医疗行业Web应用安全:全面了解应用层安全风险

2018-01-08 09:29:00 作者:ym 出处 : 比特网

  医疗行业由很多部门组成:保险公司等付款方;医院和医生等提供商:制药以及医疗设备和器械制造商。由于该行业要处理各种各样的生命质量问题,访问实时数据,尤其是患者记录等敏感数据,因此需要内部、Web、移动或云应用安全性和可用性。

  为了了解首席安全高管们如何在管理过程和人员的同时克服这些技术挑战,Radware对来自六大洲的600多名首席信息安全官(CISO)及其他安全领袖进行了调查。本文概述了Radware Web应用安全报告:数字连接领域的Web安全的主要发现。

waf-healthcare-2

  数字化病人

  数字转型导致医疗行业生成了大量的视频和图像。医疗行业创建了一个虚拟的实时医疗设备连接,可以24/7/365不间断地传输非结构化和潜在的不安全数据。除了数据爆炸之外,医疗行业还必须遵守一系列特定的,由政府和行业主导的法规和标准(如:HIPAA、GDPR、美国FDA指导方针等地方性法规),这些法规和标准可以控制敏感的个人信息和临床信息的的采集、使用、共享和传输。

  医疗提供商在复杂医疗设备上进行了大量的CAPEX投资。由于生命周期很长,很多设备连接的依然是老旧的未打过补丁的系统。事实上,某些设备仍然运行在Windows XP上。

  通常,由于害怕设备保修会失效,IT管理员不会更新或为这些系统打补丁,因此在涉及到保护环境安全时,设备制造商就成为了医疗行业中的薄弱环节。

  随着越来越多的数据通过网络传输,医疗部门很难实时部署解决数字化带来的复杂性所需的安全策略、技术和资源。仅在2017年,数据泄露、勒索软件以及易受攻击的网站、未加密移动应用和网络钓鱼等安全漏洞就曝光了数千万的患者和医疗记录。

  这就意味着,医疗行业必须进行技术、工具和解决方案投资,用以保护他们的应用和环境。然而,接受医疗部门调查的近200名安全高管(将近90%的高管都有权直接进行安全活动和投资)发现,在缓解风险方面,医疗行业明显落后于零售和金融服务等其他行业。只有27%的受访者明确表示可以保护患者的医疗记录,尽管近80%的记录都必须符合政府法规。

  信心和缓解风险

  对调查反馈的分析可以反映一个部门在面对日益增长的安全需求时表现出来的不安状态。近三分之二的受访者不确信他们能否在不影响运维的前提下快速采用安全补丁和更新,而70%的受访者则表示,在过去两年间,他们只能完全追踪到不到50%的数据丢失事件并进行修复(见图1)。

security-patch-statistics

  在发生重大行业数据泄露或攻击后,68%的受访者都会在安全控制方面进行了一定程度或重大投资,21%的受访者采用了API网关,23%的企业采用了WAF,只有29%的企业部署了这两种。此外,在集成之前,只有不到40%的企业可以分析API漏洞,而不到40%的企业表示可以检测或缓解暴力破解、Web抓取、加密Web攻击或API篡改等攻击。

  • 只有25%的受访者可以完全意识到软件开发环境中的内部应用和API的改变。

  • 在数据离开公司网络之后,61%的企业无法追踪与第三方共享的数据,57%的企业不会检查通过API传输/返回的数据。

  新兴威胁的崛起

  除了应对多年以来影响医疗行业的现有威胁和漏洞之外,许多受访者都认为,新兴技术的威胁越来越大。与其他行业一样,从生成流量的角度来看,计算机机器人程序在医疗行业中越来越占据主导地位,36%的网络流量都来自于计算机机器人程序。然而,只有20%的受访者能够确定这36%的流量来自于良性计算机机器人程序还是不良机器人程序。

  由于医疗行业中存在更多的加密流量,因此针对应用层的加密(SSL/TLS)威胁和攻击很令人担忧。在所有攻击中,41%的受访者表示,过去一年间,L7层DDoS攻击发生的频率更高,但只有30%的人确信能缓解某种针对应用层的攻击。62%的人则表示,防御、检测并控制此类攻击是最困难的。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。