|
醫(yī)院��,是治病救人的場所���,然而面對勒索病毒這一肆虐網(wǎng)絡(luò)世界的“流行病”���,醫(yī)院幾乎束手無策,甚至成為主要受害者���。
圖片來源于網(wǎng)絡(luò) “網(wǎng)絡(luò)攻擊的形式手段有很多����,但讓我們醫(yī)院最有切膚之痛的�����,當(dāng)屬勒索病毒攻擊����。”雖然事隔數(shù)年,安徽醫(yī)科大學(xué)第二附屬醫(yī)院信息中心主任王慧姮仍然對當(dāng)年的“永恒之藍(lán)”勒索病毒攻擊事件心有余悸���。而正是這場席卷全球150個國家近20萬臺電腦的勒索病毒�,讓包括醫(yī)療在內(nèi)的各行各業(yè)��,對網(wǎng)絡(luò)攻擊有了空前的認(rèn)知�����。據(jù)王慧姮主任回憶��,在2017年5����、6月份,安徽省各主要醫(yī)院大范圍中招��,“雖然沒有給我們造成災(zāi)難性傷害�,但我們用了兩周時間、二三十人去清理�����,包括更換了部分電腦�,才徹底清除了這輪勒索病毒的影響����。還有些醫(yī)院花了幾乎三四年的時間����,才恢復(fù)丟失的數(shù)據(jù)���,其業(yè)務(wù)和人力損失無法估算����?��!?/span> 前事不忘���,后事之師。在經(jīng)歷過勒索攻擊等事件之后����,安徽醫(yī)科大學(xué)第二附屬醫(yī)院(簡稱:安醫(yī)大二附院)、安徽醫(yī)科大學(xué)第四附屬醫(yī)院(簡稱:安醫(yī)大四附院)這兩家兄弟醫(yī)院����,充分意識到要保障醫(yī)院業(yè)務(wù)平穩(wěn)運行��,提升網(wǎng)絡(luò)安全防護(hù)水平迫在眉睫�����。
圖片來源于網(wǎng)絡(luò) 日益猖獗的勒索攻擊???????????????????????????? 成了撲不滅的“流行病”
勒索攻擊����,最早出現(xiàn)于1989年���,AIDS trojan是世界上第一個被載入史冊的勒索病毒�,從而開啟了勒索病毒的時代��。 時至今日��,勒索攻擊愈演愈烈�����,美國最大的燃油管道運營商科洛尼爾 (Colonial Pipeline)�����、全球最大肉類加工商JBS公司����、美國最大傳媒集團(tuán)之一考克斯媒體集團(tuán)(Cox Media)等巨頭近期紛紛中招���,斷油、斷肉��、斷播……勒索攻擊造成的危害屢次占據(jù)媒體頭條�����,以至于美國政府將其與恐怖襲擊并列�����。
圖片來源于網(wǎng)絡(luò) 由于醫(yī)療行業(yè)的重要性與特殊性�����,以及對信息化的高度依賴����,使其經(jīng)常成為勒索攻擊的目標(biāo)�。2020年9月,德國杜塞爾多夫的一家醫(yī)院遭勒索軟件攻擊����,該醫(yī)院的關(guān)鍵入院和病人記錄系統(tǒng)被離線����,導(dǎo)致一位緊急入院病人在被迫轉(zhuǎn)院途中耽誤救治時間而亡����;2021年5月,愛爾蘭公共資助醫(yī)療系統(tǒng)HSE受到勒索病毒攻擊����,700GB重要數(shù)據(jù)被竊,導(dǎo)致該國家多家醫(yī)院的服務(wù)取消和中斷���,新冠病毒檢測工作受到影響......尤其是去年新冠疫情全球蔓延以來���,針對醫(yī)院的網(wǎng)絡(luò)攻擊急速增加。 根據(jù)Check Point Research(CPR)最新報告顯示�����,醫(yī)療行業(yè)成為勒索軟件攻擊的頭號重災(zāi)區(qū)�����,每個組織平均每周遭受109 次攻擊▼。“我們是三甲醫(yī)院��,擁有2000多個各種終端�����,僅機(jī)房就有53個應(yīng)用系統(tǒng)����,但I(xiàn)T加上網(wǎng)絡(luò)安全人員僅7個人,人手非常緊缺�,安全力量比較薄弱��?!?王慧姮主任談到,“我們迫切需要實現(xiàn)網(wǎng)絡(luò)安全管理和技術(shù)水平 '雙提升’�����,避免遇到勒索攻擊時手忙腳亂�。” 安醫(yī)大二附院信息中心工程師朱全回憶了這樣的細(xì)節(jié):2019年����,醫(yī)院更新服務(wù)器被病毒感染����,導(dǎo)致醫(yī)院的exe文件全部隱藏起來�,并生成一個同名的、文件大小只有幾十K的exe文件�����,結(jié)果所有更新軟件的電腦��,都不能正常使用應(yīng)用程序���,嚴(yán)重影響醫(yī)院業(yè)務(wù)��。當(dāng)時因為沒有態(tài)勢感知與安全運營平臺(NGSOC)���,查找起來很麻煩,最后還是在更新服務(wù)器上抓包找到了源頭���,才把問題徹底解決�����。 “我們需要提前感知危險在哪里�����,及早預(yù)警和處置�����,而非事后的亡羊補(bǔ)牢��?����!?strong>安醫(yī)大四附院信息中心主任楊愛民也有同樣的感受�����。從2017年的永恒之藍(lán)���,到后續(xù)屢次發(fā)生的安全事件,都加速了兩家醫(yī)院的網(wǎng)絡(luò)安全建設(shè)進(jìn)程����。 僅靠產(chǎn)品堆砌還不夠 醫(yī)院網(wǎng)絡(luò)安全建設(shè)面臨三大痛點 王慧姮主任認(rèn)為,在網(wǎng)絡(luò)安全建設(shè)的道路上,合規(guī)驅(qū)動和業(yè)務(wù)需求���,兩個力量缺一不可����。2017年《網(wǎng)絡(luò)安全法》頒布���,從政策法規(guī)上���,要求醫(yī)院對網(wǎng)絡(luò)安全工作加倍重視。因此�,兩家醫(yī)院都上線了邊界安全、準(zhǔn)入�、終端安全、上網(wǎng)行為管理����、審計類等各類安全產(chǎn)品,然而在實際工程中��,這種安全產(chǎn)品堆砌類的方式�����,效果并不盡如人意,集中表現(xiàn)在以下方面▼:?首先是“孤島”作戰(zhàn)��、缺少聯(lián)動���,安全防護(hù)能力沒有充分發(fā)揮出來�����。 在部署NGSOC之前��,兩家醫(yī)院都遇到一個普遍問題:雖然已經(jīng)部署了大量的安全設(shè)備�����,包括邊界安全��、終端安全�����、上網(wǎng)行為管理、漏掃�、審計等,但各設(shè)備之間相互孤立��、單兵作戰(zhàn),日常運維�����、事件回溯更是因設(shè)備太多而無從下手����。楊愛民主任談到了安醫(yī)大四附院面臨的困惑:面對層出不窮的新攻擊手法與高度組織化的黑客行為,醫(yī)院的內(nèi)網(wǎng)安全產(chǎn)品還停留在“孤島”作戰(zhàn)的狀態(tài)��。在流量側(cè)��,對于加密流量缺乏有效的檢測與防御方法��;在終端側(cè)����,對于基于0day漏洞、高度定制化的惡意應(yīng)用缺乏有效的查殺手段�����,因此在解決此類高級威脅方面��,協(xié)防聯(lián)動已經(jīng)成為兩家醫(yī)院的共同訴求�����。?其次是檢測和響應(yīng)滯后,導(dǎo)致風(fēng)險激增����。 勒索病毒是“自我進(jìn)化能力”最強(qiáng)的網(wǎng)絡(luò)安全威脅之一,不僅在持續(xù)產(chǎn)生新的變種�,其攻擊手法也在不斷變化,從釣魚郵件攻擊���,到網(wǎng)站惡意代碼入侵�,再到社會工程學(xué)��,各種高級威脅的技術(shù)手段在勒索攻擊得到復(fù)合型應(yīng)用����。而傳統(tǒng)的安全技術(shù)手段,大多是利用已知攻擊特征進(jìn)行靜態(tài)規(guī)則匹配����,因此對于勒索攻擊等高級威脅,現(xiàn)有的安全防護(hù)體系無論是在威脅的檢測����、發(fā)現(xiàn)還是響應(yīng)等方面都存在嚴(yán)重不足。楊愛民主任特別指出��,在處置響應(yīng)環(huán)節(jié)�,由于邊界防護(hù)設(shè)備分布在不同的安全域和分支機(jī)構(gòu),不同的運維審計類產(chǎn)品部署在不同的安全域�����,還有端點的防病毒和安全準(zhǔn)入�,以及數(shù)以千計的資產(chǎn),通過人工處置告警顯然是困難重重�����,容易遺漏���,這些都造成了巨大的潛在風(fēng)險���。 ?第三是缺乏可視化的管理手段,無法整體掌控態(tài)勢����。 網(wǎng)絡(luò)安全攻防,唯有知彼知己���,才能掌握主動��。項目實施之前��,在兩家醫(yī)院的安全體系中�����,大量的安全監(jiān)測結(jié)果只是單一維度的反映某個系統(tǒng)存在相關(guān)問題����,呈現(xiàn)的方式也多種多樣,并沒有針對海量的安全數(shù)據(jù)進(jìn)行統(tǒng)一可視化展現(xiàn)��,無法整體掌控網(wǎng)絡(luò)安全的態(tài)勢����,給安全管理造成較大的門檻和成本。
強(qiáng)聯(lián)動�、早處置、易管理 NGSOC效果立竿見影 網(wǎng)絡(luò)安全建設(shè)是一個長期的過程�����,隨著2020年等保項目的實施�,態(tài)勢感知與安全運營被列上日程�。兩家醫(yī)院本著“安全是第一位”的理念����,以及高標(biāo)準(zhǔn)的要求����,對多家安全廠商進(jìn)行整體比較和嚴(yán)格評估,最終選擇了綜合實力更強(qiáng)����,且更適合醫(yī)院業(yè)務(wù)現(xiàn)狀的奇安信態(tài)勢感知與安全運營平臺(NGSOC)。
圖 醫(yī)院態(tài)勢感知與安全運營方案總體架構(gòu)
經(jīng)過兩家醫(yī)院一年來的實踐���,NGSOC很快在以下方面收到了立竿見影的效果▼����。?????????第一是告別各自為陣��,變被動防御為積極防御�����。 目前部分針對性的勒索攻擊��,從攻擊手法上看完全是APT級別的,需要多個產(chǎn)品聯(lián)動才能及時阻止��。對于這種情況��,NGSOC能通過數(shù)據(jù)聯(lián)動將內(nèi)網(wǎng)各安全設(shè)備協(xié)同起來���,實現(xiàn)內(nèi)網(wǎng)安全的全面監(jiān)測與防護(hù)���,幫助用戶及時發(fā)現(xiàn)感染勒索病毒的主機(jī)和服務(wù)器,盡可能將影響降到最低�。同時,NGSOC還可利用本地的大數(shù)據(jù)平臺對各階段的檢測結(jié)果進(jìn)行存儲與分析�����,為完整回溯安全事件提供數(shù)據(jù)基礎(chǔ)��,推動醫(yī)院的安全建設(shè)從被動防御階段向積極防御階段演進(jìn)���。?第二是提前發(fā)現(xiàn)攻擊����,實現(xiàn)料敵于先,早處置降低風(fēng)險�。 “正所謂'聰者聽于無聲,明者見于未形’�����,全天候�、全方位感知網(wǎng)絡(luò)安全態(tài)勢,是安醫(yī)大二附院網(wǎng)絡(luò)安全管理建設(shè)的重要目標(biāo)����?���!蓖趸蹔魅握劦健C鎸账鞑《镜雀呒壒粜问?���,NGSOC搭載的分布式關(guān)聯(lián)分析引擎具備強(qiáng)大的數(shù)據(jù)分析能力,能夠更快地發(fā)現(xiàn)隱藏在各類日志中的安全問題�。盡早發(fā)現(xiàn)威脅,可以為快速彌補(bǔ)安全問題提供寶貴的時間窗口����,顯著降低安全風(fēng)險。尤其是對醫(yī)院而言,勒索病毒無疑是潛在的炸彈���。早一分鐘解除威脅�,就可能從死神手中多搶回一條生命�。圖 基于NGSOC的威脅閉環(huán)管理 ?????????????????第三是更友好的可視化界面,便于管理控制�。 產(chǎn)品好不好,用起來是關(guān)鍵��。朱全表示���,“安全管理并不如網(wǎng)絡(luò)�����、業(yè)務(wù)等內(nèi)容更容易被管理者理解�,因為安全所涉及的技術(shù)內(nèi)容紛繁復(fù)雜�����,存在天然的技術(shù)屏障�����。因此,通過直觀����、清晰的圖形展示,可以幫助管理者快速理解并判斷當(dāng)前安全態(tài)勢���?����!?/span> 圖 醫(yī)院綜合安全態(tài)勢
使用NGSOC后����,醫(yī)院可以直接通過態(tài)勢感知大屏直觀地查看醫(yī)院網(wǎng)絡(luò)內(nèi)部不同資產(chǎn)組的風(fēng)險分布���,相關(guān)風(fēng)險值會在邏輯拓?fù)渖现苯佑成洌?strong>以可視化的形式呈現(xiàn)在大屏幕上。外部威脅的攻擊態(tài)勢則能直接以地圖展示的方式幫助管理者理解外部攻擊的主要來源地�����、主要的外部攻擊分類��、本地最容易被攻擊的資產(chǎn)等信息����。所有態(tài)勢感知的展示都可實時刷新�,及時將最新的安全態(tài)勢呈現(xiàn)在管理者眼中����。楊愛民主任也對NGSOC的可視化和易用性記憶深刻,“奇安信態(tài)勢感知與安全運營平臺設(shè)計符合我們的操作方式�����,界面很友好�����,功能很齊全���,運行速度也很快����,可以使我們網(wǎng)絡(luò)環(huán)境的安全態(tài)勢一目了然��?��!?/span>打造常態(tài)式���、閉環(huán)式安全運營 將勒索攻擊拒之門外 再先進(jìn)的安全產(chǎn)品�����,也離不開專業(yè)的安全運營團(tuán)隊��。對此���,兩家醫(yī)院對奇安信的安全運營尤其是遠(yuǎn)程運營印象深刻,“奇安信每月提交一次態(tài)勢感知與安全運營的安全分析報告����,對于全網(wǎng)安全態(tài)勢進(jìn)行了詳細(xì)的分析,總結(jié)了網(wǎng)內(nèi)主要攻擊源和高風(fēng)險主機(jī)����,這幫助我們加固網(wǎng)絡(luò)安全提供了很大的幫助����。尤其在疫情期間,奇安信為醫(yī)院提供遠(yuǎn)程運營服務(wù)�,避免了高風(fēng)險時期的直接接觸,保障了醫(yī)院在特殊時期系統(tǒng)的穩(wěn)定運行��。”
▲威脅等級占比 ▲每日告警等級與數(shù)量分布
▲告警趨勢圖
圖 醫(yī)院安全運營報告之整體告警情況 當(dāng)今�����,勒索攻擊已經(jīng)成為網(wǎng)絡(luò)空間的流行病�。來自安全機(jī)構(gòu)的一份預(yù)測,2021年預(yù)計每11秒將發(fā)生一次勒索攻擊����,全年將超過300萬次,造成損失或達(dá)數(shù)千億美元。 兩家醫(yī)院一致認(rèn)為����,要預(yù)防“勒索流行病”,僅靠產(chǎn)品還是不夠的����,只有將人、數(shù)據(jù)��、工具和流程有機(jī)結(jié)合起來��,建立常態(tài)化����、閉環(huán)管理的安全運營體系�,才能將勒索攻擊等威脅拒之門外����,保障醫(yī)院業(yè)務(wù)的正常運轉(zhuǎn)和數(shù)據(jù)安全。
|
