医疗保健一直是最容易受到攻击的关键行业之一，也是勒索软件的主要目标。原因很明显：医疗保健行业攻击面巨大，但安全性较差，而医疗保健行业必须优先考虑持续运营。简而言之，医疗保健行业很容易受到攻击，而且最有可能遭受勒索软件攻击。

问题源于医疗保健需要确保医疗系统始终正常运行——患者的生命可能取决于此。这一要求使得修补变得困难，而 FDA 需要对医疗设备进行任何与网络安全相关的更改进行验证，这加剧了这一问题。对于运行不再受供应商支持的操作系统的旧技术，实施补丁通常需要一年多的时间。

Claroty 的 Team82 研究人员利用该公司使用其 xDome 平台的客户的数据，对这一威胁进行了分析和量化。“它包括数百个医疗系统和数千家医院，”Claroty 医疗行业负责人 Ty Greenhalgh 表示。“因此，我们拥有一个包含所有设备及其属性的数据湖。” 

更具体地说，该公司能够分析 351 家医疗保健组织的 225 多万台 IoMT 设备和 647,000 多台 OT 设备的安全状态，并发现 99% 的组织容易受到公开漏洞的攻击（即 CISA 的 KEV 列表中包含的漏洞）；20% 的医院信息系统包含与勒索软件相关的 KEV，并且不安全地连接到互联网。

对如此大量的威胁进行分类是一项艰巨的任务，甚至是不可能的；但 Team82 的研究人员提出了一条具体的路线。这个过程结合了三个主要威胁指标：存在 KEV 漏洞、勒索软件参与者已知使用该漏洞以及相关设备的不安全连接。（为此，报告将“不安全连接”描述为“直接连接到互联网或可使用非企业级远程访问解决方案访问的设备”。）

对这些指标采用维恩法，最重要的漏洞可以位于这三个指标的交汇处。例如，将这种方法应用于医疗保健行业的 647,679 台 OT 设备，其中 11,693 台包含 KEV 漏洞，3,004 台包含与勒索软件相关的 KEV，4,731 台存在不安全连接，但只有1,763台包含这三个漏洞。该过程突出显示了 647,679 台 OT 设备中的1,763台OT设备；也就是说，只有0.3%。

这些数字仍然令人望而生畏，但它们适用于351家组织。从不科学的角度看，我们可以得出每个组织可能拥有大约1,845台OT设备（总数除以组织数量）。同样不科学的是，如果我们将这一减少应用到总数的 0.3%，这种方法将突出显示单个组织中最需要特别关注的5或6台OT设备——而这项任务就没那么艰巨了。

如果将同样的方法应用于 IoMT 设备，VENN 方法会将需要额外关注的设备总数减少到 22,500 台，即总数的 1%，然后进一步减少到每个组织约 65 台。

这些远非准确的估计，尤其是每个组织的数字。KEV 漏洞不能保证包含所有已知的可利用漏洞；但它是最好的可用来源。这些并不是设备中唯一的漏洞，但与勒索软件使用相关的 KEV 隔离了最严重的威胁 - 然后进一步与不安全的连接相关联，表明最容易受到勒索软件攻击的设备。这是医疗保健领域一级分类的一种有趣方法。

然而，这只是 Claroty 推荐的五步流程中的一个步骤：范围界定（关键流程）、发现（识别设备）、优先排序（业务影响和可利用性）、验证（哪些暴露是真实的和可达到的）和动员（可操作的缓解和补救措施）。维恩分类是第 3 步。第 1 步和第 2 步是查找分类流程数据的地方，而第 4 步和第 5 步是处理结果的方法。

Claroty 表示： “我们编写这份报告的目的是揭示医疗保健领域中最具风险的漏洞，并提供一些背景信息来帮助识别最危险的资产，并展示不仅受到已知和被利用的漏洞影响的设备数量，而且最容易受到勒索软件和敲诈勒索攻击的设备数量，以及最容易不安全地连接到互联网的设备数量。” 

— 

原文始发于微信公众号（河南等级保护测评）：传统医疗设备仍是勒索软件的易攻击目标