MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Systèmes existants ne répondant plus aux exigences de sécurité actuelles, terminaux connectés non gérés, faiblesse des contrôles d’accès… autant de vulnérabilités offertes par les organismes de santé aux cybercriminels.
Vectra, acteur majeur de la détection des cyberattaques et de la neutralisation des menaces basées sur l’intelligence artificielle, publie son rapport « Spotlight » sur les menaces informatiques ciblant le secteur de la santé. Hôpitaux et autres organismes médicaux sont particulièrement vulnérables aux cyberattaques du fait d’une surface d’attaque qui s’est considérablement élargie, avec la croissance du nombre d’objets connectés (IoT) utilisés, de réseaux non partitionnés, de faibles contrôles d’accès, et de la dépendance à des systèmes vieillissants. Les vulnérabilités en résultant sont exploitées par des cybercriminels pour voler des informations personnelles, des informations médicales protégées, et pour perturber le fonctionnement de services médicaux.
Les principaux enseignements du Rapport :
Les attaquants utilisent des tunnels HTTPS pour cacher leurs communications C&C (utilisées pour commander une attaque à distance). Cette méthode est la plus utilisée dans le cadre d’attaques qui ciblent les organismes médicaux. Elle repose sur une communication externe impliquant de multiples sessions sur de longues périodes de temps donnant ainsi l’impression de n’être qu’un trafic web chiffré tout à fait normal.
Les attaquants utilisent également couramment des tunnels DNS cachés pour dissimuler l’exfiltration de données des réseaux des structures de santé qu’ils ciblent. D’autres comportements compatibles avec l’exfiltration de données peuvent, également, être causés par des outils informatiques et de sécurité utilisant la communication DNS.
Autre tendance : une fois infiltrés, les attaquants procèdent à la reconnaissance des réseaux, via des scans Darknet internes et l’analyse de comptes Microsoft Server Message Block (SMB). Les scans Darknet internes se déroulent lorsque des périphériques hôtes internes recherchent des adresses IP internes qui n’existent pas sur le réseau. De leur côté, les analyses de comptes SMB se produisent lorsqu’un périphérique hôte utilise rapidement plusieurs comptes via le protocole SMB qui est généralement utilisé pour le partage de fichiers.
Le ransomware, en baisse dans le secteur médical : de nombreuses organisations en ont été victimes ces dernières années, mais la tendance du ransomware est à la baisse sur la période du rapport (2ème semestre 2018). Pour un hôpital, il demeure tout de même essentiel de détecter ces attaques avant que les fichiers ne soient chiffrés et que toutes les opérations cliniques ne soient interrompues.
Les attaques par Botnet sont opportunistes et n’ont pas de cibles privilégiées : bien qu’elles persistent partout, leur taux d’occurrence dans le secteur de la santé est inférieur à celui d’autres industries.
Chris Morales, responsable analyse sécurité chez Vectra explique : « Les organismes du secteur de la santé ont du mal à gérer leurs systèmes qui sont généralement anciens et plus globalement l’ensemble de leurs dispositifs médicaux. Ils ont souvent des contrôles de sécurité faibles et fournissent un accès critique aux informations de santé des patients. S’ils veulent mieux gérer les risques liés aux systèmes existants et aux nouvelles technologies qu’ils adoptent, les organismes de santé doivent améliorer la visibilité sur leurs réseaux et les comportements ».
Conception du Rapport :
Le « Spotlight Report on Healthcare » se base sur les observations et données d’un rapport plus global de Vectra mené auprès de 354 entreprises dans 8 industries différentes, parmi lesquelles la santé. Ce rapport met en lumière les comportements et les tendances observés sur les réseaux de ces entreprises. Il révèle notamment que les attaquants masquent souvent leurs actions malveillantes en se mêlant aux comportements de trafic réseau existants. Le « 2019 RSA Conference Edition of the Attacker Behavior Industry Report » est disponible ici.
Entre juillet et décembre 2018, Cognito, la plateforme de détection et de réponse aux menaces de Vectra, a surveillé le trafic réseau et collecté les métadonnées de plus de 3 millions de workloads et terminaux de clients, sur des environnements Cloud, datacenter et entreprises. L’analyse de ces métadonnées fournit une meilleure compréhension des comportements d’attaquants et des tendances, ainsi que des risques business, tout en permettant aux clients Vectra d’éviter des failles de données potentiellement désastreuses.
Les résultats établis par le « Vectra 2019 Spotlight Report on Healthcare » soulignent l’importance d’utiliser l’intelligence artificielle et le machine learning pour détecter les comportements des cybercriminels cachés dans les réseaux informatiques des entreprises avant qu’ils n’aient la possibilité d’espionner, de diffuser des malwares ou de voler des informations sensibles.
