2019-05-18 14:25
物联网医疗设备中的四个漏洞
硬编码管理密码,用于允许对多个设备上相同的设备进行特权访问。攻击者可以对设备制造商进行研究,并轻松学习硬编码密码,以获得管理员访问设备及其数据的权限。
缺乏对医疗设备的认证访问权限。虽然服务技术人员使用管理帐户进行设备管理,但通常不需要对常规用户访问进行身份验证。这显然意味着任何地方的任何人都可以登录到设备。不需要高深的黑客技能。
智能医疗设备是无线的,并通过连接传输未加密的数据,所以攻击者连接医院内的无线网络并不困难。获得对这些无线网络的访问意味着攻击者能够从设备捕获任何和所有未加密的流量,从而暴露敏感的患者信息。
使用开源软件漏洞构建的设备所有代码都包含漏洞。通过利用开源软件,许多开发人员可以使用预先存在的代码快速解决问题。这是整个软件行业的常见做法,因为它可以节省开发产品的时间。
遗憾的是,利用现有代码的固有优势带来了采用现有和已知漏洞的更大风险。攻击者扫描网络,寻找允许利用设备的漏洞。
转型技术的危险
新兴医疗技术将继续成为医疗服务质量和速度的关键,吸引患者并提供最佳患者治疗效果。
许多物联网设备,加上网络中患者数据的自由流动,会对正在发生的事情造成大量内部盲点。最大的威胁是网络内部,周边安全是盲目的。
当涉及到基础设施的变化时,医疗保健领域的IT安全团队往往处于落后的状态。例如,新的物联网医疗设备通常连接到网络而不通知IT安全团队。
对于医疗保健提供商而言,随着采用和部署尖端医疗技术,更好地了解网络内的流量和行为可以帮助医疗保健团队保持警惕和更加自信。
手动跟踪设备以提高可见性确实很困难,尤其是对于小型安全团队。当你考虑安全团队发现数据泄露所需的时间时,IT安全团队显然需要保持技术领先地位。
许多医疗保健提供商正在通过人工智能扩充其安全团队,以自动检测和分类网络中的网络攻击,同时加速事件响应。对于物联网设备制造商而言,实施基本的安全防卫将大大降低攻击的可能性。唯一的默认密码和安全补丁更新机制至少会大大降低攻击者破坏设备的能力。
国内物联网卡供应平台物联卡商城表示,最终,保护医疗设备需要制造商和医疗保健提供商之间的协作。例如,制造商应向医疗保健组织提供软件物料清单。制造商应告知医疗保健提供商产品中的软件,使IT团队能够更好地实施和管理安全性,作为其资产管理计划的一部分。利用长期的行业努力来提高安全性,同时立即采取措施缩小医疗设备生态系统的差距,这将确保医疗保健组织始终领先于攻击者。