今天的专栏作者,Abnormal Security的Mike Britton表示,团队必须采用AI驱动的工具来缓解医疗行业日益增多的电子邮件攻击。(Adobe Stock)
评论:无可否认,我们需要一个强大而安全的医疗行业,这个行业拯救了无数生命,创造了数百万个就业机会,并已成为经济增长的主要贡献者。正因如此,它也成为复杂社会工程电子邮件攻击的热门目标。尽管安全领导者已经做出了相当大的努力来加强防御并教育员工最佳实践,但针对医疗组织的电子邮件攻击仍在持续增加。随着新一轮高度针对性且难以检测的电子邮件攻击的出现,仅靠传统解决方案和员工意识已不足以保护医疗系统。
为什么攻击者瞄准医疗行业
破坏医疗行业的基本服务可能会产生灾难性的后果,网络犯罪分子知道,处于困境的组织会支付巨额赎金来阻止正在进行的攻击。但这并不是黑客瞄准医疗行业的唯一原因。另一个重要驱动因素是医疗保健机构拥有的大量敏感信息。这些庞大的患者数据、财务细节和医疗记录对网络犯罪分子来说是一座宝库。据一位网络安全研究人员称,医疗数据在暗网上可以卖到信用卡号码价格的20倍,使其成为非常有利可图的目标。
其次,尽管医疗保健组织受到高度监管,但这些规定并不总能转化为更强的安全措施。事实上,合规要求有时会导致医疗保健组织继续使用过时的安全系统和程序,无意中使它们更容易受到复杂攻击。此外,医疗行业的相对较高的员工流动率和复杂的供应链也对网络犯罪分子有利。由于新员工可能不熟悉服务提供商或同事,因此通过社会工程手段模仿这些联系人更容易。另一方面,威胁行为者则依赖于长期员工与其供应商或同事关系过于舒适,更愿意采取通常避免的行动,如通过电子邮件共享敏感数据。
当前医疗行业面临的最大威胁
与其他行业一样,医疗行业的安全领导者在过去几年中越来越多地投资于员工安全意识和教育,帮助提高员工识别和报告潜在威胁的能力。不幸的是,网络犯罪分子总是领先一步。虽然用户应始终警惕发件人的拼写错误、语法错误和过于诱人的提议,但新的高级电子邮件攻击更难被发现。得益于像ChatGPT这样的生成式AI工具的普及,威胁行为者可以迅速生成精美的专业电子邮件,有效模仿目标的信任联系人,如同事、经理或供应商。因此,医疗供应商电子邮件妥协(VEC)和商业电子邮件妥协(BEC)攻击在过去一年中有所增加,自2023年8月以来,VEC攻击增加了60%。
所有社会工程攻击都涉及冒充信任方。在BEC攻击中,网络犯罪分子冒充同事、主管或高层管理人员,而在VEC攻击中,网络犯罪分子通常冒充供应商、分销商或服务提供商。通过对其目标及其冒充对象进行详细研究,威胁行为者利用这些关系,欺骗善意的员工处理欺诈发票、共享敏感信息或无意中提供其访问凭据。由于攻击者可以越来越多地获得供应商的电子邮件账户并接管现有线程,因此其目标没有理由怀疑恶意意图。这种方法还使传统电子邮件安全工具难以检测,因为这些工具依赖于常见的信号(如伪造的域名或可疑附件)来阻止威胁。由于传统工具无法检测从受损账户发送的攻击,这些看似无害的纯文本电子邮件往往轻松通过。
医疗组织如何缓解电子邮件攻击
网络犯罪分子知道,医疗机构依赖电子邮件在医疗团队、供应商和患者与提供者之间进行沟通。借助生成式AI的帮助,他们利用医疗工作者对这一渠道的依赖,每个月对每个组织发起数百次高度战略性社会工程攻击。由于没有恶意内容触发传统安全工具,也没有明显的迹象引起员工的怀疑,传统的防御方法已不足以保护医疗行业免受高级电子邮件攻击。幸运的是,通过了解新战术并采用更先进的AI驱动威胁检测,安全领导者可以在威胁到达用户收件箱之前将其消除。随着2025年的临近,BEC和VEC攻击肯定会继续,并且随着威胁行为者改进其方法,这些攻击在新的一年中将变得更加难以识别。通过采取必要的准备措施,医疗组织可以降低成为明年统计数据的风险。
Mike Britton,Abnormal Security首席信息安全官
(全文结束)
