在新型冠狀病毒肺炎疫情蔓延的特殊時(shí)期，亞洲服務(wù)器租用，某國外黑客組織卻以“新冠肺炎”話題為誘餌，對(duì)我國有關(guān)政府部門、醫(yī)療機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)攻擊。醫(yī)療機(jī)構(gòu)作為“抗疫”的最前線，在網(wǎng)絡(luò)空間的戰(zhàn)場(chǎng)上同樣面臨著嚴(yán)峻的安全威脅與考驗(yàn)。

亞信安全威脅情報(bào)中心在此期間對(duì)醫(yī)療行業(yè)網(wǎng)絡(luò)安全進(jìn)行了緊密的監(jiān)控，更在近期發(fā)布的《亞信安全2019威脅情報(bào)態(tài)勢(shì)分析》報(bào)告中對(duì)相關(guān)事件進(jìn)行了分析。數(shù)據(jù)顯示，疫情期間的醫(yī)院攻擊事件，其中有多起是勒索黑產(chǎn)利用冠狀病毒熱點(diǎn)事件，VPS租用，針對(duì)醫(yī)療機(jī)構(gòu)個(gè)人的網(wǎng)絡(luò)釣魚。攻擊者瞄準(zhǔn)醫(yī)務(wù)人員的個(gè)人郵箱，以“新型冠狀病毒感染引起的肺炎的診斷和預(yù)防措施”為附件，誘導(dǎo)攻擊目標(biāo)打開、下載并啟用攻擊文件，一旦電腦被感染，病毒會(huì)進(jìn)行橫向移動(dòng)，感染更多網(wǎng)絡(luò)中的機(jī)器。

醫(yī)療系統(tǒng)更智慧，數(shù)據(jù)安全環(huán)境卻更復(fù)雜

疫情期間，各大廠商和醫(yī)院均上線了互聯(lián)網(wǎng)“疫情”數(shù)據(jù)采集工具，用于監(jiān)測(cè)并收集各地人員的健康情況，龐大的數(shù)據(jù)量有助于疫情的分析和控制，但是安全威脅也悄然而至。

隨著數(shù)字化建設(shè)的不斷快速推進(jìn)，我國醫(yī)療機(jī)構(gòu)日常的數(shù)據(jù)量是相當(dāng)龐大的，來源包括PC終端、基礎(chǔ)網(wǎng)絡(luò)和數(shù)據(jù)中心，以及智能監(jiān)測(cè)儀、醫(yī)護(hù)查床平板、健康跟蹤手環(huán)等新型物聯(lián)網(wǎng)醫(yī)療設(shè)備等，所產(chǎn)生的都是敏感度相當(dāng)高的數(shù)據(jù)。

然而《亞信安全2019威脅情報(bào)態(tài)勢(shì)分析》報(bào)告顯示，很多醫(yī)療機(jī)構(gòu)目前依然沿用傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)，加之大量數(shù)字化設(shè)備都廣泛存在的安全漏洞問題，以及相關(guān)人員安全意識(shí)薄弱等問題，任何的安全疏漏都可能帶來全局性的網(wǎng)絡(luò)安全威脅。醫(yī)療機(jī)構(gòu)所面臨的安全挑戰(zhàn)是如此嚴(yán)峻。

勒索RaaS崛起，醫(yī)療行業(yè)成為重災(zāi)區(qū)

敏感且大量的醫(yī)療數(shù)據(jù)對(duì)于不法分子而言意味著巨大的商業(yè)價(jià)值。隨著近幾年勒索軟件黑產(chǎn)，尤其是勒索即服務(wù)(RaaS)的興起和泛濫，讓醫(yī)療行業(yè)成為全球勒索黑產(chǎn)攻擊的重災(zāi)區(qū)。據(jù)亞信安全威脅情報(bào)中心的數(shù)據(jù)，2019全球醫(yī)療衛(wèi)生行業(yè)的勒索攻擊事件往往涉及的單筆贖金金額是非常巨大的，而且成功率相對(duì)很高，其中僅美國的醫(yī)療機(jī)構(gòu)在2019年就損失了約40億美元。

而勒索一旦發(fā)生，成千上萬病人的個(gè)人資料、病例、藥方、學(xué)術(shù)報(bào)告等重要醫(yī)療衛(wèi)生資料被惡意計(jì)算機(jī)病毒加密成一個(gè)不可查看到文件，不僅造成系統(tǒng)癱瘓、病例丟失，更嚴(yán)重的是會(huì)威脅到患者的生命。

抗擊勒索黑產(chǎn)的戰(zhàn)役，連貫全面的系統(tǒng)級(jí)防護(hù)是關(guān)鍵

面對(duì)勒索病毒所帶來的危害，亞信安全認(rèn)為一個(gè)連貫的防護(hù)措施必不可少，通過部署貫穿勒索攻擊事前、事中和事后的安全舉措，建立全面的信息安全防護(hù)體系，才能夠以最有效的方式減少損失，降低風(fēng)險(xiǎn)。

勒索攻擊的事前防護(hù)，首先要加強(qiáng)人員的網(wǎng)絡(luò)安全教育。在如今的勒索攻擊中，以社交工程為誘餌的攻擊最為普遍和難防，因此要首先“以人為本”，加強(qiáng)防范意識(shí)并提高警惕。其次，對(duì)于重要文件和數(shù)據(jù)要采用“數(shù)據(jù)備份三二一原則”進(jìn)行定期非本地備份。此外，還要加強(qiáng)醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)控制，關(guān)閉不必要的網(wǎng)絡(luò)端口，并禁止服務(wù)器主動(dòng)發(fā)起對(duì)外部連接請(qǐng)求，以降低不法分子侵入內(nèi)網(wǎng)實(shí)施攻擊的成功率。

在事中防范環(huán)節(jié)，部署郵件防護(hù)產(chǎn)品是抗擊勒索的第一道防線。事實(shí)證明，80%的勒索攻擊始于社交工程郵件，這類郵件通常含有傳統(tǒng)郵件或終端安全產(chǎn)品無法偵測(cè)的惡意附件或 URL，成為傳統(tǒng)郵件網(wǎng)關(guān)的盲點(diǎn)，因此亞信安全建議部署擁有勒索防御和沙箱監(jiān)測(cè)能力的高級(jí)郵件防護(hù)產(chǎn)品予以應(yīng)對(duì)。而隨著勒索病毒技術(shù)的演變，繞過傳統(tǒng)靜態(tài)監(jiān)測(cè)的攻擊手段也越來越多，因此在事中防范的環(huán)節(jié)，還需要加持機(jī)器學(xué)習(xí)和行為分析的技術(shù)手段，進(jìn)而能夠及時(shí)終止加密執(zhí)行程序，并將終端設(shè)備進(jìn)行隔離。

面對(duì)防御勒索病毒的復(fù)雜環(huán)境，還需要知己知彼。防御理念要從傳統(tǒng)“知防不知攻”的被動(dòng)防御向“知防知攻”的縱深積極防御轉(zhuǎn)變，這就需要在事后環(huán)節(jié)建立全面的信息安全防護(hù)體系，即包含威脅情報(bào)能力、標(biāo)準(zhǔn)預(yù)案、專業(yè)調(diào)查工具、安全響應(yīng)專家為核心的高級(jí)威脅治理防御體系，并通過精密聯(lián)動(dòng)的方式，最終實(shí)現(xiàn)包含“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”能力為一體的多層次、立體化的防御體系。

未雨綢繆 打好醫(yī)療衛(wèi)生網(wǎng)絡(luò)安全“保衛(wèi)戰(zhàn)”

對(duì)于醫(yī)療機(jī)構(gòu)來說，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)往往體現(xiàn)出突發(fā)性、擴(kuò)散性、嚴(yán)重性等典型的特點(diǎn)，特別是在國家重大公共衛(wèi)生事件等特殊時(shí)期，醫(yī)療機(jī)構(gòu)面臨的風(fēng)險(xiǎn)將成倍增長(zhǎng)，也給醫(yī)療機(jī)構(gòu)的安全運(yùn)維人員帶來巨大挑戰(zhàn)。