BLOG: Deception-Technologien, so bewältigen Sie die Sicherheitsherausforderungen im Gesundheitswesen

20.08.2019

Moderne IT-Umgebungen im Gesundheitswesen bestehen aus einer stetig steigenden Zahl von angeschlossenen medizintechnischen Geräten. Diese Geräte sind nicht nur sehr empfindlich, sie entscheiden im wahrsten Sinne des Wortes über Leben und Tod. Darüber hinaus speichern diese IoT...

Moderne IT-Umgebungen im Gesundheitswesen bestehen aus einer stetig steigenden Zahl von angeschlossenen medizintechnischen Geräten. Diese Geräte sind nicht nur sehr empfindlich, sie entscheiden im wahrsten Sinne des Wortes über Leben und Tod. Darüber hinaus speichern diese IoT-Geräte (Internet of Things) – schon per Definition – medizinisch relevante, personenbezogene Daten (PII) ab, um arbeiten zu können. So benötigt eine Insulinpumpe beispielsweise die Dosierungshistorie eines Patienten. Ein Großteil dieser personenbezogenen Daten auf medizinischen IoT-Geräten ist völlig ungeschützt und verfügt maximal über sehr simple Verschlüsselungsmechanismen. Dies gilt insbesondere für Legacy-Systeme. Viele dieser Geräte können jedoch auch nicht einfach gesperrt werden. Stellen Sie sich vor, dass ein MRT-Gerät aufgrund einer schlecht konfigurierten Firewall die lebenswichtigen Scanergebnisse nicht weiterleiten kann.

In den meisten Organisationen des Gesundheitswesens können Sicherheitsteams die Netzwerkressourcen oder die Aktivitäten im Netzwerk nicht einfach zu einem bestimmten Zeitpunkt beschränken oder voneinander abgrenzen, da die Prozesse in diesen verteilten Umgebungen so dynamisch sind. Die Aufgabe, alle Aktivtäten nachvollziehbar darzustellen, geht über die menschlichen Fähigkeiten hinaus. Auch die marktüblichen Tools können noch kein verständliches und zusammenhängendes Bild der Aktivitäten im gesamten Netzwerk dieser Organisationen zeichnen. Behebt das Sicherheitsteam eine Schwachstelle, ermutigt dies die Angreifer, nach einer anderen zu suchen. Darüber hinaus verlieren diese Organisationen durch die ausschließliche Abwehr von Angriffen wichtige Informationen über die Bedrohungen selbst. Handelte es sich bei der als schadhaft gekennzeichneten Aktivität um einen arglosen Mitarbeiter, der versucht hat, eine unzulässige Website zu besuchen, oder Malware, die sich über ihren Command & Control-Server mit dem Netzwerk der Organisation verbinden und Daten ausschleusen möchte?

Um eine Lösung zu konzipieren und umzusetzen, müssen Healthcare-Organisationen zunächst die einzigartigen IT-Herausforderungen im Gesundheitswesen und der medizinischen IoT-Geräte verstehen.

Die IT-Herausforderungen im Gesundheitswesen

  • Blinde Flecken können zu Sicherheitslücken führen. In IT-Netzwerken entstehen blinde Flecken aufgrund mangelnder Transparenz im Ost-West-Verkehr (Datenverkehr zwischen Servern in einem Netzwerk). So kann sich Malware im Netzwerk ausbreiten und sowohl Systeme innerhalb einer Organisation als auch Systeme, die mit diesen in Verbindung treten, infizieren. Dies kann zu erheblichen Sicherheitsverletzungen führen, die möglicherweise die angemessene Versorgung von Patienten gefährden.
  • Die mangelnde Überwachung der IoT-Geräte im Gesundheitswesen schwächt die Sicherheit. Eine nicht-verwaltete IT-Umgebung mit medizinischen Geräten, die die Telemetrie gewährleisten (Übertragung der Patienten-Messdaten an eine Empfangsstelle), ist anfällig für Angriffe, da diese nicht über die entsprechenden Sicherheitsmechanismen verfügen, um schadhaftes Verhalten zu erkennen.
  • Gängige Sicherheitslösungen können nicht alles erfassen. Marktübliche Abwehr- und Sicherheitslösungen reichen nicht aus, um Eindringungsversuche und Sicherheitsverletzung zu verhindern. Endpoint Protection (EPP), Intrusion Protection Systems (IPS), Intrusion Detection Systems (IDS) sind die Regel – sie arbeiten signaturbasiert und erfordern einen hohen Aufwand, um sie auf dem aktuellen Stand zu halten. Selbst mit diesen Tools als Teil der Sicherheitsarchitektur können sich viele Organisationen nicht effektiv vor der Vielzahl an APTs schützen.
  • Lösungen zur Prävention haben nur eine begrenzte Reichweite. Auch Data Loss Prevention (DLP), Endpoint Detection and Response (EDR), User Behavioral Analytics (UBA, Analysen des Nutzerverhaltens) und andere Funktionen stoßen an ihre Grenzen und können umgangen werden, da sie eine kontinuierliche Feinabstimmung sowie eine ständige Pflege und Betreuung erfordern.
  • Der Fokus liegt fälschlicherweise auf Warnmeldungen, nicht auf der Erkennung von Bedrohungen. Die Flut an Warnmeldungen sowie an False Positives (Fehlalarmen) steht oftmals im Fokus der Sicherheitsteams. Dies führt jedoch auch häufig dazu, dass sie aufgrund der Masse an Informationen entscheidende Hinweise verpassen und die Erkennung von Bedrohungen vernachlässigen, sodass das Sicherheitsniveau insgesamt sinkt.
  • Perimeterbasierte Lösungen sind nicht ausreichend. Viele Unternehmen setzen perimeterbasierte Lösungen ein, um den Zugriff auf schadhafte Domänen zu verhindern und um Angreifer, die sich bereits in das Netzwerk eingedrungen sind, daran zu hindern, sich mit Command & Control-Servern zu verbinden und so wertvolle Informationen auszuschleusen. Diese Funktionalitäten schützen die Netzwerkgrenzen, sind jedoch anfällig, wenn diese umgangen werden. Viele dieser Lösungen basieren auf User Behavioral Analysis, maschinellem Lernen, Threat Intelligence und Reputation. Diese Ansätze können tatsächlich bestimmte Prozesse erfolgreich blockieren oder die Aufnahme bestimmter Verbindungen verhindern. Sie erfordern jedoch auch stets die aktuellsten Signaturen und Regeln, damit sie ihre Aufgaben erfüllen können.

Die Herausforderungen des Internet of Things

Die Absicherung der IoT-Geräte im Gesundheitswesen birgt zahlreiche Herausforderungen.

  • Die Vielfalt der Plattformen, die für IoT-Lösungen genutzt werden können, ist enorm. Der Aufbau einer Standardlösung gestaltet sich damit für eine Organisation äußerst schwierig.
  • Es ist sehr kostenintensiv, an der Entwicklung von Agent-Technologien für IoT-Plattformen zu partizipieren. Immer mehr Anbieter drängen auf den Markt und bieten innovative Lösungen, um unternehmens- und organisationsspezifischen Herausforderungen zu begegnen. Dabei steht jedoch das Thema Sicherheit nicht immer im Vordergrund bei der Entwicklung dieser Lösungen.
  • Das IoT ist üblicherweise eine nicht-verwaltete Umgebung. Eine Vielzahl der bestehenden Plattformen unterstützt weder Agents für Endpoint Protection (EPP) noch für Endpoint Detection and Response (EDR). Die Konsequenz: Es gestaltet sich äußerst schwierig, tragfähige und skalierbare Lösungen zu entwickeln, die das Sicherheitsniveau einer Organisation erhöhen.

Mit Deception-Technologien Sicherheitsherausforderungen bewältigen

Die aktuellen Cyberattacken sind hochentwickelt und risikoreich. Sie erfordern eine intelligente Vorgehensweise und schlagkräftige, umfassende Abwehrmaßnahmen, um sich zu verteidigen. Ein Schlüsselelement Ihrer Sicherheitsstrategie ist das Verständnis dafür, wer Sie angegriffen hat, welche Taktiken angewandt und welche Mittel dafür eingesetzt wurden. Wenn Sie den Angreifer verstehen, können Sie sich optimal darauf vorbereiten, künftige Angriffe abzuwehren. Ihre Sicherheitsverantwortlichen müssen verdächtige Aktivitäten im Netzwerk erkennen können, die IT-Infrastruktur verteidigen und aktiv daran arbeiten, die Form der Kommunikation, die genutzten Protokolle, die Kategorie der gesendeten Daten sowie die Prozesse, die Verbindungen herzustellen versuchen, ermitteln.

Deshalb verfolgen immer mehr Sicherheitsexperten einen Cyber-Defense-Ansatz, der auf der Deception-Technologien basiert. Deception-Software wurden zu einen dazu entwickelt, um Angreifer anzulocken und fehlzuleiten, zum anderen, um mehr über die Angreifer zu erfahren. Im Falle eines schadhaften Angriffsversuchs können Sicherheitsteams im Gesundheitswesen mittels Deception-Technologien die Initiative zu ergreifen: Sie können intelligente Bedrohungsinformationen nutzen, um die Kommunikationskanäle des Angreifers aufzudecken. Sie können sehen, wie Verbindungen hergestellt und welche Protokolle hierfür genutzt werden. Diese Informationen zu Bedrohungen und die Transparenz, die damit einhergeht, ermöglicht es, Angreifer nicht nur einmalig abzuwehren, sondern auch ein Verständnis für seine Zielsetzungen zu entwickeln und auch künftige Attacken zu verhindern.

Cyber Deception hat sich in den vergangenen fünf Jahren stark weiterentwickelt und sich als sehr wirksamer Schutz für Netzwerke erwiesen. Deception-Technologien konzentrieren sich auf den Einsatz von Decoys, beispielsweise fingierten Hosts. Mittels Emulation oder virtueller Maschinen (VMs) leiten sie Angreifer in die Irre und vereiteln deren Attacken. Fidelis Deception ist insofern einzigartig, als die Entwicklung von Decoys ein reproduzierbarer, sehr einfacher Prozess ist, der nur eine Packet Capture-Datei eines Hosts erfordert (PCAP: API für den Mitschnitt des Netzwerkverkehrs). Dies eignet sich insbesondere für IoT-Plattformen. Breadcrumbs sind Konfigurationselemente, Konten und Schlüsseldateien (z. B. Registry Keys), die an Decoys verteilt werden können, um den Gegner glauben zu machen, dass diese Decoys reale Hosts sind. Die Verteilung dieser Breadcrumbs, die dazu dienen, die gegnerische Wahrnehmung der Angriffsfläche zu verändern, ist ein bedeutendes Forschungsgebiet des Fidelis R&D-Teams. Organisationen und Unternehmen jeder Branche und Größenordnung profitieren vom Einsatz von Deception-Technologien zur Absicherung ihrer IoT-Plattformen. Die wichtigsten Vorteile im Überblick:

  • Geringe Kosten. Die Entwicklung von Decoys ist ein wiederholbarer Prozess im Fidelis-Ökosystem, der auf der Kenntnis der Protokolle der IoT-Devices im laufenden Betrieb basiert. Die Köder werden auf Basis des Datenverkehrs entwickelt und können sehr einfach bereitgestellt werden. Dies reduziert die Kosten und ermöglicht es sehr einfach, eine Deception-Ebene aufzubauen.
  • Hohe Skalierbarkeit. Für die Täuschung von Angreifern können Organisationen einen Decoy oder auch bis zu mehrere Hundert verschiedene Decoys einsetzen. Sowohl Emulations- als auch VM-basierte Deception-Ebenen sind einfach zu implementieren und können nach Bedarf angepasst und verändert werden, um die Angreifer zu verwirren. Werden neue medizintechnische Produkte angeschafft, ist die Skalierung der Deception-Ebene ein einfacher Prozess: neue Decoys werden erstellt und auf wiederholbare und effiziente Weise bereitgestellt.
  • Hoher Automatisierungsgrad & hohe Genauigkeit. Da Täuschungstechnologien auch Lernprozesse einsetzen, wird die Umgebung automatisiert bereitgestellt und es werden keine Fehlalarme ausgelöst (False Positives). Deception-Software benötigt somit keine weiteren Ressourcen wie beispielsweise andere Sicherheitslösungen.
  • Herausragende Performance. Die Deception-Technologien von Fidelis sind äußerst leistungsstark und wurden in verschiedenen Umgebungen Belastungstests unterzogen.
  • Unterstützung zahlreicher IoT-Plattformen. Die Decoys lassen sich sehr einfach an die verschiedenen IoT-Plattformen anpassen. Bringt ein Hersteller eine neue Plattform auf den Markt, können die erforderlichen Decoys sehr einfach aufgebaut und bereitgestellt werden.
  • Geringe Anforderungen an die Support-Teams. Wird ein neues Verhaltensmuster eines Angreifers entdeckt, ist es nicht erforderlich, neue Regeln für die Deception-Ebene zu erstellen. Vielmehr steht hierbei das Verständnis des Angriffsmusters sowie der Einsatz von Breadcrumbs im Fokus.
  • Keine EPP- und EDR-Signaturen erforderlich. Für die Täuschung der Angreifer ist es nicht notwendig, neue Signaturen und Regeln für EPP und EDR bereitzustellen. Dies senkt den Aufwand für die Cyberanalysten und die Teams im Security Operations Center (SOC) erheblich.
  • Kein Maintenance-Aufwand für benutzerdefinierten EPP- oder EDR-Code. Deception-Technologien sind weder auf die Entwicklung von EPP- oder EDR-Agenten noch auf die Unterstützung des benutzerdefinierten Codes für IoT-Plattformen angewiesen. Dies senkt die Kosten für die Softwareentwicklung, Support und Wartung erheblich.
  • Einfache Integration. Kunden, die bereits das Fidelis Network Module und/oder das Fidelis Endpoint Module einsetzen, profitieren von einer sehr einfachen Integration der Produkte. Die Produkte tauschen Informationen untereinander aus, das integrierte Management-System CommandPost (CP) verwaltet das Network Module und das Deception Module als ein Produkt.

Deception-Technologien bieten einen einzigartigen Einblick in die Netzwerkaktivitäten und sind in der Lage, den Einsatz von nicht-autorisierten Tools und Uploads, die gegen die Sicherheitsrichtlinien verstoßen, zu identifizieren. Aufgrund die Automatisierung der Prozesse für die Netzwerk- und Systemanalyse unterstützen Deception-Technologien die Sicherheitsverantwortlichen optimal dabei, das Grundrauschen im Netzwerk zu reduzieren und relevante Sicherheitsvorfälle herauszufiltern. So schaffen sie Transparenz und zeigen potenzielle Attacken in jeder Angriffsphase auf. Darüber hinaus liefern Deception-Technologien einen einzigartigen und detaillierten Einblick in Aktivitäten der Angreifer und deren Kommunikationskanäle. Sie verschaffen Organisationen einen hervorragenden Überblick über den internen und externen Datenverkehr und erstellen umfassende Analysen zur Netzwerknutzung – und entkoppeln dabei die Aufgaben, die Sicherheitsverantwortliche lösen müssen, von Prozessen, die automatisiert erledigt werden können.

Read Original Report here: www.fidelissecurity.com/threatgeek/deception/health-iot-deception