从“看得见”到“管得住” 数字化时代医院如何克服勒索攻击恐惧症?
作者:星期三, 六月 30, 20210

医院,是治病救人的场所,然而面对勒索病毒这一肆虐网络世界的“流行病”,医院几乎束手无策,甚至成为主要受害者。

“网络攻击的形式手段有很多,但让我们医院最有切肤之痛的,当属勒索病毒攻击。”虽然事隔数年,安徽医科大学第二附属医院信息中心主任王慧姮仍然对当年的“永恒之蓝”勒索病毒攻击事件心有余悸。而正是这场席卷全球150个国家近20万台电脑的勒索病毒,让包括医疗在内的各行各业,对网络攻击有了空前的认知。

据王慧姮主任回忆,在2017年5、6月份,安徽省各主要医院大范围中招,“虽然没有给我们造成灾难性伤害,但我们用了两周时间、二三十人去清理,包括更换了部分电脑,才彻底清除了这轮勒索病毒的影响。还有些医院花了几乎三四年的时间,才恢复丢失的数据,其业务和人力损失无法估算。”

前事不忘,后事之师。在经历过勒索攻击等事件之后,安徽医科大学第二附属医院(简称:安医大二附院)、安徽医科大学第四附属医院(简称:安医大四附院)这两家兄弟医院,充分意识到要保障医院业务平稳运行,提升网络安全防护水平迫在眉睫。

日益猖獗的勒索攻击 成了扑不灭的“流行病”

勒索攻击,最早出现于1989年,AIDS trojan是世界上第一个被载入史册的勒索病毒,从而开启了勒索病毒的时代。

时至今日,勒索攻击愈演愈烈,美国最大的燃油管道运营商科洛尼尔 (Colonial Pipeline)、全球最大肉类加工商JBS公司、美国最大传媒集团之一考克斯媒体集团(Cox Media)等巨头近期纷纷中招,断油、断肉、断播……勒索攻击造成的危害屡次占据媒体头条,以至于美国政府将其与恐怖袭击并列。

由于医疗行业的重要性与特殊性,以及对信息化的高度依赖,使其经常成为勒索攻击的目标。2020年9月,德国杜塞尔多夫的一家医院遭勒索软件攻击,该医院的关键入院和病人记录系统被离线,导致一位紧急入院病人在被迫转院途中耽误救治时间而亡;2021年5月,爱尔兰公共资助医疗系统HSE受到勒索病毒攻击,700GB重要数据被窃,导致该国家多家医院的服务取消和中断,新冠病毒检测工作受到影响……尤其是去年新冠疫情全球蔓延以来,针对医院的网络攻击急速增加。根据Check Point Research(CPR)最新报告显示,医疗行业成为勒索软件攻击的头号重灾区,每个组织平均每周遭受109 次攻击。

“我们是三甲医院,拥有2000多个各种终端,仅机房就有53个应用系统,但IT加上网络安全人员仅7个人,人手非常紧缺,安全力量比较薄弱。” 王慧姮主任谈到,“我们迫切需要实现网络安全管理和技术水平 ‘双提升’,避免遇到勒索攻击时手忙脚乱。”

安医大二附院信息中心工程师朱全回忆了这样的细节:2019年,医院更新服务器被病毒感染,导致医院的exe文件全部隐藏起来,并生成一个同名的、文件大小只有几十K的exe文件,结果所有更新软件的电脑,都不能正常使用应用程序,严重影响医院业务。当时因为没有态势感知与安全运营平台(NGSOC),查找起来很麻烦,最后还是在更新服务器上抓包找到了源头,才把问题彻底解决。

“我们需要提前感知危险在哪里,及早预警和处置,而非事后的亡羊补牢。”安医大四附院信息中心主任杨爱民也有同样的感受。从2017年的永恒之蓝,到后续屡次发生的安全事件,都加速了两家医院的网络安全建设进程。

仅靠产品堆砌还不够 医院网络安全建设面临三大痛点

   王慧姮主任认为,在网络安全建设的道路上,合规驱动和业务需求,两个力量缺一不可。2017年《网络安全法》颁布,从政策法规上,要求医院对网络安全工作加倍重视。因此,两家医院都上线了边界安全、准入、终端安全、上网行为管理、审计类等各类安全产品,然而在实际工程中,这种安全产品堆砌类的方式,效果并不尽如人意,集中表现在以下方面。

首先是“孤岛”作战、缺少联动,安全防护能力没有充分发挥出来。

在部署NGSOC之前,两家医院都遇到一个普遍问题:虽然已经部署了大量的安全设备,包括边界安全、终端安全、上网行为管理、漏扫、审计等,但各设备之间相互孤立、单兵作战,日常运维、事件回溯更是因设备太多而无从下手。

杨爱民主任谈到了安医大四附院面临的困惑:面对层出不穷的新攻击手法与高度组织化的黑客行为,医院的内网安全产品还停留在“孤岛”作战的状态。在流量侧,对于加密流量缺乏有效的检测与防御方法;在终端侧,对于基于0day漏洞、高度定制化的恶意应用缺乏有效的查杀手段,因此在解决此类高级威胁方面,协防联动已经成为两家医院的共同诉求。

其次是检测和响应滞后,导致风险激增。

勒索病毒是“自我进化能力”最强的网络安全威胁之一,不仅在持续产生新的变种,其攻击手法也在不断变化,从钓鱼邮件攻击,到网站恶意代码入侵,再到社会工程学,各种高级威胁的技术手段在勒索攻击得到复合型应用。而传统的安全技术手段,大多是利用已知攻击特征进行静态规则匹配,因此对于勒索攻击等高级威胁,现有的安全防护体系无论是在威胁的检测、发现还是响应等方面都存在严重不足。

杨爱民主任特别指出,在处置响应环节,由于边界防护设备分布在不同的安全域和分支机构,不同的运维审计类产品部署在不同的安全域,还有端点的防病毒和安全准入,以及数以千计的资产,通过人工处置告警显然是困难重重,容易遗漏,这些都造成了巨大的潜在风险。

第三是缺乏可视化的管理手段,无法整体掌控态势。

网络安全攻防,唯有知彼知己,才能掌握主动。项目实施之前,在两家医院的安全体系中,大量的安全监测结果只是单一维度的反映某个系统存在相关问题,呈现的方式也多种多样,并没有针对海量的安全数据进行统一可视化展现,无法整体掌控网络安全的态势,给安全管理造成较大的门槛和成本。

强联动、早处置、易管理 NGSOC效果立竿见影

网络安全建设是一个长期的过程,随着2020年等保项目的实施,态势感知与安全运营被列上日程。两家医院本着“安全是第一位”的理念,以及高标准的要求,对多家安全厂商进行整体比较和严格评估,最终选择了综合实力更强,且更适合医院业务现状的奇安信态势感知与安全运营平台(NGSOC)。

图:医院态势感知与安全运营方案总体架构

经过两家医院一年来的实践,NGSOC很快在以下方面收到了立竿见影的效果。

第一是告别各自为阵,变被动防御为积极防御。

目前部分针对性的勒索攻击,从攻击手法上看完全是APT级别的,需要多个产品联动才能及时阻止。对于这种情况,NGSOC能通过数据联动将内网各安全设备协同起来,实现内网安全的全面监测与防护,帮助用户及时发现感染勒索病毒的主机和服务器,尽可能将影响降到最低。

同时,NGSOC还可利用本地的大数据平台对各阶段的检测结果进行存储与分析,为完整回溯安全事件提供数据基础,推动医院的安全建设从被动防御阶段向积极防御阶段演进。

第二是提前发现攻击,实现料敌于先,早处置降低风险。

图:基于NGSOC的威胁闭环管理

“正所谓‘聪者听于无声,明者见于未形’,全天候、全方位感知网络安全态势,是安医大二附院网络安全管理建设的重要目标。”王慧姮主任谈到。面对勒索病毒等高级攻击形式,NGSOC搭载的分布式关联分析引擎具备强大的数据分析能力,能够更快地发现隐藏在各类日志中的安全问题。尽早发现威胁,可以为快速弥补安全问题提供宝贵的时间窗口,显著降低安全风险。尤其是对医院而言,勒索病毒无疑是潜在的炸弹。早一分钟解除威胁,就可能从死神手中多抢回一条生命。

第三是更友好的可视化界面,便于管理控制。

产品好不好,用起来是关键。朱全表示,“安全管理并不如网络、业务等内容更容易被管理者理解,因为安全所涉及的技术内容纷繁复杂,存在天然的技术屏障。因此,通过直观、清晰的图形展示,可以帮助管理者快速理解并判断当前安全态势。”

图:医院综合安全态势

使用NGSOC后,医院可以直接通过态势感知大屏直观地查看医院网络内部不同资产组的风险分布,相关风险值会在逻辑拓扑上直接映射,以可视化的形式呈现在大屏幕上。外部威胁的攻击态势则能直接以地图展示的方式帮助管理者理解外部攻击的主要来源地、主要的外部攻击分类、本地最容易被攻击的资产等信息。所有态势感知的展示都可实时刷新,及时将最新的安全态势呈现在管理者眼中。

杨爱民主任也对NGSOC的可视化和易用性记忆深刻,“奇安信态势感知与安全运营平台设计符合我们的操作方式,界面很友好,功能很齐全,运行速度也很快,可以使我们网络环境的安全态势一目了然。”

打造常态式、闭环式安全运营 将勒索攻击拒之门外

再先进的安全产品,也离不开专业的安全运营团队。对此,两家医院对奇安信的安全运营尤其是远程运营印象深刻,“奇安信每月提交一次态势感知与安全运营的安全分析报告,对于全网安全态势进行了详细的分析,总结了网内主要攻击源和高风险主机,这帮助我们加固网络安全提供了很大的帮助。尤其在疫情期间,奇安信为医院提供远程运营服务,避免了高风险时期的直接接触,保障了医院在特殊时期系统的稳定运行。”

威胁等级占比

每日告警等级与数量分布

告警趋势图

以上三图:医院安全运营报告之整体告警情况

当今,勒索攻击已经成为网络空间的流行病。来自安全机构的一份预测,2021年预计每11秒将发生一次勒索攻击,全年将超过300万次,造成损失或达数千亿美元。两家医院一致认为,要预防“勒索流行病”,仅靠产品还是不够的,只有将人、数据、工具和流程有机结合起来,建立常态化、闭环管理的安全运营体系,才能将勒索攻击等威胁拒之门外,保障医院业务的正常运转和数据安全。


相关文章