医疗保健安全工具及其潜在风险

关键要点

近期，健康与人类服务部网络安全协调中心（HC3）发布了一份，提醒医疗保健提供者注意，他们依赖的一些合法安全工具也，用于进行攻击或加重漏洞的影响。

这份资源列出了多种常用的安全工具，例如CobaltStrike、PowerShell、Mimikatz、Sysinternals、Anydesk和Brute Ratel，并将其作为滥用的例子。

HC3警告：“用于操作、维护和保护医疗保健系统及网络的相同工具，也可能被用来攻击它们自己的基础设施。”

HC3并没有对报告中的合法工具表示支持或批评，“也不是呼吁医疗机构避开这些工具。”相反，这是对各机构在购买或部署开源工具或供应商工具和功能之前，评估可能风险与收益的呼吁。

其中最为常见的是CobaltStrike，”主要用于对手仿真”的工具，能够模拟高度可定制的网络钓鱼攻击，并可模拟多种环境。在过去五年中，这一工具已被滥用于恶意目的。

CobaltStrike是一种常用的远程访问工具，能够协调网络攻击，并被诸如Emotet、Ryuk、Conti和Cuba勒索软件集团等多种活跃团体频繁使用。例如，CobaltStrikeBeacon在攻击中被作为众多工具之一进行利用。

另一个常用的工具是PowerShell，它“赋予管理员管理网络的能力，同时也为攻击者提供了妥协资源的机会。”
从活动目录到第三方模块，这些工具常常被数十个国家级威胁组织滥用。

防御PowerShell的滥用可能相对复杂，因为这通常意味着需阻止组或安全策略，或完全禁用对PowerShellISE的访问。然而，美国政府建议由于其功能性，最好不要禁用该工具。其他机构如和之前也已经提供了关于PowerShell最佳防护实践的指导。

报告详细描述了每种合法工具、滥用这些工具的威胁行为者，以及实现其恶意目标所使用的战术。正如其提供CobaltStrike的防御缓解措施一样，许多医疗机构在应对这些威胁的修复和控制策略时，将面临困难。

“此次展示中的工具代表了特别具有挑战性的安全问题，”HC3总结道。“减轻与这些工具相关的风险并不简单，仅仅是部署补丁或重新配置应用程序。它们中的一些工具常驻于常见系统上，使得在恶意使用时更难以检测。”