过时的物联网医疗设备构成重大安全威胁

据 Cynerio 研究，勒索软件已经成为医疗领域最可怕的噩梦，而运行着过时的 Windows 版本或者 Linux 等开源软件的医疗设备是易于攻击的目标。

根据 Cynerio 的《医疗物联网设备安全状况》报告，一半以上(53%)用于医疗领域的物联网及医疗物联网设备包含重大的网络安全风险，该报告分析了美国 300 多家医院的设备。

Cynerio 为医疗机构提供物联网安全系统，该报告基于对超过 1000 万台物联网及医疗物联网设备的扫描结果。具体上，Cynerio 将一个连接器连接到网络中核心交换机的 SPAN(Switched Port Analyzer，交换端口分析器)端口，以收集连接至该网络的所有设备的流量信息，随后用内部的人工智能算法分析这些信息，以帮助识别漏洞和威胁。

报告发现，静脉注射泵占医院典型医疗物联网足迹的 38%，其中 73% 的泵存在至少一个可能危及病人安全、数据保密性或服务可用性的漏洞。

“从医院内的基础设施到医疗记录的数字化，医疗系统中存在多个攻击面”，Constellation Research 的分析师 Liz Miller 说道，“全球疫情也让攻击者尝到了甜头，因而迅速成为了针对网络、系统和设备的攻击开放期。”

报告发现，79% 的物联网设备至少每月使用一次，而有 21% 的设备可能会连续闲置四周。

未应用补丁的设备会带来较大风险

Cynerio 的首席技术官 Daniel Brodie 说到：“医疗设备一旦用于病人，可能一次会被使用几天或几周，很多设备都有 7×24 小时的运行要求，因而即便是打补丁这样的中断也会为医疗工作流程、病人安全以及医院运营带来严重后果。”

据 Brodie 所说，另一个导致设备错过即使更新的因素是，典型的医院网络可能承载着来自不同供应商的设备组合，这使得精简补丁并更新的过程过于复杂，以至于无法在各设备的停机间隔内完成。

据报告，研究中扫描的物联网设备几乎有一半(48%)使用 Linux 操作系统，这也引起了越来越多的担忧，作为驱动着全球近 70% 网络服务器的开源平台，Linux 已经倍受攻击者重视了。

Brodie 补充道：“我们看到物联网环境中的勒索软件集团越来越多地以 Linux 设备为目标，这些犯罪者几乎是针对医院的独特设置发起定制的攻击，这种方式比起‘喷洒和祈祷’需要更长的时间，但得到回报的可能性要高得多。”

该报告中另一项关键发现是，虽然医疗机构中只有少量的物联网设备运行在 Windows 系统上，但整体上运行旧版 Windows(通常旧于 Windows 10)的设备主导着重症监护部门，这包括药房、肿瘤科等通常负责直接护理病人的医院部门以及实验室使用的设备。

勒索软件引起物联网攻击

在众多针对医疗领域的网络攻击中，勒索软件已经成为了最近一段时间内最棘手的问题。Cynerio 的报告指出， 2021 年针对医院的勒索软件攻击有 500 多起，同比增长 123%，共造成 210 亿美元的损失。据发现，遭受勒索软件攻击的平均损失为 800 万美元，且遭受攻击的组织大约要花 287 天左右才能完全恢复运作。

Forrester 的分析师 Allie Mellen 表示，在过去两年中勒索软件攻击变得更加普遍，鉴于医疗设备的性质及其繁多的种类，更新传统的系统会有很多挑战。

“恶意软件和分布式拒绝服务攻击是最常见的攻击类型，它们也往往会成为勒索软件的基石。”Brodie 说，“典型的攻击中，瘫痪的往往是那些追踪病人生命体征的设备，以及汇编病人的病历与档案的系统，随后包括电子邮件和 VOIP 电话在内的通信系统迅速关闭，使得关键信息难以传递。在这些攻击中失去功能的其它系统包括放射科、影像科、影像归档和通信系统的机器以及扫描仪、静脉注射泵、胰岛素泵、打印机与其它网络设备。”

网络隔离可以消除关键漏洞

报告认为，虽然医疗物联网设备内的关键漏洞URGENT/11和Ripple20成为了最近的头条新闻，但它们只占真正威胁的 10% 左右。(URGENT/11 和 Ripple20 指的是一组漏洞，它们在无需用户互动的情况下，允许攻击者绕过防火墙，通过 TCP/IP 协议栈远程控制设备)而最主要的漏洞是占检测到的漏洞的 31% 的，涉及思科 IP 电话的 CVE、占 21% 的弱 HTTP 凭证以及占 20% 的开放 HTTP 端口。

面对为来自不同供应商的物联网设备打补丁的困难，报告建议将网络隔离和网络分割作为补救漏洞的最优解。报告还强调，适当的网络负载平衡，以及东西向(设备到设备)和南北向(服务器到设备)混合的分割形式，对确保安全而不破坏连接至关重要。

“背景很重要，特别是在医疗环境中，你不能让网络分割干扰临床工作流程或是中断病人护理，所以在连接和分离之间肯定要取得平衡”Brodie 阐述道，“例如静脉注射泵可以只连接到数据中心的服务器，并与其它可能更容易被访问的服务器或设备分离。”

原文来源：数世咨询

“投稿联系方式：孙中豪 010-82992251   [email protected]”

原文始发于微信公众号（网络安全应急技术国家工程实验室）：过时的物联网医疗设备构成重大安全威胁