信頼できないデータソースを安全に処理する方法はありますか

それはすべて、実際にデータをどのように処理するかによって異なります。ディスク上にあるビットの束はまさにそれです：ビットの束。マルウェアになり、ネットワークに脅威を与えるためには、何らかの方法で実行する必要があります。

これは、いくつかの方法で実行できます。

• windowsでは、リムーバブルメディアでの自動実行が可能です。 緩和：取り込みマシンをLinuxに変更するか、Windowsを慎重に構成します
• 手動実行：従業員は偶然にそれを実行できます。 Mitigation：従業員アカウントを制限します。たとえば、デフォルトでファイルを読み取り専用にします。これは悪意のある行為から保護するのではなく、偶発的な行為からのみ保護します。
• ディスク上のデータは、ファイルシステムドライバーの脆弱性を悪用する可能性があります。これはほとんどありません。ファイルシステムドライバーは十分にテストされており、ここでの脆弱性は重大であり、非常に高額なゼロデイになります（そのため、使用されません）。 緩和：セキュリティ更新プログラムを自動的にインストールする必要があります。これを防ぐもう1つの方法は、ユーザー空間のファイルシステムドライバを使用することです。 AFAIKは十分にテストされておらず、安定性が低く、パフォーマンスも低くなっていますが、悪用に成功すると、ユーザーレベル（カーネルレベルではない）のアクセスが可能になります。このトレードオフについて自分で考えなければなりません。
• 最後に–データは、ファイルの処理に使用する他のソフトウェアの脆弱性を悪用する可能性があります。これは最も可能性の高いオプションです。任意のコード実行の脆弱性がPDFリーダーなどのソフトウェアで定期的に発見されます。 緩和策：ソフトウェアを最新の状態に保ち、高度なセキュリティに設定します（MS Officeなどでマクロを許可しないでください）。

さらに、すべてのファイル処理ステップをVMに含めて、毎日の稼働後に既知の良好な状態にリセットすることができます。これはかなり不便ですが、特にネットワークを無効にすると、さらに保護されます。 VM上で。

提供されたファイルを積極的に実行しない限り、ウイルス対策についての期待は高まらないでしょう。

同じ状況でDICOMを保護する経験があるので、それに焦点を当てます。

適切に構成された環境（自動実行が無効、頻繁に更新されるマルウェア対策など）を使用している場合、CDは比較的安全です。 USBドライブについても同じことが言えません。 USBドライブにはバーナーPCを使用しました。

これらのディスクは通常、PACSシステム（画像アーカイブおよび通信システム）によって作成されます。ほとんどのPACSは、外部表示用にディスクを書き込むときに、標準のDICOM形式に加えて独自のソフトウェアを使用するときに、独自のソフトウェアとソフトウェアの起動と「名前を付けて保存」のDICOMを必要とする独自の形式—これらの場合、バーナーPCを使用しました。

それ以外の場合、すべての標準DICOM形式には、関連するすべての「イメージ」を抽出するために必要なファイルシステムとDICOMメタデータを含むDICOMDIRファイルがあります。ディスクのマウントで実行し、DICOMDIRファイルを読み取り、DICOMDIRとイメージをステージング場所にonly抽出する抽出プログラムを開発しました。レコードの技術者は、サードパーティの表示ツールを使用して画像を確認し、それが期待どおりのレコードであることを確認してから、ピアに送信して処理します。これにより、データとの「オペレーティングシステム」の相互作用が防止され、攻撃対象領域が大幅に減少しました。

バーナーPCは、ネットワークアクセスが制限された予備のコンピューターでした。技術者はデータをロードし、ソースを安全であると識別し、DICOMイメージをプログラムにロードし、DICOMがそれらをピアに送信します。制限されたネットワークでは、DICOMピアとAVの更新のみが許可されていました。

DIAE画像が（AE_Titleを使用して）ピアに送信されると、印刷、ディスク書き込み、またはメインシステムの医療記録へのロードのために画像を送信できます。

負荷システム、ピア、およびメインPACSはすべて、ネットワークとファイアウォールで分離されていました。彼らは、それぞれのプロトコル（DICOM、Http、AV更新など）を使用して、それぞれのホワイトリストとしか通信できませんでした。

最終的なリスク軽減は、包括的な災害復旧計画とともに、定期的なバックアップとバックアップ検証でした。

概要

DICOM画像を使用するネットワークデバイスをホワイトリストとのみ通信するように制限し、できる限り多くの「オペレーティングシステム」の相互作用を削除し、リスク要因として非常に特定の（ただし必須の）プロトコルのみを残しました。これは大きな攻撃面をカバーし、直接の危険にさらされるのは私たち独自のDICOMシステムのみでした。これは、適切なネットワーク分離、バックアップ、および災害復旧により軽減されました。

バーナーPCについては、故障した場合は交換するか、イメージを再作成します。私たちの公式のポリシーは、検出されたマルウェアでマシンを物理的に置き換えることでした。

私のプロセスに我慢してくれる素晴らしいPACS​​管理者がいて、見返りにCDバーナードライブのラバーバンドをたっぷりと彼に提供しました。

編集：指摘したいのですが、受け取ったDICOM画像の大部分は既知のエンティティからのものでした。つまり、患者は、私たちの診断部門が協力していた姉妹病院または画像施設からの画像を提供します。私の最大の懸念は一般的なワーム（USB Autorunなど）であり、プロプライエタリソフトウェア（PACS/DICOM）の悪用によるものではありませんでした。プロプライエタリなエクスプロイトは、通常、既存の契約を結んでいるビジネスからの標的型攻撃を示します。

別のVLANでウイルス定義を更新するためにインターネットにアクセスできる専用マシン。次に、専用のLinuxにSFTPしますVMこれは、AVインスタンスも実行します。たとえば、ESET + CLAMのようないくつかの異なるAVでさえそれを助けることができます。次に、それが再びスキャンされ、クリーンに検証されて、そのデータをプッシュするか、データをメインシステムにプルします。すべてのシステムは、ウイルス対策を備え、適切に構成され、除外されない必要があります今はセキュリティが階層化されているため、インフラストラクチャの残りの部分を強化し、ADにGPOを配置して、人々が不注意に行動するのを防ぐ必要があります。

第三者の事業体が情報を共有しているとき、彼らが誤ってあなたに感染した場合の損害について契約が作成されたのは私の経験です。法的な観点から、これを双方向で保護できることを確認してください。これらの契約があることで、他の予防策やセキュリティをすべて必要としない場合に、ソースを無条件に信頼できる柔軟性が得られます。安全でユーザーが使用できないことを覚えておいてくださいORユーザーは使用できますが、安全ではありません。両方を使用することはできません。両者の間のスライド式のスケールです。私は一部の企業はセキュリティを求めて、少数の人々だけが物事を実行できるようにする一方、他の企業はすべてのユーザーに管理者権限で実行してほしいため、破滅的な事態が発生して心を変えるまで何でもできるようにしたいと考えていました。