ED en nog een paar andere namen bekend stond?
Het klopt, dit artikel is een advertorial. Op dat punt heb je gelijk.
Floppy’s zijn nergens meer goed voor, maar het read only maken wel. Het is niet voor niets dat de nieuwste versie van macOS op een read only partitie staat; dat maakt het aanpassen van het OS door malware onmogelijk.
Voor wat betreft antieke embedded servers heb je een punt als alles in hetzelfde ongesegmenteerde netwerk zit. Een netwerk aanleggen en beheren in een ziekenhuis is dan ook vakwerk, wat door gekwalificeerd personeel moet gebeuren, net zoals de artsen in hetzelfde ziekenhuis ook goed opgeleid moeten zijn. En als een hacker fysieke toegang tot een antiek embedded systeem heeft, dan is er meer mis dan alleen het IT beleid.
Frank,
Natuurlijk zijn floppy’s een achterhaald opslagmedium maar de boodschap hiervan ging vooral om de mogelijkheid van read-only als antwoord op asynchrone wedloop van dure oplossingen tegen ransomware. Auteur van advertorial vergeet dat ransomware ook via mobiele opslagmedia binnen kan komen terwijl Zscaler geen antwoord heeft op dit soort insider-bedreigingen. En nieuwe bedreigingen zoals Blueborn laten zien dat overdracht van ransomware ook via bluetooth kan, lang leve het IT beleid van Bring Your Own Disaster.
Betreffende je vraag over mijn identiteit een wedervraag of het wat uitmaakt in discussies of ik Sjaak Trekhaak heet of PAVAKE is het veelzeggend dat iedereen wel een waardering aan de reacties geeft maar niet het artikel waardeert. Je definitie van hacker mist dan ook een goede uitleg want zoals Marc Lueck hier een advertorial als opinie publiceert plaats ik kritische reacties op dit platform om vragen op te roepen.