Kapsamlı, entegre ve otomatik siber güvenlik tahlillerinde dünya başkanı Fortinet, ağ kesintilerinin insan hayatını tehdit eden durumlara yol açabileceği sıhhat kesiminde tehdit istihbaratının ehemmiyetine değinerek sıhhat dalını maksat alan tehditleri açıkladı. Sıhhat sistemlerinde teknolojiye bağımlılık ve irtibatlı aygıtların giderek artması direkt hastaları ve hasta bakımını da etkiliyor. Ayrıyeten, ortalama bir sıhhat kurumunun bir siber ihlalin yarattığı hasarları gidermesi 1,4 milyon dolara mal olurken, hastanenin mali kaynakları, hasta tecrübesinin en değerli iki bileşeni olan hastane prestiji ve hastaneye duyulan inanç önemli biçimde ziyan görüyor.
Sağlık bölümünü maksat alan tehditler
Güvenlik gruplarının, öbür kesimleri maksat aldığı düşünülen tehditler dahil olmak üzere tüm değerli tehdit trendlerine karşı hazırlıklı olması gerekirken, Fortinet’in 2019 1. Çeyreğinde topladığı dataları incelediği Tehdit Raporu’nda öne çıkan tehdit tiplerinin, özel olarak sıhhat bölümünü de etkileyebildiği öne çıktı.
Fortinet, bu tehditler ortasında öne çıkan şu üç tehdide karşı sıhhat bölümünde çalışan BT ve güvenlik takımlarını uyarıyor:
Gizlenmek için yasal görünen araçlardan faydalanma
Bu atak tipi 2019’un 1. çeyreğinde sık sık görülen bir taarruz tekniği olarak ortaya çıkıyor. Siber hatalılar, PowerShell üzere, maksat aldıkları sistemlerde evvelden konseyi olan ve atak başlatmak için istismar edilebilen araçlardan faydalanıyor. Bu yaklaşımda, sisteme bulaştırılan ziyanlı kod onaylanmış bir sürecin bir modülü olarak göründüğü için atlatma tekniklerini kolaylaştırıyor, böylelikle güvenlik grupları tarafından tespit edilmesi ve tanımlanması zorlaşıyor. Windows aygıtlarda konseyi olan PowerShell bu akın tiplerinin en tanınan amaçlarından biri olarak kabul ediliyor. Siber hatalılar, dataları şifrelemek ve ağ boyunca yanal hareketlerini sürdürerek fidye talep etmek için PowerShell’den faydalanıyor.
Özellikle internete bağlı IoT aygıtı sayısı düşünüldüğünde, sıhhat kesimindeki BT takımlarının bu taarruz tekniğinden haberdar olmaları gerekiyor. Sıhhat sistemleri, daima olarak, pek birçok güvenlik düşünülerek tasarlanmamış olan hasta tedavilerinin bir kesimi olan yeni ilişkili araçların kurulumunu yapıyor. Bu tehditten korunmak için, BT takımlarının hiçbir evvelce şurası aracın ele geçirilmediğinden ve böylelikle ağda bir açık kapı bırakılmadığından emin olmak için aygıtlarda tertipli denetimler uygulaması gerekiyor.
Özel gayeli fidye yazılımlar
Bu yıl gerçekleşen yüksek profilli fidye yazılım taarruzlarının gelişmiş seviyede hedeflendiği ve planlandığı görülüyor. Aslında, LockerGoga hadiselerinin birinde, saldırganlar, ziyanlı yazılımın uygulanmasını sağlayan imtiyazlı kimlik bilgilerine erişim için detaylı inceleme ve hazırlık sürecini çoktan tamamlamıştı. Bu kimlik bilgileri sayesinde, en az seviyede atlatma ve gizleme taktiği kullanarak hücum yürütebilmişlerdi. Bu durum, bu yolu kullanan saldırganların çoktan ağ savunmalarını değerlendirdiklerini ve bu tedbirleri fonksiyonsuz kıldıklarını gösteriyor.
Mümkün olduğunca çok sayıda belgeyi şifreleyen ve en az seviyede tamir talihi bırakan Anatova da 1.çeyrekteki fidye yazılımları ortasında öne çıkıyor. Anatova, saldırganların, spesifik olarak seçtikleri ağlara odaklanmak için büsbütün bahta dayalı bir ziyanlı yazılım dağıtım modelinden uzaklaştıklarını gösteriyor.
Fortinet uzmanları, sıhhat sistemlerinin bu akınları akılda tutarak, ziyanlı yazılım savunmalarını güçlendirmeleri ve halihazırda bilgi yedeklerinin olduğundan emin olmaları gerektiğini belirtiyor. Büyük olasılıkla bilgi kurtarımı ve süreklilik süreçlerindeki eksiklikler ve yetersiz planlama sebebiyle çalınan datalar için daha fazla para ödeyeme hazır olan hastanelerin fidye yazılım taarruzları için özel gayeler olduğu biliniyor. Fidyenin ödenmesiyle geri alınan data ise bozulmuş ya da eksik olabiliyor ve böylelikle hasta güvenliği üzerinde potansiyel bir tesir yaratıyor.
Ele geçirme öncesi ve sonrası aksiyon trafiği
Saldırganların kullandığı web sitesi tiplerini ve erişim sağladıkları siber vefat zincirinin fazını pahalandırmak, siber saldırganların hareketlerini nasıl yapılandırdıklarına dair öngörüler ortaya koyuyor. Bu sebeple ele geçirme hareketi öncesi ve sonrasındaki gelişmelerin kaydedilmesi ehemmiyet arz ediyor. Ele geçirme öncesi hareketlerin, çalışanların sık sık tuzağa düştüğü iş günlerinde gerçekleşme mümkünlüğünün üç kat daha fazla olduğu görülüyor. Ele geçirme sonrası hareketlerin ise kullanıcı arayüzünün çok az ya da hiç gerekmemesi sebebiyle, iş günleri ve hafta sonlarında istikrarlı bir halde gerçekleştiği tespit ediliyor.
Sağlık bölümünde güvenlik için segmentasyon şart
Bu gelişmeler, segmentasyona dair değerli bir noktayı akıllara getiriyor. Sıhhat dalının her daim çalışan bir dal olduğu biliniyor. Örneğin, acil servis ağının hafta sonu dahil olmak üzere daima çalışıyor olması, bir akın sebebiyle çalışmasının durmaması ya da yavaşlamaması gerekiyor. Öte yandan, her vakit çalışır durumda olması gerekmeyen departmanların da olduğu biliniyor. Örneğin bu türlü bir departmanda, mesai mühleti dışında bir aygıta giriş yapılması bir hücum sinyali olabiliyor. Taarruzları başlatmak, genişletmek ya da ağda yatay hareket etmek için sistemsiz çalışma saatlerinde çalışan ele geçirilmiş aygıtlar, acil servisteki üzere son derece gerekli olan ağları etkileyebiliyor. Bu sebeple, sıhhat sistemlerinin ek bir savunma katmanı ekleyerek değerli ağlarda segmentasyona başvurmaları ve ne gayeyle kullanıldıkları anlaşılana kadar olağandışı davranışlar gösteren aygıtları izole etmeleri öneriliyor.
