2024零信任架構(gòu)醫(yī)療設(shè)備安全

零信任架構(gòu)醫(yī)療設(shè)備安全2024目錄TOC\o"1-1"\h\z\u概述 8介紹 8零信任 11醫(yī)療設(shè)備管理項目 12身份 13設(shè)備 14網(wǎng)絡(luò) 16應(yīng)用 19數(shù)據(jù) 21結(jié)論 226概述確保某個網(wǎng)絡(luò)的安全首先要了解與之相連的一切事物，包括用戶、設(shè)備、應(yīng)用程序、)帶來了攻擊面擴大、風(fēng)險提升的困擾1HDO構(gòu)成了重大安全風(fēng)險，可2介紹隨著網(wǎng)絡(luò)攻擊的顯著增加，醫(yī)療健康行業(yè)需要確保系統(tǒng)和設(shè)備的網(wǎng)絡(luò)及數(shù)據(jù)安全。HDO通常有成百上千個醫(yī)療設(shè)備連接到醫(yī)療網(wǎng)絡(luò)中，且每個醫(yī)療設(shè)備本身的軟/硬件環(huán)境和應(yīng)用程序存在多個安全漏洞。3其中小到嵌入式設(shè)備，大到基于服務(wù)器的系統(tǒng)，都無一HDO致力于保護這些設(shè)備做出的一系列探索得出結(jié)論：一種切實可行的方法就是實施零信任架構(gòu)(ZTA)。從安全的角度來看，醫(yī)療保健行業(yè)面臨極高的風(fēng)險，每天發(fā)生的勒索軟件攻擊和數(shù)據(jù)(PHI)的系統(tǒng)、醫(yī)療設(shè)備，甚至保存救生藥物和治療的冰箱都連接到HDOs4傳統(tǒng)的網(wǎng)絡(luò)安全會使用邊界隔離的方法，即HDO構(gòu)建強大的外部安全邊界并信任邊HDO更易受到來自內(nèi)部的5HDO零信任成熟度的五個支柱分別是：“零信任成熟度模型代表了五個不同支柱的實施梯度，隨著時間的推移可以在優(yōu)化方16圖1：零信任的基礎(chǔ)以下描述可用于確定每個階段的不同零信任技術(shù)支柱的成熟度，并提供完整一致的成熟度模型：基礎(chǔ)：手動配置和屬性分配，靜態(tài)安全策略、對外部系統(tǒng)具有粗略依賴性的進階：一些跨支柱協(xié)調(diào)、集中可見性、集中身份控制、基于跨支柱輸入和輸出的策略實施，對預(yù)定義響應(yīng)的一些事件響應(yīng)，對外部系統(tǒng)的依賴關(guān)系的細(xì)最佳：資產(chǎn)和資源的屬性完全自動分配，基于自動/觀察到的觸發(fā)器的動態(tài)策略配置，具有資產(chǎn)自發(fā)現(xiàn)能力以實現(xiàn)閾值內(nèi)動態(tài)的最小權(quán)限訪問，與跨支柱互操作性的開放標(biāo)準(zhǔn)保持一致，具有可見的歷史記錄功能以實現(xiàn)可審計的集每個支柱還包括有關(guān)該支柱的可見性分析、自動化編排以及治理的有關(guān)的通用細(xì)節(jié)。7以下是身份支柱的示例：功能基礎(chǔ)進階最佳析能力機構(gòu)根據(jù)基本和靜態(tài)屬性來區(qū)分用戶活動可見性機構(gòu)匯總用戶活動的可見性，并結(jié)合基本屬性進行分析和報告，以進行手動優(yōu)化機構(gòu)集中化的用戶可見性，基于高保真度屬性和用戶實體行為分析（UEBA）排能力機構(gòu)手動管理和編排（復(fù)制）身份和憑證機構(gòu)使用基本的自動化編排來聯(lián)合身份，并在身份存儲中進行授權(quán)管理機構(gòu)完全編排身份生命周期，實現(xiàn)動態(tài)用戶配置文件、動態(tài)身份、群組成員資格，并實施實時和足夠的訪問控制。治理能力機構(gòu)在初始配置后，使用靜態(tài)技術(shù)執(zhí)行憑證策略（例如，復(fù)雜性、重用性、長度、截斷、多因素身份驗證等），手動審計身份和權(quán)限機構(gòu)基于策略實施自動化權(quán)限調(diào)整。不存在共享賬戶。機構(gòu)完全自動化技術(shù)層面上的策略執(zhí)行。機構(gòu)會更新策略，以映射新的編排選項。表1示例:CISA成熟度模型身份支柱通過五個支柱來檢驗醫(yī)療設(shè)備安全，將為醫(yī)療機構(gòu)（HDO）提供明確的醫(yī)療設(shè)備安全狀況。8零信任隨著云計算、移動設(shè)備和醫(yī)療物聯(lián)網(wǎng)（IoMT）設(shè)備的廣泛應(yīng)用，強大的邊界防御和定義的網(wǎng)絡(luò)邊界的理念已經(jīng)消失。此外，如今的工作人員更加分散，遠(yuǎn)程工作者需要隨時隨地、在任何設(shè)備上進行訪問。醫(yī)療機構(gòu)需要為所有資源提供安全訪問，無論用戶的位置在哪里。零信任（ZeroTrust）原則消除了對設(shè)備、主體和網(wǎng)絡(luò)的信任假設(shè)。零信任專注于無論網(wǎng)絡(luò)位置、主體或資產(chǎn)如何，實施基于風(fēng)險的訪問控制，確保安全訪問。它提供了一系列的概念，旨在通過實施嚴(yán)格的訪問控制和特權(quán)管理，最大程度地減少執(zhí)行過程中的不確定性9。它基于網(wǎng)絡(luò)已被入侵的假設(shè)，所有的訪問授權(quán)是由信息系統(tǒng)和服務(wù)的需要最終決策的。10用戶只能看到和訪問允許他們執(zhí)行指定任務(wù)的基礎(chǔ)架構(gòu)組件。零信任要求設(shè)備健康檢查、數(shù)據(jù)級別的保護、強大的身份架構(gòu)以及策略級的微隔離，以在醫(yī)療機構(gòu)的數(shù)字資源周圍創(chuàng)建細(xì)粒度的信任區(qū)域。零信任實時評估訪問請求和通信行為。訪問權(quán)限不斷根據(jù)HDO的資源進行重新調(diào)整。以下圖表是美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）11提供的零信任架構(gòu)示意圖。組織需要實施全面的信息安全和彈性實踐，以使零信任有效。在平衡現(xiàn)有的網(wǎng)絡(luò)安全政策和指南、身份和訪問管理、持續(xù)監(jiān)控以及最佳實踐的基礎(chǔ)上，零信任架構(gòu)可以防范常見的威脅，提升組織的安全性。使用風(fēng)險管理方法的姿態(tài)。這可以在介紹或開發(fā)過程中提出。12圖2:核心零信任邏輯組件醫(yī)療設(shè)備管理項目在討論為醫(yī)療設(shè)備實施零信任之前，需要注意的是，由于大多數(shù)醫(yī)療機構(gòu)擁有大量設(shè)備，嘗試手動管理將非常耗時。醫(yī)療機構(gòu)需要工具來管理網(wǎng)絡(luò)的微細(xì)分、執(zhí)行策略、識別漏洞，并提供終端檢測和響應(yīng)。此外，他們還需要一個能夠查看所有設(shè)備的管理系統(tǒng)。管理系統(tǒng)應(yīng)提供所有設(shè)備及其位置的完整清單。清單應(yīng)包括對設(shè)備進行設(shè)備身份識別，以提供足夠具體和詳細(xì)的清單，以便對資源請求進行近實時的有效授權(quán)決策。市面上有許多專門用于醫(yī)療設(shè)備管理系統(tǒng)，這些系統(tǒng)還可以識別與醫(yī)療設(shè)備相關(guān)的漏洞和風(fēng)險。無論HDO選擇哪種產(chǎn)品，該產(chǎn)品都應(yīng)提供醫(yī)療設(shè)備生態(tài)系統(tǒng)的完整圖景。身份成熟度模型的第一個支柱是身份（Identity）。身份成熟度模型的功能包括身份驗證、身份信息存儲和身份風(fēng)險評估。身份是零信任架構(gòu)的核心組成部分。成熟度模型從簡單口令驗證轉(zhuǎn)向使用多種因素進行驗證，并在所有交互過程中持續(xù)驗證。身份指的是唯一描述用戶或?qū)嶓w的屬性或?qū)傩约?。HDO應(yīng)確保正確用戶和設(shè)備在正確的時間能夠訪問正確的資源13。在零信任的環(huán)境下，對接入到網(wǎng)絡(luò)中的設(shè)備進行驗證，是設(shè)備獲得信任的一種重要手段。而IoMT設(shè)備的問題是，它們可能無法像其他網(wǎng)絡(luò)設(shè)備一樣進行身份驗證。HDO可能無法利用控制平面驗證IoMT設(shè)備身份，而且IoMT設(shè)備無法安裝可信模塊（TPM）。其他一些方法可以為IoMT設(shè)備提供一定程度的信任。14這些方法將在后面“網(wǎng)絡(luò)”章節(jié)部分進行討論。在將零信任策略應(yīng)用于醫(yī)療設(shè)備之前，HDO必須知道存在哪些設(shè)備及它們的功能，用途和位置。因為HDO通常使用的設(shè)備數(shù)量眾多。所以這可能特別具有挑戰(zhàn)性。而且，在許多情況下，HDO可能只知道設(shè)備IP地址是屬于那個子網(wǎng)的。15HDO需要一種可靠的方法來發(fā)現(xiàn)、分類和清點管轄范圍內(nèi)的所有醫(yī)療設(shè)備。收錄的設(shè)備信息，應(yīng)盡可能囊括設(shè)備的品牌、功能、位置、應(yīng)用程序/端口和行為等信息。入網(wǎng)醫(yī)療設(shè)備是否安全依賴于對其的身份認(rèn)證。只有經(jīng)過身份認(rèn)證入網(wǎng)的醫(yī)療設(shè)備，才會被視為可信的，能夠按預(yù)期執(zhí)行操作的。然后再通過網(wǎng)絡(luò)連接到服務(wù)器，如病人監(jiān)控設(shè)備連接到工作站/服務(wù)器。對這些設(shè)備身份而言，用于管理設(shè)備用戶的標(biāo)準(zhǔn)化身份標(biāo)識是不存在的，如某些機器不攜帶加密令牌來標(biāo)P這是一種反常規(guī)實踐的行為）HDO環(huán)境下，身份認(rèn)證和授權(quán)必須基于機器固有的方式，使用安全存儲和注入的憑據(jù)，聯(lián)用/或單用證書等機制作為整個過程的一部分。醫(yī)療設(shè)備屬性應(yīng)被當(dāng)做設(shè)備安全運行環(huán)境信任狀態(tài)的上下文信息，且設(shè)備的安全運行環(huán)境信任狀態(tài)是動態(tài)的。醫(yī)療設(shè)備屬性結(jié)合設(shè)備強標(biāo)識、運行環(huán)境、當(dāng)前運行條件等信息HDO收集有關(guān)（PDP），如下圖所示。圖3:零信任網(wǎng)絡(luò)數(shù)據(jù)流設(shè)備第二個支柱是設(shè)備。設(shè)備是可以連接到網(wǎng)絡(luò)的任何硬件資產(chǎn)，包括IoMT設(shè)備以及相關(guān)管理終端和人機交互終端。設(shè)備成熟度模型包括合規(guī)監(jiān)視、數(shù)據(jù)訪問和資產(chǎn)管理三個部分。HDOs必須確保只有滿足安全合規(guī)要求的設(shè)備才能訪問到服務(wù)和數(shù)據(jù)。設(shè)備成熟度模型會將執(zhí)行策略推向邊緣側(cè)的終端設(shè)備，以增強向用戶直接提供服務(wù)和數(shù)據(jù)的能力，而無需通過傳統(tǒng)的人工操作設(shè)備進行路由。16雖然聯(lián)網(wǎng)的醫(yī)療設(shè)備提高了HDOs優(yōu)質(zhì)醫(yī)療服務(wù)的能力，但它們也帶來了安全問題，使病人和HDOs面臨網(wǎng)絡(luò)安全和信息泄露的風(fēng)險。以下是聯(lián)網(wǎng)醫(yī)療設(shè)備安全管理的一些挑戰(zhàn)：HDOIoMTIoMTIoMTHDO可以通過對醫(yī)療設(shè)備行完整和準(zhǔn)確的清點梳理和風(fēng)險評估來應(yīng)對這些挑戰(zhàn)。17借助零信任框架，HDO可以最大限度地降低聯(lián)網(wǎng)的醫(yī)療設(shè)備安全風(fēng)險。以下建議可幫助HDO使用零信任措施實現(xiàn)設(shè)備安全：編排的可見性：全局可見性實現(xiàn)需要一份全面分析、風(fēng)險分值動態(tài)記錄的有（值得注意的是，檢測未經(jīng)授權(quán)的資產(chǎn)行為，不僅需對授權(quán)行為有詳細(xì)的了解，而且要對每類設(shè)備的操作要求和工作流程有所分析和了解。）在這基礎(chǔ)上，進行相關(guān)更改時，正確的數(shù)據(jù)將會被即刻提供給正確的系統(tǒng)和工作負(fù)載。在這種情境下，醫(yī)療設(shè)備管理系統(tǒng)執(zhí)行編排操作，僅依賴被動地從網(wǎng)絡(luò)流量中捕獲的設(shè)備數(shù)據(jù)是不夠的，還要主動獲取保存在其他網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)。例如，終端檢測和響應(yīng)系統(tǒng)或者其它上下文處理和響應(yīng)相關(guān)系統(tǒng)的數(shù)據(jù)。擴展檢測和響應(yīng)（XDR）XDR擴展了端點檢測和響應(yīng)能力（提供實時多域檢測和編排響應(yīng)的能力）HDO環(huán)境下威脅的可見性，加速了安全操作，并降低風(fēng)險。XDR通常是一個位于云端的集成多種安全產(chǎn)品和數(shù)據(jù)的工具，能夠提供整體的、優(yōu)越的安全能力。XDR安全為預(yù)防、檢測、調(diào)查和響應(yīng)提出了一個高效、主動的解決方案，提供了可見化、安全分析、HDO動態(tài)隔離：為了遏制對網(wǎng)段的破壞，必須快速地創(chuàng)建適當(dāng)?shù)陌踩呗?，并允許在部署之前進行驗證。創(chuàng)建不太復(fù)雜的、合理的安全策略一直是醫(yī)療保健領(lǐng)域的一項挑戰(zhàn)。經(jīng)過多年發(fā)展，醫(yī)療設(shè)備管理系統(tǒng)現(xiàn)在可以自動生成策略基線。并且，由于這程序知道每個設(shè)備的操作要求（例如，內(nèi)部/外部連接要求、預(yù)期的工作流程等）。因此它能夠高效自動化地完成這項工作。通過與18網(wǎng)絡(luò)第三個支柱是網(wǎng)絡(luò)。網(wǎng)絡(luò)是指開放的通信媒介，包括內(nèi)部網(wǎng)絡(luò)、無線和互聯(lián)網(wǎng)。網(wǎng)絡(luò)成熟度模型包括隔離、威脅防護和加密三塊內(nèi)容。HDO需要根據(jù)應(yīng)用程序工作流的需求來調(diào)整網(wǎng)絡(luò)隔離和保護，而不是傳統(tǒng)網(wǎng)絡(luò)隔離中固有的隱式信任。19醫(yī)療設(shè)備的聯(lián)網(wǎng)是造成安全風(fēng)險的原因。雖然安全源于設(shè)備，但HDOs必須設(shè)法解決網(wǎng)絡(luò)拓?fù)鋯栴}。當(dāng)企業(yè)局域網(wǎng)中的設(shè)備需要連接其他設(shè)備時，它們需要一個標(biāo)準(zhǔn)來識別彼此。這個標(biāo)準(zhǔn)就是IEEE802.1X2020。通過使用802.1X協(xié)議能夠增強醫(yī)療設(shè)備的安全性。IEEE802.1X是IEEE802.1X工作組定義的一個標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了在有線和無線網(wǎng)絡(luò)中采用身份驗證實現(xiàn)基于端口的訪問控制。RADIUS服務(wù)根據(jù)用戶的憑據(jù)或證書進行身份鑒別。要理解圖4所示的802.1X，需要理解三個術(shù)語：(AS實際執(zhí)行認(rèn)證的服務(wù)器，通常是一個RADIUS:X802.1X非常適合21圖4:CCNA研究指南中基本的EAP認(rèn)證基本的EAP認(rèn)證方式包括： EAP(LEAP):認(rèn)證流程為由客戶端提供認(rèn)證憑據(jù)給認(rèn)證服務(wù)器，例EAP的安全隧道(EAP-FAST):該方式通過在請求方和認(rèn)證服務(wù)器之間EAP(PEAP):使用內(nèi)部和外部身份認(rèn)證。然而，在外部認(rèn)證中，認(rèn)EAP(EAP-TLS):認(rèn)證服務(wù)器和請求方通過交換證書相互認(rèn)證身份。EAP-TLSCA22需要注意的是，并不是所有的醫(yī)療設(shè)備都可以使用802.1X中提供的安全認(rèn)證方式。MAC認(rèn)證旁路(MAB)，認(rèn)證服務(wù)器可以使用客戶端設(shè)備的MAC地址對其進行認(rèn)證，而不是通過這里概述的EAPOL認(rèn)證過程。MABMAC地址來確定網(wǎng)絡(luò)訪問級別。MAB在網(wǎng)絡(luò)邊緣為不支持IEEE802.1X的IoMTMAB的端口可以根據(jù)MACIEEE802.1X之前和之后圖5MAB前后對比，檢索自Cisco在MAB認(rèn)證之前，設(shè)備的身份是未知的，流量被阻斷。交換機檢查單個報文，并學(xué)習(xí)和認(rèn)證源MAC地址。MAB認(rèn)證成功后，設(shè)備的身份變?yōu)橐阎?，來自該設(shè)備的流量就被允許通過。允許通過。23MABMAC地址外的其它身份標(biāo)識項，這使它不能成為一個安全的身份認(rèn)MAC地址很容易仿冒。使用醫(yī)療設(shè)備管理系統(tǒng)和微隔離才是安全的。醫(yī)療在CSA云安全聯(lián)盟的“醫(yī)療設(shè)備入云的風(fēng)險管理”白皮書中，強調(diào)了醫(yī)療設(shè)備分段和隔離的重要性。24在零信任的環(huán)境中，我們需要更進一步實現(xiàn)微隔離。雖然微隔離聽起來像是對隔離的一種微小的增量改進，但實際上它代表著整體關(guān)注點的重大改變。傳統(tǒng)的網(wǎng)絡(luò)隔離關(guān)注的是網(wǎng)絡(luò)性能和管理。然而，微隔離解決的是安全性和業(yè)務(wù)敏捷性相關(guān)的問題。微隔離是動態(tài)變化的IT環(huán)境中減少風(fēng)險和自適應(yīng)安全的強有力方法。微隔離通過將IT環(huán)境劃分為可控的隔離域來解決阻止橫向移動的挑戰(zhàn)，允許基于應(yīng)用概念的安全規(guī)則，當(dāng)應(yīng)用程序和基礎(chǔ)設(shè)施發(fā)生變化時自動重新配置，從而使安全具有動態(tài)性。25微隔離創(chuàng)建跨云和數(shù)據(jù)中心環(huán)境的安全域，使工作負(fù)載彼此隔離來分別的保證它們的安全。防火墻策略基于零信任安全方法隔離工作負(fù)載之間的東西向流量，以減少攻擊面，并防止威脅的橫向移動以阻止入侵。醫(yī)療設(shè)備管理系統(tǒng)可以將策略推到策略執(zhí)行點執(zhí)行動態(tài)策略配置。所有醫(yī)療設(shè)備流量都應(yīng)使用醫(yī)療設(shè)備管理系統(tǒng)和安全監(jiān)控與響應(yīng)軟件進行監(jiān)控。例如：EDR、MDR、NDR和XDR。如果發(fā)現(xiàn)異常，HDO可以執(zhí)行限制橫向移動和防止惡意軟件和非法活動傳播的策略。此外，所有的網(wǎng)絡(luò)流量都應(yīng)該被加密。應(yīng)用第四個支柱是應(yīng)用，包括在本地和云端執(zhí)行的應(yīng)用程序。應(yīng)用程序成熟度模型的功能包括訪問授權(quán)、威脅防護、可訪問性和應(yīng)用程序安全。HDOs需要將安全防護與應(yīng)用工作流緊密結(jié)合起來，以確保具有提供足夠的安全所需的可見性和理解力。流緊密結(jié)合起來，以確保具有提供足夠的安全所需的可見性和理解力。26確保醫(yī)療設(shè)備應(yīng)用程序的安全性是防止設(shè)備被攻擊的關(guān)鍵。零信任安全模型可以做到這一點，但零信任不是一個產(chǎn)品，而是一種可以轉(zhuǎn)化為安全的網(wǎng)絡(luò)和應(yīng)用架構(gòu)的方法和準(zhǔn)則。本質(zhì)上，它是一個解決方案生態(tài)系統(tǒng)的融合，能夠確保默認(rèn)情況下沒有任何內(nèi)部或外部的用戶或設(shè)備是被信任的，在獲得應(yīng)用程序訪問權(quán)限之前需要進行驗證。為保護醫(yī)療設(shè)備應(yīng)用，需要進行以下操作。27訪問前進行身份認(rèn)證：這涉及到構(gòu)建零信任環(huán)境，以便內(nèi)部和外部用戶在授最小權(quán)限訪問模型：設(shè)備連接應(yīng)基于最小權(quán)限的策略。為此，HDO必須確定用戶試圖完成什么、正在訪問的服務(wù)類型以及所需的通信協(xié)議。一旦確定，就可以驗證是否應(yīng)該根據(jù)當(dāng)前情況允許訪問。即使授予了訪問權(quán)限，也應(yīng)該28微隔離：微隔離允許企業(yè)簡單地將物理網(wǎng)絡(luò)劃分為邏輯網(wǎng)絡(luò)分段，然后進行保護，通過僅允許已授予訪問權(quán)限的人員查看數(shù)據(jù)來降低風(fēng)險。微隔離旨在使攻擊面盡可能小，同時防止未經(jīng)授權(quán)的橫向移動。傳入應(yīng)用進程請求的來29持續(xù)驗證/監(jiān)控：在向特定用戶在特定設(shè)備上及特定位置上提供應(yīng)用進程訪問權(quán)限后，需要持續(xù)監(jiān)控，以便在風(fēng)險級別發(fā)生變化時可以終止連接以最大程度地降低風(fēng)險。醫(yī)療設(shè)備管理進程和XDR支持從網(wǎng)絡(luò)級別進行監(jiān)控，這是此外，無論是內(nèi)部還是外部訪問的動態(tài)和靜態(tài)數(shù)據(jù)加密對于應(yīng)用進程安全性都至關(guān)重要。要。30數(shù)據(jù)第五個支柱是數(shù)據(jù)。數(shù)據(jù)應(yīng)該在設(shè)備、應(yīng)用進程和網(wǎng)絡(luò)上受到保護。數(shù)據(jù)成熟度模型功能是資產(chǎn)管理、訪問決策和加密。HDO應(yīng)該采用以數(shù)據(jù)為中心的安全方法。HDO需要識別、分類和清點所有數(shù)據(jù)資產(chǎn)。31醫(yī)療設(shè)備產(chǎn)生大量的面向各種用途的電子保護健康信息(ePHI)，這些信息數(shù)據(jù)用于診斷、監(jiān)測和治療患者，有助于提供安全有效的醫(yī)療保健。此外，這些數(shù)據(jù)還可用于人口健零信任框架下的數(shù)據(jù)使用是基于顆?；脑L