Steeds slimmere malware, mobiele medewerkers en de opkomst van cloud-diensten zorgen voor nieuwe uitdagingen in it-beveiliging in de gezondheidszorg. Maar het is lastig cybercriminelen één stap voor te blijven en te voorkomen dat uw netwerk wordt geïnfecteerd. Cyberaanvallen evolueren snel en er is een steeds groter gebrek aan it-experts. Cloud-security kan ziekenhuizen helpen bij het moderniseren van hun bescherming.
Sinds de Loki-malware in 2016 hebben ransomware-aanvallen zich ontwikkeld tot een winstgevende business voor cybercriminelen. Dergelijke kwaadaardige programma’s, ook wel encryptie-trojans genoemd, maken gebruik van versleuteling om toegang tot gegevens of een heel netwerk te blokkeren. Waarbij men pas weer wordt toegelaten na betaling van losgeld. Wanneer de it-systemen in een zorginstelling zijn geïnfecteerd met ransomware, betekent dit dat patiëntgegevens niet langer toegankelijk zijn en er hoge sommen losgeld worden geëist. Hierdoor lopen de patiëntenzorg en werkzaamheden van de instelling uiteindelijk risico.
We zien deze gerichte aanvallen op zorginstellingen sterk toenemen. In Nederland zijn de afgelopen jaren minstens vijftien ziekenhuizen getroffen door ransomware. Ook wereldwijd is het aantal gerapporteerde gevallen sterk toegenomen, vooral in de afgelopen twaalf maanden.
De cloud-sandbox
Een enkele geïnfecteerde pc in een ziekenhuis is vaak voldoende om het hele netwerk van de instelling tot stilstand te brengen. In het geval van ransomware kan dit rampzalige gevolgen hebben voor de diensten. Het primaire doel van een it-beveiligingsafdeling in ziekenhuizen moet daarom gericht zijn op het proactief voorkomen van de initiële infectie, bij deze ‘patient zero’. Een cloud-gebaseerde sandbox, in combinatie met een beveiligings-proxy, vormt een robuuste bescherming tegen dergelijke aanvallen. Deze biedt realtime malware-controle van al het inkomende en uitgaande dataverkeer.
Een dergelijke aanpak ligt één stap voor op traditionele, hardware-gebaseerde, on-premises beveiligingsconcepten, vanwege de mogelijkheid al het dataverkeer inline te scannen in realtime. Een cloud-gebaseerde sandbox kan een verdacht bestand in quarantaine plaatsen en blokkeren voordat het wordt gedownload. Wanneer tijdens de gedragsanalyse in quarantaine een bestand inderdaad schadelijk blijkt, kan de samenwerking tussen sandbox en proxy elke ‘primaire besmetting’ voorkomen door de schadelijke code te blokkeren.
Een wereldwijde security-cloud zorgt er automatisch voor dat elke andere gebruiker wereldwijd ook wordt beschermd als een nieuwe malware-sample ergens wordt geïdentificeerd. Zo vindt er een onmiddellijke update plaats van de malware-signatures in de database van het wereldwijde beveiligingsplatform – zonder handmatige interactie – en wordt een golf van infecties voorkomen. De elastische schaalbaarheid en de bijbehorende prestaties van de cloud zijn ook geschikt voor het decrypten, onderzoeken en re-encrypten van ssl/tls-dataverkeer om te voorkomen dat aanvallers zich daar verbergen en onopgemerkt blijven.
Legacy hardwarebeveiligingsomgevingen inspecteren geen versleuteld netwerkverkeer om problemen met netwerkprestaties te voorkomen, maar dit verhoogt het risico op besmetting. De nieuwste versie van het HTTPS-protocol voor beveiligde verbindingen, transport layer security (tls) 1.3, heeft tot gevolg dat het overgrote deel van het internetverkeer nu versleuteld wordt verzonden (meer dan 90 procent van het wereldwijde verkeer naar Google is al versleuteld volgens het Google Transparantierapport). Aanvallers profiteren van deze ontwikkeling en verbergen hun schadelijke software binnen deze versleutelde gegevensstromen, wetende dat veel organisaties geen uitgebreide screening uitvoeren op verborgen schadelijke code.
Therapie
Het automatiseren van beschermende maatregelen wordt steeds belangrijker voor ziekenhuizen, zeker gezien het tekort aan it-beveiligingsspecialisten. De gezondheidszorg hecht veel belang aan de hoogst mogelijke beveiliging, maar moet het vaak zonder gekwalificeerd personeel doen. Daarom is automatisering via Security-as-a-Service een welkome remedie. Een cloud-gebaseerde security-aanpak, die ook gebruikmaakt van big data-analyse, vermindert de gebruikelijke complexiteit van het samenspel tussen verschillende traditionele hardware-apparaten, doordat het beveiligingsoplossingen binnen het cloudplatform centraliseert. Een dergelijke op services gebaseerde bundel van beveiligingsmodules uit de cloud omvat zaken zoals url-filtering, next-gen firewall, gedragsanalyse, webproxy, ssl-scanning of loganalyse, op geïntegreerde wijze. Coördinatie tussen de modules maakt een extern beveiligingsinformatie- en eventmanagementsysteem (siem) overbodig. Valse alarmen kunnen worden vermeden en de cloud-gebaseerde componenten correleren de logs met elkaar zonder de snelheid van het systeem te beïnvloeden.
Het gebruik van een dergelijk servicemodel reduceert de beheerinspanningen van de security-hardware. De serviceprovider maakt automatisch tot 125.000 updates per dag – een aanzienlijk hoger aantal dan handmatig mogelijk zou zijn. Dit elimineert de fouten van handmatig beheer en eventuele openstaande gaten als gevolg van achterblijvende updates.
Conclusie
Bij een hardware-gebaseerde beveiligingsinfrastructuur worden de gegevens van verschillende componenten, zoals virusscanners, url-filtering en apt-detectie, vaak in een siem-systeem ingevoerd, omdat de afzonderlijke apparaten niet met elkaar kunnen communiceren. Dit zorgt voor een complex analyseproces, wat tevens valse alarmen veroorzaakt.
Omgekeerd voegt een cloud-securitydienst de logs van verschillende beveiligingsfuncties automatisch samen, zodat er niet alleen een duidelijk alarm is als reactie op malware, maar ook de mogelijkheid om de schadelijke code onmiddellijk te blokkeren. Als een ziekenhuis bijvoorbeeld wordt aangevallen, detecteren de beveiligingscomponenten binnen het geïntegreerde cloud-platform wat er in het netwerk gebeurt en zorgen onmiddellijk voor tegenmaatregelen – in realtime.
De infectie van ‘patient zero’ wordt daarmee gelijk de kop ingedrukt!