Слабая безопасность искусственного интеллекта подвергает медицинские устройства `Интернета вещей` риску кибератак

Распространение медицинских устройств для "Интернета вещей", наряду с нераспределёнными сетями, недостаточным контролем доступа и расчётом на устаревшие системы, открыли виды атаки на уязвимости, которая может быть использована злоумышленниками для хищения персональной идентифицирующей информации (ПИИ) и охраняемой медицинской информации (ОМИ), в дополнение к нарушению процессов оказания медицинской помощи. Эти результаты, опубликованные Vectra AI Inc. (Сан-Хосе, штат Калифорния, США) в отчете Vectra 2019 Spotlight Report on Healthcare, подчеркивают важность использования машинного обучения и искусственного интеллекта (ИИ) для обнаружения скрытых угроз в корпоративных ИТ-сетях до того, как киберпреступники получат шанс шпионить и похищать данные.

Отчет Vectra AI, где рассматривалось использование ИИ для обнаружения и реагирования на кибератаки в режиме реального времени, основан на наблюдениях и данных из отраслевого отчета о поведении атакующего (Attacker Behavior Industry Report) в редакции RSA Conference Edition 2019, который раскрывает поведение и тенденции на примере сетей, состоящих из 354 предпринимательских медицинских организаций и восьми других отраслей. Согласно отчету, пробелы в политиках и процедурах могут привести к ошибкам со стороны медицинских работников, таким как неправильная обработка и хранение файлов пациентов, что является уязвимым местом для киберпреступников, нацеленных на глобальные организации и ищущих уязвимости для использования.

В отчете было установлено, что скрытые туннели HTTPS были наиболее распространенным методом, используемым злоумышленниками для сокрытия связей взаимодействия в медицинских сетях. Этот трафик представляет собой внешнюю связь с участием нескольких сеансов в течение длительных периодов времени, которые выглядят как обычный зашифрованный веб-трафик. Злоумышленники в основном использовали скрытые туннели системы доменных имен (DNS), чтобы скрыть поведение, связанное с извлечением данных в медицинских сетях. Сетевое поведение, согласующееся с извлечением данных, также может быть вызвано средствами ИТ и средствами безопасности, которые используют связь DNS.

Наблюдается также всплеск деятельности, совместимый с тем, что злоумышленники проводят внутреннюю разведку в форме внутреннего сканирования даркнет и сканирования учетной записи Microsoft Server Message Block (SMB). Внутреннее сканирование даркнет происходит, когда внутренние хост-устройства ищут внутренние IP-адреса, которые не существуют в сети. Сканирование учетных записей SMB происходит, когда хост-устройство быстро использует несколько учетных записей через протокол SMB, который обычно задействуется для обмена файлами.

Несколько организаций здравоохранения были свидетелями атак программ-вымогателей в последние годы, хотя в отчете было установлено, что подобные угрозы были не такими распространенными во второй половине 2018 года. Тем не менее по-прежнему важно отлавливать кибератаки программ-вымогателей до того, как файлы будут зашифрованы, а клинические процессы нарушены.

"Медицинские организации испытывают трудности с управлением устаревшими системами и медицинскими устройствами, которые традиционно имеют слабые средства контроля безопасности, но в то же время предоставляют критически важный доступ к информации о состоянии здоровья пациентов, — сказал руководитель отдела аналитики безопасности в Vectra Крис Моралес (Chris Morales). — Улучшение прозрачности поведения сети позволяет организациям здравоохранения управлять рисками устаревших систем и новых технологий, которые они используют".

Ссылки по теме:
Vectra AI