Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
UnitedHealth Grubu CEO’su Andrew Witty milletvekillerinin aradığı tüm yanıtları vermedi geçen hafta tanıklık Change Healthcare’in alt kuruluşuna yapılan fidye yazılımı saldırısını yönetmesi nedeniyle.
Witty, AlphV fidye yazılımı grubunun 12 Şubat’ta Change’in BT ortamına izinsiz girmesine yol açan nedenleri ve ABD sakinlerinin üçte birinin verilerini çalıp fidye yazılımı dağıttıktan sonra olanları anlattı.
Güç durumdaki sağlık hizmetleri lideri, Kongre’deki iki duruşmadan dört saatten fazla bir süre önce, Şubat ayının sonundaki saldırının sağlık sektörü üzerinde neden bu kadar yıkıcı bir etki yarattığını açıklamaya yardımcı olan önemli teknik ayrıntıları paylaştı.
İşte Witty’nin ifadelerinden beş çıkarım:
1. Change’deki eski teknoloji, saldırının etkisini güçlendirdi
Change Healthcare 2007 yılında kuruldu ancak Witty’ye göre şirketin tıbbi talep ve ödeme işleme işlerini yürüten teknoloji sistemlerinden bazıları 40 yıl öncesine dayanıyor.
Saldırıdan önce, Change’i 2022’nin sonlarında 13 milyar dolara satın alan UnitedHealth, Change’in teknolojisinin büyük bir kısmını yükseltme ve modernize etme sürecindeydi.
“Saldırının kendisi, Change’in satın alınmasından önce geliştirilen çeşitli yedekleme sistemlerinin kilitlenmesine neden oldu. Witty, onu geri getirmenin bu kadar uzun sürmesinin asıl nedeninin aslında bu olduğunu söyledi.
Change’in verilerinin çoğu, saldırıdan önce veri merkezlerinde depolanıyordu. Witty, “Teknoloji ortamını yeniden inşa ettikçe, çok daha güvenli bir gelecek ortamı yaratacağına inandığımız buluta daha fazla geçiş yaptık” dedi.
2. Çalınan kimlik bilgileri kilidi açılmış erişim
Witty, saldırganın 12 Şubat’ta çalınan kimlik bilgileriyle Change’in uzaktan erişim sunucusuna erişim sağladığını söyledi.
Şirketin, saldırı gerçekleşmeden önce kimlik bilgilerinin çalınıp karanlık ağda satıldığına olan güveni oldukça yüksek.
Meşru kimlik bilgileri ve MFA eksikliği, saldırganın 21 Şubat’ta Change’in sistemleri içinde yatay olarak hareket etmesine, verileri çalıp şifrelemesine ve fidye yazılımı dağıtmasına olanak tanıdı.
3. Olaya müdahale süvarileri çağrıldı
UnitedHealth, saldırıya yanıt vermesine ve saldırıdan sonra toparlanmasına yardımcı olmak için en az yedi olaya müdahale firmasını ve üçüncü taraf siber güvenlik uzmanlarını görevlendirdi. Saldırıdan sonra başlayan bu çatışmaların bir kısmı artık devam edecek.
Witty özellikle Mandiant, Palo Alto Networks ve Bishop Fox’tan aldığı desteği vurguladı ancak yazılı ifadesinde Google, Microsoft, Cisco ve Amazon’un da kurtarma, danışmanlık ve test çalışmalarına yardımcı olmak için sahada bulunduğunu ekledi.
UnitedHealth, Mandiant’tan şirketin siber güvenlik gözetimini ve stratejisini güçlendirmek için kalıcı danışman olarak yönetim kuruluna katılmasını istedi.
Witty, “Bu saldırının anlaşılmasında son derece yardımcı oldular ve şirketin tepesinde en iyi tavsiyeyi almamızı sağlamak için yönetim kurulu danışmanı oldular” dedi. “Mevcut en seçkin siber güvenlik tavsiyesine sahibiz.”
4. Müdahale ve kurtarma sorunları
UnitedHealth, fidye yazılımı saldırısının farkına vardığında Change’in diğer tüm sistemlerle olan bağlantısını derhal kesti.
Witty, bu hızlı yanıtın, fidye yazılımının ülkedeki herhangi bir sağlayıcıya veya ağa yayılmasını ve bulaşmasını önlemek için kritik öneme sahip olduğunu ve işe yaradığını söyledi. “Patlama yarıçapını sadece Değişime sınırladık. Her şeyi kapattık.”
Witty, “Bu bir yazılım ve ağ işi, fiziksel anlamda bir boru hattı işi değil” dedi. “Saldırıya uğradığında güvenlik açığı, yazılımın etkilenmesi veya şifrelenmesidir ve bu da tüm sistemi gerçekten dondurur, bu yüzden bu kadar yıkıcı bir etki oldu.”
Change’in eski teknolojisi aynı zamanda ana ve yedek BT ortamlarının izole edilmediği ve her iki sistemin de saldırıdan doğrudan etkilendiği anlamına geliyordu. Witty, buluttaki BT öğelerinin hızlı bir şekilde tekrar çevrimiçi hale getirildiğini, ancak eski veri merkezlerindeki sistemlerin çok sayıda eski teknoloji katmanının ağırlığı altında kaldığını söyledi.
kurtarma çabası çoğu insanın beklediğinden daha uzun sürdü Witty, UnitedHealth’in Change’in platformunu sıfırdan yeniden inşa etmesi gerektiğini söyledi. Buna, “saldırıdan önce var olan her şeyden çok daha gelişmiş yerleşik güvenlik yeteneklerine” sahip modern, çoğunlukla bulut tabanlı teknolojiler de dahildir.
5. Çok faktörlü kimlik doğrulama açık değildi
Çok sayıda yasa koyucu, Witty’yi, AlphV’nin Change Healthcare’in sistemlerine girmek için kullandığı korumasız uzaktan erişim noktası konusunda eleştirdi ve eleştirdi.
Şirketin politikası, MFA’nın dışarıya bakan tüm sistemler için açık olmasıdır, ancak halen araştırılan nedenlerden dolayı, masaüstü uzaktan erişim için bir Change Healthcare Citrix portalı kullanılmaktadır. MFA açık değildi.
Witty, “Bu, siber suçluların Değişim’e girebildiği sunucuydu” dedi.
“Bu sunucunun MFA tarafından neden korunmadığını tam olarak araştırmaya çalışıyoruz. Bu gerçek konusunda herkes kadar ben de hayal kırıklığına uğradım ve o zaman bu konunun neden ele alınmadığını tam olarak anlamaya çalışıyoruz,” dedi Witty.
“Bugün itibariyle tüm UHG genelinde harici sistemlerimizin hepsinin çok faktörlü kimlik doğrulamayı etkinleştirdiğini size doğrulayabilirim” dedi.