近两年来,医院、医疗机构发生重大安全事件,医疗行业的一些特征让它们成了黑客眼中诱人的果实,医疗机构在社会民生中的重要性也成为黑客盯上它们的重要因素,最具代表的就是遭遇勒索软件攻击,由于人命关天,在遭遇勒索软件攻击时,医疗机构也更倾向于支付赎金。广州天畅上期公众号文章,从等保实施体现的七个方面,提出医疗系统信息安全建设的一些建议《抵御勒索从等保合规出发,建设医疗系统安全网络世界》。今天,广州天畅资深服务专家针对勒索病毒在医院网络安全的攻守方面给出了一套解决方案。
安全背景
2017 年 5 月,一种名为 WannaCry 的勒索病毒肆虐席卷全球,造成 100 多个国家和地区超过 10 万台电脑遭到了勒索病毒攻击、感染。据统计,5 月份爆发的 WannaCry“蠕虫式”勒索病毒在席卷全球仅仅一天的时间就有 242.3万个 IP 地址遭受该病毒攻击,近 3.5 万个 IP 地址被该勒索软件感染,其中我国境内受影响 IP 约 1.8 万个。高校、医院、政府、企业等单位为主的网络大范围瘫痪,浙江、上海、江苏等地成为受灾重区,各地随后开展了一系列勒索病毒治理。
图 1:WannaCry 勒索病毒
图 2:医院勒索病毒原因分析
导致病毒发生主要有以下几点原因,详见图2所示:
✍医院配置了等保三级安全设备,但传统安全设备规则库机制无法防御未知新型网络攻击及病毒,医院网络边界缺少未知攻击防御措施
✍医院内外网属于隔离状态,外网病毒通过U盘等外设介质进入内网,医院终端设备缺少终端管控及行为感知措施
✍医院服务器缺少系统加固措施,病毒入侵即可抢占系统权限
✍医院重视传统边界防护,忽略了数据库边界防护,导致数据库遭受攻击后权限失控
✍医院从业人员缺少安全意识,恶意链接、恶意邮件无法判断,内外网移动存储介质混用等一系列问题
医院信息资产众多,日常运维乏力,风险点处理缓慢。此时,传统的解决方案或单薄的安全设备已经无法解决勒索病毒的入侵,且传统采购设备的方式既增加医院负担又增加运维难度,所以医院急需一种既会主动检测又会被动防御的解决方案——医院网络安全攻守道服务解决方案。
攻:主动检测安全服务方案
(一)主动检查:医院信息安全检查服务
医院信息安全检查服务可提供:
✍由专业安全服务工程师针对医院 HIS、LIS、EMR 等关键业务系统、核心信息资产、核心数据库提供漏洞扫描服务
✍由专业安全服务工程师针对医院 HIS、LIS、EMR 等业务服务器、医院 PC 终端提供病毒扫描服务
✍由专业安全服务工程师针对医院 HIS、LIS、EMR 等业务系统提供代码审计服务,及时发现代码漏洞
✍由专业安全服务工程师模拟黑客对医院 B/S 架构业务系统提供渗透测试服务,及时发现未知漏洞
✍由专业安全服务工程师提供业务系统基础安全服务,定期提醒修补操作系统漏洞,设置系统最小化权限,设置最大化安全策略
通过主动的医院信息安全检查服务可以对清楚明晰医院设备资产,保障网络运行稳定有序,提升系统配置合理性,做到服务管理有章可循,进一步提升网络支撑能力,提高网络管理、安全管理和服务水平。
图 3:医院信息安全检查服务
(二)主动探测:医院外网威胁情报收集服务
威胁情报收集服务采用丰富的主动探测技术手段,在保证对目标医院网络正常业务运行最低限度影响前提下,完成对目标医院网络全面而快速的探测。通过融合如 ICMP 探测、Telnet 探测、Http 探测以及网络爬虫等多种探测技术手段, 对设备信息、服务信息、漏洞信息等进行全面收集,保证信息采集的全面性、实时性。威胁情报收集服务依托丰富的指纹库、特征库和 IP 地址信息库,实现精准识别目标网络节点详细信息。同时,利用大数据分析技术对从个探测节点采集的海量数据进行深度挖掘与分析,分析结果通过各种可视化方式进行展示。
图 4:威胁情报收集服务
(三)主动培训:全员信息安全意识培训
定期为医院从业人员开展信息安全意识培训,介绍信息安全现状、安全事件, 结合现场演示,并给出防范措施建议。解读医院从业人员缺乏信息安全基本常识、安全意识薄弱的危害和后果,使医院从业人员对侵害个人和医院信息的行为保持警惕性,将知错犯错的侥幸心理消灭在萌芽中,提高医院从业人员信息安全意识。
图 5:信息安全培训服务
守:被动防御安全服务方案(一)终端安全服务
图 6:终端安全服务
在一些大型医院,列一张所有资产的清单都非常棘手。资产区分的关键环节是确定关键资产,按照资产的属性做不同力度的安全防护,重点保护关键资产,减少终端运维成本,同时资产安全也能等到保障。针对资产区分的难点问题,可以采用终端安全服务,为管理人员提供资产信息化管理功能,实现资产创建、出库、领用、调拨、借出、维修、退库、报废等全生命周期化管理,从而实现关键资产区分,并对于不同过程节点进行操作维护。
终端行为识别前提是识别终端的设备类型、操作系统类型和制造商信息。每一种终端设备都具备自己独特的特性,就像人的指纹一样。而这些独特的特性,会在终端设备同外界通讯的行为中体现出来。通过终端安全服务跟踪终端通信行为,分析其特性,实时记录终端行为数据、静态样本、软硬件资产等信息(例如:网络活动、磁盘和内存访问、注册表信息等),进行集中化存储,便于实时的检测和安全评估。对终端的相关行为操作进行实时动态监测、分析,对于每一个终端操作行为的真实情况进行检测,以确定它是否为恶意行为。自动处置高级威胁在杀伤链中不同阶段需要做出的对应的响应动作。
完成终端资产区分跟终端行为识别后,我们可以关联损害这些资产的行为、漏洞、威胁,完成终端风险评估。工程师会进行终端风险评估,定期在客户现场工作,熟悉客户的内部流程和需求,熟悉客户的终端设备状况;定期针对用户终端设备进行配置检查,分析配置合理性,并给出详细的检查报告;定期针对终端设备进行漏洞、病毒、木马进行检测,分析和指出终端设备的安全漏洞及薄弱环节,给出详细的检测报告;每周提供信息安全通告及不定期重要信息安全通告,重大事件发布特别通告。
针对与终端设备信息安全风险(移动介质管理、漏洞、第三方软件、外设、端口、敏感文件、终端准入、非法外联、异常操作行为)、资源管理风险(资源占用、资产众多、远程协助)、行为审计风险(事件追溯、敏感文件操作记录、事件审计记录)等终端风险,终端安全服务可解决上述问题,缓解终端风险。
(二)服务器系统免疫服务
服务器安全加固服务基于可信计算技术,利用内核级系统监控技术、文件可信校验技术、动态度量技术、可信网络连接技术、可信审计技术等,让操作系统具备了人类一样的自免疫能力,让计算机有了自己的免疫“白细胞”。“白细胞”操作系统免疫平台实现了主动防御,有效解决了系统被未知漏洞、未知病毒、未知木马攻击而造成的风险。
图 7:服务器系统免疫服务
(三)数据库边界安全服务
数据库边界安全服务基于网络和数据库协议分析与控制技术的主动防御机制,可以实现数据库的访问行为权限控制、恶意及危险操作阻断式防范。通过协议分析,根据预定的白名单策略让合法的数据库操作通过执行,通过黑名单策略让可疑的非法违规操作禁止,从而形成一个数据库的外围防御圈,做到数据库危险操作的主动预防、实时审计。
图 8:数据库边界安全服务
✍主动定期为医院全体医护人员提升信息安全意识,减低勒索病毒等未知攻击通过人为进入医院网络;
✍通过医院终端资产区分、终端行为识别、终端风险评估、终端风险缓解等一系列终端安全服务,降低终端感染勒索病毒等未知攻击概率
✍通过服务器系统免疫服务,设置应用白名单,在系统层有效规避勒索病毒等未知攻击
✍通过数据库边界安全服务,通过自学习策略配置,防止勒索病毒等未知攻击篡改数据库权限
✍帮助用户建立攻守兼备的网络安全体系,涵盖主动检测与被动防御,全面提升安全防护水平
✍由专业安全工程师提供针对核心业务系统的漏扫、病毒扫描、权限修改、策略配置等医院信息安全检查服务,保障业务系统稳定运行
方案清单
|
序号 |
服务名称 | 服务内容 |
| 1 | 攻:主动检测安全服务包 |
威胁情报安全服务、信息安全意识培训、医院 信息安全检查服务 |
| 2 |
守:被动防御安全服务包 |
终端安全服务、服务器系统免疫服务、数据库 边界安全服务 |
在现代化医疗服务流程中,先进科技带来应有优势的同时,也增添了网络安全隐患。随着数字化和互联医疗的普及应用,网络化、信息化带来了巨大创新优势的同时,也揭示了与创新技术并存的网络安全风险。“当今复杂的医疗环境中,网络安全所面临的挑战是一个洋葱问题:你解决了一个层面,然后会发现它下面还有更多的挑战“。网络安全问题不仅仅是制造商应当承担的责任和义务,同时也是使用者,包括医疗机构、医生和技术人员、甚至患者本人应当引起重视和共同努力的事情。建设医疗系统安全网络世界,我们任重而道远。