医疗行业数据安全风险评估实践指南(4.3)
医疗行业数据安全风险评估实践指南(4.3)
原创 草根老烦 老烦的草根安全观 2025-02-17 05:20
再次重申,本文未经授权不得以任何形式转载、发布或者形成商业活动,本文版权归作者樊山独有。
4.2.4 威胁识别
4.2.4.1 威胁概述
威胁,对评估对象构成潜在影响的实体。在
ISO/IEC 27001:2022
标准中,威胁被定义为“可能对信息安全造成损害的潜在事件或行为。
”
在《
GB/T 25069-2022
信息安全技术 术语》中将威胁定义为“可能对系统或组织造成危害的不期望事件的潜在因素
”。由此我们可以对威胁的理解分为几个层次。①威胁可能会发生也可能不会发生,但不代表其不存在;②我们关注的是能够对评估对象产生损害或危害的事件或行为,而不是所有;③威胁会在特定情况下发生;
很多标准在描述威胁时都采用了不同的方法论,为了后续的威胁建模,本文根据
CRF
(
Cyber Resilience Framework
)的威胁分类法将威胁分为以下几个关键类别:
l
威胁主体(
Threat Agents
):如黑客、内部人员、国家支持的攻击者等。
l
威胁活动(
Threat Activities
):如恶意软件攻击、数据泄露、网络钓鱼等。
l
威胁影响(
Impact
):威胁对组织的潜在影响,如财务损失、声誉损害等。
这样,我们就可以构建一张自己的威胁基础模型表:
我们根据针对数据的处理能力需求,可以将威胁主体分为:用户(患者)、操作员(医务人员)、管理员(信息科)、维护员(服务商);主体中有善意主体也可能是恶意主体,所以,针对主体的威胁分析中,我们更多考虑的是主体可能产生的恶意行为而不是主体本身是不是恶意或善意的;
威胁活动:数据安全中的威胁活动可以概括为五大层面,机密性破坏(如:数据扒窃、不恰当的获取数据、非法采集等)、完整性破坏(如:篡改电子病历、修改支付信息、修改患者信息等)、可用性破坏(如:勒索、过失删除或故意删除)、数据质量(如:虚假数据、不良好的数据等)和不合规的数据使用(如:未经授权采集或调用、不合规的数据流通、未获许可的数据出境等);
数据影响:根据我国现行立法要求,我们可以将数据影响分为两大类构成法律责任和未构成法律责任,然后再做细分。构成法律责任分为:合同责任和义务、行政责任、民事责任、刑事责任;未构成法律责任分为:直接经济损失、间接经济损失、组织名誉损失等。
现有的数据安全风险评估标准中并未对威胁进行描述,本项目中讨论威胁主要从以下几个方面考虑:
建立基于业务的数据威胁建模:前面我们分析过,数据安全工作是建立在网络安全等级保护工作基础之上,网络安全等级保护更多的考虑系统的安全问题。在这我们把系统定义在数据安全的载体层面,也就是说,评估本身不应该重复考虑载体的安全问题,比如:操作系统漏洞、应用层攻击、网络水平攻击等问题,我们应该把关注的焦点放在能够直接对数据执行操作的领域中去,比如:由于服务器被入侵后是否对数据执行哪些恶意操作,篡改、窃取还是破坏;账号授权过度会不会产生医务人员恶意修改电子病历或处方等问题。在此基础上,威胁所产生的所有场景都是以业务相关场景发生而不是以外部攻击作为主体;
避免产生对数据安全的过度定义:是不是系统被攻击后一定会导致数据的损害,在此作一个说明,此处的“数据”主要针对医患数据的保护,针对于防火墙、服务器的配置不是我们需要重点关注的,比如:某医院
HIS
数据采用加密存储的模式,密钥由专门的密码管理系统进行维护,由于该医院
HIS
受供应链攻击影响导致数据被扒窃,我们在分析该案例的时候就会出现不同的争议。首先造成数据丢失的原因不是由于数据保护不足,而是软件供应链所产生的漏洞,因此首先该问题应定义在网络安全责任归属;其次,虽然服务器被入侵并导致数据被扒窃,但由于数据加密且密钥具有一定的安全性,即使攻击者获取数据其可利用极低,在充分考虑数据被解密的可能性的前提下,从数据安全角度判定,该风险为中风险。
是否在未来引入威胁情报的定义对于医疗行业具有很深远的价值和意义。例如:在疫情期间,发热门诊、新冠研究机构、集中收治点的医疗数据、临床数据和研究数据成为攻击重点,攻击者的主要意图扒窃临床数据和研究数据,用途:①基于国家目的对新冠的对抗和基因重组的分析研究;②知识产权窃取,获取新冠治疗的重要临床依据;③政治目的,通过篡改或变造获取的基因数据攻击中国;④商业间谍,用于巨额的资金获取;从威胁情报分析而言,新冠期间更多的攻击源自于机密性破坏而很少出现可用性如:勒索、完整性如:篡改的攻击行为。因此在未来,针对医疗行业数据安全风险评估随着大模型的应用,会有更多的威胁情报数据参与其中以提高风险评估的客观性。
如何为威胁赋值。通常意义下在定量分析中,会给威胁、脆弱性和资产通过量化值的方式进行,传统量化赋值为货币价值的赋予,由于缺乏有效的财务体系支撑,该赋值模式很难落地实施;在定性分析中通过描述赋值,如:极高、高、中、低、极低,此类赋值虽然容易实施,但争议很大,如果无法引入强有力的高层支持和专家系统,往往对风险所有者而言难以有效说服;那么第三种就是我们使用最普遍的半定量法,从主观上建立一个赋值,然后通过赋值定义风险级别。不管是定性、定量还是半定量,我们都可以通过矩阵法或者相乘法获取最终的赋值指标。在实际风险评估工作中,不应硬性定义采取的赋值方法,应该由评估团队与评估组织具体协商,选择一种双方均可接受的赋值模式。
为了简化本文的复杂性,本文通过半定量赋值来描述赋值关系。如下表:
|
表22 威胁赋值表 |
|||||
|
威胁类型 |
威胁频率 |
威胁频率赋值 |
威胁动机 |
威胁能力赋值 |
威胁值 |
|
|
周 |
4 |
2 |
3 |
4.9 |
|
|
月 |
3 |
3 |
3 |
3 |
|
|
年 |
2 |
3 |
3 |
2.4 |
表二十三提供了威胁评论和威胁动机的评价基准
表23 威胁频率与威胁动机赋值关系
|
威胁频率 |
天 |
5 |
|
周 |
4 |
|
|
月 |
3 |
|
|
年 |
2 |
|
|
大于年 |
1 |
|
|
曾经发生过 |
加权1 |
|
|
威胁动机 |
高能力,高资源 |
5 |
|
高能力,有限资源 |
4 |
|
|
低能力,高资源 |
3 |
|
|
低能力,低资源 |
2 |
表24 威胁主体、威胁活动和影响关系图
|
安全属性 |
威胁类型 |
用户(患者) |
操作员(医务人员) |
管理员(信息科) |
维护员(服务商) |
|
机密性 |
越权访问 |
高 4 |
高 4 |
高 4 |
极高 5 |
|
恶意攻击导致数据泄露 |
极高 5 |
极低 1 |
低 2 |
高 4 |
|
|
完整性 |
恶意篡改电子病历 |
中 3 |
高 4 |
极高 5 |
高 4 |
|
恶意篡改处方 |
极低 1 |
高 4 |
高 4 |
高 4 |
|
|
可用性 |
无意删除患者诊疗记录 |
极低 1 |
高 4 |
极高 5 |
高 4 |
4.2.4.2 数据威胁建模
威胁建模是一种系统化的方法,用于识别、评估和管理潜在的安全威胁,旨在开发和部署符合企业组织安全和风险目标的软件和
IT
系统。威胁建模建立在系统工程理论基础之上,以风险为驱动通过结构化的方式识别、评估和管理安全威胁。
威胁建模广泛应用于软件安全开发工作,在国内通过威胁建模实施风险评估案例并不多,更多的时候大家熟悉的微软的
STRIDE
和米特公司的
ATT & CK
都已经耳熟能详。在数据安全风险评估中,我们可以导入威胁建模的思想,绘制威胁地图,使得风险评估能够更加被非专业人员理解和可解释。
数据威胁建模的思想源自于美国
NIST
《
SP 800-154
Guide to Data-Centric System Threat Modeling
》。标准中将威胁建模分为四个步骤:
1.
识别和描述系统及数据
目标:明确需要保护的系统和数据,包括数据的存储位置、传输路径、处理方式以及相关的安全目标(如保密性、完整性和可用性)。
内容:识别数据在系统中的流动和处理方式,确定授权的数据存储、传输和处理位置,以及有权访问这些数据的人员和流程。
2.
识别和优先级排序潜在威胁
目标:识别可能影响数据安全的攻击向量,并根据其可能性和影响程度进行优先级排序。
内容:分析攻击者可能利用的路径(如物理访问、网络窃听等),并选择最严重的攻击向量进行重点关注。
3.
确定和实施缓解措施
目标:为每个选定的攻击向量评估和实施安全控制措施,以降低风险。
内容:评估现有安全控制的有效性,提出新的控制措施,并确保其在成本、可用性和有效性之间达到平衡。
4.
监控和审查
目标:持续监控系统,确保已实施的安全控制措施有效,并及时发现和应对新出现的威胁。
内容:定期审查威胁模型,评估安全控制措施的效果,并根据新的威胁或技术发展进行调整。
以下示例是通过模拟医院手术室麻醉系统的一个威胁建模场景。
4.2.4.2.1 根据前述知识绘制手术室麻醉系统的业务流图
图12-1 手术室麻醉系统业务结构图
描述
:
手术室护士、医生将患者需要的麻醉状态数据根据医嘱输入系统并写入数据库;
护士、医生通过终端访问数据将患者确认单通过本地打印机(有线链接)打印后将患者家属确认签字;
护士通过终端对麻醉注射过程和数据进行监测
医院数据科通过医院内网访问应用服务器获取报表;
4.2.4.2.2 识别可能影响数据安全的攻击向量
如下图
图12-2 威胁向量
描述:
1.威胁实体1 手术室医生/护士
a)
不良好的操作,包括未按规范执行操作、随意接入
USB
存储设备、不按规范填写参数等行为导致感染恶意代码、勒索病毒或错误指令造成终端或服务器中断运行,数据被锁定;
b)
误操作,包括错误的输入数据,导致数据异常产生的过量或未足量注入麻醉药物形成的患者高风险行为;
c)
恶意操作,操作人员因心理因素故意修改参数,产生的数据异常,导致患者生命危险;
2.威胁实体2 服务商
a)
误操作,包括误删除数据、误删除配置文件、误删除表文件、错误的配置账号权限、错误的开通网络通信,导致服务器故障、数据库死锁、数据不可用、业务中断
b)
越权访问,服务商在维护数据库系统的过程中恶意访问患者数据,拷贝患者数据等
c)
恶意操作,在维护期间通过自身的特权对数据库服务器的可用性、完整性和机密性的破坏,包括但不限于,拷贝、下载、删除、修改、增加、插入、批量处理等行为;
3.威胁实体3 信息科医务人员
首先应明确该实体访问授权,原则上该实体当且仅当具备的权限是读权限,故在分析威胁向量时,是建立在该条件之下;
a)
不当的披露:未经授权对患者数据在不同场合发布;
b)
级联故障:此处更恰当的描述应该是故障传递,即如果信息科访问终端被入侵或感染恶意代码,在缺乏有效边界防护的情况下导致手术室麻醉系统遭受同样的风险。
4.威胁实体4 接口(API)服务器
接口服务器是用来提供给
HIS
和院端其他系统写入或读取数据的接口端,其本质上不一定会直接参与麻醉活动,但可能会间接介入业务流程,如:计费、处方、检验检疫数据的汇总和读入等;
a)
过度授权访问:由于接口访问授权控制不当导致过量读取或恶意读取服务器数据;可能操作数据导致产生医疗事故;
b)
级联故障:同威胁实体
3b
)
4.2.4.2.3 确定和实施缓解措施
1. 威胁实体1
l
不良好的操作:管理规范(
P
)、定义高危操作并针对高危操作执行二次授权或确认(
P
)、数据审计(
D
);
l
误操作:同上
l
恶意操作:法律意识及职业道德教育(
P
)、实时审计和事后跟踪审计(
D
)、身份唯一性(
P
)、最小权限(
P
)、数据监测(
D
)、异常响应措施(
R
)
2. 威胁实体2
l
误操作,操作手册(
P
)、操作人员培训与教育(
P
)、管理规范(
P
)、操作审核(
P/D
)、二次确认原则(
D
)、应急响应手段(
R
)、备份(
P
)、业务连续性计划(
R
)、备份设备和备份系统(
R
)
l
越权访问,最小权限(
P
)、访问审批(
P
)、单点登录(
P/D
)、多因素认证(
D
)
l
恶意操作,同误操作与越权访问
3. 威胁实体3
l
不当披露:管理制度(
P
),发布审核机制(
P/D
),数据安全立法教育和培训(
P
)、暗水印(
D
)、应急响应
–
危机公关(
R
)
l
级联故障:主机保护(
P
)、边界隔离(
P
)、入侵检测
–
基于主机(
D
)、定期巡查(
P/D
)、日志(
D
)、应急响应(
R
)
4. 威胁实体4
l
过度授权访问:
API
检测(
D
)、授权管理(
P
)、账号测试(
D
)、渗透测试(
D
)、定期漏洞扫描(
D
)、入侵检测(
D
)、数据流审计(
D
)
l
级联故障:同威胁实体
3-
级联故障
说明:此处用到了美国NIST CSF框架中安全措施的定义,我们在构建控制措施时,针对数据安全不同属性关系分别通过P预防性、D检测性、R响应性手段来进行对应。在新的CSF 2.0中,将IPDRR扩展为G-IPDRR,即G-治理、I-识别、P-预防、D-检测、R-响应、R-恢复。在细化模型过程中,可以把威胁向量与ATT & CK结合,将建议对称与CSF对接,形成一种全面的威胁建模手段。
笔者认为,威胁建模不一定是风险评估必须要做的工作,即使要做,也是一项长期性的工作。但是威胁建模必须结合后续的脆弱性分析和已有的安全控制措施才能真正体现出他的客观性和商业价值。更多的时候,可以在实际评估中用一个业务做用例,形成评估工作中的最佳实践或科研课题,以供医院能够形成长期的研究和探讨,为未来威胁情报、数据管理平台、零信任、大模型等多种技术的融入提供一种衔接。
表25 威胁建模分析表
|
实体 |
威胁向量 |
影响 |
威胁赋值 |
建议对策 |
|
手术室医生/护士 |
不良好的操作 |
感染恶意代码、勒索病毒或错误指令造成终端或服务器中断运行,数据被锁定; |
高 4 |
管理规范(P)、定义高危操作并针对高危操作执行二次授权或确认(P)、数据审计(D); |
|
误操作 |
数据异常产生的过量或未足量注入麻醉药物形成的患者高风险行为 |
高 4 |
同上 |
|
|
恶意操作 |
产生数据异常导致患者生命危险; |
极高 5 |
法律意识及职业道德教育(P)、实时审计和事后跟踪审计(D)、身份唯一性(P)、最小权限(P)、数据监测(D)、异常响应措施(R) |
|
|
服务商 |
误操作 |
服务器故障、数据库死锁、数据不可用、业务中断 |
高 4 |
操作手册(P)、操作人员培训与教育(P)、管理规范(P)、操作审核(P/D)、二次确认原则(D)、应急响应手段(R)、备份(P)、业务连续性计划(R)、备份设备和备份系统(R) |
|
越权访问 |
维护数据库系统的过程中恶意访问患者数据,拷贝患者数据等 |
高 4 |
最小权限(P)、访问审批(P)、单点登录(P/D)、多因素认证(D) |
|
|
恶意操作 |
通过自身的特权对数据库服务器的可用性、完整性和机密性的破坏,包括但不限于,拷贝、下载、删除、修改、增加、插入、批量处理等行为; |
极高 5 |
同误操作与越权访问 |
|
|
信息科医务人员 |
不当披露 |
产生法律纠纷或面临监管部门的处罚 |
中 3 |
管理制度(P),发布审核机制(P/D),数据安全立法教育和培训(P)、暗水印(D)、应急响应–危机公关(R) |
|
级联故障 |
故障传递,即如果信息科访问终端被入侵或感染恶意代码,在缺乏有效边界防护的情况下导致手术室麻醉系统遭受同样的风险。 |
高 4 |
主机保护(P)、边界隔离(P)、入侵检测–基于主机(D)、定期巡查(P/D)、日志(D)、应急响应(R) |
|
|
接口(API)服务器 |
过度授权访问 |
过量读取或恶意读取服务器数据;可能操作数据导致产生医疗事故; |
中 3 |
API检测(D)、授权管理(P)、账号测试(D)、渗透测试(D)、定期漏洞扫描(D)、入侵检测(D)、数据流审计(D) |
|
级联故障 |
同威胁实体3b) |
高 4 |
同威胁实体3-级联故障 |
说明:用户未区分善意或恶意,能够访问医院资源的外部人员均可以称为用户,我们无法判定某一个用户一定是善意的或者恶意的。善意和恶意是在发生行为的判定准则而不是针对实体的固有描述。