今年早些時(shí)候發(fā)生在美國(guó)UnitedHealth的勒索軟件攻擊，堪稱醫(yī)療保健行業(yè)的最重大的網(wǎng)絡(luò)安全事故之一，同時(shí)還被認(rèn)為是近年來(lái)最重大的醫(yī)療數(shù)據(jù)泄露事件，并導(dǎo)致整個(gè)美國(guó)醫(yī)療保健系統(tǒng)的重大運(yùn)營(yíng)中斷。UnitedHealth為此支付了2200萬(wàn)美元贖金來(lái)防止被盜數(shù)據(jù)泄露，而且在文件解密后，仍不得不對(duì)其系統(tǒng)進(jìn)行完全重建。

這次泄露事件引發(fā)了對(duì)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全措施的嚴(yán)重關(guān)注，特別是關(guān)于過(guò)時(shí)技術(shù)和關(guān)鍵系統(tǒng)缺乏多因素認(rèn)證（MFA）等不足安全協(xié)議的問題，甚至引發(fā)了美國(guó)國(guó)會(huì)聽證會(huì)、立法者審查和潛在立法。

在針對(duì)該事件的兩次聽證會(huì)上，UnitedHealth首席執(zhí)行官Andrew Witty在證詞中承認(rèn)，公司的備份系統(tǒng)缺乏網(wǎng)絡(luò)分段或基礎(chǔ)設(shè)施隔離，導(dǎo)致攻擊者也能鎖定這些備份，阻斷了從初始攻擊中恢復(fù)的所有途徑。

如此也揭開了一個(gè)殘酷的現(xiàn)實(shí)：備份系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)犯罪分子最有利可圖的目標(biāo)。因?yàn)檫@些攻擊者已經(jīng)意識(shí)到，成功入侵備份環(huán)境是決定組織是否會(huì)支付贖金的最重要因素。

一些勒索軟件組織（如BlackCat、Akira、Lockbit、Phobos和Crypto），已經(jīng)開始完全繞過(guò)生產(chǎn)系統(tǒng)，直接攻擊備份系統(tǒng)。這迫使組織重新審視其安全體系中的潛在漏洞，重新評(píng)估其備份和恢復(fù)策略。

過(guò)去，很少有首席信息安全官會(huì)特別關(guān)注到備份系統(tǒng)，但現(xiàn)在的情況已經(jīng)完全不同了。早在UnitedHealth遭受攻擊之前，很多首席信息安全官就已經(jīng)發(fā)現(xiàn)，面對(duì)勒索軟件攻擊，做好備份和恢復(fù)策略與防護(hù)同樣重要。

從UnitedHealth勒索軟件攻擊事件來(lái)看，我們應(yīng)該從中吸取六個(gè)備份教訓(xùn)：

1.實(shí)施網(wǎng)絡(luò)分段和空氣隔離備份

在此次遭受的勒索軟件攻擊中，UnitedHealth承認(rèn)其備份缺乏網(wǎng)絡(luò)分段或基礎(chǔ)設(shè)施隔離，導(dǎo)致攻擊者能夠鎖定備份，阻斷了從初始攻擊中恢復(fù)的途徑。

網(wǎng)絡(luò)分段可以大大減少勒索軟件攻擊的影響。通過(guò)將網(wǎng)絡(luò)分成較小的獨(dú)立區(qū)域，即使一個(gè)區(qū)域被攻陷，惡意軟件的傳播也會(huì)被限制。

確保備份存儲(chǔ)在離線狀態(tài)并且已加密，可以減少在勒索軟件攻擊期間備份被破壞的風(fēng)險(xiǎn)，因?yàn)楣粽咄ǔ?huì)針對(duì)連接的存儲(chǔ)系統(tǒng)。實(shí)施隔離解決方案可以通過(guò)將備份與主網(wǎng)絡(luò)隔離進(jìn)一步增強(qiáng)安全性。

2.采用多因素認(rèn)證（MFA）

MFA的缺失是UnitedHealth勒索軟件攻擊的核心問題。黑客利用被盜憑證入侵了缺乏MFA的公司系統(tǒng)?？梢圆捎弥T如StorageGuard這樣的解決方案來(lái)審計(jì)和驗(yàn)證MFA在所有備份系統(tǒng)中的實(shí)施和執(zhí)行情況。確保MFA的一致性應(yīng)用有助于保護(hù)敏感數(shù)據(jù)免受未經(jīng)授權(quán)訪問，即使用戶憑證被盜也是如此。

3.限制管理訪問權(quán)限

限制管理權(quán)限是可靠備份安全戰(zhàn)略的重要組成部分，因?yàn)檫@些權(quán)限往往是攻擊者的主要目標(biāo)。實(shí)施嚴(yán)格的訪問控制可以最小化未經(jīng)授權(quán)的用戶篡改或刪除備份數(shù)據(jù)的風(fēng)險(xiǎn)，這在網(wǎng)絡(luò)事件中維護(hù)數(shù)據(jù)完整性至關(guān)重要。

具體措施包括：

• 為不同的用戶和用戶組定義明確的角色，確保只有真正需要的人才能獲得組織備份的管理訪問權(quán)限；
• 對(duì)管理接口應(yīng)用IP訪問控制列表；
• 為關(guān)鍵備份更改設(shè)置雙人規(guī)則。

4.提供不可變備份

確保至少一個(gè)備份副本存儲(chǔ)在不可變存儲(chǔ)上。這將確保備份數(shù)據(jù)不會(huì)被惡意行為者（包括勒索軟件）更改、刪除或加密，并保證網(wǎng)絡(luò)恢復(fù)所需的備份數(shù)據(jù)的完整性和可用性。

5.定期測(cè)試備份

定期進(jìn)行測(cè)試，以驗(yàn)證備份檔案和流程的功能。這包括掃描備份以查找惡意軟件，并確?？梢詿o(wú)問題地恢復(fù)。定期測(cè)試有助于在實(shí)際事件發(fā)生之前識(shí)別潛在的漏洞。

6.建立安全配置基線

根據(jù)DORA最近的要求和NIST此前的規(guī)定，為備份和存儲(chǔ)環(huán)境建立安全配置基線，并使用工具檢測(cè)基線偏差至關(guān)重要。建議定期審計(jì)備份系統(tǒng)的安全性，驗(yàn)證備份平臺(tái)是否經(jīng)過(guò)加固，并防止篡改和未授權(quán)訪問。

審計(jì)應(yīng)包括：多因素認(rèn)證、不可變性最佳實(shí)踐、CISA #StopRansomware指南、關(guān)鍵更改的雙重授權(quán)、受限管理訪問、日志記錄最佳實(shí)踐、賬戶鎖定設(shè)置、備份隔離、NAS安全指南、安全快照、加密，以及對(duì)NIST、ISO、NERC CIP、HIPAA等標(biāo)準(zhǔn)的遵守。

實(shí)施這些策略并利用安全態(tài)勢(shì)管理工具，可以確保備份系統(tǒng)保持安全、可靠，并能夠抵御不斷演變的網(wǎng)絡(luò)威脅。

關(guān)于UnitedHealth勒索軟件攻擊事件

今年早些時(shí)候，UnitedHealth子公司Change Healthcare遭受的勒索軟件攻擊已成為美國(guó)歷史上最大的數(shù)據(jù)泄露事件之一，影響超過(guò)1億人。

2月21日，Change Healthcare發(fā)現(xiàn)了勒索軟件攻擊，該攻擊發(fā)生在2月17日至20日期間。攻擊被歸因于ALPHV/BlackCat勒索軟件組織，該組織聲稱竊取了約6TB的敏感數(shù)據(jù)。3月初，UnitedHealth支付了2200萬(wàn)美元贖金以取回?cái)?shù)據(jù)。然而，在付款后不久，ALPHV組織實(shí)施了"退出詐騙"，帶著贖金消失，留下了被盜數(shù)據(jù)；4月22日，UnitedHealth承認(rèn)泄露可能影響了"相當(dāng)大比例"的美國(guó)人，估計(jì)多達(dá)三分之一的美國(guó)人口的健康信息可能被泄露。

此次攻擊擾亂了美國(guó)各地的基本醫(yī)療服務(wù)，影響了依賴Change Healthcare處理賬單和保險(xiǎn)理賠的藥房和醫(yī)院。這導(dǎo)致了重大運(yùn)營(yíng)挑戰(zhàn)，包括患者護(hù)理延誤和醫(yī)療服務(wù)提供者的財(cái)務(wù)損失。報(bào)告顯示，94%的醫(yī)院受到不利財(cái)務(wù)影響，許多醫(yī)院因系統(tǒng)中斷每天損失超過(guò)100萬(wàn)美元。

UnitedHealth在2024年應(yīng)對(duì)網(wǎng)絡(luò)攻擊的總成本預(yù)計(jì)將達(dá)到23億至24.5億美元，包括收入損失、緊急IT措施和其他相關(guān)費(fèi)用。到2024年10月，UnitedHealth正式確認(rèn)超過(guò)1億人的個(gè)人信息在這次事件中遭到泄露。被竊數(shù)據(jù)包括敏感的健康信息，如醫(yī)療記錄、醫(yī)療保險(xiǎn)詳情、個(gè)人身份信息（如社會(huì)安全號(hào)碼），以及賬單和支付信息等。

對(duì)Change Healthcare的勒索軟件攻擊對(duì)UnitedHealth和整個(gè)醫(yī)療系統(tǒng)都產(chǎn)生了深遠(yuǎn)影響，凸顯了關(guān)鍵基礎(chǔ)設(shè)施部門網(wǎng)絡(luò)安全實(shí)踐中的脆弱性。