View
7
Download
0
Category
Preview:
Citation preview
Lærdommer etter angrepet mot Helse Sør-Øst
christian.jacobsen@sykehuspartner.no
2018-11-28
• Sykehuspartner HF eies av det regionale helseforetaket Helse Sør-Øst RHF
• Vi leverer IKT-, lønns-, personal-, logistikk- og prosjekttjenester til alle sykehusene i regionen
• Nordens største leverandør av fellestjenester til sykehus
• Kombinerer kunnskap om helsesektoren med teknologikompetanse
Sykehuspartner HF
Nøkkeltall om IKT i Helse Sør-Øst
› Helse Sør-Øst består av 11 helseforetak hvor 9 leverer pasientbehandling
› Helseregionen leverer spesialisthelsetjenester til rundt 3 millioner innbyggere
› Omsetning ca 80 milliarder kroner/år
› Regionen har ca 80 000 medarbeidere som bruker i overkant av 60 000 arbeidsstasjoner, disse bruker rundt 2 500 applikasjoner som i hovedsak leveres fra 10 000 servere
› IKT i regionen driftes av Sykehuspartner HF, som er har ca. 1 400 ansatte
› Sykehuspartner vedlikeholder en kompleks og kritisk IKT-portefølje
Organiseringen av sikkerhet i Helse Sør-Øst
Organiseringen av sikkerhet i Sykehuspartner
Sykehuspartners satsning innen informasjonssikkerhet, personvern og tilgangsstyring
6
Kultur og holdninger Organisasjon Teknologi Styring og prosesser
Det gjøres mye godt og viktig sikkerhetsarbeid i Sykehuspartner
Angrepet er under etterforskning
§ 121. Etterretningsvirksomhet mot statshemmeligheter
Med bot eller fengsel inntil 3 år straffes den som til fordel for en fremmed stat, terrororganisasjon eller uten aktverdig grunn samler inn eller setter seg i besittelse av en hemmelig opplysning som, om den blir kjent for en slik stat, terrororganisasjon eller for øvrig avsløres, kan skade grunnleggende nasjonale interesser som gjelder [...] helseberedskap
Stor oppmerksomhet rundt angrepet
Hva er sikkerhet?
«Sikkerhet er en reell eller oppfattet tilstand som innebærer fravær av uønskede hendelser,
frykt eller fare.»
«Fare er en mulig handling eller forhold som kan føre til en uønsket hendelse.»
«Uønsket hendelse er en hendelse som kan utsette
en verdi for uønsket påvirkning.»
«Verdi er en ressurs som hvis den blir utsatt for uønsket
påvirkning vil medføre en negativ konsekvens for den som eier, forvalter eller drar nytte av
ressursen.»
Så:
Sikkerhet er fraværet av fare (faren kan være ekte eller innbilt) mot de verdiene du har eller
som du tror du har.
Når du er sikker, er verdiene dine trygge.
Når våre verdier blir truet, får det ekte konsekvenser
Hvilke verdier beskytter vi?
Verdiene kan være:
• Personopplysninger – og helseopplysninger
• Forskningsdata
• Utstyr, maskinvare og programvare
• Avtaler og kontrakter
• Omdømme
• Totalforsvaret
• Lønn og pensjon
• Lovpålagte oppgaver – ivareta pasientforløpet
Sykehuspartner
Innleide konsulenter
Hvem sikrer vi verdiene for?
Dataansvarlig for egen virksomhet
Ansatte i SP
Sykehusene
Databehandler for HFene
PasienteneSykehusansatte
PårørendeRHF ansatte
Våre leverandører Vår eier
Så hva har egentlig skjedd?
Så: hva skjedde?
Helse Sør-Øst har blitt utsatt for et avansert, målrettet angrep
Helse Sør-Øst har blitt utsatt for et avansert, målrettet angrep
• Sykehuspartner varsles av HelseCERT den 8. januar
• Varsling verifiseres, kompromittering av en publisert webserver bekreftes
• Beredskap og 24/7 innsatsledelse medfører «takedown» den 9. januar
• Samme kveld blir det kjent at angriper har etablert større tilstedeværelse enn vi opprinnelig antok
Organisering av responsen i regionen
• Helse Sør-Øst RHF gikk i beredskap lørdag 13. januar
• Helse- og omsorgsdepartementet delegerte videre oppfølging av beredskapsansvaret til Helsedirektoratet som koordinere det videre arbeidet innen helsesektoren og samarbeidet med andre myndigheter
• Operativt ansvar i Helse Sør-Øst RHF i nært samarbeid med Nasjonal Sikkerhetsmyndighet
• Meget godt samarbeid med HelseCERT og NorCERT og andre relevante miljøer
• Helse Sør-Øst RHF koordinerte arbeidet internt i foretaksgruppen –hyppige møter med administrerende direktører og sikkerhetsledere i foretakene
Organiseringen av responsen i Sykehuspartner
• Sykehuspartner besluttet etter en innledende fase med tradisjonell beredskapsledelse å organisere responsen mot angrepet med et lite og beslutningsdyktig kjerneteam som rapporterer til administrerende direktør
• Logisk inndeling fra starten av:– Remediation plan – tiltak for å redusere risiko fra trusselaktør– Re-establishment plan - tiltakene for å bygge opp igjen etter at trusselaktør er
ute
• Identifisere kritiske trusselscenarioer og legge planer for respons om de skulle inntreffe
Det er unødvendig å si at vi forberedte oss på det verste
Advanced Persitient Threat• Ikke-opportunistisk• «Går ikke over av seg selv»• Kan gjerne være statsstøttet• Mulighet for både langsiktige
(strategiske) og kortere (taktiske) operasjoner
• Angrepet startet ikke da duoppdaget det
Modell for faser i et APT angrep
Initial recon
Initial compromise
Establishfoothold
Escalateprivileges
Complete mission
Movelaterally
MaintainPresence
Internalrecon
Kilde: Mandiant
Just another day at work….
Lære mer om APT?
https://www.youtube.com/watch?v=bDJb8WOJYdA
Forstå hva resultatene betyr for virksomheten dinGjennomfør tester
Hold oversikt over hvilke tjenester som kjører i
infrastrukturenHold kontroll over angrepsflater – hold kontroll over tjenesterGjør jobben
Ikke anta at noen sårbarheter er ubetydelige
Læringspunkter:
Fixing the basics
- Viktig å jobbe etter en plan
- Elefanter spises også i biter
- Sikkerhet handler om å beskytteforretningsprosesser
- Jobb sammen med virksomheten,identifiser hva som er kritisk oghva som er akseptabelt
Et trusselbilde i stadig endring
29
Når nye angrep ikke passer gammel metode
• Sykehuspartner HF har i tidligere alvorlige hendelser, f.eks. knyttet til løsepengevirus, benyttet National Institute of Standards and Technology (NIST) sin anerkjente «computer security incidenthandling guide» (NIST Special Publication 800-61)
Når nye angrep ikke passer gammel metode
• Sykehuspartners tolkning av NIST-standarden har i andre tilfeller vært vellykket – hurtig isolering («containment») har avverget flere kritiske tilfeller av ransomwareutbrudd i helseregionen
• Denne metoden passet ikke for dette angrepet
Takedown
• Mye diskusjon i fagmiljø om det var riktig å gjennomføre takedown eller ikke
• ... Lykke til!
Pro takedown Con takedown
Vi har ikke avdekket flere kompromitterte servere på flere timer
Vi vet ikke om vi har lykkes i å kartlegge trusselaktørens aktiviteter enda
«Vi kan ikke sitte stille lenger» Om vi stenger trusselaktøren ute, kan det være nesten helt umulig å finne dem igjen om de har etablert en annen bakdør til Helse Sør-Øst
Vi kan ikke risikere at trusselaktøren lykkes i å kompromittere våre produksjonssystemer mens vi sitter stille og venter
Om vi stenger trusselaktøren ute, vil trusselaktørenuten tvil være klar over at deres tilstedeværelse er kjent, og det kan fremprovosere destruktiv adferd
Nye angrep krever nye metoder
Deteksjon som primær sikkerhetsfunksjon - mens trusselaktøren fremdeles er i nettverket
• Angriperen var altså ikke mulig å «kaste ut» i første omgang -> APT
• Nøkkelen er deteksjon – for å forstå trusselaktøren og for å ha nødvendig beslutningsunderlag til å ta de riktige valgene i kritiske situasjoner
• I Helse Sør-Østs regionale sikkerhetsstrategi er deteksjon sentralt:
4.2.16 Egenskaper ved tekniske sikkerhetskontrollerEn forutsetning for enhver fungerende sikkerhetsorganisasjon er deteksjon.
Virksomheten skal ha nettsentriske kontroller som identifiserer sikkerhetshendelser, korrelerer loggdata og sikrer spor når sikkerhetshendelser oppstår.
Sykehuspartners Analyseplattform gull verdt
• Sykehuspartner har siden 2015 jobbet med å etablere eget innbruddsdeteksjonssystem-nettverk (IDS-nettverk), ved å utplassere sensorer ved sentrale nettverksknutepunkt. Disse sensoreneregistrerer og tar kopi av all datatrafikk, og gjenkjenner ondsinnet eller uønsket nettverkstrafikk. Slike hendelser loggføres og varsles
• Våren 2017 besluttet Helse Sør-Øst RHF at analyseplattformen skulle rulles ut til alle helseforetak
• Sykehuspartner fullførte regional utrulling av Analyseplattformen november 2017
• Denne kompetansen gjorde Sykehuspartner i langt bedre stand til å både finne angriperen igjen etter takedown og å gjennomføre en vesentlig hurtigere kartlegging av angriperens aktiviteter i perioden etterpå
• Likevel – nettverket er bare halve infrastrukturen– utrulling av bedre endepunktsikring
Viktig samarbeid
• Sykehuspartner har i hendelsen hatt mye god støtte:– HelseCERT er veldig viktig for oss. Vi er som alltid svært takknemlige for det gode
samarbeidet.
– Stort bidrag fra NorCERT, både på taktisk og operativt nivå. Også støtte på strategisk nivå etter hvert.
– Sykehuspartner inngikk avtale om strategisk og operativ bistand fra to kommersielle aktører, hvorav én norsk og én utenlandsk
– Viktige bidrag fra aktører rundt oss, særlig på strategisk og taktisk side.
Det er kun Sykehuspartner HF som kan normalisere hendelser i Sykehuspartner HFs infrastruktur
Lærdommer og anbefalte tiltak
1. Det kan og vil skje - og passer aldri å bli angrepet2. Fix the basics – NSMs fire kritiske sikkerhetstiltak3. Deteksjon helt nødvendig 4. «Skjerming» av operativ respons viktig 5. Øv på forhånd6. Sjekk backup-systemer7. Gjennomfør trussel-, verdi- og sårbarhetsvurderinger8. En god sektor-CERT i tillegg til god kompetanse og
kapabilitet i egen organisasjon er viktig
Utrulling av sysmon
• Endepunktsovervåkning fra Microsoft (sysinternals)
• Anbefaler implementeringsprosjekt i virksomhetene – Sterk anbefaling om at det må eksistere et loggmottak
– Versjon 7.03 FTW
– Forsvarlig testing og utrulling er superviktig
– Installasjon er en god start. Bruke verktøy og kompetanse for å gjøre data om til informasjon, og informasjon om til beslutningsunderlag er kritisk (yay, lag en CERT)
Recommended