Článek
Komentář si také můžete poslechnout v audioverzi.
Česká republika v červenci zažila další úspěšný kybernetický útok na nemocnici. Protože zdravotnická zařízení jsou jedním z nejčastějších cílů kybernetických útoků, je jen otázkou času, kdy se bude podobný případ opakovat. Pojďme se proto podívat na to, jak útoky na zdravotnická zařízení probíhají, co se při nich děje a jak je možné zmírnit rizika s tím spojená.
Základní modus operandi je u ramsomwarových útoků vždy stejný. Útočníci si o napadeném subjektu nejprve získávají informace, následně se dostanou do interních systémů, zde se nějakou dobu rozkoukávají a získávají další informace a privilegia a následně ve vhodnou chvíli přistoupí k samotnému zašifrování dat následovanému žádostí o výkupné.
Před samotným útokem se jednotlivé organizované skupiny snaží získat o zdravotnickém zařízení co nejvíce informací, ať už na dark webu, nebo z veřejně dostupných zdrojů. Na jejich základě potom přizpůsobují svůj útok na míru dané organizaci. V této fázi je však prevence poměrně složitá a poměr vynaložených nákladů a jejich přínosů je většinou negativní.
Do sítě se útočníci dostávají přes samotné uživatele, a to formou spear phishingu, tedy personalizovaného phishingového útoku. Jejich nebezpečí spočívá v tom, že vypadají jako součást pracovní rutiny oběti, proto jsou účinné i u lidí s vyšší mírou kybernetické gramotnosti.
Phishing je útok, při kterém útočníci kradou citlivé informace, jako jsou přihlašovací údaje, hesla pod záminkou důvěryhodné komunikace od instituce, sociální sítě či známé osoby. K tomu využívají falešné e-maily, SMS zprávy, podvodné webové stránky nebo dokonce telefonní hovory, které na první pohled vypadají autenticky.
Mezi další časté vstupní brány do interní sítě patří známé zranitelnosti, například neaktualizované verze operačních systémů či jednotlivých programů a používaných aplikací, případně napadení systémů dodavatele, který má přístup do některých částí sítě. Těmto rizikům lze do značné míry předcházet klasickým skenem zranitelností. Jde o poměrně jednoduchý automatizovaný test, který porovnává informace o existujících zranitelnostech se stavem interní sítě. Pokud srovnáme cenu a efektivitu takových testů, tak se řadí mezi ty účinnější nástroje, kterými lze riziko kybernetického útoku snížit. Samozřejmě, pokud se s nálezy adekvátně pracuje.
Rada: Neustále aktualizujte své programy, aplikace a operační systémy
Jakmile se útočník dostane do sítě, následuje spuštění škodlivého kódu a snaha o jeho zakotvení v interní síti a následnou úpravu tak, aby obešel jednotlivá opatření na její ochranu. Útočníci u zdravotnických zařízení využívají široké spektrum známých technik, které jim umožní dosáhnout tohoto cíle, z nichž každá má svá specifika. U každé z nich zároveň existují různé možnosti a techniky, jak se jim mohou zdravotnická zařízení interně bránit.
Jedním z jednoduchých a celkem komplexních řešení jsou v tomto případě EDR/XDR (Endpoint Detection and Response) aplikace. Ty monitorují chování koncových bodů (nejčastěji počítačů, ale i mobilních zařízení, serverů apod.) a v případě, že se chovají nestandardně, samy reagují nebo upozorní správce sítě nebo dohledové centrum, kde mohou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout.
Rada: Útočníky pomůže odhalit automatická analýza chování jednotlivých zařízení
Další fází ransomwarového útoku je Credential Access neboli sběr jakýchkoli přístupů, Dicovery (prozkoumání sítě) a Lateral Movement, tedy přechod na další klíčové prvky jako servery apod. Z naší zkušenosti bohužel vyplývá, že jakmile se u zdravotnických zařízení útočníci dostanou až ke kompromitaci privilegovaných účtů, tedy účtů, které mají v síti výrazně vyšší pravomoci než běžní uživatelé, jejich další cesta už je poměrně jednoduchá. Řada interních sítí totiž bývá poměrně plochá, to znamená, že jednotlivá zařízení spolu mohou jakkoli komunikovat. Útočníkovi tak stačí získat kontrolu nad jedním zařízením a má v zásadě vyhráno.
Proto je důležité, aby interní síť byla vhodně segmentovaná a aby existovala jasná pravidla pro to, jaké segmenty spolu jakým způsobem mohu interagovat a případně, jestli jde o jednosměrnou či obousměrnou komunikaci. Součástí tohoto kroku by mělo být i definování toho, jací uživatelé se mohou přihlásit k jakým částem sítě. Speciálním případem je potom oddělení zastaralých koncových bodů, například počítačů se starými operačními systémy. Ty by měly být od zbytku sítě pokud možno odděleny co nejvíce. Podobné počítače přitom nacházíme ve zdravotnických zařízeních zcela běžně.
Rada: Nastavte si pravidla pro to, kdo má z jakého počítače přístup do jaké části sítě
Jakmile se útočníci natrvalo a bez odhalení zabydlí v napadené síti, přichází finální část útoku. Tou je často sběr veškerých dat z provozu zdravotnického zařízení, jejich následné stažení (exfiltrace) a finální útok pomocí programu, který zašifruje veškerá data v síti. Zajímavé je, že u zdravotnických zařízení existují až překvapivě jednoduché metody, jakým způsobem útočníci data stáhnou k sobě. U útoků vedených v databázi MITRE ATT&CK probíhala exfiltrace často přes Dropbox. Proto by stálo za úvahu, zda používání obdobných úložišť v pracovním prostředí zakázat a nabídnout uživatelům bezpečnou alternativu.
Rada: Data ze zdravotnických zařízení útočníci stahují přes Dropbox
Pokud všechna opatření selžou a útočníci přesto data zašifrují, je důležité mít dobře nastavené zálohování dat. „Toto je jeden z klíčových bodů a je potřeba, aby na to všechny organizace kladly opravdu velký důraz. Všechna výše zmíněná opatření sice snižují riziko úspěšného útoku, ale nikdy ho zcela neeliminují. Dobrá a odolná záloha dat tak nakonec může rozhodnout o tom, jestli a jak rychle se podaří opět zprovoznit všechny systémy a kolik to bude nakonec všechno stát.
Funkční záloha proti ransomwaru musí splňovat celou řadu pravidel. Tradiční pravidlo 3-2-1, tedy 3 různé kopie dat na 2 různých typech úložišť, přičemž 1 je v jiné lokalitě, je třeba nejen dodržovat, ale také rozšířit zejména o požadavek, aby alespoň jedna záloha nešla technicky nijak pozměnit. Naštěstí jak v datových centrech, tak v cloudu již existují technologie, jak tuto neporušitelnost záloh zajistit. Základem je ukládání záloh na denní bázi – každý den samostatná záloha. Protože útočníci se mohou v síti pohybovat klidně i rok, je třeba myslet na to, že obnova systému z týden staré zálohy ho obnoví včetně kompromitovaných součástí. Útočník potom může svoji akci kdykoli zopakovat. Proto je třeba, aby bylo možné se vrátit do stavu před samotným napadením systému.
Rada: Když vše selže, je potřeba mít neprůstřelnou a kvalitní zálohu
Ochrana před kybernetickými útoky je komplexní a nikdy nekončí. Ve světě omezených zdrojů (jak lidských, tak finančních) je však důležité každé opatření, které útočníkům ztíží jejich snahu. Ať již jde o účinné vzdělávání uživatelů a skenování zranitelností ve fázi před samotným útokem, či o vhodné řízení privilegovaných účtů a nastavení bezpečnostních politik, tedy procesů, jak má síť fungovat, co v ní jednotliví uživatelé a zařízení smějí či nesmějí dělat. Nezbytná je segmentace sítě (rozdělení sítě na menší, nezávislé části) silná ochrana koncových počítačů a kvalitní bezpečnostní monitoring. Když přesto všechno selže, je zásadní kvalitní záloha odolná vůči ransomware.
Jako zdroj dat pro tuto analýzu byla využita veřejně přístupná databáze největších kybernetických útoků MITRE ATT&CK.
