诸如SolarWinds、Log4j这样的网络安全事件，以及俄-乌战争这样的地缘政治事件，一次又一次地在整个网络安全社区引发冲击波，影响全球数千家组织的可操作性。当考虑目标组织如何与一些全球顶级行业（包括制造业、石油和天然气、金融和医疗保健）保持同步时，很容易理解为什么威胁行为者——无论是出于经济还是政治动机——都重视这些目标：社会重要性、隐私和保密需求，以及这些组织的脆弱性，使它们对勒索、间谍活动和产品滥用都极具吸引力。

《当前和新兴的医疗保健网络威胁状况》报告涵盖了医疗保健机构面临的主要网络威胁。本报告的目的是通过提供当前网络威胁形势的概述和未来的预测，帮助影响医疗保健部门高级领导人和从业者的网络安全预算和投资决策。

重点发现（2022年及2023年） 

医疗保健行业的高管们报告了其组织面临的五大网络威胁——既回顾了2022年，也展望了2023年。

从2022年到2023年，五大网络威胁的排名顺序没有变化。然而，与2022年的调查结果相比，社会工程现在（2023年）是第五大威胁，取代了内部威胁（现在排名第6）。

2022年和2023年的五大威胁是：

1. 勒索软件部署
2. 网络钓鱼/鱼叉式网络钓鱼攻击
3. 第三方/合伙人违规
4. 数据泄露
5. 社会工程

目前的威胁场景

随着网络对手的不断发展和创新，医疗保健行业IT和信息安全专业人员需要提高对当前威胁形势的认识。为了保护医疗机构，安全团队和高级领导层需要了解针对医疗部门的恶意行为组织、他们使用的工具和方法以及最近成功的攻击案例。这些知识对于制定有效的信息安全和整体风险战略至关重要。

为了扩展对威胁形势的态势感知，本节将广泛地研究跨行业的网络犯罪、民族国家和地缘政治活动和趋势。

网络犯罪活动

尽管对勒索软件即服务（RaaS）团伙成员的制裁和逮捕越来越多，甚至可能对支付赎金的受害者进行民事处罚，但我们预计在未来几年内，组织受到勒索软件影响的比率不会下降，因为RaaS模式为网络犯罪团伙及其附属机构提供的投资回报远远超过继续开展此类业务的成本。

例如，我们观察到一种趋势，即已经成功地将初始访问货币化以获得经济利益的威胁行为者正在与RaaS组织集成，以进一步模糊操作模型和归因工作。访问卖家和RaaS组织是同一个漏洞利用生命周期的两个元素：对一家收入数十亿美元的跨国公司的域名管理访问可能会导致数百万美元的勒索软件支付，然而获取初始访问可能只需花费RaaS运营商1万美元。

犯罪货币化过程正在不断改进，且日趋复杂，因为这些行为者正在学习逃避和击败端点安全和反病毒工具。恶意操作人员开发恶意软件以实现长期持久性，受害者可能会受到多种勒索和/或赎金技术——从加密劫持到勒索软件——的影响；然而，动机几乎总是金钱。

勒索软件操作者会伺机攻击受害者。他们利用漏洞、错误配置、论坛上的权限销售，并使用附属机构获得的访问权限跨网络端点扩散加密有效载荷。

地缘政治活动

由于地缘政治冲突在动态世界和数字世界之间日益交织，在这些地区运营的企业不仅必须考虑冲突的物理影响，还必须考虑网络安全影响。自俄-乌战争爆发以来，亲俄和亲西方的活动有所增加，范围覆盖分布式拒绝服务（DDoS）攻击和国家支持的宣传，以及对关键基础设施的威胁。在地缘政治紧张局势潜在爆发点地区运营的企业应评估此类活动可能对公司运营产生的影响。

在和平时期，企业还必须考虑在世界某些地区运营的风险，因为技术教育正在不断改进，而缺乏有效的执法，加上中央政府的默许，将为网络罪犯提供灵活性和空间，让他们在几乎不受惩罚的情况下提高自己的技术。大型跨国公司受到这种活动的影响最大，因为管理数据交换及其保护的规则因地缘政治差异而有所不同。

俄-乌战争

据报道，俄罗斯黑客还使用信息窃取恶意软件来攻击乌克兰政府、关键基础设施、国防、安全和执法部门的组织。根据耶鲁大学管理学院的数据，战争的结果是，超过1000家公司削减或完全撤出了在俄罗斯的业务。虽然耶鲁大学最初的意图似乎是制作一份“全面记录”的出走清单，但糟糕的是，黑客活动分子也在密切关注这一名单，以确定新的目标。这表明，公司需要对该地区的持续运营进行成本效益分析，并将网络安全风险纳入其中。

欧洲能源危机

欧盟与俄罗斯发生经济冲突，向俄罗斯施压，要求其停止在乌克兰的军事行动。由于俄罗斯丰富的天然气资源，天然气已成为审查的对象。例如，俄罗斯在对进口商品设定价格上限后，就停止了对欧盟的出口。2022年9月26日，穿越波罗的海的北溪（Nord Stream）管道遭到破坏，这条管道对从俄罗斯向欧洲供应能源至关重要。

为了找出罪魁祸首，欧盟派遣了独立检查员对损失进行评估，结果是俄罗斯政府实施了此次破坏活动。由于归因尚未确定，如果俄罗斯政府有罪，这一行动将具有强大的政治影响，调查人员无法证明损害的原因。俄乌战争的解决将更加困难，因为与俄罗斯的谈判可能包括围绕修复天然气管道的更新条款。

随着能源危机的恶化和解决之路变得越来越复杂，医疗保健行业应该考虑此事可能会对其子部门造成的影响，例如欧洲供应商的药品出口减少，以及欧洲医院没有足够的能源来适当地照顾病人。

网络威胁情报分析

国家行为体威胁

医疗健康行业也是国家支持的威胁行为者（也称为高级持续性威胁或APT）的一个有利可图的目标，因为该行业内的组织涉及大量敏感信息，包括知识产权、受保护的健康信息（PHI）、个人身份信息（PII）以及信息和操作技术。

医疗设备网络安全

与运营技术（OT）一样，在医疗保健环境中日益普及的物联网（IoT）和医疗物联网（IoMT）也需要保护。这些设备可以与环境相互作用；在医疗设备中，交互点通常是病人或护理人员。连接医疗设备比例较高的医疗保健公司经历了更多的网络攻击，也更有可能经历多次攻击。

Capterra《2022年医疗物联网调查报告》显示，增加医疗设备数据和流量监控至关重要，患者护理技术的广度可能需要不止一种工具。为了满足日益增长的医疗设备安全需求，Health-ISAC建议：

• 执行风险评估并开发威胁模型，以确定设备如何易受网络攻击，并了解其对患者护理的影响；
• 识别并纠正那些存在默认或不良凭证的设备，并在可用时及时应用补丁和更新；
• 让护理人员更好地了解安全操作对患者和护理服务的影响，然后制定医疗应急计划，以建立恢复力并主动为医疗技术操作中的网络威胁做好准备。

未来的威胁

尽管业界正在努力保护医疗保健组织环境并实施改进的控制，但威胁行为者具有极强的适应性，并认识到他们可以窃取的信息能通过多种方式实现货币化。例如，网络犯罪论坛会大肆宣传如何购买敏感信息的访问权，这些信息可用于多个目标，包括对组织的战略洞察，在公司网络中获得额外立足点的方法。有大量案例表明，医疗保健行业的攻击面相当大，有无数有价值的目标，包括知识产权、供应链流程和客户/员工记录。

医疗保健组织应保持对业务、财务和监管影响等形式的新风险的认识。传统上在金融和高科技领域观察到的风险，开始出现在其他尚未开发安全控制和流程来解决这些问题的领域。

我们预计，2023年将困扰医疗行业的两个新兴风险包括产品滥用和合成账户。

产品滥用

拥有面向互联网的产品（如web登录门户和API）的组织很容易成为攻击者的目标，这些攻击者会使用受损的用户凭据、代理网络和可定制的犯罪软件来进行帐户接管或未经授权的帐户访问。通过网络钓鱼、恶意软件和数据窃取程序获取的数十亿个被泄露的证书，可在深网和暗网犯罪论坛上出售。证书列表可以在许多论坛上免费获得；然而，攻击者也可以通过在自动凭据商店（ACS）或恶意软件市场购买凭据，来访问更严格或有针对性的列表。例如，攻击者可以只购买在恶意软件日志中发现的凭据，其中捕获凭据的域是他们希望滥用以访问医疗记录产品的特定域。

合成账户

受损PII的扩散以及缺乏验证个人身份的控制措施，为攻击者提供了实施欺诈、愚弄系统甚至凭空生成个人身份的机会。由于伪造账户和身份盗窃问题，金融机构和贷款机构已经损失了数百万美元。网络犯罪分子通常会在几个月或几年的时间里，用这些账户建立一个虚假的信用档案，以提高攻击的成功率。这些账户被用于获得贷款、大额购买、套现资金和其他欺诈活动。为了支付医疗账单和其他与健康相关的活动，医疗行业可能会继续看到此类攻击呈增长趋势。

尽管大多数组织都知道威胁行为者可以通过访问内部系统来获取敏感数据，但对第三方系统、电子邮件帐户和面向客户的产品的滥用进一步扩大了滥用的范围。面向客户的产品经常成为攻击的目标，这些攻击旨在使用犯罪软件提取数据，威胁行为者已经定制了这些犯罪软件，使其看起来和感觉起来都像一个合法的客户——无论是消费者、行业从业者还是第三方。应对这些攻击需要在网络、应用程序、身份验证和风险层进行适当的控制，以保护组织数据，并降低凭证填充、帐户接管，以及恶意帐户创建的风险。

报告链接：

https://h-isac.org/wp-content/uploads/2023/03/Health-ISAC-Exec-Summary-Annual-Threat-Report_TLP-White-2023.pdf