2024零信任架構(gòu)醫(yī)療設備安全

零信任架構(gòu)醫(yī)療設備安全2024目錄TOC\o"1-1"\h\z\u概述 8介紹 8零信任 11醫(yī)療設備管理項目 12身份 13設備 14網(wǎng)絡 16應用 19數(shù)據(jù) 21結(jié)論 226概述確保某個網(wǎng)絡的安全首先要了解與之相連的一切事物，包括用戶、設備、應用程序、)帶來了攻擊面擴大、風險提升的困擾1HDO構(gòu)成了重大安全風險，可2介紹隨著網(wǎng)絡攻擊的顯著增加，醫(yī)療健康行業(yè)需要確保系統(tǒng)和設備的網(wǎng)絡及數(shù)據(jù)安全。HDO通常有成百上千個醫(yī)療設備連接到醫(yī)療網(wǎng)絡中，且每個醫(yī)療設備本身的軟/硬件環(huán)境和應用程序存在多個安全漏洞。3其中小到嵌入式設備，大到基于服務器的系統(tǒng)，都無一HDO致力于保護這些設備做出的一系列探索得出結(jié)論：一種切實可行的方法就是實施零信任架構(gòu)(ZTA)。從安全的角度來看，醫(yī)療保健行業(yè)面臨極高的風險，每天發(fā)生的勒索軟件攻擊和數(shù)據(jù)(PHI)的系統(tǒng)、醫(yī)療設備，甚至保存救生藥物和治療的冰箱都連接到HDOs4傳統(tǒng)的網(wǎng)絡安全會使用邊界隔離的方法，即HDO構(gòu)建強大的外部安全邊界并信任邊HDO更易受到來自內(nèi)部的5HDO零信任成熟度的五個支柱分別是：“零信任成熟度模型代表了五個不同支柱的實施梯度，隨著時間的推移可以在優(yōu)化方16圖1：零信任的基礎以下描述可用于確定每個階段的不同零信任技術(shù)支柱的成熟度，并提供完整一致的成熟度模型：基礎：手動配置和屬性分配，靜態(tài)安全策略、對外部系統(tǒng)具有粗略依賴性的進階：一些跨支柱協(xié)調(diào)、集中可見性、集中身份控制、基于跨支柱輸入和輸出的策略實施，對預定義響應的一些事件響應，對外部系統(tǒng)的依賴關(guān)系的細最佳：資產(chǎn)和資源的屬性完全自動分配，基于自動/觀察到的觸發(fā)器的動態(tài)策略配置，具有資產(chǎn)自發(fā)現(xiàn)能力以實現(xiàn)閾值內(nèi)動態(tài)的最小權(quán)限訪問，與跨支柱互操作性的開放標準保持一致，具有可見的歷史記錄功能以實現(xiàn)可審計的集每個支柱還包括有關(guān)該支柱的可見性分析、自動化編排以及治理的有關(guān)的通用細節(jié)。7以下是身份支柱的示例：功能基礎進階最佳析能力機構(gòu)根據(jù)基本和靜態(tài)屬性來區(qū)分用戶活動可見性機構(gòu)匯總用戶活動的可見性，并結(jié)合基本屬性進行分析和報告，以進行手動優(yōu)化機構(gòu)集中化的用戶可見性，基于高保真度屬性和用戶實體行為分析（UEBA）排能力機構(gòu)手動管理和編排（復制）身份和憑證機構(gòu)使用基本的自動化編排來聯(lián)合身份，并在身份存儲中進行授權(quán)管理機構(gòu)完全編排身份生命周期，實現(xiàn)動態(tài)用戶配置文件、動態(tài)身份、群組成員資格，并實施實時和足夠的訪問控制。治理能力機構(gòu)在初始配置后，使用靜態(tài)技術(shù)執(zhí)行憑證策略（例如，復雜性、重用性、長度、截斷、多因素身份驗證等），手動審計身份和權(quán)限機構(gòu)基于策略實施自動化權(quán)限調(diào)整。不存在共享賬戶。機構(gòu)完全自動化技術(shù)層面上的策略執(zhí)行。機構(gòu)會更新策略，以映射新的編排選項。表1示例:CISA成熟度模型身份支柱通過五個支柱來檢驗醫(yī)療設備安全，將為醫(yī)療機構(gòu)（HDO）提供明確的醫(yī)療設備安全狀況。8零信任隨著云計算、移動設備和醫(yī)療物聯(lián)網(wǎng)（IoMT）設備的廣泛應用，強大的邊界防御和定義的網(wǎng)絡邊界的理念已經(jīng)消失。此外，如今的工作人員更加分散，遠程工作者需要隨時隨地、在任何設備上進行訪問。醫(yī)療機構(gòu)需要為所有資源提供安全訪問，無論用戶的位置在哪里。零信任（ZeroTrust）原則消除了對設備、主體和網(wǎng)絡的信任假設。零信任專注于無論網(wǎng)絡位置、主體或資產(chǎn)如何，實施基于風險的訪問控制，確保安全訪問。它提供了一系列的概念，旨在通過實施嚴格的訪問控制和特權(quán)管理，最大程度地減少執(zhí)行過程中的不確定性9。它基于網(wǎng)絡已被入侵的假設，所有的訪問授權(quán)是由信息系統(tǒng)和服務的需要最終決策的。10用戶只能看到和訪問允許他們執(zhí)行指定任務的基礎架構(gòu)組件。零信任要求設備健康檢查、數(shù)據(jù)級別的保護、強大的身份架構(gòu)以及策略級的微隔離，以在醫(yī)療機構(gòu)的數(shù)字資源周圍創(chuàng)建細粒度的信任區(qū)域。零信任實時評估訪問請求和通信行為。訪問權(quán)限不斷根據(jù)HDO的資源進行重新調(diào)整。以下圖表是美國國家標準與技術(shù)研究院（NIST）11提供的零信任架構(gòu)示意圖。組織需要實施全面的信息安全和彈性實踐，以使零信任有效。在平衡現(xiàn)有的網(wǎng)絡安全政策和指南、身份和訪問管理、持續(xù)監(jiān)控以及最佳實踐的基礎上，零信任架構(gòu)可以防范常見的威脅，提升組織的安全性。使用風險管理方法的姿態(tài)。這可以在介紹或開發(fā)過程中提出。12圖2:核心零信任邏輯組件醫(yī)療設備管理項目在討論為醫(yī)療設備實施零信任之前，需要注意的是，由于大多數(shù)醫(yī)療機構(gòu)擁有大量設備，嘗試手動管理將非常耗時。醫(yī)療機構(gòu)需要工具來管理網(wǎng)絡的微細分、執(zhí)行策略、識別漏洞，并提供終端檢測和響應。此外，他們還需要一個能夠查看所有設備的管理系統(tǒng)。管理系統(tǒng)應提供所有設備及其位置的完整清單。清單應包括對設備進行設備身份識別，以提供足夠具體和詳細的清單，以便對資源請求進行近實時的有效授權(quán)決策。市面上有許多專門用于醫(yī)療設備管理系統(tǒng)，這些系統(tǒng)還可以識別與醫(yī)療設備相關(guān)的漏洞和風險。無論HDO選擇哪種產(chǎn)品，該產(chǎn)品都應提供醫(yī)療設備生態(tài)系統(tǒng)的完整圖景。身份成熟度模型的第一個支柱是身份（Identity）。身份成熟度模型的功能包括身份驗證、身份信息存儲和身份風險評估。身份是零信任架構(gòu)的核心組成部分。成熟度模型從簡單口令驗證轉(zhuǎn)向使用多種因素進行驗證，并在所有交互過程中持續(xù)驗證。身份指的是唯一描述用戶或?qū)嶓w的屬性或?qū)傩约?。HDO應確保正確用戶和設備在正確的時間能夠訪問正確的資源13。在零信任的環(huán)境下，對接入到網(wǎng)絡中的設備進行驗證，是設備獲得信任的一種重要手段。而IoMT設備的問題是，它們可能無法像其他網(wǎng)絡設備一樣進行身份驗證。HDO可能無法利用控制平面驗證IoMT設備身份，而且IoMT設備無法安裝可信模塊（TPM）。其他一些方法可以為IoMT設備提供一定程度的信任。14這些方法將在后面“網(wǎng)絡”章節(jié)部分進行討論。在將零信任策略應用于醫(yī)療設備之前，HDO必須知道存在哪些設備及它們的功能，用途和位置。因為HDO通常使用的設備數(shù)量眾多。所以這可能特別具有挑戰(zhàn)性。而且，在許多情況下，HDO可能只知道設備IP地址是屬于那個子網(wǎng)的。15HDO需要一種可靠的方法來發(fā)現(xiàn)、分類和清點管轄范圍內(nèi)的所有醫(yī)療設備。收錄的設備信息，應盡可能囊括設備的品牌、功能、位置、應用程序/端口和行為等信息。入網(wǎng)醫(yī)療設備是否安全依賴于對其的身份認證。只有經(jīng)過身份認證入網(wǎng)的醫(yī)療設備，才會被視為可信的，能夠按預期執(zhí)行操作的。然后再通過網(wǎng)絡連接到服務器，如病人監(jiān)控設備連接到工作站/服務器。對這些設備身份而言，用于管理設備用戶的標準化身份標識是不存在的，如某些機器不攜帶加密令牌來標P這是一種反常規(guī)實踐的行為）HDO環(huán)境下，身份認證和授權(quán)必須基于機器固有的方式，使用安全存儲和注入的憑據(jù)，聯(lián)用/或單用證書等機制作為整個過程的一部分。醫(yī)療設備屬性應被當做設備安全運行環(huán)境信任狀態(tài)的上下文信息，且設備的安全運行環(huán)境信任狀態(tài)是動態(tài)的。醫(yī)療設備屬性結(jié)合設備強標識、運行環(huán)境、當前運行條件等信息HDO收集有關(guān)（PDP），如下圖所示。圖3:零信任網(wǎng)絡數(shù)據(jù)流設備第二個支柱是設備。設備是可以連接到網(wǎng)絡的任何硬件資產(chǎn)，包括IoMT設備以及相關(guān)管理終端和人機交互終端。設備成熟度模型包括合規(guī)監(jiān)視、數(shù)據(jù)訪問和資產(chǎn)管理三個部分。HDOs必須確保只有滿足安全合規(guī)要求的設備才能訪問到服務和數(shù)據(jù)。設備成熟度模型會將執(zhí)行策略推向邊緣側(cè)的終端設備，以增強向用戶直接提供服務和數(shù)據(jù)的能力，而無需通過傳統(tǒng)的人工操作設備進行路由。16雖然聯(lián)網(wǎng)的醫(yī)療設備提高了HDOs優(yōu)質(zhì)醫(yī)療服務的能力，但它們也帶來了安全問題，使病人和HDOs面臨網(wǎng)絡安全和信息泄露的風險。以下是聯(lián)網(wǎng)醫(yī)療設備安全管理的一些挑戰(zhàn)：HDOIoMTIoMTIoMTHDO可以通過對醫(yī)療設備行完整和準確的清點梳理和風險評估來應對這些挑戰(zhàn)。17借助零信任框架，HDO可以最大限度地降低聯(lián)網(wǎng)的醫(yī)療設備安全風險。以下建議可幫助HDO使用零信任措施實現(xiàn)設備安全：編排的可見性：全局可見性實現(xiàn)需要一份全面分析、風險分值動態(tài)記錄的有（值得注意的是，檢測未經(jīng)授權(quán)的資產(chǎn)行為，不僅需對授權(quán)行為有詳細的了解，而且要對每類設備的操作要求和工作流程有所分析和了解。）在這基礎上，進行相關(guān)更改時，正確的數(shù)據(jù)將會被即刻提供給正確的系統(tǒng)和工作負載。在這種情境下，醫(yī)療設備管理系統(tǒng)執(zhí)行編排操作，僅依賴被動地從網(wǎng)絡流量中捕獲的設備數(shù)據(jù)是不夠的，還要主動獲取保存在其他網(wǎng)絡系統(tǒng)中的數(shù)據(jù)。例如，終端檢測和響應系統(tǒng)或者其它上下文處理和響應相關(guān)系統(tǒng)的數(shù)據(jù)。擴展檢測和響應（XDR）XDR擴展了端點檢測和響應能力（提供實時多域檢測和編排響應的能力）HDO環(huán)境下威脅的可見性，加速了安全操作，并降低風險。XDR通常是一個位于云端的集成多種安全產(chǎn)品和數(shù)據(jù)的工具，能夠提供整體的、優(yōu)越的安全能力。XDR安全為預防、檢測、調(diào)查和響應提出了一個高效、主動的解決方案，提供了可見化、安全分析、HDO動態(tài)隔離：為了遏制對網(wǎng)段的破壞，必須快速地創(chuàng)建適當?shù)陌踩呗?，并允許在部署之前進行驗證。創(chuàng)建不太復雜的、合理的安全策略一直是醫(yī)療保健領(lǐng)域的一項挑戰(zhàn)。經(jīng)過多年發(fā)展，醫(yī)療設備管理系統(tǒng)現(xiàn)在可以自動生成策略基線。并且，由于這程序知道每個設備的操作要求（例如，內(nèi)部/外部連接要求、預期的工作流程等）。因此它能夠高效自動化地完成這項工作。通過與18網(wǎng)絡第三個支柱是網(wǎng)絡。網(wǎng)絡是指開放的通信媒介，包括內(nèi)部網(wǎng)絡、無線和互聯(lián)網(wǎng)。網(wǎng)絡成熟度模型包括隔離、威脅防護和加密三塊內(nèi)容。HDO需要根據(jù)應用程序工作流的需求來調(diào)整網(wǎng)絡隔離和保護，而不是傳統(tǒng)網(wǎng)絡隔離中固有的隱式信任。19醫(yī)療設備的聯(lián)網(wǎng)是造成安全風險的原因。雖然安全源于設備，但HDOs必須設法解決網(wǎng)絡拓撲問題。當企業(yè)局域網(wǎng)中的設備需要連接其他設備時，它們需要一個標準來識別彼此。這個標準就是IEEE802.1X2020。通過使用802.1X協(xié)議能夠增強醫(yī)療設備的安全性。IEEE802.1X是IEEE802.1X工作組定義的一個標準，該標準定義了在有線和無線網(wǎng)絡中采用身份驗證實現(xiàn)基于端口的訪問控制。RADIUS服務根據(jù)用戶的憑據(jù)或證書進行身份鑒別。要理解圖4所示的802.1X，需要理解三個術(shù)語：(AS實際執(zhí)行認證的服務器，通常是一個RADIUS:X802.1X非常適合21圖4:CCNA研究指南中基本的EAP認證基本的EAP認證方式包括： EAP(LEAP):認證流程為由客戶端提供認證憑據(jù)給認證服務器，例EAP的安全隧道(EAP-FAST):該方式通過在請求方和認證服務器之間EAP(PEAP):使用內(nèi)部和外部身份認證。然而，在外部認證中，認EAP(EAP-TLS):認證服務器和請求方通過交換證書相互認證身份。EAP-TLSCA22需要注意的是，并不是所有的醫(yī)療設備都可以使用802.1X中提供的安全認證方式。MAC認證旁路(MAB)，認證服務器可以使用客戶端設備的MAC地址對其進行認證，而不是通過這里概述的EAPOL認證過程。MABMAC地址來確定網(wǎng)絡訪問級別。MAB在網(wǎng)絡邊緣為不支持IEEE802.1X的IoMTMAB的端口可以根據(jù)MACIEEE802.1X之前和之后圖5MAB前后對比，檢索自Cisco在MAB認證之前，設備的身份是未知的，流量被阻斷。交換機檢查單個報文，并學習和認證源MAC地址。MAB認證成功后，設備的身份變?yōu)橐阎?，來自該設備的流量就被允許通過。允許通過。23MABMAC地址外的其它身份標識項，這使它不能成為一個安全的身份認MAC地址很容易仿冒。使用醫(yī)療設備管理系統(tǒng)和微隔離才是安全的。醫(yī)療在CSA云安全聯(lián)盟的“醫(yī)療設備入云的風險管理”白皮書中，強調(diào)了醫(yī)療設備分段和隔離的重要性。24在零信任的環(huán)境中，我們需要更進一步實現(xiàn)微隔離。雖然微隔離聽起來像是對隔離的一種微小的增量改進，但實際上它代表著整體關(guān)注點的重大改變。傳統(tǒng)的網(wǎng)絡隔離關(guān)注的是網(wǎng)絡性能和管理。然而，微隔離解決的是安全性和業(yè)務敏捷性相關(guān)的問題。微隔離是動態(tài)變化的IT環(huán)境中減少風險和自適應安全的強有力方法。微隔離通過將IT環(huán)境劃分為可控的隔離域來解決阻止橫向移動的挑戰(zhàn)，允許基于應用概念的安全規(guī)則，當應用程序和基礎設施發(fā)生變化時自動重新配置，從而使安全具有動態(tài)性。25微隔離創(chuàng)建跨云和數(shù)據(jù)中心環(huán)境的安全域，使工作負載彼此隔離來分別的保證它們的安全。防火墻策略基于零信任安全方法隔離工作負載之間的東西向流量，以減少攻擊面，并防止威脅的橫向移動以阻止入侵。醫(yī)療設備管理系統(tǒng)可以將策略推到策略執(zhí)行點執(zhí)行動態(tài)策略配置。所有醫(yī)療設備流量都應使用醫(yī)療設備管理系統(tǒng)和安全監(jiān)控與響應軟件進行監(jiān)控。例如：EDR、MDR、NDR和XDR。如果發(fā)現(xiàn)異常，HDO可以執(zhí)行限制橫向移動和防止惡意軟件和非法活動傳播的策略。此外，所有的網(wǎng)絡流量都應該被加密。應用第四個支柱是應用，包括在本地和云端執(zhí)行的應用程序。應用程序成熟度模型的功能包括訪問授權(quán)、威脅防護、可訪問性和應用程序安全。HDOs需要將安全防護與應用工作流緊密結(jié)合起來，以確保具有提供足夠的安全所需的可見性和理解力。流緊密結(jié)合起來，以確保具有提供足夠的安全所需的可見性和理解力。26確保醫(yī)療設備應用程序的安全性是防止設備被攻擊的關(guān)鍵。零信任安全模型可以做到這一點，但零信任不是一個產(chǎn)品，而是一種可以轉(zhuǎn)化為安全的網(wǎng)絡和應用架構(gòu)的方法和準則。本質(zhì)上，它是一個解決方案生態(tài)系統(tǒng)的融合，能夠確保默認情況下沒有任何內(nèi)部或外部的用戶或設備是被信任的，在獲得應用程序訪問權(quán)限之前需要進行驗證。為保護醫(yī)療設備應用，需要進行以下操作。27訪問前進行身份認證：這涉及到構(gòu)建零信任環(huán)境，以便內(nèi)部和外部用戶在授最小權(quán)限訪問模型：設備連接應基于最小權(quán)限的策略。為此，HDO必須確定用戶試圖完成什么、正在訪問的服務類型以及所需的通信協(xié)議。一旦確定，就可以驗證是否應該根據(jù)當前情況允許訪問。即使授予了訪問權(quán)限，也應該28微隔離：微隔離允許企業(yè)簡單地將物理網(wǎng)絡劃分為邏輯網(wǎng)絡分段，然后進行保護，通過僅允許已授予訪問權(quán)限的人員查看數(shù)據(jù)來降低風險。微隔離旨在使攻擊面盡可能小，同時防止未經(jīng)授權(quán)的橫向移動。傳入應用進程請求的來29持續(xù)驗證/監(jiān)控：在向特定用戶在特定設備上及特定位置上提供應用進程訪問權(quán)限后，需要持續(xù)監(jiān)控，以便在風險級別發(fā)生變化時可以終止連接以最大程度地降低風險。醫(yī)療設備管理進程和XDR支持從網(wǎng)絡級別進行監(jiān)控，這是此外，無論是內(nèi)部還是外部訪問的動態(tài)和靜態(tài)數(shù)據(jù)加密對于應用進程安全性都至關(guān)重要。要。30數(shù)據(jù)第五個支柱是數(shù)據(jù)。數(shù)據(jù)應該在設備、應用進程和網(wǎng)絡上受到保護。數(shù)據(jù)成熟度模型功能是資產(chǎn)管理、訪問決策和加密。HDO應該采用以數(shù)據(jù)為中心的安全方法。HDO需要識別、分類和清點所有數(shù)據(jù)資產(chǎn)。31醫(yī)療設備產(chǎn)生大量的面向各種用途的電子保護健康信息(ePHI)，這些信息數(shù)據(jù)用于診斷、監(jiān)測和治療患者，有助于提供安全有效的醫(yī)療保健。此外，這些數(shù)據(jù)還可用于人口健零信任框架下的數(shù)據(jù)使用是基于顆粒化的訪