承擔重任的醫療IoT安全,生命掌握在您手上
前言:
透過專為醫療產業量身打造的零信任 IoT 安全來保護每個連網裝置
2022年12月20日--連網醫療設備目前正透過更快且更精確的診斷、較低的營運成本、透過自動化提升的效率以及整體病患成效的改善來加強病患體驗,因而徹底改變整個醫療產業。連網的臨床和營運 IoT 設備可應用在包括病患監控到辦公室系統在內的各種領域。不過,同樣的設備卻也會擴大攻擊範圍而淪為最脆弱的一環,並且會遭到攻擊者利用而滲透到醫院網路中。
在過去 12 年 (2010-2022) 中,醫療業相較於其他產業,一直以來都是最容易遭到入侵以及入侵損失平均成本最高的產業。連網的醫療設備是一種有利可圖的目標,因為攻擊者會利用勒索軟體來挾持醫院,或竊取病患位於設備中的敏感個人醫療資訊 (PHI) 等重要數據。
Palo Alto Networks Unit 42 威脅研究團隊的調查發現,醫療設備會因為本身的嚴重弱點而成為醫院網路中最脆弱的環節:
• 在本研究中,有 75% 的注射幫浦都至少存在一個弱點或曾發出至少一次的安全警示。
• 例如 X 光、核磁共振 (MRI) 和電腦斷層 (CT) 掃描儀等成像設備就特別容易受到攻擊,就以 X 光機來說,其中有 51% 會暴露在高嚴重性的一般弱點(CVE-2019-11687) 中。
• 另外,有 20% 的一般成像設備會執行不受支援的 Windows 版本。
• 而有 44% 的 CT 掃描儀和 31% 的 MRI 機器會暴露在高嚴重性的 CVE 中。
然而上述的設備數量及其弱點還只是冰山一角而已。
這些現代化醫療設備也會因為以下原因而難以進行保護:
• 由於缺乏對於未受管理、已連網之醫療裝置的可視性,無法掌握實際的攻擊範圍。
• 因缺乏設備脈絡而看不見弱點,讓醫院暴露在未知的威脅當中。
• 傳統安全架構 (具有扁平式網路且容易發生錯誤、手動制定安全政策的方式) 會妨礙對於法規需求的合規性,例如健康保險可攜性和責任法案 (HIPAA)。
• 在管理多個單一功能安全產品時會增加複雜度並產生安全漏洞。
醫療企業需要全面的零信任網路安全解決方案來支援他們的數位轉型過程、導向更理想的病患照護結果,同時可確保病患數據隱私權和法規合規性。零信任的網路安全策略可透過持續驗證數位互動的各個階段來消除隱藏式信任。零信任採取「永不信任,持續驗證」的原則,藉以保護現代數位醫療環境。該原則會採用最低存取控制權和政策,並透過持續信任驗證和設備行為監控來封鎖零時差攻擊。
唯有 Palo Alto Networks 才能提供您最全面且最快速的零信任安全方法,使您可以無後顧之憂提供病患最佳照顧
Palo Alto Networks 推出的醫療 IoT 安全建構在目前經證實的 IoT 安全技術上並以零信任方法為基礎,同時使用機器學習 (ML) 向醫療服務業者提供專為醫療設備設計的 IoT 安全產品。該解決方案會快速探索及評估每個設備,輕鬆地區隔及執行最低存取權,並透過簡化的作業來防禦各種已知和未知的威脅。此外,此一新產品可讓醫療服務業者提升安全性並減少弱點:
• 驗證網路區隔:視覺化呈現完整的連線設備概圖,並確保每個設備都位於規劃的網路區段中。適當的網路區隔可確保設備只會與授權的系統進行通訊。
• 根據規則自動進行安全回應:建立政策規則以查看設備是否有任何行為異常並自動觸發適當的回應。例如,正常情況下只會在夜間傳送少量數據的醫療設備若突然開始使用大量頻寬,則預先設定的規則會自動中斷設備的網際網路連接並向安全團隊發出警示。
• 零信任最佳實踐政策和執行自動化:只要按一下即可在支援的執行技術設備上執行建議的最低權限存取政策。這可避免容易出錯且耗時的手動政策設定,並可透過相同的設定檔輕鬆地在同一組設備中調整。
• 了解設備弱點和風險狀況:立即掌握每個設備的風險狀況,包括生命週期結束狀態、FDA 召回通知、預設密碼警示和未授權外部網站通訊、MDS2、CVE、行為異常、Unit42 威脅研究等等。額外存取每個醫療設備的軟體材料清單 (SBOM) 並將其對應至一般弱點和暴露 (CVE)。此對應會識別用於醫療設備和任何相關弱點的軟體程式庫。
• 提升合規性:輕鬆地了解醫療設備弱點、修補狀態和安全設定,然後取得建議以使設備能符合各種規則和指南,例如健康保險可攜性和責任法案 (HIPAA)、一般數據保護法規 (GDPR) 以及類似的法律和規範。
• 簡化作業:兩種不同的儀表板可讓 IT 和生物醫學工程團隊各自查看與其職務有關的重要資訊。與 AIMS 和 Epic 系統等現有的醫療資訊管理系統整合以自動化工作流程。
• 符合數據存放要求:醫療 IoT 安全可讓我們位於美國、德國、新加坡、日本和澳洲等地的客戶透過本機雲端託管來採用 IoT 安全服務。區域性醫療 IoT 安全服務可用性可確保能符合如 GDPR 等當地數據存放和本地化要求。
醫療 IoT 安全提供可採取行動的指南
隨著醫療產業自行轉型來為病患提供更好的服務,連線的醫療設備將會持續成長。以零信任架構為基礎的醫療 IoT 安全提供可採取行動的指南來保護其完整的生命週期,使整個產業能以更安全的方式使用連網的臨床裝置。醫療 IoT 安全提供可視性、風險和行動,使醫療系統能針對所有連網的醫療設備和應用程式實施零信任政策。
若要深入了解醫療 IoT 安全,請參閱我們的白皮書《實現醫療 IoT 設備零信任的正確方法》。
關於Palo Alto Networks
Palo Alto Networks是全球網路安全領導者,致力於透過創新來超越網路威脅,讓企業能夠充滿信心地擁抱技術。我們在全球為成千上萬個來自不同領域的組織提供新世代網路安全支援。Palo Alto Networks 一流的網路安全平台及服務以領先產業的威脅情報為後盾,並由最先進的自動化技術而強化。透過提供產品協助實現零信任企業、回應安全事件,或是與世界級的生態圈合作確保更好的安全成果,我們始終致力於幫助實現「每一天都比前一天更安全」的目標,而這正是Palo Alto Networks 成為最佳網路安全合作夥伴的原因。
在Palo Alto Networks,我們承諾匯集最優秀的人才,為達成上述的使命而努力。所以我們也很自豪地成為網路安全領域的首選工作場所,並在近期獲選為新聞周刊「最受歡迎工作場所」(Newsweek Most Loved Workplaces, 2021) 、「多元化最佳公司」(Newsweek Comparably Best Companies, 2021),以及HRC 「最佳LGBTQ平等企業」(HRC Best Places for LGBTQ Equality, 2022)。如欲瞭解更多資訊,請造訪 www.paloaltonetworks.com
Palo Alto Networks、Prisma以及Palo Alto Networks標誌為Palo Alto Networks公司在美國及全球其他地區的註冊商標。所有本文中出現的其他商標、企業名稱或服務,亦為各公司所擁有。
