近日，新加坡遭受了史上最嚴重的網絡攻擊，近150萬人的醫(yī)保資料遭到泄露，這些信息包括病患姓名、國籍、地址、性別、種族和出生日期等，受害者甚至包括新加坡總理李顯龍。此事件折射出在醫(yī)療機構加速數(shù)字化的今天，網絡安全能力的匱乏，已經嚴重影響了全球公民健康數(shù)據的個人隱私，威脅著醫(yī)療機構的數(shù)字資產。亞信安全建議醫(yī)療機構是時候重新審視安全防護體系的有效性，要嚴密關注高級持續(xù)性威脅攻擊(APT)的發(fā)展動向，并建立起全面、立體、有效的網絡安全防護體系。

醫(yī)療機構已經成為網絡攻擊的重要目標

      此次新加坡的醫(yī)保資料泄露事件并不是孤例，事實上，醫(yī)療機構受到攻擊的事件在近年來已經愈演愈烈。2015年，美國第二大醫(yī)療保險公司Anthem就被黑客盜取了該公司超過8000萬客戶和雇員的個人信息。同年，加州大學洛杉磯分校醫(yī)療系統(tǒng)遭遇大規(guī)模的黑客攻擊，大約450萬份客戶醫(yī)療數(shù)據泄露。2018年初，挪威四大區(qū)域醫(yī)療保健組織之一的Health South East RHF遭到網絡攻擊，可能有290萬人成為了事件的受害者。在中國，某部委的醫(yī)療服務信息系統(tǒng)被爆遭到黑客入侵，大量孕檢信息遭到泄露和買賣。

      醫(yī)療數(shù)據大規(guī)模泄露的背后，是網絡地下黑色市場中，醫(yī)療數(shù)據極為珍貴的價值。亞信安全針對網絡地下黑色市場的長期跟蹤也發(fā)現(xiàn)，醫(yī)療數(shù)據在暗網中極受青睞，醫(yī)療信息資料的價格每份35元起步，成為黑客竊取醫(yī)療數(shù)據的巨大動力。利用泄露的患者醫(yī)療數(shù)據，某些醫(yī)院可以根據不同患者的病情，“定制”撥打營銷電話或是推送廣告，電信詐騙者也會利用這些信息進行網絡詐騙，特別是政治人物、明星的醫(yī)療數(shù)據，價格更是難以衡量。

重重防護之下 黑客為什么還是可以得逞？

      正是由于醫(yī)療數(shù)據泄露可能帶來的嚴重后果，很多醫(yī)療機構部署了嚴密的網絡安全體系，關鍵部門與業(yè)務甚至通過物理隔離的方式來進行保護。但是這樣依然沒有阻擋黑客的入侵腳步，醫(yī)療系統(tǒng)遭到攻擊導致數(shù)據泄密或是業(yè)務中斷的事件仍然常有發(fā)生，即使在物理隔離的內網也不能幸免。

      醫(yī)療數(shù)據容易泄露的原因與其流動的特性有關。首先，因為醫(yī)療信息化系統(tǒng)的復雜性，醫(yī)療數(shù)據通常會流經多個系統(tǒng)、跨越多個單位和安全領域，在醫(yī)院的網站、掛號系統(tǒng)、電子病歷系統(tǒng)、醫(yī)療設備、醫(yī)院數(shù)據管理系統(tǒng)等多個應用之間流轉，任何一個節(jié)點的漏洞都可能導致數(shù)據泄露。

      其次，醫(yī)療數(shù)據的高價值讓網絡攻擊者得以進行更加周密的籌劃，他們會選擇更精進、更隱秘的APT攻擊的方式，逐漸滲透到醫(yī)療系統(tǒng)中，伺機尋找竊取醫(yī)療數(shù)據的機會。網絡攻擊者可以在網絡地下黑色市場輕松購買到APT的攻擊程序，他們看準了醫(yī)療衛(wèi)生行業(yè)相對薄弱的安全防護體系，在數(shù)據橫跨的多個系統(tǒng)中尋找攻擊點，這可能包括用戶新籌建的移動醫(yī)療系統(tǒng)、云計算平臺，醫(yī)療設備、物聯(lián)網技術供應商等，這些都超出了傳統(tǒng)數(shù)據防泄露技術的范疇。

      據悉，在新加坡此次醫(yī)保資料泄露事故中，黑客即采用了APT攻擊的方式，首先從新加坡保健服務集團的一臺前端用戶電腦侵入，植入惡意軟件后，再查找集團數(shù)據庫中的病患個人資料，并在6月27日至7月4日期間逐步將數(shù)據滲漏出去。

重壓之下醫(yī)療機構如何保護醫(yī)療數(shù)據

      如何更好的保護醫(yī)療數(shù)據，不僅影響著醫(yī)療機構的數(shù)據資產，也關系著國計民生，亞信安全近期與CHIMA、上海市衛(wèi)生計生委信息中心共同發(fā)布的《中國醫(yī)院信息安全白皮書》指出，解決醫(yī)院信息安全的基本思路要做到“統(tǒng)一規(guī)劃建設、全面綜合防御、技術管理并重、保障運行安全”， 通過安全措施構建縱深的防御體系，對信息系統(tǒng)實行分域保護，以實現(xiàn)業(yè)務安全穩(wěn)定運行，并有效應對網絡安全事件，維護業(yè)務數(shù)據的完整性、保密性和可用性。

      亞信安全產品總監(jiān)白日表示：“網絡安全威脅可能會從各個渠道滲透到醫(yī)療系統(tǒng)中，風險面非常大，任何一個疏忽都可能導致前功盡棄。因此建議醫(yī)療機構建立全面、立體化的網絡安全防護能力，在服務器、網絡、終端等多個層面建立網絡威脅防御能力，防護患者入口網站、電子病歷系統(tǒng)、醫(yī)療終端等各個節(jié)點，防止數(shù)據外泄或資金風險，并滿足網絡安全相關法規(guī)需求。”

      APT攻擊共有六個階段，包括：情報收集、單點突破、命令與控制(C&C 通信)、橫向移動、資產/資料發(fā)掘、資料竊取。這種攻擊方式雖然超越了單點防護產品的功能范疇，但不是說企業(yè)就束手無策。相反，隨時掌握整個醫(yī)療機構網絡的流量情況，并針對APT攻擊階段分別建立威脅“抑制點”、形成安全產品之間的聯(lián)動，將會對APT攻擊起到有效的治理作用。

      攻和防從來都是在悄然無息中暗自腳力，APT攻擊從來都不會坐以待斃。從安全運維角度來看，一個完整的運維體系同樣也包含四個階段：

1.    偵測階段：從日常的海量告警信息中甄別出潛伏最深、最具攻擊性的威脅，并將有限的運維人員投放在最有價值的威脅響應工作中，以避免越來越多的人工干預導致的成本急劇增長，延長響應周期；

2.    分析階段：準確判斷威脅的真實性，并進一步確認威脅的本質以及攻擊者的意圖，回溯攻擊場景，評估威脅嚴重性、影響和范圍，真正做到對威脅的定性定量分析；

3.    響應階段：制定響應預案及工作流，為下一步威脅響應提供策略支撐，在提高自動化響應能力減少人工干預的同時，更節(jié)省成本開銷，降低響應周期；

4.    預防階段：制定高效的預防機制和自我風險評估，做到主動預防的方法、技術和手段可以幫助客戶防微杜漸，避免此類威脅或者新型威脅的入侵。

      針對以上在安全運維中面臨的種種挑戰(zhàn)以及管理者最關心的問題，亞信安全2018下一代威脅治理戰(zhàn)略3.0中提出了“精密編排的網絡空間恢復補救能力SOAR模型”，該模型從安全運維視角出發(fā)，通過SOAR平臺的精密編排能力，先將云管端安全產品（云和虛擬化安全產品Deep Security、高級威脅網絡偵測產品TDA、高級威脅網絡防護產品Deep Edge、高級威脅郵件防護產品DDEI、終端安全防護產品OSCE）提交至現(xiàn)有SIEM/SOC系統(tǒng)的威脅告警做以分類和優(yōu)先級劃分，然后通過高級威脅情報平臺CTIP以及高級威脅分析設備DDAN確認威脅的真實性、本質及意圖，再利用部署在服務器和終端的高級威脅取證系統(tǒng)CTDI對威脅做進一步調查取證、驗傷、以及影響評估，最后按照SOAR預先定義的演練腳本自動化將響應策略下發(fā)給云管端的安全產品Deep Security、Deep Edge以及OSCE做威脅處置和響應，最終形成一套精密編排的安全聯(lián)動運維體系，使得相關機構可以不斷提升網絡空間回復補救能力，抵御形形色色的網絡滲透、攻擊和高級威脅的入侵。

      亞信安全為醫(yī)療行業(yè)用戶提供了完整的上述解決方案，并樹立了江蘇省人民醫(yī)院等一大批標桿案例，攜手各級醫(yī)療機構，共建網絡安全新防線。

標簽： 安全 服務器 腳本 漏洞 數(shù)據庫 通信 網絡 網絡安全 網絡安全事件 網絡安全威脅 信息安全 信息化 云計算 云計算平臺

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。