ต่อไปนี้เป็นบทความของแขกโดยHüseyin Can Yüceelผู้นำการวิจัยด้านความปลอดภัยที่ Picus Security
โรงพยาบาลทั่วสหรัฐอเมริกาอยู่ภายใต้แรงกดดันอย่างไม่หยุดยั้งในการขยายการดูแลดิจิตอลในขณะที่นำทางด้วยการลดการจัดหาเงินทุนขาดพนักงานและการโจมตีทางไซเบอร์ที่เพิ่มขึ้น สิ่งนี้ได้รับการเสริมด้วยข้อเท็จจริงที่ว่าการละเมิดข้อมูลที่เกี่ยวข้องกับข้อมูล (PHI) ที่เกี่ยวข้องเพิ่มขึ้นเพิ่มขึ้นเกือบ 30 เท่าของบันทึกผู้ป่วยในปี 2567 มากกว่าในปี 2010
ความกดดันนี้ทวีความรุนแรงมากขึ้นหลังจากผ่านไปของใบเรียกเก็บเงินของรัฐบาลกลางที่มีการตัด Medicaid เกือบ 1 ล้านล้านดอลลาร์ กฎหมาย จำกัด ภาษีของผู้ให้บริการอย่างชัดเจน – กลไกที่รัฐใช้มานานหลายทศวรรษเพื่อดึงกองทุน Medicaid ของรัฐบาลกลางเพิ่มเติม กองทุนเหล่านี้มีความสำคัญอย่างยิ่งต่อโรงพยาบาลในชนบทซึ่งขึ้นอยู่กับการบำรุงรักษาบริการที่สำคัญการสรรหาพนักงานและเปิดสิ่งอำนวยความสะดวก สำหรับทีมรักษาความปลอดภัยในโลกไซเบอร์หมายถึงการปกป้องสินทรัพย์ดิจิทัลที่มีคนและดอลลาร์น้อยลง
เพื่อลดความเสี่ยงโดยไม่ต้องเผาผลาญทรัพยากรให้ต้องใช้วิธีที่ชาญฉลาดในการมุ่งเน้นความพยายามของพวกเขา นี่คือที่มาที่การตรวจสอบความถูกต้อง (EV) เข้ามาโดยการจำลองการโจมตีทางไซเบอร์อย่างปลอดภัยในโลกแห่งความเป็นจริงและวัดว่าการป้องกันที่มีอยู่นั้นมีปฏิกิริยาอย่างไร EV ระบุว่าช่องโหว่ใดที่ใช้ประโยชน์ได้จริง สิ่งนี้ช่วยให้ทีมรักษาความปลอดภัยของโรงพยาบาลสามารถตัดเสียงรบกวนวัวแพทช์หดตัวและปกป้องระบบที่สำคัญได้อย่างมีประสิทธิภาพมากขึ้น
ทบทวนความเสี่ยง
ทีมรักษาความปลอดภัยไซเบอร์ของโรงพยาบาลโดยเฉพาะอย่างยิ่งในพื้นที่ชนบทหรือที่ได้รับเงินทุนต่ำถูกบังคับให้ทำการค้าที่ยากลำบาก เพื่อให้อยู่ในงบประมาณพวกเขาจำเป็นต้องลดพนักงานชะลอการอัพเกรดหรือเครื่องมือพระอาทิตย์ตก – บ่อยครั้งที่ไม่มีหลักฐานที่ชัดเจนว่าความสามารถใดที่ทำให้ผู้โจมตีตรวจสอบและไม่ส่งมอบคุณค่า
การจัดการช่องโหว่แบบดั้งเดิมเชื่อมต่อปัญหา มันขึ้นอยู่กับคะแนนคงที่เช่น CVS, EPS หรือ KEV แบบจำลองเหล่านี้จัดลำดับความสำคัญของความยากลำบากทางทฤษฎีไม่ใช่ความเสี่ยงภายในสภาพแวดล้อมของโรงพยาบาล เป็นผลให้ทีมรักษาความปลอดภัยจมอยู่ในรายการช่องโหว่ “วิกฤต” ซึ่งส่วนใหญ่ถูกบล็อกโดยการควบคุมที่มีอยู่แล้วหรือไม่เคยเป็นภัยคุกคามตั้งแต่แรก
ในการดูแลสุขภาพผลที่ตามมาของช่องโหว่ที่มีความสำคัญเหนือกว่านั้นร้ายแรงเป็นพิเศษ ข้อผิดพลาด “วิกฤต” ในระบบที่ไม่จำเป็นอาจมีความเสี่ยงจริงเล็กน้อย แต่ยังสามารถเบี่ยงเบนความสนใจจากปัญหาระดับ “สื่อ” เช่นในอุปกรณ์ที่ควบคุมอินซูลินหรือควบคุมโครงสร้างพื้นฐานไฟฟ้าที่จำเป็นเพื่อให้แฟน ๆ ดำเนินต่อไป การตรวจสอบความถูกต้องของการสัมผัสช่วยให้โรงพยาบาลแยกแยะความแตกต่างระหว่างช่องโหว่ที่สำคัญและไม่สำคัญด้วยความมั่นใจ แทนที่จะใช้โปรแกรมที่ไม่มีใครเทียบได้จากคะแนน CVS ทั่วไปโรงพยาบาลสามารถใช้ EV เพื่อพิจารณาว่าช่องโหว่ใดได้รับการบรรเทาจากการควบคุมที่มีอยู่แล้ว สิ่งนี้จะช่วยลดการรบกวนที่ไม่จำเป็นของเวิร์กโฟลว์ทางคลินิกโดยเฉพาะอย่างยิ่งในช่วงเวลาสูงสุดและทำให้มั่นใจได้ว่าความพยายามในการรักษานั้นสอดคล้องกับความปลอดภัยของผู้ป่วยและความต่อเนื่องในการปฏิบัติงาน
การป้องกันผู้ป่วยในช่วงกลางช่องโหว่ที่ไม่แน่นอน
ภูมิทัศน์พีทไม่ช้าลง จนถึงปี 2568 มีการเผยแพร่ช่องโหว่และความเสี่ยงทั่วไป (CVEs) เกือบ 26,000 ช่อง แต่มีการเผยแพร่แบรนด์สูงหรือสำคัญจำนวนมาก – แม้ว่าโดยทั่วไปแล้วจะใช้น้อยกว่า 5% ในธรรมชาติ ซึ่งหมายความว่าช่องโหว่หลายพันแห่งสร้างเสียงรบกวนใช้ทรัพยากรและทีมที่เหนื่อยล้า
สำหรับโรงพยาบาลที่ยืดออกไปแล้วนี่เป็นสิ่งที่ยอมรับไม่ได้ การตรวจสอบความถูกต้องของการเปิดรับสคริปต์และช่วยให้โรงพยาบาลและทีมรักษาความปลอดภัยใช้วิธีการเชิงกลยุทธ์เพื่อปกป้องโครงสร้างพื้นฐานข้อมูลและผู้ป่วยที่สำคัญที่สุด
EV สามารถจำลอง ransomware -behavior เช่น Shade Copy -deletion และสิทธิ์ -การเพิ่มขึ้นเพื่อแสดงให้เห็นว่าการโจมตีสามารถไปได้ไกลแค่ไหนหากการควบคุมล้มเหลว สิ่งนี้ช่วยให้โรงพยาบาลสามารถตรวจสอบความสามารถในการหยุด ransomware ได้อย่างปลอดภัยภัยคุกคามภายในและภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องโดยไม่เสี่ยงต่อระบบการผลิต
แม้ว่าการแก้ไขจะไม่สามารถทำได้ทันทีเนื่องจากข้อกำหนดของเวลาทำงานหรือข้อ จำกัด ของซัพพลายเออร์ EV ให้การควบคุมเช่นนโยบายการตรวจจับจุดสิ้นสุดและการตอบสนอง (EDR) หรือลายเซ็นไฟร์วอลล์เพื่อลดความเสี่ยงตามเวลาจริง โรงพยาบาลสามารถใช้ทางเลือกเหล่านี้เพื่อรักษาความคุ้มครองจนกว่าจะสามารถใส่แพทช์ได้อย่างปลอดภัย
ประโยชน์ของการตรวจสอบความถูกต้องในโรงพยาบาล
แทนที่จะสมมติว่าช่องโหว่ใดเป็นอันตรายตามการวัดนอก I, EV ทดสอบโดยตรงในสภาพแวดล้อม แน่นอนว่ามันจำลองการโจมตีในโลกแห่งความเป็นจริงข้ามอีเมลจุดสิ้นสุดเครือข่ายและการป้องกันคลาวด์และสังเกตว่าการควบคุมตอบสนองอย่างไร ผลที่ได้คือหลักฐานเชิงประจักษ์ว่าผู้โจมตีสามารถใช้ประโยชน์จากการตั้งค่าที่ไม่ซ้ำกันได้อย่างไรและสิ่งที่ถูกบล็อกโดยการป้องกันความปลอดภัย สำหรับโรงพยาบาลที่อยู่ภายใต้ภาระทางเศรษฐกิจและการดำเนินงานการเปลี่ยนจากสมมติฐานเป็นการพิสูจน์นี้เป็นสิ่งสำคัญ นี่คือวิธีการทำงาน:
-
EV ช่วยให้ทีมรักษาความปลอดภัยแยกแยะภัยคุกคามที่แท้จริงจากช่องโหว่ทางทฤษฎีที่ถูกบล็อกโดยการตรวจสอบความปลอดภัยแล้ว
-
ด้วยหลักฐานเชิงประจักษ์ของภัยคุกคามในปัจจุบันและการใช้ประโยชน์การถือครองสามารถกำหนดทรัพยากรของพวกเขาในที่ที่พวกเขาต้องการมากที่สุด
-
สิ่งนี้ช่วยให้ทีมหลีกเลี่ยงการแก้ไขและการรบกวนที่ไม่จำเป็นโดยการตรวจสอบ
-
ผู้นำด้านความปลอดภัยสามารถสื่อสารความเสี่ยงของผู้มีส่วนได้ส่วนเสียได้อย่างชัดเจนคณะกรรมการและสาธารณชนโดยแสดงผลการทดสอบที่แท้จริง เนื่องจากนี่อยู่ในบริบทของระบบโรงพยาบาลจึงให้ความมั่นใจในทุกฝ่ายที่ได้รับผลกระทบ
ซึ่งแตกต่างจากการทดสอบการเจาะประจำปีหรือการสแกนช่องโหว่เป็นระยะ EV สามารถทำงานได้อย่างต่อเนื่องและโดยอัตโนมัติ CVE ใหม่การเปลี่ยนแปลงการกำหนดค่าหรือการอัปเดตของตำรวจอาจทำให้เกิดการจำลองอีกครั้ง สิ่งนี้ช่วยให้ทีมสามารถมองเห็นการควบคุมการควบคุมได้อย่างรวดเร็วตรวจสอบการแก้ไขและตรวจสอบสินทรัพย์ที่มีค่าสูงอย่างต่อเนื่อง
ใช้ EV เพื่อสนับสนุนการกำกับดูแลและการปฏิบัติตาม
EV ไม่เพียง แต่มีประโยชน์สำหรับการตรวจจับช่องโหว่ความปลอดภัยเท่านั้น แต่ยังช่วยปิดและพิสูจน์ได้ว่าพวกเขาได้รับการแก้ไข ทีมรักษาความปลอดภัยสามารถใช้การจำลองสถานการณ์ใหม่เพื่อยืนยันว่าการเยียวยากำลังทำงานและสร้างใบรับรองการตรวจสอบสำหรับช่องโหว่ที่จะแก้ไข หลักฐานนี้ทำให้การตรวจสอบกฎระเบียบง่ายขึ้นโดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่จำเป็นในการรักษาความสอดคล้องกับมาตรฐานความปลอดภัย HIPAA และ HITECH
แทนที่จะเข้ารหัสสำหรับหน้าจอหรือบันทึกที่รวบรวมด้วยตนเองในระหว่างการแก้ไขผู้นำด้านความปลอดภัยสามารถนำเสนอไทม์ไลน์ที่ชัดเจน: พบช่องโหว่, ทดสอบ, บรรเทา, ทดสอบ, ทดสอบและปิด – ทั้งหมดได้รับการสนับสนุนโดยผลลัพธ์จริง ความโปร่งใสนี้ช่วยปรับปรุงความสัมพันธ์กับผู้สอบบัญชีและให้ความอุ่นใจของทีมรักษาความปลอดภัย
การป้องกันมากขึ้นโดยมีทรัพยากรน้อยลง
จำนวน CVE ที่เผยแพร่เพิ่มขึ้นเพิ่มขึ้นเป็นสองเท่าในช่วงห้าปีที่ผ่านมา ในจำนวนที่ใช้ในปี 2567 พบ 63% ในเครือข่ายสุขภาพ ในขณะเดียวกันการระดมทุนจากแหล่งต่าง ๆ เช่น Medicaid ซึ่งคิดเป็นเกือบ 20% ของค่าใช้จ่ายด้านการดูแลสุขภาพในสหรัฐอเมริกาและให้เงินทุนแก่เครื่องมือและค่าจ้างสำหรับผู้ที่รับผิดชอบในการปกป้องระบบโรงพยาบาล – เมื่อทรัพยากรหดตัวและการโจมตีทางไซเบอร์เพิ่มขึ้นในจำนวนและความซับซ้อนผู้นำด้านความปลอดภัยจะต้องยอมรับอาณัติใหม่: ทำน้อยลงก่อนหน้านี้และมีอิทธิพลมากขึ้น การตรวจสอบความถูกต้องของการเปิดรับแสงทำให้เป็นไปได้