2024/04/10 18:20:27
2024年2月,美国健康保险巨头联合健康集团(UnitedHealth)遭受了一场空前的黑客攻击,此次攻击直接指向该公司内部负责处理索赔及电子转账的部门Change Healthcare,上千万美元的保险支付中断,致使美国大量医院、诊所、药店被迫终止了服务,其中包含心血管疾病、癌症等患者需要长期服用的处方药提供。美国医院协会主席贝·格劳斯对媒体表示:“(此次网络攻击造成)无法验证患者的资格和保险范围,无法沟通药房处方、提交索赔,无法获得现金流以支持运营等。”
目前,虽然联合健康拒绝回答相关问题,但已有多方消息指出:为了尽快恢复业务,联合健康已向黑客组织BlackCat支付比特币赎金,价值约2200万美元。
本次勒索软件攻击事件,官方至今没有进行完整的信息公开,但从已经透露的信息看,这是一次精心策划的供应链漏洞攻击事件。黑客组织BlackCat破坏了大型银行用来处理交易的一个软件系统,并以此瘫痪了一个连接医疗服务提供商、药房和保险公司的网络,其中主要是针对联合健康集团旗下的Change Healthcare平台,而该业务平台每年需要处理全美医疗保健交易约150亿笔,涉及美国三分之一的患者病例,BlackCat便是以此为要挟发起勒索。
虽然Change Healthcare公司发言人在接受采访时,拒绝回答是否向BlackCat组织支付了赎金。但3月初,一个与BlackCat组织关联的比特币账户收到了350比特币,汇算后约合2200万美金。一众媒体、安全专家、区块链专家均判断,这笔交易基本可以确定就是来自Change Healthcare的赎金。
今天的医疗保健行业对IT和OT技术已形成深度依赖,并衍生出庞大供应链体系,客观增加了遭到网络攻击的风险,而医疗行业的服务中断又会带来严重的社会问题,这使其成为了黑客眼中非常完美的勒索攻击目标。面对每天都在增长的业务经济损失,以及愈发恶劣的社会影响与民众不满,Change Healthcare母公司联合健康集团希望通过交赎金尽快恢复业务,也是此时的无选之选。
黑猫的踪迹针对Change Healthcare展开勒索软件攻击的黑客组织名为“BlackCat”,最早关于该组织的新闻出现于2020年,曾用名包括“ALPHV”、“BlackMatter”、“Darkside”等,该团队因其独特的技术手段和使用Rust语言开发的高度定制化的恶意软件locker而名声大噪。
2021年针对美国最大燃油管道运营商Colonial Pipeline的攻击同样是该组织的手笔,这次攻击一度中断了美国东海岸的燃气运输,并导致部分东海岸城市出现短暂的燃料短缺,最后同样是受害企业交付赎金收场。
为了打击“黑猫”的嚣张气焰,2023年FBI曾对其展开过专项打击行动,并宣布已经阻止了多起“BlackCat”即将发动的网络攻击,然而距离此次专项行动仅两个月,Change Healthcare便遭到该组织的勒索病毒攻击。
本次网络攻击事件的主角Change Healthcare,是联合健康集团旗下非保险业务板块OptumInsight(经营健康信息技术服务)的组成部分。根据官方介绍,Change Healthcare是一家收入和支付周期管理提供商,其通过平台将美国医疗保健系统中的付款人、提供者和患者联系起来。
依托联合健康的庞大业务体系,Change Healthcare每年要处理全美约150亿笔医疗保健交易,涉及美国三分之一的患者病例,这使其成为美国医疗领域举足轻重的重要信息化供应商。也正因如此,本次网络攻击发生后才会有大量医院、诊所、药店无法收到回款导致经营困难,并进一步导致很多患者无法正常获取医药服务。
面对数以万计的患者与医疗机构陷入困境,我们很难判断联合健康集团在面对此次勒索攻击时的应对措施是否得当,但通过交付赎金换取服务尽快恢复的操作,可以说是对用户与社会负责的行为。
然而,随着疑似巨额的赎金到账,更多安全专家开始担忧这2200万美金给医疗保健行业竖起了危险的先例,此后会有更多黑客组织会进行效仿,并且赎金也会被用于资助正在酝酿中的新一轮攻击。
总结来看,赎金可以付,但勒索只会更加猖獗。
供应链安全隐患在全球网安领域并不是新话题,然而在对近期重大安全事件的分析中我们会发现,由于对IT与操作系统的依赖程度增加,让全量网络资产维护变得极为复杂、困难,攻击者也更倾向通过识别和利用供应链中的漏洞发起攻击。这种攻击型的危险性在于它不仅仅影响到单一实体,而是有相当概率对整个行业造成威胁,甚至停摆重要的社会公共服务,造成严重的“次生灾害”。
大多数被爆出的供应链漏洞安全事件都会伴随一个关键词——N-day漏洞,此前无论官方还是安全行业内的其他组织都已发布过公告与处理意见,但黑客组织仍能充分利用其完成勒索攻击。此次Change Healthcare勒索攻击事件虽然暂无官方消息,但已有安全专家分析出,识别利用供应链中的N-day漏洞很可能是此次攻击事件的主要手段。
那作为事关国计民生的医疗体系重要组成部分,Change Healthcare为什么没有及时修复,而是让漏洞处于“未被修复”的状态呢?
这就引出了另一个问题:有限的自查能力&未被发现的边缘资产
大型企业组织背后往往是规模庞大的供应链体系,这就让资产自查成为了一项极为复杂的工作,而其中的盲区就是导致安全漏洞频繁出现的主要原因。
企业组织自查资产的局限性主要体现在以下方面:
1.资产识别不全面
很多企业并没有一个完整、准确的资产清单,尤其是分布广泛、种类繁多的IT和OT资产。没有被全面识别和记录的资产很难得到适当的管理和保护,这直接导致了安全管理的盲区。
2.自查频率和深度不足
即便企业进行了资产自查,频率和深度往往也难以满足需求。随着新技术的不断采用和部署,企业的资产环境也在持续变化,但自查活动往往跟不上这种变化的速度,无法及时发现新的安全威胁和脆弱性。
3.缺乏有效的自动化工具
资产自查的效率和准确性在很大程度上依赖于自动化工具。然而,很多企业要么没有投入必要的资源来获取这些工具,要么所采用的工具不能很好地与其它安全系统集成,导致资产管理和风险评估的效果大打折扣。
4.对新兴技术和服务的忽视
云服务、容器、微服务等新兴技术的广泛应用给资产管理带来了新的挑战。很多企业在这些新兴领域的资产自查上尚处于起步阶段,缺乏有效的管理和保护策略。
5.资产归属和责任不明确
在大型组织中,资产的所有权和管理责任往往分散在不同的部门和团队中,这使得统一的资产自查变得复杂且困难。没有明确的责任归属,资产的安全维护往往会被忽视。
如果说此次Change Healthcare勒索攻击对我国网络安全建设有什么借鉴意义,那该平台本身的特殊社会价值需要被首先考虑。作为美国医疗保障的重要组成部分,Change Healthcare的停摆对美国医疗体系造成了破坏性的影响,蔓延至全产业链的多个环节,原本由患者、医院、社区诊所、制药公司、保险公司组合成的高效社会保障体系,在此次攻击中崩溃。
可以说,这是国际黑客组织“绑架社会公共服务为‘人质’,索取巨额赎金”的尝试,此后会有更多“模仿犯”将攻击目标瞄准这一领域。
我国信息化近年快速发展,尤其是事关国计民生的关基单位,同样面临着类似的网络安全威胁。上海、湖南等地也都出现过医疗机构突然遭到网络攻击,导致系统停摆的情况。面对这样的挑战,传统的安全策略显然已无法满足当下企业的需要,华顺信安凭借多年在网络空间测绘技术及大数据分析、AI等的积累,自主研发了一款创新的互联网资产攻击面管理解决方案——明见·FORadar。
FORadar平台是一个基于攻击者视角的自动化互联网资产攻击面梳理引擎,旨在实现暴露面发现和影响面评估的极致效率。通过全球分布式的FOFA资产搜索引擎节点,结合多种资产线索的动态扩展,FORadar能够精准地识别并监测企业的互联网资产。该平台采用AI规则识别算法,自动化地识别和分类互联网资产,提供实时的风险监测与警告,从而大幅度提升企业对网络安全威胁的响应速度和准确性。
1.建立互联网资产库
FORadar平台帮助企业构建全面的互联网资产库,这是企业加强网络安全防护的基础。通过主体单位提供的高可信原始线索,FORadar可自动化进行线索扩展并研判线索真假,再基于原始资产和线索进行智能化探测识别,从而获取主体单位互联网暴露面资产,最后提取互联网暴露面资产线索构建循环线索库,进行二度、三度、四度等探测和识别,企业由此能够获得全景式的资产视图,包括但不限于资产台账、疑似资产、威胁资产、数字资产、域名资产、登录入口、证书资产、业务系统等所有互联网暴露资产。依据华顺信安实战演练攻击队的最佳实践总结出来的相关流程、经验、方法论,FORadar将整个流程固化为自动化梳理流程,完成资产的自动探测识别,整个流程经过多个场景和实战化验证,辅助企业发现未知的资产。
2.漏洞应急响应
依托于FORadar的实战化漏洞检测机制,企业能够实现快速实战化的漏洞应急响应。依据PoC进行定向漏洞验证,通过攻击路径检测规则完成隐藏攻击路径检测,聚焦暴露风险,进行风险认知预警。平台通过不断学习和适应最新的网络威胁模式,以自学习式AI算法为基础,自动化探测并识别出潜在的漏洞和安全威胁,从而极大的著缩短了从漏洞发现到修复的时间,还能针对具体的安全漏洞提供定制化的响应策略。
3.供应链资产识别
FORadar平台采用了高度自动化的资产探测技术和AI算法、超过35w条指纹规则积累,能够深度识别企业供应链中的互联网暴露资产。通过全球分布式的资产搜索引擎FOFA,平台能够快速定位并识别出连接企业核心网络的供应链合作伙伴的网络资产,包括但不限于第三方服务提供商、合作伙伴企业的网站、应用服务器等,确保企业能够对整个供应链的互联网暴露面有全面的了解和控制。
4.热点漏洞检测
跟踪最新漏洞,并自动碰撞最新漏洞关联的IP以及相关影响,一旦供应链中的互联网资产被识别,FORadar平台可以进一步进行漏洞扫描和检测。利用其丰富的漏洞库和及时更新的漏洞检测规则,平台能够准确识别供应链资产中的已知漏洞和潜在安全风险。此外,FORadar还结合了AI技术,通过学习漏洞利用模式和攻击行为,提前预测和识别可能的0DAY漏洞,即使没有公开漏洞细节,也可以基于该漏洞的互联网影响面快速定位企业暴露的互联网资产,从而为企业提供前瞻性的安全防护。
5.综合性安全管理
除了对供应链资产的识别和漏洞检测外,FORadar平台还提供了一系列的安全管理工具,帮助企业整合和分析安全数据,形成综合性的安全管理视图。平台支持对检测结果进行深度分析,辅以图表和报告,帮助安全团队快速理解供应链的安全状况,及时制定应对措施。此外,FORadar还能够与企业现有的安全系统集成,如SIEM、SOAR等,进一步加强供应链的整体安全防御。
在揭露了Change Healthcare事件的背景及其社会影响之后,我们深入了解到精细策划的网络攻击能够对整个医疗保健体系造成极大的冲击。这不仅仅是一个企业面对勒索软件攻击的个案,也是为整个供应链安全防御敲响的警钟。一个看似不起眼的安全漏洞,不仅仅使互联网资产遭受威胁,更重要的是可能涉及到内网环境中的服务中断、信息泄露、内网供应链安全等。因此,针对内网的资产及漏洞进行持续的检测与监控,来应对日益复杂的网络威胁是十分有必要的。
结合供应链漏洞的特殊性和医疗行业面临的安全挑战,我们还提出一个综合性的内网资产测绘及漏洞检测解决方案,致力于为企业打造一个全方位、多层次的安全防护体系。该方案不仅覆盖了企业内部资产的安全管理,还扩展到了供应链伙伴及医疗行业相关系统的安全防护,确保从内到外的全链条安全。
1.全面资产发现与精准分类
通过主动扫描探测、特征识别匹配等技术手段对目标网络资产进行全面、精准的立体网络测绘,同时对资产进行精确分类,识别出直接或间接连接至供应链系统以及医疗行业关键设备的资产,确保每一项资产都在安全管理的视野之内。
2.精准资产画像与关联分析
通过自动化的技术刻画企业的IP、端口、组件、存活的应用,关联漏洞、违规、归属等信息,对每个资产进行深入分析,建立精准的资产画像,并通过关联分析,理解资产之间的依赖关系,特别是与供应链伙伴和医疗行业系统相连的关键资产。如此分析不仅能够帮助企业识别潜在的风险点,还为风险评估和安全策略制定提供了坚实的数据支持。
3.实战化漏洞识别与优先级评估
结合最新漏洞情报和AI分析技术,对内网资产进行持续的漏洞扫描,特别关注那些影响供应链安全和医疗行业系统的关键漏洞。利用绘制出的资产地图,基于资产与漏洞的关联策略,精确圈定风险资产范围,并利用漏洞PoC进行专扫,提升漏洞发现效率。通过实战化分析,优先识别和修复对业务影响最大的高风险漏洞,确保企业核心资产安全。
4.持续监控与变动追踪
采用先进的监控工具对内网环境进行实时监控,及时发现新的风险点和异常行为,同时对资产的变更进行持续追踪,为安全团队提供实时的安全态势和事后的风险溯源信息。
5.应急响应与安全加固
建立快速的应急响应流程,一旦发现漏洞利用行为或其他安全威胁,能够迅速采取措施,最小化安全事件的影响。根据内网资产测绘和风险评估结果,对网络环境进行针对性的安全加固,提升整体的防护能力。
6.整合报告与风险管理
将内网资产测绘和漏洞检测的结果整合成全面的安全报告,为企业提供清晰的安全状况视图和具体的改进建议。通过生成报告,帮助企业管理层和安全团队更好地理解和管理内网和供应链系统的安全风险。
包括此次Change Healthcare事件在内,大量安全事件都在证明加强供应链资产风险监测、提升未知资产及风险资产检测能力的重要性。
面对这种组织化的网络攻击,政府及企业单位必须构建系统化且持续的资产管理,特别是针对供应链资产及边缘风险资产的监测,采用网络空间测绘技术及暴露面梳理探测手段,持续并准确的进行资产盘点、漏洞挖掘及风险评估,才能有效识别并防范潜在的网络安全威胁,确保关键信息基础设施和公共服务的安全与稳定。
