今年早些時候發生在美國UnitedHealth的勒索軟件攻擊，堪稱醫療保健行業的最重大的網絡安全事故之一，同時還被認為是近年來最重大的醫療數據泄露事件，并導致整個美國醫療保健系統的重大運營中斷。UnitedHealth為此支付了2200萬美元贖金來防止被盜數據泄露，而且在文件解密后，仍不得不對其系統進行完全重建。

這次泄露事件引發了對醫療機構網絡安全措施的嚴重關注，特別是關于過時技術和關鍵系統缺乏多因素認證（MFA）等不足安全協議的問題，甚至引發了美國國會聽證會、立法者審查和潛在立法。

在針對該事件的兩次聽證會上，UnitedHealth首席執行官Andrew Witty在證詞中承認，公司的備份系統缺乏網絡分段或基礎設施隔離，導致攻擊者也能鎖定這些備份，阻斷了從初始攻擊中恢復的所有途徑。

如此也揭開了一個殘酷的現實：備份系統已經成為網絡犯罪分子最有利可圖的目標。因為這些攻擊者已經意識到，成功入侵備份環境是決定組織是否會支付贖金的最重要因素。

一些勒索軟件組織（如BlackCat、Akira、Lockbit、Phobos和Crypto），已經開始完全繞過生產系統，直接攻擊備份系統。這迫使組織重新審視其安全體系中的潛在漏洞，重新評估其備份和恢復策略。

過去，很少有首席信息安全官會特別關注到備份系統，但現在的情況已經完全不同了。早在UnitedHealth遭受攻擊之前，很多首席信息安全官就已經發現，面對勒索軟件攻擊，做好備份和恢復策略與防護同樣重要。

從UnitedHealth勒索軟件攻擊事件來看，我們應該從中吸取六個備份教訓：

1.實施網絡分段和空氣隔離備份

在此次遭受的勒索軟件攻擊中，UnitedHealth承認其備份缺乏網絡分段或基礎設施隔離，導致攻擊者能夠鎖定備份，阻斷了從初始攻擊中恢復的途徑。

網絡分段可以大大減少勒索軟件攻擊的影響。通過將網絡分成較小的獨立區域，即使一個區域被攻陷，惡意軟件的傳播也會被限制。

確保備份存儲在離線狀態并且已加密，可以減少在勒索軟件攻擊期間備份被破壞的風險，因為攻擊者通常會針對連接的存儲系統。實施隔離解決方案可以通過將備份與主網絡隔離進一步增強安全性。

2.采用多因素認證（MFA）

MFA的缺失是UnitedHealth勒索軟件攻擊的核心問題。黑客利用被盜憑證入侵了缺乏MFA的公司系統。可以采用諸如StorageGuard這樣的解決方案來審計和驗證MFA在所有備份系統中的實施和執行情況。確保MFA的一致性應用有助于保護敏感數據免受未經授權訪問，即使用戶憑證被盜也是如此。

3.限制管理訪問權限

限制管理權限是可靠備份安全戰略的重要組成部分，因為這些權限往往是攻擊者的主要目標。實施嚴格的訪問控制可以最小化未經授權的用戶篡改或刪除備份數據的風險，這在網絡事件中維護數據完整性至關重要。

具體措施包括：

• 為不同的用戶和用戶組定義明確的角色，確保只有真正需要的人才能獲得組織備份的管理訪問權限；
• 對管理接口應用IP訪問控制列表；
• 為關鍵備份更改設置雙人規則。

4.提供不可變備份

確保至少一個備份副本存儲在不可變存儲上。這將確保備份數據不會被惡意行為者（包括勒索軟件）更改、刪除或加密，并保證網絡恢復所需的備份數據的完整性和可用性。

5.定期測試備份

定期進行測試，以驗證備份檔案和流程的功能。這包括掃描備份以查找惡意軟件，并確保可以無問題地恢復。定期測試有助于在實際事件發生之前識別潛在的漏洞。

6.建立安全配置基線

根據DORA最近的要求和NIST此前的規定，為備份和存儲環境建立安全配置基線，并使用工具檢測基線偏差至關重要。建議定期審計備份系統的安全性，驗證備份平臺是否經過加固，并防止篡改和未授權訪問。

審計應包括：多因素認證、不可變性最佳實踐、CISA #StopRansomware指南、關鍵更改的雙重授權、受限管理訪問、日志記錄最佳實踐、賬戶鎖定設置、備份隔離、NAS安全指南、安全快照、加密，以及對NIST、ISO、NERC CIP、HIPAA等標準的遵守。

實施這些策略并利用安全態勢管理工具，可以確保備份系統保持安全、可靠，并能夠抵御不斷演變的網絡威脅。

關于UnitedHealth勒索軟件攻擊事件

今年早些時候，UnitedHealth子公司Change Healthcare遭受的勒索軟件攻擊已成為美國歷史上最大的數據泄露事件之一，影響超過1億人。

2月21日，Change Healthcare發現了勒索軟件攻擊，該攻擊發生在2月17日至20日期間。攻擊被歸因于ALPHV/BlackCat勒索軟件組織，該組織聲稱竊取了約6TB的敏感數據。3月初，UnitedHealth支付了2200萬美元贖金以取回數據。然而，在付款后不久，ALPHV組織實施了"退出詐騙"，帶著贖金消失，留下了被盜數據；4月22日，UnitedHealth承認泄露可能影響了"相當大比例"的美國人，估計多達三分之一的美國人口的健康信息可能被泄露。

此次攻擊擾亂了美國各地的基本醫療服務，影響了依賴Change Healthcare處理賬單和保險理賠的藥房和醫院。這導致了重大運營挑戰，包括患者護理延誤和醫療服務提供者的財務損失。報告顯示，94%的醫院受到不利財務影響，許多醫院因系統中斷每天損失超過100萬美元。

UnitedHealth在2024年應對網絡攻擊的總成本預計將達到23億至24.5億美元，包括收入損失、緊急IT措施和其他相關費用。到2024年10月，UnitedHealth正式確認超過1億人的個人信息在這次事件中遭到泄露。被竊數據包括敏感的健康信息，如醫療記錄、醫療保險詳情、個人身份信息（如社會安全號碼），以及賬單和支付信息等。

對Change Healthcare的勒索軟件攻擊對UnitedHealth和整個醫療系統都產生了深遠影響，凸顯了關鍵基礎設施部門網絡安全實踐中的脆弱性。