1月21日�,網絡醫療設備通過更快���、更準確的診斷���,幫助增強患者體驗�,降低運營成本��,通過自動化提高效率��,提高患者整體治療效果��,從而徹底改變醫療行業����。從患者監控到辦公系統的各個方面都使用了物聯網臨床和操作物聯網設備����,但這也導致了攻擊面的擴大�,是攻擊者滲透醫院網絡的最薄弱環節���。
與其他行業相比��,醫療行業一直是過去12年平均違規成本最高的行業之一(2010~2022年)�����。網絡醫療設備是一個有利可圖的目標���,因為攻擊者可以在設備托管患者敏感的個人健康信息(PHI)時���,將醫院作為人質勒索軟件����,或竊取有價值的數據����。
Unit42威脅研究發現�,醫療設備是醫院網絡中最薄弱的環節����,因為它們存在嚴重的漏洞:
在參與研究的輸液泵中���,75%的輸液泵至少有一個漏洞或至少有一個安全警報�。x光機�、MRI����、CT掃描儀等成像設備特別容易受到攻擊��,51%的x光機暴露在非常嚴重的常見漏洞中(CVE-2019-11687)����。不受支持的Windows版本運行了20%的常見成像設備����。44%的CT掃描儀和31%的MRI機暴露在非常嚴重的CVE中�����。
冰山一角只有設備及其漏洞的數量�����。從最近對CommonSpirit���、列克星敦CHI圣約瑟夫醫院���、巴黎CHSF醫院和印度德里AIMS醫院的網絡攻擊可以看出���,確保網絡醫療設備的安全不僅僅是一個挑戰��。2022年10月��,CISA向亞慱體育官方app入口醫療保健提供商發布咨詢意見���,警告稱有一個以亞慱體育官方app入口醫療保健和公共衛生部門為目標的勒索軟件和數據勒索團伙�����。該團伙特別關注訪問網絡中的數據庫��、成像和診斷系統�。
這些現代醫療設備難以保護�����,原因包括:
對非托管網絡醫療設備缺乏可視性����,對了解真實攻擊面產生了不良影響��。由于缺乏設備�����,未發現的漏洞使醫院面臨未知的威脅���。使用傳統的平面網絡安全架構和容易出錯的手動方法來創建安全策略���,可能會導致HIPPA等監管要求的失敗�����。多點安全產品的管理非常復雜�,會產生安全缺口��。
亞慱體育官方app入口醫療保健企業需要一個全面的零信任網絡安全解決方案來支持他們的數字轉型之旅����,以確?;颊叩臄祿[私和監督合規性�����,同時帶來更好的治療效果���。零信任是一種可以通過不斷驗證數字交互的每個階段來消除隱性信任的網絡安全策略���。零信任堅持“從不信任����,始終驗證”的原則���,旨在保護現代數字醫療環境���。該原則采用最低訪問權限控制和策略��,以及持續的信任驗證和設備行為監控��,以防止零日攻擊�����。
醫療物聯網安全采用零信任來應對醫療行業的網絡威脅����。
Paloaltonetworks(派拓網絡)采用經驗豐富的物聯網安全技術�,推出了基于零信任安全方法的醫療物聯網安全解決方案��,利用機器學習(ML)為亞慱體育官方app入口醫療保健提供商提供專門為醫療設備設計的物聯網安全產品�����。該解決方案有助于快速發現和評估每個設備��,輕松分段和實施最低權限訪問�����,并通過簡化操作防止已知和未知的威脅��。此外�����,新產品還支持亞慱體育官方app入口醫療保健提供商提高安全性�����,減少漏洞:
驗證網絡分段:顯示網絡設備的整個地圖����,并確保每個設備位于其指定的網絡分段中����。適當的網絡分段可以保證設備只與授權系統通信�。根據規則自動化安全響應:創建監控設備行為異常的戰略規則���,并自動觸發適當響應�。例如�,如果一個通常只在晚上發送少量數據的醫療設備突然開始使用大量帶寬�,預定義的規則可以自動切斷設備的網絡連接���,并通知安全團隊�����。自動化零信任的最佳實踐策略和實施:根據支持的實施技術��,一鍵式設備實施建議的最小權限訪問策略�。這消除了創建容易出錯和耗時的手動策略�,并且可以很容易地擴展到一組具有相同配置文件的設備�。了解設備漏洞和風險狀況:立即了解各設備的風險狀況��,包括生命周期結束�����、召回通知��、默認密碼報警和未經授權的外部網站通信���。訪問每臺醫療設備的軟件材料清單(SBOM)��,并將其映射到常見漏洞暴露(CVE)����。這種映射有助于識別醫療設備上使用的軟件庫和任何相關漏洞��。提高合規性:輕松了解醫療設備的漏洞����、補丁狀態和安全設置��,然后獲得相關建議�,使設備符合《健康保險便攜性和責任法》(HIPAA)����、《通用數據保護條例》(GDPR)和類似法律法規的規定和標準�。簡化操作:兩個不同的儀表板允許IT和生物醫學工程團隊查看其角色的關鍵信息��。集成現有的亞慱體育官方app入口醫療保健信息管理系統(如AIMS和EPIC系統)有助于自動化工作流程�����。滿足數據停留要求:醫療物聯網安全使美國���、德國��、新加坡���、體育��,足球�����,電競��,籃球 �,日本和澳大利亞的客戶更容易使用當地云托管的物聯網安全���。區域醫療物聯網安全服務的可用性可以保證GDPR等本地數據的停留和本地化需求��。
醫療物聯網安全提供的可操作指南����。
隨著亞慱體育官方app入口醫療保健行業通過轉型為患者提供更好的服務�,網絡醫療設備將繼續增加����。醫療物聯網安全基于強大的零信任框架����,通過提供可操作的指南來保護其整個生命周期�����,使行業能夠安全地使用網絡臨床設備����。醫療物聯網安全提供的可視性和操作����,使亞慱體育官方app入口醫療保健系統能夠對所有網絡醫療設備和應用程序實現零信任���。
滬公網安備
31011202013059號