【獨家焦點】面對性命攸關的時刻，如何實現可靠的醫療物聯網安全

2023-01-20 07:01:52來源：中關村在線

聯網醫療設備正在通過更快、更準確的診斷幫助增強患者體驗、降低運營成本、通過自動化提高效率以及改善患者的整體治療效果，從而徹底改變醫療行業。聯網臨床和操作物聯網設備被用于從患者監視到辦公系統的各個方面，但這也導致了攻擊面的擴大，是攻擊者滲透醫院網絡的最薄弱環節。

過去12年里（2010~2022年），相較于其他行業，醫療行業一直是平均違規成本最高的行業之一。聯網醫療設備是一個有利可圖的目標，因為攻擊者可以將醫院作為勒索軟件的人質，或者在設備托管患者的敏感個人健康信息（PHI）時竊取有價值的數據。

(相關資料圖)

Palo Alto Networks（派拓網絡）的Unit 42威脅研究發現，醫療設備是醫院網絡中最薄弱的環節，因為它們存在嚴重漏洞：

參與研究的輸液泵中，有75%的輸液泵存在至少一個漏洞或發出至少一個安全警報。X光機、MRI和CT掃描儀等成像設備尤其容易受到攻擊，51%的X光機暴露于非常嚴重的常見漏洞（CVE-2019-11687）。20%的常見成像設備運行的是不受支持的Windows版本。44%的CT掃描儀和31%的MRI機器暴露于非常嚴重的CVE。

設備及其漏洞的數量只是冰山一角。從最近對CommonSpirit、美國列克星敦的CHI圣約瑟夫醫院、法國巴黎的CHSF醫院和印度德里的AIMS醫院的網絡攻擊中可以看出，確保聯網醫療設備的安全不僅僅是一項挑戰。2022年10月，CISA向醫療保健提供商發布了一份咨詢意見，警告稱有一個勒索軟件和數據勒索團伙以醫療保健和公共衛生部門為目標。這個團伙特別關注訪問網絡中的數據庫、成像和診斷系統。

這些現代醫療設備很難被保護，原因包括：

缺乏對非托管聯網醫療設備的可視性，對了解真實的攻擊面產生了不良影響。由于缺乏設備情境，導致未發現的漏洞讓醫院暴露于未知威脅。使用具有扁平網絡的傳統安全架構和易出錯的手動方法創建安全策略，可能導致無法遵守HIPPA等監管要求。管理多點安全產品十分復雜，會產生安全缺口。

醫療保健企業需要一個全面的零信任網絡安全解決方案來支持他們的數字化轉型之旅，從而在確保患者數據隱私和監管合規性的同時帶來更好的患者治療效果。零信任是一種網絡安全策略，可通過不斷驗證數字交互的每個階段來消除隱性信任。零信任堅持“從不信任，始終驗證”的原則，旨在保護現代數字醫療環境。這個原則應用最低訪問權限控制和策略以及持續的信任驗證和設備行為監控來阻止零日攻擊。

醫療物聯網安全采用零信任應對醫療行業的網絡威脅

Palo Alto Networks（派拓網絡）采用久經考驗的物聯網安全技術，并基于零信任安全方法，推出了醫療物聯網安全解決方案，使用機器學習（ML）為醫療保健提供商提供專門為醫療設備設計的物聯網安全產品。該解決方案有助于快速發現和評估每臺設備，輕松分段和實施最低權限訪問，并通過簡化操作防范已知和未知的威脅。此外，新產品還支持醫療保健提供商提高安全性并減少漏洞：

驗證網絡分段：顯示聯網設備的整個地圖，并確保每個設備都位于其指定的網絡分段中。適當的網絡分段可以確保設備只與授權系統通信。根據規則自動化安全響應：創建監視設備行為異常的策略規則，并自動觸發適當的響應。例如，如果一個通常只在夜間發送少量數據的醫療設備突然開始使用大量帶寬，預定義的規則可以自動斷開設備的網絡連接，并通知安全團隊。自動化零信任最佳實踐策略和執行：一鍵式根據受支持的實施技術為設備實施建議的最小權限訪問策略。這消除了容易出錯且耗時的手動策略創建，并可輕松擴展到具有相同配置文件的一組設備。了解設備漏洞和風險狀況：立即了解每臺設備的風險狀況，包括生命周期結束狀態、召回通知、默認密碼警報和未經授權的外部網站通信。訪問每個醫療設備的軟件材料清單（SBOM）并將它們映射到常見漏洞暴露（CVE）。此映射有助于識別醫療設備上使用的軟件庫和任何相關漏洞。改善合規性：輕松了解醫療設備漏洞、補丁狀態和安全設置，然后獲取相關建議，使設備符合《健康保險便攜性與責任法案》（HIPAA）、《通用數據保護條例》（GDPR）和類似法律法規等規則和準則。簡化運營：兩個不同的儀表板允許IT和生物醫學工程團隊各自查看對其角色至關重要的信息。與現有醫療保健信息管理系統（如AIMS和Epic系統）集成有助于自動化工作流程。滿足數據駐留要求：醫療物聯網安全使Palo Alto Networks（派拓網絡）在美國、德國、新加坡、日本和澳大利亞的客戶更容易采用本地云托管的物聯網安全。區域醫療物聯網安全服務可用性可確保滿足本地數據駐留和本地化需求，例如GDPR。

醫療物聯網安全提供的可操作指南

隨著醫療保健行業通過轉型為患者提供更好的服務，聯網醫療設備將繼續增加。基于強大的零信任框架的醫療物聯網安全，通過提供可操作的指南來保護其整個生命周期，使行業能夠安全地使用聯網臨床設備。醫療物聯網安全提供的可視性和操作，使醫療保健系統能夠實現對所有聯網醫療設備和應用程序的零信任。

標簽：企業安全