カテゴリー

Uncategorized

サイバー攻撃に取り組むためにゼロトラストを実装している医療機関

  1. HOME >
  2. Uncategorized >

サイバー攻撃に取り組むためにゼロトラストを実装している医療機関

ヘルスケア業界がサイバー攻撃の主な標的であることが広く知られており、ますます巧妙で意欲的な敵が、これまで以上に頻繁に人間と技術の両方の脆弱性を悪用しようとしています。

ヘルスケアゼロトラスト

進行中の攻撃手法の集中からネットワーク、システム、およびデバイスをより適切に防御するために、ヘルスケア組織はますますゼロトラストアーキテクチャに目を向けています。これは、ネットワーク上のすべてのユーザーとすべてのデバイスが潜在的に悪意のある。

Cynerioは、今日の医療機関に影響を与える最も一般的な3つの脅威は次のとおりであると結論付けています。

  • ランサムウェア–無数のデバイスの古いパッチが適用されていないオペレーティングシステムにより、接続されたヘルスケア環境で広く普及しています
  • 古いベンダーのファームウェア–多くのデバイスは、コンシューマーOSよりも更新頻度がさらに低い組み込みオペレーティングシステムを実行しており、Ripple20やURGENT / 11などの脆弱性はあまり知られていません。
  • 安全でないサービス–デバイスは通常、Telnet、FTP、HTTPなどのオープンな通信プロトコルで出荷されますが、これらは認証されておらず、認証されていないTelnetやHTTPポートなどの脆弱性が含まれています

ベンダーファームウェアの脆弱性は重大なリスクを引き起こします

ソフトウェアコードはセキュリティを念頭に置いて作成されていないことが多く、認証が弱いか存在しないため、ベンダーファームウェアは医療環境に重大なリスクをもたらし、多くの場合、資格情報はハードコーディングされています。

さらに、データ転送は、多くの場合、セキュリティで保護されておらず、暗号化されていない独自の通信プロトコルに基づいています。ファームウェアアップデートがベンダーによって発行されることはめったになく、脆弱性は十分に理解されていません。

世界中の何百万もの接続されたヘルスケアIoTデバイスに影響を与える2つの一般的な脆弱性、URGENT / 11とRipple20があります。背景として、URGENT / 11の脆弱性は、元の開発者によってサポートされなくなったネットワーク通信コンポーネントであるIPnetに見られますが、さまざまなヘルスケアIoTおよび産業用デバイスで使用されるソフトウェアアプリケーション、機器、およびシステムに組み込まれています。

Ripple20は、19の重大な脆弱性のシリーズであり、最近4つがTreck TCP / IPスタックで発見されました。これは、多くの医療およびIoTデバイスに組み込まれ、オペレーティングシステムのサードパーティコンポーネントに組み込まれているソフトウェアライブラリです。多くのデバイスでは、Treckは低レベルのコンポーネントであり、管理者はそれがデバイスで使用されていることに気付かない場合があります。

調査結果は次のとおりです。

  • 医療施設の輸液ポンプの96%は、URGENT / 11またはRipple20TCP / IPスタックの脆弱性の影響を受けていました
  • 一般的に使用されているバクスターシグマモデルを含む輸液ポンプの63%は、Ripple20に対して脆弱です。
  • 著名なAlarisモデルを含む、Cynerioの展開全体の輸液ポンプの33%は、URGENT / 11に対して脆弱です。

パッチが適用されていない場合、URGENT / 11またはRipple20の脆弱性は、電子的に保護された健康情報(ePHI)の漏洩と盗難、臨床ネットワークをシャットダウンするのに十分強力なサービス拒否(DoS)攻撃、および通常のデバイス機能を中断する可能性のある論理的欠陥につながる可能性があります。他の状況では、攻撃者は医療およびその他のIoTデバイスをリモート制御し、臨床ワークフローを中断させ、デバイスまたは接続されたシステムから機密データを盗み出す可能性があります。

脆弱性に満ちた接続されたカメラ、CTおよびMRIマシン

多くの接続された医療およびIoTデバイスには、TelnetまたはSSH端末アクセス、オープンHTTPポート、リモートファイルのアップロード/ダウンロードを可能にするFTPサーバー、リモートコントロールアクセスを可能にするVNCサーバーなど、デフォルトで有効になっている通信サービスが付属しています。ヘルスケア組織への重大な脅威。

研究者は最近、次のような8つの重大なマネージドサービスの脆弱性が医療機関全体に蔓延していることを発見しました。

  • 展開全体の出席クロックの58%は、基本HTTP認証とデフォルトのパスワード、または複数のクロックで共有される同じパスワードで管理されていました。
  • 1つの病院システムのIPカメラの25%は、すべてのカメラ間で共有される資格情報を使用して、基本HTTP認証で管理されていました。
  • 放射線エコシステムのサーバーの50%以上が、HTTP、FTP、SSHなどの脆弱なサービスを実行しています
  • 画像保存通信システム(PACS)および放射線情報システム(RIS)サーバーの50%が脆弱なサービスの影響を受けています
  • マンモグラフィマシンの25%が古いIISまたはOpenSSHサービスを実行していることが判明し、その多くがほぼ10年前にリリースされたOpenSSH_6.0を実行しています。
  • MRIマシンの15%は、15年前のOpenSSH_4.2サービスを含むOpenSSHサービスに対して脆弱であることが判明しました。
  • 展開全体のコンピューター断層撮影(CT)マシンの40%以上が技術者によって安全に管理されておらず、クレデンシャルと分類された患者データがクリアテキストで公開される可能性があります
  • CTマシンの33%は、臨床ネットワークへのバックドアを提供するデフォルトのパスワードを使用しています

平均的な病院には何千ものデバイスがあるため、ITチームとセキュリティチームがすべてのデバイスを手動でテストしてオープンサービスを見つけることは不可能であり、従来のネットワークスキャンツールではこれらのデバイスを医療デバイスとして認識できないことがよくあります。場合によっては、スキャンによって臨床手術が中断されることがあります。

ただし、管理されていないサービスの脆弱性は、脅威の攻撃者に病院活動のライブビデオストリームへの簡単なアクセスを提供し、病院の安全性を危険にさらし、患者のプライバシーを危険にさらします。

また、意図せずに大量のePHIを許可されていないユーザーや脅威の攻撃者に公開し、影響を受ける部門の運用とビジネスの継続性に影響を与え、写真やビデオ画像の形でePHIを公開する可能性があります。

救助のためのヘルスケアへのゼロトラスト

ゼロトラストアーキテクチャを採用することで、ヘルスケア組織は、次の方法でランサムウェア、古いベンダーファームウェア、およびセキュリティで保護されていないサービスのリスクを大幅に削減できます。

  • ヘルスケアIoTデバイスとの不要な通信をブロックするポリシーの構成
  • ネットワークをセグメント化して、特定のセグメントへの攻撃者を封じ込めます
  • 接続された医療デバイスとIoTデバイスで実行されているサービスを強化して、セキュリティへの影響を軽減します
  • 侵害が広がるのを防ぐために感染したデバイスを隔離する

-Uncategorized