參見標準:ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
(內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。)
D.4 如何利用產出結果?
威脅建模提供針對系統在特定預期用途及其預期運作前後環節下所面臨的獨特潛在威脅清單。威脅建模的產出是一系列潛在問題供接續處理,係作為生命周期風險管理活動的一部分。威脅建模的輸出是產品或系統風險管理產物的組成部分。
製造商須牢記,可能存在無法有效緩解的威脅,導致做出調整設計需求及/或使用限制。此等威脅須加以識別,以明確界定對文件、最終使用者及法規要求的衝擊。
輸出成果通常是一份帶有明確緩解措施的威脅表。緩解措施是在產品開發與軟體維護過程中,對需求、功能或控制措施進行細化。此表的管理方式與其他需求、功能、控制或缺陷並無差異。
當已識別出的威脅被認定為「未受控制」(參見FDA上市後指引),且必須透過設計變更或風險轉移來處理與緩解時,製造商須如何回應?緩解措施可透過以下方式管理:
l 需要技術解決方案的預防性軟體更新。
l 反映不良設計決定的更新
l 架構更新。
將威脅管理為需求、功能、控制或缺陷的過程,非常適合敏捷方法學與瀑布式方法學。威脅建模的最終目標是利用現有既有的方法學發現並修正安全漏洞。
接下來建議的步驟是將威脅模型的結果與漏洞評鑑予以結合,將新識別出來的威脅與可能相關的漏洞連結起來,即攻擊者可能利用該威脅攻擊系統。接著須評鑑此等相關的威脅與漏洞,評估其對系統的衝擊與風險。
D.5 方式與方法學
威脅建模可以用多種方式進行,可分為結構化方法、非結構化方法。
非結構化方法依賴一般的腦力激盪與模型建構者的知識。非結構化方法可能導致輸出的錯誤率高、可能不完整,且會產生威脅建模運用參與者的集體知識中特定輸出情境。
結構化方法確保評鑑更全面且有條理,並產生可覆盤的結果。然而,尚無唯一正確的結構化威脅模型方法。現存多種方法學,每種各有其優點和缺點。關鍵在於找出最能為該流程、產品與團隊文化帶來價值的方法學。此外,每種方法學毋須孤立存在,混合運用各種方法學可能激發相當有力的產出。
產業界常選的方法大致可分為資產導向(asset
oriented)與威脅行為者(threat actor oriented)導向兩大類。各類別代表自上而下與自下而上的威脅建模方法。資產導向是一種自下而上的方法,從評鑑系統中每個資產的獨特威脅開始。而以威脅行為者為導向的方法,也就是自上而下的方法,則是從考慮系統威脅來源開始,以及這些威脅如何為被分析的特定系統帶來獨特的威脅。
威脅建模有許多技術與方法學。次節展示了結構化方法學的示例,包括 STRIDE、攻擊樹與(Attack Trees)基於行為者(Actor based)的方法。STRIDE 是一種有著悠久歷史且有詳細記錄的方法學。製造商宜考慮採用一種或多種方法,並考慮使用多種方法以獲得結論。一種方法學可能適用於某一類應用,但不同架構、更複雜的系統或威脅可能需要採取額外的方法。例如,使用 STRIDE 方法分析的威脅可能產生與該威脅不符的漏洞分數,此時攻擊樹分析可進一步細化威脅,顯示漏洞分數較大(或者較小)。
D.5.1 資產導向方法asset oriented models
資產導向威脅建模將資產視為具有動機攻擊者的主要目標。其中一種可能的方法見於 AAMI TIR57,圖 B.6,見圖D.1。
l 醫療器材安全原則:風險管理。
「本指引旨在協助製造商及其他標準使用者在以下事項上:識別與醫療器材相關的威脅、漏洞及資產。“
資產導向模型透過先識別並列舉系統資產衝擊的排名,以識別每項資產獨有的威脅。
D.5.2 [STRIDE] 方法學
STRIDE 方法學旨在協助識別軟體技術易遭受的攻擊類型。
STRIDE 代表欺騙(spoofing)、篡改(tampering)、拒絕(repudiation)、資訊揭露(information disclosure)、拒絕服務(denial of service)以及特權提升(elevation of privilege),這些是威脅類型。STRIDE 係詳細列舉可能出錯的情況。
使用 STRIDE 進行威脅建模,涉及製造商須改變思維的方式:設計理念成為尋求問題的解決方案,而非在過程中管理資安。STRIDE 威脅建模著重於檢視「可能出錯的地方......? 系統中給出威脅模型。多位設計者從威脅角度檢視系統的益處,乃是能在探索過程裡找出威脅中所識別的問題。
攻擊樹方法學係描述針對該系統的不同攻擊。它是 STRIDE 的替代方案或補充方法。該方法尋求合乎邏輯的活動序列,創造出利用系統威脅與設計細節的途徑。它的多功能性在於可以用來尋找威脅,也可以用來將威脅組織成類別,通常稱為威脅程式庫。它也可能提供證據,說明設計漏洞必須符合其他謂詞條件才能被利用。
攻擊樹程式庫乃基於過去經驗的組織性威脅類別集合。將之使用在分析、對比及比較多個採用相似設計的產品線中可能出現的威脅類別,例如:企業產品線中常見的威脅。
D.5.4 威脅行為者(threat actor Methodology)方法學
威脅行為者模型描述一個動態的互動代理系統,以及此等代理根據能力與通知對系統呈現的獨特威脅。該等代理是潛在的自主代理,彼此之間及其與環境間互動。圖 D.2 提供威脅行為者方法學的圖形化描繪。
(圖D.2) 參見AAMITIR57, 圖B.5
代理人擁有屬性(即特徵),使特定行為能從特定角色中浮現(例如:內部人士、挫折的員工)。透過結合這些特性組合來組成代理,可以更清楚地了解威脅在多種條件/情境下的影響力。
威脅行為者模型不專注於資產或元件流,而是從調查行為者及其動機(如有)、其處境、存取權限,以及與系統及其功能相關的能力開始。以代理為中心的模型可以描繪複雜的系統,或是無須對企業資產或軟體內部運作具備預先深入知識的系統(例如:詳細資料流)。
圖D.5.2: 威脅行為者與動機示意圖
附錄E 第三方服務組織與資安
醫療器材製造商最為熟悉自家器材在識別窺探/漏洞、確保醫療器材資安設定、軟體更新確證與醫療器材性能符合、遭受惡意軟體或勒索軟體攻擊後的恢復作業,以及軟體更新(包括醫療器材作業系統更新、防毒軟體及防惡意軟體)的全面部署。然而,由醫療器材製造商授權且受過訓練的第三方服務商,可以在上述部分活動中扮演重要角色,協助維護醫療器材在器材使用現場的資安。
大多數醫療器材製造商會向第三方服務商提供維修訓練課程。原始器材製造商(OEM)授權的第三方服務提供者允許醫療器材製造商確保服務商接受過針對特定醫療器材的訓練,並確保在維修期間及之後維持資安控管。這反過來讓 HDO 能確保合格的服務提供者獲得特權的相關權限,對其醫療器材進行變更(例如套用資安修補程式或實施其他緩解措施)。醫療器材製造商授權且受過訓練的服務商,若能獲得經過查證與確證的更新,也能擴大製造商在現場的觸及範圍,及時將資安更新傳達給客戶。
鑑於共同負責維護資安,HDO能確保當第三方服務單位採用特定最佳實務來強化其所服務醫療器材的資安時,能達成最佳實務,例如:
l 消除所有未經確證的外部媒介遭到使用為可能感染源;
l 在現場及傳輸中加密所有資料;
l 當服務可存取軟體具備多重因素與互認證功能時,即須運用該類功能;
l 阻擋自動更新,並開發方法確證任何更新與醫療器材製造商的關係;
l 須鼓勵第三方服務加入如健康資訊共享與分析中心(H-ISAC)及其他共享資安資訊的平台,讓醫療器材製造商能定期溝通並提醒同事,了解甚為廣泛流通的潛在威脅;
l 與醫療器材製造商建立良好的資安溝通實務;
l 當例行修補維護計畫可能與定期預防性維護計畫掛鉤時,請告知 HDO。威脅與漏洞不斷變化,修補可能需要不同的節奏,或根據醫療器材透過漏洞監控軟體提供的回饋來進行;
l 記錄可能影響資安的活動,以便調查 潛在或實際的資安事件。
必須注意的是,未經授權的第三方服務提供者對OEM醫療器材進行維修,可能會造成資安問題的意外後果。甚至可能對醫療器材的預期使用產生不良影響,或可能影響病患安全。
(未完,見續篇)
