作者:派拓网络总监兼产品线经理Kalyan Siddam&医疗物联网安全产品市场经理Prerna Shankar
派拓网络于2022年推出了专为医疗机构设计的物联网安全产品医疗物联网安全方案。自那时起,这款产品就一直是行业分析师公认的领先产品,并且帮助派拓网络的医疗行业客户提高了设备和网络的安全性,保护了数百万台设备的安全,使全球医疗机构每年能够为数百万患者提供医疗服务。
派拓网络致力于通过保护医疗机构的关键资产,帮助他们在不断变化的网络安全威胁环境中保持领先。而随着派拓网络在医疗物联网安全方案中加入了几项新功能,医疗领域的联网设备安全被提升到一个更高的水平。凭借这些增强功能,派拓网络的医疗行业客户能够:
·通过经过改进的设备发现功能获得更加全面的设备可视性;
·通过直观的可视化更轻松地了解设备上下文和风险;
·通过基于风险的优先级排序提高漏洞修复效率;
·使用Strata Cloud Manager与Cortex XSIAM统一和简化安全管理。
通过经过改进的设备发现和识别功能,获得更全面的设备可视性
由于人们无法保护看不到的东西,因此设备发现是保障关键医疗设备安全的第一步。但医院网络上的联网医疗设备和其他物联网设备数量与多样性在不断增加,使得准确识别与分析新的和从未见过的设备变得更加困难。派拓网络的医疗物联网安全方案拥有一套强大的设备发现方法,能够将通过网络流量日志采集的设备数据与派拓网络用于设备识别和分类的专利三层机器学习(ML)模型相结合。为了能够大规模地发现新的和从未见过的联网设备并进行分类,派拓网络还将继续改进ML算法。
但有时,由于设备没有产生足够可供分析的流量,或者这种流量没有被发送到NGFW/ SASE设备,因此仅从网络流量日志无法检索到设备属性数据(厂商、型号、固件和操作系统等),尤其是在网络边缘部署了防火墙的情况下。例如,居家患者监护设备的数据由内置在医疗设备中的边缘计算资源进行处理和分析,因此可能无法通过防火墙或SD-WAN设备。为了解决这个问题并提高医疗物联网安全方案所提供的设备配置文件数据的质量和完整性,派拓网络正在引入选择性轮询功能。选择性轮询功能使用WinRM、uPNP等本地查询协议,在无法通过被动网络流量分析获得设备属性数据时主动检索这些数据。此外,派拓网络还加入了与Microsoft SCCM的全新内置第三方集成,以便从SCCM清单中导入补充设备数据点。
通过直观的可视化更轻松地了解设备上下文和风险
随着派拓网络采集的设备数据愈加丰富,客户需要一种简单而现代化的可视化方法轻松获得可操作的洞察。为了让客户更好地了解并控制联网医疗设备,派拓网络对设备详细信息页面进行了多项更新:
·一目了然的设备上下文和风险概览图:客户可以在页面上方一目了然地查看从100多个属性列表中选出的20个关键设备属性。该设备属性列表非常全面,囊括了设备基本信息(厂商、型号、IP地址、MAC地址等)、设备身份信息(型号、操作系统、固件版本等)和设备安全信息(风险级别、端点保护、防病毒能力、数据加密等)。临床设备则显示FDA类别、ePHI(电子个人健康信息)、MDS2(制造商披露声明)等特定安全属性,以便评估设备的临床风险。此外,资产关键性等自定义属性能够帮助临床工程师结合临床环境确认设备的安全风险。
“设备详情”页面上方的飞利浦超声设备信息概览图
·轻松发现并调查异常/危险设备行为:由于医院采用扁平、未分段的网络,因此威胁能够轻松在IT设备与关键医疗物联网设备之间横向移动。派拓网络Unit 42的威胁研究发现,72%的医疗VLAN混合了物联网和物联网资产。派拓网络推出的两款可视化工具能帮助网络安全团队更轻松地发现和调查有风险的设备通信,确定采用何种分段控制措施降低风险。“设备详情”页面中的动态Sankey图表按应用、来源/目的地和流量方向显示设备连接,能够很容易地发现有风险的通信并调查异常流量。该页面中的设备行为选项卡还提供设备的子网可视化图,这样网络安全团队就能找到医疗设备所在的网段,以及与该设备通信的其他系统和子网。借助设备子网可视化图,网络安全团队能更轻松地将每个网段内的设备可视化,以便更精准地确定(和控制)漏洞的爆炸半径。
这些功能都适用于网络安全和生物医学/临床工程团队。客户可以选择深入研究根据其具体需求量身定制的设备信息。网络安全管理员可以详细查看与设备相关的警报和漏洞,并根据提供的建议采取补救措施。生物医学/临床工程师能够深入了解设备的运行时间等使用情况,以便更好地规划预防性维护或漏洞扫描。
动态Sankey图表显示设备通信流并突出显示风险行为
脆弱医疗设备与恶意网站通信的子网可视化图
通过基于风险的优先级排序提高漏洞修复效率
联网医疗设备对医院的运作至关重要,这类设备一旦出现中断就可能导致收入减少,甚至影响患者的治疗效果。当这些设备出现漏洞(这种情况常常发生)时,需要根据设备正常运行时间要求的高低,判断先修补哪些漏洞,以及何时修补才能避免医疗服务中断。
为了帮助安全和临床团队专心完成更重要的事以降低运营风险,派拓网络在医疗物联网安全方案中引入了基于风险的漏洞优先级排序功能。为了找出风险最大的设备漏洞,医疗物联网安全方案采用超越基本CVSS的多重风险评估,在客户临床资产受到威胁时评估威胁可能性指标和对客户企业造成的影响。
此外,派拓网络的医疗物联网安全订阅服务通过虚拟补丁功能加强威胁防护。在某些情况下,补丁可能无法直接用于修复CVE,或者资产所有者难以执行补丁,尤其是在医院楼层等关键环境中,导致关键资产容易受到攻击。威胁防御配置文件可作为一种补充控制手段整合到基于设备ID的零信任策略中。这能够在资产所有者等待安装补丁乃至延长停产(EOL)设备使用寿命的维护窗口期间,帮助阻止网络攻击利用已知漏洞。这样,临床和安全团队就能在为患者提供护理的同时,保持关键系统的稳定和可靠。
利用Strata Cloud Manager和Cortex XSIAM统一并简化安全管理
综合医疗设备安全解决方案需要在一个平台上提供全部网络连接端点的可视性和保护,从而实现安全“闭环”。随着医院网络中联网医疗设备和其他IoT/OT设备数量的激增,为了保障这些设备的安全,医院有必要将原来的小众方法(仅提供可视性和警报)升级成更加主流、基于网络的综合平台化方法,以保证所有联网设备的安全。
派拓网络医疗物联网安全方案在这方面走在了前列,不仅提供基于ML的非托管式联网设备可视性,还提供威胁预防和安全策略执行功能,保护设备免受已知和未知威胁的侵害,而且所有这些功能都位于一个集成平台内。派拓网络通过以下功能进一步发挥平台化方案的优势:
·与Strata Cloud Manager集成:派拓网络AI驱动的零信任管理解决方案Strata Cloud Manager(SCM),通过统一加强所有执行点的安全性和防止网络中断提升网络安全性。SCM包含一个专用的医疗物联网安全仪表板,能够快速访问关键设备安全参数,例如医疗设备库存、风险和警报等。借助SCM,安全团队就能通过覆盖所有安全功能(包括SASE、硬件和软件防火墙等)的完整配置和安全策略管理以及安全服务提高运营效益,确保一致性并减少运营开销。
·与Cortex XSIAM集成:Cortex XSIAMAI驱动型平台融合了SOC功能,利用AI精准防御威胁,实现安全运营自动化。客户可在Cortex XSIAMCommand Center中了解联网医疗设备和其他IoT/OT设备的情况。该集成使客户能够在一个无缝界面中管理所有联网端点的安全运营,简化SOC工作流程,并受益于该平台的各种优势。