医疗器械模糊测试

在当今的数字化和互联时代,医疗保健行业面临着安全风险。仅在 2023 年,医疗设备中发现的漏洞数量就增加 59%,达到 993 个。因此,美国食品药品监督管理局 (FDA)、欧盟委员会和其他政府机构发布了医疗设备的网络安全指南。其中许多指南都提倡使用模糊测试作为漏洞检测的手段。 

 

 

医疗器械固有的网络安全风险

医疗软件故障可能对患者的健康构成重大风险。许多医疗保健应用程序仍在过时的操作系统上运行,这加剧了网络安全问题。

从勒索软件攻击到数据泄露,这些威胁不仅会危及患者数据,还会对患者安全和医疗保健系统的完整性构成重大风险。根据《2023 年医疗设备和医疗保健系统网络安全状况》报告,2023 年 966 种医疗产品和设备中存在 993 个漏洞,比 2022 年增加了 59%。其中 64% 的漏洞出现在软件中。 

已识别医疗保健漏洞

2023 年发现了 993 个漏洞,涉及 966 种医疗保健产品;攻击者可能利用这些漏洞来攻击医疗保健组织。来源

另一项分析国家漏洞数据库的研究预测,2024 年和 2025 年医疗设备和软件中新的严重漏洞数量将会增加。

趋势分析

医疗保健中的安全漏洞:医疗设备和软件分析,2023 年。来源 

 

有足够的理由让美国食品药品监督管理局(FDA)和欧盟委员会制定指导文件,采取主动措施加强医疗器械的网络安全。

 

FDA 关于医疗器械网络安全的指导

FDA 的指导文件“医疗器械的网络安全:质量体系考虑因素和上市前提交的内容”,强调了在医疗器械的整个生命周期内将网络安全措施融入其设计和开发的重要性。FDA 建议的核心是采用安全产品开发框架 (SPDF),旨在通过测试减少漏洞并减轻新出现的网络安全风险。SPDF

的关键是实施强大的安全测试方法。“安全测试文档和任何相关报告或评估都应在上市前提交中提交。”FDA 建议考虑将以下类型的测试纳入提交中:

  • 安全要求;
  • 减轻威胁;
  • 漏洞测试(例如 ANSI/ISA 62443-4-1 第 9.4 节);以及
    • 制造商应提供以下测试和分析的详细信息和证据:
      • 滥用或误用情况、畸形和意外的输入;
        - 稳健性
        - 模糊测试
      • 攻击面分析;
      • 漏洞链接;
      • 已知漏洞扫描的闭盒测试;
      • 二进制可执行文件的软件组成分析;
      • 静态和动态代码分析,包括测试“硬编码”、默认、容易猜测和容易泄露的凭证。
    • 渗透测试

为此,FDA 建议将模糊测试视为一种漏洞测试方法,以测试和分析误用或滥用以及畸形和意外输入的情况。 

 

 

什么是模糊测试?

模糊测试(也称为模糊测试)是一种动态软件测试方法,用于发现软件应用程序中的漏洞和缺陷,其中还包括 I、II 和 III 类医疗设备。模糊测试涉及向软件应用程序提供随机、意外或格式错误的输入,以观察其在这些条件下的行为。 

与单元测试类似,软件在各种情况下进行测试。关键区别在于单元测试是确定性的,这意味着预期结果是预先知道的,而模糊测试是非确定性的或探索性的,这意味着预期结果不一定是预先知道的。这使得模糊测试可用于发现其他测试方法可能无法识别的错误和安全漏洞。

通过对医疗设备软件进行模糊测试,开发人员可以识别可能被攻击者利用或导致医疗设备故障的潜在漏洞、安全漏洞和意外行为。

 

模糊测试在测试嵌入式系统(包括医疗设备和器械)时尤其有效。原因如下:

  1. 模糊测试增加并计算代码覆盖率
    通过利用有关被测软件的反馈,现代模糊测试器可以主动制作测试输入,以达到高达 100% 的代码覆盖率。除了更可靠地到达测试代码的关键部分之外,这还可以生成有用的报告,让测试团队知道在测试期间执行了多少代码。此报告可能有助于确定其代码的哪些部分需要额外的测试或更多检查,例如,通过渗透测试。
     
  2. 检测内存损坏 发现
    内存损坏问题是基于反馈的模糊测试的强项之一,它与内存不安全的语言(如 C/C++)密切相关。尽管如此,模糊测试在保护内存安全的语言(如 Java 和 JavaScript)方面也非常有效。
     
  3. 早期错误检测——在单元、集成和系统测试阶段。
    基于反馈的模糊测试工具可以集成到开发过程中,以便在您拥有可执行程序后立即自动测试代码。通过尽早利用模糊测试的错误查找能力,您可以在错误和漏洞成为真正问题之前发现它们。


建议对医疗器械进行模糊测试的其他标准和法规 

在欧洲,FDA 等机构也采取了类似的举措来解决医疗器械的网络安全问题。欧盟委员会与医疗器械协调小组 (MDCG) 合作发布了医疗器械网络安全指南 (MDCG 2019-16),强调安全的设计、制造和测试方法,包括模糊测试。

验证-确认第 3.7 章。MDCG 2019-16 的验证/确认 – 医疗器械网络安全指南。 

 

医疗和公共卫生部门协调委员会还在《医疗设备和医疗 IT 联合安全计划》第 2 版(JSP2)中推荐了模糊测试:
“组织应对集成组件(第三方或开发)进行迭代测试,以确保在各个集成阶段对组件进行测试。集成测试涉及构建所有组件及其接口的运行版本。理想情况下,构建和测试过程应自动进入持续集成管道,但只要测试系统包含最新版本的开发组件,自动化程度较低的方法也是可以接受的。可以查阅测试计划以了解应在整个开发过程中迭代运行的特定测试,这些测试可能包括以下内容: 

  • 主机漏洞扫描,使用 Nessus 等工具来识别已知漏洞和不安全的配置;
  • 动态应用扫描测试(DAST);
  • 格式错误的输入测​​试(例如模糊测试)”。

2020年,国际医疗器械监管论坛(IMDRF)发布了一份技术文件《医疗器械网络安全原则与实践》,其中将模糊测试列为安全测试方法之一。

 

通过质合&TurLink图灵信安探索代码模糊测试

医疗设备利用 TurLink测试其产品,有效降低发布延迟、修复成本高、关键系统故障和网络攻击的风险。

前一个:
后一个: