医疗行业由很多部门组成：保险公司等付款方;医院和医生等提供商：制药以及医疗设备和器械制造商。由于该行业要处理各种各样的生命质量问题，访问实时数据，尤其是患者记录等敏感数据，因此需要内部、Web、移动或云应用的安全性和可用性。

　　为了了解首席安全高管们如何在管理过程和人员的同时克服这些技术挑战，Radware对来自六大洲的600多名首席信息安全官(CISO)及其他安全领袖进行了调查。本文概述了Radware Web应用安全报告：数字连接领域的Web安全的主要发现。

　　数字化病人

　　数字转型导致医疗行业生成了大量的视频和图像。医疗行业创建了一个虚拟的实时医疗设备连接，可以24/7/365不间断地传输非结构化和潜在的不安全数据。除了数据爆炸之外，医疗行业还必须遵守一系列特定的，由政府和行业主导的法规和标准(如：HIPAA、GDPR、美国FDA指导方针等地方性法规)，这些法规和标准可以控制敏感的个人信息和临床信息的的采集、使用、共享和传输。

　　医疗提供商在复杂医疗设备上进行了大量的CAPEX投资。由于生命周期很长，很多设备连接的依然是老旧的未打过补丁的系统。事实上，某些设备仍然运行在Windows XP上。

　　通常，由于害怕设备保修会失效，IT管理员不会更新或为这些系统打补丁，因此在涉及到保护环境安全时，设备制造商就成为了医疗行业中的薄弱环节。

　　随着越来越多的数据通过网络传输，医疗部门很难实时部署解决数字化带来的复杂性所需的安全策略、技术和资源。仅在2017年，数据泄露、勒索软件以及易受攻击的网站、未加密移动应用和网络钓鱼等安全漏洞就曝光了数千万的患者和医疗记录。

　　这就意味着，医疗行业必须进行技术、工具和解决方案投资，用以保护他们的应用和环境。然而，接受医疗部门调查的近200名安全高管(将近90%的高管都有权直接进行安全活动和投资)发现，在缓解风险方面，医疗行业明显落后于零售和金融服务等其他行业。只有27%的受访者明确表示可以保护患者的医疗记录，尽管近80%的记录都必须符合政府法规。

　　信心和缓解风险

　　对调查反馈的分析可以反映一个部门在面对日益增长的安全需求时表现出来的不安状态。近三分之二的受访者不确信他们能否在不影响运维的前提下快速采用安全补丁和更新，而70%的受访者则表示，在过去两年间，他们只能完全追踪到不到50%的数据丢失事件并进行修复(见图1)。

　　在发生重大行业数据泄露或攻击后，68%的受访者都会在安全控制方面进行了一定程度或重大投资，21%的受访者采用了API网关，23%的企业采用了WAF，只有29%的企业部署了这两种。此外，在集成之前，只有不到40%的企业可以分析API漏洞，而不到40%的企业表示可以检测或缓解暴力破解、Web抓取、加密Web攻击或API篡改等攻击。

　　• 只有25%的受访者可以完全意识到软件开发环境中的内部应用和API的改变。

　　• 在数据离开公司网络之后，61%的企业无法追踪与第三方共享的数据，57%的企业不会检查通过API传输/返回的数据。

　　新兴威胁的崛起

　　除了应对多年以来影响医疗行业的现有威胁和漏洞之外，许多受访者都认为，新兴技术的威胁越来越大。与其他行业一样，从生成流量的角度来看，计算机机器人程序在医疗行业中越来越占据主导地位，36%的网络流量都来自于计算机机器人程序。然而，只有20%的受访者能够确定这36%的流量来自于良性计算机机器人程序还是不良机器人程序。

　　由于医疗行业中存在更多的加密流量，因此针对应用层的加密(SSL/TLS)威胁和攻击很令人担忧。在所有攻击中，41%的受访者表示，过去一年间，L7层DDoS攻击发生的频率更高，但只有30%的人确信能缓解某种针对应用层的攻击。62%的人则表示，防御、检测并控制此类攻击是最困难的。

　　责任编辑：DJ编辑