一位病人正躺在醫(yī)院的病床上等待醫(yī)務(wù)人員幫他進(jìn)行血氣分析,但他并不知道的是,他的個人信息此時此刻可能比他的身體還要危險。
前言
安全公司TrapX對三家不愿意透露名稱的醫(yī)院進(jìn)行了安全檢查,根據(jù)調(diào)查人員的發(fā)現(xiàn),醫(yī)院用于存儲病人信息的數(shù)據(jù)庫沒有使用任何的加密保護(hù)措施,數(shù)據(jù)庫使用的仍是默認(rèn)密碼,而且醫(yī)院系統(tǒng)中的漏洞其利用難度也非常低。在對檢查結(jié)果進(jìn)行了深入分析之后,該公司的安全專家發(fā)表了一篇標(biāo)題為《醫(yī)療設(shè)備攻擊剖析》的報告。
TrapX的聯(lián)合創(chuàng)始人兼副總裁Moshe Ben-Simon表示:
“TrapX網(wǎng)絡(luò)安全實驗室的技術(shù)人員可以遠(yuǎn)程利用血氣分析儀中的安全漏洞來篡改儀器數(shù)據(jù)。血氣分析儀一般會在重癥監(jiān)護(hù)室中使用,而這些病人的情況通常都非常糟糕,因此任何對該設(shè)備的干擾都會給病患帶來不可估量的后果。但是,我們目前還沒有發(fā)現(xiàn)有任何攻擊者通過網(wǎng)絡(luò)攻擊活動給病人帶來了身體上的損傷?!贬t(yī)療設(shè)備的安全不容樂觀
自2016年初以來,已經(jīng)有多家醫(yī)院和醫(yī)療機構(gòu)成為了勒索軟件的受害者,包括MedStar Health、堪薩斯心臟病醫(yī)院和好萊塢長老會醫(yī)院在內(nèi)。值得一提的是,個人身份識別信息(PII)和醫(yī)療記錄的價值要比信用卡數(shù)據(jù)高出10至20倍之多。戴爾旗下的網(wǎng)絡(luò)安全公司SecureWorks發(fā)現(xiàn),網(wǎng)絡(luò)犯罪分子出售一份健康保險憑據(jù)可以賺20至40美元,而一份美國信用卡數(shù)據(jù)只能賣1到2美元。Ben-Simon表示:“目前黑市上到處都有PII在售,犯罪分子可以利用這些記錄來偽造身份信息,然后申請新的信用卡或偽造納稅申報信息。除此之外,攻擊者還可以利用這些信息訪問目標(biāo)用戶的銀行賬戶以及信用卡賬戶,所以醫(yī)療記錄絕對是網(wǎng)絡(luò)攻擊者的首要目標(biāo)?!?/p>
研究報告中寫到:“醫(yī)療設(shè)備已經(jīng)成為了攻擊者入侵醫(yī)療網(wǎng)絡(luò)的關(guān)鍵切入點。它們都是醫(yī)療企業(yè)最明顯的薄弱點,而即便是我們識別出了攻擊者的入侵方式,我們也很難去修復(fù)這些漏洞,所以網(wǎng)絡(luò)攻擊將會對醫(yī)院手術(shù)和病人信息帶來非常大的威脅。”
Ben-Simon表示,TrapX目前正在調(diào)查一種名為MEDJACK的攻擊,這種攻擊已經(jīng)影響了至少十家醫(yī)院,TrapX也將在RSA大會上公布有關(guān)MEDJACK攻擊的調(diào)查結(jié)果。根據(jù)TrapX的研究報告顯示,從2015年到2016年,超過500名病人數(shù)據(jù)發(fā)生泄漏的攻擊次數(shù)增長了近五十個百分點。Ben-Simon說到:“網(wǎng)絡(luò)攻擊給不同的醫(yī)院所帶來的影響是不一樣的,但無一例外的是,網(wǎng)絡(luò)攻擊者的目標(biāo)都是病人的醫(yī)療記錄以及個人身份信息,因為他們可以轉(zhuǎn)售這些信息并得到經(jīng)濟(jì)回報?!?/p>
院方解釋稱,醫(yī)院部署了一套強大的企業(yè)級網(wǎng)絡(luò)防御產(chǎn)品,其中包括防火墻、啟發(fā)式入侵檢測系統(tǒng)、終端安全保護(hù)工具和反病毒產(chǎn)品,而且醫(yī)院的IT人員里也有多名經(jīng)驗豐富的網(wǎng)絡(luò)安全技術(shù)專家。但是TrapX的取證分析數(shù)據(jù)顯示,攻擊者不僅能夠入侵醫(yī)院的網(wǎng)絡(luò)系統(tǒng),而且還能夠自由地在醫(yī)院系統(tǒng)中尋找并感染單獨的目標(biāo),更重要的是攻擊者還能夠在醫(yī)院網(wǎng)絡(luò)系統(tǒng)中添加后門。
各種設(shè)備都有可能成為攻擊者的切入點
在第二家醫(yī)療結(jié)構(gòu)中,TrapX發(fā)現(xiàn)了另一種存在安全漏洞的設(shè)備,即影像歸檔和通信系統(tǒng)(PACS)。它是應(yīng)用在醫(yī)院影像科室的系統(tǒng),主要的任務(wù)就是把日常產(chǎn)生的各種醫(yī)學(xué)影像(包括核磁,CT,超聲,各種X光機,各種紅外儀、顯微儀等設(shè)備產(chǎn)生的圖像)通過各種接口以數(shù)字化的方式海量保存起來,當(dāng)需要的時候在一定的授權(quán)下能夠很快的調(diào)回使用,同時增加一些輔助診斷管理功能,它在各種影像設(shè)備間傳輸數(shù)據(jù)和組織存儲數(shù)據(jù)具有重要作用。
TrapX經(jīng)過研究發(fā)現(xiàn),該醫(yī)院的惡意軟件感染起源于其中一個護(hù)士工作站。該醫(yī)院被入侵之后,其敏感數(shù)據(jù)被提取到了一臺位于貴陽市的服務(wù)器中。據(jù)了解,醫(yī)院內(nèi)的一名終端用戶在瀏覽網(wǎng)頁時遇到了惡意網(wǎng)站,而該釣魚網(wǎng)站又將用戶重定向到了一個加載了惡意payload的網(wǎng)站,當(dāng)用戶訪問了這個網(wǎng)站之后,網(wǎng)頁中的惡意代碼就能夠入侵用戶設(shè)備了。此時,攻擊者不僅可以在目標(biāo)設(shè)備上運行遠(yuǎn)程命令并安裝惡意軟件,而且也可以在該設(shè)備所處的網(wǎng)絡(luò)環(huán)境中安插惡意后門。
Ben-Simon表示,PACS系統(tǒng)中的記錄是病人最為完整和詳細(xì)的數(shù)據(jù),因此它們也是最有價值的。每當(dāng)醫(yī)院網(wǎng)絡(luò)中的一個系統(tǒng)被成功入侵,那么數(shù)據(jù)泄漏的可能性就越高,而這也會讓該網(wǎng)絡(luò)中其他的系統(tǒng)處于危險之中。除此之外,攻擊者還可以徹底清除醫(yī)院系統(tǒng)中的所有數(shù)據(jù),即使醫(yī)院對這些數(shù)據(jù)都進(jìn)行了備份,但要將每一位病人的數(shù)據(jù)正確地恢復(fù)到一個新的醫(yī)療保健系統(tǒng)中的話,醫(yī)院要付出的代價也是非常高的。
TrapX還發(fā)現(xiàn),攻擊者在第二家醫(yī)院其中的一臺X光掃描系統(tǒng)中安裝了惡意后門。各位需要知道的是,X光的掃描結(jié)果出現(xiàn)錯誤的話,病人很可能會因此而缺少了所需的治療,或進(jìn)行了某些不必要的治療。TrapX的研究人員發(fā)現(xiàn),這三家醫(yī)院的醫(yī)療設(shè)備主要受到了兩種復(fù)雜攻擊技術(shù)的影響,即Shellcode和Pass-the-Hash,而這兩種技術(shù)都是專門用來攻擊老版本操作系統(tǒng)的。
醫(yī)院通常都會安裝防火墻,因為我們都認(rèn)為防火墻可以保護(hù)這些設(shè)備的安全,而且內(nèi)部網(wǎng)絡(luò)中也會部署反病毒軟件和反入侵工具等等。但是這些可以保護(hù)網(wǎng)絡(luò)安全的防御技術(shù)無法直接應(yīng)用到醫(yī)療設(shè)備之上(只能作用于服務(wù)器和計算機),這也是MEDJACK攻擊能夠如此高效的原因。當(dāng)攻擊者成功繞過了現(xiàn)有的安全防護(hù)之后,他們就可以感染任意的醫(yī)療設(shè)備并在受保護(hù)的網(wǎng)絡(luò)系統(tǒng)中建立后門。
MEDJACK攻擊
TrapX的執(zhí)行副總裁CarlWright表示:
“MEDJACK攻擊正在席卷全球范圍內(nèi)的醫(yī)療機構(gòu),但醫(yī)院的信息技術(shù)團(tuán)隊卻只能仰仗著制造商來保護(hù)醫(yī)療設(shè)備的安全性,而目前醫(yī)療設(shè)備也沒有可用的安全軟件來檢測和防御MEDJACK攻擊。因此,醫(yī)院所部屬的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全環(huán)境是無法訪問醫(yī)療設(shè)備的內(nèi)部軟件操作的?!盩rapX的研究人員表示,攻擊者在入侵醫(yī)療設(shè)備時主要使用的是shellcode,受影響的系統(tǒng)包括但不限于腫瘤放射治療系統(tǒng)、透視影像系統(tǒng)和X光透視機。在攻擊過程中,惡意軟件需要滲透進(jìn)目標(biāo)網(wǎng)絡(luò),然后再利用目標(biāo)設(shè)備中的軟件漏洞來向醫(yī)療設(shè)備中注入惡意代碼。除此之外,攻擊過程中還需要加載一個文件,并由這個文件來設(shè)置和執(zhí)行控制命令和相關(guān)功能函數(shù)。
這種攻擊技術(shù)的獨特之處在于攻擊者所用的惡意工具注入在MS08-067蠕蟲(已過時)之中,因此惡意軟件就可以在蠕蟲外殼的保護(hù)之下隨意游走于醫(yī)院網(wǎng)絡(luò)系統(tǒng)之中而不被發(fā)現(xiàn)。在對攻擊模式進(jìn)行了深入分析之后,安全人員發(fā)現(xiàn)MEDJACK攻擊主要針對的是包含更多漏洞的WindowsXP或沒有部署防護(hù)工具的Windows7操作系統(tǒng)。通過將惡意工具嵌入在蠕蟲病毒代碼之中,攻擊者就能夠繞過醫(yī)院安全防護(hù)系統(tǒng)的檢測。
盡管很多醫(yī)療機構(gòu)目前已經(jīng)在院內(nèi)的計算機和設(shè)備中安裝了最新版本的操作系統(tǒng),但是并沒有人來對這些操作系統(tǒng)進(jìn)行定期更新和維護(hù),而且大多數(shù)使用的都是默認(rèn)的管理員賬戶以及密碼,所以醫(yī)療設(shè)備和病人信息的安全性仍然是一個未知數(shù)。
結(jié)束語
根據(jù)TrapX的安全研究專家所提供的建議,醫(yī)院的負(fù)責(zé)人應(yīng)該重新審查他們與醫(yī)療設(shè)備供應(yīng)商的合同,并更新其中與設(shè)備安全性相關(guān)的部分條款,因為在合同中必須寫有關(guān)于這些醫(yī)療設(shè)備的安全檢測和漏洞修復(fù)相關(guān)的內(nèi)容。除此之外,供應(yīng)商再將醫(yī)療設(shè)備出售給醫(yī)院時,也應(yīng)該附帶一份技術(shù)文檔,文檔中不僅要詳細(xì)寫明技術(shù)人員應(yīng)該通過何種方法去檢測醫(yī)療設(shè)備是否受到了惡意軟件的感染,而且也要說明如何去清除這些感染。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 從量子威脅到人工智能防御:2025年網(wǎng)絡(luò)安全將如何發(fā)展
- 后人工智能時代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動
- 2025年展望:人工智能推動IT整合
- 量子計算:商業(yè)世界的新前沿與設(shè)計思維的融合
- IDC:三季度全球以太網(wǎng)交換機收入同比下降7.9%、環(huán)比增長6.6%
- Fortinet李宏凱:2025年在中國大陸啟動SASE PoP節(jié)點部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級,合合信息旗下啟信慧眼以科技破局難點
- Apache Struts重大漏洞被黑客利用,遠(yuǎn)程代碼執(zhí)行風(fēng)險加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險投資超過26億美元
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。