2024年显微镜下的医疗保健行业-针对应用程序和API的猛烈攻击

显微镜下的医疗保健行业 针对应用程序和API的猛烈攻击 互联网现状/安全性 目录2Untangle Health嘉宾专栏：从漏洞到监测能力，揭示医疗保健行业的网络安全状况3简介5关键见解6医疗支付方面临API滥用的高风险9针对生命科学企业的DDoS攻击的数量日益增加13医疗保健服务提供商受到围攻16合规考虑因素18积极行动：抵御措施建议20方法21致谢名单 的内容——对患者安全的威胁。我们下面的说法可能会惹恼一些人，但是，当排名前1,000的医院和医疗系统中有四分之一到二分之一的机构使用同一份基于电子表格的“安全检查清单”来审批和考核供应商时，这个行业确实出现问题了。 从漏洞到监测能力，揭示医疗保健行业的网络安全状况 医疗保健行业的安全现状可以归结为一个词：“漏洞百出”。为了应对此状况，“监测能力”成为2024年医疗保健行业关注的重要主题。日益增加的平台、第三方软件以及大规模的数据交换需求都在促使企业提升监测能力，然而，医疗保健企业的技术现代化速度如此之快，以致于很多企业难以真正地全面监测自己的生态系统。一些合规措施让情况变得更加复杂，它们一方面要求企业共享更多信息，一方面又要求施加更严格的控制。虽然从逻辑上讲，这是为了消除数据护城河及网络垄断而采取的必然之举，但它增加了技术复杂性因素。除了个别顶尖企业外，业内大多数企业当前的安全防护能力可能都不足以应对这些因素。 值得关注的是，医疗支付方面临的暴露风险比以往任何时候都要高，并且合规措施要求他们脱离以往的本地、批处理系统，以符合现代生态系统基于API的数据要求。虽然这种现代化让医疗支付方能够访问多年以来他们一直梦寐以求的临床数据，但开放式交换是一种新的业务开展方式，会带来新型风险。由于掌握着财务数据和临床数据，医疗支付方必须保护自己的基础架构，并在遵守每项新的合规要求时，审慎地提升安全态势。 这使得攻击者蠢蠢欲动。随着医疗保健行业的各个领域都在开放系统来交换社会中最敏感的信息，我们正在将新系统和新标准与数十年的传统基础架构混搭在一起。因此，这些传统基础架构不仅本身可能会产生的大量技术债务，还为恶意攻击者提供了一个发动攻击的“温床”。 结论：这些市场变革还会持续下去。医疗保健行业无法退回到不需要API和云计算的时代。虽然对变革带来的安全问题表示担忧是难免的，不过，对于一个历来受到数据孤岛问题困扰的行业来说，能够重视开放式数据交换就是巨大的进步。 因此，医疗保健企业遭受一轮又一轮的网络安全攻击是意料之中的结果。特别是在美国，多年以来，很多医疗保健企业一直将网络安全视为招标和供应商评估过程中走过场的内容。企业通常只是要求供应商符合HITRUST和HIPAA标准以及通过SOC 2认证，然后借助业务合作伙伴协议将风险转嫁给这些供应商，而不会在内部培养专业人才。虽然这是一个不错的开端，但是我们仍然看到接连不断的头条新闻，大肆宣扬医疗保健行业的重大财务问题、运营故障，甚至更糟糕 Untangle Health副总裁Neil Jennings Untangle Health首席执行官Chris Notaro 简介 医疗保健行业在网络安全方面存在一些独特的挑战。 •其中的利害关系可能关乎生死。•这个行业所持有的信息在价值上高于其他所有行业。•基础架构既包含传统系统，也包含医疗物联网(IoMT)设备。•这些系统盘根错节，并且常常相互依存。•合规性要求极为苛刻。 在本期的《互联网现状》(SOTI)报告中，我们将分析与医疗保健生态系统所面临风险相关的威胁数据和趋势。对此行业影响最大的两种威胁分别是Web应用程序和API攻击以及分布式拒绝服务(DDoS)攻击。 此外，医疗保健生态系统中的企业（医疗支付方、医疗服务提供商以及制药和生命科学公司）还分别面临不同的挑战，在制定安全策略时需要考虑到这些挑战。 推动互操作性可以实现更好的患者预后并提升财务业绩，但也会带来Web应用程序和API攻击风险。 保险公司或医疗支付方可以广泛获取临床数据和财务数据来确定是否符合理赔条件、承保范围以及进行付款，同时也是整个行业中数据共享的重要枢纽。 制药和生命科学企业发现，攻击者开始瞄准企业采用的创新技术，包括使用人工智能和机器学习来分析各种应用程序的大量数据集，这让他们站在创新与风险的十字路口，难以做出抉择。 医疗保健服务提供商的资金主要用于远程医疗等临床创新和蓬勃发展的IoMT技术，只有较少的资金被投入到更传统的功能上，例如对企业恢复能力至关重要且不断演变的网络安全方法。 从历史角度看，医疗保健生态系统多年来一直是攻击者觊觎的目标。2024年，医疗保健行业连续13年成为所有行业中数据泄露损失最高的行业，平均损失达到977万美元，远高于排名第二的金融服务行业（608万美元）。 API是影响医疗保健行业中所有子垂直行业的主要技术之一。API使得在医疗服务提供商、医疗支付方、患者和其他第三方（例如电子健康记录系统、医疗设备公司和健康信息交换机构）之间共享数据成为可能。推动互操作性可以实现更好的患者预后并提升财务业绩，但也会带来Web应用程序和API攻击风险。 对于应用层，另一种常见风险是DDoS攻击。在欧洲、中东和非洲(EMEA)地区，它们是攻击者当前的首选武器，其可能的原因在于该地区的地缘政治发展和亲俄黑客组织。但是，实施DDoS攻击的团伙数量如此之多，他们采用的策略、技术和过程如此的变化多端，没有任何国家或地区能够免受攻击。 关键见解 医疗保健生态系统中针对医疗支付方企业的API攻击所占百分比 41 医疗保健生态系统中的API攻击一直有增无减，特别是医疗支付方和保险公司因掌握着受保护的健康信息(PHI)、索赔数据以及财务信息等大量数据，更是成为重点攻击对象。 API蔓延构成了重大风险，例如对数据的未授权访问 API蔓延，也就是企业内API不受监管的扩散，会因为企业缺乏监测能力以及它们游离在安全控制措施之外而造成严重的安全漏洞。因此，API蔓延会扩大企业的攻击面并带来未经授权访问敏感数据等风险。 EMEA地区针对制药企业的第7层DDoS攻击所占百分比 EMEA地区的制药公司遭遇的第7层DDoS攻击最多，紧随其后的是北美和亚太地区及日本(APJ)。深入研究2024年上半年的数据可以发现，针对EMEA和北美地区的攻击数量有望超过2023年每个地区的总和。 针对医疗保健服务提供商的Web应用程序和API攻击的月度平均数 2100万 推进数据互操作性以及其他合规性要求促使对Web应用程序和API的使用越来越多，而这会给医疗服务提供商和患者带来安全风险。 针对医疗保健服务提供商的第7层DDoS攻击的月度平均数 4.15亿 在黑客行动主义和当前地缘政治气氛紧张的驱动下，医疗保健行业遭受的DDoS攻击呈现激增态势。这些攻击可能导致停电和服务中断，威胁患者预后。2023年，Killnet发动了一次主要针对医疗服务提供商的大规模DDoS攻击活动。 医疗支付方面临API滥用的高风险 医疗支付方在医疗保健生态系统中大量使用API来收集和处理数据，虽然这可以带来巨大的好处，但也需要做出取舍——特别是重要的合规性要求和安全风险。网络犯罪分子和数据聚合商会对这些能力进行攻击和滥用，从而可能导致安全和隐私问题。 对于医疗支付方来说，通过API实施的攻击也可能会导致服务中断，从而影响医保的投保登记和理赔操作，导致成本高昂的停机事件，并损害品牌声誉。举例来说，2024年2月发生的系统性攻击就是一次令人头疼的攻击事件，它严重阻碍了全美药房处理支付订单。 API攻击趋势 Akamai研究发现，从2023年1月到2024年6月，针对医疗保健生态系统的API攻击中41%攻击的目标都是医疗支付方企业。这表明，医疗支付方面临更集中的API滥用攻击风险，这与医疗支付方在维持医疗保健系统运转方面的重要性保持一致，因为截至2022年，美国医疗保健总支出中约有67%的部分通过医疗支付方支付。 我们在其他受监管的行业中也看到了类似的趋势，尤其是那些掌握着支付系统的行业。例如，金融行业在进一步深化其数字化转型，并且已在其业务模式中使用集成度更高的API。开放银行业务正在推动API的使用并带来了更多安全风险。因此，金融行业正面临着更加集中的以API为重点目标的攻击，这与我们API安全性SOTI报告的发现结果一致。 在仔细研究医疗支付方API攻击数据后，Akamai研究人员发现从2023年1月到2024年6月的18个月里攻击活动的数量出现多次波动，尤其是每季度都会出现波动。每个季度总体呈上升趋势可能反映了各系统会在季度末进行数据同步，以对预测数据和实际数据进行对帐的实际情况，但2023年第4季度出现整体增长可能是攻击者针对年度投保登记期发动攻击，以扰乱相关操作所致（图1）。 所有行业中的API滥用和重大安全挑战 虽然医疗保健行业面临很多独有的API安全挑战，不过，对于所有行业说，API基础知识都是一样的，我们也有必要回顾一下所有行业都需要抵御的技术风险。首先，我们应专注于应对OWASP十大API安全风险所强调的风险。另外还需要确保开发人员和IT人员了解被我们列为态势问题和运行时问题的一些更常见的漏洞。 •态势问题与企业API实施中的缺陷有关。指示态势问题的告警可有助于安全团队识别并修复高优先级漏洞，提前避免攻击者利用这些漏洞。常见态势问题包括影子端点和URL中的敏感数据。 •运行时问题是需要紧急回应的主动威胁或行为。与其他类型的安全告警相比，这些关键告警更细致，因为它们采用了API滥用的形式，而不是较为明确的基础架构入侵尝试。常见运行时问题包括未经身份验证的资源访问尝试和数据抓取。 同样重要的是，回顾并审视API所带来的三个更为普遍的挑战，以确保您的安全计划涵盖API滥用和利用。 1.监测能力：您是否采取了适当的流程和技术控制措施来确保自己的安全计划能够保护所有API？这是一个关键问题，因为API一般是在转型过程中引入，或者嵌入于新产品之中，因此许多API没有传统网络业务那样的指导、保护和验证措施。 2.漏洞：您的API是否遵循最佳开发做法？您是否避免了OWASP中最常见的编码质量不佳问题？此外，您是否在跟踪和检查漏洞？ 3.业务逻辑滥用：您是否有预期流量的基准值？您是否确定了可疑活动的构成要素？ 以上问题的答案构成了您的团队应了解内容的基础。总体目标应该是具有开展调查的可见性和能力，并建立能够快速抵御威胁的流程。不管是面向患者的API，还是内部API，都是如此。 API往往是复杂数字化转型项目的组成部分，因此它们可能不会受到医疗保健企业的关注，而安全计划受到的关注甚至更少。 更高的性能可能会带来更大的风险 患者希望所有的应用程序都能提供同等水准的用户体验，因而，性能正在成为一个更严重的问题。这意味着需要保护医疗保健生态系统免受拒绝服务攻击以及滥用攻击。此外，医疗服务提供商还需要遵守针对透明度的监管要求，这些要求促使他们必须及时提供信息。 API蔓延可能会导致监测能力下降，甚至会随着攻击面的扩大而更加模糊。API往往是复杂数字化转型项目的组成部分，因此它们可能不会受到医疗保健企业的关注，而安全计划受到的关注甚至更少。 医疗支付方在日常业务活动中涉及的各类医疗和财务数据既受到严格监管，又容易成为网络犯罪分子的目标，因此，其面临的挑战更加复杂。 针对生命科学企业的DDoS攻击的数量日益增加 在新冠疫情期间，疫苗开发研究、试验数据、制造、生产和发布都成为了攻击者的目标，因此对制药网络安全的关注变得尤为突出。现在，医疗保健被美国列为关键基础设施，而两党的最新拨款提高了对关键基础设施行业恢复能力的要求。原因很明确： •全球范围内的国际紧张局势持续加剧，以及地缘政治气氛对接受普华永道第25届全球首席执行官年度调查的受访高管产生了很大的影响。几乎有三分之一的受访高管表示地缘政治冲突会威胁其公司的增长，并且超过三分之二的受访高管表示这是导致供应链中断的一个预期因素