来自 安全 2021-10-13 00:22 的文章

防cc_防御ddos服务器_超稳定

防cc_防御ddos服务器_超稳定

Tenable Research调查了美国医疗行业EHR应用的合规标准,并讨论了这些标准覆盖范围可能存在的差距。提供了真实世界的例子来说明潜在的安全影响。撇开政治和立法不谈,美国医疗保健行业一团糟已不是什么秘密。众所周知,医院网络和小型医疗机构都运行过时和易受攻击的软件。再加上供应商们像一群人一样加入到戴夫·马修斯的乐队表演中,加入了"智能事物"的潮流,ddos防御措施,医疗技术的世界是一个可怕的地方。从起搏器恶意软件到受损的胰岛素泵,从大规模违规到勒索软件攻击,医疗行业的各个方面都存在严重问题,对消费者和最终用户有着明确和直接的影响。鉴于大规模违规行为的普遍性,人们普遍认为,javaddos攻击防御,大多数人的数据,如登录凭证、个人信息和信用信息,已经被盗。这种性质的侵犯隐私的行为只是我们必须面对的现实。也许受这一趋势影响最显著的行业之一确实是医疗保健行业,但这些违规行为不仅限于用户名和信用卡号码,还包括个人健康信息。这些妥协正在各种规模的组织中发生,从农村郊区的小诊所到大城市地区的大医院。虽然这些漏洞成为了引人注目的头条新闻,但除了对所涉及的攻击载体进行表面分析之外,我们通常看不到更多。换句话说,我们很少能看到攻击者如何危害这些与健康相关的应用程序的所有血腥细节。这就是我们今天要谈的。创建标准电子健康记录或电子医疗记录(EHR/EMR)是患者病史的数字记录。管理这些记录的应用程序通常也有其他用途,例如以电子方式订购处方、安排预约、为医疗成像设备提供接口、处理付款和保险信息以及其他各种机构管理功能。在过去的十年中,任何一个看过医生的人都可能看过一个或多个这样的应用程序。然而,大多数人可能并不熟悉管理这些应用程序的认证标准。*简而言之,2009年,美国政府决定鼓励执业医师开始使用经认证的健康应用程序,以便在整个行业内实现可互操作的患者记录和标准化指标,以提供一套有意义的使用和临床质量测量。这些标准是定期审查和重新评估的,但它们今天的存在形式与2009年基本相同。虽然医疗机构仍有一些选择的自由,但他们很可能会坚持使用经过认证的产品,以获得奖励奖金。与任何合规性标准一样,比如PCI,游戏的一个重要部分就是弄清楚如何让拿着剪贴板的人检查每个复选框并给他们一个认可的印章。虽然显然不是完美的,但这些认证是必要的,至少可以确保一些基本的合规性。作为一名安全专业人士,我在处理健康相关软件和EHR认证流程方面有一定的背景,我主要关注有关患者信息安全和隐私的认证标准。值得注意的是,虽然HIPAA(一项旨在保护患者信息交流的总体政策)显然在某种程度上涉及其中,但关于这一特定立法的讨论最好留到下次讨论。在国家卫生信息技术协调员办公室(ONC-Health-IT)认证标准中,只有少数几个标准甚至提到了安全或隐私相关事项。这些标准大多低于170.315(d)。一般来说,列出的标准涉及用户身份验证、用户权限、审核日志、安全传输到第三方以及其他基本安全功能。虽然这些标准基本上是合理的,引用了NIST作为合适的哈希算法和安全传输协议的主要来源,但它们通常是模糊的,测试方法似乎有缺陷。以170.315(d)(1)为例。此标准的存在是为了确保EHR允许用户之间具有不同权限集的个人登录。例如,前台员工可能只被允许安排预约和打印就诊摘要;护士可能有权查看处方,但不能订购新的处方;医生可能有充分的特权。虽然这是此类应用程序的预期功能,防御ddos价格,但认证标准中的其他标准都没有指定如何管理或存储这些用户/权限。虽然确实存在管理可接受的哈希算法或安全传输协议的标准和标准,但它们不适用于此标准。这种模糊描述和错位要求的趋势在整个认证标准中都可以看到,这使得供应商和开发人员在不该犯错误的地方犯错误或走捷径。这在许多可能符合所有认证标准的应用程序中留下了重大的安全漏洞和漏洞。遵循标准仍然存在差距为了进一步说明这一点,我们来看看最近在这一领域所做的一些脆弱性研究。早在8月份,高防cdn的目标客户,项目不安全调查了OpenEMR。他们的发现详细说明了应用程序中的20多个漏洞,从简单的SQL注入到远程代码执行,这些漏洞可能导致数十万患者记录被泄露。最近,Tenable还披露了另一个流行的开源医疗应用程序opendental中的一些漏洞,该应用程序面向牙科专业人士。OpenDental Software在其产品主页上宣传"ONC Certified HIT"徽章。公司的官方认证状态和测试结果可以在健康IT.gov。从"认证标准"一节中可以看出,Open Dental确实符合认证所需的标准,包括关于患者数据合理隐私和安全的标准。最近一次评估是在2018年10月31日。从Tenable的研究咨询中,我们可以看到认证标准中与给定应用程序的安全性相关的明显差距。OpenDental实现了不同用户类型的不同权限的独立身份验证和授权机制,但应用程序不努力安全地传输这些信息。不使用参数化查询,一旦授予对应用程序的访问权限,攻击者就有可能修改请求。虽然这些攻击需要某种形式的本地网络访问,但攻击本身相对较小。此外,应用程序的基本设计(与许多其他EHR系统中的设计类似)包含服务器端和客户端逻辑,所有这些都在一个包中,这意味着本地攻击者可以轻易绕过大多数安全功能。我相信我们都遇到过这样的情况:医生或护士没有先锁好电脑就把病人单独留在检查室。需要说明的是:Tenable并不是为了羞辱供应商、开发者、医疗专业人士、立法者或其他与医疗领域相关的人。事实上,游戏服务器防御cc,我们想花点时间来赞扬Open Dental对社区的反应。虽然披露过程是公认的复杂,但只要浏览一下该公司的社区论坛、博客和公共问题追踪器,就可以明显看出该公司关心其用户和社区。尽管如此多的运动部件,这些缺陷的存在也就不足为奇了。如果医生没有被激励去使用一种符合特定标准的产品,他们可能倾向于使用更便宜的产品,而这些产品可能会带来更严重的问题。如果供应商没有理由让他们的产品获得认证,那么他们的开发者可能会在他们无法实现的领域实现功能或承担风险。如果立法者没有制定政策首先强调标准的必要性,医疗实践可能会因为使用无法从一个机构转移到另一个机构的程序代码或诊断代码而陷入困境,这将导致一系列完全不同的问题。提高认识简言之,这个行业出现的问题不应归咎于任何一个实体。事实上,这些规模较小的EHR公司与安全行业相去甚远,以至于他们甚至可能根本没有意识到这些类型的缺陷是问题所在。本文中没有什么是新的、开创性的或创新的。我们看到这些老问题一次又一次出现,表现为数据泄露、泄露、勒索软件攻击和其他严重事件。医疗行业在采用新技术方面一直进展缓慢,政府法规和立法更是落后。作为一个认识到这些问题的局外人,很难袖手旁观缓慢的官僚程序步履蹒跚。在我看来,一个安全从业者能够在这个领域做出改变的最好方法就是研究这些应用程序,并与适当的供应商协调结果的披露。通过向供应商指出这些缺陷,我们有希望提高对这些问题的认识,并为行业指明一个更积极的方向。在医疗行业,由于测试软件和设备的成本和可用性,安全研究人员的进入壁垒很高。试验仅限于潜在客户,而开源替代品也很少。Tenable的零日研究团队正在进行一项计划,定期审查医疗相关产品,包括硬件和软件。如果你能利用这些产品并且能够共享资源