美国医疗领域遭受网络攻击的警示

关键要点

在2020年，随着疫情席卷全国，美国大部分地区进入封闭状态后不久，国土安全部和联邦调查局向美国医疗机构发出了严正警告，称其收到了“可信的信息”，警示美国医院及医疗提供者面临迫在眉睫的网络犯罪威胁。

不久后，国家政府发出警告后，数十家医院遭遇了勒索软件攻击，导致运营受阻，严重影响了患者接受关键医疗服务的能力。这些攻击不仅在历史上最严重的疫情之际对医疗资源造成了毁灭性的打击，也暴露了医疗行业在网络安全实践中的多项不足。面对攻击，医疗网络管理者迅速面临一个严峻的任务：提高其网络和数字资产的安全性。

评估现状以制定主动响应措施

我们给该行业客户的初步建议是，从高层视角评估此次事件，通过一系列问题来分析具体情况。

发生了什么？ 行业为何会处于这种境地？可能是对威胁环境变化意识不足，或者没有为新出现的威胁做出规划。是否有内部参与者的证据，还是这些攻击完全是外部恶意行为？

事件何时发生背后的时间线是什么？ 很多恶意网络攻击是多周或多月逐步进行的，而医疗行业的勒索软件攻击在一个相对较短的时间窗口内，针对数十家机构展开。对此问题的分析需要追溯：这波攻击到底持续了多久？是长期性、系统性的问题，还是急性、一时的情况？影响范围有多大多少设备受到了影响，哪些类型的设备受到了干扰？

行业可以采取什么措施以防止此事件再次发生？ IT安全管理员有一系列工具可以立即增强网络防御，面对类似的勒索软件攻击。可以更新防火墙规则，实施DNS响应政策区RPZ的方法来过滤已知的恶意全球标识符，并修补过期应用。但他们需要采取哪些额外措施呢？

安全专家必须拼凑出一个尽可能全面和准确的事件回顾，以便实施更有效的网络防御。如果IT安全团队希望采取更积极的措施，他们需要更新安全策略。在技术层面上，现代化始于提高可见性、威胁情报以及基于情报进行行动的能力。组织无法保护他们看不见的事物。

医院在面临网络攻击时正好处于许多机构转向非核心管理人员和商业员工远程办公的时期，这恰非巧合。远程办公引入了一系列脆弱性，员工开始通过个人设备和不安全的家庭WiFi访问网络资源。之前IT管理员能够查看和跟踪防火墙内的设备和用户，而现在用户则在远程登录，管理员对于他们的设备和活动知之甚少。

对携带者设备的连接状况及其操作缺乏可见性，成为许多受影响设施的关键短板。可见性对安全的重要性到底有多少呢？根据Forrester的一项调查，超过400位全球IT领导者中，有97的人表示他们最近已投资或计划投资新的可见性工具。然而，在安全圈中，很少能找到这种几乎一致的共识。约81的调查决策者意识到，更好的网络可见性将提高他们的安全能力。增强的网络可见性还提供许多其他好处