Sicurezza Informatica

Cybersecurity in Sanità: software, piattaforme e soluzioni basate sull’Intelligenza Artificiale

Le tecniche di attacco dei cybercriminali sono così sofisticate che, per contrastarle, oggi non bastano più i classici strumenti di sicurezza: a volte, è necessario ricorre a tecniche avanzate come quelle basate sull’Intelligenza Artificiale. Sul mercato, sono disponibili soluzioni proprietarie e opensource. Ecco come orientarsi per scegliere la più adatta alle proprie esigenze

Pubblicato il 28 Nov 2022

L’assistenza sanitaria è uno dei settori più vulnerabili in termini di sicurezza infomatica. Lo ha dimostrato una serie attacchi in diversi sistemi sanitari e importanti ospedali, costringendo la Sanità a vivere ormai in continuo stato di allerta. Ciò pone la Cybersecurity in Sanità al centro dell’attenzione di CIO e responsabili IT delle strategie di sicurezza di ospedali, strutture sanitarie, aziende e organizzazioni di qualunque tipo del settore Life Science che – a vario titolo – operano nell’ecosistema Healthcare trattando informazioni e dati vitali per la salute dei cittadini e dei pazienti.

Attacchi in Sanità: c’è la vita in gioco

D’altra parte, gli attacchi sono sempre più mirati ed efficaci e così, spesso, riescono a superare anche i più sofisticati sistemi di protezione. Senza dimenticare poi che, nella grande maggioranza dei casi, alla base del successo di un attacco c’è la collaborazione involontaria di una persona che ha cliccato su un link malevolo o ha tentato di aprire un allegato a una mail.

WHITEPAPER
Trend e prospettive future nel mercato del log management
Sicurezza
Cybersecurity

Come, per esempio, accade nel caso del famigerato ransomware: viene sempre attivato da un utente che, con un clic incauto, inconsapevolmente, gli consente di entrare nel cuore del sistema aziendale, permettendogli così di causare i danni che conosciamo in termini di esfiltrazione e di codifica dei dati. Il risultato è il blocco delle attività legate a tali dati finché non si paga un riscatto per riaverne l’accesso. Un aspetto particolarmente rilevante in sanità che, in casi estremi, può causare anche la perdita di vite umane.

Cybersecurity in Sanità: gli effetti della decentralizzazione

Un elemento che contribuisce a rendere la cybersecurity in sanità sempre più facilmente attaccabile è il continuo aumento della decentralizzazione. Portare all’esterno delle strutture sanitarie apparecchiature e device, quali, ad esempio, i dispositivi indossabili, facilita l’assistenza e anche l’aderenza alle terapie, che possono essere controllate a distanza. Tuttavia, introduce nella rete una serie di endpoint che aumenta enormemente la superficie di attacco, semplificando la vita ai cybercriminali. Solitamente, si tratta di apparecchi che è difficile proteggere con i sistemi tradizionali per la cybersecurity. Un modo per avere il massimo livello di protezione è mantenere aggiornati tutti i software dei vari dispositivi, un’operazione che – però – non è sempre semplice eseguire.

Tecniche avanzate: la segmentazione della rete

Per aumentare il livello di sicurezza, si deve quindi ricorrere a tecniche, prodotti e soluzioni avanzate per il rilevamento delle minacce. Riguardo alle tecniche, una di esse consiste nel segmentare la rete, ovvero nel creare un perimetro intorno ai dispositivi medici limitando l’accesso alla rete a cui essi si connettono.
Così facendo, non solo si riduce la possibilità di essere vittima di minacce, ma si crea anche una barriera alla diffusione del malware all’interno della rete qualora un attacco dovesse avere successo.

Questo è un aspetto di particolare importanza perché possono essere necessarie anche diverse settimane, se non addirittura mesi, prima di accorgersi di essere stati vittima un attacco informatico. E, in tutto questo, il malware ha agito indisturbato (come si dice, ha effettuato “movimenti laterali”) all’interno dell’infrastruttura IT della struttura sanitaria, rubando dati.
Ciò si traduce poi, inevitabilmente, in ingenti costi per ripristinare il sistema, nel blocco della attività (e, quindi, in disagi per i pazienti) e anche in un danno di immagine di cui è difficile stimare il valore.

Cybersecurity in Sanità: l’Intelligenza Artificiale per prevenire gli attacchi

Oggi è di fatto impossibile avere la sicurezza di poter allestire una cybersecurity nella sanità (ma anche in qualsiasi altro ambito) che permetta di avere una protezione totale nei confronti degli attacchi dei cybercriminali. Quindi, gli amministratori di rete e i responsabili della sicurezza informatica delle organizzazioni sanitarie non possono non mettere in conto che possa essere sfruttata una qualche vulnerabilità (che, magari, non era stata sanata con un’apposita patch) per introdurre del malware nei sistemi informatici che presiedono.

Sia nel caso della prevenzione delle minacce sia in quello dell’analisi del sistema alla ricerca di eventuali attacchi, un importante aiuto può arrivare dall’Intelligenza Artificiale (AI).

Infatti, l’utilizzo dell’AI all’interno di soluzioni per la protezione o il monitoraggio del sistema permette di individuare comportamenti anomali avvisando l’utente. Grazie, infatti, alla capacità di apprendere, l’Intelligenza Artificiale riesce a individuare quelle situazioni sospette nel traffico di rete o nel comportamento di un endpoint che risultano inconsuete rispetto alla normalità e che, potenzialmente, potrebbero portare una struttura sanitaria a essere vittima di un attacco.

E siccome l’AI opera in tempo reale, essa consente all’IT di reagire molto rapidamente.

Soluzioni di sicurezza intelligenti, quali ad esempio IBM QRadar, Suricata, OpenWIPS-ng e Microsoft Advanced Threat Analytics, utilizzano proprio l’Intelligenza Artificiale e l’apprendimento automatico per rilevare attività anomale offrendo all’IT l’opportunità di reagire rapidamente e di proteggere i dispositivi medici prima di una violazione completa dei dati.

IBM QRadar, la sicurezza con il SIEM integrato

IBM QRadar Security Intelligence Platform è una famiglia integrata di prodotti che può aiutare a rilevare minacce che altrimenti non verrebbero neppure rilevate. Aiuta a difendersi dagli attacchi applicando sofisticate analisi a molti tipi di dati. In questo modo, identifica gli incidenti ad alta priorità che, altrimenti, potrebbero “perdersi nel rumore”.

Cybersecurity-Sanita-Intelligenza-Artificiale-IBM-QRadar
IBM QRadar Security Intelligence Platform (fonte: IBM)

IBM QRadar Security Intelligence Platform integra il SIEM (Security Information and Event Management), un sistema per il monitoraggio e l’analisi degli eventi in tempo reale che aiuta a riconoscere le potenziali minacce e vulnerabilità di sicurezza prima che abbiano la possibilità di interrompere le attività. Inoltre, questa piattaforma mette a disposizione le seguenti funzionalità:

  • gestione dei log
  • rilevamento delle anomalie
  • gestione delle vulnerabilità
  • gestione dei rischi
  • forensics
  • risposta agli incidenti.

Il tutto in un’unica soluzione scalabile e unificata.

Utilizzando un Sense Analytics Engine avanzato, IBM QRadar analizza i dati di sicurezza e il comportamento degli utenti per fornisce un sofisticato rilevamento delle minacce. Inoltre, si integra con le informazioni di threat intelligence di IBM X-Force per fornire un approccio proattivo alla sicurezza.

Suricata, analisi di rete e rilevamento minacce 

Suricata è un sistema open source di rilevamento delle intrusioni all’interno della rete. Il software fornisce funzionalità di rilevamento e prevenzione delle intrusioni in tempo reale oltre a funzionalità per il monitoraggio della sicurezza della rete. Pertanto, Suricata può fungere da completo ecosistema per il monitoraggio della rete.

Suricata è un software open source di analisi di rete e rilevamento delle minacce (fonte: Suricata)

Questo sistema va oltre il rilevamento delle intrusioni di rete, esaminando i certificati TLS, le richieste HTTP e le transazioni DNS.
Per garantire una buona integrazione con altre soluzioni, come SIEM e database, Suricata utilizza file YAML e JSON come input e output.
Il carico di lavoro di Suricata è distribuito anche grazie alle sue capacità di multithreading e all’accelerazione GPU.
Queste potenti capacità hanno però un prezzo: sono, infatti, necessarie risorse importanti per gestire il software senza problemi.

OpenWIPS-ng: proteggere le reti wireless

OpenWIPS-ng è un NIDS (Network-based Intrusion Detection Systems) open source dedicato alle reti wireless.
WIPS è, infatti, l’acronimo di Wireless Intrusion Prevention System (sistema di prevenzione delle intrusioni wireless).
È possibile utilizzare OpenWIPS-ng sia come sniffer di pacchetti Wi-Fi sia per il rilevamento delle intrusioni.

OpenWIPS-ng funziona esclusivamente su sistemi Linux ed è dotato di tre componenti principali:

  1. sensore per raccogliere dati e inviare comandi di conseguenza
  2. server che contiene il motore di analisi
  3. interfaccia per visualizzare eventi e avvisi

L’elaborazione viene eseguita essenzialmente sul server, poiché è qui che viene eseguita la maggior parte dei plugin e dove vengono riassemblati i pacchetti.
La comunicazione è crittografata di default ed è gestita da due tipi di canali: comandi e dati.
È adatto all’impiego in reti WiFi e per i dispositivi IoT.

Microsoft Advanced Threat Analytics, sicuri anche contro le minacce interne

Proposta da Microsoft, Advanced Threat Analytics (ATA) è una piattaforma di cybersecurity pensata per proteggere le aziende sia da attacchi avanzati esterni sia da minacce provenienti dall’interno. A tal fine, ATA usa un motore proprietario di analisi della rete attraverso il quale acquisisce e analizzare il traffico di rete di più protocolli (per esempio, Kerberos, DNS, RPC o NTLM) per l’autenticazione, l’autorizzazione e la raccolta di informazioni.

Introducing Advanced Threat Analytics for your datacenter
Microsoft Advanced Threat Analytics: un video di presentazione che ne introduce la principali funzionalità (fonte: Microsoft Mechanics)

ATA può acquisire informazioni da diverse fonti, come log ed eventi nella rete, al fine di apprendere il comportamento di utenti e altre entità all’interno dell’organizzazione.
Può così creare una sorta di profilo standard di comportamento attraverso il quale può individuare attività sospette nella rete, come comportamenti anomali in utenti e dispositivi sulla rete, quali accessi anomali, minacce sconosciute, condivisione di password, spostamento laterale e modifica di gruppi sensibili.

In particolare, ATA effettua la ricerca riguardo ai seguenti tre aspetti principali:

  • attacchi dannosi
  • comportamenti anomali
  • rischi e problemi di sicurezza.

ATA rileva queste attività sospette e presenta le informazioni in una console indicando:

  • autori
  • tipo di attacco
  • tempi
  • modalità di esecuzione.

Software per la Cybersecurity in Sanità: come orientarsi tra le soluzioni che offre il mercato 

La Cybersecurity in Sanità oggi non è più un qualcosa a cui “eventualmente pensare”, è semplicemente un obbligo, tanto più quanto il non metterla in atto possa – come nel caso dell’assistenza sanitaria –   mettere a rischio l’incolumità e la stessa vita dei pazienti in cura presso ospedali e strutture sanitarie.
Se è vero che, in generale ma anche nel nostro Paese, la Cybersecurity in Sanità sia una questione anche (e soprattutto) culturale, è pur vero che – per metterla in pratica sul campo e assicurare sempre il massimo livello di protezione alla propria organizzazione sanitaria – è oggi necessario ricorrere a tecniche molto sofisticate.

Come visto in questo approfondimento, un importante aiuto in tutto ciò può arrivare dall’Intelligenza Artificiale. Essa, infatti, anche attraverso l’uso di software e piattaforme intelligenti,  è in grado di identificare comportamenti anomali nella rete che potrebbero essere causati da minacce o da tentativi di attacco. Poiché opera in tempo reale, l’AI consente, infatti, di rispondere in modo veloce alle minacce, innanzitutto aiutando a prevenirle e, comunque, in caso di attacco andato a segno, riuscendo ad evitarne i danni o, quantomeno, a limitarli al massimo.

Il mercato offre molteplici soluzioni che integrano l’IA. Tra queste, come visto, IBM QRadar (molto completa, con anche integrato il SIEM) e Microsoft Advanced Threat Analytics (che protegge anche dalle minacce interne, mostrando il tipo di attacco e anche gli autori).
Della piattaforma di Cyber Threat Intelligence di Cerbeyra – uno strumento di intelligence per la Cybersecurity nella Sanità che “trasforma informazioni di vulnerabilità in informazioni di intelligence sulla vulnerabilità” – avevamo già esposto e dettagliato le caratteristiche e i principali ambiti di applicazione in questo approfondimento.
Suricata e OpenWIPS-ng, infine, rappresentano ottime alternative open source, la seconda delle quali specificamente orientata alla protezione delle reti wireless.

WHITEPAPER
Le strategie che fanno bene al business e alla cyber security
Intelligenza Artificiale
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5