近日,CyberMDX公司的技术研究负责人Elad Luz接受Help Net Security的主编米尔科·佐尔兹(Mirko Zorz)采访,就联网医疗设备的网络安全研究和漏洞披露的挑战回答了当前行业最为关注的问题。Elad Luz坦言,医疗卫生组织越来越多地遭到以物联网为中心的网络攻击。其研究人员发现的MDhex漏洞(CyberMDX发现的GE Medical的医疗设备中的6大安全漏洞)表明流行的患者监护设备家族中的许多产品极易受到网络破坏。由于医疗设备的供应和价值链复杂,因此始终不清楚谁应该对安全最佳实践负责。医院管理者倾向于认为设备制造商应对设备的安全性负责。对于大多数医疗卫生组织而言,网络安全仍然是一个相当陌生的领域。实际上,整个行业仍在努力解决问题,这也涉及国家监督机构和制度化的保障措施。该过程仍未完全标准化或非常精细地控制。

作为CyberMDX的研究负责人,Elad Luz收集并分析了各种已连接的医疗卫生设备上的信息,以改进用于保护它们和/或向供应商报告其安全问题的技术。研究包括协议分析、工程软件逆向和漏洞测试等。

Q1:医疗卫生组织越来越多地遭到以物联网为中心的网络攻击。关于此类攻击,最现实的最坏情况是什么?

在医疗卫生行业,始终要牢记和防范的第一个也是最重要的风险始终是患者风险。在医院这样的地方,这可能会发生在不同的层次上。从安全角度来看,与输液泵、通风、麻醉、患者监护等直接与患者相连的关键护理设备显然代表了最关键的终端。损坏这些设备可能会导致严重的即时影响。

在护理关键设备之后,另一个关键点就是应该在诊断设备(例如放射设备或实验室设备)周围划出防护线,这些设备也可能导致严重的短期负面影响。除此之外,您还必须考虑相邻设备的短期维护风险,例如连接的灭菌机和药品分配器。即使设备与医疗流程关系不大,但仍是医院运营所必需的设备,例如无线标签、访问控制、联网的洗衣机,可能会影响医护人员的反应能力,进而影响患者的健康。

说到“ WannaCry”,确实令人气愤。这是有充分理由的,“ WannaCry”攻击多年之后仍然阴魂不散,这是一个非常令人毛骨悚然的例子,说明一旦管理设备遭到攻击就可能导致患者伤害。自2017年“WannaCry”出现以来,这种威胁在过去3年内并未消失。仅在2019年,就针对医疗卫生组织发起了一次真正令人震惊的759勒索软件攻击。其中,至少有10家医院因提供护理的能力受损而被迫拒绝患者。实际上,即使医院不需要拒绝患者,对护理的影响也非常严重。

当研究人员测量网络攻击对患者安全的影响时,他们发现操作连锁反应平均使医疗响应时间增加了2.7分钟。在像心脏病发作这样的紧急医疗事件中,分钟通常是生与死之间的区别。综上所述,该报告指出,最近遭受网络攻击的医院的心脏病死亡人数增加了3.6%。换句话说,在其他所有条件都相同的情况下,从统计上看,每30例心脏病发作患者到一家被网络攻击的医院就诊,就会导致原本在其它医院可能幸存的患者失去生命。

Q2:复杂的医疗设备供应和价值链最终如何影响医疗卫生行业中已连接设备的安全性?

由于医疗设备的供应和价值链复杂,因此始终不清楚谁应该对安全最佳实践负责。医院管理者倾向于认为设备制造商应对设备的安全性负责。如果设计不当的话,就很难安全地运行。设备制造商认为,责任在于创建网络条件的医院,这些条件在很大程度上定义了攻击面。期望的差距使得保障有效的医疗设备安全性更加困难。

重要的是应尽早考虑安全性,并将其内置到医疗技术研究、开发、采购、部署和管理过程中。这不仅意味着要考虑安全性,还要进行安全性测试,以便在潜在问题逐渐演变为现实问题之前就可以对其进行识别和解决。这同样适用于上市前和上市后的医疗设备利益相关方--制造商和医院。

如今,市场供需双方都严重忽视了所需的测试类型,只有9%的制造商和5%的用户表示他们至少每年测试一次医疗设备。

Q3:医疗器械脆弱性研究的主要挑战是什么?

从纯粹的研究角度来看,访问存在很多挑战。例如,设备采购成本可能过高,限制供应商向非医院出售的法律和政策,有时难以满足的设置所需空间的预设条件,以及安装、配置和校准的复杂性,甚至是网络相关性。

从偏战术角度来看,更多地关注战略和更广阔的前景,这项研究能够推动改善该行业的网络安全,才会有价值。在这一点上,有时供应商与研究人员之间的关系会面临挑战,如果这种关系成为对抗性的,那么双方将很难共同努力以真正提高安全性。当然,我们还需要考虑医院的实际情况。即使研究人员和供应商将一切都做对了,如果医院继续使用易受攻击的设备而不实施补丁或其他缓解措施,也无法保证取得积极的成果。

因此,在三方关系(技术研究方、设备供应方、用户方)协调现实世界的积极影响方面肯定存在挑战。而且,对于我们行业而言,最坏的情况总是围绕着网络物理伤害的情况进行,而网络漏洞严重性评分系统(CVSS)却从根本上忽略了物理影响,因此该系统本身可能会在错误地陈述风险和对风险进行轻重缓急分级不适合这类场景。

当务之急是,所有利益相关者都能够团结起来,分享清晰理解的参考框架和共同目标,以降低现实世界中的开放风险。

Q4:这种研究需要什么?您对某些发现感到惊讶吗?

我们的研究方法论涉及一些我无法讨论的专有技术和策略,但是我通常可以谈论的部分始于数据收集和良好的传统的探测工作。

我们对医疗设备使用的通信协议进行分解和逆向工程分析,分析设备网络行为,爬网和抓取设备参考,挖掘MDS²文件,使用大量归纳推理,反复试验和在实验室中“四处寻找”以细粒度地跟踪并进行调查。

当我们“破解”案件并发现以前未记录的安全问题时,我们常常会感到惊讶,例如缺少身份验证,硬编码的凭据以及其他漏洞,这些漏洞较少是由人为错误引起的,而更多是由不良或懒惰的设计所导致的。

Q5:您对负责任的披露有何看法?如果供应商不响应漏洞报告,可以采取什么措施保护用户?

对于大多数医疗卫生组织而言,网络安全仍然是一个相当陌生的领域。实际上,整个行业仍在努力解决问题,这也涉及国家监督机构和制度化的保障措施。该过程仍未完全标准化或非常精细地控制。可能没有正式的规则来规定谁被告知什么,对谁实施了什么控制,谁对底线决定具有影响力以及在过程的每个阶段可以向谁说什么。

同样,控制披露时间表的因素可能有些不透明,从制度的角度来看,披露的指导逻辑并不总是很清楚。因此,如果您要与合作供应商打交道,您可能会希望国土安全部负责监督公共基础设施事项的CISA来披露。CISA的披露也需要等到针对该漏洞开发并发布补丁之后。然而,情况并非总是如此。我认为重要的是,不能只见树木不见森林,或者将漏洞管理的任务减少到静态清单上的项目上。我们需要保持使命感:使医疗保健更加安全。

事实是,该流程通常按设计运行。并一直在进行改进。因此,我认为,总而言之,负责任的披露对于行业的长期安全健康至关重要。只有汲取了教训,并且CISA与其他机构如FDA(美国食品药品监督管理局)保持紧密的合作。

对于您的第二个问题,我认为我们应该较少关注用户如何保护自己免受无响应的供应商的侵害,而应该关注公众,市场需求侧,研究人员和国家监督机构如何共同努力以施加压力。需要确保供应商始终对网络安全问题做出响应。

Q6:您对想确保组织中使用的已连接设备尽可能安全的医疗CISO有何建议?

显然,需要一种自动化工具来做到这一点。否则,我们谈论的是在医院内部(连接新资产,断开旧资产,断开连接)和外部不断变化的环境中(发布了新的威胁和漏洞),保护数千台设备,数十种不同模型和部署的安全性的不间断工作,每个设备都需要有自己的权限和规则。

最好的选择是使用为医疗中心量身定制的解决方案,这是我们在CyberMDX所做的。我们的解决方案已经熟悉大量医疗设备及其独特的协议,并且我们的研究人员一直在努力锁定您甚至不知道的漏洞。在网络安全和临床连接方面,我们是专家。

Q7:您如何看待物联网医疗设备的安全性在不久的将来发展?

如物联网继续连接日常设备,我认为我们会发现,特别是在医疗领域,从安全角度来看,最基本和最依赖的设备将迅速成为我们最大的责任。我们可以在近期看到一些这种趋势的证据MDhex漏洞(CyberMDX发现的GE Medical的医疗设备中的6大安全漏洞)结果表明,流行的CARESCAPE患者监护设备家族中的许多产品极易受到网络破坏。

问题在于,所有制造商都有望成为网络安全领域的专家,而到目前为止,他们几乎不需要考虑这些问题。对于制造商而言,这是具有挑战性的,因为种类最多、质量最高的基于代理的安全性解决方案驻留在基于Windows和Linux的设备上,并且需要经常进行更新才能使之相关。在物联网嵌入式设备中,满足这些要求通常是挑战。因此,我希望组织越来越多地依赖第三方提供的集中式无代理解决方案来监视网络流量并引入安全功能。

关于CyberMDX

CyberMDX是医疗卫生行业网络威胁情报的领导者,其解决方案可为医疗、IT、IT和IoT设备提供终端可见性、网络威胁预防和运营分析。

CyberMDX的一流解决方案专为医疗服务机构而设计。无代理解决方案可自动执行细粒度、上下文感知的设备配置优化,并将其与风险评估和补救能力相结合,满足医疗卫生组织定制化的需求。

CyberMDX研究团队与制造商紧密合作以及时发现漏洞,助力改善整个医疗卫生行业的网络安全状况。更多详情可联系:CyberMDX,1216 Broadway,New York, NY 10001, United States;646-794-4160 ,info@cybermdx.com,www.cybermdx.com。

天地和兴工控安全研究院编译

参考资源

1、https://www.helpnetsecurity.com/2020/02/18/connected-healthcare-devices/

2、CLINICAL CONNECTIVITY:JUST THE FACTS,www.cybermdx.com

声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。