医疗设备与可穿戴设备和医疗应用程序或软件的连接性不断提高,使设备面临网络安全威胁和攻击。医疗设备中的任何漏洞都允许未经授权的用户访问和控制设备,这可能会给患者带来严重风险,特别是在B类和C类医疗设备中。因此,医疗保健组织、监管机构和医疗设备制造商担心对临床护理和患者安全的潜在影响。
为什么医疗设备的网络安全是当下的需要?
关键功能:医疗设备控制着患者的生命。它具有关键功能和敏感数据
复制:医疗器械在成千上万或数百万个相同的器械中大量生产。一次成功的攻击可能会复制到多个设备
生命周期长:医疗器械的生命周期从15年到20年不等。因此,开发一种满足未来二十年安全需求的设备是一个巨大的挑战
孤立:最终用户无法监控设备的安全性或轻松进行更改
由于网络安全威胁和数据泄露的增加,医疗器械制造商应了解与医疗器械安全相关的风险,并在设计和开发医疗器械时考虑实施有效的网络安全实践。
让我们了解网络安全攻击和可能的解决方案:
1)软件攻击:软件攻击是通过在系统上执行一段称为恶意软件的自定义代码对系统进行的,这会导致设备的自定义(意外)行为。
固件克隆
设计足够强大的固件许可机制,使其难以绕过
使用数据保护机制和加密固件
设备复制
固件的逆向工程
概述/用例:攻击者可以使用逆向工程克隆医疗设备硬件,也可以直接从闪存介质克隆固件
风险:
决议:
蛮力
限制登录尝试次数
增加身份验证试验之间的延迟
访问设备服务和用户数据
概述/用例:安全医疗设备在访问云服务和/或人机界面(HMI)的设备功能之前要求进行身份验证。攻击者系统地检查所有可能的密码和密码,直到找到正确的密码
固件升级
使用加密和签名设计/实施安全固件更新机制
完全/部分访问设备
设备固件损坏
概述/用例:医疗设备售后市场发布通过离线媒体(如USB、OTG电缆)或互联网定期更新。这允许攻击者更新设备上的自定义或损坏的固件(恶意软件)
通信堆栈(基于物联网的设备)
使用防火墙访问Internet
使用最新和安全的技术;例如,在蓝牙的情况下,使用v4.1及以上
使用强配对和身份验证机制开始通信,然后使用加密数据进行通信
基于数据修改的意外系统行为
未经授权出售和/或勒索个人数据
概述/用例:医疗设备使用BLE、Wi-Fi或任何射频技术通过移动应用程序或基于物联网的软件进行通信。攻击者可能利用技术漏洞修改通信数据
敏感固件和数据
使用仅执行访问权限(XO)
使用内存保护单元
使用安全区域
使用外部存储器加密
敏感的固件拷贝或数据被盗
概述/用例:固件的某些部分需要特殊保护:例如加密算法或第三方库。此外,如果选定的数据被视为有价值的资产(加密密钥),它们可能需要加强保护。必须保护内部存储器内容免受外部访问(例如通信接口)和内部访问(其他软件进程)。不同内存段的读写访问和防火墙等内存属性是进程和数据隔离的主要保护
2)硬件无创攻击:这类攻击主要针对设备接口和环境信息。它不会损坏/分散芯片级别的设备硬件层。
调试端口(JTAG或SWD接口)
在原型/开发人员发布后从硬件禁用设备调试功能
完全访问设备
概述/用例:调试端口提供对引导加载程序、寄存器、DRAM等的访问。攻击者可以使用调试端口来完全访问和控制设备
引导加载程序
唯一的引导入口
实施安全引导加载程序并禁用调试选项
概述/用例:大多数医疗设备使用基于引导模式、引导地址和/或引导引脚配置的引导加载程序进行引导。该攻击旨在修改启动模式或地址以在RAM中加载自定义应用程序并访问设备
UART/I2C/SPI/USB等通信接口访问
使用密码学进行通信。例如,使用TLS进行数据通信。TLS提供保护数据机密性和完整性的功能
禁用不需要的输入端口/通信
使物理总线难以到达
访问设备内容
概述/用例:应用程序或引导加载程序使用UART、I2C、SPI、USB等通信接口与设备进行通信。拦截此通信允许攻击者访问设备内容和/或修改通信。也可以使用USB等媒体注入恶意软件
时钟和电源干扰/毛刺
使用时钟安全系统(CSS)
如果可用,请使用内部时钟
使用内部稳压器
意外的设备行为
概述/用例:可以使用数据表中定义的参数之外的设备注入故障。威胁涉及更改时钟和/或电源参数。成功的攻击可能会改变程序行为
侧信道攻击(SCA)
使用会话随机数密钥
使用受保护的加密库
访问设备数据
概述/用例:当设备运行时,攻击者可能会观察功耗、电磁辐射、温度等,以检索秘密资产,如数据值和/或算法实现。SPA(简单功率分析)和DPA(差分功率分析)就是这方面的典型例子
3)硬件入侵攻击:此类攻击包括直接访问硅的破坏性攻击。
逆向工程
使用难以分析/调试的多层PCB
克隆设备
概述/用例:攻击者可能了解设备的内部结构及其功能。它可以使用光学显微镜创建设备/微控制器的地图,以产生设备表面的高分辨率图像。进一步的步骤可能包括分析硬件设备的更深层