Comment puis-je traiter en toute sécurité des sources de données non fiables?

Tout dépend de ce que vous faites réellement avec les données. Un tas de bits assis sur un disque n'est que cela: un tas de bits. Il doit en quelque sorte être exécuté pour devenir un logiciel malveillant et constituer une menace pour votre réseau.

Cela pourrait se faire de deux manières:

• windows autorise l'exécution automatique sur un support amovible. Atténuation: changer la machine d'ingestion en Linux ou configurer soigneusement les fenêtres
• exécution manuelle: les employés peuvent le faire par accident. Atténuation: restreindre le compte des employés, par exemple, rendre les fichiers en lecture seule par défaut. Cela ne protège pas contre les actions malveillantes, mais seulement contre les actions accidentelles.
• Les données sur le disque peuvent exploiter une vulnérabilité dans les pilotes de système de fichiers. C'est assez peu probable, les pilotes de système de fichiers sont assez bien testés et toute vulnérabilité ici est critique et coûterait 0 jours très cher (donc elle ne serait pas utilisée contre vous). Atténuation: vous devez installer automatiquement les mises à jour de sécurité. Une autre façon de se protéger contre cela consiste à utiliser des pilotes de système de fichiers de l'espace utilisateur. AFAIK, ils sont moins bien testés, moins stables et moins performants, mais toute exploitation réussie donnera un accès au niveau utilisateur (et non au niveau du noyau). Vous devriez penser à ce compromis par vous-même.
• Enfin - les données peuvent exploiter les vulnérabilités d'autres logiciels que vous utilisez pour traiter les fichiers. C'est l'option la plus probable, des vulnérabilités d'exécution de code arbitraire sont régulièrement découvertes dans des logiciels comme les lecteurs pdf. Atténuation: maintenez votre logiciel à jour et configuré pour une haute sécurité (n'autorisez pas les macros dans MS Office, etc.).

De plus, vous pouvez contenir chaque étape de traitement de fichier dans un VM et le réinitialiser à son bon état connu après chaque journée de travail. Ce serait assez gênant mais offrirait une protection supplémentaire, surtout si vous désactivez la mise en réseau sur la machine virtuelle.

Je n'obtiendrais pas mes espoirs concernant les antivirus à moins que vous n'exécutiez activement les fichiers fournis, ils n'offriraient pas beaucoup de protection.

J'ai de l'expérience dans la sécurisation de DICOM dans une situation identique, je vais donc me concentrer sur cela.

En supposant que vous utilisez un environnement correctement configuré (exécution automatique désactivée, logiciel anti-programme malveillant fréquemment mis à jour, etc.), les CD sont relativement sûrs. On ne peut pas en dire autant des lecteurs USB. Nous avons utilisé un PC graveur pour les clés USB.

Ces disques sont généralement créés par un système PACS (Picture archiving and communication system). La plupart des PACS, lors de la gravure de disques pour une visualisation externe, utilisent un logiciel propriétaire en plus du format DICOM standard, j'en ai vu une poignée utilisant un logiciel propriétaire et format propriétaire qui nécessite que vous lanciez le logiciel et " enregistrer sous "DICOM - Dans ces cas, nous avons utilisé le PC du graveur.

Sinon, tous les formats DICOM standard ont un fichier DICOMDIR qui a le système de fichiers et les métadonnées DICOM nécessaires pour extraire toutes les "images" qui lui sont associées. Nous avons développé un programme d'extraction qui s'exécuterait sur le montage du disque, lirait tous les fichiers DICOMDIR et extrairait niquement le DICOMDIR et les images vers un emplacement intermédiaire. Un technicien des enregistrements examinerait ensuite les images avec un outil de visualisation tiers et identifierait qu'il s'agissait des enregistrements qu'ils attendaient, puis les envoyait à un pair pour traitement. Cela a empêché toute interaction du "système d'exploitation" avec les données, réduisant considérablement la surface d'attaque.

Le PC graveur était un ordinateur de rechange dont l'accès au réseau était restreint. La technologie chargerait les données, identifierait la source comme sûre, chargerait les images DICOM dans un programme et les transmettrait à un homologue - où seules les mises à jour DICOM homologue et AV étaient autorisées sur le réseau restreint.

Une fois les images DICOM transmises au pair (à l'aide d'un AE_Title), ils pouvaient envoyer les images pour impression, gravure de disque ou chargement dans un dossier médical sur le système principal.

Les systèmes de chargement, l'homologue et le PACS principal étaient tous séparés sur le réseau et le pare-feu. Ils ne pouvaient parler qu'à leurs listes blanches respectives, en utilisant leurs protocoles respectifs (DICOM, Http, Mises à jour AV, etc.).

L'atténuation finale des risques a été des sauvegardes et des vérifications régulières des sauvegardes, ainsi qu'un plan de reprise après sinistre complet.

Sommaire

Nous avons limité les périphériques réseau qui suppriment avec des images DICOM pour communiquer uniquement avec une liste blanche et supprimé autant d'interactions "Système d'exploitation" que possible, ne laissant que des protocoles très spécifiques, mais requis, comme facteurs de risque. Cela couvrait une grande surface d'attaque, laissant uniquement nos systèmes DICOM propriétaires à risque direct. Cela a été atténué par une ségrégation réseau, des sauvegardes et une reprise après sinistre appropriées.

Quant au graveur PC, nous le remplacions ou le réimaginions en cas de panne. Notre politique officielle était de remplacer physiquement n'importe quelle machine avec des logiciels malveillants détectés.

J'ai eu un excellent administrateur PACS qui a supporté notre processus et en retour je lui ai fourni beaucoup de bandes élastiques pour le graveur de CD.

Edit: Je voudrais souligner que la majorité des images DICOM que nous avons reçues provenaient d'entités connues. C'est-à-dire que les patients fourniraient des images d'hôpitaux ou d'installations d'imagerie sœurs avec lesquels notre service de diagnostic avait travaillé, certains ayant même été employés auparavant. Ma plus grande préoccupation était les vers génériques (USB Autorun, etc.) et pas tellement les exploits de logiciels propriétaires (PACS/DICOM). Un exploit propriétaire indiquerait une attaque ciblée, généralement d'une entreprise avec laquelle nous avions des contrats existants, un événement hautement improbable.

Une machine dédiée sur un VLAN avec accès Internet pour mettre à jour les définitions de virus. Ensuite, SFTP vers un Linux dédié VM qui exécuterait également une instance AV et si vous pouvez l'aider, peut-être même plusieurs AV différents comme ESET + CLAM par exemple. Ensuite, après qu'il a été analysé à nouveau et validé propre pour pousser ces données ou les faire extraire dans votre système principal. Chaque système doit avoir un antivirus et être configuré correctement et sans exclure Maintenant, parce que la sécurité est en couches, le reste de votre infrastructure doit être renforcé et avoir des GPO dans AD pour aider à empêcher les gens de faire les choses négligemment.

D'après mon expérience, lorsque des entités commerciales tierces partagent des informations, elles ont établi des contrats de dommages-intérêts dans le cas où elles vous infectent accidentellement, donc d'un point de vue juridique, assurez-vous que vous êtes protégé dans cette direction dans les deux sens. La mise en place de ces contrats permet la flexibilité de pouvoir faire confiance à la source sans condition lorsque vous n'avez pas besoin de toutes les autres précautions ou sécurité. N'oubliez pas que c'est sécurisé et que les utilisateurs ne peuvent pas l'utiliser OR les utilisateurs peuvent l'utiliser mais ce n'est PAS sécurisé. Vous ne pouvez pas avoir les deux, c'est juste une échelle mobile entre eux. J'ai certaines entreprises ont fait pression pour la sécurité au point que seules quelques personnes sont capables de faire des choses tandis que d'autres veulent que tous les utilisateurs s'exécutent avec des droits d'administrateur afin qu'ils puissent faire ce qu'ils veulent jusqu'à ce que quelque chose de catastrophique se produise, puis ils changent d'avis.