加强防御民族网络攻击的17个步骤
2020年1月9日晚上9:54
加强防御民族网络攻击的17个步骤
最近的世界大事,例如与伊朗的国际紧张关系日益加剧,使人们更加关注民族国家赞助的网络攻击对该国信息基础设施的威胁。据美国医疗保健信息安全主管协会最近发布的指南,尽管人们认为美国政府的网络防御能力很强,但人们越来越担心该国的医疗保健系统和个人提供者组织可能成为协同攻击的牺牲品。
的 出版物由AEHIS事件响应委员会准备的报告指出,“即使一个没有强大军事实力的国家也可能具有对IT基础设施造成破坏的潜力”。 “即使没有明确的针对性,医院也需要考虑在网络攻击的情况下其系统仍可能受到附带损害的影响。”
根据网络安全公司CynergisTek首席执行官Caleb Barlow的另一项评估,风险是巨大的,他预计伊朗网络参与者将发起破坏性的“刮水”攻击,以擦除并禁用美国大陆上的关键系统和削弱组织。他预测,由于医院和医疗机构的安全性相对较弱,以及它们带来的产生巨大成本和对公众的影响的机会,它们将成为首要目标。
AEHIS指南敦促,为做好准备,医院必须实施控制措施和计划,以应对政府资助的网络攻击,这17个步骤对于保护医疗机构的数据资产至关重要。
的 出版物由AEHIS事件响应委员会准备的报告指出,“即使一个没有强大军事实力的国家也可能具有对IT基础设施造成破坏的潜力”。 “即使没有明确的针对性,医院也需要考虑在网络攻击的情况下其系统仍可能受到附带损害的影响。”
根据网络安全公司CynergisTek首席执行官Caleb Barlow的另一项评估,风险是巨大的,他预计伊朗网络参与者将发起破坏性的“刮水”攻击,以擦除并禁用美国大陆上的关键系统和削弱组织。他预测,由于医院和医疗机构的安全性相对较弱,以及它们带来的产生巨大成本和对公众的影响的机会,它们将成为首要目标。
AEHIS指南敦促,为做好准备,医院必须实施控制措施和计划,以应对政府资助的网络攻击,这17个步骤对于保护医疗机构的数据资产至关重要。
Rawpixel.com-Fotolia
打补丁
如果可能出现网络攻击,确保为已知漏洞正确修补所有连接的系统至关重要。 AEHIS指出:“应该特别注意任何面向公众的系统以及用于连接到互联网或打开来自第三方的电子邮件的任何系统。” “对于无法再打补丁的旧系统,组织可能希望考虑将具有IPS功能的防火墙或(对于Web服务器而言)在资产前放置Web应用程序防火墙(WAF)作为提供级别的一种手段。虚拟修补程序。”
灾难恢复和业务连续性计划
所有组织都应审查并实践灾难恢复(DR)和业务连续性(BC)计划,以确保在断电,通信故障或其他关键基础设施丢失的情况下,他们可以操作和维护患者安全。 AEHIS建议:“还应该对备份系统进行测试,以确保正确备份所有数据并且可以成功实现还原功能。” “理想的情况是,如果公共交通,电网或关键基础设施的其他要素丢失导致员工空缺,则应对员工进行灾难恢复和卑诗省计划的交叉培训。”
地理封锁
医院应建立一份他们认为具有敌意的世界区域清单,并在防火墙和WAF中实施地理块,以阻止进出它们的网络流量。组织还可能要考虑在其垃圾邮件过滤器中实施地理区块。 AEHIS指出:“虽然攻击者可以使用VPN或代理绕过此类块,但此类地理块的存在确实需要攻击者付出更多的努力,并且通常会减少组织认为是结果的攻击次数,” AEHIS指出。
安全信息和事件管理警报
AEHIS的出版物建议,组织应将SIEM警报用作其日志管理和事件识别策略的一部分。 “组织可能希望自定义其SIEM规则集,以包括去往或来自任何他们认为具有敌对国家的网络流量或通信。”外部威胁情报还可以警告IP地址,URL或其他危害指标,并且可以馈入SIEM,以便为任何可疑的网络活动更快地发送警报。
nerthuz-stock.adobe.com
威胁情报
威胁情报至关重要-它可以帮助安全管理人员采取更积极的姿态,在威胁袭击环境之前就将阻止措施或其他控制措施落实到位。 AEHIS指南指出:“与SIEM和/或企业检测和响应结合使用时,(威胁情报)可以帮助您更好地识别可能已经面临的威胁。”
Helder Almeida-Fotolia
网络细分
网络分段可以减少勒索软件等攻击造成的破坏。网络越细分,横向移动就越困难,从而导致包含损坏的可能性更高。 AEHIS指南指出:“理想情况下,应该将网络分段做到零信任点,但至少必须将任何对患者安全至关重要的连接的医疗设备或其他系统分段。” “理想情况下,组织应该以最小化连接和端口的方式隔离医疗设备,以实现最佳保护。”
tashatuvango-stock.adobe.com
审计公开的资产和服务
医疗保健组织通常不完全了解公众面对的资产。安全主管应识别面向公众的资产,并询问是否需要外部连接或任何连接。 “如果资产不需要外部连接,则应限制此类访问。对于被认为对公众而言至关重要的资产,组织应确保对其进行全面修补和加固,并且不允许或暴露不必要的服务。” AEHIS建议。
Stefano Garau-Fotolia
连续网络恢复
医疗保健组织通常很难维护准确而全面的设备清单,因此他们应该实施连续的网络发现工具,以使其能够监视连接到其的新设备或未授权设备,然后对这些设备进行配置文件-这样做可使安全人员进行及时识别设备类型,操作系统,固件级别等。这些工具还可以将漏洞情报关联起来,以强调已知漏洞并确定如何将其最小化。
Photographee.eu-stock.adobe.com
事件响应计划和测试
组织需要确保他们具有最新的事件响应计划,并且该计划已经过测试。熟悉计划及其协议将有助于最大程度地提高响应的效率和功效,从而最大程度地减少事件的影响。该指南建议:“此外,如果IR计划所依赖的服务出现中断,则IR计划应提供偶然的通信模式。” AEHIS IR委员会做出了各种 桌上练习 可供医院和医疗机构使用。
伊万斯穆克
沙箱
随着攻击方法的数量迅速增加,组织拥有一种检测新恶意软件的方法比以往任何时候都更为重要。沙箱使安全主管可以执行Office文档,可执行文件,与外部组织交换的文件以及URL,以测试其是否具有潜在的恶意行为。例如,沙盒功能可以合并到垃圾邮件过滤器中以执行URL和附件,以及防火墙以执行传输文件。
应用白名单
具有此功能可防止任何未经明确批准的进程或可执行文件在组织中运行。 AEHIS敦促:“对于任何面向公众的系统以及认为其操作对患者安全至关重要的系统,都应认真考虑将应用程序列入白名单。”这是“使系统避免沦为受害者和网络攻击的一种高效方法。强烈建议将应用程序白名单与零信任网络分段原则结合在一起,这是一种高度推荐的安全体系结构。”
Kot63-stock.adobe.com
DNS沉陷
医疗保健组织拥有各种医疗,物联网和OT设备,通常无法运行端点安全套件来保护它们-因此,并非总是可能知道这些设备所面临的威胁。 DNS沉没技术提供了一种方法,可以识别可能试图与已知恶意软件或命令和控制域进行通信的设备。 AEHIS指南指出:“地理阻塞可以潜在地合并到DNS污水池中,并且可以轻松地为连接到污水池的任何设备设置SIEM警报。”
Leo Wolfert / leowolfert-Fotolia
两因素验证
能够访问组织网络的帐户凭据比通常理解的更为广泛。此外,持久性黑客可以通过网络钓鱼,社交工程,暴力密码和其他技术来获取凭据,因此,最终,您组织中的某人的凭据将受到破坏。 AEHIS说:“两因素身份验证通过确保受损的用户名和密码对不能保证攻击者的访问,大大减轻了这种风险。”对于任何形式的管理帐户或用于远程访问系统的帐户,特别建议使用此安全控制。”此外,所有外部访问都应使用安全的虚拟专用网络。
flashmovie-stock.adobe.com
膝关节
本地管理员密码解决方案(LAPS)是Microsoft创建的实用程序,用于对每台加入域的计算机的本地管理员的密码进行随机化处理。这可以帮助防止攻击在整个组织中的横向移动,从而减轻了攻击者用来从受感染机器转移到环境中另一个系统的许多常用“通过哈希”技术。因此,LAPS可以帮助减轻环境中威胁的分布。
欺骗
某些技术会在整个组织内留下“面包屑”,以诱使攻击者追求诱饵资产。它们使安全主管可以执行早期违规检测,因为在执行合法业务流程的过程中不会访问这些诱饵资产。而且,针对诱骗资产的攻击方法有助于识别IOC和其他可用于投射实际资产的信息。
企业检测与响应
该技术可以记录和分析端点计算机系统上发生的所有事件,从而帮助安全主管发现潜在的可疑活动并执行威胁搜寻。 EDR还可以进行详细的事件调查,从而增强了组织检测传统基于签名的防御可能会丢失的攻击的能力。
谢尔盖·尼文斯(Sergey Nivens)/谢尔盖·尼文斯(Sergey Nivens)-Fotolia
安全教育和意识
所有组织都应定期进行网络钓鱼教育和其他形式的安全意识教育。此外,IT管理人员应进行一些研究,并使用其威胁情报资源来确定威胁网络攻击的敌对国家所采用的常见攻击方法。然后,提供商组织可以提供精心制作的宣传活动,以突出这些攻击方法以及应注意的内容。
