医疗行业Web应用层安全风险

　　医疗行业由很多部门组成：保险公司等付款方、医院和医生等提供商、制药以及医疗设备和器械制造商。并要处理各种各样的生命质量问题，访问实时数据，尤其是患者记录等敏感数据，因此需要内部、Web、移动或云应用的安全性和可用性。

　　为了了解首席安全高管们如何在管理过程和人员的同时克服这些技术挑战，Radware对来自六大洲的600多名首席信息安全官(CISO)及其他安全领袖进行了调查，下文为数字连接领域的Web安全的主要发现。

　　数字化病人

　　数字转型导致医疗行业生成了海量的视频和图像。除了数据爆炸之外，医疗行业还必须遵守一系列由政府和行业主导的法规和标准，这些法规和标准可以控制敏感的个人信息和临床信息的采集、使用、共享和传输。由于医疗设备的生命周期长，很多设备连接的依然是老旧的未打过补丁的系统，至今某些设备仍然运行在Windows XP上。

　　通常，由于害怕数据丢失，IT管理员一般不会主动为系统打补丁，因此设备制造商就成为了医疗行业中的薄弱环节。仅仅2017年一年，数据泄露、勒索软件以及易受攻击的网站、未加密移动应用和网络钓鱼等安全漏洞就曝光了数千万的患者和医疗记录。这就意味着，医疗行业必须进行技术、工具和解决方案投资，用以保护应用环境。然而，接受医疗部门调查的近200名安全高管发现，在缓解风险方面，医疗行业明显落后于零售和金融服务等其他行业，只有27%的受访者明确表示可以保护患者的医疗记录。

　　信心和缓解风险

　　调查显示，近三分之二的受访者不确信他们能否在不影响运维的前提下快速采用安全补丁和更新，而70%的受访者则表示，在过去两年间，他们只能完全追踪到不到50%的数据丢失事件并进行修复。

　　在发生重大行业数据泄露或攻击后，68%的受访者都会在安全控制方面进行一定程度或重大投资，21%的受访者采用了API网关，23%的企业采用了WAF，只有29%的企业部署了这两种。只有25%的受访者可以完全意识到软件开发环境中的内部应用和API的改变。在数据离开公司网络之后，61%的企业无法追踪与第三方共享的数据，57%的企业不会检查通过API传输/返回的数据。

　　除了应对多年以来影响医疗行业的现有威胁和漏洞之外，许多受访者都认为，新兴技术的威胁越来越大。与其他行业一样，从生成流量的角度来看，计算机机器人程序在医疗行业中越来越占据主导地位，36%的网络流量都来自于计算机机器人程序。然而，只有20%的受访者能够确定这36%的流量来自于良性计算机机器人程序还是不良机器人程序。同时，由于医疗行业中存在更多的加密流量，因此针对应用层的加密(SSL/TLS)威胁和攻击也非常令人担忧。