AI Today - SkyAI

Các cuộc tấn công mạng vào bệnh viện tốn 600 nghìn đô la mỗi giờ. Đây là cách AI đang thay đổi phép tính

  • 8 min read
Các cuộc tấn công mạng vào bệnh viện tốn 600 nghìn đô la mỗi giờ. Đây là cách AI đang thay đổi phép tính

Các cuộc tấn công mạng vào bệnh viện gây thiệt hại 600.000 đô la/giờ. Đây là cách AI thay đổi phép tính

Làm thế nào Alberta Health Services đang sử dụng AI tiên tiến để tăng cường khả năng phòng thủ khi những kẻ tấn công ngày càng nhắm mục tiêu vào các cơ sở chăm sóc sức khỏe.

VentureBeat/Ideogram

Trong những năm qua, các cơ sở y tế không dễ bị tấn công như bây giờ; tin tặc có một quy tắc bất thành văn là không nhắm mục tiêu vào các tổ chức hoặc dịch vụ mà sự gián đoạn có thể gây nguy hiểm về thể chất cho mọi người.

Nhưng điều đó không còn đúng nữa: Ransomware dưới dạng dịch vụ đã lan rộng và thông tin y tế bị đánh cắp đã trở nên có khả năng kiếm tiền cao, thúc đẩy các tác nhân đe dọa tấn công các bệnh viện ở mức độ chưa từng có.

Alberta Health Services (AHS) không có ý định để mình dễ bị tấn công - hệ thống y tế đang tăng cường khả năng phòng thủ bằng AI.

Triển khai các hoạt động mạng được tăng cường bằng AI từ nền tảng an ninh mạng Securonix, AHS đã cắt giảm thời gian trung bình để ứng phó với các sự cố ưu tiên cao hơn 30%. Nó cũng đã giảm 90% cảnh báo sai và khối lượng công việc từ 2 đến 3 giờ mỗi ngày, dẫn đến tiết kiệm hàng trăm nghìn đô la.

“Nhiều mạng bệnh viện là mục tiêu béo bở, dễ dàng”, Richard Henderson, giám đốc điều hành và CISO của AHS, nói với VentureBeat. “Tôi không ngủ nhiều vì tôi rất sợ nhận được cuộc gọi đó lúc 2 giờ sáng nói rằng toàn bộ môi trường của chúng tôi đã ngừng hoạt động do ransomware.”

Thực hiện công việc của 1.000 (hoặc nhiều hơn đáng kể) nhà phân tích SOC

AHS là mạng lưới bệnh viện lớn thứ hai ở Bắc Mỹ và là phiên bản đơn lẻ lớn nhất thế giới của nền tảng hồ sơ sức khỏe điện tử (EHR) Epic.

Henderson giải thích rằng ông và nhóm của mình chịu trách nhiệm về an ninh mạng cho 106 bệnh viện, 800 phòng khám, 20.000 bác sĩ và 150.000 nhân viên phục vụ từ 4,5 đến 5 triệu người Alberta. Ông mô tả AHS là một “tổ chức tại chỗ khổng lồ”, với mọi cơ sở đều được kết nối với cùng một bản cài đặt Epic.

Vì vậy, Henderson lưu ý, “nếu nó ngừng hoạt động, nó sẽ ngừng hoạt động cho tất cả mọi người. Và, không phải là cường điệu khi tôi nói rằng nếu nó ngừng hoạt động, nó rất có thể sẽ có tác động đến cuộc sống của bệnh nhân.”

Ông cũng cho biết không phải là phóng đại khi nói rằng sự cố ngừng hoạt động hoàn toàn của Epic - bất kể nó có liên quan đến ransomware hay không - có thể dễ dàng khiến tỉnh Alberta thiệt hại từ 500.000 đến 600.000 đô la mỗi giờ.

Để tránh những tình huống như vậy, AHS đã triển khai “toàn bộ” nền tảng Securonix bên trong môi trường của mình. Điều này bao gồm khả năng phát hiện, điều tra và ứng phó (TDIR) mối đe dọa của công ty an ninh mạng thông qua nền tảng quản lý thông tin và sự kiện an ninh (SIEM) được hỗ trợ bởi AI. Điều này cung cấp quản lý nhật ký, phân tích hành vi và hồ dữ liệu an ninh trong một gói.

Henderson giải thích rằng mạng lưới y tế tiêu thụ hàng terabyte dữ liệu vào SIEM của nó và dựa vào kiến trúc gốc đám mây của Securonix để xử lý việc chuẩn hóa và định tuyến dữ liệu. Snowflake cung cấp sức mạnh cho phần lớn backend đó.

Phân tích hành vi là một phần quan trọng trong chiến lược phát hiện của AHS. Henderson giải thích rằng nền tảng của Securonix liên tục tìm hiểu những gì bình thường đối với người dùng, điểm cuối và hệ thống của nó, điều này giúp nhóm của ông bắt được “những thứ tinh tế”, như một tài khoản đáng tin cậy hoạt động “hơi khác một chút”.

Henderson nói: “Nó đang tìm kiếm các mẫu và ghép các thứ lại với nhau. Bạn có thể thuê 1.000 nhà phân tích an ninh và bạn vẫn không có đủ người để có thể sàng lọc tất cả các phép đo từ xa mà các doanh nghiệp kỹ thuật số hiện đại đang tiêu thụ.”

AHS đang cắt giảm thời gian giải quyết, cải thiện thời gian ứng phó

Ví dụ: Các công cụ do AI điều khiển của AHS tìm hiểu hành vi mạng bình thường trông như thế nào across its hospitals. Khi có điều gì đó bất thường xảy ra - chẳng hạn như một thiết bị đột ngột nói chuyện với một máy chủ bên ngoài mà nó chưa từng liên lạc trước đây - nó sẽ gắn cờ ngay lập tức. Điều đó có thể dẫn các nhóm an ninh đến một công cụ cấu hình sai có thể đã bị khai thác nếu không sẽ không được chú ý.

Henderson cho biết: “Những loại cấu hình sai đó đã dẫn đến các đợt bùng phát ransomware thảm khốc trong các mạng bệnh viện khác trong quá khứ.”

Hoặc, một ví dụ khác, một payload có thể xuất hiện là có khả năng đáng ngờ, nhưng nó bị che khuất, có nghĩa là con người phải cố gắng tìm ra chính xác nó là gì và nó làm gì, Henderson lưu ý. Giờ đây, họ có thể yêu cầu nền tảng bỏ che khuất payload và xác định những gì kẻ tấn công đang cố gắng làm, và trong “nghĩa đen chỉ trong vài giây”, nó sẽ thực hiện tất cả công việc.

Ông nói: “Vài năm qua, việc có thể nói chuyện với máy tính như bạn đang nói chuyện với một người đã thay đổi cách mọi người nghĩ về AI. Xử lý ngôn ngữ tự nhiên đã tồn tại từ lâu, nhưng không ở cấp độ này và nó tiếp tục khiến tôi kinh ngạc về mức độ tốt của nó.”

Kết quả là, AWS đã có thể cắt giảm đáng kể thời gian giải quyết và cải thiện khả năng ứng phó nhanh hơn. Henderson cho biết thời gian trung bình để ứng phó với các sự cố ưu tiên cao đã giảm hơn một phần ba so với năm ngoái.

Henderson chỉ ra rằng điều này là do AI đang thực hiện công việc nặng nhọc, giúp các nhà phân tích hiểu những gì đang xảy ra và những gì kẻ tấn công đang cố gắng đạt được. Trong an ninh mạng hiện đại, AI đã trở nên cực kỳ quan trọng đối với việc phát hiện mạng, bảo vệ điểm cuối, lọc email và các chức năng an ninh mạng khác. Ông nói: “Nhân viên của tôi đang tiết kiệm được hàng giờ mỗi ngày khi sử dụng các công cụ AI.”

Nền tảng của Securonix cũng đã giúp cắt giảm tiếng ồn, với việc AHS chứng kiến sự sụt giảm đáng kể các kết quả dương tính giả đến được các nhà phân tích cấp dưới của mình, điều này “thực sự giúp tập trung và tránh kiệt sức”, Henderson nói.

Ông lưu ý rằng có rất nhiều cuộc thảo luận về việc AI thay thế các cấp thấp hơn của các hoạt động an ninh. Nhưng theo quan điểm của ông, “AI sẽ không thay thế nhân viên cấp dưới. Điều nó sẽ làm là giúp họ học nhanh hơn, làm công việc của họ tốt hơn và bảo vệ môi trường doanh nghiệp.”

Tăng cường các cuộc tấn công làm cho giáo dục trở nên quan trọng

Với việc AHS quá lớn, có nhiều cơ sở trải rộng khắp tỉnh, nhóm của Henderson cần theo dõi nơi xảy ra số lượng sự cố lớn nhất. Điều này có thể giúp họ suy ra liệu một khu vực địa lý cụ thể có đang bị nhắm mục tiêu hơn khu vực khác hay không.

Henderson chỉ ra rằng Calgary và Edmonton là hai thành phố lớn nhất ở Alberta, vì vậy, một cách tự nhiên, người ta sẽ nghĩ rằng chúng sẽ chịu một phần lớn khối lượng tấn công. Nhưng đó không phải lúc nào cũng đúng; các bệnh viện nông thôn nhỏ hơn thường bị nhắm mục tiêu vì các tác nhân đe dọa cho rằng khả năng phòng thủ của họ yếu hơn.

AI cho phép ông và nhóm của mình duy trì một bảng điều khiển đang chạy về nơi xảy ra các sự cố để lên kế hoạch tiếp cận thêm nếu cần thiết. Henderson dành một lượng thời gian đáng kể cho khía cạnh con người của an ninh, ông nói, giáo dục y tá và bác sĩ của AHS về các chiến dịch tấn công trước đó để họ hiểu những gì cần tìm.

Ông giải thích: “Vì vậy, nếu chúng tôi thấy số lượng bệnh viện nông thôn của mình tăng lên, tôi chắc chắn sẽ xây dựng một chiến dịch giáo dục để nói rằng, ‘Họ đang nhắm mục tiêu vào các bệnh viện nông thôn vì họ nghĩ rằng bạn là một mục tiêu dễ dàng hơn. Đây là những loại điều bạn nên tìm kiếm.’”

Recommended for You

Mistral vừa cập nhật mô hình Small mã nguồn mở của mình từ 3.1 lên 3.2- đây là lý do

Mistral vừa cập nhật mô hình Small mã nguồn mở của mình từ 3.1 lên 3.2- đây là lý do

Zencoder vừa ra mắt một AI có thể thay thế nhiều ngày làm việc QA chỉ trong hai giờ

Zencoder vừa ra mắt một AI có thể thay thế nhiều ngày làm việc QA chỉ trong hai giờ

Zencoder vừa ra mắt một AI có thể thay thế nhiều ngày làm việc QA chỉ trong hai giờ.