揭秘阻止醫療設備攻擊的5個技巧

來自專欄嘶吼RoarTalk4 人贊了文章

醫療設備可能是攻擊者竊取有價值信息最簡單的途徑之一，從Trojan.Kwampirs到KRACK，從來都不乏針對醫療設備的惡意軟體。

2018年4月23日，軟體供應商賽門鐵克公司報告稱，其已經分析了來自網路犯罪團伙Orangeworm所使用的Kwampirs後門程序，發現39%的木馬程序用在了醫療設備上，例如控制X射線和MRI機器等高科技成像設備軟體的機器，以及用於幫助患者完成所需流程同意書的系統等。另一方面，KRACK則不會攻擊設備，相反地，它會影響Wi-Fi WPA2協議，通過WPA/WPA2協議在實現上的缺陷，觸發密鑰的重安裝，使中間人攻擊者獲得解密無線數據包的能力。

如今，社會已經進入萬物互聯的時代，醫療保健系統和設備也開始變得更為脆弱。據研究提供商KPMG所言，41%的公司正在轉向改善治理和政策，而33%的企業則將設備安全外包給第三方服務機構。

對於那些負責管理內部醫療設備安全的人員，專家提供了以下建議：

1.提高整體安全性

如果你相信電視上看到的東西，那你應該知道針對醫療器械的攻擊目標就是傷害病人。例如，《神探夏洛克》（Sherlock）和《國土安全》（Homeland）等劇都顯示，患者會被受損的起搏器等設備傷害。KPMG網路實踐合作夥伴Michael Ebert表示，

這些劇中所體現的攻擊目的與現實生活還是存在一定差異，如今，大多數針對醫療設備製造商的攻擊活動，其目的是竊取他們的技術，還不是直接傷害患者。

換句話說，設備黑客想要獲取大多數黑客想要的東西：信息。根據Nowatkowski的說法，黑客在嘗試獲取這些信息的時候，甚至可能沒有意識到自己正在破壞醫療設備。因為這些設備所運行的操作系統類似於普通計算機，因此攻擊者可能認為自己只是在入侵計算機設備而不是醫療設備。

通過提高整體安全性可以限制來自設備黑客的侵害行為。此外，也可以針對醫療設備實施與傳統計算機設備相同的最佳實踐。例如，底特律Henry Ford健康系統首席移動設計師Ali Youssef就曾表示，

必須確保數據是加密的。設備軟體應該支持EAP TLS身份驗證和WPA2加密作為基準。此外，還要監控漏洞情況，一旦發現漏洞立即對其進行修補；制定並遵循成熟的修復計劃，以確保系統和設備維持在最新狀態。

2.隔離「特殊」患者

在攻擊醫療設備時，黑客的目的通常是想要獲取患者的個人身份信息（PII）。有些攻擊者會想要儘可能多地獲取患者PII，不管患者身份如何。但是，有些攻擊者卻旨在尋找特定人員的數據。這時候，身份信息更具價值的患者就要比普通患者面臨更大的風險，尤其是政治家、商界領袖以及存在勒索風險的名人或富人等。

為了找到這些「特殊」患者的PII數據，黑客通常需要攻擊多台設備。因為他們可能無法知曉這些信息存儲在哪些設備上。換句話說，網路犯罪分子可能知道914病房中住著「特殊」患者，但卻並不知道這間房中部署的是哪台IV或心臟監視設備。所以，他們會瞄準整個樓層的設備實施攻擊活動。當然，將「特殊」患者隔離並不能保證他們的信息更安全，但是此舉可以縮小攻擊的範圍，從而將可能的PII信息泄露限制在更少的人身上。

3.通過「不收集數據」來保護數據

DiPietro建議醫院應該停止收集患者的社會安全號碼（SSN）和其他PII數據。他表示，

通過刪除敏感數據來更好地保護患者數據，例如，用非敏感的標識符來替換患者的SSN數據。

自2014年以來，保險報銷就不再需要使用社保號碼，那麼為什麼醫院仍然要求獲取這些數據呢？醫療設施還在收集哪些沒有必要收集的個人信息？黑客無法通過醫療設備或任何其他方式來竊取您並不具備的數據。

不幸的是，想要完成這一操作可能需要多方的共同努力才能實現。據美國廣播公司（ABC）新聞報道稱，許多醫院之所以要求獲取患者的社會安全號碼，只是因為他們的表格中有一處空格要求其填入這些信息。而關閉這項空格可能需要多個部門的支持。

醫療行業管理層也許並不會始終關注安全問題，但他們會關注HIPAA（健康保險流通與責任法案），因為按照規定，任何醫療機構或人身保險機構，無論是存儲、處理或傳輸個人健康信息，都必須遵守HIPAA法案，並保障所有受保護數據的安全。這一因素可能會促進醫療機構通過最小化數據收集來增強數據安全性。

據悉，HIPAA 將以下信息定義為需要保密的信息：健康檔案信息——治療/隨訪文件、實驗診斷結果、患者的預約就診日期/時間、患者的治療花費、影像學片子和報告、病史和查體信息、患者的個人信息。

實際上，患者的姓名、地址、生日、入院、出院、死亡日期，電話和傳真號碼，電子郵件地址、病歷號、健康計劃受益人、身份證號碼、銀行帳號、證書/許可證號、患者駕駛的車輛或其他駕駛牌照、網頁網址、IP 地址、手指指紋或聲紋信息、患者照片、病史及治療信息，財務信息（保險，信用卡/借記卡號碼）僱主信息、駕照號碼、網路的用戶ID和密碼都可以是保密信息，在沒有必要無關治療的時候都需要保密不能泄露。

4.樹立全員安全意識

負責查看IV機器的護士不一定要是網路安全專家，但是她必須要了解黑客攻擊的手段並掌握基礎的防禦措施。具備一定的知識基礎，不僅可以幫助他們識別威脅，在第一時間將設備問題反饋給IT人員，而且可以避免他們的行為在無意中為黑客攻擊提供「切入口」。

DiPietro解釋稱，

如果黑客想要攻擊x-ray設備，他們很可能並不會直接入侵操作系統或網路。相反地，他們可能會先去研究目標設備，了解其多久更新一次？操作者是誰？監控者是誰？他們會以x-ray設備供應商代表的身份致電醫院，並試圖套出目標設備的負責人員信息，而醫院可能會不經意地透露給攻擊者一個名字，然後攻擊者就會利用社會工程手段獲取目標人員的電子郵箱地址，再通過釣魚郵件獲取相關設備操作者的登錄憑證，如此就可以輕易地破解目標網路。

根據KPMG發布的調查結果顯示，38%的受訪企業對信息安全領域的所有高級領導進行過安全培訓；而34%的受訪者為特定員工開展過網路應急響應演習。但是，所有那些沒有接受過安全培訓的員工仍然易受網路釣魚攻擊的威脅，成為攻擊者入侵企業的薄弱環節，所以，組織全面的安全培訓項目至關重要。

5.投資欺騙（deception）技術

安全公司Attivo Networks首席欺騙官（chief deception officer）Carolyn Crandall表示，

醫療保健IT團隊需要各種工具來保護網路周邊，同時幫助他們快速、有效且高效地檢測並響應網路中的威脅。

這些工具當然要包括欺騙技術。Gartner曾將「欺騙技術」列入2017年「11大頂尖信息安全技術」。所謂「欺騙（Deception）技術」，顧名思義，這是一種用來擺脫攻擊者的自動化工具，或為對抗攻擊爭取更多時間的一種欺騙手段。本質就是通過使用欺騙手段阻止或者擺脫攻擊者的認知過程，擾亂攻擊者的自動化工具，延遲攻擊者的行為或者擾亂破壞計劃。

例如，欺騙功能會製造假的漏洞、系統、分享和緩存，誘騙攻擊者對其實施攻擊，從而觸發攻擊告警，因為合法用戶是不應該看到或者試圖訪問這些資源的。

Gartner預測，到2018年有10%的企業將採用欺騙工具和策略，參與到與黑客的對抗戰爭中。

本文翻譯自：https://www.csoonline.com/article/3276657/healthcare/5-tips-to-thwart-medical-device-attacks.html如若轉載，請註明原文地址： http://www.4hou.com/info/news/12018.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：