医疗设备物联网安全报告

Posted 2022-02-20 宛如清风

过时的物联网医疗设备构成重大安全威胁

根据Cynerio的研究，勒索软件已成为医疗保健和医院设备中最糟糕的噩梦，这些设备运行在过时的Windows版本或Linux开源软件上，很容易成为攻击目标。

根据Cynerio对美国300多家医院，超过1000万台物联网和物联网设备进行的报告显示，医疗保健中使用的物联网和医疗物联网（IoMT）设备中，一半以上（53%）存在严重的网络安全风险。

Cynerio为医疗保健提供者制造物联网和安全系统。在报告中，Cynerio的做法是，使用一个连接器，连接到网络核心交换机上的SPAN（交换端口分析器）端口，该连接器收集连接到网络的每个设备的设备流量信息。然后通过内部AI算法分析这些信息，以帮助识别漏洞和威胁。

该报告发现，IV（静脉注射）泵占医院典型医疗保健物联网设备的38%，其中73%的泵至少有一个漏洞，如果被不良行为者识别，可能会危及患者安全、数据机密性、服务可用性。

Constellation Research分析师Liz Miller说：“医疗保健系统具有多个攻击面，例如，医院内的基础设施和医疗记录的数字化设备，全球大流行也为攻击者增添了机会。”

该报告发现，79%的物联网设备每月至少使用一次，而21%的设备可能在四周内不使用。

未打补丁的设备会带来巨大风险

Cynerio的首席技术官Daniel Brodie说:“一旦医疗设备用于患者，它可能一次连续使用数天或数周。许多设备的运行要求是每周7天，每天24小时，中断，即使是打补丁，也可能对医疗工作流程，患者安全和医院运营产生严重后果。这可能会影响设备的安全升级。”

根据Brodie的说法，导致设备错过及时升级的另一个因素是，典型的医院网络可能托管来自不同供应商的设备组合，并使简化修补和升级过程变得过于复杂，以致其无法在各自的停机时间窗口内实现安全升级。

根据该报告，在研究中扫描的物联网设备中，几乎有一半（48%）使用Linux作为其操作系统，这引起了越来越多的关注，因为Linux是一个开源平台，为全球近70%的Web服务器提供支持，在不良行为者社区中非常受欢迎。

Brodie补充道：“我们看到物联网环境中的勒索软件越来越多地针对Linux设备。犯罪分子几乎以定制的方式策划并针对医院的独特设置进行攻击。它比其他类型的攻击需要更长的时间，但潜在的回报要高得多。”

该报告的另一个关键发现是，尽管医疗保健设置中只有极少数物联网设备在Windows上运行，但整个重症监护部门主要由运行旧版Windows的设备主导，这些设备通常比Windows 10更早。他们通常负责直接护理患者，运用在如药理学，肿瘤学和实验室等地方。

勒索软件引领物联网攻击

在针对医疗保健领域的许多网络攻击中，勒索软件已成为显著问题。Cynerio报告指出，2021年针对医院的勒索软件攻击同比增长123%，在500多次攻击中共损失了210亿美元。每次勒索软件攻击的平均成本为800万美元，每次攻击估计需要组织大约287天才能完全恢复。

勒索软件攻击在过去两年中变得更加普遍。根据Forrester分析师Allie Mellen的说法，由于医疗设备的性质，鉴于设备种类繁多，升级遗留系统可能会面临很多挑战。

恶意软件或DDoS（分布式拒绝服务）攻击是最常见的，他们通常会演变为勒索软件攻击。根据Brodie的说法，在典型的攻击中，被停机的设备通常是跟踪患者生命体征的设备，以及编译每位患者的病史和文档的系统。紧随其后的是包括电子邮件和VOIP电话在内的通信系统被关闭，这使得传递关键信息变得困难。在这些攻击期间失去功能的其他系统也许还会有放射、成像、PACS（图像存档和通信系统）机器和扫描仪、静脉输液泵和胰岛素泵、打印机和其他网络设备。

网络分段可以消除关键漏洞

该报告的结论是，尽管URGENT/11和Ripple20最近成为医疗保健物联网设备中的重大漏洞，但它们仅占实际威胁的10%左右。（URGENT/11 和 Ripple20 是指一组漏洞，允许攻击者绕过防火墙，并在没有用户交互的情况下通过 TCP/IP 堆栈远程控制设备。）

根据该报告，最大的漏洞是思科IP电话CVE（常见漏洞和暴露），占检测到的漏洞的31%;另外检测到弱HTTP凭据，占21%;可打开的HTTP端口，占20%。

该报告建议将网络隔离和分段作为修复漏洞的技术，因为对于来自不同供应商的物联网设备来说，打补丁是一个困难的修复方法。它还强调，网络连接的适当平衡，以及东西（设备到设备）和南北（服务器到设备）形式的分段，这对于在不中断连接的情况下确保安全至关重要。

Brodie说：“特别是在医疗保健环境中，你不能让‘分割’干扰临床工作流程或中断患者护理，所以在连接和分离之间肯定需要取得平衡。例如，他详细介绍说，IV泵只能连接到数据中心的服务器，而不能连接到可能更容易访问的其他服务器或设备（在南北分段操作中）。”（本文出自SCA安全通信联盟，转载请注明出处。）