医疗保健业成为 Killnet 的攻击目标:您需要了解的信息和采取的措施
最近几天,随着多次导弹袭击和无人机袭击,乌克兰战争再次升温。这一行动是在乌克兰的西方盟友承诺提供坦克援助,帮助乌克兰击退俄罗斯军队之后发生的。但是,对抗网络犯罪分子的战斗在距离美国更近的地方发生,美国医疗企业和医院首当其冲。
近日,亲俄组织 Killnet 对美国多家顶级诊所及医疗中心发动了一系列分布式拒绝服务 (DDoS) 攻击。诸多专家推测,此类攻击的波及范围或将进一步扩大,延及至其他支持乌克兰的国家。
您或许听说过 Killnet
Killnet 并不是什么新组织,但他们对政府机构、私营公司(以及现在的医疗企业)发起的攻击性质在不断变化。欧洲议会议长 Roberta Metsola 指出,Killnet 是一个亲俄黑客组织,此前曾在欧洲议会领导人“将俄罗斯列为支持恐怖主义的国家”后,以 DDoS 攻击方式致使欧洲议会网站陷入瘫痪。立陶宛、捷克共和国和罗马尼亚的政府网站也都受到了攻击。
在美国,情况则更为广泛。去年,Killnet 的攻击对象至少涵盖三个州的政府官方网站。2022 年 10 月,美国多座机场的官方网站亦遭 Killnet 入侵。此外,该组织声称在同年 8 月的一次网络攻击中,成功窃取了国防承包商 Lockheed Martin 的员工数据。
所有这些被攻击对象都属于"关键基础设施"这个范畴,但攻击医疗系统则更进一步,有可能一举影响到数百万的患者。
常见的技术,独特的目标
Killnet 采用了两阶段式攻击,首先用 HTTP 泛洪攻击来袭击网站,然后用 DNS 放大攻击来攻击网站。这些技术并无独特之处,但 Killnet 近期将重点瞄准医疗行业,这一点则与众不同。
鉴于拜登政府于去年年底高调将医疗行业列为加强网络安全指导和要求的关键领域,亲俄组织趁机利用相关漏洞的行为并不完全出人意料。无论这些漏洞是推断所得还是业已查实,这一点并不重要。
我们了解的情况,以及可以提供的帮助
Killnet 攻击者对他们的目标进行了广泛的研究,最近的事件表明,医疗保健业可能会继续成为主要目标。随着医疗保健业数字化进程日益加快,围绕态势、基础架构和抵御措施的对话正在不断发展。
Akamai 对这种对话并不陌生,我们正在通过研究数据和审查攻击者的侦察技术来推动积极的对话。在医疗保健领域,这一点尤为重要,因该行业在 2022 年 Akamai 平台所记录的 DDoS 攻击数量居各行业之首(不包括数字商务等规模较大的垂直领域,这些领域由于行业本身较为成熟,攻击量更大)。
我们观察到,Killnet 这样的组织似乎很清楚谁目前受到了保护,而谁没有。DDoS 攻击往往集中在保护不力的实体上。通过细致而精准的侦察,攻击者会确定下一个攻击目标是谁。
我明白,要专门腾出时间和资源来评估怎么应对那些已知风险,确实不容易。但最怕的就是,平时没做好预案,真到了被卷入网络战争的那一天,才手忙脚乱,那才是最糟糕的。”
Akamai 安全运营副总裁 Roger Barranco
一个简单的 HTTP 请求或 BGP 对等查询即可验证从攻击者机器回到目标 Web 服务器的请求路径,或者算出目标基础架构是否受到基于 BGP/路由的 DDoS 防御措施保护。
接下来会怎样?
没有人能够预测未来。然而,考虑到医疗行业近年来刚经历过 COVID-19 疫情冲击、利润率持续走低以及用工短缺问题突出(除此之外尚有诸多挑战),医疗领域的准备工作讨论可能更侧重于临床疗效或财务层面,而非网络安全。
这种情况必须改变。如今,保护患者已不仅仅是戴口罩或接种疫苗那么简单。它关乎保护患者的个人数据,以及全方位保障那些需要全年无休、7×24 小时持续在线以提供医疗服务的系统。评估自身应对威胁的能力,是这场讨论中必不可少的一部分——而 Akamai 对此拥有深厚积淀,完全胜任引领之责。
若企业认可其防御态势中某一相对薄弱层面所伴随的风险,则至少应从技术层面评估紧急接入所需的各项前置条件——包括资源配置时间、资源配置期间的业务影响、现有设备配置要求及成本等因素。”
Akamai 安全运营副总裁 Roger Barranco