网络犯罪分子正在攻击医疗保健(但我们可以反击)
这篇文章的一个版本出现了 《网络防御》杂志。它已更新以供在此处进行联合发布。
如今,网络攻击已成为一种生活方式。人们几乎希望听到有关一些新漏洞或漏洞的消息,这些漏洞或漏洞会影响从银行到航空的所有领域,或者影响智能手机和交通信号灯等各种设备。即使是我们的房屋也不再完全安全。整个城镇 正在受到攻击 犯罪分子几乎每天都有攻击者索要数百万美元的赎金来恢复受损的关键服务。
但是,希望我们仍然能感到安全的一个地方是医生办公室甚至医院。当人们向医疗保健提供者求助时,他们处于最脆弱的境地。人的体面几乎要求允许当地临床医生和平地从事他们的崇高工作。不幸的是,这并没有发生。在当今的网络盗贼中,似乎几乎没有什么荣誉 “或许是纯粹的绝望”。实际上,医疗保健可能是下一个 “伟大” 的网络安全战场,犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。随着一场持续的全球健康危机在我们眼前展开,从多个角度解决这个问题至关重要。
威胁比以往任何时候都更加个人化。
对医疗保健行业的攻击并不是什么新鲜事。网络犯罪分子已经知道患者信息、个人数据和财务记录在黑社会和暗网中的价值。这些信息可以用来直接从患者那里窃取金钱,也可以用作网络钓鱼和其他诈骗等二次攻击的起点。因此,难怪最近发生的许多最具破坏性的攻击都是针对医疗保健的。 国歌 医疗保健机构有8000万份患者记录被盗。 Premera 丢失了 1100 万个个人文件。 关爱第一总共有110万条被泄露的记录,这个清单不胜枚举。
截至目前,直接针对医疗设备的攻击似乎很少见。但是, 至少一份报告 这表明这个问题可能要广泛得多,医院没有报告入侵事件,或者没有接受过网络安全培训的员工根本没有意识到攻击就在他们面前发生。能够以可怕的方式入侵医疗设备,例如使用恶意软件 添加假肿瘤 到CAT扫描和核磁共振成像结果,安全研究人员已经确凿地证明了这一点。在现实世界中,如果认为攻击者可能已经在做与医疗设备相同或相似的事情,这并不是一个飞跃。
医疗保健也特别容易受到网络攻击,这要归因于它越来越依赖物联网(IoT)中的设备、连接到互联网并产生大量信息的微型传感器。在大多数情况下,保护这些传感器产生的信息、它们用于通信的渠道,甚至传感器本身,只不过是事后才想到的。攻击者隐藏在这些物联网主导的网络中可能利用的潜在漏洞的数量可能几乎是无限的。
医疗保健中的物联网构成严重风险。
对患者护理至关重要的服务 “在某些情况下甚至在20年前都无法想象” 是基于物联网的漏洞和其他更传统的漏洞的滋生地。电子医疗记录、远程医疗和移动医疗似乎都在等待物联网可以提供的更多信息。医疗保健行业对物联网的承诺令人震惊也就不足为奇了。Marketresearch.com 预测 那到明年,医疗保健领域的物联网市场将达到1170亿美元,此后每年将继续以15%的速度增长。
在这种环境中,熟练的攻击者可以发现大量可用于利用医疗设备的漏洞。嵌入在医疗设备内的物联网传感器通常通过以下两种方式之一进行通信和生成数据。有些人收集数据,然后将所有发现直接传输到互联网进行分析。其他人则使用一种称为分布式网络的形式 雾计算 传感器本身形成一种微型网络,共同决定与中央存储库或平台共享哪些数据。然后,医护人员可以进一步处理或直接访问这些数据。
使医疗保健领域的网络安全问题进一步复杂化的是,该行业从未接受过,也从未就数据处理标准、方法或保护达成共识。从历史上看,医疗保健行业一直由提供自己的医疗器械专有技术的制造商提供服务。如今,这包括嵌入式物联网传感器、设备使用的通信渠道以及收集数据后分析数据的平台。这使得大多数医院网络成为黑客的梦想,或者至少是一个很好的试验场,他们可以在那里利用一切资源 安全配置错误 到 传输层保护不足。他们可以尝试任何东西 跨站请求伪造 走向经典 XML 注入攻击。
我们需要的反击就在我们面前。
尽管这些可能带来灾难性后果 脆弱性 被利用后,仍有一些值得乐观的地方:这些安全漏洞并不是犯罪策划者打开的新的、强大的后门。它们非常常见,一次又一次地见到它们真是令人沮丧。他们露出丑陋头脑的部分原因是使用了尽管有修复程序但仍未打补丁的旧系统,但另一个原因再次与人为因素有关。开发人员正在以惊人的速度编写代码,他们专注于流畅、功能性的最终产品... 而不是安全最佳实践。
开发的软件实在太多了,让 AppSec 专家无法跟上,我们不能指望他们不断地利用这些反复出现的漏洞来挽救局面。如果一开始不引入这些漏洞,则更便宜、更高效,而且显然更安全,这意味着安全团队和开发人员必须加倍努力,以创建强大的端到端安全文化。
良好的安全文化到底是什么样子?以下是一些关键要素:
- 开发人员拥有解决常见错误所需的工具和培训(并了解为什么这样做如此重要)
- 培训内容全面、易于理解,可以发挥开发者的优势
- 通过指标和报告正确衡量训练的结果(而不仅仅是勾选方框然后继续锻炼)
- AppSec 和开发人员开始使用相同的语言:毕竟,在积极的安全文化中,他们正在努力实现相似的目标。
发生灾难的可能性仍然很大,而且远不止是患者的病历被盗。在扫描中注射假肿瘤可能会使焦急地等待听到自己是否患有癌症的人遭受重创。而更换药物或改变治疗计划实际上可能会杀死他们。但是,只需要一个网络罪犯愿意越过这条界限以获取利润,你可以保证它会发生。也许下一个勒索软件骗局不会加密医院的数据,而是破坏成千上万患者的诊断。或者,也许攻击者会威胁要修改药物,除非他们得到报酬,实际上是为了勒索赎金。
很明显,在处理问题时,我们不能再遵循 “一切照旧” 的方法了 医疗保健中的网络安全。我们不能依靠医疗保健组织的一两名专家来解决所有问题。相反,我们需要具有安全意识的开发人员在医疗保健应用程序和设备上工作之前识别潜在问题并进行修复。甚至医护人员也可以使用基本的网络安全培训。
的确,没有什么比你的健康更重要的了。在医疗保健行业内,未来保持良好的网络安全状况将取决于提高当今的整体安全意识。如果不认真治疗,这个问题只会变得更糟。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
这篇文章的一个版本出现了 《网络防御》杂志。它已更新以供在此处进行联合发布。
如今,网络攻击已成为一种生活方式。人们几乎希望听到有关一些新漏洞或漏洞的消息,这些漏洞或漏洞会影响从银行到航空的所有领域,或者影响智能手机和交通信号灯等各种设备。即使是我们的房屋也不再完全安全。整个城镇 正在受到攻击 犯罪分子几乎每天都有攻击者索要数百万美元的赎金来恢复受损的关键服务。
但是,希望我们仍然能感到安全的一个地方是医生办公室甚至医院。当人们向医疗保健提供者求助时,他们处于最脆弱的境地。人的体面几乎要求允许当地临床医生和平地从事他们的崇高工作。不幸的是,这并没有发生。在当今的网络盗贼中,似乎几乎没有什么荣誉 “或许是纯粹的绝望”。实际上,医疗保健可能是下一个 “伟大” 的网络安全战场,犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。随着一场持续的全球健康危机在我们眼前展开,从多个角度解决这个问题至关重要。
威胁比以往任何时候都更加个人化。
对医疗保健行业的攻击并不是什么新鲜事。网络犯罪分子已经知道患者信息、个人数据和财务记录在黑社会和暗网中的价值。这些信息可以用来直接从患者那里窃取金钱,也可以用作网络钓鱼和其他诈骗等二次攻击的起点。因此,难怪最近发生的许多最具破坏性的攻击都是针对医疗保健的。 国歌 医疗保健机构有8000万份患者记录被盗。 Premera 丢失了 1100 万个个人文件。 关爱第一总共有110万条被泄露的记录,这个清单不胜枚举。
截至目前,直接针对医疗设备的攻击似乎很少见。但是, 至少一份报告 这表明这个问题可能要广泛得多,医院没有报告入侵事件,或者没有接受过网络安全培训的员工根本没有意识到攻击就在他们面前发生。能够以可怕的方式入侵医疗设备,例如使用恶意软件 添加假肿瘤 到CAT扫描和核磁共振成像结果,安全研究人员已经确凿地证明了这一点。在现实世界中,如果认为攻击者可能已经在做与医疗设备相同或相似的事情,这并不是一个飞跃。
医疗保健也特别容易受到网络攻击,这要归因于它越来越依赖物联网(IoT)中的设备、连接到互联网并产生大量信息的微型传感器。在大多数情况下,保护这些传感器产生的信息、它们用于通信的渠道,甚至传感器本身,只不过是事后才想到的。攻击者隐藏在这些物联网主导的网络中可能利用的潜在漏洞的数量可能几乎是无限的。
医疗保健中的物联网构成严重风险。
对患者护理至关重要的服务 “在某些情况下甚至在20年前都无法想象” 是基于物联网的漏洞和其他更传统的漏洞的滋生地。电子医疗记录、远程医疗和移动医疗似乎都在等待物联网可以提供的更多信息。医疗保健行业对物联网的承诺令人震惊也就不足为奇了。Marketresearch.com 预测 那到明年,医疗保健领域的物联网市场将达到1170亿美元,此后每年将继续以15%的速度增长。
在这种环境中,熟练的攻击者可以发现大量可用于利用医疗设备的漏洞。嵌入在医疗设备内的物联网传感器通常通过以下两种方式之一进行通信和生成数据。有些人收集数据,然后将所有发现直接传输到互联网进行分析。其他人则使用一种称为分布式网络的形式 雾计算 传感器本身形成一种微型网络,共同决定与中央存储库或平台共享哪些数据。然后,医护人员可以进一步处理或直接访问这些数据。
使医疗保健领域的网络安全问题进一步复杂化的是,该行业从未接受过,也从未就数据处理标准、方法或保护达成共识。从历史上看,医疗保健行业一直由提供自己的医疗器械专有技术的制造商提供服务。如今,这包括嵌入式物联网传感器、设备使用的通信渠道以及收集数据后分析数据的平台。这使得大多数医院网络成为黑客的梦想,或者至少是一个很好的试验场,他们可以在那里利用一切资源 安全配置错误 到 传输层保护不足。他们可以尝试任何东西 跨站请求伪造 走向经典 XML 注入攻击。
我们需要的反击就在我们面前。
尽管这些可能带来灾难性后果 脆弱性 被利用后,仍有一些值得乐观的地方:这些安全漏洞并不是犯罪策划者打开的新的、强大的后门。它们非常常见,一次又一次地见到它们真是令人沮丧。他们露出丑陋头脑的部分原因是使用了尽管有修复程序但仍未打补丁的旧系统,但另一个原因再次与人为因素有关。开发人员正在以惊人的速度编写代码,他们专注于流畅、功能性的最终产品... 而不是安全最佳实践。
开发的软件实在太多了,让 AppSec 专家无法跟上,我们不能指望他们不断地利用这些反复出现的漏洞来挽救局面。如果一开始不引入这些漏洞,则更便宜、更高效,而且显然更安全,这意味着安全团队和开发人员必须加倍努力,以创建强大的端到端安全文化。
良好的安全文化到底是什么样子?以下是一些关键要素:
- 开发人员拥有解决常见错误所需的工具和培训(并了解为什么这样做如此重要)
- 培训内容全面、易于理解,可以发挥开发者的优势
- 通过指标和报告正确衡量训练的结果(而不仅仅是勾选方框然后继续锻炼)
- AppSec 和开发人员开始使用相同的语言:毕竟,在积极的安全文化中,他们正在努力实现相似的目标。
发生灾难的可能性仍然很大,而且远不止是患者的病历被盗。在扫描中注射假肿瘤可能会使焦急地等待听到自己是否患有癌症的人遭受重创。而更换药物或改变治疗计划实际上可能会杀死他们。但是,只需要一个网络罪犯愿意越过这条界限以获取利润,你可以保证它会发生。也许下一个勒索软件骗局不会加密医院的数据,而是破坏成千上万患者的诊断。或者,也许攻击者会威胁要修改药物,除非他们得到报酬,实际上是为了勒索赎金。
很明显,在处理问题时,我们不能再遵循 “一切照旧” 的方法了 医疗保健中的网络安全。我们不能依靠医疗保健组织的一两名专家来解决所有问题。相反,我们需要具有安全意识的开发人员在医疗保健应用程序和设备上工作之前识别潜在问题并进行修复。甚至医护人员也可以使用基本的网络安全培训。
的确,没有什么比你的健康更重要的了。在医疗保健行业内,未来保持良好的网络安全状况将取决于提高当今的整体安全意识。如果不认真治疗,这个问题只会变得更糟。
这篇文章的一个版本出现了 《网络防御》杂志。它已更新以供在此处进行联合发布。
如今,网络攻击已成为一种生活方式。人们几乎希望听到有关一些新漏洞或漏洞的消息,这些漏洞或漏洞会影响从银行到航空的所有领域,或者影响智能手机和交通信号灯等各种设备。即使是我们的房屋也不再完全安全。整个城镇 正在受到攻击 犯罪分子几乎每天都有攻击者索要数百万美元的赎金来恢复受损的关键服务。
但是,希望我们仍然能感到安全的一个地方是医生办公室甚至医院。当人们向医疗保健提供者求助时,他们处于最脆弱的境地。人的体面几乎要求允许当地临床医生和平地从事他们的崇高工作。不幸的是,这并没有发生。在当今的网络盗贼中,似乎几乎没有什么荣誉 “或许是纯粹的绝望”。实际上,医疗保健可能是下一个 “伟大” 的网络安全战场,犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。随着一场持续的全球健康危机在我们眼前展开,从多个角度解决这个问题至关重要。
威胁比以往任何时候都更加个人化。
对医疗保健行业的攻击并不是什么新鲜事。网络犯罪分子已经知道患者信息、个人数据和财务记录在黑社会和暗网中的价值。这些信息可以用来直接从患者那里窃取金钱,也可以用作网络钓鱼和其他诈骗等二次攻击的起点。因此,难怪最近发生的许多最具破坏性的攻击都是针对医疗保健的。 国歌 医疗保健机构有8000万份患者记录被盗。 Premera 丢失了 1100 万个个人文件。 关爱第一总共有110万条被泄露的记录,这个清单不胜枚举。
截至目前,直接针对医疗设备的攻击似乎很少见。但是, 至少一份报告 这表明这个问题可能要广泛得多,医院没有报告入侵事件,或者没有接受过网络安全培训的员工根本没有意识到攻击就在他们面前发生。能够以可怕的方式入侵医疗设备,例如使用恶意软件 添加假肿瘤 到CAT扫描和核磁共振成像结果,安全研究人员已经确凿地证明了这一点。在现实世界中,如果认为攻击者可能已经在做与医疗设备相同或相似的事情,这并不是一个飞跃。
医疗保健也特别容易受到网络攻击,这要归因于它越来越依赖物联网(IoT)中的设备、连接到互联网并产生大量信息的微型传感器。在大多数情况下,保护这些传感器产生的信息、它们用于通信的渠道,甚至传感器本身,只不过是事后才想到的。攻击者隐藏在这些物联网主导的网络中可能利用的潜在漏洞的数量可能几乎是无限的。
医疗保健中的物联网构成严重风险。
对患者护理至关重要的服务 “在某些情况下甚至在20年前都无法想象” 是基于物联网的漏洞和其他更传统的漏洞的滋生地。电子医疗记录、远程医疗和移动医疗似乎都在等待物联网可以提供的更多信息。医疗保健行业对物联网的承诺令人震惊也就不足为奇了。Marketresearch.com 预测 那到明年,医疗保健领域的物联网市场将达到1170亿美元,此后每年将继续以15%的速度增长。
在这种环境中,熟练的攻击者可以发现大量可用于利用医疗设备的漏洞。嵌入在医疗设备内的物联网传感器通常通过以下两种方式之一进行通信和生成数据。有些人收集数据,然后将所有发现直接传输到互联网进行分析。其他人则使用一种称为分布式网络的形式 雾计算 传感器本身形成一种微型网络,共同决定与中央存储库或平台共享哪些数据。然后,医护人员可以进一步处理或直接访问这些数据。
使医疗保健领域的网络安全问题进一步复杂化的是,该行业从未接受过,也从未就数据处理标准、方法或保护达成共识。从历史上看,医疗保健行业一直由提供自己的医疗器械专有技术的制造商提供服务。如今,这包括嵌入式物联网传感器、设备使用的通信渠道以及收集数据后分析数据的平台。这使得大多数医院网络成为黑客的梦想,或者至少是一个很好的试验场,他们可以在那里利用一切资源 安全配置错误 到 传输层保护不足。他们可以尝试任何东西 跨站请求伪造 走向经典 XML 注入攻击。
我们需要的反击就在我们面前。
尽管这些可能带来灾难性后果 脆弱性 被利用后,仍有一些值得乐观的地方:这些安全漏洞并不是犯罪策划者打开的新的、强大的后门。它们非常常见,一次又一次地见到它们真是令人沮丧。他们露出丑陋头脑的部分原因是使用了尽管有修复程序但仍未打补丁的旧系统,但另一个原因再次与人为因素有关。开发人员正在以惊人的速度编写代码,他们专注于流畅、功能性的最终产品... 而不是安全最佳实践。
开发的软件实在太多了,让 AppSec 专家无法跟上,我们不能指望他们不断地利用这些反复出现的漏洞来挽救局面。如果一开始不引入这些漏洞,则更便宜、更高效,而且显然更安全,这意味着安全团队和开发人员必须加倍努力,以创建强大的端到端安全文化。
良好的安全文化到底是什么样子?以下是一些关键要素:
- 开发人员拥有解决常见错误所需的工具和培训(并了解为什么这样做如此重要)
- 培训内容全面、易于理解,可以发挥开发者的优势
- 通过指标和报告正确衡量训练的结果(而不仅仅是勾选方框然后继续锻炼)
- AppSec 和开发人员开始使用相同的语言:毕竟,在积极的安全文化中,他们正在努力实现相似的目标。
发生灾难的可能性仍然很大,而且远不止是患者的病历被盗。在扫描中注射假肿瘤可能会使焦急地等待听到自己是否患有癌症的人遭受重创。而更换药物或改变治疗计划实际上可能会杀死他们。但是,只需要一个网络罪犯愿意越过这条界限以获取利润,你可以保证它会发生。也许下一个勒索软件骗局不会加密医院的数据,而是破坏成千上万患者的诊断。或者,也许攻击者会威胁要修改药物,除非他们得到报酬,实际上是为了勒索赎金。
很明显,在处理问题时,我们不能再遵循 “一切照旧” 的方法了 医疗保健中的网络安全。我们不能依靠医疗保健组织的一两名专家来解决所有问题。相反,我们需要具有安全意识的开发人员在医疗保健应用程序和设备上工作之前识别潜在问题并进行修复。甚至医护人员也可以使用基本的网络安全培训。
的确,没有什么比你的健康更重要的了。在医疗保健行业内,未来保持良好的网络安全状况将取决于提高当今的整体安全意识。如果不认真治疗,这个问题只会变得更糟。
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior는 조직이 소프트웨어 개발 생명주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 지원합니다. 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 수행하는 모든 분들에게, 저희는 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
这篇文章的一个版本出现了 《网络防御》杂志。它已更新以供在此处进行联合发布。
如今,网络攻击已成为一种生活方式。人们几乎希望听到有关一些新漏洞或漏洞的消息,这些漏洞或漏洞会影响从银行到航空的所有领域,或者影响智能手机和交通信号灯等各种设备。即使是我们的房屋也不再完全安全。整个城镇 正在受到攻击 犯罪分子几乎每天都有攻击者索要数百万美元的赎金来恢复受损的关键服务。
但是,希望我们仍然能感到安全的一个地方是医生办公室甚至医院。当人们向医疗保健提供者求助时,他们处于最脆弱的境地。人的体面几乎要求允许当地临床医生和平地从事他们的崇高工作。不幸的是,这并没有发生。在当今的网络盗贼中,似乎几乎没有什么荣誉 “或许是纯粹的绝望”。实际上,医疗保健可能是下一个 “伟大” 的网络安全战场,犯罪分子攻击的正是诊断医疗问题、提供治疗和维持生命的机器。随着一场持续的全球健康危机在我们眼前展开,从多个角度解决这个问题至关重要。
威胁比以往任何时候都更加个人化。
对医疗保健行业的攻击并不是什么新鲜事。网络犯罪分子已经知道患者信息、个人数据和财务记录在黑社会和暗网中的价值。这些信息可以用来直接从患者那里窃取金钱,也可以用作网络钓鱼和其他诈骗等二次攻击的起点。因此,难怪最近发生的许多最具破坏性的攻击都是针对医疗保健的。 国歌 医疗保健机构有8000万份患者记录被盗。 Premera 丢失了 1100 万个个人文件。 关爱第一总共有110万条被泄露的记录,这个清单不胜枚举。
截至目前,直接针对医疗设备的攻击似乎很少见。但是, 至少一份报告 这表明这个问题可能要广泛得多,医院没有报告入侵事件,或者没有接受过网络安全培训的员工根本没有意识到攻击就在他们面前发生。能够以可怕的方式入侵医疗设备,例如使用恶意软件 添加假肿瘤 到CAT扫描和核磁共振成像结果,安全研究人员已经确凿地证明了这一点。在现实世界中,如果认为攻击者可能已经在做与医疗设备相同或相似的事情,这并不是一个飞跃。
医疗保健也特别容易受到网络攻击,这要归因于它越来越依赖物联网(IoT)中的设备、连接到互联网并产生大量信息的微型传感器。在大多数情况下,保护这些传感器产生的信息、它们用于通信的渠道,甚至传感器本身,只不过是事后才想到的。攻击者隐藏在这些物联网主导的网络中可能利用的潜在漏洞的数量可能几乎是无限的。
医疗保健中的物联网构成严重风险。
对患者护理至关重要的服务 “在某些情况下甚至在20年前都无法想象” 是基于物联网的漏洞和其他更传统的漏洞的滋生地。电子医疗记录、远程医疗和移动医疗似乎都在等待物联网可以提供的更多信息。医疗保健行业对物联网的承诺令人震惊也就不足为奇了。Marketresearch.com 预测 那到明年,医疗保健领域的物联网市场将达到1170亿美元,此后每年将继续以15%的速度增长。
在这种环境中,熟练的攻击者可以发现大量可用于利用医疗设备的漏洞。嵌入在医疗设备内的物联网传感器通常通过以下两种方式之一进行通信和生成数据。有些人收集数据,然后将所有发现直接传输到互联网进行分析。其他人则使用一种称为分布式网络的形式 雾计算 传感器本身形成一种微型网络,共同决定与中央存储库或平台共享哪些数据。然后,医护人员可以进一步处理或直接访问这些数据。
使医疗保健领域的网络安全问题进一步复杂化的是,该行业从未接受过,也从未就数据处理标准、方法或保护达成共识。从历史上看,医疗保健行业一直由提供自己的医疗器械专有技术的制造商提供服务。如今,这包括嵌入式物联网传感器、设备使用的通信渠道以及收集数据后分析数据的平台。这使得大多数医院网络成为黑客的梦想,或者至少是一个很好的试验场,他们可以在那里利用一切资源 安全配置错误 到 传输层保护不足。他们可以尝试任何东西 跨站请求伪造 走向经典 XML 注入攻击。
我们需要的反击就在我们面前。
尽管这些可能带来灾难性后果 脆弱性 被利用后,仍有一些值得乐观的地方:这些安全漏洞并不是犯罪策划者打开的新的、强大的后门。它们非常常见,一次又一次地见到它们真是令人沮丧。他们露出丑陋头脑的部分原因是使用了尽管有修复程序但仍未打补丁的旧系统,但另一个原因再次与人为因素有关。开发人员正在以惊人的速度编写代码,他们专注于流畅、功能性的最终产品... 而不是安全最佳实践。
开发的软件实在太多了,让 AppSec 专家无法跟上,我们不能指望他们不断地利用这些反复出现的漏洞来挽救局面。如果一开始不引入这些漏洞,则更便宜、更高效,而且显然更安全,这意味着安全团队和开发人员必须加倍努力,以创建强大的端到端安全文化。
良好的安全文化到底是什么样子?以下是一些关键要素:
- 开发人员拥有解决常见错误所需的工具和培训(并了解为什么这样做如此重要)
- 培训内容全面、易于理解,可以发挥开发者的优势
- 通过指标和报告正确衡量训练的结果(而不仅仅是勾选方框然后继续锻炼)
- AppSec 和开发人员开始使用相同的语言:毕竟,在积极的安全文化中,他们正在努力实现相似的目标。
发生灾难的可能性仍然很大,而且远不止是患者的病历被盗。在扫描中注射假肿瘤可能会使焦急地等待听到自己是否患有癌症的人遭受重创。而更换药物或改变治疗计划实际上可能会杀死他们。但是,只需要一个网络罪犯愿意越过这条界限以获取利润,你可以保证它会发生。也许下一个勒索软件骗局不会加密医院的数据,而是破坏成千上万患者的诊断。或者,也许攻击者会威胁要修改药物,除非他们得到报酬,实际上是为了勒索赎金。
很明显,在处理问题时,我们不能再遵循 “一切照旧” 的方法了 医疗保健中的网络安全。我们不能依靠医疗保健组织的一两名专家来解决所有问题。相反,我们需要具有安全意识的开发人员在医疗保健应用程序和设备上工作之前识别潜在问题并进行修复。甚至医护人员也可以使用基本的网络安全培训。
的确,没有什么比你的健康更重要的了。在医疗保健行业内,未来保持良好的网络安全状况将取决于提高当今的整体安全意识。如果不认真治疗,这个问题只会变得更糟。
%20(1).avif)
.avif)
