非營利的 Martin’s Point Health Care 建置了以資料為基礎的安全性架構,進而做到入侵威脅評估的自動化。
文/Dan Swinhoe 譯/潘得龍
對駭客而言,健康照護產業是一個誘人的、有利可圖的目標。健康照護機構擁有許多寶貴的個人健康以及財務資料,不幸的是,這些資料通常是儲存在比較老舊的技術的設備上。這些設備的軟體更新難度較高,而且通常維護的人力資源也較缺乏。更糟糕的是,健康照護機構資料外洩的代價很高。根據《2019年資料外洩成本報告》研究報告指出,健康照護產業每份資歷外洩的最高成本大約為408美金,幾乎是次一名產業的一倍,而且這份去年發表的研究指出,健康產業資料外洩,在美國每年甚至導致多達2,100人死亡。
美國一家健康照護組織正在走入自動化,並且規劃了如何將他們的小團隊達到最大的效率。Martin’s Point Health Care 的資訊安全主任構思了一個全新的架構,協助公司建立了稱之為「以資料為基礎的」安全性架構。
小型團隊 vs. 法規與整個國家的攻擊
Martin’s Point 是一家分布於緬因州和新罕布夏州,提供健康照護服務、聯邦醫療保險(Medicare)和三軍醫療照護計劃(Tricare)的非營利組織。他們在美國的18個不同位置擁有七個健康醫療中心以800多名員工。而Matthew Witten 從2015年開始就是 Martin’s Point 的資訊安全主任,他之前是路易維爾(Louisville)大學 Louisville Metro Government 的資訊安全主管 (Chief Information Security Officer, CISO),他後來進入 Martin’s Point,成為這個機構的第一位建立完整安全程式的資訊安全主管。
Witten 的五人安全小組,其中包含有之前是腫瘤科的護士,她在安全作業中心(Security Operations Center, SOC) 找到第職業的第二春,可以保護80,000健康保險人的健康與保險資料內容,如果包含病患相關人員的話更是超過100,000人。當 Martin’s Point 處理健康與財務資料的時候,必須遵守 PCI DSS 與 HIPAA 法規,但Witten戲稱,與Tricare健康保險相當於國防部軍方等級的規定要求比較起來,「HIPAA就有如在公園散步。」
除了勒索軟體的攻擊之外,Witten和他的團隊也協助保護 Martin’s Point 的資深主管免於受到釣魚集團,以及來自稱之為「小型國家」的攻擊。
以資料為基礎的安全性架構
Witten的小團隊有許多的資料需要保護,並且也有基本的安全基礎架構會蒐集大量的相關資料。Witten說:「有許多企業將安全管理視為企業資料進出的守門員,但許多人並不了解的是,我們實際上是一個掌握許多資料的部門,我們的部門蒐集的資料比整個電子病歷系統EMR(Electronic Medical Record)以及個別系統任何一天所有的資料還多。日復一日,我們不間段地蒐集來進入企業的資料,每天有數以百萬筆的記錄來自不同的途徑。」
這種擁有完整資料,同時又必須負責安全管理的感受,啟發Witten和他的團隊開始建立稱之為「DOVeS」(D偵測、O編排、V視覺化,以及S證實)的新架構。這是一個開放、不受限於廠商回饋,而能正規化、最佳化以及自動處理組織相關安全資料的架構。
Witten說:「我們嘗試排除資訊安全危機中所有的主觀介入,擺脫類似問卷調查那樣,必須根據1到5分的尺度表進行測量的老方式,而是真正能夠進入以及尋找真實存在的危機。我們以資料為基礎,執行 Monte Carlo 模擬,找出可能在哪個地方有可能發生問題。」
DOVeS的目標是在管理對資訊的了解,然後才採取行動。簡單的說,就是這個團隊會取得一個新的資料串流(通過來自企業中一個想要進行監控的新區域),然後團隊會查看如何正規化與視覺化這份資料。之後,則是決定如何用有意義的方式進行資料的自動化安排,確認是否存在有任何的危機出現(例如,是假信號還是真正重大的威脅),然後將這個資訊回饋給流程,以便能夠在未來相同的危機發生時,更能直接偵測與安排如何處理危機。
Witten指出,「我處理過許多的架構,而這些架構沒有任何一個真正是專注在資料端。我們自行開發這個架構,目的是開發出一個更以資料為基礎,關注安全管理問題的架構。」
DOVeS的運作方式
首先,DOVeS中的D是代表了解資料是從何處進入(以及有哪些資產是還沒有納入監控的),然後對資料進行正規化,進而減少錯誤警報以降低安全資訊與事件管理系統(SIEM)中假警報的次數。當他提到他的團隊已經能夠將警報精準到相當準確的程度,而這已經經過一段過程。
「我們會設定想要進行監控的資料字串,不過如果設定得不恰當,可能就會在你睡覺的時候,忽然間電話的警告響個不停。有一次因為計算錯誤,一晚收到了480次的警報。之前至少每個月都會發生一次這樣的事情,不過有了DOVes之後,經過我們持續的改善,已經幾乎不會發生。」
O則是「編排」,就是藉由撰寫程式儘量達到自動化有關。這樣可以阻斷或標示惡意網站,同時提醒安全小組有威脅存在,需要進行進一步修復、調查,或修改程式以警告特定使用者存在有危險的情況。Witten說:「要讓自己自動完成更好的工作,而不是讓自己失去工作。針對日常簡單而且必須重複執行的工作使其自動完成,那麼節省許多個2分鐘,就會變成30分鐘,變成一個小時,也就是使用FTE概念節省工作時間的方式。」
Witten說:「有許多自動化工具可以使用,我們是在自己的環境中建立自己的伺服器,所以我們在安全領域的外面導入自動化工具。我們使用的像是Ansible這樣的工具進行調整,然後搭配我們的SIEM和EDR(端點偵測與回應)系統,如此就能根據我們自己的需要進行調整。」
「視覺化」則是為了方便讓相關的人能夠容易了解,將處理過的資料加以視覺化,然後將正確的資料在正確的時間提供給需要的人。
「證實」則是對於危機的了解,Witten解釋。「DOVeS會彙整所有的內容」,可以針對惡意軟體進行逆向工程、執行中的廠商程式,或是內部的危機評估,讓 Martin’s Point 的紅色警備小組能夠嘗試模擬或複製攻擊,以查看真正的危害發生時,可能會造成什麼影響,以便評估是否置入新的偵測與修補程序,然後才再次啟動整個程序。
使用中的DOVeS
為了說明DOVeS運作的範例,Witten解釋他最近看到如何藉由網路釣魚電子郵件所發送的Word檔案這樣的案例大量增加,所以公司已經使用所發展的架構試圖阻止這類攻擊,同時不影響企業流程以及正常使用巨集指令的持續進行。
Witten說:「我們使用了 Endgame EDR 記錄檔,記錄檔內容會流入SIEM,然後進入到所謂的GrayLog視覺化工具。然後根據內容判斷資料來自何處,將會進入到什麼地方以及目的進行警報的設定。我們不是根據每次進入的資料都進行查看,而是根據來自世界某個特定的位置,然後是否針對某個特定的對象或是模仿特定的時候等原則,經過這類證實過後的自動化串流資料。」
「我們已經知道有來自幾個不同國家的攻擊者,嘗試冒充幾位我們的重要主管。我們會自行進行反向分析,在檔案中找到證據,了解攻擊者想要做什麼然後證實真正的危險。然後就會設定機器上的管理權限,在我們外部防火牆標示特定的上層網域名稱,以隔離出這些非法的網站,然後我們阻隔特定的IP位址以及能夠繼續使用的清單。」
安全管理自動化能夠有助於提昇業務
DOVeS的關鍵是能夠持續改進以及回饋,而 Martin’s Point 也總是將這個架構擴充應用到新的領域。其中一個協助貢獻DOVeS概念的廠商是Endgame,他們主要是提供EDR服務。除了提供各端點的資料串流安全資訊與事件管理更好的防護,像是有能力抵禦隱藏在巨集指令中的勒索軟體,另外還協助團隊加入了行為分析,而能進一步做到監控與預防的能力。
「其中有一項目前在跟Endgame合作的,就是運用我們所蒐集的資料,針對接下來四週即將離職的員工進行風險管理。」Witten指出:「當有員工要離職,他們會儘量的帶走對他們未來新工作有需要使用到的資料,所以公司必須要能夠識別並且嘗試保護公司的智慧財產。而管制這些受保護的資料以及偵測這類的行為,將這類型為視覺化呈現,正是我們已經在進行的事情。然後我們會開始採取行動,並且特別注意相關的資料、檔案以及系統等等,以確保沒有任何資料外洩。」
針對公司內部另外一個成功的案例,就是重新設計安全小組替基礎架構小組設計的某些自動化工作,協助進行伺服器升級相關工作的自動化。「我們最大的一個系統有超過40台伺服器,所以必須要花幾個月的時間才能完成升級。藉由我們在安全管理自動化的設計方式,我們目前能夠將原本需要耗用六個月時間才能完成的基礎架構整體升級,目前只需要三個小時就能完成,這對組織而言是很大的提升。」
Witten和他的團隊是從2017年開始DOVeS專案,不過他表示,一直到了2018年,這個專案才真正開始產生效果。「這不是一夜之間能夠完成的事情,也不是可以用錢就從商店買到,你必須投入許多努力。」
不過,經過這樣的付出,公司在小組運用DOVes架構之後的自動化和控制成效,讓Witten贏得 SANS Difference Maker 獎。他和 Martin’s Point 計畫在隔年,以原始碼專案的方式釋出架構-其中的程式碼可以有利於結合不同產品。他表示:「我們深知無法深入了解每樣事情,因此盡可能以開放原始程式碼專案的方式分享我們的架構,特別是我們已經在使用的系統,而我們也希望其他人能夠分享他們的內容給DOVeS。讓所有的頭腦都能聚集在一起,一起往可以改進的地方邁進。」