Quando perguntado por que ele tem como alvo os bancos, o assaltante de bancos Willie Sutton simplesmente respondeu: “ Porque é lá que está o dinheiro ”.
Se o infame Willie Sutton, que disse isso na década de 1930, estivesse vivo hoje com uma visão moderna sobre crimes de alto rendimento, poderíamos estar perguntando a ele: "Por que vocês lançam ataques cibernéticos contra empresas de saúde?"
A razão é clara. O custo médio de uma violação de dados em todos os setores é de US$ 4,24 milhões por incidente. No setor de saúde, o custo salta para US$ 9,23 milhões por violação de dados, ante US$ 7,13 milhões em 2021, dando ao setor de saúde os maiores custos de violação de dados para qualquer setor, incluindo finanças, produtos farmacêuticos, tecnologia e energia.
Por que uma violação de dados de saúde é mais custosa? As empresas de saúde têm a tríade de informações atraentes para os criminosos: informações de identificação pessoal (PII), informações de saúde protegidas (PHI) e informações financeiras.
O relatório “Custo de uma violação de dados 2021 ” da IBM diz que o custo médio de PII perdido do cliente é de US$ 180 por registro. Ele também afirma que o vetor de ataque inicial mais popular são credenciais comprometidas, representando 20% de todos os ataques. Combine esses números com os EUA Departamento de Saúde e Serviços Humanos (HHS) que mostra que em 2021 um número impressionante de 39.630.191 contas foram violadas devido a “Incidentes de Hacking/TI”. Se assumirmos que 20% das mais de 39 milhões de contas em 2021 foram violadas devido a credenciais comprometidas a US$ 180 por conta, o custo é de mais de US$ 1,4 bilhão.
O gráfico acima mostra o aumento de violações de dados relatadas pelo HHS de fevereiro de 2021 a março de 2022.
Quando ocorre uma violação de dados, os criminosos recorrem à dark web para comprar essas credenciais comprometidas. Os criminosos estão consolidando violações de dados em coleções maiores, chamadas de “combolistas”, para que os invasores possam comprar uma lista muito maior de credenciais comprometidas. “ Coleção #I ” está à venda desde 2019 e contém 773 milhões de endereços de e-mail exclusivos com senhas correspondentes.
Em um ataque de preenchimento de credenciais, os criminosos compram essas coleções de credenciais comprometidas e, em seguida, fazem repetidas tentativas de "preencher" a página de login em muitos sites diferentes. Quando bem-sucedido, o invasor assume o controle da conta e a usa para fins fraudulentos. A taxa de sucesso de um ataque de preenchimento de credenciais é normalmente de 1 a 2 por cento. Se estiverem testando 1 milhão de credenciais comprometidas, os criminosos normalmente conseguem acessar de 10.000 a 20.000 contas. Um ataque de preenchimento de credenciais é bem-sucedido porque as pessoas tendem a reutilizar e reciclar senhas em muitas contas, então aquelas disponíveis na dark web são onipresentes para vários aplicativos.
O setor de saúde também está começando a ver bots maliciosos coletando cada vez mais conteúdo. Especificamente, os bots estão coletando informações sobre planos de saúde, explicações de benefícios (EOB) e listas de médicos dentro de redes de provedores. Informações sobre planos de saúde e EOB podem ser usadas por concorrentes para oferecer preços mais baixos e inteligência competitiva. As informações médicas podem ser usadas em campanhas de phishing para coletar pagamentos e outras informações de saúde protegidas (PHI) dos pacientes.
Qual é a melhor maneira de reduzir o risco de violações de dados e ataques de preenchimento de credenciais? Não há uma resposta única, mas um bom lugar para começar é adotar uma arquitetura de confiança zero e identificar os malfeitores que abusam dos seus aplicativos web.
Uma arquitetura de confiança zero elimina a ideia de uma rede confiável dentro de um perímetro definido. Em outras palavras, é um modelo de segurança que se concentra na verificação de cada usuário e dispositivo, tanto dentro quanto fora dos perímetros de uma organização, antes de conceder acesso. A abordagem de confiança zero concentra-se principalmente na proteção de dados e serviços, mas pode ser expandida para incluir todos os ativos corporativos.
O F5 se baseia fortemente na Publicação Especial 800-207 do NIST Arquitetura de Confiança Zero para nossos esforços em torno da confiança zero, porque ela fornece modelos gerais de implantação específicos do setor e casos de uso em que a confiança zero pode melhorar a postura geral de segurança da tecnologia da informação de uma empresa. O documento de arquitetura descreve a confiança zero para arquitetos de segurança empresarial e auxilia na compreensão da confiança zero para sistemas civis não classificados. Além disso, ele oferece um roteiro para migrar e implantar conceitos de segurança de confiança zero em um ambiente corporativo.
O F5 Distributed Cloud Bot Defense e o Distributed Cloud Account Protection protegem sites contra ataques de criminosos. Todos os ataques de preenchimento de credenciais que mencionamos anteriormente? Todos eles vêm de bots maliciosos e automatizados. Defesas tradicionais, como CAPTCHA e geo-fencing, são facilmente contornadas pelos criminosos de hoje em dia. Existem até serviços de contratação que permitem que pessoas mal-intencionadas derrotem qualquer tipo de CAPTCHA. Um desses sites, 2captcha.com, fornece uma API para que criminosos contornem suas proteções programaticamente. 2Captcha resolverá Captcha normal, Captcha de texto, ClickCaptcha, Rotate Captcha, reCAPTCHA V2 e V3, reCAPTCHA Enterprise, FunCaptcha, TikTok Captcha e muito mais.
O Distributed Cloud Bot Defense protege experiências de aplicativos, propriedades da web, aplicativos móveis e transações de endpoint de API contra ataques sofisticados de bots, coletando de forma inteligente um conjunto profundo de sinais de camada de rede JavaScript e HTTP e telemetria de cada transação do cliente, sem redirecionar o tráfego por meio de um servidor proxy. A plataforma identifica comportamentos maliciosos de automação de bots aplicando diversas camadas de inteligência de aprendizado de máquina. O sistema monitora, sinaliza, detecta e identifica ataques reestruturados e atenua ataques automatizados em tempo real.
Devido à grande quantidade de dinheiro que flui pelo setor de saúde dos EUA e em escala global, os malfeitores não param na automação. Se você puder mitigar a automação de agentes mal-intencionados, eles passarão a fazer ataques manuais. A Proteção de Conta na Nuvem Distribuída ajuda as empresas a identificar a intenção do visitante. A Proteção de Conta na Nuvem Distribuída avalia cada transação on-line em um conjunto de dados biométricos de telemetria, ambientais e comportamentais, desde a primeira vez que um visitante acessa um aplicativo web ou móvel protegido até a criação ou login da conta, e continuando por todos os aspectos da jornada do usuário.
A Proteção de Conta na Nuvem Distribuída pode até mesmo conectar contextos entre diferentes navegadores e dispositivos operados pelo mesmo usuário e aproveitar insights de sua rede global de organizações para determinar com precisão a intenção do usuário. A Proteção de Conta na Nuvem Distribuída pode ser consumida como um modelo de circuito fechado alimentado por um mecanismo de fraude de IA que fornece uma pontuação de alta fidelidade para entender a intenção do visitante, ou as empresas podem ingerir dados de proteção de conta em seu próprio mecanismo de risco e combiná-los com outros pontos de dados de fraude.
O custo de violações de dados e ataques de preenchimento de credenciais está aumentando constantemente no setor de saúde. Porquê?Dinheiro — e muito. As empresas podem ajudar a mitigar esse risco adotando arquiteturas de confiança zero e interrompendo ataques de preenchimento de credenciais usando o F5 Distributed Cloud Bot Defense e o Account Protection.