卡巴斯基：「連接醫療」（Connected Medicine）的安全隱患及其安全建議

概述

醫療數據正在緩慢而堅定地從紙質媒介遷移到數字化的基礎設施中。如今，這些數據分散地存儲在資料庫、門戶網站以及醫療設備之中。在某些情況下，這些組織的網路基礎設施安全性經常被忽略，而且存儲醫療信息的資源也可以通過外部渠道輕鬆地獲取到。

之前，在對智慧醫療的安全性進行研究的過程中，我們已經強調要對安全問題進行更詳細的分析，而此次，我們將把分析重點集中在對醫療機構內部（當然是得到了所有者的同意）安全性的分析。分析結果將有助於我們處理錯誤問題，並為服務醫療基礎設施的IT專家提供一系列安全建議。

錯誤的診斷數據是產生致命後果的第一步

在醫學領域，為數據提供安全保障是一個比實際上看起來更嚴重的問題。最明顯的場景是，大量的被盜醫療數據在黑市上被轉售，但似乎很少有人能意識到這些診斷數據被惡意篡改所引發的可能危害。無論犯罪分子的目標是勒索醫院所有者獲取錢財，還是針對特定患者進行攻擊，錯誤的診斷數據都不會產生什麼好結果：因為一旦患者接收了錯誤的數據後，醫生可能會開出錯誤的治療方案。即便是及時檢測到了數據篡改的情況，醫療機構的正常運行也可能會中斷，提示需要重新檢查存儲在受損設備上的所有相關信息。

根據疾病控制和預防中心（Centers for Disease Control and Prevention，CDC）的報告顯示，美國第三大死因就是來自醫療失誤。建立正確的醫療診斷結果，不僅取決於醫生的專業資格，還取決於醫療設備接收數據，並將其存儲在醫療伺服器上的準確性。如此一來，「連接醫療」產品中的數據資源對於惡意攻擊者的吸引力也隨著增長。

什麼是「連接醫療」（Connected Medicine）呢？

該術語是指連接到醫療機構網路的大量工作站、伺服器和專用醫療設備（其簡化網路拓撲結構圖如下所示）：

【「連接醫療」的網路拓撲圖】

現代的醫療診斷設備可以通過例如USB連接等方式連接到組織的區域網或工作站中；醫療設備通常基於DICOM格式（標準的醫學圖像文件格式）處理數據（例如病人的照片）；而為了存儲它們並從外部提供訪問服務，又會用到PACSs（醫學影像存檔和通信系統），這些都是惡意攻擊者感興趣的「切入口」。

安全建議

安全建議1：刪除從公共網路訪問醫療數據的所有節點

很顯然，醫療信息應該只限定在機構的區域網內可訪問。然而，目前，大約有超過1000台DICOM設備可被公共訪問，這是通過SHODAN搜索引擎得以確認的統計的結果，具體如下圖所示：

【DICOM設備的地域分布（數據來自Shodan搜索引擎）】

總體來說，所有存儲了對惡意攻擊者有價值數據的PACS伺服器都是公開訪問的，這種情況非常危險。PACSs應該部署在企業內網中，免受第三方未經授權的使用，並定期備份系統上的數據。

安全建議2：為資源分配反直覺／不明顯的名稱

即使在偵察階段，攻擊者也可能獲取對一些對攻擊非常重要的數據。例如，當枚舉可用資源時，攻擊者會嘗試找出內部資源（伺服器和工作站）的名稱，從而確定哪些網路節點是對其有用的，哪些是對其無用的。

【可公開獲取到的關於組織區域網（LAN）上相關資源的數據】

以攻擊者認為的「有趣」資源為例，他們會在資料庫伺服器和其他收集醫療信息的工作站上積極尋找目標資源，如果這些資源的名稱非常明顯，那麼攻擊者就可以輕易地識別目標。

上圖所示的是一個醫療機構區域網上內部資源命名不好的例子，它顯示，攻擊者可以根據命名很輕鬆地定位到存儲有價值的數據的站點信息。

為了增加攻擊者的難度，醫療基礎設施應該使用一些反直覺／反常規的命名策略，關於這一點，可以參考《how to name workstations and servers that have been compiled bycompetent organizations》一文，文中詳述了組織內部工作站和伺服器的命名建議，建議大家閱讀。

安全建議3：定期更新設備上安裝的軟體並刪除不需要的應用程序

在對那些「存儲了有價值數據的網路節點」上安裝的軟體進行分析的過程中，惡意攻擊者可能會發現很多潛在的切入點。在下面的示例中，一個工作站上安裝了多個與醫學無關的應用程序（W32. MyDoom蠕蟲和Half-Life遊戲引擎）。此外，該列表中還存在一系列「含有已發布的關鍵漏洞的」應用程序。

【一個「連接醫療」設備工作站上安裝的應用程序示例】

另一個例子是在負責機構網站運行的伺服器上安裝第三方遠程控制軟體，允許醫生和病人遠程訪問醫療數據。

【伺服器上安裝了查看DICOM圖像的工具，還有遠程監控軟體——Teamviewer】

為了排除通過第三方軟體進行數據訪問的可能性，應該定期檢查和更新伺服器或工作站上已安裝的應用程序。此外，在「連接醫療」設備的工作站上不應該存在額外的、不需要的軟體。

上圖所示是一個脆弱的醫療門戶網站的例子，其中包含了可導致醫療數據泄漏的嚴重漏洞。

安全建議4：避免將昂貴的設備連接到組織內部的主要區域網中

用於幫助執行診斷和操作的醫療設備在維護（例如校準）方面通常十分昂貴，這需要管理者進行大量的資金投入。而一旦惡意攻擊者成功獲取醫療連接設備或工作站的訪問許可權後，就可能會執行以下操作：

直接從設備上滲漏醫療數據；

篡改診斷信息；

重置設備的設置信息，這將導致輸出的數據不準確或暫時無法輸出數據。

為了獲得設備產生的數據，攻擊者只需要搜索特定的軟體。

【惡意攻擊者可以在工作站上安裝的軟體列表中隔離醫療應用程序並修改醫療設備的操作參數】

為了防止未經授權訪問設備的行為，有必要將連接到它們的所有醫療設備和工作站作為一個獨立的區域網段進行隔離，同時仔細監測該網段中發生的任何異常活動（另見安全建議5）。

安全建議 5：及時檢測區域網內的惡意活動

如果沒有條件在設備本身安裝安全解決方案的話（有時設備會禁止任何操作系統級別的修改），那麼可以選擇檢測和/或蜜罐方案作為替代選項來保障區域網安全。

防禦方可以準備一套專用的蜜罐系統，其中包括模擬醫療設備的區域網節點。任何未經授權的訪問都可以作為「有人正在試圖入侵／破壞網路」的一種信號，醫療機構的IT部門可以根據信號及時採取適當的行動。

此外，檢測惡意活動的方法還有很多，但是我認為，列出所有這些建議是沒有意義的。每個IT部門都應當依據大量實際因素（包括網路規模、資源優先順序、可用資金等）選擇適當的技術、產品以及策略來保障自身信息安全。但是，重要的是要記住，醫療基礎設施缺乏適當的保護將會造成人身危害，隨時危及患者生命安全。

本文作者米雪兒，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！