医疗设备是安全重灾区,搞不好身体会被黑客控制

简介:

编者按:植入身体内的医疗设备,有很多具有联接其他设备的功能。这些设备对病人的身体有着至关重要的影响。但是,它们真的安全吗?如果它们被黑客攻击了,我们该怎么办?

黑客侵入医疗设备造就了今天的骇人头条。Dick Cheney要求更换他的心脏起搏器,为的是更好地避免黑客侵入。Johnson&Johnson(强生)在去年秋天提醒他们的顾客,他们的胰岛素泵存在着一个安全隐患。St.Jude(圣裘德)已经在处理公司的除颤器、起搏器和其他电子医疗产品的漏洞上花了数月的时间。你可能会想,现在这些电子医疗设施的制造厂商已经开始学到了安全改革(的重要性)。但是,专家们警告说,他们并没有。

由于电子式植入医疗设备存在着潜在的安全隐患,黑客们正在不断增加对这些设备的攻击。为了保卫这些医疗器械(的安全性),需要在两个方面都采取紧急措施。我们需要保护病人,以使得黑客们不能入侵一个胰岛素泵来注射致死的剂量。这些脆弱的医疗设备还连接到大量的传感器和监视器,使其成为更大的医院网络的潜在切入点。这反过来可能意味着偷窃敏感的医疗记录,或一个毁灭性的勒索软件攻击,威胁着被攻击的人质,直到管理人员支付赎金。

威胁研究公司Trend Micro的首席网络安全官Ed Cabrera说:“整个勒索的世界都已经改变了。你确实可能陷入到这种生死状况——要命(交赎金)或死亡(不交赎金)。”

健康行业和互联网

对植入式医疗设备的攻击是如此的值得警惕,因为这些设备太隐私了。 你肯定不会想要你的身体或你的皮肤上的东西被一个犯罪分子遥控。 不幸的是,许多类型的这些设备易受攻击。 例如,在12月对新一代植入式心脏除颤器的调查中,英国和比利时的研究人员发现,目前市场上10个植入型心律除颤器的专有通信协议中存在安全缺陷。

具有无线连接、远程监控、近场通信技术这些功能的医疗设备,允许卫生专业人员调整和微改动,无需手术开创面调整。 这本是一件很好的事情, 但这些便利也创造了潜在的接触点。 这些设备上的专有代码,意味着对于制造商之外的其他任何人,需要精心地逆向编程软件(如研究人员所做的植入式心脏除颤器)才能评估设备的安全性,更不要说发现缺陷。

鉴于互联医疗设备的普及,这些设备暴露的机会增多了。 虽然植入式设备引起了最大的关注,但更广泛的医疗保健小工具,在医疗行业中造成了严重的曝光和潜在的危险。 根据物联网安全公司Zingbox最近的研究,美国医院目前平均每床连接10到15台具有这些功能的医疗设备。而一个大型医院系统,如迈阿密的杰克逊纪念医院,可以有超过5000张床。

“我们倾向于认为医疗保健行业是非常保守的,要想享受医疗保险是非常慢的,主要因为法规和责任问题。但是由于使用物联网设备的巨大好处,医院正在部署越来越多的这些设备。” Zingbox的首席技术官May Wang这样说道, “在过去三年中,医疗行业被黑客入侵的次数,甚至超过了金融业。 越来越多的黑客攻击开始针对医疗设备。”

这种情况产生的部分原因,是因为有这么多容易攻击的目标。 根据最新Trend Micro的调查,仅在美国就有超过36,000个医疗保健相关设备,很容易在Shodan上发现——这是一种用于搜索已连接设备的搜索引擎。 当然,并不是所有的这些目标都是易被攻破的,但由于这些设备的公开暴露,攻击者更有可能针对他们。 研究还表明,暴露的医疗保健设备系统中,很多的部分仍然使用过时的操作系统,这可能会使其易受攻击。 例如,在调查中,超过3%的已暴露设备仍然使用Windows XP,这是一个已停用的Microsoft操作系统,不会再接收安全更新。 “目前的挑战,是识别所有易受攻击的设备,并制定一个保护它们的计划。”Cabrera说。

一种名为MedJack的攻击方式

与台式电脑和服务器不同,物联网设备不能运行杀毒软件和其他的端点数据安全检查。它们的多样性、和一开始就对其安全性的漠视,往往使他们无法妥协。 在一个目前使用的、被称为MedJack的攻击方法中,攻击者将恶意软件注入医疗设备,然后通过网络扩散。 在这些类型的攻击中发现的医疗数据可用于税务欺诈或身份盗窃,甚至可用于跟踪药物处方,使黑客能够在线订购药物,然后在暗网(Dark Web)上销售。

这些攻击也在不断发展。 例如,根据网络透明和安全公司TrapX的调查,MedJack在最近几个月采用了新的、更复杂的方法。 该公司使用仿真技术在医院网络上植入假的医疗设备,冒充如CT扫描仪类的设备。 作为黑客探测和选择的目标,TrapX观察到MedJack攻击者故意使用旧的恶意软件来瞄准过时的操作系统,如正在运行Windows XP和Windows Server 2003的医疗设备。通过攻击传统技术,黑客可以避免被检测出来。因为在网络中,运行这些操作系统的其他部分不会标记出来这些活动。 而较新的服务已经修补旧的恶意软件,并自动将其分类为次要威胁。

TrapX营销副总裁Anthony James说:“每次我们进入医疗机构展示我们的产品时,我们不幸地发现他们也是MedJack攻击的受害者。” “大多数的机构没有意识到这个问题,因为没有人监测他们的医疗保健设备是否存在攻击者。 没有人在考虑CT扫描仪或MRI机器(是假的),也没人注意到启动板上受到的更广泛攻击。”

一旦黑客有了立足之地,他们可以利用他们的位置,对于多种不同类型的网络展开攻击。越来越受欢迎的选择是对大型医院进行勒索软件攻击,让黑客可以一次性获得快速和慷慨的支付。像去年夏天得克萨斯州彩虹儿童诊所受到攻击的一样,许多这样的攻击,采取加密数字记录、并将其作为绑架筹码的传统途径。但是,新一代的勒索软件攻击采取了不同的方法,破坏对数字系统的访问入口,然后要求赎金,以便他们可以正常运行。在去年的臭名昭着的好莱坞长老会医疗中心勒索软件攻击中,医院的计算机离线了一个星期。同一时间对德国医院的勒索软件攻击,禁用了医院内部的电子邮件,让医院员工只能被迫使用纸和传真机。保持医院数据或系统赎金的有效性在于重新获得控制的紧迫性。医院面临失去不仅是金钱,更是关键的资源,以保持患者能够活着。

提高安全性的方案

与其他物联网设备一样,有两个必要的组件来提高安全性。 首先,诸如监视表和监视器这种的医疗设备,已经上市多年的这些设备需要防御,如安全扫描、以及用于下载补丁和更新的简单机制。 然而,展望未来,还需要鼓励未来的几代设备从一开始就提供更强大的安全保护。 太多的制造商在早期规划阶段忽略安全性,或者仅仅依赖可能本身就易受攻击的第三方组件。

幸运的是,现在已经有了一些进展。 食品和药物管理局(FDA)在大约2013年就开始更严格地评估设备网络安全性,以此作为产品批准的标准,并且这个标准在不断地更新。 FDA的标准主要基于国家标准与技术研究所(NIST)于2014年对关键基础设施网络安全框架的指导。 NIST目前正在修订版本,并发布了一个单独的标志性文件,详细介绍了开发安全、可靠数字系统的基本方法。 这不是可强制执行的,但它是一个开始。

NIST的作者之一Ron Ross说:“如果人们选择采用这一指导文件,就可以对所有系统的可靠性产生巨大影响,从智能手机,到医疗设备,到工业控制系统,甚至是发电厂。它绝对可以帮助确保医疗设备更可靠,因为文档中的指导,可以帮助消除可能被意外、或有目的地被利用的漏洞。”

这仅仅是一个美好的愿景

无党派关键基础设施技术研究所的高级研究员,James Scott说:“FDA向医疗器械技术社区提供的建议基本上只不过是一个小提醒。 事实上,这个行业需要做出些真正的努力。”

FDA确实有一些可行的权威理念。FDA的“设备和放射健康中心”的科学和战略合作伙伴主任Suzanne Schwartz说,如果医疗设备不符合该机构的网络安全标准,该机构已经推迟甚至阻止了它们上市。她补充说,FDA已经看到了基础网络安全保护的改进,这些改进正在应用于审查新产品。但由于设备可能需要多年的开发,而FDA在只有过去几年里才开始专注于网络安全问题,该机构知道可能需要一些时间才能看到结果。

“安全不是一个可选项,”Schwartz说, “制造商应当选择一个替代方法(注重安全性),而他们有能力这样做。但‘保证安全’这一想法对他们来说只是一个可选的考虑。这样是不对的。”

即使已经实施了这些措施,但确保现有设备的安全并保护新设备是一个渐进的过程。 同时,医疗保健行业作为一个整体还暴露在威胁之下,连累着无辜的患者。

本文转自d1net(转载)

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
目录
相关文章
|
Web App开发 安全 iOS开发
Web安全新变化 智能手机是下一个进攻点
Web安全、数据安全和邮件安全解决方案提供商Websense发布了2010年安全趋势预测。经过潜心分析研究,Websense Security Labs研究人员发现未来一年Web威胁的变化趋势是以全面混合的安全威胁为主体,同时包含多种攻击手段,其目标是侵害无辜的计算机并将其变成僵尸网络的一部分,同时窃取有价值的关键信息。
1226 0
|
安全 网络安全
梭子鱼智能安全透视平台揭穿精密伪装威胁
中国,北京(2018年3月1日)—  领先的云融合安全和数据保护解决方案供应商梭子鱼网络于美国加州时间2018年2月15日宣布梭子鱼智能安全透视平台正式上线。这一全新的咨询平台提供详细的实时威胁情报和安全风险信息,可帮助用户和专业IT人士及时了解当前的全球威胁态势。
1637 0
|
安全 数据安全/隐私保护 网络协议
|
安全
检测内部威胁比想象中简单
本文讲的是检测内部威胁比想象中简单,内部威胁指的是公司内部员工,但入侵者却不再仅仅局限于身处公司大楼内部的人。甚至本地咖啡馆这种公共场所,都能连上公司网络。
1313 0

热门文章

最新文章