天地和兴工控安全研究院 编译

当前新型冠状病毒Covid-19全球蔓延，引起了全世界的极大关注和公众的恐慌。物理空间和虚拟空间交相辉映，各种威胁行为者利用病毒的爆发，发动了大量以冠状病毒为主题的网络攻击，使全球抗击疫情一线的医疗卫生机构处于网络威胁的阴影之下，世界卫生组织、美国卫生和公共服务部等机构均遭到网络攻击。危情之下，WHO、美国土安全部下属CISA、各国计算机应急响应组织、主要网络安全厂商先后发由网络安全预警。医疗卫生机构与其他行业一样，存在许多薄弱的环节和攻击面，由于网络安全技能和保障措施松懈，医疗卫生基础设施极易受到黑客攻击。在医疗卫生专业人员与Covid-19病毒进行抗争的同时，网络攻击者利用人们的焦虑与恐慌，通过网络钓鱼、漏洞利用和其他恶意软件攻击等，直接影响医院的运作、医疗机构应对危机的能力和诊疗患者的能力，网络攻击会加剧全球公共卫生危机，并使正在应对危急的医疗机构停止运作。天地和兴工控安全研究院编译整理了Cyber MDX发布的关于医疗卫生行业网络安全的2020愿景报告，结合其中深厚的行业知识和网络专业知识，从相关调研数据中总结的观点，以及提供的可行性建议，使医疗卫生行业的相关人员能够迅速认识和了解其网络安全态势，从而加快该行业网络安全能力建设步伐。

一、医疗卫生行业网络漏洞态势

在过去的十年中，医疗卫生行业经历了许多变化，主要的变化是由技术驱动的。随着医疗技术的发展，医院和医疗实践已投资升级设备，以改善诊断，速度并提高患者护理水平。医疗卫生行业成为了最受网络关注的行业。但是，即使随着新技术成为生态系统的一部分，安全漏洞不断增加，安全支出却被进一步降低。而且，由于卫生专业人员的工作紧迫性，也没有足够的时间专门用于网络安全教育。据统计，在美国所有数据泄露中医疗卫生行业占了大约70％，并且攻击越复杂，针对医疗卫生组织的明显偏好就越大。在2019年，该行业遭受了创纪录的超过4000万起违规医疗记录。近80％的勒索软件攻击针对医疗卫生行业，82％的医疗卫生机构承认在过去12个月内受到了攻击。不安全的网络共计使医疗卫生行业在2019年损失了40亿美元。很明显，医疗卫生在2019年受到了网络攻击的严重影响。

由于受到BlueKeep、SACK Panic、URGENT / 11、DejaBlue和Citrix漏洞的影响，在2019年发现和公开披露的具有潜在破坏性和广泛存在的软件安全漏洞的速度急剧加快。在过去，可能每年会发现一个这样的重大漏洞，但现在每隔几个月就会发现一个。

正如2018年的Spectre和Meltdown案例中详细记载的那样，这些主要安全漏洞中的许多问题不仅取决于漏洞的深度和广度，而且还取决于漏洞的复杂程度、成本和操作上的危害程度。即使经过验证的补丁已经得到充分和正确的执行，也仍然可能会让性能受到明显降低。当然，在100%打补丁的环境中，稍微降低性能和减少高端容量是最好的情况。在大多数医院，联网设备将继续长时间运行过时且易受攻击的软件。

当需要处理成千上万个设备时，每个设备具有不同的硬件、固件、软件、互操作性、向后兼容性和连接特性，所以很难跟踪拥有的和接触到的设备。识别哪些设备受哪些漏洞影响并非易事。即使进行管理，仍然需要物理定位这些设备，并与供应商和监管机构协调经过验证的补丁程序的可用性，并安排更新以便不会干扰运营。

在医疗设备中，由于资产通常通过RS232接口、拓展坞和终端服务器或通过无线技术连接到网络，因此跟踪设备群的任务变得复杂。通过这些连接，单个设备很可能在网络监视系统中消失，只由中间唯一标识符表示。换句话说，医院和IT专业人员通常缺乏一种可靠的方法来在网络层面上集中和全面地跟踪连接的设备。

所以这就是为什么医院平均有30％的联网资产没有得到跟踪，并且有超过10％的医院承认完全没有给软件打补丁和更新。

二、态势分析及发展趋势

(一)环境复杂度剧增

在IT环境日益复杂的情况下，医疗卫生领域决策者须找到一种方法来保护其基础设施免受成倍增长的攻击，这些攻击大都使用了相同的攻击手法。

医院联网的资产主要包括医疗设备、医疗系统及IT基础设施。其中医疗设备主要包括： 台式机、服务器、智能手机、平板电脑、自带设备、自助服务亭、移动医疗系统、专用医疗设备（床头电脑终端、床头药物验证、医学成像设备、植入医疗设备（IMD）等）、IoMT（医疗物联网）等。

医疗软件主要包括：EHR / EMR系统、医疗实践管理软件、PACS（图片存档和通信系统）、病人数据管理系统、患者调度系统、电子处方应用、远程医疗平台、患者门户、有/无在线支付的医疗计费系统、第三方临床系统集成、仪器，设备和临床人员跟踪系统的实时定位服务等。

IT基础设施主要包括：VDI（虚拟桌面基础结构）、公共云或多云部署、本地数据中心、混合基础设施、旧版系统、内部网络连接所有设备、云部署和医疗设备等。

更重要的是，IT和安全专业人员不仅仅需要保持内部系统的安全性和合规性，第三方服务提供商也会给医疗机构带来安全风险。在2018年，所有暴露或被盗的记录中有42％是由业务伙伴数据泄露造成的。

由于海量数据在跨设备、跨渠道和跨平台上流动，因此密切关注所有内容可能非常困难。从专用的连接医疗设备到患者门户，资产的多样性需要一种安全设置来保护所有资产，并在这复杂且至关重要的生态系统中保持可见性。

(二)数字化转型加速

行业的数字化转型也增加了复杂性并改变了工作流程。从设备到流程，每一个引入组织的更改都会在安全领导者的议程中添加新项目。

在数字化转型的背景下，医疗机构中可以协同工作的典型组件范围主要有：

医疗IT基础架构元素的优势与安全风险

尽管这些概述看起来很繁琐，但是医疗机构要经受住不断调整和改进的挑战。新型数字健康工具和技术为患者带来了巨大的好处。远程监控的医疗设备可以跨越地理鸿沟，并且可以24小时使用。大数据有助于发现健康趋势，并确定有助于弱势患者群体的解决方案。利用患者的当前情况和病史，治疗变得更加个性化。

医生和其他医学专家可以根据更多数据做出更好的决策，同时还要结合更快，更智能的算法，这些算法在学习过程中会不断完善。但是，为了利用数字化转型的力量，IT和安全领导者还必须确保必要的旧系统以及向医疗保健更集成方法的过渡。

(三)环境网络风险放大

说到风险，在医疗保健领域，网络攻击的后果与其他行业不同。随着医院计算机网络变得越来越广泛，它们也变得越来越复杂。高度分散的网络具有越来越复杂的架构，可以托管越来越多样化的设备，这是一个显而易见的趋势。有更多的联网医疗设备，更多的OT和物联网设备。

这种连通性的重要部分是采用无线连通性设计的设备的激增。这使这些设备更易于使用和操作，但监督和保护却更加困难。

同时CyberMDX的研究人员发现有人刻意将数字基础架构和数据（例如EMR系统）迁移到云中。这通常伴随着连接到互联网的更普遍的驱动力。不幸的是，当涉及到医疗技术时，这些互联网连接经常没有适当的安全性配置，而是使设备本身以及未经授权的第三方可以访问它们所拥有的私人数据。

下面详细地研究这些趋势

1、无线设备：

连接技术和移动技术共同出现，相互推动，一起被采用，现在在医院环境中共同发展。如今，大多数医疗和物联网设备都通过无线方式连接到医院的网络，并且这种趋势还在继续增长，许多医疗设备需要在患者之间传递（例如输液泵、即时护理设备、患者监护仪等）或者需要定期在整个医院内移动。

正如Cyber MDX所看到的，医院90％的医疗设备都无线的。这些设备不断断开连接并重新连接到医院的网络，从而引发了一些潜在的问题。

• 非活动设备：

根据Cyber MDX现场数据，约有5%的连接医院资产在任何特定时刻都处于无效状态，并且没有数字版本可以查看。这些设备与网络断开连接，并且可能连续数周无法重新连接。实际上，这使得这些设备难以定位，并使物理访问控制几乎无法执行。

尽管这些设备是在医院的库存系统中有记录，但是它们的确切位置通常是未知的，尤其是注射器泵和患者监护仪之类的设备，经常在患者之间移动。。

这种类型的非移动设备错误定位非常普遍，并可能导致非常高的运行效率成本。实际上，沃顿商学院的一项研究估计，护士约有7％的时间用来寻找用品和设备。

然而，约翰·霍普金斯大学的亚当·萨皮尔斯泰因（Adam Sapirstein）和艾伦·拉维兹（Alan Ravitz）博士对沃顿商学院的估计提出了质疑，他们认为，更准确的评估显示护士花费了大约20％的时间来寻找丢失的医疗用品和设备。

当考虑到员工是医疗机构中最大的成本驱动因素，占医院运营成本的60-70％时，就会开始意识到这是对时间、金钱和人力资源的巨大浪费。

• 连接到客户网络的医连院资产：

在某些医院中，资产被有意地连接到客户网络。例如，如果医院的内部网络同时连接了许多设备，则连接其他设备可能会加重网络负担并降低流量。

在这种情况下，决定连接到客户网络是可以理解的，这不仅会使设备更容易受到攻击，而且当这些设备重新连接到默认网络时，还有可能使攻击者进入医院的内部网络。这极大地扩大了攻击面，并可能使设备暴露在非托管的恶意实体面前，以寻找渗透网络或获取PHI的方法。

这不是理论上的风险，而是医院生活的事实。对于在150张床位的设备上部署Cyber MDX解决方案的案例中，医院超过10%的IP可寻址资产连接到访客网络，其中95％的资产为PHI。

• 开放、不受管理的热点的医院资产：

在某些情况下，出于无线连接的目的，医院资产将能够生成和计划自己的不受医院管理的网络。例如，大多数现代打印机被设计为打开热点以进行直接的无线连接。再举一个例子，CyberMDX发现X射线机会生成开放访问热点。这些热点可能允许未经身份验证的连接，攻击者可以通过它们进入网络。

• 自带设备：

在过去的十年中，个人移动和连接技术得到了广泛的采用。结果是大多数部门的大多数员工都将自己的个人设备带到工作中。在一天当中，他们可能会将这些设备用于个人用途，例如社交媒体或网络浏览；或者出于方便、熟悉或按需访问的目的，将这些设备集成到他们的专业工作流程中。

因此，企业突然面临着新的，不受管理的攻击面。这被称为“自带设备”（BYOD）困境，在医疗卫生等敏感行业中，这可能会造成严重的麻烦。

例如，许多医生可能希望访问他们的工作电子邮件并在手机、笔记本电脑或平板电脑上查看患者的病历。虽然这可以提高员工的工作效率，但也带来了新的风险。个人设备很少受到管理医院设备使用的相同安全控制和监督制度的约束，他们也更容易丢失和被盗。而且，它们被更换的次数也更频繁，其所有者很少在转售、赠送或丢弃它们之前进行适当的数据清理。

所有这些使保护此类设备可能接触到的任何受保护的健康信息变得更加困难。

实际上，Verizon在2015年的一份报告中发现，有45％的医疗违规行为发生在笔记本电脑被盗时。随着越来越多的医院引入并实施全面的BYOD安全政策，这些数字最近开始下降，但问题仍然很严重。在2019年，至少有33.4万人的医疗记录和隐私被丢失或被盗的个人设备侵入。

当然，丢失和盗窃案件并不是个人设备让医疗机构陷入困境的唯一途径。更根本的问题在于如何使用这些设备以及如何保护其数据。例如，使用个人设备来打开公共热点是很常见的。在没有意识到或不考虑安全隐患的情况下，员工可能会将医院资产连接到这些热点，从而使它们暴露在不受管理的，通常是不安全的外部网络上。当医疗资产连接到这些类型的个人热点时，它们很可能会暴露给Internet和恶意主机。

尽管最近几年在这方面的改进令人鼓舞，但还远远不够。根据CyberMDX在2019年进行的一项调查，36％的医疗卫生专业人员承认其组织仍缺乏明确的BYOD政策。

出于许多原因，医疗设备本身是攻击者的目标，但无线医疗设备面临更大的风险。上面的示例证明了无线医疗设备的脆弱性，尤其是在配置不当的情况下。

2、互联网连接和流量

尽管与其他资产相比，联网的医疗设备不太可能与外部主机进行定期通信，但其中超过10%的设备还是会的。大多数外部连接都是到不会对资产构成风险的安全主机，并且许多连接对应于重要的供应商更新服务，但情况并不总是如此。

在一个中型医疗机构的CyberMDX部署中，有五项资产重复连接到恶意主机。此处，“恶意”状态是根据IP和主机信誉以及VirusTotal和其他域检查器的确定一起授予的。这种类型的连接增加了医院资产下载恶意软件的可能性，冒着网络渗透和敏感数据泄露的风险。当通过智能监控实时观察到这些连接时，可以通知相关管理人员并授权其采取果断行动，结束这些会话并阻止所有此类将来的通信。不幸的是，许多医院缺乏这种技术。

当然，医院资产连接到互联网是有正当理由的，例如为了接收供应商服务器的更新或将医疗数据上传到云计算。但是，不应将此事实作为放松和相信一切都是光明正大的理由。连接到未知主机或看似随机网站的医疗设备应发出警告，并邀请进一步调查。这种类型的行为可能表明设备使用不当或配置错误，或更糟糕的是，这可能表明设备受到威胁，并可能将PHI泄漏到了互联网。

• 可疑地理位置

衡量医疗设备与外部实体的通信是否可疑时要考虑的另一个因素是这些实体的地理位置。网络攻击的很大一部分来自中东和亚洲国家。例如，在过去两年中，整整17％的凭据滥用和Web应用源攻击来自中国，俄罗斯和越南。因此，处理异常的MENA和APAC国家/地区的主机的连接应予以怀疑，应该提醒医院注意这些信息，并应进行进一步调查。

同时，必须指出的是，包括微软，Facebook和Google在内的许多公司都在世界各地（包括其他可疑国家）设有数据中心，包括其他可疑的国家。此外，到“可疑”国家的互联网连接中，约有5%可追溯到用于同步网络设备之间时间的网络时间协议(NTP)数据包。

这些类型的连接通常是配置错误的结果，通常不会反映和尝试攻击。尽管如此，它们不应该发生，只要它们存在，它们的共性就可以用来为攻击提供“掩盖”。为避免这种情况，应将设备配置为仅与医院所在国家/地区的服务器之间收发NTP数据包。更好的是，医院可以利用其现有的服务器吞吐量和处理能力来配置自己的NTP服务器。然后制定限制到该服务器的NTP通信的安全策略。

为了解释来自“可疑”地点的威胁，有必要指出，许多攻击也来自显示西方国家代码的 ip 地址。实际上，2019年35％的凭据滥用和Web应用程序攻击是源自美国的IP。对于那些认为与西方国家的联系是“安全”的经营者而言，这一事实可能令人惊讶。事实是，如今，黑客们善于通过这些基本的启发式方法，来逃避侦查。

黑客可能使用代理服务器，VPN，TOR或其他方法来隐藏其真实IP地址和位置。例如，来自澳大利亚的黑客可能会连接到英格兰的代理服务器，并从那里继续攻击美国的一家医院。与该流量相关联的IP来自英国，但是攻击的真正来源（对于网络管理员而言并不为人所知，而在立即可用的网络覆盖范围中看不到）却是澳大利亚。

这种多阶段、位置模糊的攻击方式变得越来越普遍，这使得依赖IP国家作为流量合法性的关键指标的有效性大大降低。

由于这个原因和其他原因，不仅要依赖与进行通信的外部实体关联的国家/地区代码，还必须检查域名和IP地址以评估主机信誉，这一点很重要。

平均而言，来自“可疑”国家/地区的连接中只有5％是恶意主机。

同时，应在“可疑”和“敌对”国家之间加以区分。尽管事实证明95％的“可疑”流量是无害的，但来自伊朗等国的流量应该以不信任和警惕的态度对待。

此外，应持续监控流量，并对其进行异常检测并偏离基线分析，以形成一种针对恶意互联网通信的早期预警系统。

• 无保护的、可通过互联网访问的医疗信息

医院内部服务器可以通过互联网进行配置。例如，可以出于有效目的执行此操作，以便医生可以远程访问患者病历并确保持续护理。但是，有时候，服务器会无缘无故地对网络开放。这可能是意外配置错误或构思不当的默认配置策略的结果。无论原因如何，事实都是以这种不受保护的、可通过互联网访问的方式配置医疗设备是非常普遍，也是非常有问题的。

在大多数医院中，满足医学成像和文件管理需求的数据中心和系统特别频繁且严重的违规者。有趣的是，尽管从未对安全领域的这个特殊暗角进行过适当的调查，但在2019年，两个独立的组织在一天之内就此主题发布了分水岭报告。来自Greenbone Network和ProPublica的报告揭示了可以从互联网上公开获取的大量医学图像和相关个人信息（例如病历和财务详细信息）。

根据Greenbone报告，当前在线的私人医疗图像数量为11.9亿张。其中3.7亿张图像（占30％以上）可以从互联网上获取，无需任何密码保护或身份验证。但是，并非所有这些图像都属于不同的患者和不同的记录。将这些图像和相关数据分组到包含的、个性化数据集中时，Greenbone研究发现，全世界有大约900万这样的病人受到影响。

这个问题的核心是不安全的数据基础架构，它是一种医学存档技术，被称为图片存档和通信系统（PACS）。PACS服务器用于存储超声，X射线，CT和MRI机器等设备拍摄的图像。当其中一个设备拍下照片后，它被发送到PACS服务器，在那里存储，如果配置正确，只有在合法的医疗用途和经过授权的个人才能访问。

问题在于，配置经常不符合基本的安全标准，因此，数以亿计的图像和相关数据在互联网上开放，并且可能会被随意访问。

根据Shodan（一个用于连接互联网的设备的免费扫描程序）的调查结果，大约30％的可通过Internet访问的PACS服务器位于美国。下面是从Shodan获取的全球开放PACS服务器的热图。

此外，超过55%的PACS服务器可以通过端口104访问，这是用于医学数字成像和通信（DICOM）的默认端口。DICOM是一种用于传输医学图像的未加密网络协议，用于传输Internet上广泛记录的医学图像。因此，即使是技术水平相对较低的攻击者也可以根据此协议来构造其通信，以收集有关PAC服务器及其正在运行的应用程序的信息。这些信息以后可用于入侵服务器。

底线是：医院的医疗档案系统可以通过互联网访问，这有效地为攻击者铺设了欢迎垫。这样的配置使整个网络容易受到黑客的攻击，并暴露PHI的风险。

同时，网络犯罪分子也在寻找其他类型的数据：

• 实验结果可用于勒索或盗窃身份

• 假冒医生和伪造医疗文件的医疗执照

• 健康保险公司的登录详细信息以欺诈方式要求健康保险赔偿

• 连接的医疗设备可用于加密货币挖掘或劫持设备的功能

• 发行伪造的健康保险卡，伪造处方甚至伪造药品标签的行政文书工作。

他们用来获取此数据的主要攻击媒介是网络钓鱼电子邮件，以及利用网络中的漏洞和错误配置。

一旦进入，大多数攻击者就会着眼于通过破坏电子邮件帐户并横向移动网络以收集有价值的数据来获得持久访问。

三、改进建议

医疗机构安全性的特殊性是，负责这一方面业务的专家必须更加了解其工作意义。如何将医院的风险降到最低？对网络设备进行评估并建立全面的索引，这意味着要连接所有的DICOM和PACS设备。

使用这些信息，需要检查这些设备的连接配置，并确定哪些计算机可以访问更广泛的互联网。（在这些工作中，合适的，无攻击性的扫描工具可能会有所帮助。）从那时起，整个过程可归结为五个相对简单的步骤：

1. 如果有不需要远程访问的任何服务器，请应用防火墙规则以阻止从任何外部端点对该服务器的访问。

2. 关闭所有运行中不必要的操作端口，尤其是用于传输医疗信息的端口。可以根据MDS文档确定必要的端口，并在需要时与供应商联系。

在许多情况下，即使设备配置为通过特定端口进行通信，默认情况下设备上也会有多个端口保持打开状态。例如，DICOM通信的主要端口是端口104。默认情况下，此端口通常是打开的。同时，某些设备可能配置为将其他端口用于DICOM。在这种情况下，将端口104保持打开状态将对您的设备，网络和数据安全性构成完全不必要的风险。

3. 尽可能将网络外通信限制为通过（正确打补丁和加密）虚拟专用网络进行管理和保护的范围内。

4. 如果不能将网络外通信限制为VPN管理的会话，则将对这些服务器的访问限制为仅必要的连接：使用基于角色的身份验证，并且仅允许预先批准的IP地址范围访问服务器。

5. 如果网络外通信不能仅限于VPN管理的会话，请使用TLS加密发送DICOM信息。

这将需要在服务器和客户端上都进行一些设置，并且可能涉及端口切换，但是要代替VPN和访问限制，对传输中的数据进行加密至关重要。

长期缺乏网络安全投资的后果是当今普遍存在的问题，我们正面临着无法忽视的风险。医院领导者现在就应该开始加倍努力以保护重要的医疗资产和数据基础设施。

关于CyberMDX

CyberMDX是医疗卫生行业网络威胁情报的领导者，其解决方案可为医疗、IT、IT和IoT设备提供终端可见性、网络威胁预防和运营分析。CyberMDX的一流解决方案专为医疗服务机构而设计。无代理解决方案可自动执行细粒度、上下文感知的设备配置优化，并将其与风险评估和补救能力相结合，满足医疗卫生组织定制化的需求。CyberMDX研究团队与制造商紧密合作以及时发现漏洞，助力改善整个医疗卫生行业的网络安全状况。更多详情可联系：CyberMDX,1216 Broadway,New York, NY 10001, United States；646-794-4160 ，info@cybermdx.com，www.cybermdx.com。

参考来源：

https://businessinsights.bitdefender.com/healthcare-cybersecurity-threats-ripple-effects

https://www.cdc.gov/coronavirus/2019-ncov/cases-updates/index.html

https://www.cybermdx.com/news/vision-2020

https://www.helpnetsecurity.com/2020/03/18/healthcare-cybersecurity-coronavirus/

2020 VISION：A Review of Major IT & Cybersecurity Issues Affecting Healthcare, CyberM

声明：本文来自关键基础设施安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。