看不見的“疫情”,超半數醫學行業設備“確診”

肺炎疫情掀起的全民遠程辦公運動產生的最大安全隱患之一就是RDP(Windows遠程桌面)相關漏洞,例如BlueKeep的威脅。

雪上加霜的是,2020年1月微軟停止了對Windows Server 2008和Windows 7的支持。大量依然運行上述操作系統,並通過互聯網使用RDP直接訪問的計算機給企業帶來了巨大風險。但上述產品用戶也不必太過驚慌,這些風險基本屬於“可防可控”,報告中給出了具體的漏洞環節措施。

但是,根據最新的安全報告,對於醫療等行業用戶來說,BlueKeep漏洞風險問題似乎顯得更加嚴重,因為醫療設備的操作系統和補丁更新尤為滯後。


醫學成像設備成重災區


近日,在CyberMDX的《2020安全展望》報告中,安全研究人員警告說,醫院中幾乎一半的連接醫療設備運行在過時的Windows版本上,這些版本仍然容易受到遠程桌面協議(RDP)漏洞的攻擊。

研究發現,典型的醫院Windows設備中有22%容易受到BlueKeep的攻擊。更糟糕的是,運行Windows且易受BlueKeep攻擊的已連接醫療設備的數量要高得多,大約為45%。易受攻擊的醫療設備包括MRI核磁共振、超聲波、X射線等,它們通常運行Windows操作系統。

對於醫院來說,監控漏洞、識別存在漏洞的設備、尋找合適的補丁並在龐大的園區網絡中分發安裝補丁是一項非常繁重的工作,報告指出:“此過程緩慢且效率低下,因為醫院通常不知道首先要處理哪些設備或安全問題。”

雖然微軟在2019年5月份就發佈了BlueKeep漏洞補丁(CVE-2019-0708)並敦促系統管理員儘快安裝補丁程序。但是一年後,研究人員發現,數量驚人的連接醫療設備仍然容易受到BlueKeep的攻擊,這引起安全業界的廣泛擔憂,尤其是2017年WannaCry勒索軟件爆發時,大量醫院遭受重創,而BlueKeep漏洞的廣泛存在,很可能成此類蠕蟲病毒爆發的溫床。

除BlueKeep之外,過時的Windows版本還將醫療設備暴露於一系列其他漏洞中。例如,高達11%的已連接醫療設備都暴露於DejaBlue——一系列RDP缺陷,可影響Windows 7、Windows 8.1和Windows 10(以及Windows Server 2008、Windows Server 2012、Windows Server 2016和Windows Server 2019)。


醫療安全問題日益惡化


那麼醫療機構為什麼不更新他們的醫療設備?這背後的原因有很多,首先,補丁管理對醫院來說是一個大麻煩。研究人員說,一個重大漏洞被披露四個月後,大多數醫院仍不會修補超過40%的易受攻擊設備。

看不見的“疫情”,超半數醫學行業設備“確診”

根據CyberMDX先前的研究,有80%的設備製造商和醫療機構報告說,醫療設備“非常難於保護”,原因是缺乏安全開發的知識和培訓,開發團隊則面臨按時交付產品的巨大壓力。該研究還指出,醫療設備缺乏質量保證和安全測試程序,導致產品上市時的漏洞越來越多。實際上,接受調查的組織中有近三分之一表示,他們從未審核過醫療設備的已知漏洞。

對於Digital Shadows的安全工程師Charles Ragland來說,這並不奇怪,他曾在急診室和救護車上擔任過10年的護理人員。在此期間,他親眼目睹了大量過時的醫療設備,包括依然運行Windows Server 2003的心臟導管實驗室系統。

由於連接大量設備的醫療網絡的複雜性,許多設備的漏洞都成了漏網之魚,包括BlueKeep這樣的危險漏洞。

對於醫療結構來說,最有效的風險緩解技術包括:


最有效風險緩解技術

關閉不必要的服務,實施(用於RDP的)網絡級身份驗證,阻止對敏感端口的訪問以及確保及時進行安全更新。

Vectra安全分析主管Chris Morales認為,醫療行業安全問題如此“髒亂差”的部分原因還在於製造商缺乏責任心,因為設備通常是由非技術背景的醫務人員購買,廠商往往不會“自尋煩惱”主動告知客戶IT或安全性問題。

另外,大多數醫療設備沒有更新,還因為它們是拯救生命的工具。雖然操作系統更新是件好事,但醫療設備功能的任何中斷都可能產生嚴重影響。不過現在,這不是不更新的藉口。製造商需要更新測試流程,以便能夠確定驗證和更新的時間表。

除了前文提到的BlueKeep等操作系統漏洞外,醫療設備的其他漏洞也是層出不窮。本月初,美敦力公司(Medtronic)發佈了更新程序,以解決去年和2018年最初披露的其聯網醫療設備系列中的已知漏洞。1月份,研究人員在一系列醫院GE醫療設備中發現了六個漏洞,這可能使攻擊者能夠關閉設備、收集個人健康信息(PHI)、更改警報設置並更改設備功能。在2019年,美國食品藥品管理局(FDA)發出了緊急警報,警告美敦力的MiniMed胰島素泵容易受到威脅生命的網絡攻擊。

看不見的“疫情”,超半數醫學行業設備“確診”

這些“紙面上”的安全問題已經導致大量真實攻擊。例如,在2019年,大量醫院報告了安全事件,例如因服務器配置錯誤UW Medicine洩露了973,024名患者的數據,網絡釣魚攻擊導致UConn Health和俄勒岡州人類服務部的數據洩露;,以及針對哥倫比亞外科專家醫院Spokane、Sarrell Dental牙科醫院和Pavia Hato Rey醫院的大規模勒索軟件攻擊。

SaltStack的首席技術官兼聯合創始人托馬斯·哈奇(Thomas Hatch)指出:醫療行業面臨的安全問題只是冰山一角,實際的漏洞比我們所看到的要嚴重得多。

物聯網設備因難以修補而‘臭名昭著’。圍繞它們構建的系統是為醫院醫務人員而非維護人員設計的。物聯網設備是為目標用例構建的,這使它們難以維護,因為單個科室可以使用許多截然不同的設備。整個醫院的情況甚至更糟。


分享到:


相關文章: