相關(guān)閱讀:希望為醫(yī)療保健行業(yè)開(kāi)發(fā)的軟件公司需要知道什么
什么是api���?
2022年5月,Avertium發(fā)布了一份關(guān)于API攻擊和最佳實(shí)踐的威脅情報(bào)報(bào)告�。API是一種允許兩個(gè)應(yīng)用程序相互通信的軟件。如果你在手機(jī)上查看了天氣����,使用了社交媒體應(yīng)用程序,或者發(fā)送了即時(shí)消息����,那么你已經(jīng)使用了API����。
醫(yī)療保健組織使用APIs來(lái)幫助縮小信息發(fā)送、檢索和處理方式的差距���。例如���,必須等待每個(gè)患者到醫(yī)療辦公室填寫(xiě)表格可能會(huì)很麻煩,但APIs使醫(yī)療服務(wù)提供者和患者的流程變得簡(jiǎn)單����、簡(jiǎn)單和高效��。醫(yī)療服務(wù)提供者現(xiàn)在能夠?qū)⒒颊叩男畔⒎湃肱c保險(xiǎn)公司合作的系統(tǒng)中�����,該系統(tǒng)可以確定患者是否接受特定的藥物或醫(yī)療程序���。
API是如何工作的?
當(dāng)你在手機(jī)上使用應(yīng)用程序時(shí)�����,該應(yīng)用程序會(huì)連接到互聯(lián)網(wǎng)�����,將數(shù)據(jù)發(fā)送到服務(wù)器��。數(shù)據(jù)發(fā)送后�����,服務(wù)器檢索數(shù)據(jù)并在將其發(fā)送回您的手機(jī)之前對(duì)其進(jìn)行解釋����。一旦應(yīng)用程序解釋了數(shù)據(jù)��,它就會(huì)以可讀的方式向您提供所需的信息��。
雖然看起來(lái)是這樣�����,但您的手機(jī)數(shù)據(jù)并沒(méi)有完全暴露在服務(wù)器上�,服務(wù)器也永遠(yuǎn)不會(huì)完全暴露在您的手機(jī)上�。你的手機(jī)和服務(wù)器都使用小數(shù)據(jù)包進(jìn)行通信,它們只共享必要的數(shù)據(jù)����。
在過(guò)去�,APIs被通用術(shù)語(yǔ)描述為應(yīng)用程序的連接接口。然而�,今天的APIs更加復(fù)雜,其特性使其比前幾年更有價(jià)值�。今天的APIs遵循HTTP和REST標(biāo)準(zhǔn),并且對(duì)開(kāi)發(fā)人員友好���。它們也是為特定受眾的消費(fèi)而設(shè)計(jì)的��,并記錄了消費(fèi)和版本控制��。
在APIs之前如何處理患者數(shù)據(jù)����?
在APIs出現(xiàn)之前,互操作性非常單調(diào)乏味����,令人望而生畏。大多數(shù)醫(yī)療機(jī)構(gòu)都通過(guò)電話和傳真機(jī)發(fā)送�、檢索和處理患者數(shù)據(jù)。在為患者安排手術(shù)前篩查之前�����,醫(yī)療診所會(huì)致電當(dāng)?shù)蒯t(yī)院安排手術(shù)或傳真患者的病歷��。
在患者手術(shù)當(dāng)天����,手術(shù)醫(yī)生收到了患者病歷的物理副本,其中包含患者的術(shù)前測(cè)試結(jié)果和體檢史��。這一切都必須在手術(shù)前幾周或幾天完成�����。
這個(gè)過(guò)程非常冗長(zhǎng),有很多移動(dòng)部件����,這意味著醫(yī)療保健行業(yè)非常需要APIs。APIs有機(jī)會(huì)徹底改變醫(yī)療保健領(lǐng)域的互操作性工作�,并遵守CMS互操作性和患者訪問(wèn)最終規(guī)則,醫(yī)療保健組織正在快速實(shí)施APIs�����。
API漏洞
應(yīng)用程序編程接口(API)每年都被越來(lái)越多的醫(yī)療機(jī)構(gòu)使用�����。APIs幫助醫(yī)療保健組織以前所未有的方式協(xié)調(diào)對(duì)患者的護(hù)理����?;ゲ僮餍允茿PI的核心,它能夠檢索或發(fā)送數(shù)據(jù)�,將患者的醫(yī)療信息更新到系統(tǒng)中。API使醫(yī)療保健組織發(fā)送或存儲(chǔ)有價(jià)值的患者數(shù)據(jù)變得更快�、更容易。7
根據(jù)Imperva的報(bào)告,估計(jì)的損失是完全可以避免的��。如果組織投資于正確保護(hù)APIs�����,即使他們繼續(xù)將APIs應(yīng)用于日常運(yùn)營(yíng)流程�,他們的損失也會(huì)減少。該報(bào)告還發(fā)現(xiàn)�,醫(yī)療保健行業(yè)是所有行業(yè)中APIs最大的采用者之一。2020年�,醫(yī)療保健API流量增長(zhǎng)了400%以上。到2021年���,健康監(jiān)測(cè)API的使用量增長(zhǎng)了941%���。此外,該報(bào)告指出���,圍繞API的使用����,賬戶抓取���、賬戶接管和惡意流量都在增加�。
據(jù)Daily Dot報(bào)道,2022年7月����,一款名為Feelyou的心理健康應(yīng)用程序暴露了超過(guò)8萬(wàn)名用戶的電子郵件地址。在該公司發(fā)布補(bǔ)丁之前�,任何人都可以獲得用戶的個(gè)人電子郵件地址,并通過(guò)訪問(wèn)該應(yīng)用程序的GraphQLAPI將其鏈接到匿名帖子�����,該應(yīng)用程序不需要身份驗(yàn)證����。安全問(wèn)題自2022年1月以來(lái)一直存在。
由于目前可用的APIs太多��,攻擊者將APIs視為新的機(jī)會(huì)攻擊向量���。威脅行為者正在收集他們所需的工具�����,以利用他們?cè)贏PIs中發(fā)現(xiàn)的每個(gè)漏洞。此外,組織沒(méi)有以正確的方式對(duì)待APIs��,而是將其視為標(biāo)準(zhǔn)web應(yīng)用程序���。醫(yī)療機(jī)構(gòu)在確保其安全使用方面做得不夠�。
有趣的是����,多年前停止在網(wǎng)站上運(yùn)行的相同攻擊仍然在APIs上運(yùn)行。如果APIs沒(méi)有得到適當(dāng)?shù)谋Wo(hù)�,醫(yī)療保健組織將面臨患者數(shù)據(jù)暴露和網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全內(nèi)容創(chuàng)建者Alissa Knight對(duì)API漏洞和mHealth應(yīng)用程序進(jìn)行了研究���。由于她的研究�����,她能夠通過(guò)一個(gè)患者登錄帳戶訪問(wèn)400多萬(wàn)份患者和臨床醫(yī)生記錄�。
Knight測(cè)試了三個(gè)APIs���,為超過(guò)48個(gè)移動(dòng)應(yīng)用程序和APIs網(wǎng)絡(luò)提供服務(wù)���。所有APIs都允許她通過(guò)一次登錄訪問(wèn)其他患者的健康數(shù)據(jù)�。Knight測(cè)試的移動(dòng)應(yīng)用程序中���,50%以上都有硬編碼的API密鑰和令牌����,這可能使攻擊者能夠滲透到APIs中���。
奈特研究中最令人不安的部分是�����,她沒(méi)有使用復(fù)雜的黑客技術(shù)�。她的技術(shù)被描述為“幼兒園網(wǎng)絡(luò)安全”����。
奈特在YouTube直播中討論該報(bào)告時(shí)說(shuō):“EHR公司本身沒(méi)有發(fā)現(xiàn)漏洞?!薄����!鞍l(fā)現(xiàn)這些問(wèn)題是因?yàn)槿狈εc集成商和應(yīng)用程序開(kāi)發(fā)商的harmony和安全合作開(kāi)發(fā)。這是一個(gè)重要區(qū)別��。”-Alissa Knight(Fierce Healthcare.com**)***
api風(fēng)險(xiǎn)醫(yī)療保健
醫(yī)療保健組織在處理APIs時(shí)面臨許多風(fēng)險(xiǎn)�����,其中之一是破壞對(duì)象級(jí)別授權(quán)(BOLA)��。在Alissa Knight發(fā)表的報(bào)告中�,她解釋說(shuō)BOLA是當(dāng)今最普遍的API漏洞����。在Knight的研究中,她發(fā)現(xiàn)在她測(cè)試和利用的每一個(gè)API中���,BOLA都被用來(lái)訪問(wèn)她本不應(yīng)該讀��、寫(xiě)���、放或刪除的數(shù)據(jù)。
事實(shí)上���,Knight發(fā)現(xiàn)的許多漏洞都是BOLA漏洞���。BOLA被描述為不安全的直接對(duì)象引用或IDOR�����。IDOR意味著用戶能夠直接訪問(wèn)他們不應(yīng)該通過(guò)用戶輸入功能訪問(wèn)的資源���。
用戶輸入功能可以通過(guò)多種方式實(shí)現(xiàn),包括在用戶可以輸入信息的地方更改ID(即Cookie����、URL等)。因?yàn)樵谟脩艨梢宰鋈魏问虑椋ㄐ薷幕騽h除資源)之前�,API不會(huì)檢查用戶是否擁有資源,所以在ID參數(shù)更改后����,API變得容易受到攻擊。這意味著攻擊者可以訪問(wèn)醫(yī)療保健組織的患者數(shù)據(jù)��,然后可用于進(jìn)一步的攻擊�,如有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)攻擊、完全帳戶接管或社會(huì)工程��。
APIs在請(qǐng)求中使用ID����,其形式為UserID���、UUID、cookie��、URL和其他形式�����。當(dāng)更改請(qǐng)求中的ID允許用戶訪問(wèn)他們之前無(wú)法訪問(wèn)的信息時(shí)��,存在BOLA的證據(jù)���。有一種方法可以防止這種情況發(fā)生,但醫(yī)療保健組織需要實(shí)施API最佳實(shí)踐來(lái)處理這個(gè)問(wèn)題��。
使APIs對(duì)醫(yī)療保健組織構(gòu)成風(fēng)險(xiǎn)的另一個(gè)問(wèn)題是����,APIs通常由第三方或中間商管理,而不是由使用API的醫(yī)療保健機(jī)構(gòu)管理����。
不幸的是,第三方APIs并不總是實(shí)踐API最佳實(shí)踐���,因?yàn)樗鼈儾恍枰袷豀IPAA法規(guī)�����,這使得攻擊者很容易訪問(wèn)患者數(shù)據(jù)��。
網(wǎng)絡(luò)犯罪分子研究業(yè)務(wù)系統(tǒng)���,試圖識(shí)別目標(biāo)服務(wù)器上的薄弱工具和軟件包����。這些弱點(diǎn)為威脅行為者提供了許多選擇�����,這取決于第三方的API在安全方面的設(shè)計(jì)�。威脅行為者發(fā)現(xiàn)的APIs暴露的常見(jiàn)漏洞包括跨站點(diǎn)請(qǐng)求偽造、拒絕服務(wù)���、中間人攻擊����、重放和欺騙以及未加密的數(shù)據(jù)傳輸。
根據(jù)Trustwave報(bào)告��,最大的API安全風(fēng)險(xiǎn)是跨站點(diǎn)腳本(XSS)���,該攻擊在2018年報(bào)告中審查的所有攻擊中使用了40%�����。SQL注入(SQLi)和路徑遍歷攻擊也經(jīng)常被使用��,用于竊取數(shù)據(jù)和憑據(jù)。
相關(guān)閱讀:如何提高組織打擊網(wǎng)絡(luò)罪犯的能力
醫(yī)療機(jī)構(gòu)如何保持安全
不幸的是���,現(xiàn)有的安全措施一般不適用于APIs�����,而且這些措施并不能阻止威脅行為者竊取敏感數(shù)據(jù)并對(duì)組織的API造成損害�����。很多時(shí)候����,組織會(huì)實(shí)施API網(wǎng)關(guān)、API管理工具�����、防火墻和IAM工具來(lái)防止API攻擊�。然而,事實(shí)是���,這些工具并不是為了防止API攻擊而設(shè)計(jì)的�����,保護(hù)APIs也面臨著一系列挑戰(zhàn)�。這些挑戰(zhàn)包括:
-
API環(huán)境在不斷變化��,幾乎不可能跟上已更改或新的APIs���。文檔幾乎沒(méi)有什么用處�,因?yàn)樗鼛缀蹩偸沁^(guò)時(shí)或不完整的�。
-
雖然SQL注入攻擊等其他類(lèi)型的攻擊很快,并遵循利用已知漏洞的協(xié)議����,但API攻擊則不然���。攻擊是緩慢的,因?yàn)槊總€(gè)API都是唯一的�,所以攻擊也是唯一的。威脅參與者經(jīng)常對(duì)APIs進(jìn)行探測(cè)���,尋找他們可以利用的業(yè)務(wù)邏輯缺口����。
-
最后��,盡管生產(chǎn)前測(cè)試能夠發(fā)現(xiàn)API安全最佳實(shí)踐中的漏洞�����,但它們并不能發(fā)現(xiàn)API業(yè)務(wù)邏輯漏洞中的漏洞——開(kāi)發(fā)人員并不總是編寫(xiě)完全安全的代碼��。
什么有效�?
幸運(yùn)的是����,API 攻擊是可以預(yù)防的。為了保障組織安全��,請(qǐng)采取以下措施:
-
審查第三方 API – 正確審查第三方 API 可能頗具挑戰(zhàn)性,但卻必不可少����。持續(xù)監(jiān)控 API 的更新,以免影響組織的安全��。由于醫(yī)療保健組織需要管理使用不同設(shè)備和瀏覽器的大量并發(fā)連接�,因此在第三方 API 及其所服務(wù)的數(shù)字資產(chǎn)之間建立雙向?qū)徲?jì)跟蹤至關(guān)重要。
-
系統(tǒng)滲透測(cè)試 ——每年兩次對(duì)包含受保護(hù)健康信息的系統(tǒng)進(jìn)行 API 滲透測(cè)試���,可以避免醫(yī)療保健機(jī)構(gòu)成為 API 攻擊的受害者��。常規(guī)滲透測(cè)試可能會(huì)遺漏攻擊向量�。
-
維護(hù)庫(kù)存——所有醫(yī)療保健機(jī)構(gòu)都應(yīng)該了解與其 API 相關(guān)的資源��。這項(xiàng)工作雖然繁瑣���,但可以借助自動(dòng)化工具來(lái)完成�,這些工具可以識(shí)別已知和未知的 API�。這些工具還可以提供有關(guān) API 的洞察和信息,這對(duì)于保護(hù)您的環(huán)境至關(guān)重要�。
-
實(shí)現(xiàn)身份驗(yàn)證和授權(quán)- 在處理請(qǐng)求之前,API 會(huì)執(zhí)行身份驗(yàn)證�,以驗(yàn)證發(fā)送請(qǐng)求的用戶或程序的身份�。API 通過(guò)密碼�、身份驗(yàn)證令牌或多因素身份驗(yàn)證進(jìn)行身份驗(yàn)證。OAuth 協(xié)議是 API 用戶身份驗(yàn)證的公認(rèn)標(biāo)準(zhǔn)�。在驗(yàn)證發(fā)送請(qǐng)求的用戶身份后,將執(zhí)行授權(quán)�����。
REST API 尤其需要對(duì) 每個(gè)發(fā)送至服務(wù)器的請(qǐng)求進(jìn)行身份驗(yàn)證和授權(quán)——即使多個(gè)請(qǐng)求來(lái)自同一用戶�����。您可以根據(jù)用戶角色管理授權(quán)����,為每個(gè)角色賦予不同的權(quán)限。請(qǐng)遵循最小權(quán)限原則�����,僅授予用戶訪問(wèn)其角色所需資源的權(quán)限�。
您必須記錄 API 活動(dòng)- 如果攻擊者突破了上述保護(hù)措施����,您將能夠了解他們是如何實(shí)施攻擊的��。您還可以利用此次攻擊來(lái)強(qiáng)化您的 API��,防止將來(lái)再次發(fā)生攻擊���。
原文鏈接: https://www.avertium.com/resources/threat-reports/healthcare-and-api-vulnerabilities
我們有何不同?
API服務(wù)商零注冊(cè)
多API并行試用
數(shù)據(jù)驅(qū)動(dòng)選型����,提升決策效率
查看全部API→
??
熱門(mén)場(chǎng)景實(shí)測(cè)�,選對(duì)API
![使用API自動(dòng)化實(shí)驗(yàn)室流程 [附示例指南]](https://cdn.explinks.com/wp-content/uploads/2024/08/explinks509.png)
態(tài)-值得推薦的10款REST-API設(shè)計(jì)工具.png)
微信截圖_17461434713434.png)
微信截圖_17447930704660.png)
語(yǔ)-openapi.png)
微信截圖_1741089002375.png)
