參見標準:ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
(內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。)
附錄B 保全/資安和安全風險管理的異同
保全和安全管理對於設計、開發和維護醫療器材至關重要。幾十年來,安全風險管理一直是醫療器材產業的基礎要素,其基礎建立在最初於 2000 年發布的 ISO 14971 之上。隨著軟體驅動和互聯醫療器材的擴展,以及日益惡劣的威脅環境,保全/資安風險管理問題已成為一個獨特專業。保全/資安風險管理的獨特之處有很多,需要一些附加元素來確保有效的過程。安全和保全/資安風險管理都基於相同的基本風險管理步驟集:
l 風險分析
l 風險評估
l 風險控制
l 風險可接受性
l 風險管理報告
l 生產與後生產資訊
其中若干個步驟在上述兩個過程中皆相類似。然而,在風險分析和風險評估步驟上有幾個明顯的差異。後生產過程也更多地涉及保全/資安風險管理過程。在風險分析期間,保全/資安風險管理涉及收集保全訊號,該訊號是表明影響或可能影響醫療器材的任何資訊,涉及潛在或確認的安全漏洞或不當利用。此類型的保全訊號通常涉及從國家漏洞資料庫(National Vulnerability Database)收集資訊,以評估第三方軟體元件漏洞以及其他來源,例如資訊共享和分析組織(Information Sharing and Analysis Organization)或其他威脅情報來源。此等部分是由於來自外部和不斷發展的威脅來源性質。隨著威脅肇始者積極嘗試開發利用軟體的新機會,新的威脅和漏洞經常會被識別出來。
風險估計過程還需要一種不同於 ISO
14971 的方法,ISO 14971 基於傷害嚴重程度和傷害發生概率的綜合評分方法。對於保全/資安風險,統計機率或發生率可能很難計算,並且與傷害的直接聯繫也可能不容易顯現出來,特別是因為漏洞的利用可能會造成擴散的系統衝擊,而不是對與所考慮的醫療器材直接相關的患者造成傷害。因此,需要其他方法來確定可利用性的衝擊和可能性。
最後,由於保全/資安風險環境中涉及活躍的人為因素,識別新威脅來源和漏洞的速度以及該資訊的來源與安全風險管理不同,因此在考慮保全/資安風險管理時,通常需要增強和擴展此過程。然而,儘管這兩種方法之間存在差異,但它們的使用方式仍然存在重要且必要的一貫性。
兩個標準間關係
SW96是個垂直型標準,針對保全/資安風險深入發掘,從而補強ISO 14971既有的風險管理過程。
ISO 14971定義風險管理的一般架構,而 ISO/TR 24971則提供其應用指引。ISO/TR 24971 包含有關保全/資安風險的指引。然而,因ISO/TR 24971係技術報告,故未能做出要求事項。AAMI SW96 填補此處缺口,以ISO 14971建立的通用架構,SW96提供保全/資安風險管理的具體要求。ISO/TR 24971 附錄F.1 條款承認 SW96 等標準的適用性:「此處不排除適用特定標準的可能性,只消該標準提供特定方法與要求以評鑑與管制保全/資安風險。」
在標準社群裡,某些適用於廣泛醫療器材類別的標準被稱為《水平標準》。某些偏離適用水平標準的特定要求會被記錄在《垂直標準》中。例如,ISO 14703-1 係屬垂直標準,對植入式神經刺激器提供具體要求。其中某些要求不同於適用的水平標準 ISO 14708-1所闡述者。
同樣地,AAMI SW96 應視為一個垂直標準,旨在補充 ISO
14971 的一般要求,提供保全/資安風險管理的具體方法與要求。
系統保全工程
如同各種專業工程領域一樣,保全系統工程需要一套獨特的技能、訓練與方法。參見ISO/IEC
29147 與 Hellman 在其綜述出版物中回顧了兩個學科基礎領域:《通訊保全》與《公鑰密碼學》的豐富歷史狀況。熟悉傳統安全風險管理方法(如失效模式與效應分析, FMECA,參見介紹FMEA文章)的工程師,可能無法充分理解資產(assets)、攻擊面(attack surface)與威脅建模(threat
modeling)等基本保全概念的重要性。
製造商 應確保所有安全工程任務均由經認證機構認證或具備類似經驗的資安專業人員執行或監督。驗證合格的資訊系統安全專業人員(CISSP)共同知識系統(CBK)裡的八個知識領域,說明了該領域的漏洞與複雜性。
l 保全與風險管理;
l 資產保全;
l 保全架構與工程(Security
Architecture and Engineering);
l 通訊與網路安全;
l 身份與存取管理(IAM, Identity
and Access Management);
l 保全評估與測試;
l 保全運行(Security
Operations);
l 軟體開發保全。
NIST SP
800-160,第1卷,系統安全工程,總結了系統安全工程與其他工程學科之間的一些差異:「...系統保全工程作為系統工程的專業領域,提供多種獨特的觀點與重點領域,使其與其他工程學科有所區別。這些包括保全功能的工程設計;處理與非安全功能工程相關的安全面向;保護系統工程工作中所使用的智慧財產權及其他敏感資料、資訊、技術與方法。」
監管機構也認識到整合受過訓練的保全專業人員的重要性,正如近期IMDRF文件所述(IMDRF/CYBER
WG/N60FINAL:2020,醫療器材保全的原則與實務):
「評估保全事件證據的保全專家,除了實務經驗外,還應具備保全鑑識分析的訓練。參與保全事件應變流程的人員,除了實務經驗外,還應接受保全事件流程和理論的應變訓練。」
由上舉各例可知,製造商宜在產品開發生命期各階段納入保全專業人士,參照SW96提供給專業人士,得以交付產出成果到風險管理過程。
傷害之意義
雖然ISO 14971已定義《傷害》「harm, 對人體健康的損傷或損害,或對財產或環境的損害。」,並提供足夠討論及說明,但更進一步的詳細討論可見於IEC 80001-1及近日開發的標準中,IEC 80001-1為上述定義添加句子:「…或是效能下降,或資料與系統安全漏洞。」
(圖B2.1)將IEC 80001-1與AAMI TIR 57《傷害》定義並列
ISO 14971《傷害》定義中未排除多次衝擊的可能性,例如:當發生危險狀況而造成建築物或資產損害時,亦可能連帶造成患者受傷。故圖中央的共同作用區域亦適用在保全/資安風險的衝擊效應。該指引亦不限定在「實體《傷害》」,因為ISO 14971將原定義中的「實體」移除,並做出解釋:「因為傷害本身已經包含身體損害。而資料與系統安全的漏洞可能導致損害,包括資料遺失、未受控資料存取、診斷資訊的損壞或遺失,或軟體損壞導致醫療器材故障。」
B.5 攻擊保全面向與使用或然率的質疑
健康照護產業的最大矛盾問題就是如何將「或然率」運用在《保全》面向。基本上,威脅者的能力與企圖並不能套上統計學模型化。醫療器材製造商多半無法意識到產品的漏洞,及威脅者企圖利用各種弱點(即係稱《零日攻擊》,見下表)
|
零日攻擊zero-day attack |
指攻擊者利用零日漏洞(廠商尚未知悉、尚無修補程式的保全弱點zero-day vulnerability)發動的實際攻擊行動。當漏洞一被發現就立刻被用來入侵或施加破壞,在資訊系統上線(或是更新後)的「第零天」就發出網路攻擊,因此得名。此時,受害方與防禦系統對該漏洞幾乎毫無準備。 |
|
規模、影響範圍 |
科研與業界觀察顯示,《零日攻擊》常被用在高價值目標,例如:政府機關、金融機構、關鍵基礎設施與大型雲端服務中心,其衝擊層面通常跨越多個國家、多種產業領域,影響範圍幾乎無法估計。學術界的多項研究指出,許多《零日攻擊》型式在被偵測出來前可以持續數百天,這段未偵測出來期間的攻擊流量還可能在漏洞公開後急遽放大,顯示其隱蔽性與高破壞力。 |
|
技術手段 |
|
|
利用尚未修補的軟體漏洞 |
攻擊者先在作業系統、瀏覽器、VPN、郵件伺服器或企業應用程式中發現邏輯錯誤、緩衝區溢位、權限驗證不當等漏洞。 接著開發漏洞利用程式(exploit),透過惡意檔案、釣魚郵件、惡意網站、或受感染的更新機制來觸發漏洞並植入惡意程式。 |
|
多階段與隱匿技術 |
成功利用後,惡意程式會下載更多模組、提權、建立遠端控制通道,並使用加密、文件白名單繞過、防毒閃避、防火牆繞道等技巧保持隱藏。攻擊時間甚早,偵測難度極高。 高階攻擊者(如APT組織)會將零日攻擊與社交工程、供應鏈攻擊、橫向移動等手法結合,達到長期潛伏與資料滲出。 |
|
攻擊手法 |
|
|
社交工程 |
(Spear Phishing)透過電郵或釣魚網站誘使用戶開啟含惡意代碼的附件或連結。 |
|
瀏覽器/外掛漏洞利用 |
攻擊者架設惡意網站或滲透廣告系統,利用瀏覽器零日漏洞注入程式。 |
|
升級權限攻擊 |
(Privilege Escalation)從一般使用者權限提升至系統管理員權限。 |
|
記憶體破壞 |
(Buffer Overflow)利用程式緩衝區錯誤執行植入代碼。 |
|
鏈式攻擊 |
(Exploit Chain)多個零日漏洞串聯使用,以突破層層安全機制。 |
|
結果與直接影響 |
|
|
對系統與資料的結果 |
成功的零日攻擊可能導致機密資料外洩、帳號被盜用、服務中斷、系統被植入後門,甚至完全被攻擊者接管。因為防禦工具一開始沒有簽章可參照,所以攻擊往往在長時間內不被察覺,擴大受害範圍。 在暗網或漏洞交易市場,一個可利用的零日漏洞(例如 Chrome、iOS、Windows)可售出數十萬美元至百萬美元。 |
|
對組織與社會的影響 |
給企業帶來財務損失、股價波動、品牌信任受損、法規罰款(如GDPR資安事故)。 一旦漏洞涉及全球普遍使用的軟體(如
Microsoft Exchange、Apache Log4j),可能牽連數百萬台伺服器。 從漏洞被利用到被揭露,平均持續時期可長達數週至數月,甚至更久。 攻擊者可長期潛伏於系統中竊取敏感資料、工業機密、政府情報。 遭受植入勒索軟體或破壞關鍵基礎設施(能源、醫療、金融)。 對社會與國家安全的影響,針對供電、醫療、交通或政府系統的零日攻擊,可能造成大規模服務中斷與社會恐慌,甚至被用於網路戰或間諜活動。 |
|
緩解方法與實務做法 |
|
|
威脅情報共享 |
l
政府、企業、資安組織共享潛在漏洞與攻擊樣本。 |
|
預防與減少暴露面 |
l
落實資產盤點與攻擊面管理(Attack Surface Management),減少不必要的公開服務與弱設定。 l
採用安全開發流程(安全軟體開發生命周期),在設計與測試階段就降低漏洞產生的機率。 l
定期更新與漏洞管理(Patch Management),建立快速修補流程,縮短曝光期。 |
|
偵測與阻擋可疑行為 |
l
僅允許已授權程式執行,阻擋可疑代碼。 l
零信任架構(Zero Trust Architecture)不預設任何節點可信,動態驗證所有請求。 l
使用行為式或次世代防毒(NGAV)、端點偵測與回應(EDR/XDR),透過行為異常而不是簽章辨識未知惡意程式。 l
導入入侵偵測/防禦系統、異常流量分析與威脅情報饋送,縮短偵測時間。 l
利用 AI/ML 偵測異常行為,而非依賴已知特徵。 l
虛擬沙盒分析(Sandboxing):在隔離環境中執行可疑程式以觀察行為。 |
|
事件回應與修補管理 |
l
制定明確的資安事件回應計畫與演練(如參考 SANS 六步驟),發現可疑行為時能快速隔離、調查並復原系統。 l
建立嚴謹的修補管理政策,在漏洞公開與修補釋出後,利用自動化工具儘快在所有系統部署更新,縮短暴露時間。 l
備援與隔離策略(Backup & Segmentation):關鍵系統分區、定期離線備份,降低感染擴散。 |
|
成功防禦的機率與現實評估 |
|
|
為何無法達到100%防禦率 |
l
零日漏洞在被公開前,本質上是未知風險,傳統簽章式防護無法預先防禦。 l
因此,再嚴密的環境也只能「降低機率」「縮短停留時間」,無法保證永不被擊中。 |
|
現實中的成功機率 |
l
需要有良好的監控與行為分析,機器學習與偵測技術可以對部分零日攻擊達到相當高的偵測率(例如部分模型在特定資料集上能偵測超過九成攻擊樣本)。 l
傳統防毒軟體對零日攻擊偵測率低於 20%。 l
AI 行為式防禦:可提升至約 60–70%,但仍需人工輔助。 l
整體緩解成功率(在綜合架構、威脅情報、快速修補下):約 80% 可阻擋「二次利用」階段的擴散。 l
永久防禦率為零,由於新漏洞持續出現,任何系統都不可能達成 100% 防禦。實務上,將資產管理、攻擊面縮減、行為式偵測、快速修補與成熟事件回應「組合成防禦深度(defense in depth)」時,可以大幅降低成功入侵的比例與最終損害,即使無法完全避免首波攻擊。 |
(未完,見續篇)
