Bolnički cyber napadi koštali su 600 tisuća dolara/sat. Evo kako AI mijenja matematiku

U prošlim godinama medicinske ustanove nisu bile tako ranjive kao sada; Hakeri su imali nepisano pravilo da ne ciljaju institucije ili usluge gdje bi poremećaji mogli ljude dovesti u fizičku opasnost.

Ali to više nije slučaj: Ransomware-As-A-Service se proširio i ukradene medicinske informacije postale su vrlo unovčive, potičući aktere prijetnji da napadaju bolnice na neviđene razine.

Alberta Health Services (AHS) ne namjerava se ostaviti ranjivim – medicinski sustav jača svoju obranu AI.

Umještanje Cyber ​​Ops-a ojačanih AI-om s platforme za kibernetičku sigurnost SecuronixAHS je smanjio prosječno vrijeme da odgovori na incidente visokog prioriteta za više od 30%. Također je smanjila lažno pozitivna upozorenja za 90% i radno opterećenje za 2 do 3 sata dnevno, što je rezultiralo uštedama od stotina tisuća dolara.

“Mnoge bolničke mreže su velike debele, jednostavne ciljeve”, rekao je Richard Henderson, izvršni direktor AHS -a i CISO, za VentureBeat. “Ne spavam baš puno jer sam samo prestravljen što ću dobiti taj telefonski poziv u 2 sata ujutro rekavši da je cijela okruženja pala zbog ransomwarea.”

Radeći rad 1.000 (ili znatno više) SOC analitičara

AHS je druga najveća bolnička mreža u Sjevernoj Americi i najveća svjetska pojedinačna instanca platforme Elektroničke zdravstvene zaštite (EHR) Epic.

Henderson je objasnio da su on i njegov tim odgovorni za kibernetičku sigurnost za 106 bolnica, 800 klinika, 20.000 liječnika i 150.000 osoblja koje je opslužilo 4,5 do 5 milijuna Albertana. Opisao je AHS kao “masivnu organizaciju na prem-u”, sa svakim objektom povezanim s istom epskom instalacijom.

Dakle, Henderson je napomenuo: “Ako to propadne, za sve se smanjuje. I, za mene nije hiperbola reći da ako padne, to bi moglo imati utjecaja na život pacijenta.”

Također nije pretjerivanje reći da bi potpuni prekid EPIC-a-bez obzira je li to povezano s ransomwareom ili ne-lako koštao provinciju Alberta bilo gdje od 500.000 do 600.000 dolara na sat, rekao je.

Kako bi izbjegli takve situacije, AHS je rasporedio “potpuni širenje” platforme Securonix u svom okruženju. To uključuje mogućnosti otkrivanja, istrage i reakcije (TDIR) kompanije CyberSecurity Company putem svoje platforme sigurnosnih informacija i upravljanja događajima (SIEM). To osigurava upravljanje dnevnikom, analitiku ponašanja i sigurnosni jezero u jednom paketu.

Henderson je objasnio da medicinska mreža konzumira terabajte podataka u svoj SIEM i oslanja se na SECURONIX-ovu arhitekturu domovine u oblaku za rješavanje normalizacije i usmjeravanja podataka. Snježna pahuljica omogućuje veliki dio tog podupiranja.

Analitika ponašanja kritičan je dio AHS -ove strategije otkrivanja. Securonixova platforma stalno saznaje kako normalno izgleda za svoje korisnike, krajnje točke i sustave, objasnio je Henderson, što pomaže njegovom timu da uhvati “suptilne stvari”, poput pouzdanog računa koji se ponaša “samo malo”.

“Traži obrasce i spajanje stvari zajedno”, rekao je Henderson. “Možete zaposliti 1.000 sigurnosnih analitičara i još uvijek ne biste imali dovoljno ljudi da možete proći kroz sve telemetrijske moderne digitalne poduzeća.”

AHS smanjuje vrijeme do rješavanja, poboljšavajući vrijeme odgovora

Na primjer, AHS-ov alati vođeni AI saznaju kako izgleda normalno mrežno ponašanje u svojim bolnicama. Kad se dogodi nešto neobično – kao što je uređaj odjednom razgovarao s vanjskim poslužiteljem, nikad ga prije nije kontaktirao – to je odmah označava. To može dovesti sigurnosne timove do pogrešno konfiguriranog alata koji je možda iskorišten da je inače prošao nezapaženo.

“Te vrste pogrešnih konfiguracija dovele su do katastrofalnih epidemija otkupnine u drugim bolničkim mrežama u prošlosti”, rekao je Henderson.

Ili, kao još jedan primjer, korisno opterećenje može se pojaviti kao potencijalno sumnjivo, ali to je zamućeno, što znači da ljudi moraju pokušati shvatiti što je to točno i što radi, napomenuo je Henderson. Sada mogu zatražiti od platforme da deobfatira korisni teret i utvrdi što je napadač pokušavao učiniti, a u “doslovno sekunde” to radi sav posao.

“Tih posljednjih nekoliko godina kad biste mogli razgovarati s računalom kao da razgovarate s osobom upravo je promijenio način na koji ljudi razmišljaju o AI”, rekao je. “Obrada prirodnog jezika postoji već duže vrijeme, ali ne na ovoj razini, i nastavlja me otpuhati koliko je to dobro.”

Kao rezultat toga, AWS je uspio bitno smanjiti vrijeme za rješavanje i poboljšati svoju sposobnost bržeg reagiranja. Henderson je rekao da je prosječno vrijeme za reagiranje na incidente visokog prioriteta više od trećine u odnosu na prošlu godinu.

To je zato što AI radi teško dizanje, pomažući analitičarima da razumiju što se događa i što napadač pokušava postići, istaknuo je Henderson. U modernoj kibernetičkoj sigurnosti AI je postao kritično važan za otkrivanje mreže, zaštitu krajnjih točaka, filtriranje e -pošte i druge funkcije cyber -sigurnosti. “Moji ljudi štede sate dnevno koristeći AI alate”, rekao je.

Securonixova platforma također je pomogla u smanjenju buke, a AHS je doživio značajan pad lažnih pozitivnih rezultata koji je došao do svojih juniorskih analitičara, što “stvarno pomaže u fokusu i izbjegavanju izgaranja”, rekao je Henderson.

Napomenuo je da postoji puno rasprava oko AI -a koji zamjenjuju niže razine sigurnosnih operacija. Ali iz njegove perspektive, “AI neće zamijeniti mlađe osoblje. Ono što će učiniti je pomoći im da brže nauče, bolje rade svoj posao i zaštite okoliš poduzeća.”

Povećani napadi čine obrazovanje kritičnim

Budući da je AHS toliko velik, imajući brojne sadržaje koje obuhvaćaju provinciju, Hendersonov tim mora pratiti gdje se događa najveći količina incidenata. To im može pomoći da zaključe je li jedna određena geografska regija ciljana prema drugoj.

Henderson je istaknuo da su Calgary i Edmonton dva najveća grada u Alberti, tako da bi se, naravno, moglo pomisliti da će podnijeti značajan broj volumena napada. Ali to nije uvijek slučaj; Manje seoske bolnice često su ciljane jer akteri prijetnji pretpostavljaju da su njihove obrane slabije.

AI dopušta njemu i njegovom timu da zadrže trkačku nadzornu ploču gdje se događaju incidenti kako bi se po potrebi planirali dodatni doseg. Henderson provodi značajnu količinu vremena na ljudsku stranu sigurnosti, rekao je, educirajući AHS -ove medicinske sestre i liječnike na prethodne kampanje za napad, tako da oni razumiju što trebaju tražiti.

“Dakle, ako vidimo uspon u našim seoskim bolnicama, apsolutno ću izgraditi obrazovnu kampanju da kažem:” Ciljaju seoske bolnice jer misle da ste lakši cilj. To su vrste stvari koje biste trebali tražiti “, objasnio je.