网络犯罪分子正在攻击医疗保健行业(但我们可以反击)。
这篇文章的一个版本刊登在 网络防御杂志.它已被更新到这里,以便在这里进行联合传播。
如今,网络攻击已经成为一种生活方式。人们几乎期待听到关于一些新的漏洞或漏洞的新闻,这些漏洞或漏洞影响到从银行业到航空业的一切,或像智能手机和交通灯一样的各种设备。甚至我们的家也不再是完全安全的。整个城市和城镇几乎每天都受到犯罪分子的攻击,攻击者要求数百万的赎金来恢复被破坏的关键服务。
但是,有一个地方,我们希望仍然可以感到安全,那就是在医生的办公室,甚至在医院。当人们向医疗服务提供者求助时,他们是最脆弱的。人类的礼节几乎会要求允许当地的临床医生和平地做他们高尚的工作。不幸的是,这并没有发生。在今天的网络盗贼中,似乎没有什么荣誉感",或者说是纯粹的绝望"。事实上,医疗保健可能是下一个 "伟大 "的网络安全战场,犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。随着一场持续的全球健康危机在我们眼前展开,这是一个需要从多个方面解决的关键问题。
威胁正变得比以往任何时候都更加个人化。
对医疗保健行业的攻击并不新鲜。网络犯罪分子已经知道病人信息、个人数据和财务记录在黑社会和暗网中的价值。这些信息可以被用来直接从病人身上偷钱,或者作为二次攻击的发起点,如网络钓鱼和其他骗局。因此,难怪最近许多最具破坏性的攻击都是针对医疗保健的。安泰医疗集团有8000万份病人记录被盗。Premera丢失了1100万份个人文件。CareFirst的记录总数为110万份,而这个名单还在不断增加。
就目前而言,直接针对医疗设备的攻击似乎很少。然而,至少有一份报告表明,这个问题可能更加普遍,医院没有报告入侵行为,或者没有接受过网络安全培训的员工根本没有意识到攻击就在他们面前发生了。以可怕的方式破坏医疗设备的能力,如使用恶意软件在CAT扫描和MRI结果中添加假的肿瘤,已经被安全研究人员确凿证明。认为攻击者可能已经在现实世界中对医疗设备做了同样或类似的事情,这并不是一个非常大的飞跃。
由于对物联网(IoT)设备的依赖程度越来越高,医疗行业也特别容易受到网络攻击的影响,这些微小的传感器与互联网相连,产生的信息量惊人。在大多数情况下,保护这些传感器产生的信息、它们用来通信的渠道、甚至传感器本身的安全,都是事后才想到的。攻击者可以利用隐藏在这些以物联网为主导的网络中的潜在漏洞的数量可能几乎是无限的。
医疗保健领域的物联网带来了严重的风险。
对病人护理至关重要的服务 "在某些情况下甚至在20年前都无法想象 "是基于物联网和其他更传统的漏洞的滋生地。电子病历、远程医疗和移动医疗似乎都在等待物联网所能提供的信息的提升。难怪医疗保健领域对物联网的承诺是惊人的。MarketResearch.com预测,到明年,医疗保健领域的物联网市场将达到1170亿美元,并在此后每年以15%的速度继续扩张。
在这种环境下,熟练的攻击者可以找到大量的漏洞,可以用来利用医疗设备。嵌入医疗设备内的物联网传感器通常以两种方式之一进行通信并产生其数据。有些收集数据,然后将其所有发现直接传输到互联网上进行分析。其他的则使用一种被称为雾计算的分布式网络,其中传感器本身形成一种小型网络,共同决定与中央存储库或平台分享哪些数据。然后,这些数据可以被进一步处理或由医疗工作者直接访问。
使医疗行业的网络安全问题更加复杂的是,该行业从未接受或同意过数据处理标准、方法或保护措施。历史上,医疗保健行业一直由制造商提供他们自己的医疗设备专有技术。今天,这包括嵌入式物联网传感器、设备使用的通信渠道和收集数据后的分析平台。这使得大多数医院网络成为黑客的梦想,或者至少是一个良好的试验场,他们可以利用从安全错误配置到传输层保护不足的一切。他们可以尝试从跨站请求伪造到经典的XML注入攻击等任何东西。
我们需要的反击就在我们面前。
尽管这些漏洞被利用可能会带来灾难性的后果,但仍有一点值得乐观:这些安全漏洞并不是新的、由犯罪分子打开的强大后门。它们是如此常见,以至于一次又一次地看到它们是令人沮丧的。它们出现的部分原因是由于使用了遗留系统,尽管有修复程序,但却没有打补丁,但另一个原因又与人为因素有关。开发人员正以惊人的速度编写代码,他们专注于光滑的、功能性的最终产品......而不是安全的最佳实践。
对于应用安全专家来说,正在构建的软件实在是太多了,我们不能指望他们在这些反复出现的漏洞中不断拯救世界。如果一开始就不引入这些漏洞,那么成本会更低,效率会更高,而且显然会更安全,这意味着安全团队和开发人员必须付出更多努力,创造一个强大的、端到端的安全文化。
一个伟大的安全文化究竟是什么样子的?这里有几个关键因素。
- 开发人员配备了他们需要的工具和培训,以粉碎常见的错误(并理解为什么这样做很重要)。
- 培训是全面的,容易消化的,并能发挥开发者的优势
- 对培训的结果进行适当的衡量,并提供指标和报告(而不仅仅是打勾,然后继续工作)。
- 应用安全和开发人员开始说同样的语言:毕竟,在一个积极的安全文化中,他们正在努力实现类似的目标。
灾难的可能性仍然是巨大的,而且远远超出了病人的医疗记录被盗。在扫描中注入假的肿瘤可能会破坏一个焦急地等待听到他们是否患有癌症的人。而更换药物或改变治疗计划实际上可能会杀死他们。但是,只要有一个网络犯罪分子愿意为了利益越过这条线,你就可以保证它将会发生。也许下一个勒索软件骗局不会加密医院的数据,而是毁掉成千上万病人的诊断。或者,攻击者会威胁要改变药品,除非他们得到报酬,实际上是以生命为代价来索取赎金。
很明显,当涉及到医疗保健领域的网络安全时,我们不能再遵循 "一切照旧 "的做法。我们不能依靠医疗机构的一两个专家来解决每个问题。相反,我们需要有安全意识的开发人员在医疗保健应用程序和设备上工作,以识别潜在的问题,并在它们被部署到设施之前修复它们。甚至医疗工作者也可以使用基本的网络安全培训。
诚然,没有什么比你的健康更重要。在医疗保健行业内,为未来保持良好的网络安全体质将取决于今天促进更好的整体安全意识。如果不认真对待,这个问题只会越来越严重。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
网络犯罪分子正在攻击医疗保健行业(但我们可以反击)。
这篇文章的一个版本刊登在 网络防御杂志.它已被更新到这里,以便在这里进行联合传播。
如今,网络攻击已经成为一种生活方式。人们几乎期待听到关于一些新的漏洞或漏洞的新闻,这些漏洞或漏洞影响到从银行业到航空业的一切,或像智能手机和交通灯一样的各种设备。甚至我们的家也不再是完全安全的。整个城市和城镇几乎每天都受到犯罪分子的攻击,攻击者要求数百万的赎金来恢复被破坏的关键服务。
但是,有一个地方,我们希望仍然可以感到安全,那就是在医生的办公室,甚至在医院。当人们向医疗服务提供者求助时,他们是最脆弱的。人类的礼节几乎会要求允许当地的临床医生和平地做他们高尚的工作。不幸的是,这并没有发生。在今天的网络盗贼中,似乎没有什么荣誉感",或者说是纯粹的绝望"。事实上,医疗保健可能是下一个 "伟大 "的网络安全战场,犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。随着一场持续的全球健康危机在我们眼前展开,这是一个需要从多个方面解决的关键问题。
威胁正变得比以往任何时候都更加个人化。
对医疗保健行业的攻击并不新鲜。网络犯罪分子已经知道病人信息、个人数据和财务记录在黑社会和暗网中的价值。这些信息可以被用来直接从病人身上偷钱,或者作为二次攻击的发起点,如网络钓鱼和其他骗局。因此,难怪最近许多最具破坏性的攻击都是针对医疗保健的。安泰医疗集团有8000万份病人记录被盗。Premera丢失了1100万份个人文件。CareFirst的记录总数为110万份,而这个名单还在不断增加。
就目前而言,直接针对医疗设备的攻击似乎很少。然而,至少有一份报告表明,这个问题可能更加普遍,医院没有报告入侵行为,或者没有接受过网络安全培训的员工根本没有意识到攻击就在他们面前发生了。以可怕的方式破坏医疗设备的能力,如使用恶意软件在CAT扫描和MRI结果中添加假的肿瘤,已经被安全研究人员确凿证明。认为攻击者可能已经在现实世界中对医疗设备做了同样或类似的事情,这并不是一个非常大的飞跃。
由于对物联网(IoT)设备的依赖程度越来越高,医疗行业也特别容易受到网络攻击的影响,这些微小的传感器与互联网相连,产生的信息量惊人。在大多数情况下,保护这些传感器产生的信息、它们用来通信的渠道、甚至传感器本身的安全,都是事后才想到的。攻击者可以利用隐藏在这些以物联网为主导的网络中的潜在漏洞的数量可能几乎是无限的。
医疗保健领域的物联网带来了严重的风险。
对病人护理至关重要的服务 "在某些情况下甚至在20年前都无法想象 "是基于物联网和其他更传统的漏洞的滋生地。电子病历、远程医疗和移动医疗似乎都在等待物联网所能提供的信息的提升。难怪医疗保健领域对物联网的承诺是惊人的。MarketResearch.com预测,到明年,医疗保健领域的物联网市场将达到1170亿美元,并在此后每年以15%的速度继续扩张。
在这种环境下,熟练的攻击者可以找到大量的漏洞,可以用来利用医疗设备。嵌入医疗设备内的物联网传感器通常以两种方式之一进行通信并产生其数据。有些收集数据,然后将其所有发现直接传输到互联网上进行分析。其他的则使用一种被称为雾计算的分布式网络,其中传感器本身形成一种小型网络,共同决定与中央存储库或平台分享哪些数据。然后,这些数据可以被进一步处理或由医疗工作者直接访问。
使医疗行业的网络安全问题更加复杂的是,该行业从未接受或同意过数据处理标准、方法或保护措施。历史上,医疗保健行业一直由制造商提供他们自己的医疗设备专有技术。今天,这包括嵌入式物联网传感器、设备使用的通信渠道和收集数据后的分析平台。这使得大多数医院网络成为黑客的梦想,或者至少是一个良好的试验场,他们可以利用从安全错误配置到传输层保护不足的一切。他们可以尝试从跨站请求伪造到经典的XML注入攻击等任何东西。
我们需要的反击就在我们面前。
尽管这些漏洞被利用可能会带来灾难性的后果,但仍有一点值得乐观:这些安全漏洞并不是新的、由犯罪分子打开的强大后门。它们是如此常见,以至于一次又一次地看到它们是令人沮丧的。它们出现的部分原因是由于使用了遗留系统,尽管有修复程序,但却没有打补丁,但另一个原因又与人为因素有关。开发人员正以惊人的速度编写代码,他们专注于光滑的、功能性的最终产品......而不是安全的最佳实践。
对于应用安全专家来说,正在构建的软件实在是太多了,我们不能指望他们在这些反复出现的漏洞中不断拯救世界。如果一开始就不引入这些漏洞,那么成本会更低,效率会更高,而且显然会更安全,这意味着安全团队和开发人员必须付出更多努力,创造一个强大的、端到端的安全文化。
一个伟大的安全文化究竟是什么样子的?这里有几个关键因素。
- 开发人员配备了他们需要的工具和培训,以粉碎常见的错误(并理解为什么这样做很重要)。
- 培训是全面的,容易消化的,并能发挥开发者的优势
- 对培训的结果进行适当的衡量,并提供指标和报告(而不仅仅是打勾,然后继续工作)。
- 应用安全和开发人员开始说同样的语言:毕竟,在一个积极的安全文化中,他们正在努力实现类似的目标。
灾难的可能性仍然是巨大的,而且远远超出了病人的医疗记录被盗。在扫描中注入假的肿瘤可能会破坏一个焦急地等待听到他们是否患有癌症的人。而更换药物或改变治疗计划实际上可能会杀死他们。但是,只要有一个网络犯罪分子愿意为了利益越过这条线,你就可以保证它将会发生。也许下一个勒索软件骗局不会加密医院的数据,而是毁掉成千上万病人的诊断。或者,攻击者会威胁要改变药品,除非他们得到报酬,实际上是以生命为代价来索取赎金。
很明显,当涉及到医疗保健领域的网络安全时,我们不能再遵循 "一切照旧 "的做法。我们不能依靠医疗机构的一两个专家来解决每个问题。相反,我们需要有安全意识的开发人员在医疗保健应用程序和设备上工作,以识别潜在的问题,并在它们被部署到设施之前修复它们。甚至医疗工作者也可以使用基本的网络安全培训。
诚然,没有什么比你的健康更重要。在医疗保健行业内,为未来保持良好的网络安全体质将取决于今天促进更好的整体安全意识。如果不认真对待,这个问题只会越来越严重。
