从Change Healthcare遭遇的勒索软件灾难中学到的八个重要教训

从Change Healthcare遭遇的遭灾难中学灾难性的勒索软件攻击中得出的教训正在逐渐明晰，这一事件鲜明地展示了医疗行业的勒索脆弱性 ，并促使人们呼吁采取监管行动 。软件

今年2月的个重攻击破坏了全美的保险理赔处理
，给诊所 、教训药房和患者带来了混乱，遭灾难中学他们无法完成预先授权的勒索处方或保险覆盖的医疗治疗。

Change Healthcare处理的软件向医疗服务提供者的服务器租用付款流动因系统被攻击而突然中断 ，系统被迫下线以应对攻击。个重

尤其是教训较小的医疗服务提供者和农村药房在这次攻击中遭受了巨大的收入损失，有些甚至接近破产。遭灾难中学最终 ，勒索这次攻击暴露了潜在三分之一美国公民的软件个人数据 ，给母公司UnitedHealth Group(UHG)带来了超过8.72亿美元的个重处理费用和由此引起的破坏 。

这些费用的教训一部分包括向成千上万的提供者提供加速付款和无息、高防服务器无费用贷款 。另一部分被 earmarked用于事件响应和彻底重建Change Healthcare的系统 。包括收入损失在内 ，预计此次攻击将使UHG损失超过10亿美元 。

对此
，美国政界人士呼吁在卫生部门强制实施基础网络安全标准 ，并加强信息共享
。他们还担心行业整合正在增加网络风险 
。

总的来说 ，对Change Healthcare的勒索软件攻击——UHG在2022年以近80亿美元收购的公司——展示了安全控制不佳在勒索软件攻击中经常出现的因素。以下是亿华云攻击后的几个教训
 。

多因素认证(MFA)是必不可少的

在5月初的国会听证会上
，UHG首席执行官Andrew Witty表示，犯罪分子使用被盗的凭证远程访问了Change Healthcare的Citrix门户，这是一种允许远程访问桌面的技术，大约在2月12日 。该门户未启用多因素认证(MFA)，这是云计算基本的企业安全控制措施。

虽然不能完全防弹，但MFA长期以来被认为是保护系统免受凭证攻击的最佳实践 。据ESET首席安全传道者Tony Anscombe称 ，MFA未启用很可能在攻击者能够远程访问Change Healthcare的系统中起了关键作用，使得这一事件高度可避免 ，未能采用最基本的网络安全原则是一场巨大的失败 。

“我们不知道没有MFA的原因是模板下载什么，是无能、预算限制、用户需求还是其他原因?”Anscombe说 。

Illumio关键基础设施主管Trevor Dearing评论道：“成功的勒索软件攻击中
，效率低下的安全控制往往是一个因素。无论是缺乏MFA控制
、未修补的网络门户 ，还是源码下载过期的DLP(数据丢失防护)系统 ，任何漏洞都可能导致巨大的破坏 。”

分段你的系统

在获得Change Healthcare系统的立足点后，攻击者随后进行了横向移动并在2月21日部署ALPHV/BlackCat勒索软件之前提取了数据。

因此 ，许多事后报告中提出的另一个问题是Change Healthcare的系统缺乏分段，导致攻击的横向移动变得容易 ，这导致了关键资产暴露给攻击者 ，据Dearing称。

分段涉及将一个大型网络系统划分为较小、隔离的子段，从而使安全团队更容易保护和监控IT资产
 ，防止像针对Change Healthcare的横向攻击 。分段长期以来一直是纵深防御策略的关键部分
。

并购活动需要网络尽职调查

Change Healthcare的勒索软件攻击也为后并购的系统尽职调查提供了教训。

UHG在2022年10月收购了美国最大的医疗理赔清算机构Change Healthcare
，此前曾与美国司法部展开法律斗争，后者认为此次收购会损害健康保险市场的竞争，并影响用于处理健康保险理赔的技术  ，从而使UHG
，这家美国最大的健康保险提供商，获得其竞争对手的数据 。

收购后，Change Healthcare与UHG的Optum健康服务公司合并，由Optum的CIO和CTO以及UHG的CISO Steven Martin领导安全运营。

并购创造了新的网络威胁，因为它们涉及来自不同组织的系统
、数据和流程的整合 ，每个企业都有其自己的安全协议和潜在漏洞。

“在此过渡期间，网络犯罪分子可以利用安全措施的差异、IT治理的漏洞以及管理合并的IT环境的复杂性增加的情况
，”CTERA的CTO Aron Brand告诉CSOonline。“此外，各方之间敏感信息的高度共享也为数据泄露提供了更多机会。”

鉴于所涉及的复杂性和风险，Brand建议，医疗和非医疗组织在合并期间必须拥有一份全面的尽职调查清单 。

“这应包括详尽的安全审计，以评估被收购公司的网络安全状况、识别漏洞并评估其事件响应能力，”Brand说，“例如
，如果彻底的评估解决了缺乏强大MFA控制的问题 ，Change Healthcare的漏洞可能会得到缓解。”

Expel的威胁情报分析师Aaron Walton表示同意。

“从听证会上 ，我们没有了解到导致延迟的原因
，但这表明Change未能与UnitedHealth Group的所有安全政策保持同步 ，”他说 ，“如果Change实施了UnitedHealth的升级
、流程和政策
，可能会解决导致Change Healthcare遭到攻击的一些问题 ，例如缺乏MFA 。”

自保的风险

在国会听证会期间回答问题时，UHG首席执行官Witty承认公司对网络事件采取了“自保” 。

网络保险提供商在批准保单之前会要求高水平的风险缓解。对于许多企业而言 ，这本身就是确保系统强化的动力 。对于那些放弃保险的组织来说，这一点尤为重要 。

“自保并接受风险的选择，Change Healthcare似乎采取了这种立场 ，不应以牺牲网络安全措施为代价 ，”ESET的Anscombe告诉CSOonline  ，“我认为不可能由于风险增加而无法获得保险——一切都可以投保 ，只是保费的成本问题
。”

Anscombe补充道：“由于非合规的网络安全措施导致保费过高而不投保是不可原谅的 ，因为这不必要地将企业、客户、合作伙伴和许多其他人置于风险之中。”

企业应采取符合网络风险保险要求的立场 
，或者更好的是，符合公认的网络安全框架的要求，Anscombe建议。

与敌人共存

攻击者在Change Healthcare系统上停留了超过一周(九天)，然后才部署勒索软件 。

这种延迟在企业攻击中并不罕见 。据专家介绍 ，攻击者在被攻破的网络中升级权限和横向移动所需的时间，并不意味着被发现的可能性更大，这是因为攻击者费尽心思伪装他们的活动，例如滥用合法的程序和命令 ，使其轻易融入常规的预期流量中。

Silobreaker的Baumgaertner评论说：“勒索软件组织通常会在受害者的系统中停留很长时间，利用时间在网络中横向移动
，以造成尽可能大的破坏。此外，他们在网络中保持未被发现的时间越长 ，就有更多时间找到并窃取敏感数据。”

虽然很难说Change Healthcare是否可以在攻击者升级其行动时检测到他们 ，但这些关于勒索软件攻击进展的事实在制定应对策略时应予以考虑。

双重风险——关于赎金支付的辩论

UHG首席执行官Witty在国会证词中证实，这家医疗保健集团已向BlackCat/ALPHV勒索软件组织的网络犯罪分子支付了相当于2200万美元的比特币作为赎金 。

随后，BlackCat/ALPHV实施了退出骗局，携款消失，据报道还欺骗了其附属组织Nichy
 。

Change Healthcare支付赎金的行为重新引发了关于是否允许支付网络犯罪分子的勒索要求的广泛辩论，尤其是在支付赎金并不能保证攻击者会删除被盗数据或避免未来攻击的情况下。

ESET的Anscombe评论说 ：“是否支付勒索软件要求的决定应该由法院做出，就像一些医疗决定是由法院做出的一样。

“然而，在大多数支付情况下 ，这个决定似乎纯粹是出于财务考虑，以减少业务中断和重建系统以恢复的持续任务。”他总结道。

CTERA的Brand告诉CSOonline ：“最近的调查显示
，双重勒索——即攻击者要求赎金并威胁泄露被盗数据——是77%的勒索软件攻击的一部分。赎金支付还可能激励网络犯罪分子攻击其他组织
，从而引发延续勒索软件攻击循环的伦理困境 。”

最终，支付赎金未能保护UHG免受二次勒索企图的侵害。

据安全供应商Forescout分析
，4月 ，RansomHub组织的网络犯罪分子威胁要泄露从Change Healthcare泄露中获得的6TB敏感数据的一部分，这些数据是通过Nichy获取的
。据估计 ，有三分之一的美国人因这次攻击而暴露了敏感数据 。

医疗行业面临越来越多的攻击

合规专家指出，这种二次诈骗越来越普遍，医疗保健提供商尤其容易受到攻击。

国际律师事务所Taylor Wessing技术 、知识产权和信息团队的合伙人Victoria Hordern告诉CSOonline
：“对于打算进行勒索软件攻击的网络犯罪分子来说 ，健康数据泄露是一个诱人的前景 ，因为他们知道如果医疗机构无法访问数据以提供患者护理，将会陷入瘫痪。”

Hordern继续说：“当系统数量增加且涉及多方(如患者 、医疗提供者 、技术支持)时，就会有更多的薄弱点和漏洞，坏人可以通过这些点进入并控制系统
。”

美国卫生与公众服务部(HHS)正在调查是否在评估UHG或Change Healthcare是否违反严格的医疗保健行业隐私法规时，发生了受保护健康信息泄露的情况。

这项调查仍在进行中。

Change Healthcare遭受的攻击与最近对多家医疗公司进行的攻击相吻合 ，包括Ascension 、London Drugs 、Cencora和Synnovis。

勒索软件依然活跃

根据专家的说法 ，尽管ALPHV显然实施了退出骗局
，并且RansomHub的出现也未能改变利润丰厚的勒索软件即服务(RaaS)市场的基本驱动力
。

Silobreaker研究负责人Hannah Baumgaertner表示：“ALPHV的退出骗局发生在执法行动导致LockBit被取缔的同一时间，这使得两个最活跃的勒索软件即服务组织不再运作。”

Baumgaertner警告说 ：“虽然有人可能会认为这意味着勒索软件攻击会减少
，但事实并非如此 。”

由于RaaS业务的性质，之前与ALPHV合作的任何附属机构只会去寻找新的合作运营，与此同时 ，ALPHV的主要成员很可能会以不同的名称开展新项目 ，根据Baumgaertner的说法。

据HHS统计，过去五年中勒索软件攻击增加了三倍多(264%)。与此同时，根据Proofpoint最近的《CISO之声》调查，勒索软件现在已成为CISO认为最大的威胁 。