笔记作者:CDra90n@SecQuan
原文作者:Luis Vargas, Logan Blue, Vanessa Frost, Christopher Patton, Nolen Scaife, Kevin R.B. Butler, and Patrick Traynor
原文标题:Digital Healthcare-Associated Infection:A Case Study on the Security of a Major Multi-Campus Hospital System
原文来源:NDSS2019
原文链接:https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_03B-1-1_Vargas_paper.pdf
现代医院系统是一种复杂的环境,到目前为止还没有对现代医院系统进行系统的、生态的分析,这可能是由于收集和分析敏感的医疗数据所带来的挑战。本文描述了以符合安全和道德的方式获取网络数据的过程,对医院生态系统进行了数字医疗相关感染(D-HAI)分析而不对医院环境造成任何损害。
一、简介
在医学上,医疗相关感染(HAI)是指病人在医院接受治疗时可能受到的感染。本文的案例研究遵循类似的目标,但重点关注数字医疗相关感染(D-HAI)。D-HAI可以描述为连接到医院网络的网络设备与健康相关的日常流量的特征,也可以描述为在日常操作中暴露于潜在的恶意软件感染。作为首个这样的研究本文把重点放在描述医院网络流量的整体安全性,而不是寻找设备感染的具体迹象。至关重要的是这种分析必须在不对医院环境造成潜在伤害的情况下进行。本文中做出了以下贡献:
评估数字医院生态系统:在大型的多院区医疗系统上进行首次数字医疗保健相关感染(D-HAI)分析。本文的分析记录了2018年1-7月经过此系统的流量。
为研究提供道德指导方针:解释了从医院网络获取数据的过程和局限性,以便于今后的学术研究以符合道德的方式研究这一领域。
对发出的流量请求进行分类和评估:收集和评估来自医院网络的超过7.75亿个dns请求。本文发现传统的用于分析互联网的白名单和黑名单并不能覆盖医院生态系统中的大量流量。此外虽然大多数流量似乎是良性的,但也有迹象表明网络内部存在恶意通信(例如潜在的僵尸网络活动)。
加密通信的安全性特征:根据在医院网络中收集的3.25亿次握手,对TLS/SSL通信的状态进行了测量和评估。虽然观察到许多积极的趋势(例如,与较大的因特网相比,易受攻击的TLS/SSL版本的使用率较低),还记录到破译/弃用的密码原语(cryptographic primitives)和握手模式被大量使用,以及一些设备配置错误的证据。
二、医院网络生态系统
为了每天提供及时的病人护理,医院必须依靠其网络的可用性和基础设施。一家医院的网络带来了许多其他商业网络可能没有的独特挑战。一个主要的问题是整个网络中的许多设备(移动设备或固定设备)需要在任何特定时刻都能广泛地访问患者数据。因此每个设备都是潜在的攻击媒介,即使是一个感染也可能导致对数千份个人记录的未经授权的访问。这种数据泄漏不仅限于财务和个人身份识别信息,而且还包括在其他地方找不到的健康和诊断信息。虽然网络范围内的问题(例如ddos攻击或中断)可能会给商业驱动的网络造成停机和金钱损失,但这些问题可能会在医院内造成生命威胁。在这种情况下,用于病人护理的设备或病人的诊断信息可能无法获得。
研究涉及两个网络协议的流量:DNS和TLS/SSL。选择DNS是因为它允许查看网络中的设备正在访问的域,而不会泄露可能会危及这些连接的隐私的其他信息。选择TLS/SSL是因为它们是部署最广泛的安全协议。
为了分析医院网络中所有设备的流量选择与一家匿名多院区医院合作。医院IT人员代表研究者部署并配置了Bro网络安全监视器(版本2.5.2),可以看到到医院网络的所有进出流量不管它来自哪个院区。从2018年1月1日至7月1日为期6个月收集了DNS请求、TLS/SSL会话,并恢复了握手和X.509证书。对通信流量被动收集以避免干扰或探测网络中的任何设备。监视器被放置在一个允许在被网络地址转换(NAT)重新映射到外部使用之前看到医院的外部和内部IP地址流量的位置。下图为支持网络的医疗设备(如MRI机器、病床)和医疗支持设备(medical support devices)如笔记本电脑、计算机终端、移动设备的典型拓扑图:
三、研究的道德限制
设计这项研究需要法律、机构、法规和自我施加的限制,以保护医院的安全和隐私。在过去十年中,安全界发表了多篇论文,引发了关于道德的重大讨论。虽然这些论文通常是由大学的机构审查委员会(IRBs)批准的,但对于这些审批委员会来说这项工作的含意往往并不明确。
除了有可能侵犯病人的隐私和触犯法律(例如,美国的HIPAA)之外,医学生态系统的研究还必须确保它们不影响病人的护理或安全,也不影响医院工作人员的匿名性。因此必须确保本文的设计研究尽量减少这种负面影响的可能性。
同意研究的细节需要与利益相关者进行多轮讨论。特别是法律小组和医院IT人员,要求就下列问题从原来的建议中作出更具体的规定:
限制流量源收集:本文被要求只选择对医院构成低风险的数据来源。更重要的是需要确保病例研究中没有病人或医院工作人员的私人信息。来自流量有效负载、数据包捕获或可能包含未加密信息的协议如HTTP(包含用户名、密码或文件路径)或P2P协议的数据被禁止是因为他们有很高的风险包含私人信息。此外医院认为DHCP的收集具有一定的风险,因为这些数据可用于跟踪或解除医院工作人员的匿名性。今后的类似研究必须在收集每一种流量类型之前仔细确定其潜在风险,并必须与潜在的受影响方进行协调。
确保医院日常运作不受干扰:还需要进行个案研究,使医院的日常运作不会中断。例如,对启用网络的机器的主动分析或主动探测可以揭示医院设备的更彻底的特征。(例如确定设备上运行的服务)然而在资源不足的设备中增加探测流量可能会意外地使设备瘫痪从而妨碍医院的日常操作。因此,法律团队认为使用网络扫描工具(如nmap或Nessus)具有干扰日常操作的高风险,因此在案例研究中未被用作数据源。在这一领域的未来研究需要注意哪些设备可以被扫描,而不增加额外的通信量。
最终所有各方都同意对网络进行有限和纯被动的分析。这种分析只关注DNS和TLS/SSL通信量,可以在不危及患者隐私或安全的情况下进行,并允许提取有意义的特征。对于DNS只关注返回的IP地址信息,而不关注允许反向IP查找的其他信息,如电子邮件路由或其他域名。这给研究留下了未知的流量可能会影响结果,不过接受这个限制可以保障医院的私隐和日常运作。
这些要求使本文能够以受保护的方式访问大量的数据。例如在此配置中不太可能捕获诸如电子病历之类的患者数据,也不会因意外探测而影响任何设备的可用性。然而这些要求也造成了重要的限制。
虽然建立收集机制可以有更多的自由来获取额外的信息,但医院必须注意这一步骤。这样,任何共享的信息都会被预先过滤,以满足他们的隐私要求。此外由于所收集的数据纯粹是被动的,没有在医院设备中增加额外的流量负荷(例如,主动探测)。
披露调查结果:研究人员将在研究过程中发现的任何问题通知受影响方/责任方是标准做法。除了法律团队和IRB提出的限制外还同意医院及时向他们报告任何相关调查结果,管理员的协议要求在报告问题时进行单向沟通。研究者的责任是报告任何可能的漏洞,但应由医院工作人员采取行动。有必要建立一种建立在信任基础上的关系,以便能够在本案例研究之外进行今后的研究。允许医院工作人员查看研究者的工作并在需要时提出解决办法。提出的报告有目的地抽象结果,在保持有意义的结果的同时揭示有关医院的最低信息量。其他希望检查医院安全的研究人员也可以达成类似的协议。
四、DNS分析
在收集期间有超过7.75亿个DNS查询到超过1720万个唯一的完全限定域名(FQDN,fully qualified domain name)。这些查询的响应返回了250多万个不同的目标IP地址。收集的原始数据超过179 Gbs。在本节中分析DNS数据并将其与OpenDNS数据集和黑名单流量进行比较以描述潜在的恶意行为。
作为D-HAI分析的一部分,将数据分为三组以便将其上下文化。分为白名单、黑名单和未知类别,将502051633个请求或64.78%的DNS流量归为白名单。白名单中的流量来自119117(0.69%)个唯一的FQDN,与29085(1.68%)个不同的有效的二级域(e2LD)相关。从这些值中可以看到平均每个e2ld都有4.09个唯一的FQDN(例如,mail.domain.com是domain.com的FQDN)。将84669个请求或0.01%的流量查询归类为与黑名单域的连接,总体而言黑名单流量是针对281个唯一e2LD中2483个唯一域的。与白名单域不同,黑名单域在唯一FQDN和不同e2LD之间的关联率较低。平均而言黑名单数据集中的e2LD大约有1.08个FQDNs与之相关。
这可能是因为信誉良好的域更愿意将其e2LD用于多个子域。通过这样做信誉域可以很容易地将其信誉传递给子域。与信誉良好的域不同,恶意域不希望将其信誉传递给新的站点,因此更可能频繁地更改其e2LD。下图显示了该类别特定子集内每个e2LD的子域平均数。根据与每个e2LD相关联的FQDN数量,将类别划分为子集。例如n>2子集只包含那些至少有3个与之相关联的唯一FQDN的e2LD。如果假设白名单和黑名单类别是良性和可疑流量的准确表示,那么可以通过相同的分析对未知类别得到一些观点。
在调查DNS数据时发现了一些潜在恶意活动的迹象。具体来说就是找到已知的僵尸网络命令和控制(C&C)通道,以及垃圾邮件网络和其他已知的恶意参与者。本文使用了2018年4月3日和7月30日从EmergingThreats.net收集的已知实体的策展列表( curated list)。此列表包含几种威胁类别,包括Feodo和Zeus僵尸网络的IP地址、SpamHaus识别的垃圾邮件网络以及DShield列出的顶级攻击者。将此列表与完整的数据集进行了比较发现552个IP地址连接的是紧急威胁(emergingthreats)数据集的成员。
DNS分析强调了观察到的医院网络的几个方面。首先,通过这个网络的顶级域与一般的互联网域大不相同。流量表明网络上访问的大多数域都与医院的医疗角色有关,从而缩小了网络的攻击面。虽然医院可能会从互联网上的白名单和黑名单中受益,但这种类型的分类遗漏了与医院特定相关的大量领域(例如,他们的AV服务),而更具体的领域分类方法将大大使社区受益。此外网络中还可以检测到恶意行为的迹象,尽管很小。虽然对其良性或恶意活动的分析不是决定性的,但管理者应注意这些参与者代表了医院网络的潜在威胁,如果不加以控制可能会降低网络提供病患护理的整体能力。
五、TLS/SSL通信
由于医院网络包含了EHR和其他个人识别信息(PII),因此安全通信对于确保此类数据的完整性和保密性非常重要。DNS请求可以显示出医疗支持设备向谁请求信息,但仅提供有限的通信安全视图。为了扩大D-HAI分析的范围还将收集观察到的TLS/SSL会话的质量度量。正如预期的那样,绝大多数会话(97.66%)不涉及客户端证书认证。
在六个月的数据收集期间,观察到大约3.25亿次TLS/SSL建立的握手。下图总结了按协议分类的握手:TLS1.2占绝大多数流量,占所有观察到的握手尝试的87.88%;TLS1.0的使用率为10.33%;TLS 1.1的使用率为1.78%。剩下的0.01%包括TLS 1.3、DTLS 1.0和1.2,以及弃用的SSL 2/3协议。(D)TLS 1.2和TLS 1.0的连接速率最高,其中大多数握手都已完成。对于所有其他协议,大多数握手都没有完成。
除了TLS/SSL协议分析之外,还分析了涉及医疗支持设备的每个连接中协商的密码套件。下图中展示了收集期间每天的总体密码质量。本图的周期取决于医院工作人员的工作日和周末流量模式。在收集期间密码的质量似乎相对稳定。然而根据质量标准,只有53.21%的会话被认为是安全的;19.61%是弱的,27.08%是不安全的,0.11%是以破译的。虽然连接的密码质量在整个收集期间似乎稳定,但所有安全密码套件都是使用TLS 1.2或更高版本进行独家协商。这表明随着过时协议的消失,安全密码协商的频率将更高。
由于建立连接需要客户和服务器在协议和密码套件上达成一致,因此建立的连接可以显示出医疗支持设备可以接受什么。因此如果找到协商此类协议的连接,则可以推断设备支持过时的TLS/SSL版本;如果没有进行此类连接,则很可能其中一个或两个端点只支持现代协议(如果没有活动扫描所以不能确定)。下图显示了使用过时协议(TLS 1.1或更低)建立的至少一个连接的端点部分。在出站流量的情况下这种连接的存在表示医疗支持设备正在与未更新为拒绝不安全协议的服务器通信,并且设备本身提供了不推荐的版本。
六、总结
虽然研究涵盖了医院网络中使用的主要互联网协议,但医院生态系统的安全性是多维的。如下图所示收集期间报告给美国HIPAA11的大多数与医院相关的数据泄露是由于未经授权访问数据造成的。在工作环境中这些包括被盗凭证、错置、不当处置、盗窃或员工访问无关数据。从本研究的角度来看,检测类似的未授权访问是不可能的。这些未经授权的访问很少会留下网络跟踪。解决这些问题需要研究适当的访问控制技术,从数据的分类和划分到需要多因素认证。
虽然大多数医疗设备很少接触互联网,但支撑医院环境的医疗支持设备可以建立数百万的连接。通过检查1700万个域中超过7.75亿个DNS查询,发现了少量的恶意流量(0.01%)和少量但重要的僵尸网络活动痕迹。在分析期间还观察到3.25亿次SSL和TLS握手,发现这些连接中几乎46%是使用弱密码或不安全密码进行的,这主要是由于对sha1的依赖,也因为密码套件过时。更重要的是发现47%的服务器至少协商过一次过时的TLS版本(1.1或更低版本)。对医院生态系统的D-HAI分析是可重复的、无损的,并且是根据道德考虑而设计的。虽然已经做了很多工作来保护医疗设备,但必须做更多的工作来确保这一关键环境的保护。除了给出的分析结果外,希望本文能够通过概述在敏感环境中工作时可能存在的局限性以帮助未来的研究人员进行伦理研究。
声明:本文来自安全学术圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
