Freeman Health System公司在密苏里州、俄克拉荷马州和堪萨斯州的30家机构中有大约8000台联网的医疗设备。许多医疗设备在任何时候如果遭到网络攻击有可能让患者面临致命危险,这家连锁医院的首席信息官Skip Rollins表示,“这是所有人都害怕的世界末日。”
Rollins希望能够扫描这些设备的漏洞,并在上面安装安全软件,以确保它们不被黑客攻击。但是很难做到。
他说,“医疗领域的供应商通常不会很好地合作,他们都有专有的操作系统和专有工具。我们无法扫描这些设备,也不能在这些设备上安装安全软件。我们看不到他们在做什么,供应商是故意这么设置的。”
他说,“供应商声称他们的产品和系统不会受到网络攻击。然后我们会说,‘让我们把这些承诺写进合同。’但他们通常拒绝。”
这是因为这些设备可能充满漏洞。根据医疗网络安全商Cynerio公司今年早些时候发布的一份调查报告,53%的医疗设备至少存在一个严重漏洞。例如,设备通常带有默认密码和设置,网络攻击者可以很容易地在网上找到这些密码或设置,或者运行的是不受支持的Windows旧版本。
网络攻击者一直在不断进行攻击,根据波洛蒙研究所在去年秋天发布的研究报告,对物联网或医疗设备的攻击占所有医疗保健漏洞的21%,与网络钓鱼攻击的比例相同。
和其他医疗保健提供商一样,Freeman Health Systems公司正试图让设备供应商更认真地对待安全问题,但到目前为止还没有取得成功。Rollins说,“我们的供应商并不会和我们一起解决这个问题,这是他们的专有商业模式。”
因此,有些设备位于公众可访问的区域,有些设备具有可访问的USB端口,连接到网络,但无法直接解决安全问题。
在预算紧张的情况下,即使有更新、更安全的替代品可用,医院也无法要求供应商更换新设备。因此,Freeman Health Systems公司使用基于网络的缓解策略和其他解决方案来帮助降低风险。
Rollins说,“我们监控进出的流量。”他们使用的是Ordr公司提供的流量监控工具。与可疑地点的通信可能会被防火墙阻断,而向其他医院系统的横向移动则会受到网络分割的限制。
他说:“但这并不意味着医疗设备在照顾病人的过程中不会被破坏。”
让事情更加复杂的是,阻止这些设备与其他国家和地区通信,可能会导致关键更新无法安装。
他表示:“来自其他国家的设备并不罕见,因为有些零部件都是在世界各地生产的。”
Rollins说,在现实生活中,他没有遇到试图通过入侵医疗设备对患者造成身体伤害的事例。他说;“至少在今天,大多数黑客都是为了获利,而不是为了伤害他人。”但类似于SolarWinds针对医疗设备的民族国家攻击,有可能造成难以估量的破坏。
他说:“大多数医疗设备都连接回一个中心设备,形成一种轮辐式的网络。如果他们破坏了这些网络,就会破坏我们用来照顾病人的工具。这是一个真正的威胁。”
物联网可见性斗争
物联网安全的第一个挑战是识别企业环境中存在哪些设备。但设备通常是由单个业务单位或员工安装的,它们属于运营、建筑和维护以及其他部门的权限。
许多企业没有一个单独的人负责物联网设备的安全。安永公司负责美洲OT和IT业务的Doug Clifton表示,任命某个人是控制问题的第一步。
第二步是找到适合的设备。Forrester公司分析师Paddy Harrington表示,有几家供应商提供网络扫描服务,以帮助企业做到这一点。来自Checkpoint、PaloAlto和其他公司的设备可以持续运行被动扫描,当检测到新设备时,会自动对其应用安全策略。他说,“这不会解决所有问题,但这是朝着正确方向迈出的一步。”
不过,有些设备并不完全属于已知的类别,也难以指导。Clifton说:“这有一个二八法则。80%的设备可以通过技术收集。对于另外20%的人,需要做一些调查工作。”
Harrington说,尚未拥有物联网扫描工具的企业应该与他们已经合作的安全供应商协商。他说,“可以了解他们是否有安全产品,虽然可能不是同类产品中的佼佼者,但它有助于缩小差距,而且用户不必拥有大量的新基础设施。”
Palo Alto公司物联网安全首席技术官May Wang表示,企业通常使用电子表格来跟踪物联网设备。每个业务领域可能都有自己的列表。她说:“当患者去医院看病时,会收到IT部门、设施部门和生物医疗设备部门的电子表格,这三个电子表格都是不同的,显示的是不同的设备。”
当Palo Alto公司对设备运营环境进行扫描时,这些列表通常都达不到要求——有时相差超过一个数量级。May Wang表示,许多设备都是老旧设备,是在物联网设备被认为是安全威胁之前安装的。她说,“传统的网络安全系统看不到这些设备,而保护这些设备的传统方法不起作用。”
但在设备全部被识别出来之前,企业不能将终端安全或漏洞管理策略应用到设备上。Palo Alto公司现在将机器学习驱动的物联网设备检测集成到下一代防火墙中。
May Wang说,“我们可以告诉用户有什么样的设备、硬件、软件、操作系统,以及正在使用什么协议。Palo Alto公司的系统无法检测并获取每台设备的全部信息。对于其中一些设备可能没有那么详细,但我们可以获得大多数设备的大部分信息。这为了解设备提供了可见性。”
根据技术的部署方式,Palo Alto公司还可以根据设备的内部、横向通信接收设备,并为新发现的设备建议或自动实现安全策略。
当物联网设备使用蜂窝通信时,这就产生了一个更大的问题。她说,“很多物联网设备都是5G设备,使用蜂窝通信将成为更大的问题,我们因此有一个负责5G安全的部门,这无疑带来了更多的挑战。”
物联网的内部窥视
一旦物联网设备被可靠地发现和清点,它们需要像其他网络设备一样严格地管理和保护。这需要配置管理、漏洞扫描、流量监控和其他功能。
即使是没有连接到外部网络的设备,也可能成为在企业内部横向移动的攻击者的中间集结点或藏身之处。
一年前,H.I.G.Capital公司首席信息官Marcos Marrero就面临着这样的困境。
该公司是一家全球投资商,管理着超过500亿美元的股本,在全球各地有26个办事处。该公司在其网络运行数百个设备,例如摄像头、物理安全设备和监控机房内温度和电源的传感器。Marrero说,物联网设备安全是一个巨大的问题,而且它还在不断发展壮大。
作为一家金融公司,H.I.G.Capital公司的安全意识非常强,其安全团队会监督安装在其网络上的每一个设备。Marrero说,“好在我们还没有在运营环境中遇到任何物联网威胁。但能够定位设备只是这段旅程的开始,然后是漏洞和配置的可见性。”
大约一年前,Marrero对其中一个房间警报设备进行了漏洞扫描,发现了不需要身份验证的开放端口。该公司联系了警报设备制造商,并获得了如何加强设备安全的说明。他说:“但我们必须要求制造商提供更详细的信息。”
他说,该公司运行的漏洞扫描只从外部查看了设备,发现了开放的端口和操作系统类型,但其他内容很少。他说,“这些设备中使用的开源软件存在大量漏洞。”
为了解决这个问题,H.I.G.Capital公司求助于Netrise公司的固件扫描工具。
Marrero说,“我们做了一个概念验证,上传了一张固件图像,它返回了所有的漏洞数据和其他信息。”
上传图片是一个人工操作的过程,上传每张图片需要几分钟的时间。由于同一类型的设备是很多重复的图像,该公司总共上传了不到20张图片。其扫描的结果是,该公司的漏洞清单增加了28%。
他说,“我们不知道它们存在于我们的运营环境中,因此出现了大量漏洞。”
发现漏洞之后,H.I.G.Capital公司联系了设备供应商,并采取了其他解决措施。他说。“如果设备太危险,对我们的环境造成了太大的风险,那么可能会将其拆除,或者对它进行额外的控制。”
例如,一些设备在网络上被分割开来,使用访问控制列表来限制其他系统和用户可以访问该设备的内容。他说。“例如,安全摄像头只能与支持该设备的技术资产通话,这限制了任何不当利用的风险。”
然后,任何未来的固件更新都会在部署之前通过Netrise工具运行,以防制造商引入新的漏洞。该公司的其他物联网管理政策包括在最初的购买决定期间进行安全检查。
他说:“在我们购买任何资产之前,需要确保它们有某种级别的日志记录,我可以将它们发送到集中日志记录环境中。”他指的是该公司的安全信息和事件管理(SIEM)系统。
他说,“我们的SIEM所做的是收集我们发送给它的所有不同日志,并将它们关联起来,以降低错误警报的水平。”
他说,该公司偶尔会遇到记录水平非常不成熟的设备。
监测和监督
一旦所有设备都被识别、按风险分类,并尽可能地进行修补和更新,下一步就是围绕可能对企业造成最大伤害的设备创建一个监控框架。
在某些情况下,企业可能能够在物联网设备上安装端点保护软件,以保护它们免受恶意攻击,监控配置和设置,确保它们已经打了完整的补丁,并监控异常活动。对于一些较旧的设备或专有设备(如医疗设备),这可能是不可能的。
当设备连接到企业网络时,这些通信可以被监控以防止可疑活动。
一些企业在物联网安全方面获得了突破。根据Palo Alto公司发布的数据,98%的物联网流量是未加密的。此外,物联网设备通常会重复地做同样的事情。
Palo Alto公司的May Wang说,“以恒温器为例,它的功能只是用来记录温度,仅此而已。它不应该与其他服务器对话。这是一件好事——它让人工智能模型更容易建立行为基线。”
物联网和零信任的未来
随着企业转向零信任架构,重要的是不要忘记连接的设备。
零信任原则和设计上的安全性应用于加固设备和相关应用程序。安全供应商DigiCert公司物联网解决方案副总裁Srinivas Kumar表示,这首先要从保护控制开始,例如设备识别和认证,以及具有供应链防篡改功能的可信设备更新。他补充说,通信也需要安全。
WI-SUN是通过创建认证和加密标准来保护物联网设备的行业组织之一,成立于大约10年前,专门专注于公用事业公司、智慧城市和农业使用的设备。
WI-SUN标准中内置的安全措施包括:在设备连接到网络时验证设备的证书、确保所有消息都是私有的加密以及防止中间人攻击的消息完整性检查。
地缘政治紧张局势的加剧意味着,保护这些仪表以及关键基础设施运营的其他关键设备越来越紧迫。WI-SUN总裁兼首席执行官Phil Beecher表示:“如果在桥梁或铁路轨道上安装了结构完整性检查传感器,如果有人破坏了所有传感器,那么将会让城市陷入巨大的混乱。”
UL Solutions公司平台解决方案负责人兼SafeCyber项目负责人David Nosibor表示,这只是一个开始。他说,“从供应链中断到食物、水或电力的损失,这些影响可能十分广泛。”
他说,与此同时,网络攻击者正变得越来越老练,而且很多企业的工作人员缺乏网络安全专业知识。除此之外,随着立法者意识到风险,一波监管浪潮即将到来。
Nosibor说,“这些挑战是相互关联的。不幸的是,许多企业难以应对这种复杂性。”