醫(yī)療行業(yè)Web應用安全：全面了解應用層安全風險

　　為了了解首席安全高管們如何在管理過程和人員的同時克服這些技術挑戰(zhàn)，Radware對來自六大洲的600多名首席信息安全官（CISO）及其他安全領袖進行了調查。本文概述了Radware Web應用安全報告：數字連接領域的Web安全的主要發(fā)現。

　　數字轉型導致醫(yī)療行業(yè)生成了大量的視頻和圖像。醫(yī)療行業(yè)創(chuàng)建了一個虛擬的實時醫(yī)療設備連接，可以24/7/365不間斷地傳輸非結構化和潛在的不安全數據。除了數據爆炸之外，醫(yī)療行業(yè)還必須遵守一系列特定的，由政府和行業(yè)主導的法規(guī)和標準（如：HIPAA、GDPR、美國FDA指導方針等地方性法規(guī)），這些法規(guī)和標準可以控制敏感的個人信息和臨床信息的的采集、使用、共享和傳輸。

　　醫(yī)療提供商在復雜醫(yī)療設備上進行了大量的CAPEX投資。由于生命周期很長，很多設備連接的依然是老舊的未打過補丁的系統。事實上，某些設備仍然運行在Windows XP上。

　　通常，由于害怕設備保修會失效，IT管理員不會更新或為這些系統打補丁，因此在涉及到保護環(huán)境安全時，設備制造商就成為了醫(yī)療行業(yè)中的薄弱環(huán)節(jié)。

　　隨著越來越多的數據通過網絡傳輸，醫(yī)療部門很難實時部署解決數字化帶來的復雜性所需的安全策略、技術和資源。僅在2017年，數據泄露、勒索軟件以及易受攻擊的網站、未加密移動應用和網絡釣魚等安全漏洞就曝光了數千萬的患者和醫(yī)療記錄。

　　這就意味著，醫(yī)療行業(yè)必須進行技術、工具和解決方案投資，用以保護他們的應用和環(huán)境。然而，接受醫(yī)療部門調查的近200名安全高管（將近90%的高管都有權直接進行安全活動和投資）發(fā)現，在緩解風險方面，醫(yī)療行業(yè)明顯落后于零售和金融服務等其他行業(yè)。只有27%的受訪者明確表示可以保護患者的醫(yī)療記錄，盡管近80%的記錄都必須符合政府法規(guī)。

　　對調查反饋的分析可以反映一個部門在面對日益增長的安全需求時表現出來的不安狀態(tài)。近三分之二的受訪者不確信他們能否在不影響運維的前提下快速采用安全補丁和更新，而70%的受訪者則表示，在過去兩年間，他們只能完全追蹤到不到50%的數據丟失事件并進行修復（見圖1）。

　　在發(fā)生重大行業(yè)數據泄露或攻擊后，68%的受訪者都會在安全控制方面進行了一定程度或重大投資，21%的受訪者采用了API網關，23%的企業(yè)采用了WAF，只有29%的企業(yè)部署了這兩種。此外，在集成之前，只有不到40%的企業(yè)可以分析API漏洞，而不到40%的企業(yè)表示可以檢測或緩解暴力破解、Web抓取、加密Web攻擊或API篡改等攻擊。

　　除了應對多年以來影響醫(yī)療行業(yè)的現有威脅和漏洞之外，許多受訪者都認為，新興技術的威脅越來越大。與其他行業(yè)一樣，從生成流量的角度來看，計算機機器人程序在醫(yī)療行業(yè)中越來越占據主導地位，36%的網絡流量都來自于計算機機器人程序。然而，只有20%的受訪者能夠確定這36%的流量來自于良性計算機機器人程序還是不良機器人程序。

　　由于醫(yī)療行業(yè)中存在更多的加密流量，因此針對應用層的加密（SSL/TLS）威脅和攻擊很令人擔憂。在所有攻擊中，41%的受訪者表示，過去一年間，L7層DDoS攻擊發(fā)生的頻率更高，但只有30%的人確信能緩解某種針對應用層的攻擊。62%的人則表示，防御、檢測并控制此類攻擊是最困難的。

　　Radware是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領導者。Radware屢獲殊榮的解決方案為關鍵業(yè)務應用提供充分的彈性、最大的IT效率和完整的業(yè)務靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運營商快速應對市場挑戰(zhàn)，保持業(yè)務的連續(xù)性，在實現最高生產效率的同時有效降低成本。