Kako lahko zaščita DNS pomaga zdravstvenemu sektorju pri obrambi pred kibernetskimi napadi

Pandemija COVID-19 je močno obremenila zdravstveni sektor, vendar ni prizadela le delavcev, temveč tudi digitalno infrastrukturo. Zdravstvena oskrba je tarča predvsem na napadalcih meticyber, pogosto v kontekstu napadov DNS.

To leto IDC Global DNS Threat Report  daje vpogled v razloge za intenzivnejše napade na infrastrukturo DNS zdravstvenega sektorja in kaj inštitucije počnejo, da se branijo.

Zakaj so napadi usmerjeni v zdravstveni sektor?

Zdravstveni sektor je zelo privlačna tarča za vsakega napadalca. Za začetek je to ogromna količina uporabniških podatkov, ki so pogosto veliko bolj občutljivi kot v drugih sektorjih. Hkrati delamo na podatkih, ki morajo biti lahko dostopni uporabnikom – v tem primeru bolnikom in zdravstvenemu osebju – on-site in remote. Takšna situacija vodi v vpletenost velikega števila naprav in platform, zaradi česar se površina napada širi.

Zdravstveni sektor karakterizira veliki broj povezanih IoT (Internet of Things) naprav. Ne glede na to, ali gre za napravo za izvajanje testov, izdajanje zdravil ali merjenje srčnega utripa, vsi predstavljajo vstopno točko v sistem. DNS se je pogosto uporabljal kot glavni vektor napada.

Organizacije sprejmejo različne protiukrepe v primeru napada DNS. Lahko izklopijo prizadeto napravo ali proces, onemogočijo aplikacije ali izklopijo storitev ali strežnik. V okviru zdravstvene oskrbe, torej oskrbe pacientov, so tovrstne prakse zelo nevarne. Optimalna možnost bi bila torej uporaba prilagodljive varnostne rešitve DNS, ki zagotavlja neprekinjeno storitev in zmanjšuje motnje pri oskrbi pacientov..

Zakaj je zdravstveni sektor bolj ranljiv od drugih?

Poročilo IDC Global DNS Threat Report kaže, da so se povprečni stroški napadov DNS po vsem svetu povečali na 862.000 $, kar je 12 odstotkov več kot lani. Hkrati je to največji porast v vseh panogah. V povprečju je vsako zdravstveno ustanovo v 12 mesecih merjenja prizadel napad 6,71 DNS. Institucije so v povprečju potrebovale 6,28 ure, da so težavo odpravile. V primerjavi z drugimi panogami potrebuje zdravstvo 5,26 ure dlje, da reši težave, ki jih povzroča preboj DNS.

Hkrati je zdravstvo najbolj prizadet sektor za downtime aplikacij (in-house ali cloud). T Kar 53 % ustanov je poročalo o tovrstnih težavah, kar vodi v resne posledice tako za bolnike kot za osebje. Prav tako je bilo največ ogroženih spletnih strani zabeleženih v zdravstvenem sektorju (44 %).

Težave se pri tem ne ustavijo, zato so bili zabeleženi izpadi storitev v oblaku (46 %), poslovne izgube (34 %) in kraje uporabniških podatkov (23 %). Kot zelo občutljiv vidik so bili podatki o bolnikih med pandemijo posebno pozornost napadalca.

Najpogostejši tip napada DNS v zdravstvenem sektorju – tako kot navsezadnje tudi v drugih panogah – je  phishing (49%). Sledijo  malware napadi, ki temeljijo na DNS-u (36%), DNS tunneling (29%) in DNS domain hijacking (28%). V primerjavi z drugimi panogami so v zdravstvu poročali o razmeroma majhnem številu DDoS napadov.

Kako se lahko zdravstveni sektor brani?

Za zaščito sebe organizacije vse pogosteje uporabljajo Zero Trust in napredne varnostne rešitve DNS. Glede na raziskavo Threat Reporta 79 odstotkov zdravstvenih ustanov načrtuje, izvaja ali že uporablja pobude Zero Trust.

Ta sektor tudi najbolj verjame v učinkovitost DNS deny-and-allowlists. Te vrste seznamov lahko izboljšajo nadzor nad uporabniki, ki dostopajo do aplikacij, tako da dodajo filtre za preverjanje poizvedb strank. Filtriranje se izvaja v začetni fazi prometa, da se prepreči širjenje napadov po omrežju. 78 % anketirancev se strinja, da je varnost DNS kritična komponenta omrežne arhitekture, zlasti za varstvo podatkov, narašča pa tudi število zdravstvenih ustanov, ki se osredotočajo na spremljanje in analizo prometa DNS.

Kot v drugih panogah je tudi v zdravstvu varovanje infrastrukture DNS prepoznano kot ključno za zaščito zaposlenih. Pri uporabi domačega omrežja, VPN za povezavo z organizacijskimi storitvami ali DNS prek HTTPS (DoH), je šifriranje omrežnega prometa močno priporočljivo. Vendar pa so ustvarjalci poročila zaskrbljeni zaradi uporabe rešitev DoH s strani javnih strežnikov. Danes 44 % anketiranih zdravstvenih ustanov razmišlja o uporabi prejemanja DoH. Na ta način zagotavljajo, da vsak DNS promet uporabnikov ali naprav temelji na organizacijski infrastrukturi. To izboljša vidljivost in filtriranje ter izboljša varnost.

Globalno poročilo o grožnjah DNS priporoča, da institucije uporabljajo zasebno ločljivost DNS in varnostno infrastrukturo za povečanje varnosti oddaljenih zaposlenih. Za zaščito podatkov, aplikacij, strežnikov in uporabnikov poročilo poudarja pomen odprave izpadov v oblaku, ki so posledica napačne konfiguracije storitve v oblaku ter avtomatiziranega zagotavljanja in zagotavljanja virov IP. Predlaga se tudi, da DNS postane prva obrambna črta, ki bo ustavila širjenje napadov. Te metode se zanašajo na edinstveno vidnost omrežnega prometa na DNS, kar omogoča analizo vedenja in poročanje o grožnjah.

Kako lahko rešitve Infoblox pomagajo zaščititi?

Infoblox BloxOne™ Threat Defense omogoča zaščito tradicionalnih omrežij in IoT, SD-WAN ali clodu infrastruktur. Uporabniki se lahko hitreje odzovejo na grožnje in lahko delijo informacije o grožnjah s preostalim varnostnim ekosistemom. Zaščita vključuje tudi orodja SOAR (Security Orchestration, Automation and Response). To je prva hibridna rešitev, ki zagotavlja celovito zaščito, ki temelji na zaščiti DNS.

Z naprednimi tehnikami strojnega učenja in analitike lahko BloxOne ™ Threat Defense zazna in blokira eksfiltracijo podatkov, ki temelji na DNS, zlonamerno komunikacijo C&C in drugo zlonamerno programsko opremo. Rešitev lahko uporablja kategorizacijo spletnih vsebin in izvaja politike dostopa, da uporabnikom prepreči dostop do določenih kategorij spletnih vsebin in uveljavi nadzor vsebine.

Infoblox s to rešitvijo poveča prepoznavnost, avtomatizira odzive na incidente in pospeši preiskavo groženj. Ne samo, da zagotavlja 243 % več ROI-a (Return of Investement) – v skladu s poročilom  Forrester Report – The Total Economic Impact of Infoblox  BloxOne™ Threat Defense – lahko poveča ROI za obstoječe varnostne naložbe z izboljšano avtomatizacijo, povečano produktivnostjo, zmanjšano zlonamernostjo prometa in izmenjavo podatkov o grožnjah z drugimi dopolnilnimi varnostnimi rešitvami.