2015年安腾(Anthem)和Premera这两家医疗保险公司,泄露了多达数百万份的医疗记录,这次泄露事件也使得公众开始意识到安全在医疗机构中的重要性。2016年相较于2015年,则针对医疗机构的大规模数据泄露事件明显少了不少。但令人遗憾的是,这并不说明医疗机构的安全问题已经得到了解决。事实上,在去年各行各业都遭受了不同程度的勒索软件攻击,而医疗机构则成了这种威胁的重灾区。这与近年来连接互联网的医疗设备和健身跟踪器的不断激增有关,同时也表明了医疗保健的未来将会面对更多的挑战。
勒索软件只是冰山一角
近年来勒索软件的攻击可以说是愈演愈烈,而勒索的赎金也水涨船高。因此,勒索软件的成功勒索往往意味着被勒索的企业或个人,需要支付高额的赎金甚至面临被‘撕票’的巨大风险。那么我们就真的拿勒索软件没办法了吗?事实上,勒索软件是一种可以通过针对端点和网络的最低安全实践来减轻的威胁。在发现第一个勒索软件的变体之后,安全专家往往不会将其视为严重的威胁,因为此时的勒索攻击可以很容易的被阻止,即便恶意文件被执行了也不会有太大的问题:受害者只需将提前备份的数据恢复,就可以轻松的摆脱赎金勒索。
但事实上,许多个人或企业可能并没有按规则去很好的执行那些安全防护措施。例如:一些企业可能并没有按计划,进行定期的数据备份。用于检测恶意邮件,文件,链接或流量的安全产品,可能配置不当或缺与完善。备份策略可能未正确实施,导致备份文件也受到勒索软件的攻击等。对于用户而言可能会因为某些安全措施过于繁琐,而直接禁用这些安全产品。
无论是什么原因,最终造成的结果将是,受影响的企业可能需要支付高额的赎金来交换他们的数据。而对于医疗保健行业来说,数据往往关乎着人们的生死攸关问题,因此勒索软件也更青睐于这些数据,并以此来敲诈更为高昂的赎金。
风险评估和补救的重要性
在此前的有篇文章中,我们已经就风险评估在医疗保健中的重要性进行了相关的讨论和说明。通过定期分类资产和传输方式,可以帮助你确定可能的漏洞和风险。当你考虑到这些风险的可能性和潜在成本时,你可以提前做好你的防护预案,来最大程度的帮助你减少或避免损失。
针对勒索攻击,我们可以参照以下对信息资产进行风险评估:
- 什么资产有被勒索软件加密的风险?
- 勒索软件是通过什么传输方式进入你的网络的?
- 该威胁是通过什么方法来接收命令,并加密你的文件的?
- 受到这种威胁的可能性有多大?
- 成功攻击将会造成多大的潜在货币损失?
不幸的是几乎所有可被在互联网访问的数据或或系统,都属于可能被加密的风险资产。勒索软件的攻击,往往会通过分发包含恶意文件或链接的网络钓鱼邮件来实施。攻击者一般还会结合社会工程学的手段,来欺骗目标点击或下载邮件中的链接或恶意文件。因此在这种情况下,电子邮件将会是主要的传输方式,而社会工程学将是决定成败的关键因素。恶意软件通常需要向外发出请求指令,并通过特定的控制通道来接收指令,许多勒索软件的变体都会通过诸如HTTP或HTTPS的通用协议,来进行命令的传输和接收。而具体的货币损失也因组织而异,但对于所有行业和企业规模来说,都有被攻击的可能性。
你可以通过采取以下措施,来尽可能的降低风险和减少损失。例如:
- 定期执行备份和验证,以在受影响时进行数据的及时恢复。
- 网络隔离,以限制恶意软件在你系统上的活动。
- 过滤垃圾和网络钓鱼电子邮件,降低恶意软件到达用户的风险。
- 提高自身安全意识,降低恶意软件被执行的可能性。
- 鼓励用户主动将可疑电子邮件或文件提交给IT或安全人员,以提高邮件过滤的有效性。
- 在网关,网络和端点等关键部位部署使用防病毒软件,可以及时的帮助我们发现和阻止恶意软件进入你的网络。做好初始的防御计划,可以让我们减少损失。
- 防火墙和入侵防御软件可以帮助我们,识别未知或不需要的网络流量。此外,还可以帮助我们减少各种其他类型的攻击行为。全面的风险评估和提高组织的整体安全状况,可以大大降低所有类型安全漏洞的频率和严重程度。
医疗健身器材
随着物联网的不断深入和普及,医疗和健身设备也紧跟步伐,越来越多的医疗和健身设备也都连接到了网络。而大部分这些设备都存放着用户较为敏感的隐私数据,但其安全性却往往被人们所忽视。正如我们所看到的,没有坚实安全基础的保护将会导致严重的后果。
医院网络中的医疗设备
我们都只知道医院所使用的医疗设备,通常都非常的庞大且价格昂贵。这些设备都喜欢运行在(例如Windows XP Embedded)的操作系统上,且都是些早已过时的操作系统。这些设备通常都可以非常方便地访问医院网络的其他分支,其中保留了许多不同类型的敏感信息,例如用于计费的财务信息,用于保险的身份信息,以及由病人访问产生的健康相关信息等。
这些数据对于攻击者而言,是一笔利润丰厚的买卖 – 这些医疗数据在黑市上通常可以以,高于信用卡或借记卡十倍的价格出售。医院的医疗设备往往会使用与台式机类似的操作系统,因此你可以使用台式机相同的技术手段,来保护这些系统。而对于那些使用严重过时操作系统的设备,则应该给予更多的额外保护。最好的做法就是将所有设备与网络隔离,但仍需要注意防范移动介质传播的风险。
家中的医疗设备和跟踪器
家庭使用的医疗设备和健身跟踪器相比医院的设备则小了不少,这样做是为了方便更好地佩戴或植入。它们大多使用的是,基于Linux的操作系统。这些设备通常会与互联网进行连接,或是与移动设备或计算机进行实时的数据同步。
这些设备虽然不会收集和存储用户的支付卡信息,但是这些设备上存储的一些其他信息,可能会帮助攻击者来窃取或修改受害者的支付卡信息。例如email地址,用户名和密码,GPS数据,以及家庭或工作地址等。此外这些设备一般都会记录用户的重要健康数据,一旦被攻击者恶意的利用及修改,则可能造成严重(甚至致命)的医疗问题。
对于个人的医疗设备而言,我们要做的是保证设备不被利用来伤害用户或泄露他们的隐私数据。而对于类似于胰岛素泵或心脏起搏器,这类直接关乎到人们生命安全的重要医疗器材,作为制造商应当在设计阶段就进行严格的安全把关。
医疗器械的保护
以下是针对医疗设备制造商提出的安全建议:
- 隐私设计 - 了解隐私设计的七大原则。
- 数据加密 - 对通过电子邮件,网络或IM发送的数据或与同步计算机时,应当对这些数据进行强力的加密保护。
- 增加数据存储选项 - 让用户能够本地存储跟踪信息,而不仅仅在云端。
- 验证访问账户 - 在允许数据进行共享,修改或植入之前,进行严格的身份验证,并尽可能的为用户提供多因素身份验证。
- 设置故障安全状态 - 发生错误和故障,设备必须默认将对关键功能的访问设置为维护状态,以保证在发生问题时不会危及用户。
- 保证代码安全性 - 避免合法代码被未经身份验证的恶意代码所利用。
- 为漏洞做准备- 建立并公开发布负责任的漏洞报告披露政策。
- 为数据泄露做准备 - 创建事件响应计划,以便在数据泄露的情况下,可以做出快速的反应。
- 为政府审查做准备 - 美国食品和药物管理局(FDA)和联邦贸易委员会(FTC),正在密切关注医疗器械领域。因此做好以上的事情可以帮助制造商们,避免一些法律问题和巨额的罚单。在可预见的未来,医疗保健行业的安全性可能会成为大众关注的焦点。尽管目前仍存在着诸多的问题,但我相信在不久的将来,医疗保健行业势必会成为其他行业的典范,并融入进我们生活的方方面面。
*参考来源:welivesecurity,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM)0day
文章评论