醫(yī)療設(shè)備已成為入侵醫(yī)療網(wǎng)絡(luò)的關(guān)鍵切入點(diǎn)

一位病人正躺在醫(yī)院的病床上等待醫(yī)務(wù)人員幫他進(jìn)行血?dú)夥治?，但他并不知道的是，他的個(gè)人信息此時(shí)此刻可能比他的身體還要危險(xiǎn)。

前言

安全公司TrapX對(duì)三家不愿意透露名稱的醫(yī)院進(jìn)行了安全檢查，根據(jù)調(diào)查人員的發(fā)現(xiàn)，醫(yī)院用于存儲(chǔ)病人信息的數(shù)據(jù)庫(kù)沒(méi)有使用任何的加密保護(hù)措施，數(shù)據(jù)庫(kù)使用的仍是默認(rèn)密碼，而且醫(yī)院系統(tǒng)中的漏洞其利用難度也非常低。在對(duì)檢查結(jié)果進(jìn)行了深入分析之后，該公司的安全專家發(fā)表了一篇標(biāo)題為《醫(yī)療設(shè)備攻擊剖析》的報(bào)告。

TrapX的聯(lián)合創(chuàng)始人兼副總裁Moshe Ben-Simon表示：

“TrapX網(wǎng)絡(luò)安全實(shí)驗(yàn)室的技術(shù)人員可以遠(yuǎn)程利用血?dú)夥治鰞x中的安全漏洞來(lái)篡改儀器數(shù)據(jù)。血?dú)夥治鰞x一般會(huì)在重癥監(jiān)護(hù)室中使用，而這些病人的情況通常都非常糟糕，因此任何對(duì)該設(shè)備的干擾都會(huì)給病患帶來(lái)不可估量的后果。但是，我們目前還沒(méi)有發(fā)現(xiàn)有任何攻擊者通過(guò)網(wǎng)絡(luò)攻擊活動(dòng)給病人帶來(lái)了身體上的損傷?！贬t(yī)療設(shè)備的安全不容樂(lè)觀

自2016年初以來(lái)，已經(jīng)有多家醫(yī)院和醫(yī)療機(jī)構(gòu)成為了勒索軟件的受害者，包括MedStar Health、堪薩斯心臟病醫(yī)院和好萊塢長(zhǎng)老會(huì)醫(yī)院在內(nèi)。值得一提的是，個(gè)人身份識(shí)別信息（PII）和醫(yī)療記錄的價(jià)值要比信用卡數(shù)據(jù)高出10至20倍之多。戴爾旗下的網(wǎng)絡(luò)安全公司SecureWorks發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子出售一份健康保險(xiǎn)憑據(jù)可以賺20至40美元，而一份美國(guó)信用卡數(shù)據(jù)只能賣1到2美元。Ben-Simon表示：“目前黑市上到處都有PII在售，犯罪分子可以利用這些記錄來(lái)偽造身份信息，然后申請(qǐng)新的信用卡或偽造納稅申報(bào)信息。除此之外，攻擊者還可以利用這些信息訪問(wèn)目標(biāo)用戶的銀行賬戶以及信用卡賬戶，所以醫(yī)療記錄絕對(duì)是網(wǎng)絡(luò)攻擊者的首要目標(biāo)。”

研究報(bào)告中寫到：“醫(yī)療設(shè)備已經(jīng)成為了攻擊者入侵醫(yī)療網(wǎng)絡(luò)的關(guān)鍵切入點(diǎn)。它們都是醫(yī)療企業(yè)最明顯的薄弱點(diǎn)，而即便是我們識(shí)別出了攻擊者的入侵方式，我們也很難去修復(fù)這些漏洞，所以網(wǎng)絡(luò)攻擊將會(huì)對(duì)醫(yī)院手術(shù)和病人信息帶來(lái)非常大的威脅?！?/p>

Ben-Simon表示，TrapX目前正在調(diào)查一種名為MEDJACK的攻擊，這種攻擊已經(jīng)影響了至少十家醫(yī)院，TrapX也將在RSA大會(huì)上公布有關(guān)MEDJACK攻擊的調(diào)查結(jié)果。根據(jù)TrapX的研究報(bào)告顯示，從2015年到2016年，超過(guò)500名病人數(shù)據(jù)發(fā)生泄漏的攻擊次數(shù)增長(zhǎng)了近五十個(gè)百分點(diǎn)。Ben-Simon說(shuō)到：“網(wǎng)絡(luò)攻擊給不同的醫(yī)院所帶來(lái)的影響是不一樣的，但無(wú)一例外的是，網(wǎng)絡(luò)攻擊者的目標(biāo)都是病人的醫(yī)療記錄以及個(gè)人身份信息，因?yàn)樗麄兛梢赞D(zhuǎn)售這些信息并得到經(jīng)濟(jì)回報(bào)。”

院方解釋稱，醫(yī)院部署了一套強(qiáng)大的企業(yè)級(jí)網(wǎng)絡(luò)防御產(chǎn)品，其中包括防火墻、啟發(fā)式入侵檢測(cè)系統(tǒng)、終端安全保護(hù)工具和反病毒產(chǎn)品，而且醫(yī)院的IT人員里也有多名經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全技術(shù)專家。但是TrapX的取證分析數(shù)據(jù)顯示，攻擊者不僅能夠入侵醫(yī)院的網(wǎng)絡(luò)系統(tǒng)，而且還能夠自由地在醫(yī)院系統(tǒng)中尋找并感染單獨(dú)的目標(biāo)，更重要的是攻擊者還能夠在醫(yī)院網(wǎng)絡(luò)系統(tǒng)中添加后門。

各種設(shè)備都有可能成為攻擊者的切入點(diǎn)

在第二家醫(yī)療結(jié)構(gòu)中，TrapX發(fā)現(xiàn)了另一種存在安全漏洞的設(shè)備，即影像歸檔和通信系統(tǒng)（PACS）。它是應(yīng)用在醫(yī)院影像科室的系統(tǒng)，主要的任務(wù)就是把日常產(chǎn)生的各種醫(yī)學(xué)影像（包括核磁，CT，超聲，各種X光機(jī)，各種紅外儀、顯微儀等設(shè)備產(chǎn)生的圖像）通過(guò)各種接口以數(shù)字化的方式海量保存起來(lái)，當(dāng)需要的時(shí)候在一定的授權(quán)下能夠很快的調(diào)回使用，同時(shí)增加一些輔助診斷管理功能，它在各種影像設(shè)備間傳輸數(shù)據(jù)和組織存儲(chǔ)數(shù)據(jù)具有重要作用。

TrapX經(jīng)過(guò)研究發(fā)現(xiàn)，該醫(yī)院的惡意軟件感染起源于其中一個(gè)護(hù)士工作站。該醫(yī)院被入侵之后，其敏感數(shù)據(jù)被提取到了一臺(tái)位于貴陽(yáng)市的服務(wù)器中。據(jù)了解，醫(yī)院內(nèi)的一名終端用戶在瀏覽網(wǎng)頁(yè)時(shí)遇到了惡意網(wǎng)站，而該釣魚(yú)網(wǎng)站又將用戶重定向到了一個(gè)加載了惡意payload的網(wǎng)站，當(dāng)用戶訪問(wèn)了這個(gè)網(wǎng)站之后，網(wǎng)頁(yè)中的惡意代碼就能夠入侵用戶設(shè)備了。此時(shí)，攻擊者不僅可以在目標(biāo)設(shè)備上運(yùn)行遠(yuǎn)程命令并安裝惡意軟件，而且也可以在該設(shè)備所處的網(wǎng)絡(luò)環(huán)境中安插惡意后門。

Ben-Simon表示，PACS系統(tǒng)中的記錄是病人最為完整和詳細(xì)的數(shù)據(jù)，因此它們也是最有價(jià)值的。每當(dāng)醫(yī)院網(wǎng)絡(luò)中的一個(gè)系統(tǒng)被成功入侵，那么數(shù)據(jù)泄漏的可能性就越高，而這也會(huì)讓該網(wǎng)絡(luò)中其他的系統(tǒng)處于危險(xiǎn)之中。除此之外，攻擊者還可以徹底清除醫(yī)院系統(tǒng)中的所有數(shù)據(jù)，即使醫(yī)院對(duì)這些數(shù)據(jù)都進(jìn)行了備份，但要將每一位病人的數(shù)據(jù)正確地恢復(fù)到一個(gè)新的醫(yī)療保健系統(tǒng)中的話，醫(yī)院要付出的代價(jià)也是非常高的。

TrapX還發(fā)現(xiàn)，攻擊者在第二家醫(yī)院其中的一臺(tái)X光掃描系統(tǒng)中安裝了惡意后門。各位需要知道的是，X光的掃描結(jié)果出現(xiàn)錯(cuò)誤的話，病人很可能會(huì)因此而缺少了所需的治療，或進(jìn)行了某些不必要的治療。TrapX的研究人員發(fā)現(xiàn)，這三家醫(yī)院的醫(yī)療設(shè)備主要受到了兩種復(fù)雜攻擊技術(shù)的影響，即Shellcode和Pass-the-Hash，而這兩種技術(shù)都是專門用來(lái)攻擊老版本操作系統(tǒng)的。

醫(yī)院通常都會(huì)安裝防火墻，因?yàn)槲覀兌颊J(rèn)為防火墻可以保護(hù)這些設(shè)備的安全，而且內(nèi)部網(wǎng)絡(luò)中也會(huì)部署反病毒軟件和反入侵工具等等。但是這些可以保護(hù)網(wǎng)絡(luò)安全的防御技術(shù)無(wú)法直接應(yīng)用到醫(yī)療設(shè)備之上（只能作用于服務(wù)器和計(jì)算機(jī)），這也是MEDJACK攻擊能夠如此高效的原因。當(dāng)攻擊者成功繞過(guò)了現(xiàn)有的安全防護(hù)之后，他們就可以感染任意的醫(yī)療設(shè)備并在受保護(hù)的網(wǎng)絡(luò)系統(tǒng)中建立后門。

MEDJACK攻擊

TrapX的執(zhí)行副總裁CarlWright表示：

“MEDJACK攻擊正在席卷全球范圍內(nèi)的醫(yī)療機(jī)構(gòu)，但醫(yī)院的信息技術(shù)團(tuán)隊(duì)卻只能仰仗著制造商來(lái)保護(hù)醫(yī)療設(shè)備的安全性，而目前醫(yī)療設(shè)備也沒(méi)有可用的安全軟件來(lái)檢測(cè)和防御MEDJACK攻擊。因此，醫(yī)院所部屬的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全環(huán)境是無(wú)法訪問(wèn)醫(yī)療設(shè)備的內(nèi)部軟件操作的。”TrapX的研究人員表示，攻擊者在入侵醫(yī)療設(shè)備時(shí)主要使用的是shellcode，受影響的系統(tǒng)包括但不限于腫瘤放射治療系統(tǒng)、透視影像系統(tǒng)和X光透視機(jī)。在攻擊過(guò)程中，惡意軟件需要滲透進(jìn)目標(biāo)網(wǎng)絡(luò)，然后再利用目標(biāo)設(shè)備中的軟件漏洞來(lái)向醫(yī)療設(shè)備中注入惡意代碼。除此之外，攻擊過(guò)程中還需要加載一個(gè)文件，并由這個(gè)文件來(lái)設(shè)置和執(zhí)行控制命令和相關(guān)功能函數(shù)。

這種攻擊技術(shù)的獨(dú)特之處在于攻擊者所用的惡意工具注入在MS08-067蠕蟲(chóng)（已過(guò)時(shí)）之中，因此惡意軟件就可以在蠕蟲(chóng)外殼的保護(hù)之下隨意游走于醫(yī)院網(wǎng)絡(luò)系統(tǒng)之中而不被發(fā)現(xiàn)。在對(duì)攻擊模式進(jìn)行了深入分析之后，安全人員發(fā)現(xiàn)MEDJACK攻擊主要針對(duì)的是包含更多漏洞的WindowsXP或沒(méi)有部署防護(hù)工具的Windows7操作系統(tǒng)。通過(guò)將惡意工具嵌入在蠕蟲(chóng)病毒代碼之中，攻擊者就能夠繞過(guò)醫(yī)院安全防護(hù)系統(tǒng)的檢測(cè)。

盡管很多醫(yī)療機(jī)構(gòu)目前已經(jīng)在院內(nèi)的計(jì)算機(jī)和設(shè)備中安裝了最新版本的操作系統(tǒng)，但是并沒(méi)有人來(lái)對(duì)這些操作系統(tǒng)進(jìn)行定期更新和維護(hù)，而且大多數(shù)使用的都是默認(rèn)的管理員賬戶以及密碼，所以醫(yī)療設(shè)備和病人信息的安全性仍然是一個(gè)未知數(shù)。

結(jié)束語(yǔ)

根據(jù)TrapX的安全研究專家所提供的建議，醫(yī)院的負(fù)責(zé)人應(yīng)該重新審查他們與醫(yī)療設(shè)備供應(yīng)商的合同，并更新其中與設(shè)備安全性相關(guān)的部分條款，因?yàn)樵诤贤斜仨殞懹嘘P(guān)于這些醫(yī)療設(shè)備的安全檢測(cè)和漏洞修復(fù)相關(guān)的內(nèi)容。除此之外，供應(yīng)商再將醫(yī)療設(shè)備出售給醫(yī)院時(shí)，也應(yīng)該附帶一份技術(shù)文檔，文檔中不僅要詳細(xì)寫明技術(shù)人員應(yīng)該通過(guò)何種方法去檢測(cè)醫(yī)療設(shè)備是否受到了惡意軟件的感染，而且也要說(shuō)明如何去清除這些感染。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。