醫療機構防勒索全向指南
2018年3月期間,國內醫療行業連續發生了兩起嚴重黑客入侵事件:湖南、上海兩地的醫院系統遭到勒索攻擊,黑客要求支付比特幣才能恢復正常。另,據美國非營利性組織身份盜用資源中心(ITRC)的統計數據顯示,醫療健康信息系統的漏洞數佔全行業的43.8%,是黑客首要攻擊目標;也有研究顯示,超過90%的美國醫療保健機構存在數據泄露……
兵馬已動,糧草未先行 —— 這是目前醫療行業數字化轉型所處的狀態。
一方面,網上醫療平台迅速擴張,海量數據開始傳輸,線下的系統、票據開始線上化,醫院被「推著」走向數字化轉型的風口。另一方面,許多醫療機構的IT系統能力和技術能力卻無法跟上在線數據的高速增長,許多醫院的系統版本還停留在「XP時代」,IT技術團隊規模不到5人。
是救死扶傷的醫院,也是勒索攻擊的受害者
醫院之所以頻繁遭遇勒索攻擊,和兩方面的原因有關。
首先是醫療機構在安全能力和意識上的明顯短板,有專職安全工程師的醫療機構鳳毛稜角,很多醫院對安全的理解還停留在「關起門來就安全」的階段;
第二是醫院數據的重要性。價值往往和風險成正比,黑客又是追逐利益的,當醫院的在線數據涉及大量個人隱私,甚至事關患者生命(如果考慮到對智能醫療設備的入侵),則成了眾矢之的。
勒索攻擊者一般都會將醫療機構的挂號系統、住院管理系統、醫療設備、票據設備等,作為入侵的對象,攻陷之後,再將系統加密讓其不可用,或直接盜取數據,又或會將機器加以利用,成為「傀儡」,攻擊其他的受害者。
安全隔離的失效,和「預投資」時代的開始
在複雜的攻擊形勢下,60%的醫療行業的網路安全事故,都是因為同一個誤區:認為隔離就是安全。
然而,把自己關在房子里來躲避災難的邏輯,已經多次證明不奏效。2017年5月席捲全球的勒索病毒WannaCry爆發期間,全球150國,30萬終端受到影響,許多受害的企業,都是只安裝硬體防火牆,和傳統的殺毒軟體—— 把內網圈起來,建一堵牆,堆砌一些安全產品 —— 這樣的思維定式是企業安全最大的短板。
攻擊者並不會按傳統套路出牌。以勒索軟體為例,黑客通過郵件附件、第三方軟體、445埠、漏洞等為突破口,將勒索病毒植入在醫療IT系統中。由於大多數醫療網路防護意識薄弱,病毒進入內網後,一般可長驅直入,不受任何阻礙。即使安裝了傳統的防火牆,它的更新速度也很難趕上新型的漏洞利用手法,和攻擊策略。
在互聯網發展較為領先的地區(江浙滬,北京等地),部分醫療機構也開始了信息安全管理的轉型,強化預先投資的思維,提升企業安全的能力。
(1)在攻擊來臨之前提前部署安全防護措施,而非事後補救,
(2)不迷信物理隔離就是安全,不單純地堆砌安全產品,而是重視持續運營,
(3)更加重視安全投資的ROI,採用新的安全技術,定期更新系統,將安全投資價值最大化。
雲可幫助醫療機構用傳統IT系統1/6的成本,實現計算能力、管理效率、安全水平的三提升。
完善的醫療保護體系應該如何搭建
按照公安部、衛生部和相關國家部門關於信息系統在物理、網路安全運行、信息保密和管理等方面的總體要求,一套完整的醫療行業安全體系,需要基本做到「進不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮」。
也就是說,對於一家想做好安全防護、合規與管理的醫療機構來說,這套理想的安全體系,應該包括:
-基礎設施安全,保障網路周邊環境和物理特性引起的網路設備和線路的持續使用。
-網路連接安全,保障網路傳輸中的安全,尤其保障網路邊界和外部接入中的安全。
-主機系統的安全,保障操作系統、資料庫、伺服器、用戶終端及相關商用產品的安全。
-應用系統安全,保障應用程序層對網路信息的保密性、完整性和信源的真實的保護和鑒別,防止和抵禦各種安全威脅和攻擊手段,在一定程度上彌補和完善現有操作系統和網路信息系統的安全風險。
- 安全管理體系保障,根據國家有關信息安全等級保護方面的標準和規範要求,結合醫療行業的實際情況,建立一套切實可行的安全管理體系。
遵循國家對各行業安全體系的建設要求,阿里雲早在2017年5月就向用戶推出防勒索解決方案,用數據備份、安全治理兩層架構,來為醫療行業提供更加全面的安全防護。
並充分利用雲上的計算能力、演算法能力、威脅情報、產品聯動優勢,幫助IT運維負責人節省安全成本,做好安全管理的「預投資」。
簡單來說,阿里雲防勒索解決方案所提供的核心安全措施如下:
1、數據備份和恢復
這一措施能夠幫助醫療行業把勒索軟體帶來的損失降到最小化,也是每個企業做好日常安全維護的基礎手段,可確保發生勒索事件後,能夠第一時間恢複數據,挽回損失。當然,在此基礎上,醫療機構仍需要對這些數據備份進行安全防護,避免被感染和損壞。在阿里雲上可通過ECS快照功能,RDS數據備份功能,OSS存儲服務備份功能去實現。
2、強化網路訪問控制
幫助醫療機構劃分安全區域,加強對網路的訪問控制。一旦勒索事件發生,安全隔離措施相當於「安全門」,阻止惡意木馬快速蔓延。
3、定期安全測試,發現安全漏洞,減少可能被利用入侵的突破口。阿里雲上主要通過先知眾測服務和漏洞掃描實現。
4、建立全局的外部威脅和情報感知能力,能夠及早發現潛在的威脅(態勢感知);並對醫療機構的IT系統做好基礎防護:例如主機防護和漏洞修復(安騎士)、Web應用攻擊防禦(阿里雲WAF),保障網站核心數據安全。
5、建立應急響應流程和預案,持續化的安全運營。
一個完善的企業安全方案有好的產品仍然不夠,需要專業的安全人員持續運營、管理:阿里雲會為安全運營能力不足的企業和機構推薦安全管家服務,做好每天的安全巡檢並提前發現0day漏洞。同時,也建議醫療機構日常做好IT運維團隊的安全意識培養,養成以下幾個安全運營習慣:
首先,制定並遵循實施IT軟體安全配置,對操作系統(Windows、Linux)和軟體(FTP、Apache、Nginx、Tomcat、Mysql、MS-Sql Server、Redis、MongdoDB、Mecached等服務)初始化安全加固,同時並定期核查其有效性。
第二,為Windows操作系統雲伺服器安裝防病毒軟體,並定期更新病毒庫,確保定期更新補丁;也確保開啟日誌記錄功能,並集中進行管理和審計分析。
第三,確保合理的分配賬號、授權和審計功能,例如:為伺服器、RDS資料庫建立不同許可權賬號並啟用審計功能,如果有條件,可以實施類似堡壘機、VPN等更嚴格的訪問策略。
最後,確保實施強密碼策略,並定期更新維護,對於所有操作行為嚴格記錄並審計;確保對所有業務關鍵點進行實時監控,當發現異常時,立即介入處理。
產業安全扶助計劃:願為醫療機構提供安全公益排查支持
除了防勒索解決方案之外,阿里雲也通過產業安全扶助計劃,為數百家初創公司及公益機構提供含主機安全、網路安全和抗DDoS在內的全套雲安全防護,協助其抵禦網路灰黑產業,平穩度過業務發展初期。
2018年3月開始,阿里雲開始為全國醫療機構提供免費安全排查及策略建議:願以自身多年雲安全防護經驗,幫助醫療提升安全分。
TAG:阿里雲安全 |