Gesundheitswesen

Im Visier der Cyberkriminellen

Seite: 2/2

Netzwerkinternes ­Aufklärungsverhalten

Angreifer sind zunächst immer erst einmal daran interessiert, die unbekannte Umgebung auszuforschen. Vectra beobachtete einen Anstieg der internen Auskundschaftung im Gesundheitswesen, zurückzuführen auf interne Darknet-Scans und Scans von Micro­soft-Server-Message-Block (SMB)-Accounts. Interne Darknet-Scans erfolgen, wenn interne Host-Geräte nach internen IP-Adressen suchen, die im Netzwerk nicht vorhanden sind. SMB-Account-Scans treten auf, wenn ein Host-Gerät schnell mehrere Konten über das SMB-Protokoll verwendet, das typischerweise für die Dateifreigabe verwendet wird.

Seitlich im Netzwerk bewegen

Eindringlinge bewegen sich seitlich im Netzwerk und versuchen immer mehr Zugriffsrechte zu erlangen. Seitliche Bewegungen treten auf, wenn angeschlossene Systeme und Geräte über das Netzwerk miteinander kommunizieren. Das Gesundheitswesen ist hierbei durch veraltete Überwachungsmaßnahmen und unsichere Protokolle wie FTP gefährdet, zudem sind Remote-Desktops weit verbreitet.

Ebenso erleichtern es smarte medizinische Geräte den Angreifern, sich seitlich in einem Gesundheitsnetzwerk zu bewegen und über unkritische und kritische Subsysteme zu springen, bis sie Wege finden, ihre bösartigen Vorhaben auszuführen. Medizinische Geräte können auch als Plattform genutzt werden, von wo aus automatisierte Replikationsverhalten ausgeführt wird, indem sie sehr ähnliche Nutzlasten an mehrere interne Ziele senden. Angreifer können diese Art von Verhalten nutzen, um ihre eigene Seitwärtsbewegung innerhalb von Gesundheitsorganisationen zu verbergen.

Ransomware

Vor zwei Jahren wurden mehrere Kliniken weltweit Opfer einer hohen Rate von Ransomware-Angriffen, auch in Deutschland, wodurch der Klinikbetrieb teils massiv beeinträchtigt wurde. Im aktuellen Untersuchungszeitraum waren Ransomware-Angriffe nicht so häufig, bleiben aber dennoch weiterhin eine echte Bedrohung in der Branche. Daher ist es entscheidend, entsprechende Anzeichen zu erkennen, bevor Ransomware sich ausbreitet, zuschlägt und Dateien verschlüsselt.

Datendiebstahl

Liegen wertvolle Daten in ihrer Reichweite, dann werden Angreifer versuchen, dieser habhaft zu werden und zu Geld zu machen. Versteckte DNS-Tunnel waren die häufigste erkannte Aktivität im Zusammenhang mit Datenexfiltration im Gesundheitswesen. Hierbei kommuniziert ein internes Host-Gerät mit einer externen IP über DNS, während ein anderes Protokoll über die DNS-Session läuft.

Das zweithäufigste Exfiltrationsverhalten ist Smash-and-Grab, das auftritt, wenn ein großes Daten­volumen an ein externes Ziel gesendet wird. Ein Beispiel wären ­Sicherheitskameras, die schnell große Datenmengen an eine gehostete Cloud-Site senden. Es ist wichtig, dass diese Art von Datenexfiltrationsverhalten dokumentiert und überwacht wird, um einen unbeabsichtigten Datenverlust zu vermeiden.

Die dritthäufigste Art von Exfiltra­tionsaktivitäten war der Datenschmuggel, indem ein internes Host-Gerät große Datenmengen von einem oder mehreren internen Servern erfasst und anschließend eine beträchtliche Datenmenge langsam und heimlich an ein externes System sendet, ohne erkannt zu werden.

Legitim oder nicht?

Nicht jede Phase des Angriffslebenszyklus oder jedes Angreiferverhalten ist in einem Angriff notwendig, aber die Phasen sind oft miteinander verbunden. So lässt sich beobachten, wie Angriffe in bestimmten Phasen voranschreiten, was auf Motive wie finanziellen Gewinn, Diebstahl und Datenvernichtung hindeutet. Erkanntes Verhalten kann aber auch legitim und normal sein in einer bestimmten Umgebung.

Der Autor: Andreas Müller
Der Autor: Andreas Müller
(© Vectra)

Sicherheitsanalysten müssen daher wissen, was zulässig und was nicht zulässig ist, um zu entscheiden, wo weitere Untersuchungen durchgeführt werden sollen. Unzulässige Verhaltensweisen können auf vorsätzlichen Diebstahl von Informationen oder unbeabsichtigte Offenlegung hindeuten, und letztlich auch zur Unterbrechung klinischer Dienstleistungen führen. Der Einsatz einer KI-gestützten Plattform zur Verfolgung von Bedrohungsaktivitäten und schnellen Reaktion im Ernstfall ist eine zeitgemäße proaktive Maßnahme, um den Klinikbetrieb aufrechtzuerhalten und Patienten zu schützen. Mit der zunehmenden Bedeutung neuer medizinischer Technologien für die Qualität und Geschwindigkeit der Gesundheitsversorgung ist auch das Wissen ­darüber, welche Technologien vorhanden sind, wie sie genutzt werden und wann unbefugte Handlungen stattfinden, erforderlich. Eine bessere Transparenz über den Verkehr und das Verhalten innerhalb des Netzwerks erleichtert es den Sicherheitsverantwortlichen, wachsam zu bleiben und erlaubt es, schnell zu reagieren.

*Der Autor: Andreas Müller, Sales Director DACH bei Vectra

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:46140521)