当互联网+医疗时代的来临,医疗信息化程度越来越高,伴随而来的网络安全问题也日益突出,尤其是随着网络规模的不断扩大,整个系统面对的安全风险也越来越大。在当前新型冠状病毒大流行导致全球卫生危机的背景下,医疗行业已经成为网络攻击的首要目标。
近期Censys发布了一项研究报告《从黑客的角度看医疗行业中的攻击面》,报告中评估了医疗行业中五个不同子行业中顶级公司的攻击面:医院、健康保险公司、医疗设备制造商、电子病例提供商和制药行业。一点都不意外,这些子行业总体上都存在基本的网络安全漏洞,这些漏洞威胁着商业知识产权和患者个人隐私的机密性。
1
摘要
制药行业面临着最大的风险,暴露的数据库、开放的远程登录服务器和内部服务设施。
医疗设备制造商和电子病例提供商显示,在医疗行业,云服务的使用率最高。
医疗设备制造商的网络具有已知漏洞占比最高,其次是制药公司使用的网络。
2
介绍
列举了医疗行业中五个不同子行业顶级公司的攻击面:
本报告的数据由Censys于2020年2月收集
传统网络安全关注的机密性、完整性和可用性在医疗行业具有特殊的意义,因为它们能够影响生活和福祉。美国卫生与公共服务管理局下属的美国公共卫生应急网站2017年发布的一份报告指出,医疗领域的网络安全面临人才短缺、供应商、系统和标准参差不齐的局面。健康记录数据库漏洞和恶意软件(尤其是勒索软件)等威胁继续构成重大挑战,因为该行业正在向云端(一种面向客户的界面)迁移,并整合到更大的组织中。在技术和创新压力日益复杂的时代,网络安全法规和报告要求的提高迫使一个行业需要提高一定的必要技能。
常见的网络攻击继续扩大其范围,而医疗部门对此并不陌生。HIPAA杂志的2020年1月医疗数据泄露报告显示, 仅在2020年1月就有32起医疗行业数据泄露事件(低于2019年1月的35起,但高于2018年及之前)。32个事件中与黑客攻击有关的占25个,每个都暴露了8000到100000条记录,被暴露、被盗或不允许披露的医疗记录一共有46万多条。
1月份的违规报告中,黑客和IT相关事件占比很高,占报告违规事件的近60%,信息披露记录超过41.6万条。
我们选择研究的这五个子行业代表了卫生保健部门的各个方面:
符合HIPAA法规的患者记录
医疗器械和物联网风险
全球商业运营所需的知识产权
供应链因素对系统风险管理至关重要
为了从外部评估他们的安全状况,我们将重点放在HIPAA安全规则与NIST网络安全框架的四个方面,这四个方面确定了网络安全框架和HIPAA安全规则之间的“映射”。虽然是美国特有的法规,但无论组织在何处运营,这些指南都提供了良好的指导:
ID.AM-4
外部信息系统已编目
ID.RA-1
识别并记录资产漏洞
ID.RA-3
识别并记录内部和外部威胁
PR.AC-3
管理远程方向
根据Choi和Johnson在2019年发表的一项研究,数据泄露通常是受到多方注目的事件。为此,我们确定了两条主要的数据泄露途径,我们可以信心十足地观察到:
-
公开数据库
-
暴露的远程桌面服务器
两者都是黑客读取敏感数据的最爱,通常是利用缺乏或被盗的访问密码来获取。2019年Verizon数据泄露事件报告(DBIR)报告称,总体而言,各行业29%的泄露涉及被盗密码,近20%涉及数据库泄露。在医疗保健领域,窃取的密码凭证滥用(可用于远程登录)是最重要的登入方法,而数据库滥用是攻击的主要服务器载体之一。
此外,我们还研究了两个额外的信号,衡量了PHE报告中提到的医疗网络安全方面的常见风险:
众所周知的软件缺陷
嵌入式设备和内部服务,包括医疗物联网设备
3
人口统计数据
在医疗行业中,我们选择了五个子行业,因为它们代表了对空间的不同关注。
在这些子行业中,我们不仅可以看到它们的安全问题,还可以看到它们的云应用和外部可见的IT工作负载。
云应用和工作负载
基于一家公司的网络存在,Censys可以衡量他们在托管和基础设施、软件即服务等方面的云应用。这些云迁移率可能是由行业的年龄和传统公司以及消费者面临的情况共同驱动的——拥有大量终端消费者的公司更有可能利用云实现可伸缩性。
医疗行业可视主机和云迁移
衡量子行业拥有的外部可见主机和资产
按子行业划分的主要云服务
我们测量了三种主要的通用云服务(Amazon Web Services、Microsoft Azure和Google cloud Platform)中医疗行业的普及率,发现尽管子行业之间的工作负载大小不同,但不同云中工作负载的相对比例仍然相当一致。
此外,大多数公司最多使用两种不同的通用云产品,其中一种用于承载其主要工作负载。
按子行业划分的主要云提供商
每个医疗子行业主要云提供商的平均资产数
按部门划分的CDN使用情况
内容交付网络(CDN)为其用户提供了一个更广泛的网络覆盖范围,比单独使用更经济有效。大多数CDNs提供商的网络设计中固有的带宽可防止拒绝服务攻击,这对保持网络可用性至关重要。此外,许多CDN提供安全产品,如TLS证书管理、反自动化保护和web应用防火墙,以帮助抵御许多攻击向量。
如下图和上图所示,医疗行业的空间主要由Akamai+Amazon堆栈所控制,这意味着他们既可以访问优秀的IT和安全产品,也可以访问全球范围,还可以访问安全工具和专业知识。但是,安全地配置亚马逊产品是一个噩梦。
按子行业划分的主要CDN
不同云供应商的数量
我们衡量了不同云提供商的数量,作为每个子部门总体云采用率的一部分。这些不同的云包括电子邮件托管和安全、托管DNS、营销运营外包等等。
每个子行业的不同云提供程序的平均数
4
风险
接下来,我们衡量了每个医疗行业的子部门公司在外部合作中可见的关键风险和弱点的普遍性。
这些风险和弱点包括已知的漏洞和错误配置,所有这些都可能使攻击者窃取数据,包括有关患者或知识产权的敏感数据。
暴露的远程桌面服务器
我们测量了远程桌面协议(RDP)和开放互联网上可访问的虚拟网络计算(VNC)协议的普及率。公开的RDP服务器带来的风险包括特定的软件缺陷,如BlueKeep,以及更一般的凭证填充。互联网上被盗凭证的普遍性推动了其在违规行为中的使用稳步上升——2019年Verizon DBIR报告称,约80%的攻击涉及使用被盗凭证。
远程访问服务应只能在虚拟专用网络或其他实施加密和强身份验证的网关之后访问。
按子行业列出的公开RDP服务器的平均数
公开的数据库
暴露的数据库是导致数据泄露数量稳步增长的一个主要因素。造成这种暴露的一个主要因素是错误配置的web应用程序和数据库,包括云中的数据库。我们测量的大多数公司都将一个或多个数据库暴露在Internet上,使得攻击者能够尝试登录或利用该数据库来窃取数据,这很容易被错误配置为允许任意的外部人员访问。这些数据库不应在Internet上访问。应重新配置使用它们的应用程序,以确保对数据库的访问受到限制,如果需要远程访问,则通过VPN或其他强身份验证和加密保护后才能访问。
按子行业列出的公开数据库的平均数
公开的内部服务
内部服务包括网络管理协议,如SNMP(用于配置网络设备)、Intel AMT(在数据中心很流行),以及企业协议,如Microsoft的SMB网络、打印机等。通常,这些协议的公开表明防火墙或网络配置错误。
按子行业列出的公开内部服务的平均数
已识别的host上的CVE
美国卫生部2017年关于医疗行业网络安全缺陷的报告强调,已知软件安全缺陷是该领域的常见症状。我们衡量了这五个子行业的已知问题数量。我们能够通过识别软件及其在国家漏洞数据库中的信息来判断可能已知的安全缺陷。这些已知的缺陷包括网站缺陷,例如旧的web服务器插件和正在使用的应用程序。
具有至少一个已识别安全漏洞的Host的平均百分比
5
建议
实施资产、网络和漏洞管理,包括跟踪云和SaaS的使用情况。这一具体建议来自美国卫生部健康产业网络安全实践(HICP),自2019年起生效。
实施流程,持续监控组织的攻击面,确保弱点得到及时解决。这一具体建议来自美国健康安全服务部2017年关于改善医疗行业网络安全的报告,行动项2.3.2:制造商和开发商应计划运营和维护,以确保持续监控、持续修补和薄弱环节补救。这种监控可以应用于新的和遗留的系统,包括本地和云中的网络,最后包括第一方和第三方。
译文申明
译文仅供参考,具体内容表达及含义以原文为准,文章言论观点不代表极光无限的观点。
文章来源:https://censys.io/healthcare-report
原文始发于微信公众号(极光无限):从黑客的角度看处于风暴中心的医疗行业