醫院勒索病毒防護方案
作者:啟明星辰技術中心行業營銷部
2021-03-09
業務背景
國家對網絡安全越來越重視�����,一旦發生網絡安全事件壓力通過網安——衛健委——分管院長層層傳遞�,而傳統安全體系讓信息科無法有效了解內部安全情況��,兩眼一摸黑����,無法回應領導“我就是要絕對安全”的要求�。醫療行為的特殊性決定了醫療數據的真實性��,包含患者的姓名���、年齡�����、居住地址��、電話��、病史�、銀行賬戶等信息���,蘊含著重要的財富價值�,成為了不良黑客的香餑餑���。另外醫療數據的重要程度可以與銀行相媲美����,對數據和業務的實時性要求很高���,用信息科的話說要達到:數據一點不能丟�,業務一刻不能停��。所以����,一旦數據被加密���,無論面對焦急等待就醫的患者�,還是面對上級部門的問責�,都讓醫院壓力倍增����,不惜代價先把數據恢復再說����。勒索病毒得手如此容易��,也讓黑客樂此不疲��。
醫院內網PC客戶端較多����,且多數無密碼�、缺少補丁��,殺毒軟件安裝情況參差不齊�����,導致無法進行有效的安全管理�����,基本處于“裸奔”狀態���。醫療行業特殊性導致445�、3389無法關閉����,無法從根源阻斷勒索����、挖礦病毒的傳播途徑����。
隨著醫院發展�,采購各類醫療設備較多����,操作系統過時的醫療設備也是網絡攻擊者的重要途徑����。很多醫療設備質量優質����,運行時間長�����,有些能夠保證運行十年以上���。醫療設備操作系統過時�����,存在先天安全漏洞����,由于醫療設備的特殊性這些漏洞往往不能及時修復���,網絡攻擊者便有了可乘之機��。
安全需求
? 構建完整防御架構��,有效進行風險識別與預測���;
? 全天候持續安全檢測能力���;
? 全面威脅精準阻斷及全方位響應與溯源能力��;
? 實現實時數據備份與恢復�����;
? 提高全院人員安全意識����。
解決方案
結合勒索病毒特性���、攻擊原理�����、用戶現狀等方面分析��,用戶已經具備一定的安全防護措施���,但在對于勒索病毒的檢測和響應方面����,仍存在諸多不足����。本方案將借鑒IPDRR架構來逐步建立用戶風險識別能力�、安全防御能力��、安全檢測能力�、安全響應能力與安全恢復能力��,最終實現風險可視化���,防御主動化��,響應自動化的安全目標���,保障用戶業務的安全����。
本架構方法論參考了NIST Cybersecurity Framework��,SABSA��,ISO27000���,Gartner等報告資料�����。在這樣的背景下����,基礎架構安全是基石��,持續監控分析是核心�����。之后����,基于IPDRR能力框架實現“事前�����、事中���、事后”的全過程覆蓋�,從原來以防護能力為核心的模型�,轉向以檢測能力為核心的模型�����,最終形成安全問題閉環�。
1. 事前-風險識別與預測
識別用戶有線�、無線網絡的環境���、資產情況�����、互聯網暴露的端口���、服務�、地址等等一系列內容信息���。以便在勒索病毒出現的第一時刻能夠快速明確自身網絡所面臨的風險情況�。
2. 事前-攻擊防御
從前期風險識別的各個層面���,開展針對勒索病毒的網絡安全加固及防護措施���。
3. 事中-持續安全檢測
即便我們采取了很多安全防御措施���,但是事實上沒有攻不破的網絡,也沒有絕對的安全���,我們采取的一系列措施只是為了提高攻擊者的攻擊門檻��,所以我們還應加強網絡安全檢測能力�,以應對勒索病毒以其他方式突破我們防線的潛在隱患�。
4. 事后-快速響應與恢復
針對層層防御���、層層檢測的手段���,那也沒辦法絕對的避免安全事件的發生�,因為攻擊者與防守者本來就處在一個長期對抗的過程中�����。所以為了盡可能將安全事件造成的影響降到最小�,我們應建立有效的響應手段及數據備份與恢復措施���,尤其是針對勒索病毒這樣目的性極強的攻擊����,我們需要限制事件的全網擴散���,防止數據被惡意刪除破壞等����。
整體部署示意圖:
涉及產品及服務:
天清漢馬下一代防火墻(AV模塊)�,天珣終端安全�,景云服務器安全�����,APT檢測�,態勢感知平臺����,超融合探針��,天清無線安全�,漏洞掃描(三合一)�����,天清網絡接入控制系統��,書生云ARS災備系統���,郵件安全管理系統�,頁面防篡改���,應急響應服務���,運維值守服務�,安全意識教育等�����。
方案優勢
? 找不著
事前�,通過暴露面識別��,從資產����、配置管理���、漏洞管理等維度���,全方位的明確自身存在的風險點與暴露面�����,然后基于威脅情報賦能��,全網態勢威脅預測����,精準的把握風險���,在攻擊者發起攻擊之前進行事前封堵����,減少攻擊面���,讓攻擊者無處可尋����。
? 進不來
事前����,在邊界出口�����、互聯網應用��、有線無線�、補丁與配置����、人員安全意識教育等多層面來做的一系列加固工作����,保證無論攻擊者是采用社工釣魚���、還是暴力破解�����、還是漏洞利用均無法輕易突破防護內部防護體系����。
? 動不了
事中��,在主機層面���、橫向與縱向流量����,及無線層面開展攻擊威脅的檢測工作�,通過態勢感知系統構建統一監測體系���,配套專業的安全值守人員���,全天候進行事件的綜合研判分析����。
事后����,基于產品與產品之間協同聯動處置能力���,實現一鍵封堵查殺��。最終通過專業應急響應服務����,來對事件進一步分析溯源與取證���。
確保潛伏在網絡內部的攻擊者動不得�、不敢動�����。
? 賺不著
事后�����,基于日常的數據備份措施及專業的應急響應服務支撐����,保證即便被攻擊者成功加密的數據���,也可以最終得到挽回����,讓攻擊者無利可圖�,攻擊目的功虧一簣��。而不需要面臨巨大不確定性�,花費巨額資金支付贖金�����。
京公網安備11010802024551號