Nhưng giờ đây không còn như vậy nữa: Ransomware dạng dịch vụ đã phát triển mạnh và thông tin y tế bị đánh cắp có thể kiếm tiền rất nhanh, thúc đẩy kẻ tấn công tấn công bệnh viện ở mức độ chưa từng có.
Dịch vụ Y tế Alberta (AHS) không có ý định để mình bị tổn thương — hệ thống y tế đang tăng cường khả năng phòng thủ bằng AI.
Triển khai các hoạt động mạng được tăng cường AI từ nền tảng an ninh mạng Securonix , AHS đã cắt giảm thời gian trung bình để phản hồi các sự cố có mức độ ưu tiên cao hơn 30%. Công ty cũng đã giảm 90% cảnh báo dương tính giả và khối lượng công việc từ 2 đến 3 giờ mỗi ngày, giúp tiết kiệm hàng trăm nghìn đô la.
“Nhiều mạng lưới bệnh viện là những mục tiêu béo bở, dễ dàng”, Richard Henderson, giám đốc điều hành AHS và CISO, nói với VentureBeat. “Tôi không ngủ nhiều vì tôi rất sợ nhận được cuộc gọi lúc 2 giờ sáng nói rằng toàn bộ môi trường của chúng tôi đã bị sập do ransomware”.
Thực hiện công việc của 1.000 (hoặc nhiều hơn nữa) nhà phân tích SOC
AHS là mạng lưới bệnh viện lớn thứ hai ở Bắc Mỹ và là trường hợp lớn nhất thế giới về nền tảng hồ sơ chăm sóc sức khỏe điện tử (EHR) Epic.
Henderson giải thích rằng ông và nhóm của ông chịu trách nhiệm về an ninh mạng cho 106 bệnh viện, 800 phòng khám, 20.000 bác sĩ và 150.000 nhân viên phục vụ 4,5 đến 5 triệu người Alberta. Ông mô tả AHS là một “tổ chức tại chỗ lớn”, với mọi cơ sở đều được kết nối với cùng một cài đặt Epic.
Vì vậy, Henderson lưu ý, “nếu nó giảm, nó sẽ giảm cho tất cả mọi người. Và, tôi không nói quá khi nói rằng nếu nó giảm, nó có thể ảnh hưởng rất lớn đến cuộc sống của bệnh nhân”.
Ông cho biết cũng không ngoa khi nói rằng việc Epic ngừng hoạt động hoàn toàn – bất kể có liên quan đến phần mềm tống tiền hay không – có thể dễ dàng khiến tỉnh Alberta thiệt hại từ 500.000 đến 600.000 đô la một giờ.
Để tránh những tình huống như vậy, AHS đã triển khai “toàn bộ” nền tảng Securonix bên trong môi trường của mình. Điều này bao gồm khả năng phát hiện, điều tra và phản hồi mối đe dọa (TDIR) của công ty an ninh mạng thông qua nền tảng quản lý sự kiện và thông tin bảo mật (SIEM) do AI cung cấp. Điều này cung cấp quản lý nhật ký, phân tích hành vi và hồ dữ liệu bảo mật trong một gói.
Henderson giải thích rằng mạng lưới y tế tiêu thụ hàng terabyte dữ liệu vào SIEM của mình và dựa vào kiến trúc đám mây gốc của Securonix để xử lý chuẩn hóa và định tuyến dữ liệu. Snowflake cung cấp năng lượng cho phần lớn phần phụ trợ đó.
Phân tích hành vi là một phần quan trọng trong chiến lược phát hiện của AHS. Henderson giải thích rằng nền tảng Securonix liên tục tìm hiểu những gì bình thường trông như thế nào đối với người dùng, điểm cuối và hệ thống của mình, điều này giúp nhóm của ông phát hiện ra “những điều tinh vi”, chẳng hạn như một tài khoản đáng tin cậy hoạt động “chỉ hơi khác một chút”.
Henderson cho biết: “Nó đang tìm kiếm các mẫu và ghép mọi thứ lại với nhau”. “Bạn có thể thuê 1.000 nhà phân tích bảo mật và bạn vẫn không có đủ người để có thể sàng lọc tất cả các dữ liệu từ xa mà các doanh nghiệp kỹ thuật số hiện đại đang sử dụng”.
AHS đang rút ngắn thời gian giải quyết, cải thiện thời gian phản hồi
Ví dụ, các công cụ do AI điều khiển của AHS tìm hiểu hành vi mạng bình thường trông như thế nào trên khắp các bệnh viện của mình . Khi có điều gì đó bất thường xảy ra — chẳng hạn như một thiết bị đột nhiên giao tiếp với một máy chủ bên ngoài mà nó chưa từng được liên lạc trước đó — nó sẽ đánh dấu ngay lập tức. Điều đó có thể dẫn các nhóm bảo mật đến một công cụ được cấu hình sai có thể đã bị khai thác nếu nó không được chú ý.
Henderson cho biết: “Những kiểu cấu hình sai đó đã từng dẫn đến các đợt bùng phát ransomware thảm khốc trong các mạng lưới bệnh viện khác trong quá khứ”.
Hoặc, như một ví dụ khác, một tải trọng có thể xuất hiện như có khả năng đáng ngờ, nhưng nó đã được che giấu, nghĩa là con người phải cố gắng tìm ra chính xác nó là gì và nó làm gì, Henderson lưu ý. Bây giờ, họ có thể yêu cầu nền tảng giải mã tải trọng và xác định kẻ tấn công đang cố làm gì, và “chỉ trong vài giây”, nó sẽ thực hiện tất cả công việc.
“Vài năm trở lại đây, khả năng nói chuyện với máy tính như thể bạn đang nói chuyện với một con người đã thay đổi cách mọi người nghĩ về AI”, ông nói. “Xử lý ngôn ngữ tự nhiên đã tồn tại trong một thời gian dài, nhưng không ở mức độ này, và nó vẫn tiếp tục khiến tôi kinh ngạc về mức độ tuyệt vời của nó”.
Kết quả là, AWS đã có thể cắt giảm đáng kể thời gian giải quyết và cải thiện khả năng phản hồi nhanh hơn. Henderson cho biết thời gian trung bình để phản hồi các sự cố có mức độ ưu tiên cao đã giảm hơn một phần ba so với năm ngoái.
Henderson chỉ ra rằng điều này là do AI đang thực hiện nhiệm vụ nặng nề, giúp các nhà phân tích hiểu được những gì đang xảy ra và kẻ tấn công đang cố gắng đạt được điều gì. Trong an ninh mạng hiện đại, AI đã trở nên cực kỳ quan trọng đối với việc phát hiện mạng, bảo vệ điểm cuối, lọc email và các chức năng an ninh mạng khác. Ông cho biết: “Nhân viên của tôi tiết kiệm được hàng giờ mỗi ngày bằng cách sử dụng các công cụ AI”.
Nền tảng của Securonix cũng giúp giảm thiểu tiếng ồn khi AHS chứng kiến sự sụt giảm đáng kể các báo động giả đến các nhà phân tích cấp dưới, điều này “thực sự giúp tập trung hơn và tránh kiệt sức”, Henderson cho biết.
Ông lưu ý rằng có rất nhiều cuộc thảo luận xung quanh việc AI thay thế các hoạt động bảo mật cấp thấp hơn. Nhưng theo quan điểm của ông, “AI sẽ không thay thế nhân viên cấp dưới. Những gì nó sẽ làm là giúp họ học nhanh hơn, làm tốt hơn công việc của mình và bảo vệ môi trường doanh nghiệp.”
Các cuộc tấn công gia tăng khiến giáo dục trở nên quan trọng
Với quy mô lớn như vậy, AHS có nhiều cơ sở trải dài khắp tỉnh, nhóm của Henderson cần theo dõi nơi xảy ra nhiều vụ việc nhất. Điều này có thể giúp họ suy ra liệu một khu vực địa lý cụ thể có bị nhắm mục tiêu hay không.
Henderson chỉ ra rằng Calgary và Edmonton là hai thành phố lớn nhất ở Alberta, vì vậy, theo lẽ tự nhiên, người ta sẽ nghĩ rằng họ sẽ phải chịu một khối lượng tấn công đáng kể. Nhưng không phải lúc nào cũng vậy; các bệnh viện nông thôn nhỏ hơn thường là mục tiêu vì những kẻ đe dọa cho rằng khả năng phòng thủ của họ yếu hơn.
AI cho phép anh và nhóm của anh duy trì bảng điều khiển đang chạy về nơi xảy ra sự cố để lập kế hoạch tiếp cận bổ sung nếu cần thiết. Henderson dành nhiều thời gian cho khía cạnh con người của an ninh, anh cho biết, đào tạo các y tá và bác sĩ của AHS về các chiến dịch tấn công trước đây để họ hiểu những gì cần tìm kiếm.
“Vì vậy, nếu chúng ta thấy sự gia tăng ở các bệnh viện nông thôn, tôi chắc chắn sẽ xây dựng một chiến dịch giáo dục để nói rằng, ‘Họ đang nhắm mục tiêu vào các bệnh viện nông thôn vì họ nghĩ rằng bạn là mục tiêu dễ dàng hơn. Đây là những loại điều bạn nên tìm kiếm,'” ông giải thích.
