FDA批准新的医疗器械漏洞评分工具

通用漏洞评分系统(CVSS)被用于标定IT系统漏洞的严重程度,但是在某些领域(如工业控制系统或医疗设备)可能不那么重要。

这就是为什么FDA与MITRE公司签约开发专用规则/工具,来评估医疗设备漏洞CVSS分数的原因。MITRE去年完成了开发工作,本周FDA宣布该工具已获得医疗器械开发工具(MDDT)资格。MDDT项目被用来帮助组织鉴定可用于开发和评估医疗设备的工具。

FDA认为,MITRE开发的专用工具将CVSS(以及CVSS v3.0)应用于医疗设备,“可以为风险评估和涉及安全漏洞披露的所有各方之间的交流提供一个通用框架,尤其是在讨论其严重性和紧迫性时。”

位于纽约的医疗网络安全公司CyberMDX的研究主管Elad Luz认为,FDA对该工具的认可意味着“医疗设备供应商可以与FDA有了可供沟通的设备评分标准,以进行售前安全和风险评估。”

在过去的一年中,CyberMDX已经发现了十多个医疗设备中的漏洞,并且指出CVSS在医疗设备上的局限性。例如,去年在GE Healthcare的某些医院麻醉设备中发现的漏洞,其CVSS评分仅为5.3,但是正如供应商本身所承认的那样,对该漏洞的利用给患者带来了直接风险,其严重度其实非常高。

Luz解释说:“(一些评分低的漏洞)的严重性未得到很高的评分,因为不能执行远程代码或远程访问信息,而只能远程更改有限的特定功能。”“问题是,如果从医疗角度看,无需远程控制已经足以造成严重威胁。”

参考资料

FDA与MITRE公司签约开发专用规则/工具:

https://www.mitre.org/publications/technical-papers/rubric-for-applying-cvss-to-medical-devices

相关阅读

八类典型医疗场景下的数据使用风险

物联网安全风暴:“ Ripple20”漏洞波及数亿联网设备

凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启