從Change Healthcare遭遇的災難性的勒索軟件攻擊中得出的教訓正在逐漸明晰，這一事件鮮明地展示了醫療行業的脆弱性，并促使人們呼吁采取監管行動。

今年2月的攻擊破壞了全美的保險理賠處理，給診所、藥房和患者帶來了混亂，他們無法完成預先授權的處方或保險覆蓋的醫療治療。

Change Healthcare處理的向醫療服務提供者的付款流動因系統被攻擊而突然中斷，系統被迫下線以應對攻擊。

尤其是較小的醫療服務提供者和農村藥房在這次攻擊中遭受了巨大的收入損失，有些甚至接近破產。最終，這次攻擊暴露了潛在三分之一美國公民的個人數據，給母公司UnitedHealth Group(UHG)帶來了超過8.72億美元的處理費用和由此引起的破壞。

這些費用的一部分包括向成千上萬的提供者提供加速付款和無息、無費用貸款。另一部分被 earmarked用于事件響應和徹底重建Change Healthcare的系統。包括收入損失在內，預計此次攻擊將使UHG損失超過10億美元。

對此，美國政界人士呼吁在衛生部門強制實施基礎網絡安全標準，并加強信息共享。他們還擔心行業整合正在增加網絡風險。

總的來說，對Change Healthcare的勒索軟件攻擊——UHG在2022年以近80億美元收購的公司——展示了安全控制不佳在勒索軟件攻擊中經常出現的因素。以下是攻擊后的幾個教訓。

多因素認證(MFA)是必不可少的

在5月初的國會聽證會上，UHG首席執行官Andrew Witty表示，犯罪分子使用被盜的憑證遠程訪問了Change Healthcare的Citrix門戶，這是一種允許遠程訪問桌面的技術，大約在2月12日。該門戶未啟用多因素認證(MFA)，這是基本的企業安全控制措施。

雖然不能完全防彈，但MFA長期以來被認為是保護系統免受憑證攻擊的最佳實踐。據ESET首席安全傳道者Tony Anscombe稱，MFA未啟用很可能在攻擊者能夠遠程訪問Change Healthcare的系統中起了關鍵作用，使得這一事件高度可避免，未能采用最基本的網絡安全原則是一場巨大的失敗。

“我們不知道沒有MFA的原因是什么，是無能、預算限制、用戶需求還是其他原因?”Anscombe說。

Illumio關鍵基礎設施主管Trevor Dearing評論道：“成功的勒索軟件攻擊中，效率低下的安全控制往往是一個因素。無論是缺乏MFA控制、未修補的網絡門戶，還是過期的DLP(數據丟失防護)系統，任何漏洞都可能導致巨大的破壞。”

分段你的系統

在獲得Change Healthcare系統的立足點后，攻擊者隨后進行了橫向移動并在2月21日部署ALPHV/BlackCat勒索軟件之前提取了數據。

因此，許多事后報告中提出的另一個問題是Change Healthcare的系統缺乏分段，導致攻擊的橫向移動變得容易，這導致了關鍵資產暴露給攻擊者，據Dearing稱。

分段涉及將一個大型網絡系統劃分為較小、隔離的子段，從而使安全團隊更容易保護和監控IT資產，防止像針對Change Healthcare的橫向攻擊。分段長期以來一直是縱深防御策略的關鍵部分。

并購活動需要網絡盡職調查

Change Healthcare的勒索軟件攻擊也為后并購的系統盡職調查提供了教訓。

UHG在2022年10月收購了美國最大的醫療理賠清算機構Change Healthcare，此前曾與美國司法部展開法律斗爭，后者認為此次收購會損害健康保險市場的競爭，并影響用于處理健康保險理賠的技術，從而使UHG，這家美國最大的健康保險提供商，獲得其競爭對手的數據。

收購后，Change Healthcare與UHG的Optum健康服務公司合并，由Optum的CIO和CTO以及UHG的CISO Steven Martin領導安全運營。

并購創造了新的網絡威脅，因為它們涉及來自不同組織的系統、數據和流程的整合，每個企業都有其自己的安全協議和潛在漏洞。

“在此過渡期間，網絡犯罪分子可以利用安全措施的差異、IT治理的漏洞以及管理合并的IT環境的復雜性增加的情況，”CTERA的CTO Aron Brand告訴CSOonline。“此外，各方之間敏感信息的高度共享也為數據泄露提供了更多機會。”

鑒于所涉及的復雜性和風險，Brand建議，醫療和非醫療組織在合并期間必須擁有一份全面的盡職調查清單。

“這應包括詳盡的安全審計，以評估被收購公司的網絡安全狀況、識別漏洞并評估其事件響應能力，”Brand說，“例如，如果徹底的評估解決了缺乏強大MFA控制的問題，Change Healthcare的漏洞可能會得到緩解。”

Expel的威脅情報分析師Aaron Walton表示同意。

“從聽證會上，我們沒有了解到導致延遲的原因，但這表明Change未能與UnitedHealth Group的所有安全政策保持同步，”他說，“如果Change實施了UnitedHealth的升級、流程和政策，可能會解決導致Change Healthcare遭到攻擊的一些問題，例如缺乏MFA。”

自保的風險

在國會聽證會期間回答問題時，UHG首席執行官Witty承認公司對網絡事件采取了“自保”。

網絡保險提供商在批準保單之前會要求高水平的風險緩解。對于許多企業而言，這本身就是確保系統強化的動力。對于那些放棄保險的組織來說，這一點尤為重要。

“自保并接受風險的選擇，Change Healthcare似乎采取了這種立場，不應以犧牲網絡安全措施為代價，”ESET的Anscombe告訴CSOonline，“我認為不可能由于風險增加而無法獲得保險——一切都可以投保，只是保費的成本問題。”

Anscombe補充道：“由于非合規的網絡安全措施導致保費過高而不投保是不可原諒的，因為這不必要地將企業、客戶、合作伙伴和許多其他人置于風險之中。”

企業應采取符合網絡風險保險要求的立場，或者更好的是，符合公認的網絡安全框架的要求，Anscombe建議。

與敵人共存

攻擊者在Change Healthcare系統上停留了超過一周(九天)，然后才部署勒索軟件。

這種延遲在企業攻擊中并不罕見。據專家介紹，攻擊者在被攻破的網絡中升級權限和橫向移動所需的時間，并不意味著被發現的可能性更大，這是因為攻擊者費盡心思偽裝他們的活動，例如濫用合法的程序和命令，使其輕易融入常規的預期流量中。

Silobreaker的Baumgaertner評論說：“勒索軟件組織通常會在受害者的系統中停留很長時間，利用時間在網絡中橫向移動，以造成盡可能大的破壞。此外，他們在網絡中保持未被發現的時間越長，就有更多時間找到并竊取敏感數據。”

雖然很難說Change Healthcare是否可以在攻擊者升級其行動時檢測到他們，但這些關于勒索軟件攻擊進展的事實在制定應對策略時應予以考慮。

雙重風險——關于贖金支付的辯論

UHG首席執行官Witty在國會證詞中證實，這家醫療保健集團已向BlackCat/ALPHV勒索軟件組織的網絡犯罪分子支付了相當于2200萬美元的比特幣作為贖金。

隨后，BlackCat/ALPHV實施了退出騙局，攜款消失，據報道還欺騙了其附屬組織Nichy。

Change Healthcare支付贖金的行為重新引發了關于是否允許支付網絡犯罪分子的勒索要求的廣泛辯論，尤其是在支付贖金并不能保證攻擊者會刪除被盜數據或避免未來攻擊的情況下。

ESET的Anscombe評論說：“是否支付勒索軟件要求的決定應該由法院做出，就像一些醫療決定是由法院做出的一樣。

“然而，在大多數支付情況下，這個決定似乎純粹是出于財務考慮，以減少業務中斷和重建系統以恢復的持續任務。”他總結道。

CTERA的Brand告訴CSOonline：“最近的調查顯示，雙重勒索——即攻擊者要求贖金并威脅泄露被盜數據——是77%的勒索軟件攻擊的一部分。贖金支付還可能激勵網絡犯罪分子攻擊其他組織，從而引發延續勒索軟件攻擊循環的倫理困境。”

最終，支付贖金未能保護UHG免受二次勒索企圖的侵害。

據安全供應商Forescout分析，4月，RansomHub組織的網絡犯罪分子威脅要泄露從Change Healthcare泄露中獲得的6TB敏感數據的一部分，這些數據是通過Nichy獲取的。據估計，有三分之一的美國人因這次攻擊而暴露了敏感數據。

醫療行業面臨越來越多的攻擊

合規專家指出，這種二次詐騙越來越普遍，醫療保健提供商尤其容易受到攻擊。

國際律師事務所Taylor Wessing技術、知識產權和信息團隊的合伙人Victoria Hordern告訴CSOonline：“對于打算進行勒索軟件攻擊的網絡犯罪分子來說，健康數據泄露是一個誘人的前景，因為他們知道如果醫療機構無法訪問數據以提供患者護理，將會陷入癱瘓。”

Hordern繼續說：“當系統數量增加且涉及多方(如患者、醫療提供者、技術支持)時，就會有更多的薄弱點和漏洞，壞人可以通過這些點進入并控制系統。”

美國衛生與公眾服務部(HHS)正在調查是否在評估UHG或Change Healthcare是否違反嚴格的醫療保健行業隱私法規時，發生了受保護健康信息泄露的情況。

這項調查仍在進行中。

Change Healthcare遭受的攻擊與最近對多家醫療公司進行的攻擊相吻合，包括Ascension、London Drugs、Cencora和Synnovis。

勒索軟件依然活躍

根據專家的說法，盡管ALPHV顯然實施了退出騙局，并且RansomHub的出現也未能改變利潤豐厚的勒索軟件即服務(RaaS)市場的基本驅動力。

Silobreaker研究負責人Hannah Baumgaertner表示：“ALPHV的退出騙局發生在執法行動導致LockBit被取締的同一時間，這使得兩個最活躍的勒索軟件即服務組織不再運作。”

Baumgaertner警告說：“雖然有人可能會認為這意味著勒索軟件攻擊會減少，但事實并非如此。”

由于RaaS業務的性質，之前與ALPHV合作的任何附屬機構只會去尋找新的合作運營，與此同時，ALPHV的主要成員很可能會以不同的名稱開展新項目，根據Baumgaertner的說法。

據HHS統計，過去五年中勒索軟件攻擊增加了三倍多(264%)。與此同時，根據Proofpoint最近的《CISO之聲》調查，勒索軟件現在已成為CISO認為最大的威脅。