DNS zaštita pomaže zdravstvenom sektoru u obrani od napada

Pandemija COVID-19 znatno je opteretila zdravstveni sektor, ali pogođeni nisu bili samo djelatnici, već i digitalna infrastruktura. Naime, zdravstvo je posebno na meti cyber napadača, i to često u kontekstu napada na DNS.

Ovogodišnji IDC Global DNS Threat Report donosi uvid o razlozima pojačanih napada na DNS infrastrukturu zdravstvenog sektora i što institucije rade kako bi se obranile. Donosimo vam pregled razloga zašto su zdravstvene ustanove mete cyber napada i kako se mogu zaštiti uz DNS sigurnosna rješenja.

Zašto su napadi usmjereni na zdravstveni sektor?

Zdravstveni sektor je vrlo privlačna meta svakog napadača. Za početak, radi se o golemoj količini podataka o korisnicima koji su često puno osjetljiviji nego u drugim sektorima. Ujedno se radi i podacima koji moraju biti lako dostupni korisnicima – u ovom slučaju pacijentima i medicinskom osoblju – i to podjednako on-site i remote. Takva situacija dovodi do uključenosti velikog broja uređaja i platformi, zbog čega se i površina napada širi. Zdravstveni sektor karakterizira veliki broj povezanih IoT (Internet of Things) uređaja. Neovisno o tome radi li se o uređaju za provođenje testova, izdavanje lijekova ili mjerenje otkucaja srca, svi oni predstavljaju ulaznu točku u sustav. DNS je pritom često korišten kao glavni vektor napada.

Organizacije poduzimaju različite protumjere u slučaju DNS napada. Mogu isključiti zahvaćeni uređaj ili proces, onemogućiti aplikacije ili ugasiti uslugu ili server. U kontekstu zdravstva, odnosno brige za pacijente, ovakve su prakse vrlo opasne. Optimalna bi opcija stoga bila korištenje adaptivnog DNS sigurnosnog rješenja koje osigurava kontinuitet usluge i minimizira ometanja u brizi za pacijente.

Zašto je zdravstveni sektor ranjiviji od drugih?

IDC Global DNS Threat Report pokazuje da je prosječna cijena napada na DNS na globalnoj razini porasla na 862 tisuće dolara, što je rast od 12 posto u odnosu na prošlu godinu. Ujedno se radi o najvećem porastu u svim industrijama. Prosječno, svaku je zdravstvenu ustanovu pogodio 6.71 DNS napad tijekom 12 mjeseci mjerenja. Za otklanjanje problema, ustanovama je prosječno trebalo 6.28 sati. U odnosu na druge industrije, zdravstvu je potrebno 5.26 sati duže da riješe poteškoće izazvane ovakvim probojem.

Ujedno je zdravstvo sektor koji će najvjerojatnije pretrpjeti downtime aplikacija (in-house ili cloud). Takve poteškoće je prijavilo čak 53% ustanova, što dovodi do ozbiljnih posljedica i za pacijente i za djelatnike. Također, u zdravstvenom je sektoru zabilježen najveći broj kompromitiranih web stranica (44%).

Problemi se tu ne zaustavljaju, pa su tako zabilježeni downtimeovi cloud servisa (46%), gubici u poslovanju (34%) i krađa korisničkih podataka (23%). Kao vrlo osjetljiv aspekt, podaci pacijenta su tijekom pandemije bili u posebnom fokusu napadača.

Najčešći tip DNS napada u zdravstvenom sektoru – kao, uostalom, i u drugim industrijama – bio je phishing (49%). Slijede ga malware napadi bazirani na DNS-u (36%), DNS tunneling (29%) i DNS domain hijacking (28%). U odnosu na druge industrije, u zdravstvu je zabilježen relativno mali broji DDoS napada.

Kako se zdravstveni sektor može obraniti?

Kako bi se zaštitile, organizacije sve češće koriste Zero Trust i napredna DNS sigurnosna rješenja. Prema istraživanju Threat Reporta, 79 posto zdravstvenih ustanova planira, implementira ili već koristi Zero Trust inicijative.

Ovaj sektor ujedno najviše vjeruje u efikasnost DNS deny-and-allow listi. Ovakvi tipovi lista mogu unaprijediti kontrolu nad korisnicima koji pristupaju aplikacijama, i to kroz dodavanje filtera za provjeru upita klijenata. Filtriranje se provodi u početnoj fazi prometa kako bi se spriječilo širenje napada po cijeloj mreži. 78% ispitanika slaže se da je sigurnost DNS-a kritična komponenta mrežne arhitekture, i to posebno zbog zaštite podataka, a broj zdravstvenih ustanova koje u fokus svoje sigurnosne strategije stavljaju praćenje i analizu DNS prometa raste.

Kao i kod drugih industrija, zaštita DNS infrastrukture i u zdravstvu je prepoznata kao ključna za zaštitu remote zaposlenika. Kod korištenja kućne mreže, VPN-a za spajanje na organizacijske servise ili DNS-a preko HTTPS (DoH), snažno se preporučuje enkripcija mrežnog prometa. Ipak, kreatori izvještaja izražavaju zabrinutost zbog korištenja DoH rješenja javnih poslužitelja. Danas 44% ispitanih zdravstvenih ustanova razmatra korištenje prihvatnog DoH-a. Na taj način osiguravaju da se bilo koji DNS promet od strane korisnika ili uređaja temelji na organizacijskoj infrastrukturi. Time se poboljšava vidljivost i filtriranje te unapređuje sigurnost.

Global DNS Threat Report preporučuje ustanovama korištenje privatne infrastrukture za razlučivanje i sigurnost DNS-a, i to s ciljem povećanja sigurnosti udaljenih zaposlenika. Kako bi se zaštitili podaci, aplikacije, serveri i korisnici, u izvješću se naglašava važnost eliminacije cloud downtimea, do koje dolazi zbog miskonfiguracije cloud servisa te automatiziranog privisioninga i deprovisioninga IP resursa. Također, predlaže se da DNS postane prva linija obrane za zaustavljanje širenja napada. Te se metode oslanjaju na jedinstvenu vidljivost mrežnog prometa na DNS-u, što omogućuje analizu ponašanja i obavještavanje o prijetnjama.

Kako Infoblox rješenja mogu pomoći u zaštiti?

Infoblox BloxOne™ Threat Defense omogućuje zaštitu tradicionalnih mreža te IoT, SD-WAN ili cloud infrastrukture. Korisnici mogu brže odgovoriti na prijetnje te im je omogućeno dijeljenje informacija o prijetnjama s ostatkom sigurnosnog Ecosystema. Zaštita ujedno uključuje i SOAR alate (Security Orchestration, Automation and Response). Radi se o prvom hibridnom rješenju koje omogućuje sveobuhvatnu zaštitu temeljem DNS zaštite.

Uz napredne tehnike strojnog učenja i analitike, BloxOne™ Threat Defense može detektirati i blokirati eksfiltraciju podataka temeljenu na DNS-u, zlonamjernu komunikaciju prema C&C i drugu malware aktivnost. Rješenje može primijeniti kategorizaciju web sadržaja te implementirati politike pristupa kako bi se korisnicima onemogućio pristup do određenih kategorija web sadržaja i provodila kontrola sadržaja.

Infoblox ovim rješenjem povećava vidljivost, automatizira odgovore na incidente i ubrzava istragu prijetnji. Ne samo da osigurava 243% više ROI-a (Return of Investement) – prema istraživanju Forrester Report – The Total Economic Impact of Infoblox  BloxOne™ Threat Defense – već može povećati ROI za postojeće sigurnosne investicije kroz poboljšanu automatizaciju, povećanu produktivnost, smanjenje zlonamjernog prometa i dijeljenje podataka o prijetnjama s drugim komplementarnim sigurnosnim rješenjima.