Cyberresilienz ist ein Konzept, mit dem die meisten Organisationen vertraut sind. Es wird definiert als die Fähigkeit, widrigen Ereignissen standzuhalten und sich davon zu erholen, die möglicherweise die Informationssysteme und IT-Ressourcen einer Organisation beeinträchtigen.
Krankenhäuser sind mit dieser Notwendigkeit natürlich vertraut und die meisten verfügen über ausgefeilte Ausfallzeitverfahren, um die Patientenversorgung aufrechtzuerhalten, falls EHR, PACS und andere klinische Systeme von einem Vorfall betroffen sind.
Obwohl Ausfallzeiten und andere Verfahren zur Reaktion auf Vorfälle, die zur Stärkung der Cyber-Resilienz beitragen, oft Komponenten der Informationssicherheit beinhalten, kommt es häufig vor, dass Unternehmen vergessen, eine wichtige Frage zu stellen: Wie widerstandsfähig ist mein Unternehmen, wenn bei einem meiner Cybersicherheitstools oder -kontrollen ein unerwünschtes Ereignis eintreten sollte?
Wenn in einer Gesundheitsorganisation plötzlich die EDR-Telemetrie verloren geht, eine Firewall ausfällt oder ein System durch einen Zero-Day-Angriff ungünstigerweise angreifbar wird, ist dann die Cyber-Resilienz aller Sicherheitskontrollen ausreichend, um sicherzustellen, dass die Organisation geschützt bleibt?
Während Probleme wie der jüngste CrowdStrike-Vorfall, der Microsoft-Systeme weltweit lahmlegte, dieses Problem in vielen Krankenhäusern in den Vordergrund gerückt haben, darf man nicht vergessen, dass Kontrollmechanismen nicht nur bei Großereignissen versagen.
Tatsächlich versagen Sicherheitskontrollen ständig – und Angreifer sind oft geschickt darin, gängige Sicherheitstools zu umgehen.
Krankenhäuser müssen robuste Sicherheitsstrategien und -architekturen entwickeln, die Kontrollfehler berücksichtigen, um sicherzustellen, dass sie ein Sicherheitsprogramm aufgebaut haben, das robust genug ist, um unerwünschten Ereignissen standzuhalten und die Patienten in ihrer Obhut zu schützen.
Um ein wirksames Maß an Cyber-Resilienz für Sicherheitskontrollen zu erreichen, sollten Gesundheitsorganisationen die Einbeziehung einiger der unten beschriebenen Ansätze in Betracht ziehen:
Messung der Kontrollwirksamkeit
Viele der Standards, denen die Sicherheitsbranche heute folgt, sind hilfreich, um Mindestgrundlagen für die Sicherheitskontrollen festzulegen, die zum Schutz eines Unternehmens erforderlich sind. Eine der Beschränkungen dieser Standards besteht jedoch darin, dass sie sich tendenziell auf die Existenz von Kontrollen konzentrieren und nicht auf deren Wirksamkeit.
Die Möglichkeit, das Vorhandensein einer Firewall abzuhaken, ist etwas völlig anderes als die empirische Bewertung der Wirksamkeit der Firewall-Regeln gegen Angreiferverhalten wie Datenexfiltration oder die Einrichtung von Befehls- und Kontrollsystemen.
Durch die Einführung von Ansätzen wie beweisbasierter Sicherheit können Unternehmen die Wirksamkeit ihrer Kontrollen gegen Angreifertechniken bewerten und alle Bereiche identifizieren, in denen die Kontrollen nicht wie beabsichtigt funktionieren.
Dies ist insbesondere deshalb kritisch, weil Kontrollen häufiger versagen, als vielen Unternehmen bewusst ist. Einer Studie zufolge funktionieren Kontrollen wie EDR nur in 39 % der Fälle, um Angriffe zu stoppen.
Solche Ansätze zur Messung der Sicherheit sind von entscheidender Bedeutung, da wir durch die Identifizierung von Schwachstellen häufig die besten Verbesserungsmöglichkeiten finden. Die Gewährleistung einer akzeptablen Wirksamkeit unserer Kontrollen ist der erste Schritt zur Widerstandsfähigkeit unserer Kontrollen, da dadurch sichergestellt wird, dass unsere Abwehrmaßnahmen nicht von Anfang an versagen.
Umgehungen vermeiden
Im Zusammenhang mit dem oben Gesagten besteht bei vielen Sicherheitstools und -kontrollen ein allgemeines Problem: Selbst wenn eine Kontrolle nachweislich eine hohe Wirksamkeit gegen gängige Angreifertechniken aufweist, verfügen Angreifer häufig über Mittel, um die Kontrollen in ihren Playbooks zu umgehen. Beispielsweise können sie durch Booten im abgesicherten Modus EDR umgehen oder DNS-Tunneling verwenden, um die Befehls- und Steuerungsfunktion zu maskieren und die Ausgangsfilterung zu umgehen.
Als Sicherheitsexperten müssen wir alle Möglichkeiten identifizieren und beseitigen, mit denen Kontrollen umgangen werden können. Im abgesicherten Modus blockieren wir vielleicht die Ausführung des Befehls bcdedit und im Fall von DNS-Tunneling fügen wir vielleicht Kontrollen hinzu, um die Suche nach Domänen zu blockieren, die nicht als sicher eingestuft sind, oder erstellen Erkennungen für DNS-Anfragen oder -Antworten, die ungewöhnlich groß sind.
Obwohl Umgehungen von Tool zu Tool unterschiedlich sein können, ist kein Sicherheitstool perfekt und jedes Tool kann auf irgendeine Weise umgangen werden. Je proaktiver wir bei der Identifizierung und Beseitigung von Umgehungen vorgehen, desto eher können wir sicherstellen, dass Angreifer gezwungen sind, sich mit der Wirksamkeit unserer Kontrollen auseinanderzusetzen, anstatt sie auf einfache Weise zu umgehen.
Schließlich ist eine Kontrolle, die leicht umgangen werden kann, keine wirkliche Kontrolle und bietet keinen großen Schutz gegen einen Angriff.
Schwachstellenmanagement
Wenn die meisten Gesundheitsorganisationen an Schwachstellenmanagement denken, denken sie daran, alle Stellen zu identifizieren, an denen ein Patch benötigt werden könnte, und Pläne zu machen, um den fehlenden Patch rechtzeitig anzuwenden. Obwohl Patchen eine kritische bewährte Sicherheitsmethode ist und wo immer möglich durchgeführt werden sollte, sollten sich Krankenhäuser nicht allein auf Patchen verlassen, um die Sicherheit ihrer Systeme zu gewährleisten.
Unternehmen müssen beginnen, die Definition des Schwachstellenmanagements zu erweitern, sodass mehr als nur das Patchen dazugehört. Außerdem müssen sie sich die Frage stellen, welche kompensierenden Maßnahmen ergriffen werden könnten, um die erfolgreiche Ausnutzung dieser Schwachstelle einzudämmen.
Wenn wir beispielsweise eine Schwachstelle wie Log4J im Kontext von Kompensationsmaßnahmen betrachten, können wir erkennen, dass zur erfolgreichen Ausnutzung dieser Schwachstelle ausgehende LDAP-Kommunikation erforderlich ist. Die Anwendung von Egress-Filtern auf unser System ist daher eine Kompensationsmaßnahme, die zur Minderung von Log4J verwendet werden könnte.
Wenn wir also Log4J patchen und eine Ausgangsfilterung anwenden würden, würden wir feststellen, dass wir nicht nur eine tiefgreifende Verteidigungskontrolle zum Schutz vor Log4J eingerichtet hätten, sondern auch unsere Cyber-Resilienz gegenüber zukünftigen Zero-Day-Angriffen verbessert hätten, die möglicherweise auch ausgehende Kommunikation erfordern.
Darüber hinaus sind derartige Vorteile keineswegs nur der Log4J-Minderung vorbehalten. Das Deaktivieren des Druckerspoolers auf Systemen, auf denen er als Reaktion auf PrintNightmare nicht benötigt wurde, wäre ein weiteres Beispiel dafür, dass die kompensierende Kontrolle auch vor der Ausnutzung zukünftiger Schwachstellen im Windows-Druckerspooler schützt.
Durch die Frage nach kompensierenden Kontrollen können wir die geeigneten Systemhärtungs- und Sicherheitsarchitekturen ermitteln und erstellen, die erforderlich sind, um zukünftige Schwachstellen zu beheben, für die möglicherweise kein Patch verfügbar ist.
Da Zero-Day-Angriffe immer häufiger dazu genutzt werden, Organisationen zu kompromittieren, müssen wir über das bloße Patchen hinausgehen und gehärtete Architekturen entwickeln, die Organisationen auch dann schützen können, wenn kein Patch vorhanden ist oder ein Tool nicht umgangen wird.
Verteidigung in der Tiefe
Eine mehrstufige Verteidigung ist im Bereich der Sicherheit seit langem eine bewährte Methode, die jedoch nicht immer gründlich genug im Hinblick auf die Fehler einer ganzen Kontrollklasse oder auf Fehler in der Lieferkette analysiert wird.
Die Analyse von Fehlermodi wird immer relevanter, da Anbieter immer häufiger versuchen, Unternehmen mit dem Versprechen zu locken, dass „mein Produkt all dies auf einer einzigen Oberfläche erledigen kann“. Angesichts des jüngsten CrowdStrike-Vorfalls ist es beispielsweise nicht unangemessen, die Frage zu stellen: Was passiert, wenn wir den Zugriff auf EDR und die von ihm bereitgestellten Erkennungen verlieren?
Verfügt die Organisation über eine ausreichende Tiefenverteidigung, sodass uns ein Sicherheitsproblem an einem Endpunkt nicht entgeht? Vielleicht verfügt die Organisation über eine sekundäre Erkennungsquelle in Form eines MDR- oder XDR-Systems, das eine Tiefenverteidigungsebene bietet, oder vielleicht wird Sysmon-Protokollierung und Protokollsammlung als sekundärer Erkennungssatz genutzt?
Eine tiefgreifende Verteidigung muss so angelegt werden, dass sie nicht nur mehrere Sicherheitsebenen bietet, sondern auch robuste Sicherheitsebenen für den Fall, dass eine ganze Kontrollklasse oder – noch schlimmer – ein ganzer Sicherheitsstapel aufgrund eines gemeinsamen Anbieters verloren geht. Kontrollsätze müssen analysiert werden, um einzelne Fehlerpunkte zu identifizieren, die eine Organisation blind für einen Angriff machen oder ihn nicht stoppen können. Außerdem muss eine tiefgreifende Verteidigung so angewendet werden, dass die Auswirkungen gemildert werden.
Systemvielfalt
Wenn wir die oben beschriebenen tiefgreifenden Verteidigungsstrategien in Betracht ziehen, müssen wir uns darüber im Klaren sein, dass in den Sicherheitskontrollsätzen eine gewisse Diversität eingebaut ist.
Zwar bietet eine zentrale Lösung eindeutige Vorteile, wie z. B. potenzielle Kostensenkungen, eine vereinfachte Verwaltung, eine bessere Integration verschiedener Funktionen usw. Man darf jedoch nicht vergessen, dass die Beschaffung aller Informationen aus einer Quelle auch das Risiko von Ausfällen erhöhen kann.
Dies könnte zu einem schwerwiegenden Fehler auf der Lieferkettenseite führen, bei dem mehrere Sicherheitsfunktionen gleichzeitig verloren gehen können, wenn beim Lieferanten ein Problem auftritt. Es könnte jedoch auch zu grundlegenderen Fehlern im Alltag führen.
Wenn wir unseren gesamten Stapel von Anbieter A kaufen und Anbieter A noch nicht über eine Möglichkeit verfügt, eine neue Bedrohung zu erkennen, werden wir die Bedrohung wahrscheinlich auf allen Ebenen nicht erkennen.
Wenn wir eine gewisse Vielfalt an Produktsets haben (z. B. EDR und XDR von verschiedenen Anbietern oder verschiedene Marken für interne und Perimeter-Firewalls usw.), ist die Chance, eine Bedrohung zu erkennen, größer, auch wenn Anbieter A dazu nicht in der Lage ist. Eine Systemkonsolidierung ist in vielen Fällen sinnvoll, sie muss nur so erfolgen, dass die Belastbarkeit bei Bedarf weiterhin aufrechterhalten wird.
Null Vertrauen
Obwohl Zero Trust und die verschiedenen darin enthaltenen Techniken, wie etwa die Mikrosegmentierung, als kompensierende Maßnahmen eingesetzt werden können, um viele der bereits besprochenen Ziele zu erreichen, lohnt es sich, dieses Prinzip auch gesondert hervorzuheben.
Wenn Zero-Trust-Prinzipien auf Richtlinien zur Systemhärtung und Systemarchitekturen angewendet werden, ist dies eine hervorragende Möglichkeit, die Sicherheit von Systemen zu verbessern.
Zero Trust geht im Grunde davon aus, dass alles kompromittiert werden kann, und arbeitet proaktiv daran, Bedrohungen zu entschärfen, indem sichergestellt wird, dass jede Person und jedes Gerät so wenig Zugriff wie möglich hat, um ihre Arbeit zu erledigen. Die Etablierung einer Zero-Trust-Denkweise und die Anwendung von Zero-Trust-Prinzipien werden dazu beitragen, die Sicherheitsresilienz von Systemen zu verbessern.
Die obige Liste erhebt keinen Anspruch auf Vollständigkeit im Hinblick darauf, was zur Verbesserung der Belastbarkeit von Sicherheitskontrollen getan werden kann. Sie soll jedoch dabei helfen, einige der wichtigsten Möglichkeiten aufzuzeigen, wie die Belastbarkeit der Sicherheit in die Sicherheitsstrategien und -architekturen der Gesundheitssysteme einbezogen werden muss.
Für die Patientensicherheit ist es von entscheidender Bedeutung, dass die Sicherheitskontrollsätze robust genug sind, um Ransomware und anderen Cyberangriffen standzuhalten, die zu nachteiligen Auswirkungen auf die Patientenversorgung führen.
am Mount Sinai in Süd-Nassau.
Das HIMSS Healthcare Cybersecurity Forum findet vom 31. Oktober bis 1. November in Washington, DC statt. Erfahren Sie mehr und registrieren Sie sich.
