Freeman Health System 在其位于密蘇里州���、俄克拉荷馬州和堪薩斯州的 30 個(gè)設(shè)施中擁有約 8,000 臺(tái)聯(lián)網(wǎng)醫(yī)療設(shè)備。其中許多設(shè)備隨時(shí)都有可能致命����。“這是每個(gè)人都害怕的世界末日情景�,”這家連鎖醫(yī)院的首席信息官兼首席信息安全官斯基普·羅林斯 (Skip Rollins) 說����。
羅林斯希望能夠掃描設(shè)備以查找漏洞并在其上安裝安全軟件以確保它們不會(huì)被黑客入侵��。但他不能。
“這個(gè)領(lǐng)域的供應(yīng)商非常不合作�,”他說�?����!八麄兌加袑S械牟僮飨到y(tǒng)和專有工具。我們無法掃描這些設(shè)備�。我們不能在這些設(shè)備上安裝安全軟件���。我們看不到他們?cè)谧鍪裁?���。供?yīng)商故意以這種方式提供它們����。 "
他說�,供應(yīng)商聲稱他們的系統(tǒng)是不可破解的?!拔覀冋f�����,'讓我們把它寫進(jìn)合同里。' 他們不會(huì)���。”
這可能是因?yàn)檫@些設(shè)備可能充滿漏洞���。根據(jù)醫(yī)療網(wǎng)絡(luò)安全公司 Cynerio今年早些時(shí)候發(fā)布的一份報(bào)告��,53% 的醫(yī)療設(shè)備至少存在一個(gè)嚴(yán)重漏洞���。例如��,設(shè)備通常帶有默認(rèn)密碼和設(shè)置,攻擊者可以很容易地在網(wǎng)上找到�����,或者運(yùn)行舊的、不受支持的 Windows 版本�����。
攻擊者沒有睡覺��。根據(jù)去年秋天發(fā)布的 Ponemon 研究,對(duì)物聯(lián)網(wǎng)或醫(yī)療設(shè)備的攻擊占所有醫(yī)療保健漏洞的 21%���,與網(wǎng)絡(luò)釣魚攻擊的百分比相同�。
與其他醫(yī)療保健提供商一樣�,F(xiàn)reeman Health Systems 正試圖讓設(shè)備供應(yīng)商更加重視安全性�,但到目前為止,它還沒有成功����?���!拔覀兊墓?yīng)商不會(huì)與我們合作解決問題,”羅林斯說���?���!斑@是他們專有的商業(yè)模式�����?����!?/p>
因此�����,有些設(shè)備位于公眾可訪問的區(qū)域,其中一些具有可訪問的 USB 端口,連接到網(wǎng)絡(luò)�����,并且無法直接解決安全問題����。
由于預(yù)算緊張��,即使有更新��、更安全的替代品����,醫(yī)院也不能威脅供應(yīng)商他們將淘汰舊設(shè)備并用新設(shè)備替換它們。因此��,F(xiàn)reeman Health 使用基于網(wǎng)絡(luò)的緩解策略和其他變通方法來幫助降低風(fēng)險(xiǎn)。
“我們監(jiān)控進(jìn)出的流量����,”Rollins 使用 Ordr 的流量監(jiān)控工具說�����。防火墻可以阻止與可疑位置的通信��,并且橫向移動(dòng)到其他醫(yī)院系統(tǒng)受到網(wǎng)絡(luò)分段的限制。
“但這并不意味著該設(shè)備在照顧病人時(shí)不會(huì)受到損害�,”他說。
更復(fù)雜的是�,阻止這些設(shè)備與其他國(guó)家通信�,可以阻止安裝關(guān)鍵更新�����。
“設(shè)備進(jìn)入中國(guó)���、韓國(guó)甚至俄羅斯并不罕見��,因?yàn)榻M件是在世界所有這些地區(qū)制造的�����,”他說���。
羅林斯說�,他不知道在現(xiàn)實(shí)生活中通過入侵醫(yī)療設(shè)備來傷害人們的行為���。“至少在今天�,大多數(shù)黑客都在尋找發(fā)薪日���,而不是為了傷害他人���,”他說。但是���,類似于SolarWinds 網(wǎng)絡(luò)攻擊 的針對(duì)醫(yī)療設(shè)備的民族國(guó)家攻擊,有可能造成無法估量的破壞��。
“大多數(shù)醫(yī)療設(shè)備都連接回中心設(shè)備�,采用中心輻射型網(wǎng)絡(luò)���,”他說?����!叭绻麄兤茐牧诉@些網(wǎng)絡(luò),就會(huì)破壞我們用來照顧病人的工具��。這是一個(gè)真正的威脅���?����!?/p>
物聯(lián)網(wǎng)可見性斗爭(zhēng)
物聯(lián)網(wǎng)安全的第一個(gè)挑戰(zhàn)是識(shí)別企業(yè)環(huán)境中存在哪些設(shè)備����。但設(shè)備往往由單個(gè)業(yè)務(wù)單位或員工安裝,屬于運(yùn)營(yíng)����、樓宇和維護(hù)等部門的職權(quán)范圍����。
許多公司沒有一個(gè)實(shí)體負(fù)責(zé)保護(hù)物聯(lián)網(wǎng)設(shè)備����。Ernst & Young 負(fù)責(zé)美洲 OT 和 IT 工作的 Doug Clifton 說���,任命某人是控制問題的第一步。
第二步是實(shí)際找到設(shè)備����。
根據(jù) Forrester 分析師 Paddy Harrington 的說法���,一些供應(yīng)商提供網(wǎng)絡(luò)掃描來幫助公司做到這一點(diǎn)�。Checkpoint、Palo Alto 和其他公司的 Gear 可以連續(xù)運(yùn)行被動(dòng)掃描�,當(dāng)檢測(cè)到新設(shè)備時(shí),自動(dòng)對(duì)其應(yīng)用安全策略����。“它不會(huì)解決所有問題�,”他說�,“但這是朝著正確方向邁出的一步��?���!?/p>
盡管如此,一些設(shè)備并沒有完全歸入已知類別并且難以指導(dǎo)��?���!坝幸粋€(gè) 80-20 的規(guī)則�����,”克利夫頓說���。“80% 的設(shè)備可以通過技術(shù)收集��。另外 20% 的設(shè)備需要進(jìn)行一些調(diào)查工作?��!?/p>
Harrington 說,還沒有物聯(lián)網(wǎng)掃描工具的公司應(yīng)該首先與他們已經(jīng)合作的安全供應(yīng)商交談��。“看看他們是否有產(chǎn)品�。它可能不是同類產(chǎn)品中最好的��,但它會(huì)幫助跨越差距��,而且你不必?fù)碛写罅康男禄A(chǔ)設(shè)施����?��!?/p>
Palo Alto 物聯(lián)網(wǎng)安全首席技術(shù)官 May Wang 表示,企業(yè)通常使用電子表格來跟蹤物聯(lián)網(wǎng)設(shè)備�����。業(yè)務(wù)的每個(gè)領(lǐng)域都可能有自己的清單?����!爱?dāng)我們?nèi)メt(yī)院時(shí),我們會(huì)從 IT 部門���、設(shè)施部門和生物醫(yī)學(xué)設(shè)備部門獲得一份電子表格——這三個(gè)電子表格都是不同的���,并且顯示不同的設(shè)備,”她說�。
而當(dāng)帕洛阿爾托對(duì)環(huán)境進(jìn)行掃描時(shí)����,這些列表通常會(huì)達(dá)不到要求——有時(shí)甚至超過一個(gè)數(shù)量級(jí)�����。王說,許多是較舊的設(shè)備����,安裝在物聯(lián)網(wǎng)設(shè)備被認(rèn)為是安全威脅之前的幾天��?���!皞鹘y(tǒng)的網(wǎng)絡(luò)安全看不到這些設(shè)備����,”她說�。“而且保護(hù)這些設(shè)備的傳統(tǒng)方法不起作用�����?!?/p>
但是公司不能將端點(diǎn)安全或漏洞管理策略應(yīng)用于設(shè)備�����,直到它們都被識(shí)別出來。Palo Alto 現(xiàn)在包括集成在其下一代防火墻中的機(jī)器學(xué)習(xí)驅(qū)動(dòng)的 IoT 設(shè)備檢測(cè)����。
“我們可以告訴你你有什么樣的設(shè)備,什么樣的硬件�����、軟件���、操作系統(tǒng)�����,你正在使用什么協(xié)議�,”王說。Palo Alto 系統(tǒng)無法檢測(cè)并獲取每臺(tái)設(shè)備的完整信息�?����!皩?duì)于其中一些人來說����,它可能沒有那么詳細(xì)���,但我們可以獲得大多數(shù)設(shè)備的大部分信息���。這為設(shè)備發(fā)現(xiàn)提供了可見性?�!?/p>
根據(jù)技術(shù)的部署方式���,Palo Alto 還可以根據(jù)內(nèi)部���、橫向通信來選擇設(shè)備�����,并為新發(fā)現(xiàn)的設(shè)備建議或自動(dòng)實(shí)施安全策略。
當(dāng)物聯(lián)網(wǎng)設(shè)備使用蜂窩通信時(shí)����,這會(huì)產(chǎn)生更大的問題��。“很多物聯(lián)網(wǎng)設(shè)備都是 5G�����,這將成為一個(gè)更大的問題,”她說����?��!拔覀冇幸粋€(gè)部門致力于 5G 安全�����。它肯定會(huì)帶來更多挑戰(zhàn)�����。”
窺視物聯(lián)網(wǎng)內(nèi)部
一旦物聯(lián)網(wǎng)設(shè)備被可靠地發(fā)現(xiàn)和清點(diǎn)��,就需要像其他網(wǎng)絡(luò)設(shè)備一樣嚴(yán)格管理和保護(hù)它們。這需要配置管理����、漏洞掃描����、流量監(jiān)控和其他功能。
即使是未連接到外部網(wǎng)絡(luò)的設(shè)備也可能成為堅(jiān)定的攻擊者在公司橫向移動(dòng)的中間集結(jié)點(diǎn)或藏身之處��。
HIG Capital 的首席信息安全官 Marcos Marrero 一年前就面臨著這個(gè)困境。
HIG 是一家全球投資公司��,管理著超過 500 億美元的股權(quán)資本����,在四大洲設(shè)有 26 個(gè)辦事處。該公司的網(wǎng)絡(luò)上有數(shù)百個(gè)設(shè)備�,例如攝像頭�����、物理安全設(shè)備和傳感器����,用于監(jiān)控其機(jī)房?jī)?nèi)的溫度�����、濕度和電力�。物聯(lián)網(wǎng)設(shè)備安全“是一個(gè)大問題�,”Marrero 說�?�!岸宜诓粩喟l(fā)展并變得越來越大?��!?/p>
作為一家金融公司��,HIG 非常注重安全�����,安全團(tuán)隊(duì)對(duì)其網(wǎng)絡(luò)上安裝的每臺(tái)設(shè)備進(jìn)行監(jiān)督��?!扒媚绢^���,我們?cè)谖覀兊沫h(huán)境中沒有遇到任何流氓物聯(lián)網(wǎng)�,”Marrero 說�����。
但能夠定位設(shè)備只是旅程的開始���?�!叭缓笫锹┒春团渲玫目梢娦?����,”他說����。
大約一年前,Marrero 對(duì)其中一個(gè)房間警報(bào)設(shè)備進(jìn)行了漏洞掃描�,發(fā)現(xiàn)了不需要身份驗(yàn)證的開放端口。該公司聯(lián)系了制造商��,并獲得了有關(guān)如何硬化設(shè)備的說明?��!暗覀儾坏貌惶岢鲆蟆@不是立即提供給我們的信息����,”他說���。
他說,該公司運(yùn)行的漏洞掃描只從外部查看設(shè)備����,發(fā)現(xiàn)開放端口和操作系統(tǒng)類型����,但幾乎沒有其他內(nèi)容?!斑@些設(shè)備中使用的開源軟件存在大量漏洞,”他說�����。
為了解決這個(gè)問題�����,HIG 求助于 Netrise 的固件掃描工具�����。
“我們進(jìn)行了概念驗(yàn)證并上傳了一個(gè)固件映像,它返回了所有這些漏洞數(shù)據(jù)和其他信息�,”他說?�!斑@就是為我們密封它的原因?���!?/p>
上傳圖像是一個(gè)手動(dòng)過程����,每張圖像需要幾分鐘。由于同一類型的重復(fù)設(shè)備很多���,該公司總共上傳的圖片少于 20 張��。作為掃描的結(jié)果,該公司的漏洞清單增加了 28%���。
“我們不知道它們存在于我們的環(huán)境中���,”他說��。“是的���,我們的漏洞趨勢(shì)出現(xiàn)了飆升��,但成功的一半是你一開始就知道你有這些漏洞�����。”
發(fā)現(xiàn)漏洞后����,HIG 聯(lián)系了設(shè)備供應(yīng)商并采取了其他緩解措施?����!叭绻kU(xiǎn)并且對(duì)我們的環(huán)境構(gòu)成太大風(fēng)險(xiǎn)�,它可能會(huì)關(guān)閉設(shè)備�,”他說,“或者在它周圍增加額外的控制����?���!?/p>
例如,一些設(shè)備在網(wǎng)絡(luò)上被分段
打造開箱即用的物聯(lián)網(wǎng)平臺(tái)
軌版-3.webp)
