在新型冠狀病毒肺炎疫情蔓延的特殊時期,某國外黑客組織卻以“新冠肺炎”話題為誘餌,對我國有關(guān)政府部門、醫(yī)療機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)攻擊。醫(yī)療機(jī)構(gòu)作為“抗疫”的前線,在網(wǎng)絡(luò)空間的戰(zhàn)場上同樣面臨著嚴(yán)峻的安全威脅與考驗。
亞信安全威脅情報中心在此期間對醫(yī)療行業(yè)網(wǎng)絡(luò)安全進(jìn)行了緊密的監(jiān)控,更在近期發(fā)布的《亞信安全2019威脅情報態(tài)勢分析》報告中對相關(guān)事件進(jìn)行了分析。數(shù)據(jù)顯示,疫情期間的醫(yī)院攻擊事件,其中有多起是勒索黑產(chǎn)利用冠狀病毒熱點事件,針對醫(yī)療機(jī)構(gòu)個人的網(wǎng)絡(luò)釣魚。攻擊者瞄準(zhǔn)醫(yī)務(wù)人員的個人郵箱,以“新型冠狀病毒感染引起的肺炎的診斷和預(yù)防措施”為附件,誘導(dǎo)攻擊目標(biāo)打開、下載并啟用攻擊文件,一旦電腦被感染,病毒會進(jìn)行橫向移動,感染更多網(wǎng)絡(luò)中的機(jī)器。
醫(yī)療系統(tǒng)更智慧,數(shù)據(jù)安全環(huán)境卻更復(fù)雜
疫情期間,各大廠商和醫(yī)院均上線了互聯(lián)網(wǎng)“疫情”數(shù)據(jù)采集工具,用于監(jiān)測并收集各地人員的健康情況,龐大的數(shù)據(jù)量有助于疫情的分析和控制,但是安全威脅也悄然而至。
隨著數(shù)字化建設(shè)的不斷快速推進(jìn),我國醫(yī)療機(jī)構(gòu)日常的數(shù)據(jù)量是相當(dāng)龐大的,來源包括PC終端、基礎(chǔ)網(wǎng)絡(luò)和數(shù)據(jù)中心,以及智能監(jiān)測儀、醫(yī)護(hù)查床平板、健康跟蹤手環(huán)等新型物聯(lián)網(wǎng)醫(yī)療設(shè)備等,所產(chǎn)生的都是敏感度相當(dāng)高的數(shù)據(jù)。
然而《亞信安全2019威脅情報態(tài)勢分析》報告顯示,很多醫(yī)療機(jī)構(gòu)目前依然沿用傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu),加之大量數(shù)字化設(shè)備都廣泛存在的安全漏洞問題,以及相關(guān)人員安全意識薄弱等問題,任何的安全疏漏都可能帶來全局性的網(wǎng)絡(luò)安全威脅。醫(yī)療機(jī)構(gòu)所面臨的安全挑戰(zhàn)是如此嚴(yán)峻。
勒索RaaS崛起,醫(yī)療行業(yè)成為重災(zāi)區(qū)
敏感且大量的醫(yī)療數(shù)據(jù)對于不法分子而言意味著巨大的商業(yè)價值。隨著近幾年勒索軟件黑產(chǎn),尤其是勒索即服務(wù)(RaaS)的興起和泛濫,讓醫(yī)療行業(yè)成為全球勒索黑產(chǎn)攻擊的重災(zāi)區(qū)。據(jù)亞信安全威脅情報中心的數(shù)據(jù),2019全球醫(yī)療衛(wèi)生行業(yè)的勒索攻擊事件往往涉及的單筆贖金金額是非常巨大的,而且成功率相對很高,其中僅美國的醫(yī)療機(jī)構(gòu)在2019年就損失了約40億美元。
而勒索一旦發(fā)生,成千上萬病人的個人資料、病例、藥方、學(xué)術(shù)報告等重要醫(yī)療衛(wèi)生資料被惡意計算機(jī)病毒加密成一個不可查看到文件,不僅造成系統(tǒng)癱瘓、病例丟失,更嚴(yán)重的是會威脅到患者的生命。
抗擊勒索黑產(chǎn)的戰(zhàn)役,連貫全面的系統(tǒng)級防護(hù)是關(guān)鍵
面對勒索病毒所帶來的危害,亞信安全認(rèn)為一個連貫的防護(hù)措施必不可少,通過部署貫穿勒索攻擊事前、事中和事后的安全舉措,建立全面的信息安全防護(hù)體系,才能夠以有效的方式減少損失,降低風(fēng)險。
勒索攻擊的事前防護(hù),首先要加強(qiáng)人員的網(wǎng)絡(luò)安全教育。在如今的勒索攻擊中,以社交工程為誘餌的攻擊為普遍和難防,因此要首先“以人為本”,加強(qiáng)防范意識并提高警惕。其次,對于重要文件和數(shù)據(jù)要采用“數(shù)據(jù)備份三二一原則”進(jìn)行定期非本地備份。此外,還要加強(qiáng)醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)控制,關(guān)閉不必要的網(wǎng)絡(luò)端口,并禁止服務(wù)器主動發(fā)起對外部連接請求,以降低不法分子侵入內(nèi)網(wǎng)實施攻擊的成功率。
在事中防范環(huán)節(jié),部署郵件防護(hù)產(chǎn)品是抗擊勒索的道防線。事實證明,80%的勒索攻擊始于社交工程郵件,這類郵件通常含有傳統(tǒng)郵件或終端安全產(chǎn)品無法偵測的惡意附件或 URL,成為傳統(tǒng)郵件網(wǎng)關(guān)的盲點,因此亞信安全建議部署擁有勒索防御和沙箱監(jiān)測能力的郵件防護(hù)產(chǎn)品予以應(yīng)對。而隨著勒索病毒技術(shù)的演變,繞過傳統(tǒng)靜態(tài)監(jiān)測的攻擊手段也越來越多,因此在事中防范的環(huán)節(jié),還需要加持機(jī)器學(xué)習(xí)和行為分析的技術(shù)手段,進(jìn)而能夠及時終止加密執(zhí)行程序,并將終端設(shè)備進(jìn)行隔離。
面對防御勒索病毒的復(fù)雜環(huán)境,還需要知己知彼。防御理念要從傳統(tǒng)“知防不知攻”的被動防御向“知防知攻”的縱深積極防御轉(zhuǎn)變,這就需要在事后環(huán)節(jié)建立全面的信息安全防護(hù)體系,即包含威脅情報能力、標(biāo)準(zhǔn)預(yù)案、專業(yè)調(diào)查工具、安全響應(yīng)專家為核心的威脅治理防御體系,并通過精密聯(lián)動的方式,終實現(xiàn)包含“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”能力為一體的多層次、立體化的防御體系。
未雨綢繆 打好醫(yī)療衛(wèi)生網(wǎng)絡(luò)安全“保衛(wèi)戰(zhàn)”
對于醫(yī)療機(jī)構(gòu)來說,網(wǎng)絡(luò)安全風(fēng)險往往體現(xiàn)出突發(fā)性、擴(kuò)散性、嚴(yán)重性等典型的特點,特別是在國家重大公共衛(wèi)生事件等特殊時期,醫(yī)療機(jī)構(gòu)面臨的風(fēng)險將成倍增長,也給醫(yī)療機(jī)構(gòu)的安全運(yùn)維人員帶來巨大挑戰(zhàn)。
要更好地防范智慧醫(yī)療系統(tǒng)中交織的傳統(tǒng)威脅與新型威脅,醫(yī)療機(jī)構(gòu)不僅需要做好應(yīng)急網(wǎng)絡(luò)安全管理,還需要設(shè)定長期的建設(shè)規(guī)劃,在遵循等保2.0等規(guī)范要求的基礎(chǔ)上,從制度、科技、管理、技術(shù)等多個角度入手,進(jìn)行持續(xù)的網(wǎng)絡(luò)安全建設(shè),為醫(yī)療網(wǎng)絡(luò)安全提供多重保障。