Các nhà cung cấp dịch vụ chăm sóc sức khỏe dựa vào việc trao đổi tập tin liên tục, thường chứa PHI (thông tin sức khỏe được bảo vệ). Các tập tin này có thể bao gồm từ kết quả xét nghiệm và hình ảnh y tế đến dữ liệu thanh toán hoặc báo cáo nhà cung cấp, và việc di chuyển chúng giữa các đối tác và địa điểm là rất quan trọng đối với việc chăm sóc bệnh nhân. Tuy nhiên, chúng cũng là mục tiêu hấp dẫn đối với kẻ tấn công. Tạp chí HIPAA báo cáo rằng chỉ riêng trong năm 2024, các vụ vi phạm an ninh mạng trong lĩnh vực chăm sóc sức khỏe đã làm lộ hơn 237 triệu hồ sơ bệnh nhân, với các sự cố như vụ tấn công Change Healthcare ảnh hưởng đến 190 triệu người. Gần đây hơn, các vụ vi phạm tại Episource và AMEOS cho thấy các tập tin bị xâm phạm và kết nối đối tác có thể lan truyền trên toàn bộ mạng như thế nào.
Chuyển tập tin là một vectơ tấn công chính
Đối với nhà cung cấp dịch vụ chăm sóc sức khỏe châu Âu này, hàng nghìn giao dịch chuyển dữ liệu hàng ngày được chuyển qua các chia sẻ SFTP và SMB cũ kỹ với mức độ kiểm tra tối thiểu. Các tệp được mã hóa trong quá trình truyền tải nhưng hiếm khi được kiểm tra kỹ lưỡng khi nhập, chỉ dựa vào một lần quét vi-rút duy nhất mà không thể phát hiện các cuộc tấn công nâng cao hoặc tấn công zero-day. Kết quả là một điểm mù nguy hiểm: dữ liệu nhạy cảm của bệnh nhân và hệ thống vận hành có thể bị lộ chỉ qua một tệp độc hại từ một đối tác đáng tin cậy.
Ngoài việc tải lên dữ liệu từ đối tác bên ngoài, một mối quan tâm chính khác là Hệ thống Thông tin Chăm sóc Sức khỏe (HCIS) cốt lõi của nhà cung cấp. Khối lượng lớn dữ liệu lâm sàng và vận hành phải được chuyển giao hàng ngày cho các đối tác thương mại, nhưng các luồng dữ liệu này lại thiếu tự động hóa và kiểm soát bảo mật, khiến chúng dễ bị tổn thương trước những rủi ro tương tự.
Các yêu cầu tuân thủ theo HIPAA và GDPR đã tăng thêm một cấp độ khẩn cấp: mỗi tệp độc hại chưa được phát hiện không chỉ là một rủi ro bảo mật mà còn tiềm ẩn nguy cơ vi phạm quy định. Kết quả là một môi trường mà các luồng tệp được mặc định là an toàn, nhưng trên thực tế, vẫn bị đe dọa bởi các mối đe dọa mạng tinh vi. Lỗ hổng này đã khiến hồ sơ bệnh nhân, dữ liệu tài chính và các hệ thống vận hành quan trọng gặp rủi ro, nhấn mạnh nhu cầu cấp thiết phải kiểm tra sâu hơn ở cấp độ tệp.
Phát hiện những thứ không thể phát hiện
Khi MetaDefender Managed File Transfer (MFT)™ ( MFT ) đã được giới thiệu trong quá trình đánh giá kỹ thuật, nhà cung cấp dịch vụ chăm sóc sức khỏe đã kết nối nó với các thư mục SFTP và SMB hiện có của họ. Trong quá trình chứng minh khái niệm, MetaDefender Managed File Transfer (MFT) tự động khởi chạy quy trình chuyển tập tin và kiểm tra an toàn trên các tập tin được lưu trữ trong hai tuần qua.
Điều bất ngờ đã xảy ra khi hệ thống truy cập vào một tệp được tải lên chỉ một ngày trước đó. Được gắn nhãn "Accounting_Report_Q1.doc" và được gửi bởi một nhà cung cấp đáng tin cậy, tệp này đã vượt qua phần mềm diệt vi-rút của tổ chức mà không gây ra báo động nào. Tuy nhiên, khi tệp được xử lý qua MetaDefender Managed File Transfer (MFT) quy trình làm việc tự động và được phân tích trong tích hợp Sandbox bản chất độc ác thực sự của nó đã bị phơi bày.
Cùng với phân tích sandbox, Metascan™ Multiscanning , đó là một OPSWAT Công nghệ kết hợp hơn 30 công cụ chống phần mềm độc hại thành một lớp bảo mật mạnh mẽ, đồng thời kiểm tra chéo tệp. Kết quả xác nhận không có chữ ký nào được biết đến, củng cố kết luận rằng đây thực sự là một phần mềm độc hại zero-day.
3 bước của cuộc điều tra
1. Hành vi ban đầu
Tài liệu này có vẻ bình thường với người dùng, nhưng hành vi của nó lại cho thấy một câu chuyện khác.
- Mã shellcode được giải mã JavaScript bị làm tối nghĩa trực tiếp trong bộ nhớ
- Một chuỗi tiến trình đáng ngờ đã được khởi chạy: winword.exe → cmd.exe → powershell.exe (lệnh Base64)
- Tệp đã thử kết nối HTTPS ra ngoài đến một địa chỉ IP bất thường
- Nó đã tải xuống một tải trọng giai đoạn thứ hai (zz.ps1)
- Nó đã cố gắng liệt kê các chi tiết hệ thống và ghi vào các thư mục tạm thời
2. Những dấu hiệu cảnh báo tiềm ẩn
Quét tĩnh truyền thống đã bỏ sót tất cả những điều này. Nếu không có macro, không có dấu hiệu nhận biết và không có phần mềm độc hại nào rõ ràng trong cấu trúc tệp, mối đe dọa sẽ không thể phát hiện được. MetaDefender Tuy nhiên, phân tích thích ứng Sandbox™ đã đưa ra những dấu hiệu cảnh báo rõ ràng:
- Các mẫu tiêm DLL
- Quá trình rỗng
- Hành vi báo hiệu chỉ huy và điều khiển
3. Phán quyết và phản hồi
Phán quyết: một kẻ lừa đảo đa ngôn ngữ có nguy cơ cao.
MetaDefender Managed File Transfer (MFT) sau đó tự động cách ly tệp, chặn lưu lượng truy cập ra ngoài đến IP được gắn cờ và tạo báo cáo hộp cát đầy đủ với các IOC (chỉ số xâm phạm). Các IOC này được chia sẻ với SOC (Trung tâm Điều hành Bảo mật) để tiếp tục theo dõi, và các chính sách đã được cập nhật để cô lập các mối đe dọa tương tự trong các lần chuyển giao sau.
Xây dựng một hệ thống phòng thủ vững chắc hơn
Phát hiện này cho thấy các tệp độc hại đã ẩn náu trong các thư mục dùng chung trong nhiều ngày, đây là rủi ro không thể chấp nhận được trong môi trường xử lý dữ liệu bệnh nhân. Với MetaDefender Managed File Transfer (MFT) tại chỗ, mọi chuyển giao đối tác hiện phải chịu sự kiểm tra nhiều lớp:
MetaDefender Sandbox™
MetaDefender Sandbox™ sử dụng quy trình phân tích phần mềm độc hại để thực thi và quan sát các tệp đáng ngờ theo thời gian thực, đánh dấu phần mềm độc hại zero-day vượt qua các biện pháp phòng thủ tĩnh.
Metascan ™ Multiscanning
Metascan™ Multiscanning sử dụng hơn 30 công cụ để phát hiện các mối đe dọa đã biết và mới nổi.
Đánh giá lỗ hổng bảo mật dựa trên tệp tin
Xác định lỗi trong trình cài đặt, phần mềm nhúng và gói trước khi thực hiện.
Phòng chống dịch bệnh
Liên tục phân tích các tệp đã lưu trữ và sử dụng cơ sở dữ liệu thông tin tình báo về mối đe dọa mới nhất để phát hiện và cách ly các tệp đáng ngờ trước khi chúng lây lan.
Đồng thời, MetaDefender Managed File Transfer (MFT) tập trung tất cả các hoạt động chuyển tập tin vào một hệ thống dựa trên chính sách. Mọi tập tin, hành động của người dùng và tác vụ chuyển tập tin đều được ghi lại, tạo ra các dấu vết kiểm toán rõ ràng, hiện đang hỗ trợ tích cực việc tuân thủ HIPAA và GDPR. RBAC (kiểm soát truy cập dựa trên vai trò) và quy trình phê duyệt của Giám sát viên đã hạn chế những người có thể tương tác với các tập tin nhạy cảm, trong khi tự động hóa dựa trên chính sách bảo mật giúp giảm thiểu chi phí thủ công.
Tác động hoạt động và bài học kinh nghiệm
Cảnh báo ngày thứ 0 đóng vai trò là bước ngoặt. Quét động cơ đơn cũ đã được thay thế bằng OPSWAT 'S Multiscanning Stack, kiểm tra sandbox trở thành bắt buộc đối với tất cả các giao dịch chuyển tệp của bên thứ ba, và tính năng ngăn chặn dịch bệnh được bật theo mặc định. Các nhóm bảo mật có thể theo dõi mọi trao đổi, các nhân viên tuân thủ nhận được nhật ký có thể kiểm tra, và dữ liệu bệnh nhân được bảo vệ tốt hơn trên toàn hệ sinh thái.
Quan trọng nhất, tổ chức đã rút ra một bài học quan trọng: ngay cả những đối tác thiện chí cũng có thể gửi các tệp nguy hiểm mà không hề hay biết. Bằng cách tích hợp sandbox và kiểm tra tệp sâu trực tiếp vào quy trình chuyển giao, nhà cung cấp đã chuyển từ bảo mật phản ứng sang phòng ngừa chủ động.
Bảo vệ quy trình làm việc lâm sàng thông qua Secure Chuyển tập tin
Với MetaDefender Managed File Transfer (MFT) Và Sandbox Hiện đang hình thành tuyến phòng thủ cho việc truyền tệp, nhà cung cấp dịch vụ chăm sóc sức khỏe đang đánh giá cách mở rộng cùng một mô hình bảo mật nhiều lớp trên các quy trình làm việc bổ sung, bao gồm tải lên web và chia sẻ dữ liệu liên phòng ban. Mục tiêu không chỉ là theo kịp việc tuân thủ, mà còn đảm bảo rằng mọi tệp, bất kể nguồn gốc từ đâu, đều được xác minh, sạch sẽ và an toàn trước khi đưa vào môi trường lâm sàng.
Giải pháp này không chỉ tăng cường bảo mật cho việc trao đổi tệp mà còn cho phép bệnh viện tự động hóa việc định tuyến theo chính sách các tệp tin an toàn, đảm bảo dữ liệu nhạy cảm được di chuyển đáng tin cậy và đúng thời hạn.
Không giống như các công cụ cũ chỉ bảo vệ kênh truyền tải, OPSWAT bảo mật cả tệp và luồng dữ liệu. Sự khác biệt đó đã được chứng minh là quyết định và hiện là trọng tâm trong chiến lược an ninh mạng dài hạn của nhà cung cấp.
Bảo vệ các tập tin của bạn trước khi nội dung độc hại xâm nhập vào mạng của bạn. Kết nối với OPSWAT chuyên gia ngày nay.
