醫療器材網路資安風險管理概述（十之十）

（見前篇）

參見標準：ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
（內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。）

附錄F 基於發生可能性而定的資安風險評分

F.1簡介

本附錄的目的是針對醫療器材的資安風險評分提供指導，基於對發生可能性的定性或半定量化評估。

AAMI TIR57 的 B.5 節對比傳統安全風險管理中機率的運用與質性風險管理中可能性的應用。

傳統的安全風險管理方法設計用來處理隨機故障，其中發生機率主要取決於設計與製造因素。在這種情況下，機率通常是統計估計，或是一組獨立機率的相乘積，用以預測未來發生事項。

相較之下，在資安風險管理中，可能性是估計攻擊者是否願意投入時間和資源利用該漏洞，達成攻擊者認為有價值的目標。既然人類動機不適合傳統統計分析，故通常透過結合威脅與特定漏洞的評鑑來評鑑可能性。製造商的整體風險模型須定義具體參數，以及如何將之結合以產生定性或半定量化的可能性。惟須謹慎，各參數之間可能並非獨立存在。

亥指引第B.5節提供支持將發生可能性作為醫療器材資安風險管理的額外理由。該節亦簡要討論透過引用 NIST SP 800-30 中的概念，包括附錄 G 中提出的概念架構，來評分發生狀況的可能性。

F.2 NIST SP 800-30, 更版1，可可能性評分方法學

該指引提供一種方法學，以支持在「對聯網資訊系統與組織進行風險評鑑」的背景下，對發生可能性進行定性及半定量化評分，並強化特別出版物800-39中的指引。「針對發生可能性討論提供參考的 NIST SP 800-30 特定章節摘要如下：

第2.3.1節（風險模型）討論威脅來源、威脅事件、漏洞、易感狀況、可能性及衝擊的考量。圖B.1提供了一個包含這些因素的通用風險模型。

附錄G（發生狀況的可能性）提供一種判斷發生狀況的可能性方法。

 NIST SP 800-30 附錄 G 以表格形式提供定性與半定量化評鑑量表：

表G-2，評估量表 – 威脅事件啟動的可能性（對抗性）

表G-3，評估量表- 威脅事件發生機率（非對抗性）

表G-4，評估量表—— 導致不利衝擊的威脅事件的可能性。

最後，表G-5根據「威脅事件發生的可能性」（根據表G-2或表G-3_的資格分數選擇）及「威脅事件發生可能導致不利影響」（選中  欄位）給出「整體可能性」（例如發生可能性）的定性分數根據表G-4的質性分數計算）。

F.3 參考模型

圖F.1展示了安全風險的參考模型。 發生機率取決於兩個因素，L1 和 L2，其中 L1 是威脅事件發生的可能性，L2 是導致不良影響的威脅事件的可能性。 圖F.1 (取自ISO 14971:2007, 圖E.1，及NIST SP 800-30, rev. 1，此處不錄。建議參考ISO 14971:2019版)

將發生的可能性分解為兩部分，L1 和 L2，與該術語定義中所包含的註解相符：

發生可能性結合了威脅事件啟動的可能性估計與影響可能性（即威脅事件導致不利影響的可能性）。

如圖 F.1 所述，不利影響僅限於導致「效能下降或資料與系統安全漏洞」的損害，如附錄 B 圖 B.1 所述的安全風險。

NIST SP 900-30 第 2.3.1 節指出 ：「威脅事件是由威脅來源引起。「 因此，評估安全風險事件序列時，應始終考量威脅源的意圖、能力及目標。漏洞必須經過一連串事件導致威脅事件，否則不會造成不利影響。事件序列可能包括公開漏洞利用程式碼或威脅來源特性的變更。

F.4影響評分的參數，L1威脅事件發生的可能性

以下因素會影響威脅事件發生的可能性。

a)          威脅來源意圖、能力與目標鎖定

b)         攻擊複雜度

l   需要專用工具

l   所需專業技能

l   企及醫療器材的知識

c)          攻擊向量

l   網路

l   鄰近網路

l   本地局部

l   實體

d)         所需特別授權

e)          使用者配合動作

f)            資產的吸引力

g)          威脅行為者匿名性（即攻擊是否會曝露威脅行為者的身份？）

h)          威脅來源已知的資安控制

i)            誘發條件

F.5 影響評分的參數，L2威脅事件引起不良衝擊的可能性

以下因素會影響威脅事件發生並造成不利影響的可能性。

a)                  深度防禦 —— 額外的醫療設備安全控制（即未被威脅行為者破解的部分）;

b)                 補償控制;

c)                  SIEM 系統（例如，管理員可啟用或限制某些網路元件的功能，包括醫療裝置）;

d)                 系統容錯措施（切換可能由 SIEM 系統通知）;

e)                  系統層級錯誤偵測與修正（此功能常用於提升系統對非安全環境因素的穩健性）。

補充說明：

在 IT 網路的資安風險管理中，SIEM（Security Information and Event Management）是把「所有資安事件與日誌集中起來、做關聯分析、即時警示與支援調查」的核心平台，用來從日常噪音中抓出真正的風險，並與風險管理過程（識別、評估、控制、監督）串在一起。以下列順序「方法論 → 流程 → 具體動作 → 可量化成就 → 範例 → 建議目標」分別說明。

一、SIEM 是什麼、在風險管理扮演什麼角色

• SIEM（Security Information and Event Management）會從作業系統、伺服器、網路設備、防火牆、應用程式、EDR 等處收集安全事件與日誌，再做集中存放、關聯分析與警示。
• 在風險管理上，它提供「全網可視性、異常偵測、事件時間軸、合規報告」，幫你把抽象的威脅變成可量化、可追蹤的風險指標，並加速事件回應與改善循環。

二、SIEM 與安全風險管理的方法論對應

可以把 SIEM 看成是「風險管理 PDCA」中的量測、監督與觸發機制：

1. 風險識別與資產盤點
• 先列出關鍵資產（AD、核心業務系統、資料庫、OT/醫療器材等），定義「哪些事件」代表對這些資產的威脅（例如異常登入、多次失敗、權限提升）。
• SIEM 會針對上述盤點出來的資產收集日誌，建立 baseline，後續用於行為偏差偵測與威脅模型（如 MITRE ATT&CK mapping）。
2. 風險分析與評鑑
• 透過規則與行為分析（correlation rules、UEBA），估計事件的可能性與衝擊，例如：同一帳號在短時間內從多地登入＋ AD 權限變更，判定為高風險事件。
• SIEM 報表能顯示高風險資產、常見攻擊手法與趨勢，變成年度／季度風險評鑑的重要輸入。
3. 風險控制與處置
• 將高風險事件對應到具體控制措施，例如：關閉異常帳號、阻擋 IP、鎖定端點或要求多因子驗證，部分可透過 SOAR / 自動化 playbook 由 SIEM 直接觸發。
• 針對無法完全消除的風險，利用 SIEM 設定加強監控與早期警示，作為「補償性控制」。
4. 監測與持續改善
• SIEM 的 KPI（平均偵測時間 MTTD、平均回應時間 MTTR、誤報率、事件趨勢）可輸入到管理審查，調整規則與資安策略。
• 新出現的攻擊模式與漏洞（如新的勒索行為、零日漏洞利用）須將之納入規則更新與威脅模型修訂，形成閉環改善。

三、典型 SIEM 流程與具體動作

用一個「從事件產生到完成調查」的簡化流程來看 SIEM 在網路安全上的運作：

1. 收集與集中化（Collect & Aggregate）
• 動作：設定各種 Log source（防火牆、VPN、Windows AD、Linux、雲端、DB、WAF、EDR 等）送日誌到 SIEM，統一時間戳記與格式。​
• 目的：建立全網的「單一事實來源」，避免事件調查時到處拉日誌，縮短取證時間。
2. 常態化與關聯分析（Normalize & Correlate）
• 動作：將不同格式的日誌標準化（例如欄位化的 src/dst IP、username、action），並設定關聯規則與行為分析模型（如同一帳號短時間多地登入＋多次失敗＋成功登入後立刻匯出大量資料）。
• 目的：從大量噪音中找出真正可疑的運作方式（pattern），減少 SOC 人員逐筆查看與核對日誌的工作負擔。
3. 偵測與警示（Detect & Alert）
• 動作：依風險等級設定警示門檻與通知管道（email、票務系統、PagerDuty、Teams/Slack），同步建立 playbook（例如：高風險勒索行為 → 立即封鎖端點＋通知 on-call）。​
• 目的：縮短從「攻擊發生」到「被注意」的時間，對零日與內部威脅特別關鍵。
4. 事件調查與回應（Investigate & Respond）
• 動作：使用 SIEM 的搜索與視覺化功能重建攻擊時間軸（攻擊者何時進來、橫向移動到哪、存取哪些資料），並觸發隔離端點、封鎖帳號或更新防火牆規則等回應。
• 目的：快速界定影響範圍與根本原因，降低停機時間與資料外洩規模。
5. 報告與符合（Report & Comply）
• 動作：根據 ISO 27001、ISO 27002、GDPR、醫療或金融監管要求，產出事件報告、存取記錄及控制證據（例如：登入檢計、變更紀錄）。
• 目的：支援稽核、事故通報與向管理階層報告，同時證明組織有持續監督與事件管理能力。​

四、可量化的成效與常見用例

1. 成效與量測（KPI）

• 偵測與反應加速：由於能即時關聯分析與警示，SIEM 通常能顯著降低 MTTD 與 MTTR（例如從數天降到數小時或數分鐘），這也是許多導入案例的主要考量點。
• 攻擊時間軸與根本原因分析：經由重建事件時間線，組織能更精準分辨攻擊路徑，避免只處理「症狀」而忽略真正的入侵點與入侵途徑。
• 合規成本下降：集中化的日誌與報表讓稽核與報告產出更快，減少人工整理與截圖的時間。

2. 代表性用例（簡要）

• 勒索軟體偵測（醫療或關鍵基礎設施）
• SIEM 監控端點行為、大量檔案異常加密、可疑網路連線與威脅情報比對，一旦出現勒索指標，立即警示並協助 SOC 快速隔離感染端點，避免全院或整個 OT 網路被加密。
• 內部威脅與帳號濫用偵測
• 利用登入異常（異地登入、非上班時間登入）、短時間大量存取敏感資料等行為模型，偵測惡意員工或被盜用帳號，並觸發額外查證或帳號凍結。​
• 合規監控（如 ISO 27001、金融監管）
• SIEM 集中紀錄管理員操作、權限變更、DB 查詢等行為，透過預設報表支援「誰在什麼時候做了什麼」的檢查要求，減少合規缺口。

五、導入與使用 SIEM 的建議目標與行動

以下為簡化表格，列出「類別、目標、措施、在風險管理中的意義」：

類別	建議目標	主要措施	在風險管理中的意義
可視性	90%以上關鍵資產納入日誌收集	建立資產清單、整合 AD/伺服器/防火牆/雲端/EDR 日誌到 SIEM	降低「盲區」，提升風險識別的完整性。
偵測效能	將 MTTD 壓到「小時等級」	寫出優先關聯規則（帳號濫用、資料外洩、勒索指標）、導入 UEBA	提高及早發現能力，讓威脅還在「技術問題」階段就被阻擋。​
回應速度	建立 5–10 個核心事件 playbook	將 SIEM 與防火牆、EDR、IDP / IAM、自動化工具整合，部分行為自動化	把高風險事件的處置時間從「人力肉眼判斷」縮短到半自動流程。​
合規與稽核	支援主要法規/標準的固定報表	預先設計 ISO 27001 / ISO 27002 / GDPR / 業管報表模板	把 SIEM 當成「證據工廠」，降低稽核準備成本與錯漏。​
持續改善	季度檢討規則與誤報率	每季檢討警示排行榜（ top alerts）、誤報原因、缺失控制，調整規則與 SOP	形成 PDCA 循環，讓 SIEM 與風險管理文件同步修訂。

六、實務建議（工作推動 checklist）

如果要把 SIEM 真正嵌入組織的 IT 網路風險管理流程，可以考慮：

• 先從「關鍵業務場景」切入
• 例如「醫療影像伺服器被加密」「AD 被入侵」「雲端儲存洩漏」，為每個場景定義需要監控的事件與預期警示，避免一開始就想「收全部、看全部」導致 SIEM 變成日誌垃圾場。
• 把 SIEM 融入既有風險與變更流程
• 風險分析（如你現有的 ISO 14971 / ISO 27005 程式）中加入一欄：此風險是否需由 SIEM 監控？需要哪種規則？
• 變更管理（變更新系統、新雲服務）時，要求其日誌輸出與 SIEM 整合作為 go-live 前置條件。​
• 建立 SOC / IT 團隊的「最小可行營運」範圍
• 定義 3–5 種高優先級事件類型（帳號濫用、資料外洩、勒索行為、關鍵系統異常），為每一類事件寫清楚：誰值班、怎麼分類、何時升級、何時通知管理階層或法規單位。
• 與威脅情報與弱點管理整合
• 將威脅情報（Threat Intelligence）與弱點掃描結果（含 CVE）餵給 SIEM，讓警示能考量「資產是否有已知 CVE」和「IP 是否在惡意名單」，更貼近真實風險。

在組織文件管理系統協助之下，可以將「SIEM 與組織現有的風險管理程序（例如 ISO 27001 / ISO 27005 或醫療 MDCG 2019-16）」畫成單頁流程圖（flowchart） 或查檢表（checklist），直接嵌編輯到組織的 QMS / ISMS 文件裡（SOP）。

 

F.6 針對性或非針對性攻擊

針對性威脅事件的啟動通常需要意圖，並由資產、目的或目標的吸引力所驅動。針對性啟動通常出於威脅行為者的金錢、政治或個人目標。威脅漏洞存在於一組有動機攻擊者的情境中。 因此，能帶來高額回報、容易取得且可重複的漏洞會更具吸引力。影響威脅事件啟動可能性的其他因素還包括威脅表面對攻擊者的可及性、攻擊複雜度（以威脅行為者的技能與系統知識衡量）、所需權限類型，以及是否需要使用者互動才能取得系統所需存取權。

 被動威脅事件的啟動不一定需要積極參與或明確的目標意圖才能完成。 這可能是潛在漏洞的結果，而這些漏洞是全球存在的新興惡意軟體新近可利用的。潛在漏洞可能是產品使用者的失誤、使用環境安全政策與實務不成熟，或針對目標產品或系統的系統安全設計或深度防禦不佳所致。被動攻擊會隨著像勒索軟體即服務這類攻擊而增加。被動威脅本質上需要簡單且低複雜度，才能可行。

被動攻擊情境不依賴資產的吸引力。相反地，威脅事件發生的機率（L1）與環境中惡意軟體的盛行率有關。 任何簡單、低複雜度的威脅，無論資產吸引力如何，都應以威脅事件發生的機率（L1）為特徵。

F.7發生可能性評分

發生可能性的評分可採用 NIST SP 800-30 附錄 G 所列表格方法，並調整醫療器材及其使用環境的特定因素。

例如，MITRE 的醫療器材 CVSS 評分標準可用來判斷 F.4 與 F.5 中討論的可能性的質性值。修改版的表 G-2（假設存在對抗性威脅）及表 G-4 可作為指標，利用類似表 G-5 的表來判斷定性整體概率（即發生可能性）。

（全文完）

（未完，見續篇）