사이버 범죄자들이 의료 기관을 공격하고 있습니다 (하지만 우리는 이에 맞서 싸울 수 있습니다)
이 기사의 한 버전이 나왔습니다. 사이버 디펜스 매거진.여기에서 신디케이션을 위해 업데이트되었습니다.
사이버 공격은 요즘 생활 방식이 되었습니다.사람들은 은행에서 항공에 이르기까지 모든 것, 또는 스마트폰과 신호등과 같은 다양한 장치에 영향을 미치는 새로운 취약점이나 보안 침해에 대한 뉴스를 듣기를 거의 기대합니다.심지어 우리 집도 더 이상 완전히 안전하지 않습니다.도시와 마을 전체 공격을 받고 있습니다 거의 매일 범죄자들이 피해를 입었고 공격자들은 손상된 중요 서비스를 복구하기 위해 수백만 달러의 몸값을 요구합니다.
하지만 그래도 안전하다고 느낄 수 있는 한 곳은 진료실이나 병원이었습니다.의료 서비스 제공자에게 연락할 때 가장 취약한 상황에 처하는 사람들이 있습니다.인간의 품위는 지역 의사들이 평화롭게 고귀한 일을 할 수 있도록 하는 것을 거의 요구합니다.안타깝게도 그런 일은 일어나지 않습니다.오늘날의 사이버 도둑들 사이에서는 명예나 절망감이 거의 없는 것 같습니다.실제로 의료 분야는 차세대 “위대한” 사이버 보안 전쟁터가 될 수 있습니다. 범죄자들은 의료 문제를 진단하고 치료를 제공하며 생명을 유지하는 바로 그 기계를 공격합니다.전 세계적으로 지속적인 보건 위기가 눈앞에 펼쳐지고 있는 지금, 이 문제는 여러 시점에서 해결해야 할 중요한 과제입니다.
위협은 그 어느 때보다 개인화되고 있습니다.
의료 산업에 대한 공격은 새로운 것이 아닙니다.사이버 범죄자들은 이미 환자 정보, 개인 데이터, 금융 기록이 지하 세계와 다크 웹에서 갖는 가치를 알고 있습니다.이러한 정보는 환자로부터 직접 돈을 훔치는 데 사용되거나 피싱 및 기타 사기와 같은 2차 공격의 출발점으로 사용될 수 있습니다.그렇다면 최근에 가장 파괴적인 공격 중 상당수가 의료 서비스를 겨냥한 것은 놀라운 일이 아닙니다. 애국가 의료 기관에서 8천만 건의 환자 기록이 도난당했습니다. 프리메라 1,100만 개의 개인 파일을 잃었습니다. 케어퍼스트총 110만 개의 손상된 레코드가 발견되었으며, 목록은 계속 늘어났습니다.
현재로서는 의료 기기에 대한 직접적인 공격은 거의 없는 것으로 보입니다.하지만, 최소 한 개의 보고서 병원이 침입 사실을 보고하지 않거나 사이버 보안 교육을 받지 않은 직원이 공격이 바로 앞에서 일어나고 있다는 사실을 인식하지 못하는 등 문제가 훨씬 더 널리 퍼질 수 있음을 시사합니다.멀웨어를 사용하여 다음과 같은 무서운 방법으로 의료 기기를 손상시킬 수 있는 능력 가짜 종양 추가 CAT 스캔 및 MRI 결과에 대한 것이 보안 연구원에 의해 결정적으로 입증되었습니다.공격자들이 이미 현실 세계에서 의료 기기와 동일하거나 유사한 일을 하고 있을 수 있다고 생각해도 과언이 아닙니다.
또한 의료 분야는 인터넷에 연결되어 엄청난 양의 정보를 생성하는 소형 센서인 사물 인터넷 (IoT) 내의 장치에 대한 의존도가 높아짐에 따라 사이버 공격에 매우 취약합니다.대부분의 경우 이러한 센서에서 생성되는 정보, 센서가 통신하는 데 사용하는 채널, 심지어 센서 자체를 보호하는 것은 미숙한 과제에 지나지 않습니다.IoT가 지배하는 네트워크 내에 숨어 있는 공격자가 악용할 수 있는 잠재적 취약성의 수는 거의 무한할 것입니다.
의료 분야의 IoT는 심각한 위험을 초래합니다.
환자 치료에 중요한 서비스는 “20년 전만 해도 상상조차 하지 못했던” IoT 기반 취약점과 기타 기존 취약점 모두의 온상입니다.전자 의료 기록, 원격 진료, 모바일 의료 모두 IoT가 제공할 수 있는 정보의 홍수를 기다리고 있는 것처럼 보였습니다.의료 부문에서 IoT에 대한 노력이 어마어마한 것은 놀라운 일이 아닙니다.마켓리서치닷컴은 예측합니다. 내년이면, 의료 부문의 IoT 시장은 1,170억 달러에 달할 것이며, 그 이후에도 매년 15% 의 비율로 계속 확장될 것입니다.
이러한 환경에서 숙련된 공격자는 의료 기기를 악용하는 데 사용될 수 있는 많은 취약점을 발견할 수 있습니다.의료 기기에 내장된 IoT 센서는 일반적으로 두 가지 방법 중 하나로 통신하고 데이터를 생성합니다.일부는 데이터를 수집한 후 결과를 모두 인터넷에 직접 전송하여 분석합니다.다른 이들은 다음과 같은 형태의 분산 네트워킹을 사용합니다. 포그 컴퓨팅 센서 자체가 일종의 미니 네트워크를 형성하여 중앙 저장소 또는 플랫폼과 공유할 데이터를 총체적으로 결정합니다.그러면 해당 데이터를 추가로 처리하거나 의료 종사자가 직접 액세스할 수 있습니다.
의료 분야의 사이버 보안 문제를 더욱 복잡하게 만드는 것은 업계가 데이터 처리 표준, 방법 또는 보호를 수용하거나 이에 동의한 적이 없다는 사실입니다.지금까지 의료 산업은 의료 기기에 대한 자체 독점 기술을 제공하는 제조업체에 의해 운영되어 왔습니다.오늘날 여기에는 내장형 IoT 센서, 장치에서 사용하는 통신 채널, 데이터 수집 후 데이터를 분석하기 위한 플랫폼이 포함됩니다.따라서 대부분의 병원 네트워크는 해커들의 꿈이나 적어도 해커가 다음과 같은 모든 것을 악용할 수 있는 훌륭한 시험장이라고 할 수 있습니다. 보안 구성 오류 에 전송 계층 보호가 충분하지 않음.다음과 같은 방법으로 무엇이든 시도할 수 있습니다. 사이트 간 요청 위조 클래식에 XML 인젝션 공격.
우리에게 필요한 카운터 펀치가 바로 앞에 있습니다.
이로 인한 잠재적 재앙에도 불구하고 취약성이 있습니다 악용되고 있는 상황에서 낙관적인 태도를 유지할 것이 있습니다. 이러한 보안 버그는 범죄 지도자들이 열어주는 새롭고 강력한 백도어가 아니라는 것입니다.너무 흔해서 몇 번이고 계속 보게 되면 답답합니다.이들이 고개를 끄덕이는 이유 중 하나는 수정 사항이 있음에도 불구하고 아직 패치가 적용되지 않은 레거시 시스템을 사용하기 때문이기도 하지만, 다른 하나는 다시 인적 요소와 관련이 있습니다.개발자들은 빠른 속도로 코드를 작성하고 있으며 보안 모범 사례가 아니라 매끄럽고 기능이 뛰어난 최종 제품에 집중하고 있습니다.
AppSec 전문가가 따라갈 수 없을 만큼 많은 소프트웨어가 개발되고 있으며 이러한 취약성이 재발하는 상황에서 이들이 지속적으로 시간을 절약하리라고는 기대할 수 없습니다.애초에 이러한 취약점을 도입하지 않는 것이 더 저렴하고 효율적이며 훨씬 더 안전하다는 것은 분명합니다. 즉, 보안 팀과 개발자는 강력한 엔드-투-엔드 보안 문화를 조성하기 위해 더 많은 노력을 기울여야 합니다.
훌륭한 보안 문화는 정확히 어떤 모습일까요?몇 가지 핵심 요소는 다음과 같습니다.
- 개발자는 일반적인 버그를 없애는 데 필요한 도구와 교육을 갖추고 있으며, 이를 해결하는 것이 왜 그렇게 중요한지 이해할 수 있습니다.
- 교육은 포괄적이고 쉽게 이해할 수 있으며 개발자의 강점을 발휘합니다.
- 교육 결과는 지표 및 보고 기능을 통해 적절하게 측정됩니다 (단순히 체크박스를 선택하고 연습을 계속하는 것이 아님).
- AppSec과 개발자들은 같은 언어를 사용하기 시작합니다. 결국 긍정적인 보안 문화 속에서 그들은 비슷한 목표를 달성하기 위해 노력하고 있습니다.
재해의 가능성은 여전히 엄청나며 환자의 의료 기록을 도난당하는 것 이상입니다.스캔에 가짜 종양을 주입하면 암에 걸렸는지 확인하기 위해 애타게 기다리는 사람이 큰 피해를 입을 수 있습니다.그리고 약물을 바꾸거나 치료 계획을 변경하면 실제로 사망에 이를 수도 있습니다.하지만 이익을 위해 기꺼이 그 선을 넘으려는 사이버 범죄자 한 명만 있으면 됩니다. 그런 일이 일어날 것이라고 장담할 수 있습니다.아마도 다음 랜섬웨어 사기는 병원 데이터를 암호화하는 것이 아니라 수천 명의 환자에 대한 진단을 망칠 수도 있습니다.아니면 공격자가 돈을 받지 않는 한 의약품을 바꾸겠다고 위협하여 말 그대로 몸값을 노리고 생명을 앗아갈 수도 있습니다.
이제 더 이상 “평소와 같은 비즈니스” 접근 방식을 따를 수 없다는 것이 분명합니다. 의료 분야의 사이버 보안.모든 문제를 해결하기 위해 의료 기관의 전문가 한두 명에게 의존할 수는 없습니다.그 대신 의료 앱 및 기기를 개발하는 보안 지식을 갖춘 개발자가 필요합니다. 이를 통해 잠재적 문제를 인식하고 시설에 배포하기 전에 문제를 해결할 수 있습니다.심지어 의료 종사자들도 기본적인 사이버 보안 교육을 이용할 수 있습니다.
건강보다 더 중요한 것은 없다는 것이 사실입니다.의료 산업에서 미래에 대비하여 우수한 사이버 보안 적합성을 유지하려면 오늘날 전반적인 보안 인식을 제고하는 것이 관건입니다.심각한 치료가 없다면 이 문제는 더욱 악화될 수밖에 없습니다.
의료는 차세대 '위대한' 사이버 보안 전쟁터가 될 수 있습니다. 범죄자들은 의료 문제를 진단하고 치료를 제공하며 생명을 유지하는 바로 그 기계를 공격합니다.
最高経営責任者(CEO)、会長、および共同設立者
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
이 기사의 한 버전이 나왔습니다. 사이버 디펜스 매거진.여기에서 신디케이션을 위해 업데이트되었습니다.
사이버 공격은 요즘 생활 방식이 되었습니다.사람들은 은행에서 항공에 이르기까지 모든 것, 또는 스마트폰과 신호등과 같은 다양한 장치에 영향을 미치는 새로운 취약점이나 보안 침해에 대한 뉴스를 듣기를 거의 기대합니다.심지어 우리 집도 더 이상 완전히 안전하지 않습니다.도시와 마을 전체 공격을 받고 있습니다 거의 매일 범죄자들이 피해를 입었고 공격자들은 손상된 중요 서비스를 복구하기 위해 수백만 달러의 몸값을 요구합니다.
하지만 그래도 안전하다고 느낄 수 있는 한 곳은 진료실이나 병원이었습니다.의료 서비스 제공자에게 연락할 때 가장 취약한 상황에 처하는 사람들이 있습니다.인간의 품위는 지역 의사들이 평화롭게 고귀한 일을 할 수 있도록 하는 것을 거의 요구합니다.안타깝게도 그런 일은 일어나지 않습니다.오늘날의 사이버 도둑들 사이에서는 명예나 절망감이 거의 없는 것 같습니다.실제로 의료 분야는 차세대 “위대한” 사이버 보안 전쟁터가 될 수 있습니다. 범죄자들은 의료 문제를 진단하고 치료를 제공하며 생명을 유지하는 바로 그 기계를 공격합니다.전 세계적으로 지속적인 보건 위기가 눈앞에 펼쳐지고 있는 지금, 이 문제는 여러 시점에서 해결해야 할 중요한 과제입니다.
위협은 그 어느 때보다 개인화되고 있습니다.
의료 산업에 대한 공격은 새로운 것이 아닙니다.사이버 범죄자들은 이미 환자 정보, 개인 데이터, 금융 기록이 지하 세계와 다크 웹에서 갖는 가치를 알고 있습니다.이러한 정보는 환자로부터 직접 돈을 훔치는 데 사용되거나 피싱 및 기타 사기와 같은 2차 공격의 출발점으로 사용될 수 있습니다.그렇다면 최근에 가장 파괴적인 공격 중 상당수가 의료 서비스를 겨냥한 것은 놀라운 일이 아닙니다. 애국가 의료 기관에서 8천만 건의 환자 기록이 도난당했습니다. 프리메라 1,100만 개의 개인 파일을 잃었습니다. 케어퍼스트총 110만 개의 손상된 레코드가 발견되었으며, 목록은 계속 늘어났습니다.
현재로서는 의료 기기에 대한 직접적인 공격은 거의 없는 것으로 보입니다.하지만, 최소 한 개의 보고서 병원이 침입 사실을 보고하지 않거나 사이버 보안 교육을 받지 않은 직원이 공격이 바로 앞에서 일어나고 있다는 사실을 인식하지 못하는 등 문제가 훨씬 더 널리 퍼질 수 있음을 시사합니다.멀웨어를 사용하여 다음과 같은 무서운 방법으로 의료 기기를 손상시킬 수 있는 능력 가짜 종양 추가 CAT 스캔 및 MRI 결과에 대한 것이 보안 연구원에 의해 결정적으로 입증되었습니다.공격자들이 이미 현실 세계에서 의료 기기와 동일하거나 유사한 일을 하고 있을 수 있다고 생각해도 과언이 아닙니다.
또한 의료 분야는 인터넷에 연결되어 엄청난 양의 정보를 생성하는 소형 센서인 사물 인터넷 (IoT) 내의 장치에 대한 의존도가 높아짐에 따라 사이버 공격에 매우 취약합니다.대부분의 경우 이러한 센서에서 생성되는 정보, 센서가 통신하는 데 사용하는 채널, 심지어 센서 자체를 보호하는 것은 미숙한 과제에 지나지 않습니다.IoT가 지배하는 네트워크 내에 숨어 있는 공격자가 악용할 수 있는 잠재적 취약성의 수는 거의 무한할 것입니다.
의료 분야의 IoT는 심각한 위험을 초래합니다.
환자 치료에 중요한 서비스는 “20년 전만 해도 상상조차 하지 못했던” IoT 기반 취약점과 기타 기존 취약점 모두의 온상입니다.전자 의료 기록, 원격 진료, 모바일 의료 모두 IoT가 제공할 수 있는 정보의 홍수를 기다리고 있는 것처럼 보였습니다.의료 부문에서 IoT에 대한 노력이 어마어마한 것은 놀라운 일이 아닙니다.마켓리서치닷컴은 예측합니다. 내년이면, 의료 부문의 IoT 시장은 1,170억 달러에 달할 것이며, 그 이후에도 매년 15% 의 비율로 계속 확장될 것입니다.
이러한 환경에서 숙련된 공격자는 의료 기기를 악용하는 데 사용될 수 있는 많은 취약점을 발견할 수 있습니다.의료 기기에 내장된 IoT 센서는 일반적으로 두 가지 방법 중 하나로 통신하고 데이터를 생성합니다.일부는 데이터를 수집한 후 결과를 모두 인터넷에 직접 전송하여 분석합니다.다른 이들은 다음과 같은 형태의 분산 네트워킹을 사용합니다. 포그 컴퓨팅 센서 자체가 일종의 미니 네트워크를 형성하여 중앙 저장소 또는 플랫폼과 공유할 데이터를 총체적으로 결정합니다.그러면 해당 데이터를 추가로 처리하거나 의료 종사자가 직접 액세스할 수 있습니다.
의료 분야의 사이버 보안 문제를 더욱 복잡하게 만드는 것은 업계가 데이터 처리 표준, 방법 또는 보호를 수용하거나 이에 동의한 적이 없다는 사실입니다.지금까지 의료 산업은 의료 기기에 대한 자체 독점 기술을 제공하는 제조업체에 의해 운영되어 왔습니다.오늘날 여기에는 내장형 IoT 센서, 장치에서 사용하는 통신 채널, 데이터 수집 후 데이터를 분석하기 위한 플랫폼이 포함됩니다.따라서 대부분의 병원 네트워크는 해커들의 꿈이나 적어도 해커가 다음과 같은 모든 것을 악용할 수 있는 훌륭한 시험장이라고 할 수 있습니다. 보안 구성 오류 에 전송 계층 보호가 충분하지 않음.다음과 같은 방법으로 무엇이든 시도할 수 있습니다. 사이트 간 요청 위조 클래식에 XML 인젝션 공격.
우리에게 필요한 카운터 펀치가 바로 앞에 있습니다.
이로 인한 잠재적 재앙에도 불구하고 취약성이 있습니다 악용되고 있는 상황에서 낙관적인 태도를 유지할 것이 있습니다. 이러한 보안 버그는 범죄 지도자들이 열어주는 새롭고 강력한 백도어가 아니라는 것입니다.너무 흔해서 몇 번이고 계속 보게 되면 답답합니다.이들이 고개를 끄덕이는 이유 중 하나는 수정 사항이 있음에도 불구하고 아직 패치가 적용되지 않은 레거시 시스템을 사용하기 때문이기도 하지만, 다른 하나는 다시 인적 요소와 관련이 있습니다.개발자들은 빠른 속도로 코드를 작성하고 있으며 보안 모범 사례가 아니라 매끄럽고 기능이 뛰어난 최종 제품에 집중하고 있습니다.
AppSec 전문가가 따라갈 수 없을 만큼 많은 소프트웨어가 개발되고 있으며 이러한 취약성이 재발하는 상황에서 이들이 지속적으로 시간을 절약하리라고는 기대할 수 없습니다.애초에 이러한 취약점을 도입하지 않는 것이 더 저렴하고 효율적이며 훨씬 더 안전하다는 것은 분명합니다. 즉, 보안 팀과 개발자는 강력한 엔드-투-엔드 보안 문화를 조성하기 위해 더 많은 노력을 기울여야 합니다.
훌륭한 보안 문화는 정확히 어떤 모습일까요?몇 가지 핵심 요소는 다음과 같습니다.
- 개발자는 일반적인 버그를 없애는 데 필요한 도구와 교육을 갖추고 있으며, 이를 해결하는 것이 왜 그렇게 중요한지 이해할 수 있습니다.
- 교육은 포괄적이고 쉽게 이해할 수 있으며 개발자의 강점을 발휘합니다.
- 교육 결과는 지표 및 보고 기능을 통해 적절하게 측정됩니다 (단순히 체크박스를 선택하고 연습을 계속하는 것이 아님).
- AppSec과 개발자들은 같은 언어를 사용하기 시작합니다. 결국 긍정적인 보안 문화 속에서 그들은 비슷한 목표를 달성하기 위해 노력하고 있습니다.
재해의 가능성은 여전히 엄청나며 환자의 의료 기록을 도난당하는 것 이상입니다.스캔에 가짜 종양을 주입하면 암에 걸렸는지 확인하기 위해 애타게 기다리는 사람이 큰 피해를 입을 수 있습니다.그리고 약물을 바꾸거나 치료 계획을 변경하면 실제로 사망에 이를 수도 있습니다.하지만 이익을 위해 기꺼이 그 선을 넘으려는 사이버 범죄자 한 명만 있으면 됩니다. 그런 일이 일어날 것이라고 장담할 수 있습니다.아마도 다음 랜섬웨어 사기는 병원 데이터를 암호화하는 것이 아니라 수천 명의 환자에 대한 진단을 망칠 수도 있습니다.아니면 공격자가 돈을 받지 않는 한 의약품을 바꾸겠다고 위협하여 말 그대로 몸값을 노리고 생명을 앗아갈 수도 있습니다.
이제 더 이상 “평소와 같은 비즈니스” 접근 방식을 따를 수 없다는 것이 분명합니다. 의료 분야의 사이버 보안.모든 문제를 해결하기 위해 의료 기관의 전문가 한두 명에게 의존할 수는 없습니다.그 대신 의료 앱 및 기기를 개발하는 보안 지식을 갖춘 개발자가 필요합니다. 이를 통해 잠재적 문제를 인식하고 시설에 배포하기 전에 문제를 해결할 수 있습니다.심지어 의료 종사자들도 기본적인 사이버 보안 교육을 이용할 수 있습니다.
건강보다 더 중요한 것은 없다는 것이 사실입니다.의료 산업에서 미래에 대비하여 우수한 사이버 보안 적합성을 유지하려면 오늘날 전반적인 보안 인식을 제고하는 것이 관건입니다.심각한 치료가 없다면 이 문제는 더욱 악화될 수밖에 없습니다.
이 기사의 한 버전이 나왔습니다. 사이버 디펜스 매거진.여기에서 신디케이션을 위해 업데이트되었습니다.
사이버 공격은 요즘 생활 방식이 되었습니다.사람들은 은행에서 항공에 이르기까지 모든 것, 또는 스마트폰과 신호등과 같은 다양한 장치에 영향을 미치는 새로운 취약점이나 보안 침해에 대한 뉴스를 듣기를 거의 기대합니다.심지어 우리 집도 더 이상 완전히 안전하지 않습니다.도시와 마을 전체 공격을 받고 있습니다 거의 매일 범죄자들이 피해를 입었고 공격자들은 손상된 중요 서비스를 복구하기 위해 수백만 달러의 몸값을 요구합니다.
하지만 그래도 안전하다고 느낄 수 있는 한 곳은 진료실이나 병원이었습니다.의료 서비스 제공자에게 연락할 때 가장 취약한 상황에 처하는 사람들이 있습니다.인간의 품위는 지역 의사들이 평화롭게 고귀한 일을 할 수 있도록 하는 것을 거의 요구합니다.안타깝게도 그런 일은 일어나지 않습니다.오늘날의 사이버 도둑들 사이에서는 명예나 절망감이 거의 없는 것 같습니다.실제로 의료 분야는 차세대 “위대한” 사이버 보안 전쟁터가 될 수 있습니다. 범죄자들은 의료 문제를 진단하고 치료를 제공하며 생명을 유지하는 바로 그 기계를 공격합니다.전 세계적으로 지속적인 보건 위기가 눈앞에 펼쳐지고 있는 지금, 이 문제는 여러 시점에서 해결해야 할 중요한 과제입니다.
위협은 그 어느 때보다 개인화되고 있습니다.
의료 산업에 대한 공격은 새로운 것이 아닙니다.사이버 범죄자들은 이미 환자 정보, 개인 데이터, 금융 기록이 지하 세계와 다크 웹에서 갖는 가치를 알고 있습니다.이러한 정보는 환자로부터 직접 돈을 훔치는 데 사용되거나 피싱 및 기타 사기와 같은 2차 공격의 출발점으로 사용될 수 있습니다.그렇다면 최근에 가장 파괴적인 공격 중 상당수가 의료 서비스를 겨냥한 것은 놀라운 일이 아닙니다. 애국가 의료 기관에서 8천만 건의 환자 기록이 도난당했습니다. 프리메라 1,100만 개의 개인 파일을 잃었습니다. 케어퍼스트총 110만 개의 손상된 레코드가 발견되었으며, 목록은 계속 늘어났습니다.
현재로서는 의료 기기에 대한 직접적인 공격은 거의 없는 것으로 보입니다.하지만, 최소 한 개의 보고서 병원이 침입 사실을 보고하지 않거나 사이버 보안 교육을 받지 않은 직원이 공격이 바로 앞에서 일어나고 있다는 사실을 인식하지 못하는 등 문제가 훨씬 더 널리 퍼질 수 있음을 시사합니다.멀웨어를 사용하여 다음과 같은 무서운 방법으로 의료 기기를 손상시킬 수 있는 능력 가짜 종양 추가 CAT 스캔 및 MRI 결과에 대한 것이 보안 연구원에 의해 결정적으로 입증되었습니다.공격자들이 이미 현실 세계에서 의료 기기와 동일하거나 유사한 일을 하고 있을 수 있다고 생각해도 과언이 아닙니다.
또한 의료 분야는 인터넷에 연결되어 엄청난 양의 정보를 생성하는 소형 센서인 사물 인터넷 (IoT) 내의 장치에 대한 의존도가 높아짐에 따라 사이버 공격에 매우 취약합니다.대부분의 경우 이러한 센서에서 생성되는 정보, 센서가 통신하는 데 사용하는 채널, 심지어 센서 자체를 보호하는 것은 미숙한 과제에 지나지 않습니다.IoT가 지배하는 네트워크 내에 숨어 있는 공격자가 악용할 수 있는 잠재적 취약성의 수는 거의 무한할 것입니다.
의료 분야의 IoT는 심각한 위험을 초래합니다.
환자 치료에 중요한 서비스는 “20년 전만 해도 상상조차 하지 못했던” IoT 기반 취약점과 기타 기존 취약점 모두의 온상입니다.전자 의료 기록, 원격 진료, 모바일 의료 모두 IoT가 제공할 수 있는 정보의 홍수를 기다리고 있는 것처럼 보였습니다.의료 부문에서 IoT에 대한 노력이 어마어마한 것은 놀라운 일이 아닙니다.마켓리서치닷컴은 예측합니다. 내년이면, 의료 부문의 IoT 시장은 1,170억 달러에 달할 것이며, 그 이후에도 매년 15% 의 비율로 계속 확장될 것입니다.
이러한 환경에서 숙련된 공격자는 의료 기기를 악용하는 데 사용될 수 있는 많은 취약점을 발견할 수 있습니다.의료 기기에 내장된 IoT 센서는 일반적으로 두 가지 방법 중 하나로 통신하고 데이터를 생성합니다.일부는 데이터를 수집한 후 결과를 모두 인터넷에 직접 전송하여 분석합니다.다른 이들은 다음과 같은 형태의 분산 네트워킹을 사용합니다. 포그 컴퓨팅 센서 자체가 일종의 미니 네트워크를 형성하여 중앙 저장소 또는 플랫폼과 공유할 데이터를 총체적으로 결정합니다.그러면 해당 데이터를 추가로 처리하거나 의료 종사자가 직접 액세스할 수 있습니다.
의료 분야의 사이버 보안 문제를 더욱 복잡하게 만드는 것은 업계가 데이터 처리 표준, 방법 또는 보호를 수용하거나 이에 동의한 적이 없다는 사실입니다.지금까지 의료 산업은 의료 기기에 대한 자체 독점 기술을 제공하는 제조업체에 의해 운영되어 왔습니다.오늘날 여기에는 내장형 IoT 센서, 장치에서 사용하는 통신 채널, 데이터 수집 후 데이터를 분석하기 위한 플랫폼이 포함됩니다.따라서 대부분의 병원 네트워크는 해커들의 꿈이나 적어도 해커가 다음과 같은 모든 것을 악용할 수 있는 훌륭한 시험장이라고 할 수 있습니다. 보안 구성 오류 에 전송 계층 보호가 충분하지 않음.다음과 같은 방법으로 무엇이든 시도할 수 있습니다. 사이트 간 요청 위조 클래식에 XML 인젝션 공격.
우리에게 필요한 카운터 펀치가 바로 앞에 있습니다.
이로 인한 잠재적 재앙에도 불구하고 취약성이 있습니다 악용되고 있는 상황에서 낙관적인 태도를 유지할 것이 있습니다. 이러한 보안 버그는 범죄 지도자들이 열어주는 새롭고 강력한 백도어가 아니라는 것입니다.너무 흔해서 몇 번이고 계속 보게 되면 답답합니다.이들이 고개를 끄덕이는 이유 중 하나는 수정 사항이 있음에도 불구하고 아직 패치가 적용되지 않은 레거시 시스템을 사용하기 때문이기도 하지만, 다른 하나는 다시 인적 요소와 관련이 있습니다.개발자들은 빠른 속도로 코드를 작성하고 있으며 보안 모범 사례가 아니라 매끄럽고 기능이 뛰어난 최종 제품에 집중하고 있습니다.
AppSec 전문가가 따라갈 수 없을 만큼 많은 소프트웨어가 개발되고 있으며 이러한 취약성이 재발하는 상황에서 이들이 지속적으로 시간을 절약하리라고는 기대할 수 없습니다.애초에 이러한 취약점을 도입하지 않는 것이 더 저렴하고 효율적이며 훨씬 더 안전하다는 것은 분명합니다. 즉, 보안 팀과 개발자는 강력한 엔드-투-엔드 보안 문화를 조성하기 위해 더 많은 노력을 기울여야 합니다.
훌륭한 보안 문화는 정확히 어떤 모습일까요?몇 가지 핵심 요소는 다음과 같습니다.
- 개발자는 일반적인 버그를 없애는 데 필요한 도구와 교육을 갖추고 있으며, 이를 해결하는 것이 왜 그렇게 중요한지 이해할 수 있습니다.
- 교육은 포괄적이고 쉽게 이해할 수 있으며 개발자의 강점을 발휘합니다.
- 교육 결과는 지표 및 보고 기능을 통해 적절하게 측정됩니다 (단순히 체크박스를 선택하고 연습을 계속하는 것이 아님).
- AppSec과 개발자들은 같은 언어를 사용하기 시작합니다. 결국 긍정적인 보안 문화 속에서 그들은 비슷한 목표를 달성하기 위해 노력하고 있습니다.
재해의 가능성은 여전히 엄청나며 환자의 의료 기록을 도난당하는 것 이상입니다.스캔에 가짜 종양을 주입하면 암에 걸렸는지 확인하기 위해 애타게 기다리는 사람이 큰 피해를 입을 수 있습니다.그리고 약물을 바꾸거나 치료 계획을 변경하면 실제로 사망에 이를 수도 있습니다.하지만 이익을 위해 기꺼이 그 선을 넘으려는 사이버 범죄자 한 명만 있으면 됩니다. 그런 일이 일어날 것이라고 장담할 수 있습니다.아마도 다음 랜섬웨어 사기는 병원 데이터를 암호화하는 것이 아니라 수천 명의 환자에 대한 진단을 망칠 수도 있습니다.아니면 공격자가 돈을 받지 않는 한 의약품을 바꾸겠다고 위협하여 말 그대로 몸값을 노리고 생명을 앗아갈 수도 있습니다.
이제 더 이상 “평소와 같은 비즈니스” 접근 방식을 따를 수 없다는 것이 분명합니다. 의료 분야의 사이버 보안.모든 문제를 해결하기 위해 의료 기관의 전문가 한두 명에게 의존할 수는 없습니다.그 대신 의료 앱 및 기기를 개발하는 보안 지식을 갖춘 개발자가 필요합니다. 이를 통해 잠재적 문제를 인식하고 시설에 배포하기 전에 문제를 해결할 수 있습니다.심지어 의료 종사자들도 기본적인 사이버 보안 교육을 이용할 수 있습니다.
건강보다 더 중요한 것은 없다는 것이 사실입니다.의료 산업에서 미래에 대비하여 우수한 사이버 보안 적합성을 유지하려면 오늘날 전반적인 보안 인식을 제고하는 것이 관건입니다.심각한 치료가 없다면 이 문제는 더욱 악화될 수밖에 없습니다.
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
이 기사의 한 버전이 나왔습니다. 사이버 디펜스 매거진.여기에서 신디케이션을 위해 업데이트되었습니다.
사이버 공격은 요즘 생활 방식이 되었습니다.사람들은 은행에서 항공에 이르기까지 모든 것, 또는 스마트폰과 신호등과 같은 다양한 장치에 영향을 미치는 새로운 취약점이나 보안 침해에 대한 뉴스를 듣기를 거의 기대합니다.심지어 우리 집도 더 이상 완전히 안전하지 않습니다.도시와 마을 전체 공격을 받고 있습니다 거의 매일 범죄자들이 피해를 입었고 공격자들은 손상된 중요 서비스를 복구하기 위해 수백만 달러의 몸값을 요구합니다.
하지만 그래도 안전하다고 느낄 수 있는 한 곳은 진료실이나 병원이었습니다.의료 서비스 제공자에게 연락할 때 가장 취약한 상황에 처하는 사람들이 있습니다.인간의 품위는 지역 의사들이 평화롭게 고귀한 일을 할 수 있도록 하는 것을 거의 요구합니다.안타깝게도 그런 일은 일어나지 않습니다.오늘날의 사이버 도둑들 사이에서는 명예나 절망감이 거의 없는 것 같습니다.실제로 의료 분야는 차세대 “위대한” 사이버 보안 전쟁터가 될 수 있습니다. 범죄자들은 의료 문제를 진단하고 치료를 제공하며 생명을 유지하는 바로 그 기계를 공격합니다.전 세계적으로 지속적인 보건 위기가 눈앞에 펼쳐지고 있는 지금, 이 문제는 여러 시점에서 해결해야 할 중요한 과제입니다.
위협은 그 어느 때보다 개인화되고 있습니다.
의료 산업에 대한 공격은 새로운 것이 아닙니다.사이버 범죄자들은 이미 환자 정보, 개인 데이터, 금융 기록이 지하 세계와 다크 웹에서 갖는 가치를 알고 있습니다.이러한 정보는 환자로부터 직접 돈을 훔치는 데 사용되거나 피싱 및 기타 사기와 같은 2차 공격의 출발점으로 사용될 수 있습니다.그렇다면 최근에 가장 파괴적인 공격 중 상당수가 의료 서비스를 겨냥한 것은 놀라운 일이 아닙니다. 애국가 의료 기관에서 8천만 건의 환자 기록이 도난당했습니다. 프리메라 1,100만 개의 개인 파일을 잃었습니다. 케어퍼스트총 110만 개의 손상된 레코드가 발견되었으며, 목록은 계속 늘어났습니다.
현재로서는 의료 기기에 대한 직접적인 공격은 거의 없는 것으로 보입니다.하지만, 최소 한 개의 보고서 병원이 침입 사실을 보고하지 않거나 사이버 보안 교육을 받지 않은 직원이 공격이 바로 앞에서 일어나고 있다는 사실을 인식하지 못하는 등 문제가 훨씬 더 널리 퍼질 수 있음을 시사합니다.멀웨어를 사용하여 다음과 같은 무서운 방법으로 의료 기기를 손상시킬 수 있는 능력 가짜 종양 추가 CAT 스캔 및 MRI 결과에 대한 것이 보안 연구원에 의해 결정적으로 입증되었습니다.공격자들이 이미 현실 세계에서 의료 기기와 동일하거나 유사한 일을 하고 있을 수 있다고 생각해도 과언이 아닙니다.
또한 의료 분야는 인터넷에 연결되어 엄청난 양의 정보를 생성하는 소형 센서인 사물 인터넷 (IoT) 내의 장치에 대한 의존도가 높아짐에 따라 사이버 공격에 매우 취약합니다.대부분의 경우 이러한 센서에서 생성되는 정보, 센서가 통신하는 데 사용하는 채널, 심지어 센서 자체를 보호하는 것은 미숙한 과제에 지나지 않습니다.IoT가 지배하는 네트워크 내에 숨어 있는 공격자가 악용할 수 있는 잠재적 취약성의 수는 거의 무한할 것입니다.
의료 분야의 IoT는 심각한 위험을 초래합니다.
환자 치료에 중요한 서비스는 “20년 전만 해도 상상조차 하지 못했던” IoT 기반 취약점과 기타 기존 취약점 모두의 온상입니다.전자 의료 기록, 원격 진료, 모바일 의료 모두 IoT가 제공할 수 있는 정보의 홍수를 기다리고 있는 것처럼 보였습니다.의료 부문에서 IoT에 대한 노력이 어마어마한 것은 놀라운 일이 아닙니다.마켓리서치닷컴은 예측합니다. 내년이면, 의료 부문의 IoT 시장은 1,170억 달러에 달할 것이며, 그 이후에도 매년 15% 의 비율로 계속 확장될 것입니다.
이러한 환경에서 숙련된 공격자는 의료 기기를 악용하는 데 사용될 수 있는 많은 취약점을 발견할 수 있습니다.의료 기기에 내장된 IoT 센서는 일반적으로 두 가지 방법 중 하나로 통신하고 데이터를 생성합니다.일부는 데이터를 수집한 후 결과를 모두 인터넷에 직접 전송하여 분석합니다.다른 이들은 다음과 같은 형태의 분산 네트워킹을 사용합니다. 포그 컴퓨팅 센서 자체가 일종의 미니 네트워크를 형성하여 중앙 저장소 또는 플랫폼과 공유할 데이터를 총체적으로 결정합니다.그러면 해당 데이터를 추가로 처리하거나 의료 종사자가 직접 액세스할 수 있습니다.
의료 분야의 사이버 보안 문제를 더욱 복잡하게 만드는 것은 업계가 데이터 처리 표준, 방법 또는 보호를 수용하거나 이에 동의한 적이 없다는 사실입니다.지금까지 의료 산업은 의료 기기에 대한 자체 독점 기술을 제공하는 제조업체에 의해 운영되어 왔습니다.오늘날 여기에는 내장형 IoT 센서, 장치에서 사용하는 통신 채널, 데이터 수집 후 데이터를 분석하기 위한 플랫폼이 포함됩니다.따라서 대부분의 병원 네트워크는 해커들의 꿈이나 적어도 해커가 다음과 같은 모든 것을 악용할 수 있는 훌륭한 시험장이라고 할 수 있습니다. 보안 구성 오류 에 전송 계층 보호가 충분하지 않음.다음과 같은 방법으로 무엇이든 시도할 수 있습니다. 사이트 간 요청 위조 클래식에 XML 인젝션 공격.
우리에게 필요한 카운터 펀치가 바로 앞에 있습니다.
이로 인한 잠재적 재앙에도 불구하고 취약성이 있습니다 악용되고 있는 상황에서 낙관적인 태도를 유지할 것이 있습니다. 이러한 보안 버그는 범죄 지도자들이 열어주는 새롭고 강력한 백도어가 아니라는 것입니다.너무 흔해서 몇 번이고 계속 보게 되면 답답합니다.이들이 고개를 끄덕이는 이유 중 하나는 수정 사항이 있음에도 불구하고 아직 패치가 적용되지 않은 레거시 시스템을 사용하기 때문이기도 하지만, 다른 하나는 다시 인적 요소와 관련이 있습니다.개발자들은 빠른 속도로 코드를 작성하고 있으며 보안 모범 사례가 아니라 매끄럽고 기능이 뛰어난 최종 제품에 집중하고 있습니다.
AppSec 전문가가 따라갈 수 없을 만큼 많은 소프트웨어가 개발되고 있으며 이러한 취약성이 재발하는 상황에서 이들이 지속적으로 시간을 절약하리라고는 기대할 수 없습니다.애초에 이러한 취약점을 도입하지 않는 것이 더 저렴하고 효율적이며 훨씬 더 안전하다는 것은 분명합니다. 즉, 보안 팀과 개발자는 강력한 엔드-투-엔드 보안 문화를 조성하기 위해 더 많은 노력을 기울여야 합니다.
훌륭한 보안 문화는 정확히 어떤 모습일까요?몇 가지 핵심 요소는 다음과 같습니다.
- 개발자는 일반적인 버그를 없애는 데 필요한 도구와 교육을 갖추고 있으며, 이를 해결하는 것이 왜 그렇게 중요한지 이해할 수 있습니다.
- 교육은 포괄적이고 쉽게 이해할 수 있으며 개발자의 강점을 발휘합니다.
- 교육 결과는 지표 및 보고 기능을 통해 적절하게 측정됩니다 (단순히 체크박스를 선택하고 연습을 계속하는 것이 아님).
- AppSec과 개발자들은 같은 언어를 사용하기 시작합니다. 결국 긍정적인 보안 문화 속에서 그들은 비슷한 목표를 달성하기 위해 노력하고 있습니다.
재해의 가능성은 여전히 엄청나며 환자의 의료 기록을 도난당하는 것 이상입니다.스캔에 가짜 종양을 주입하면 암에 걸렸는지 확인하기 위해 애타게 기다리는 사람이 큰 피해를 입을 수 있습니다.그리고 약물을 바꾸거나 치료 계획을 변경하면 실제로 사망에 이를 수도 있습니다.하지만 이익을 위해 기꺼이 그 선을 넘으려는 사이버 범죄자 한 명만 있으면 됩니다. 그런 일이 일어날 것이라고 장담할 수 있습니다.아마도 다음 랜섬웨어 사기는 병원 데이터를 암호화하는 것이 아니라 수천 명의 환자에 대한 진단을 망칠 수도 있습니다.아니면 공격자가 돈을 받지 않는 한 의약품을 바꾸겠다고 위협하여 말 그대로 몸값을 노리고 생명을 앗아갈 수도 있습니다.
이제 더 이상 “평소와 같은 비즈니스” 접근 방식을 따를 수 없다는 것이 분명합니다. 의료 분야의 사이버 보안.모든 문제를 해결하기 위해 의료 기관의 전문가 한두 명에게 의존할 수는 없습니다.그 대신 의료 앱 및 기기를 개발하는 보안 지식을 갖춘 개발자가 필요합니다. 이를 통해 잠재적 문제를 인식하고 시설에 배포하기 전에 문제를 해결할 수 있습니다.심지어 의료 종사자들도 기본적인 사이버 보안 교육을 이용할 수 있습니다.
건강보다 더 중요한 것은 없다는 것이 사실입니다.의료 산업에서 미래에 대비하여 우수한 사이버 보안 적합성을 유지하려면 오늘날 전반적인 보안 인식을 제고하는 것이 관건입니다.심각한 치료가 없다면 이 문제는 더욱 악화될 수밖에 없습니다.
%20(1).avif)
.avif)
