保护医疗行业身份的最佳实践

关键要点

在上周于新奥尔良举办的Semperis Hybrid Identity Protection
(HIP)大会上，会议主要聚焦于、以及国家安全等话题。其中，保护医疗行业的和个人信息成为突出的议题。

（上图：Semperis的Hybrid Identity Protection (HIP)大会上，坦帕综合医院的CISO James
Bowie与SC Media讨论网络安全与身份保护。）

“医疗行业是一个身份的噩梦，”Saviynt战略高级副总HenriqueTeixeira在上周四的演讲中说道。“例如，有医生为一个实体工作，但在另一个实体有访问权限。”

这种情况在医疗行业非常普遍。医生可能作为独立承包商在医院内自由工作，或可能完全为另一家公司工作。例如，患者在纽约市的纽约-
长老会医院就医时，需支付医院使用设施的费用和支付给Weill Cornell Medicine的医生服务费。

坦帕综合医院的CISO James Bowie表示，医院的身份安全环境确实存在挑战，但他的方法简单有效，他表示：“他们与其他用户一样会获得一个ActiveDirectory账户，但需要经过审查，遵循相同的政策和规则。这很困难，因为我们的用户数量是员工数量的两倍。”

维护医疗系统中的身份和网络安全的困难在于会议周三（11月13日）举行的一个模拟推演中表现得淋漓尽致。此次模拟了一起针对虚构新奥尔良医院的勒索软件攻击。

红队拥有多个工具和方法，并有多个重要目标可供选择。在会议演练中，红队通过资料（从LinkedIn个人资料和密码泄露获取管理员信息）和同时利用被盗的健康记录进行勒索与欺诈进行攻击。

（上图：在Semperis的Hybrid Identity Protection (HIP)大会上，SC
Media与一家大型制造供应公司的身份主任Grant Meyer讨论网络安全与身份融合。）

尽管医院设有保护和分段网络，但攻击者通过针对影像（X光、MRI和CT扫描）系统来绕过这些防御措施，这些系统通常涉及，无法安装EDR软件。

他们通过社交工程手段覆盖了管理员账户的多因素认证，假冒一名刚刚生育的员工，声称需要在家中访问账户，并在通话中播放录音中婴儿啼哭的声音。

红队还通过撤销医院所有的TLS/SSL安全连接证书以及Office 365许可证来制造内部混乱。

“一言不合就真是卑鄙，”一位蓝队成员表示。

蓝队的成员同样是志愿参加演练的网络安全专业人士，但他们发现自己始终处于被动状态。最终，他们只能通过完全关闭网络来防御医院的攻击。

“没有人赢，”一位参与者说道。

在桌面演练中，红队通过说服一名帮助台员工禁用管理账户的MFA设置成功入侵——这与攻击并迫使的攻击者在2023年8月使用的方法一致。

然而，Bowie表示，他的医疗机构已基本中和了这个潜在的攻击向量：“我们不允许帮助台重置密码。”

**（上图：SC Media与南非Discovery Health的安全专家John Steenkamp在