SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅱ
1. 前文回顾
亲!本文的第一部分主要介绍了医疗器械行业的SBOM应用情况,并对制造商在收集 SBOM 的过程以及相关的管理措施进行了较为详细的阐述。(建议您参考我们的Part I以获取更多信息)
作为第Ⅱ部分 ,我们将向大家介绍医疗机构在获取与使用SBOM(安全边界对象模型)时应遵循的关键点及其实践应用实例分析 。在过去十年中 ,数字技术全面覆盖了医疗行业的各个领域 。这一转变导致医疗行业在行政管理和临床操作中愈发依赖软件及其驱动设备 。然而 ,随着数字化进程加速推进 ,网络安全威胁也随之显著增加 。鉴于Health Care Professionals(HCP)领域的持续数字化与互联化趋势 ,这也对各类医疗机构产生了深远影响 ,包括大型医院 、偏远地区的基础医疗服务设施以及日益频繁出现的家庭护理等流动型医疗机构 。因此,在这一背景下 ,我们特别关注并重点讨论SBOM获取与管理的相关内容 。
2. HCP在获取和管理SBOM时需要注意的事项
对于 HCP 来说,在采购医疗设备之前就将 SBOM 作为风险管理的一部分具有重要意义。
医疗机构应要求制造商为任何会集成到其网络基础设施的设备提供 SBOM。
为了确保能够更好地利用 SBOM,
医疗机构应确保他们有能力获取和更新 SBOM。
对于 HCP 来说,
维护一份全面且精确的资产清单至关重要。
这份清单必须保持最新状态,
包含具有唯一设备标识符的医疗设备,
以便与其他资产管理系统和数据源关联使用。
HCP 应了解其网络上运行的所有硬件资产及其相关软件。
获得后,
则需对其实施管理策略以实现组织利益最大化。
2.1 获取和管理SBOM的注意事项
必须掌握硬件资产及其相关的软硬件环境,并理解在Healthcare Information Network(HIN)环境下运行的各种医疗设备(SaMD)。可以通过依赖于现有的信息技术管理和资产管理工具来完成对由开发商直接销售或定制开发软件进行计数的任务。然而,在现有规格配置好的设备中单独计数其内部软件是不切实际的做法。SBOM能够提升Medical Device Management (MDM)系统与Healthcare Professionals (HCP)之间共享关键信息的一致性和透明度 。对于外部提供的SBOM以及其他医疗机构自行拥有的SaMD信息的相关内容,请予以讨论
- 采购:在采购过程中供应商需要提供SBOM,使HCP能够审查设备使用的组件。HCP应该注意的是,SBOM在采购和交付期间可能随时会发生变化 。
- 标准格式交付:SBOM的交付应基于标准的格式并尽可能实现自动化分发和有效的获取机制。这使得信息能够有效地被HCP获取,并储存在一个安全的地方以保护数据的完整性。可以考虑的三种主要格式是CycloneDX、SPDX和SWID 。
- 独特的设备标识符:由于HCP的设备会存在多个型号和版本,所以最好的方式是能让设备的SBOM有一个唯一标识符,以方便准确地定位到某个SBOM对应的是哪一台设备 。如IMDRF 应用指南所述,唯一标识符(UDI)在产品层面上就要运用起来,以确保正确地对应到设备和制造商,但也包括医疗设备软件的版本号或设备本身的版本号(如果适用)。由于缺乏标准化的软硬件唯一标识符,可能需要手动进行定位。
- 完整度:SBOM的完整程度会影响到其可利用的程度 。SBOM里的元素至少应包括作者姓名(公司名称和/或个人姓名)、时间戳、组件供应商(供货商)、组件名称、组件版本、唯一标识符和相互关系。(见PartⅠ3.2.1)。
- 沟通的及时性:当在SBOM中发现存在已知漏洞的组件时,强烈建议MDM和HCP进行及时的沟通,以确保MDM能为解决该漏洞做出相应的动作,如果必要,应得到相关行政机构的批准。
- 加强设备管理:HCP需要有建立和管理内部SBOM库的能力 ,让内部的每个设备都能有与之对应的SBOM,以加强对设备管理。举例如下:
1
2
1
2
为了确保SBOM存储库的安全性(即防止信息被人恶意修改或被用来攻击HCP的网络或设备),建议为医疗机构中需要使用的人提供基于角色的限制性访问机制
请注意上述第a到第f项是源自SBOM的普遍考虑点,在前文讨论过相关内容。因此,在MDM框架中也涉及这些因素
2.2 获取和管理SBOM的方法
SBOM能够通过人工或自动化程序获得;然而,在医疗机构运营方面起着重要作用的是自动化程序的应用。自动化将有助于未来更好地管理SBOM更新的问题;因为这些数据对于机构运营至关重要。此外,在医疗机构运营方面起着重要作用的是SIEM(Security, Information, Event Management)产品或服务的支持解析功能;这些功能可以帮助机构有效地收集、存储、汇总和分析来自设备及服务器的相关数据。
为了延长SBOM的有效期并使其更好地应用,在一些医疗机构中正研究通过配置管理数据库(CMDB)或计算机化维护管理系统(CMMS)将SBOM集成到 vendor risk management (VRM) 系统中。在特定情况下,则会尝试更高效地将 SBOM 吸收进这些设备或系统之中。开发的软件工具或其他脚本也可用于获取 SBOM。对于是直接获取还是采用开发工具获取的问题,HCP则需根据其数据管理系统的特点来做出决策
该表格概述了HCP在获取与管理SBOM过程中可能采用的方法及其优缺点。
表2:部分SBOM获取和管理方法的优劣势
3. SBOM的使用案例
SBOM在其利益相关者群体中具有重要的作用。从HCP设备生命周期的整体来看,在部署、集成、配置、使用以及维护等多个环节都发挥着积极的作用。进一步而言,在MDM( Managing Drug Monitors)的TLC(Total Life Cycle)中——即从设计到停产结束的全生命周期阶段——SBOM同样提供了重要的支持作用。综上所述,在合理应用的情况下,企业能够通过SBOM有效降低设备在整个生命周期中的安全风险水平。本节通过以下三个主要方向展示了SBOM作为辅助工具的应用案例:风险管理 漏洞管理 事故管理 。随后章节会对这些案例进行了较为简明扼要地概括介绍。需要注意的是尽管后续章节主要围绕MDM或HCP展开讨论——但其中一些实际案例也可能适用于其他相关利益方。
3.1 风险管理
3.1.1 MDM的视角
IMDRF网络安全指南(IMDRF/CYBER WG/N60FINAL:2020)第5.2节详细描述了典型的风险管理活动。对于SBOM(软件 bills of materials)生成过程, 制造商需要涵盖整个软件供应链, 并不仅限于设备内部集成的其他组件。通过访问或检索外部漏洞信息库, SBOM能够辅助识别这些组件内部存在的漏洞。一旦发现存在 vulnerabilities 的组件, 它将根据该设备对该存在 vulnerabilities 组件的依赖关系启动风险分析流程。这种 dependency 关系可能包括程序库、操作系统以及 TCP/IP 协议, 或者是与设备运行状态相关的其他 components
- 风险评估:通过与外部已知漏洞数据库整合使用SBOM(软件基准表),能够有效地识别出潜在的安全漏洞信息。这些信息包括可能存在的安全缺陷及其利用的可能性和影响程度,并基于此进行系统的安全评估工作。
- 风险控制:定期监控并检查SBOM中列明的各项组件是否存在已知的安全缺陷或问题状态;通过这种方式可以有效维持系统运行的安全性,并将其风险水平控制在一个可接受范围内(参见第3.2节)。
- 评估和监测:持续更新维护SBOM以反映设备最新版本带来的新增组件或变更内容;这一过程有助于及时捕捉并处理可能出现的安全问题。
- 风险管理 lifecycle: 在向HCP交付产品时提供机器可读格式化的SBOM作为安全文件的一部分;在整个设备生命周期内持续更新维护其安全基准文档;特别地,在设备接近终末状态(EOS)时需及时提供最新版的SBOM以方便医疗机构进行有效的安全管理。
3.1.2 HCP的视角
HCP应在采购阶段将SBOM的应用纳入其风险管理流程中。通过使用SBOM能够显著提升软件系统的信息透明度,并有助于及时识别系统组件潜在的安全漏洞。这将有助于提升设备在整个技术生命周期中的安全性和可靠性,并掌握如何在设备全生命周期中实施有效的风险控制策略与修复机制。
3.2 漏洞管理
3.2.1 MDM的视角
作为MDM产品上市后的关键环节,在保障医疗设备风险状况稳定性的过程中发挥着不可替代的作用。作为安全组件的一部分,在监督潜在威胁与漏洞信息来源方面具有重要价值的MDM系统必须具备这一功能:SBOM是一项重要工具,能够帮助MDM及时识别随着时间推移而出现与变化的各种漏洞 。通过整合SBOM数据与受影响组件报告信息,MDM能够根据相关漏洞信息中涉及的具体组件来定位可能受到影响的医疗设备.进一步地,将医疗设备的SBOM信息与其受漏洞影响组件报告的数据进行自动比对,可以显著提高漏洞识别的及时性和准确性.这种改进措施不仅增强了制造商的风险评估能力,还为与专业医疗机构之间的沟通与修复提供了便利.在风险评估过程中,可能会因为更换存在缺陷组件而导致相关SBOM文件需要相应地进行修订。
3.2.2 HCP的视角
在医疗行业中实施有效的风险管理流程至关重要,在此过程中医疗机构能够持续地进行IT环境中的风险检测、评估与修补工作。因为每天都会出现新的IT系统漏洞,因此这是一种有效的关键方法,用于及时修复和解决严重的问题。
本节将深入分析多种标准的Breakdown of Materials(SBOM)案例,以协助医疗专业人士(HCP)进行系统的漏洞管理活动。
列举了采用SBOM策略带来的若干好处包括:提升安全监控效率,优化资源分配,以及提高整体 IT 系统的稳定性等,这些益处将对医疗组织的安全防护体系产生显著影响。
-
基于新兴发现的安全漏洞实施医疗机构资产监控:SBOM能够与现有的漏洞数据集成,并用于分析当前医疗设备是否存在潜在风险及受影响范围。
VEX作为一种辅助工具,则可用于补充现有漏洞数据以提供更全面的风险评估视角。 -
实施应急修复方案:SBOM信息有助于在MDM还在评估潜在影响或制定修复策略的过程中为医疗机构提供及时指导。
建议医疗机构与IT服务管理团队密切配合以便在MDM还在评估潜在影响或制定修复策略的过程中获取必要的支持。
此外,VEX还可以作为参考依据为应急响应提供具体的技术建议。 -
生命周期管理: SBOM能够说明新硬件与已有硬件中各软件组件是否仍受支持,哪些软件组件将不再可获支持.若MDM平台能提供相应产品的可用期限表,这对于提高可用性有很大帮助.当HCP无法更换现有硬件时,拥有足够时间评估风险将带来显著的好处.
-
协助医疗机构自发地进行安全活动:针对某些特定硬件,如嵌入式系统或基于SoC的产品,执行漏洞扫描相当困难.SBOM可作为辅助手段完成漏洞识别与安全监控的任务.
3.3 事故管理
通过多种途径了解那些可能影响医疗设备安全事件的信息。必须认识到SBOM作为一种关键资源对于帮助MDM和HCP在事故管理五个阶段实现更为有效的网络安全事件处理具有重要作用。尤其是当其与强大的事件响应流程相结合时能够展现出更大的价值。对于MDM而言SBOM存储库能够显著缩短识别及评估潜在危险设备所需的时间;而对于HCP而言该存储库则能够为前线支持团队提供支持并指导网络安全团队采取相应的行动。具体而言该存储库通过增强系统收集关联以及评估相关信息的能力从而有助于及时发现并应对网络安全相关的问题最终在一定程度上改善事故后的处理效果。The overall impact of this approach is significant in terms of enhancing the effectiveness of risk assessment and incident management processes across healthcare organizations by leveraging structured information management through SBOM storage solutions.
4. 医疗行业与SBOM
4.1 SBOM中包含的组件类型和生成工具
SBOM信息来源丰富多样。具体而言,该文件将涵盖其中所涉及的各种组件类型,并列举出生成一份SBOM所需使用的相关工具和技术手段
- 第三方组件类型
SBOM所涵盖的组件类型范围可能受到多种因素的影响。具体包括但不限于以下几点:MDM能力、HCP需求、现有SBOM软件成熟度的影响以及未来相关法规的要求。
但是,在SBOM管理中存在差异性要求,在不同组件特性下需采用不同的技术手段和技术方案进行存储与操作管理以确保数据完整性和一致性因此明确了解各类组件的主要特征是非常重要的主要包含以下几类:第一类是与现有医疗设备相关的第三方软件库;第二类是虚拟化环境下的操作系统及其相关的第三方组件如驱动程序数据库管理工具及应用框架;第三类是由供应商提供的硬件设备所附带的第三方组件如固件嵌入式软件及工业控制处理器(PLC)。
- 第三方软件库
在现代软件开发实践中,依赖第三方模块的代码规模往往超过制造商自研组件的数量
SBOM的主要优势在于其能够提前发现第三方软件及其潜在存在的已知漏洞。相比后期发现漏洞的情况而言,在漏洞初期进行修复不仅可以提高效率还能降低整体成本。在软件开发的关键初期阶段替换掉那些存在安全隐患的关键组件并采用更加安全稳定的组件进行替代能够有效降低后续工作的负担由于随着软件开发进度的推进系统的复杂性和架构关联性也随之提升因此代码重构的工作量将显著减少任何对系统进行修改的行为都将影响其SBOM构成使得在整个SDLC过程中管理SBOM变得可行
该工具或插件通过分析软件来识别嵌入式开源项目及外部依赖项,并能发现部分商业第三方软件中的潜在风险。其对漏洞的监控结果将反馈至以下各个阶段生成的SBOM中:
i. 编码期间执行静态代码分析。(利用工具进行非运行时的源代码漏洞检测)
ii. 构建完成后进行编译与链接及测试步骤。(当软件在Sprint结束时构建)
iii. 测试期间执行静态应用程序安全测试(SAST)。(例如)
这些工具或插件通常即为软件成分分析(SCA),它们无需手动输入即可生成SBOM,并通过依赖关系数据库自动识别以下各项:i)组件名称 ii)组件供应商 iii)组件版本 iv)组件哈希 v)其依赖关系 vi)组件漏洞 vii)许可证模型与合规信息
需要注意的是,在大规模商业化的SCA领域之外,并非没有其他相关工具与插件可用于代码构建测试阶段的应用场景中,并同样能够生成类似的效果。其中一些则是完全免费且具备强大功能优势的特点:它们不仅能够对不同规模MDM平台进行自动化管理,并且还能够同时支持生成相应的SBOM报告。然而,在选择适合自身需求与能力的最佳解决方案时,请确保充分考虑每种解决方案的独特优势与适用范围。
- 操作系统组件
虚拟机与操作系统的结合是医疗设备SBOM体系中不可或缺的核心要素之一
在操作系统的第三方组件管理中有多条路径可供选择这些路径不仅涵盖了之前讨论的一些通用方案还扩展到了能够处理那些并未直接嵌入到现有专有软件中的操作系统组件这些SCA供应商能够覆盖前面提到的主要第三-party组件类别以及那些未被直接整合到现有专有软件中的操作系统组件此外在软件资产管理领域存在专门的技术解决方案——SAM(Software Asset Management)它通过有效的风险管理手段来确保软件资产的价值
如果MDM仍然不愿意采用这些工具,则可以通过运行预先编写的命令文件(例如,在Windows系统中使用PowerShell命令文件,在Linux系统中使用Bash命令文件)来生成操作系统的软件列表。此外,还可以利用漏洞扫描管理工具。该管理工具的优势在于能够提供已知组件及其对应的安全漏洞信息。
- 固件、嵌入式软件和PLC
第三方固件、嵌入式软件和PLC是医疗设备生命周期中最不易发生变更的组件(除非发现漏洞)。嵌入式软件由板支持包等构成。这可能涉及大量依赖于许多开源软件的情况。明确识别最终产品中所包含的所有组件至关重要。
因为这些组件与设备的硬件设计直接相关,在医疗设备的标准物料清单(BOM)中占有一席之地。物料清单(BOM)包含了制造设备所需的所有材料和组件信息。因此,该列表提供了对第三方组件及其管理的有效起点。如同用于软件产品范围说明书(SBOM)的标准做法一样,常规BOM可以通过多种途径获取。通过源代码管理系统和二进制软件工具结合使用,则可以实现自动化处理或验证生成这些信息。需要注意的是,在这种情况下,请确保所有工具均为嵌入式系统兼容并运行良好。
如果利用产品生命周期管理(PLM)或企业资源规划(ERP)软件来管理BOM,则可提取所需组件。当可能时,请尽量获取来自固件、软件或PLC供应商上游提供的SBOM以获取相关第三方组件的信息。若所涉及组件为专用性产生的,并如医疗设备制造商开发的,则应遵循第4.1节所述的方法进行处理。
5. 总结
SBOM的存在是实现医疗器械行业软件透明度的关键保障。
从另一个角度看,在MDM与HCP之间建立软件信息交流渠道的过程既是纽带又是基础保障。
在此背景下,
- 我们必须充分认识到SBOM在医疗器械行业的核心价值;
- 必须确保其流转机制既能高效又能敏捷;
- 强调各相关方需协同努力以持续改进。
这些原则将有助于推动SBOM在医疗器械网络安全中的应用与发展。
希望本文能够为您提供有价值的参考建议,
我们下期继续探讨相关内容。
参考文献:
Guidelines and Best Practices for Cybersecurity in Medical Devices IMDRF/CYBER Working Group N60 Final Issue April 1, Effective Date: April 1st or subsequent editions as needed.
该机构发布了一份关于软件 Bill 材料医疗设备 cybersecurity 的原则和实践文件
Principles and practices, known as the software bill of materials for medical device cybersecurity, encompass essential guidelines to ensure system security.
OASIS Profile 5: VEX: