迎接2019年的威胁:生物制药的网络安全

2017年，默克是一家制药公司，是由赎金软件攻击所针对的众多公司之一，被称为“Wannacry”。路透社报告说，这次袭击“扰乱了一些默克药物和疫苗的生产”，以高成本为公司。[1]此外，为大量公司的员工扰乱了工作，其中许多人依赖计算机绝大多数工作。[2]

成功攻击默克公司的“想哭”勒索软件攻击，并不是制药业成为受害者的唯一网络攻击。随着制药和生物技术公司朝着更大程度的数字化和存储更有价值的数据的方向发展，它们的数字安全实践变得越来越关键。许多这样的制造设施依赖物联网技术，以实现非常精确、敏感的制造过程的自动化。通过显著增加必须受到保护的与internet连接的端点数量，这种连接使设备更容易受到攻击。此外，药物和其他生物制药进步背后的专有信息是有价值的，因此是网络攻击者的主要目标。最后，由于制药和生物技术公司收集和使用的数据极其敏感，安全措施对这些公司尤其重要，特别是那些希望获得并保持消费者和患者信任的公司。

因此，网络安全已经成为生物制药行业做生意的重要组成部分。在网络安全方面，整个行业的公司都在加大力度。这些公司正在向机器学习、人工智能和编配等尖端技术投入越来越多的资源。

但是，要考虑的重要问题是将这些尖端技术置于哪些战略结束。它们只是简单地推动了传统的网络安全方法，还是它们被用来用于网络安全的方法，这些方法是新的和创新的，而不是相同产品的简单或更有效的版本？

网络安全事件响应方法

传统的网络安全方法侧重于事后报告入侵事件，也就是所谓的“事件响应”。这意味着，一个对手——通常被称为“黑客”——找到了访问目标的某种方法并破坏了它。目标可以通过web框架、互联网浏览器或互联网基础设施(如路由器和调制解调器)的漏洞访问。无论他们如何获得访问权限，一旦发现攻击者，关于攻击的取证，包括被称为妥协指标(IOCs)的基本信息，如IP地址，域名，或恶意软件散列，在网络安全社区共享。这些国际石油公司被广泛用于阻止未来的攻击。

这种方法存在双重问题:就像煤矿里的金丝雀一样，必须先有人成为受害者，才能衍生出国际石油公司，并与其他公司分享;此外，阻塞ioc的半衰期非常短。大多数对手订阅公司订阅的feed，以便快速了解自己是否被曝光。所有的对手必须做的是来自一个新的IP地址或重新编译他们的恶意软件，使它有一个新的哈希值(两者都是非常微不足道的)，他们的攻击将通过依赖IOCs的防御。这种事后处理方法消耗了大量资源，并产生了许多看似有价值的指标，但它最终还是存在缺陷的。

网络安全团队和对手被困在一个无休止的循环中，在那里对手总是具有优势。由于黑客反复使用相同方法访问有价值的系统和数据，网络安全团队继续追逐，以便保护受损系统。虽然尽可能多地努力了解对手和他的方法，但只使用少量的理解，并且仅用于执行上述非常基​​本的动作。对手继续发挥国际象棋，策略关于如何滑动过去网络安全团队的策略，而那些相同的团队就像比赛更像是Tic-Tac-toe一样。非常少的网络安全工作旨在解决对手使用的方法;相反，安全团队以等待不可避免的攻击的模式被锁定，试图尽量减少它们导致的损害，确保尽可能快地发生修复，并仅阻止完全相同的攻击。

规划网络安全的未来

视觉明显，这些目前的网络安全方法基本缺陷。事件响应仅有助于防止完全复制过去的攻击。为了遏制网络崎岖的流动并真正保护他们，网络安全行业需要接受范式转变。而不是仅仅依赖于已经使用多年的事件响应和恢复方法，而是需要更积极主动，更复杂的方法。它需要旨在成功地识别攻击前和以有意义的规模发生攻击之前的逆境方法（以及所有举止的伴随者试图混淆其方法）。这种方法与事件响应策略配对时，可以为易受攻击的关键网络提供真正的安全性。

如果网络安全领域想要阻止危险的、代价高昂的攻击，就非常有必要将注意力转向预防。主动的网络安全分析师可以利用他们所获得的关于对手方法论的情报，而不是仅仅根据已经发生的事情来寻找离散的、静态的国际石油公司，通常称为战术、技术和程序(TTP)。从这些ttp中，分析人员可以识别敌方战役的一般形式和组成部分。此外，它们还可以确定抽象指示符，比如对手试图如何隐藏自己的行动。一种积极主动的网络安全工具将能够识别可能的对手TTPs和描述威胁(或威胁行为)的一般指标。然后，系统将对任何符合这种模式的流量进行操作前当攻击发生时，它以一种对手看不见的方式进入网络内部。使用这个基本模型，网络安全工具可以在普通漏洞被执行之前真正地阻止它们，甚至可以预测和保护未来未被发现的漏洞。此外，这种网络安全的预防加响应方法使团队能够真正利用新的尖端技术来改变游戏，而不是简单地增加速度(和成本)。

基于ttp的网络安全工具将与现有的事件响应、内部网络安全工作协同工作，在这一至关重要但存在缺陷的过程之上增加一层预防措施。

通过这两种方法的结合，网络安全团队可以在减少攻击数量方面取得进展，并可以更快速、更有效地响应那些确实有效的攻击。

[1]https://www.reuters.com/article/us-merck-co-cyber-insurance/merck-cyber-attack-may-cost-insurers-275-million-verisks-pcs-iduskbn1co2np.

[2]https://www.washingtonpost.com/news/the-switch/wp/2017/06/27/pharmaceutical-giant-rocked-by-ransomware-attack/?noredirect=on&utm_term=.84aac5fa42ae

梅根·伯科维茨，美国作家和研究员。她持有塔夫茨大学(Tufts University)生物和英语理学学士学位。