Kapsamlı, entegre ve otomatik siber güvenlik tahlillerinde dünya önderi Fortinet, ağ kesintilerinin insan ömrünü tehdit eden durumlara yol açabileceği sıhhat bölümünde tehdit istihbaratının değerine değinerek sıhhat dalını maksat alan tehditleri açıkladı. Sıhhat sistemlerinde teknolojiye bağımlılık ve irtibatlı aygıtların giderek artması direkt hastaları ve hasta bakımını da etkiliyor. Ayrıyeten, ortalama bir sıhhat kurumunun bir siber ihlalin yarattığı hasarları gidermesi 1,4 milyon dolara mal olurken, hastanenin mali kaynakları, hasta tecrübesinin en kıymetli iki bileşeni olan hastane prestiji ve hastaneye duyulan itimat önemli halde ziyan görüyor.
Sağlık dalını amaç alan tehditler
Güvenlik gruplarının, başka dalları gaye aldığı düşünülen tehditler dahil olmak üzere tüm değerli tehdit trendlerine karşı hazırlıklı olması gerekirken, Fortinet’in 2019 1. Çeyreğinde topladığı bilgileri incelediği Tehdit Raporu’nda öne çıkan tehdit tiplerinin, özel olarak sıhhat kesimini de etkileyebildiği öne çıktı.
Fortinet, bu tehditler ortasında öne çıkan şu üç tehdide karşı sıhhat bölümünde çalışan BT ve güvenlik takımlarını uyarıyor:
Gizlenmek için yasal görünen araçlardan faydalanma
Bu taarruz çeşidi 2019’un 1. çeyreğinde sık sık görülen bir hücum tekniği olarak ortaya çıkıyor. Siber hatalılar, PowerShell üzere, maksat aldıkları sistemlerde evvelce heyeti olan ve hücum başlatmak için istismar edilebilen araçlardan faydalanıyor. Bu yaklaşımda, sisteme bulaştırılan ziyanlı kod onaylanmış bir sürecin bir modülü olarak göründüğü için atlatma tekniklerini kolaylaştırıyor, böylelikle güvenlik grupları tarafından tespit edilmesi ve tanımlanması zorlaşıyor. Windows aygıtlarda konseyi olan PowerShell bu taarruz çeşitlerinin en tanınan amaçlarından biri olarak kabul ediliyor. Siber hatalılar, bilgileri şifrelemek ve ağ boyunca yanal hareketlerini sürdürerek fidye talep etmek için PowerShell’den faydalanıyor.
Özellikle internete bağlı IoT aygıtı sayısı düşünüldüğünde, sıhhat bölümündeki BT takımlarının bu akın usulünden haberdar olmaları gerekiyor. Sıhhat sistemleri, daima olarak, pek birçok güvenlik düşünülerek tasarlanmamış olan hasta tedavilerinin bir modülü olan yeni kontaklı araçların kurulumunu yapıyor. Bu tehditten korunmak için, BT takımlarının hiçbir evvelden heyeti aracın ele geçirilmediğinden ve böylelikle ağda bir açık kapı bırakılmadığından emin olmak için aygıtlarda tertipli denetimler uygulaması gerekiyor.
Özel amaçlı fidye yazılımlar
Bu yıl gerçekleşen yüksek profilli fidye yazılım ataklarının gelişmiş seviyede hedeflendiği ve planlandığı görülüyor. Aslında, LockerGoga olaylarının birinde, saldırganlar, ziyanlı yazılımın uygulanmasını sağlayan imtiyazlı kimlik bilgilerine erişim için detaylı inceleme ve hazırlık sürecini çoktan tamamlamıştı. Bu kimlik bilgileri sayesinde, asgarî seviyede atlatma ve gizleme taktiği kullanarak hücum yürütebilmişlerdi. Bu durum, bu tekniği kullanan saldırganların çoktan ağ savunmalarını değerlendirdiklerini ve bu tedbirleri fonksiyonsuz kıldıklarını gösteriyor.
Mümkün olduğunca çok sayıda belgeyi şifreleyen ve asgarî seviyede tamirat talihi bırakan Anatova da 1.çeyrekteki fidye yazılımları ortasında öne çıkıyor. Anatova, saldırganların, spesifik olarak seçtikleri ağlara odaklanmak için büsbütün talihe dayalı bir ziyanlı yazılım dağıtım modelinden uzaklaştıklarını gösteriyor.
Fortinet uzmanları, sıhhat sistemlerinin bu hücumları akılda tutarak, ziyanlı yazılım savunmalarını güçlendirmeleri ve halihazırda bilgi yedeklerinin olduğundan emin olmaları gerektiğini belirtiyor. Büyük olasılıkla bilgi kurtarımı ve süreklilik süreçlerindeki eksiklikler ve yetersiz planlama sebebiyle çalınan datalar için daha fazla para ödeyeme hazır olan hastanelerin fidye yazılım hücumları için özel amaçlar olduğu biliniyor. Fidyenin ödenmesiyle geri alınan data ise bozulmuş ya da eksik olabiliyor ve böylelikle hasta güvenliği üzerinde potansiyel bir tesir yaratıyor.
Ele geçirme öncesi ve sonrası aksiyon trafiği
Saldırganların kullandığı web sitesi cinslerini ve erişim sağladıkları siber vefat zincirinin fazını pahalandırmak, siber saldırganların hareketlerini nasıl yapılandırdıklarına dair öngörüler ortaya koyuyor. Bu sebeple ele geçirme aksiyonu öncesi ve sonrasındaki gelişmelerin kaydedilmesi kıymet arz ediyor. Ele geçirme öncesi hareketlerin, çalışanların sık sık tuzağa düştüğü iş günlerinde gerçekleşme mümkünlüğünün üç kat daha fazla olduğu görülüyor. Ele geçirme sonrası hareketlerin ise kullanıcı arayüzünün çok az ya da hiç gerekmemesi sebebiyle, iş günleri ve hafta sonlarında istikrarlı bir biçimde gerçekleştiği tespit ediliyor.
Sağlık dalında güvenlik için segmentasyon şart
Bu gelişmeler, segmentasyona dair değerli bir noktayı akıllara getiriyor. Sıhhat bölümünün her daim çalışan bir dal olduğu biliniyor. Örneğin, acil servis ağının hafta sonu dahil olmak üzere daima çalışıyor olması, bir atak sebebiyle çalışmasının durmaması ya da yavaşlamaması gerekiyor. Öte yandan, her vakit çalışır durumda olması gerekmeyen departmanların da olduğu biliniyor. Örneğin bu türlü bir departmanda, mesai müddeti dışında bir aygıta giriş yapılması bir akın sinyali olabiliyor. Taarruzları başlatmak, genişletmek ya da ağda yatay hareket etmek için sistemsiz çalışma saatlerinde çalışan ele geçirilmiş aygıtlar, acil servisteki üzere son derece gerekli olan ağları etkileyebiliyor. Bu sebeple, sıhhat sistemlerinin ek bir savunma katmanı ekleyerek değerli ağlarda segmentasyona başvurmaları ve ne maksatla kullanıldıkları anlaşılana kadar olağandışı davranışlar gösteren aygıtları izole etmeleri öneriliyor.