關(guān)鍵制藥行業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)堪憂 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2022-02-15 瀏覽次數(shù): |
信息來源:安全內(nèi)參
IndustrialCyber報(bào)道,制藥行業(yè)的網(wǎng)絡(luò)安全問題日益嚴(yán)重,主要源于該行業(yè)對(duì)第三方供應(yīng)商的日益依賴、數(shù)字化和工業(yè)物聯(lián)網(wǎng) (IIoT) 技術(shù)的采用以及向混合/多云環(huán)境的轉(zhuǎn)變。正值COVID-19疫苗的推出和開發(fā)以及生命科學(xué)領(lǐng)域的其他突破之際,不斷惡化的網(wǎng)絡(luò)威脅形勢(shì),從而進(jìn)一步提升了網(wǎng)絡(luò)犯罪分子對(duì)這一關(guān)鍵領(lǐng)域構(gòu)成的危險(xiǎn)程度。 關(guān)鍵制藥行業(yè)的網(wǎng)絡(luò)安全特點(diǎn) Sophos研究顯示,網(wǎng)絡(luò)攻擊對(duì)制藥組織的影響包括缺乏關(guān)鍵系統(tǒng)的可用性和可能導(dǎo)致研發(fā) (R&D) 和藥物生產(chǎn)停止的業(yè)務(wù)中斷,以及包括知識(shí)產(chǎn)權(quán) (IP)、臨床試驗(yàn)數(shù)據(jù)和患者在內(nèi)的數(shù)據(jù)丟失。網(wǎng)絡(luò)攻擊還可能影響市場(chǎng)地位的喪失、因收入損失和訴訟的額外成本、監(jiān)管不合規(guī)和潛在的巨額罰款、消費(fèi)者信任的喪失以及股東價(jià)值的降低而導(dǎo)致的財(cái)務(wù)損失。 制藥行業(yè)的公司擁有價(jià)值數(shù)十億美元的數(shù)據(jù),通常包括機(jī)密知識(shí)產(chǎn)權(quán)、藥物進(jìn)步和技術(shù)的研發(fā)數(shù)據(jù)、藥物和開發(fā)的專有信息以及患者和臨床試驗(yàn)數(shù)據(jù)。訪問此類關(guān)鍵和敏感信息使制藥行業(yè)成為網(wǎng)絡(luò)犯罪分子極具吸引力的目標(biāo)。 Sophos公司上個(gè)月公布的數(shù)據(jù)顯示,預(yù)計(jì)到2027年,制藥行業(yè)的復(fù)合年增長(zhǎng)率預(yù)計(jì)為13.7%,因?yàn)閿?shù)十億人依賴該行業(yè)獲取日常用藥?!吧a(chǎn)救命藥物和發(fā)明新療法的中斷可能會(huì)產(chǎn)生致命的后果。然而,這個(gè)行業(yè)是全球受網(wǎng)絡(luò)犯罪威脅最大的行業(yè)之一。 在去年7月發(fā)布的“數(shù)據(jù)泄露成本報(bào)告”中, IBM Security確定2021年藥企數(shù)據(jù)泄露的平均成本為504萬美元。 Booz Allen Hamilton在最近的一份報(bào)告中表示,制藥公司未來的網(wǎng)絡(luò)安全狀態(tài)是擁有一個(gè)集成安全運(yùn)營(yíng)中心 (SOC),在該中心對(duì)公司數(shù)據(jù)進(jìn)行分類,通過物理訪問控制得到加強(qiáng),再通過使用向公司發(fā)出異常行為警報(bào)的分析。這些公司還必須制定一個(gè)事件響應(yīng)計(jì)劃,通過改進(jìn)檢測(cè)工作來提高效率,同時(shí)采取強(qiáng)有力的前線防御態(tài)勢(shì),并使用基線行為配置文件來檢測(cè)異常網(wǎng)絡(luò)行為。 關(guān)鍵制藥行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀 鑒于制藥行業(yè)面臨的威脅形勢(shì)加劇,Industrial Cyber聯(lián)系了行業(yè)專家,以評(píng)估實(shí)際情況,并努力確定可以加強(qiáng)該行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)的各種最佳實(shí)踐和措施。 Ipsen Pharmaceutical運(yùn)營(yíng)技術(shù) (OT) 安全全球總監(jiān)Brian Duffy告訴 Industrial Cyber,許多制藥行業(yè)面臨的挑戰(zhàn)是確保制造場(chǎng)所運(yùn)營(yíng)的“可用性”?!霸S多扁平網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)互連,這導(dǎo)致單點(diǎn)進(jìn)入OT資產(chǎn)。為了與我們的 IT 同事建立氣隙隔離、網(wǎng)絡(luò)細(xì)分和靈活的“零信任”文化,正確設(shè)置IT/OT融合之間的共享服務(wù)非常重要,”他補(bǔ)充道。 “越來越多的要求提取能源、關(guān)鍵性能指標(biāo)、使用智能IIoT技術(shù)進(jìn)行預(yù)測(cè)性維護(hù)已成為從OT區(qū)域獲取關(guān)鍵數(shù)據(jù)的主要部分,”Duffy 說?!爱?dāng)通過OT DMZ內(nèi)的單向網(wǎng)關(guān)傳輸 0、1、2、3 級(jí)資產(chǎn)數(shù)據(jù)時(shí),這可能會(huì)導(dǎo)致不良實(shí)踐。“系統(tǒng)設(shè)計(jì)”在為 IIoT設(shè)備構(gòu)建解決方案時(shí)起著關(guān)鍵作用。還要確保 IIoT 設(shè)備符合ISA 62443認(rèn)證計(jì)劃,從而為設(shè)備提供安全級(jí)別。 Duffy 說,當(dāng)需要圍繞工業(yè)工廠的供應(yīng)鏈和環(huán)境條件做出決策時(shí),IIoT有許多改進(jìn)因素。“由于在沒有OT主題專家在其領(lǐng)域的聲音和治理會(huì)議的安全性的情況下選擇了不正確的產(chǎn)品或設(shè)計(jì),”他補(bǔ)充說,“IIoT會(huì)妥協(xié)OT/ICS。” “正確的方法是在制藥工業(yè)現(xiàn)場(chǎng)實(shí)施與OT相關(guān)的安全框架,如 ISA 62443或 NIST 800-82等,”Duffy 說?!斑@些框架支柱不僅指導(dǎo)而且提供關(guān)于識(shí)別庫存態(tài)勢(shì)感知、檢測(cè)、安全 OT/ICS 培訓(xùn)、備份/恢復(fù)和風(fēng)險(xiǎn)評(píng)估關(guān)鍵資產(chǎn)(如服務(wù)器、PLC、SCADA及其在制造現(xiàn)場(chǎng)的數(shù)據(jù)流)的說明。通過保護(hù)制造業(yè)務(wù)的可用性,這可以挽救生命并保持關(guān)鍵藥物的可用性。 Fortinet醫(yī)療保健領(lǐng)域首席信息安全官Troy Ament告訴Industrial Cyber,制藥行業(yè)面臨許多網(wǎng)絡(luò)安全挑戰(zhàn),包括網(wǎng)絡(luò)復(fù)雜性、老化的OT環(huán)境與IT融合、不斷擴(kuò)大的攻擊面、不同IT戰(zhàn)略的并購、網(wǎng)絡(luò)安全技能短缺、內(nèi)部威脅以及合規(guī)義務(wù),同時(shí)需要保持在全球大流行期間加快創(chuàng)新步伐。 Ament認(rèn)為,制藥行業(yè)對(duì)新技術(shù)的日益關(guān)注正在幫助組織更具創(chuàng)新性,但這也增加了他們的風(fēng)險(xiǎn)并擴(kuò)大了他們的攻擊面?!拔锫?lián)網(wǎng)使制藥公司能夠改善對(duì)患者數(shù)據(jù)和文檔的訪問,監(jiān)控行業(yè)趨勢(shì)并管理設(shè)備。然而,連接設(shè)備的數(shù)量增加了攻擊面,并帶來了新的隱私挑戰(zhàn),為黑客利用組織系統(tǒng)中的漏洞提供了更多機(jī)會(huì)。 Ament 表示,IIoT給制藥公司帶來了額外的機(jī)會(huì)和風(fēng)險(xiǎn),因?yàn)樗梢蕴岣呱a(chǎn)速度、優(yōu)化流程和能源效率,但會(huì)進(jìn)一步擴(kuò)大攻擊面并引入新的安全威脅。這種對(duì)云技術(shù)的日益依賴,從混合云環(huán)境到多云環(huán)境,進(jìn)一步擴(kuò)展了公司需要保護(hù)的接觸點(diǎn),這增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。 “更令人擔(dān)憂的是,IIoT 的互連性意味著這些入口點(diǎn)中的任何一個(gè)都可以用作更關(guān)鍵系統(tǒng)的網(wǎng)關(guān),”Amado說。“換句話說,硬件攻擊工具可以插入計(jì)算機(jī)(更容易訪問),并通過橫向移動(dòng),瞄準(zhǔn)OT的一個(gè)組件。這些設(shè)備的隱蔽性意味著它們甚至可以繞過最嚴(yán)格的安全措施,包括氣隙隔離和零信任。 Ament 說,制藥公司面臨著多種且不斷發(fā)展的網(wǎng)絡(luò)威脅,包括合規(guī)需求、國(guó)家贊助的攻擊者以及日益增加的網(wǎng)絡(luò)復(fù)雜性?!芭c其嘗試單獨(dú)解決每個(gè)問題,更好的計(jì)劃是采用全面的架構(gòu)方法來解決網(wǎng)絡(luò)安全問題。這種方法提供了自動(dòng)化、可見性和對(duì)威脅的快速響應(yīng),可以輕松證明合規(guī)性并擊敗攻擊者,”他補(bǔ)充道。 Ament表示,制藥公司需要著眼于構(gòu)建一個(gè)框架,以幫助保護(hù)數(shù)據(jù)、限制數(shù)據(jù)訪問、改進(jìn)數(shù)據(jù)恢復(fù)、保護(hù)軟件、硬件和物理設(shè)備,并提高員工意識(shí)。“網(wǎng)絡(luò)安全平臺(tái)方法對(duì)于幫助啟用一些有助于保護(hù)當(dāng)今混合工作環(huán)境的重要技術(shù)至關(guān)重要,例如零信任網(wǎng)絡(luò)訪問和安全SD-WAN,”他補(bǔ)充說。 Sepio Systems網(wǎng)絡(luò)研究負(fù)責(zé)人 Jessica Amado告訴 Industrial Cyber,制藥行業(yè)處理需要高度特定條件(例如特定溫度和壓力)的極易揮發(fā)化學(xué)品?!皩?duì)這些條件的任何改變都會(huì)產(chǎn)生極其有害的后果,并蔓延到物質(zhì)世界。例如,想象一下COVID疫苗的制造過程略有改變。即使是最小的變化也可能導(dǎo)致災(zāi)難性的影響,如果只是非常輕微地操縱它,它可能會(huì)被忽視。 Amado認(rèn)為,現(xiàn)在,COVID疫苗可以被用作一種非常非常危險(xiǎn)的武器,因?yàn)樗环职l(fā)給全世界數(shù)百萬人。當(dāng)然,這種情況可以應(yīng)用于任何藥物或藥品,但這是制藥行業(yè)面臨的極其獨(dú)特的挑戰(zhàn),如果管理不當(dāng),可能會(huì)導(dǎo)致致命的后果。 數(shù)字化的便利性及其以分析為主導(dǎo)的數(shù)據(jù)管理和技術(shù)突破已導(dǎo)致制藥行業(yè)的傳統(tǒng)OT設(shè)備和系統(tǒng)與IT網(wǎng)絡(luò)融合。重新調(diào)整將過時(shí)的OT系統(tǒng)暴露于更廣泛的威脅面,從而導(dǎo)致IT/OT融合,從而削弱此類設(shè)施的網(wǎng)絡(luò)安全態(tài)勢(shì)。 根據(jù) Amado 的說法,Stuxnet 是基于硬件的攻擊如何對(duì)ICS造成物理損害的最著名的例子之一,如果還沒有的話,同樣的技術(shù)很容易被應(yīng)用于制藥行業(yè)。 鑒于制藥行業(yè)的關(guān)鍵組成部分以研發(fā)投資、知識(shí)產(chǎn)權(quán)、臨床和專利數(shù)據(jù)的創(chuàng)新為中心,因此必須迅速采取適當(dāng)?shù)姆椒ê筒呗詠肀Wo(hù)數(shù)據(jù)、服務(wù)器和知識(shí)產(chǎn)權(quán)免受網(wǎng)絡(luò)攻擊。 Amado認(rèn)為,在制藥行業(yè)實(shí)施的正確方法和策略是訪問控制,大多數(shù)制藥實(shí)體都知道這一點(diǎn)。“但是,關(guān)鍵是確保正確執(zhí)行訪問控制。正如我所提到的,硬件攻擊工具繞過了氣隙和零信任安全協(xié)議。換句話說,即使可能存在訪問控制,如果它們受到破壞,它們也是無效的,”她補(bǔ)充說。 不言而喻,隨著攻擊面擴(kuò)展到傳統(tǒng)邊界之外,資產(chǎn)可見性和訪問控制也必須這樣做?!捌髽I(yè)不能再在他們的直接邊界內(nèi)執(zhí)行他們的安全措施并假設(shè)他們受到保護(hù)。員工在遠(yuǎn)程工作時(shí)使用的設(shè)備怎么樣?當(dāng) BYOD在辦公室外使用時(shí)會(huì)怎樣?訪問控制必須適用于這些領(lǐng)域,這意味著資產(chǎn)可見性也必須這樣做,”她補(bǔ)充道。 如何監(jiān)管? 鑒于2021年在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域觀察到的勒索軟件趨勢(shì)增加,社區(qū)內(nèi)部和全球政府行政部門對(duì)網(wǎng)絡(luò)安全威脅的認(rèn)識(shí)不斷提高。上個(gè)月,美國(guó)政府發(fā)布了其水部門行動(dòng)計(jì)劃,以保護(hù)國(guó)家的水資源免受網(wǎng)絡(luò)安全攻擊。 Duffy 在評(píng)估制藥行業(yè)的法規(guī)是否會(huì)很快出臺(tái)時(shí)說,“OT網(wǎng)絡(luò)安全法規(guī)可以作為對(duì)安全框架的內(nèi)部或外部審計(jì)的一部分,許多外部公司都提供這項(xiàng)服務(wù)?!? “我認(rèn)為這將在不久的將來成為生命科學(xué)制藥行業(yè)的常態(tài),OT/ICS安全態(tài)勢(shì)將與網(wǎng)絡(luò)安全工廠驗(yàn)收測(cè)試 (CFAT) 和網(wǎng)絡(luò)安全現(xiàn)場(chǎng)驗(yàn)收 (CSAT) 測(cè)試的質(zhì)量一起進(jìn)行測(cè)試,”Duffy說?!昂喜①|(zhì)量驗(yàn)證測(cè)試和安全測(cè)試,為OT資產(chǎn)在一天結(jié)束時(shí)運(yùn)行和執(zhí)行監(jiān)管任務(wù)奠定堅(jiān)實(shí)的基礎(chǔ),”他補(bǔ)充說。 “我們這樣做,尤其是在合規(guī)方面,”Ament說?!半S著醫(yī)療保健監(jiān)管要求的演變和變得更加復(fù)雜,手動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)范圍的可見性和執(zhí)行所需的安全控制的難度只會(huì)增加。此外,證明合規(guī)性可能很耗時(shí),尤其是當(dāng)網(wǎng)絡(luò)由不共享報(bào)告功能的不同點(diǎn)產(chǎn)品組成時(shí),”他補(bǔ)充道。 據(jù)Ament稱,傳統(tǒng)上,制藥公司將其安全工作重點(diǎn)放在滿足合規(guī)性要求上。“但現(xiàn)實(shí)情況是,大多數(shù)組織都在努力證明全面的合規(guī)性——隨著數(shù)字化的發(fā)展,數(shù)據(jù)完整性是一項(xiàng)重要的新要求,”他補(bǔ)充道。 Amado說,現(xiàn)有的法規(guī)適用于制藥行業(yè),但它們通常已經(jīng)過時(shí)、范圍有限,或者旨在適用于整體醫(yī)療保健。“因此,制藥公司絕對(duì)是時(shí)候收到關(guān)注當(dāng)前和未來威脅形勢(shì)的更新、全面的法規(guī)了。我們已經(jīng)看到美國(guó)和英國(guó)等多個(gè)國(guó)家增加了對(duì)網(wǎng)絡(luò)安全的關(guān)注,特別是在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域,”她補(bǔ)充說。 “由于制藥行業(yè)屬于關(guān)鍵基礎(chǔ)設(shè)施,我希望針對(duì)這一特定行業(yè)的法規(guī)能夠得到出臺(tái),Amado表示?!叭欢?,監(jiān)管通常是在一系列重大事件之后出臺(tái)的,因此很難預(yù)測(cè)這些監(jiān)管何時(shí)會(huì)實(shí)現(xiàn)。但在網(wǎng)絡(luò)安全方面,主動(dòng)出擊應(yīng)對(duì)總是會(huì)好于被動(dòng)應(yīng)對(duì),”她總結(jié)道。 原文鏈接:https://industrialcyber.co/threats-attacks/bolstering-cybersecurity-posture-of-critical-pharmaceutical-industry/ |
上一篇:網(wǎng)絡(luò)攻擊致使該國(guó)最受歡迎電視臺(tái)播放中斷 下一篇:2022年2月15日聚銘安全速遞 |