Detección y respuesta de endpoints (EDR),Plataformas de protección de endpoints (EPP),Seguridad de endpoints Los proveedores de atención médica deben revisar la seguridad de endpoints para mitigar las ciberamenazasAndrey Pozhogin •30 de septiembre de 2024 Imagen: Los ataques de CyberArk Ransomware tienen consecuencias de gran alcance en las organizaciones de atención médica, que se extienden mucho más allá de las finanzas pérdidas. Un estudio de la Facultad de Salud Pública de la Universidad de Minnesota encontró que el volumen hospitalario se redujo entre un 17% y un 26% durante la primera semana de un ataque. Entre 2016 y 2021, las interrupciones provocadas por ataques de ransomware provocaron entre 42 y 67 muertes de pacientes de Medicare. Los proveedores de atención médica manejan información confidencial de millones de personas y eso los convierte en un objetivo. Nadan en un océano de reglas y regulaciones, y su cumplimiento es constantemente examinado. Es fácil olvidar (al menos hasta el próximo examen físico) que perseguir el cumplimiento y proteger los datos de los pacientes no son las principales prioridades de los proveedores de atención médica. Estas organizaciones suelen tener algo más valioso que nuestros registros: se preocupan por nuestra salud. En pocas palabras: nos mantienen vivos. (Imagen: CyberArk) ¿Cómo es posible entonces que estas organizaciones (a las que recurrimos en los momentos más oscuros de nuestras vidas, los elogiados socorristas cuando azotan las pandemias) aparecen en las noticias sobre ciberseguridad aparentemente cada dos días? Y normalmente no con una historia de éxito. La respuesta está en la toma de decisiones calculada de los ciberdelincuentes. Infracciones cibernéticas en atención médica: una preocupación creciente La atención médica es un objetivo principal para los ataques de ransomware debido a los riesgos de vida o muerte, el acceso a datos confidenciales, las interrupciones operativas y las posibles consecuencias regulatorias, lo que hace que los proveedores estén más inclinados a pagar rescates. Las organizaciones de atención médica fueron el objetivo de más del 21% de los ataques en 2023-2024, frente al 18% del año anterior, según una investigación de Barracuda Networks. Los ataques de alto perfil a organizaciones como Change Healthcare, Ascension y MediSecure resaltan la vulnerabilidad del sector, donde los datos a menudo se filtran antes de cifrarse, lo que exacerba los riesgos. Es hora de revisar nuestro enfoque de la ciberseguridad sanitaria Hace una década, un hospital fue noticia por haber sido atacado por ransomware. En respuesta, el director del hospital dijo que no podía justificar la inversión en ciberseguridad porque «a diferencia de un nuevo escáner CT», la ciberseguridad no afecta los resultados de los pacientes. Esto no envejeció bien. La industria de la salud ahora es muy consciente de que la ciberseguridad es esencial tanto para la seguridad del paciente como para la continuidad de la atención. Muchas organizaciones continúan dependiendo únicamente de soluciones de detección y respuesta de endpoints, o EDR, para cumplir con los estándares regulatorios. Pero cumplir nunca ha sido sinónimo de seguridad. Las soluciones EDR están diseñadas para detectar amenazas específicas, pero su alcance es limitado, lo que las hace vulnerables a ataques sofisticados que eluden las defensas tradicionales. Como suele ocurrir, el diablo está en los detalles. Las credenciales robadas se venden en la web oscura, los usuarios actúan como administradores, se utilizan herramientas legítimas para robar cookies y secuestrar las sesiones web, se utiliza una autenticación multifactor débil y los servidores permanecen desprotegidos porque su superficie de ataque es pequeña. George Kurtz, director ejecutivo de CrowdStrike, quizás lo dijo mejor en respuesta a la pregunta de un senador durante las audiencias del Congreso en 2021 sobre la violación de SolarWinds: «… Una vez que tenga acceso de administrador en un sistema en particular, si lo cierra, puede hacerlo bastante bien». mucho lo que quieras en él”. Los EDR carecen de controles fundamentales Consideremos algunas deficiencias inherentes del EDR que se derivan del enfoque de la solución, el modelo de amenazas y el modelo operativo: El EDR no es consciente del usuario. No tiene forma de autenticar al usuario y depende del sistema operativo. Quien tenga la contraseña es el tipo de usuario adecuado para EDR. EDR no diferencia entre un administrador y un usuario normal. Existen varias técnicas publicadas para manipular el EDR sin disparar el cable utilizando un acceso elevado, como quitar los ganchos del EDR. EDR se centra en archivos y comportamientos maliciosos. Un usuario «legítimo» que aprovecha herramientas legítimas probablemente nunca llamará la atención. El robo de credenciales del sistema operativo, software de terceros y almacenes de credenciales del navegador está protegido desde la perspectiva del malware, mientras que el acceso a volcados LSASS, hashes NTLM, archivos PuTTY, cookies y datos de sesiones web no está bloqueado universalmente. Los usuarios que escriben contraseñas son algo habitual en EDR. Es probable que se encuentren y eliminen los registradores de pulsaciones de teclas, pero ataques más sofisticados, incluido el phishing, pueden filtrar contraseñas. Si los atacantes lograron eludir EDR una vez, sin la infraestructura adecuada y el refuerzo del sistema, pueden regresar para un segundo pago de rescate. Muchas detecciones listas para usar en los sistemas EDR a menudo deben desactivarse o excluirse en un entorno de producción debido a falsos positivos causados ​​por aplicaciones desarrolladas internamente y comportamientos aceptados del usuario que pueden ser difíciles de diferenciar de las tácticas de un atacante. . La seguridad integral de identidad de 360 ​​grados, el control y aislamiento de aplicaciones, la sólida MFA continua, la protección contra robo de credenciales, el privilegio mínimo basado en roles, la seguridad de la cuenta de administrador local y otras tecnologías fundamentales de seguridad de endpoints no forman parte de las soluciones EDR. Prevención de ciberataques: la estrategia de defensa definitiva Las organizaciones sanitarias a menudo carecen del componente preventivo necesario centrado en la identidad en sus estrategias de seguridad de endpoints. Al incorporar la seguridad de identidad de los terminales en sus sistemas, las organizaciones de atención médica pueden quitar privilegios al atacante, reducir la superficie de ataque del terminal, evitar que se comprometan las credenciales del administrador y del usuario habitual y permitir una experiencia de usuario sin contraseña de extremo a extremo en los terminales. Este enfoque permite una experiencia de usuario más segura desde el inicio de sesión hasta la navegación, minimizando el riesgo de infracciones. Gestión, seguridad y cumplimiento de terminales (Imagen: CyberArk) La atención médica no puede darse el lujo de poner todos sus huevos en una canasta de EDR En un enfoque de ciberseguridad de defensa en profundidad, EDR, si bien es útil, nunca debe ser la única línea de defensa. La industria debe adoptar una estrategia de seguridad integral que incluya la seguridad de la identidad de los terminales como control fundamental. Al hacerlo, las organizaciones de atención médica pueden proteger mejor sus redes, salvaguardar los datos de los pacientes y garantizar la continuidad de los servicios críticos. Para profundizar más en este tema, consulte nuestro libro electrónico, «Por qué EDR no es suficiente para detener los ciberataques». URL de la publicación original: https://www.databreachtoday.com/blogs/how-overreliance-on-edr-failing-healthcare-providers-p-3728