|
近一段時(shí)間以來(lái)���,醫(yī)療行業(yè)感染勒索病毒的消息屢見(jiàn)報(bào)端��,我和我的同事這兩年來(lái)直接或協(xié)助處理的醫(yī)院用戶就將近100家���。 從2017年開(kāi)始的永恒之藍(lán)病毒開(kāi)始�����,就有大面積的醫(yī)院被攻擊導(dǎo)致系統(tǒng)藍(lán)屏����,業(yè)務(wù)中斷����。當(dāng)時(shí)我還專門(mén)寫(xiě)過(guò)一篇公眾號(hào)文章《小心,一大波病毒來(lái)襲?。?/a>》���。 之后����,2018年春節(jié)過(guò)后從某省兒童醫(yī)院文件被加密開(kāi)始,越來(lái)的越多的醫(yī)院數(shù)據(jù)開(kāi)始被勒索��,不管是gandcrab還是Globe Imposter�����,黑客要的贖金越來(lái)越高�,勒索起來(lái)也越來(lái)越得心應(yīng)手?�!?a target="_blank">注意:新一輪勒索病毒攻擊醫(yī)院行業(yè)》 2019年初����,Globe Imposter3.0的變種又一次席卷全國(guó),某省互聯(lián)互通平臺(tái)上連接的幾十家醫(yī)院同時(shí)被加密���?����!?a target="_blank">關(guān)于近期醫(yī)院感染勒索病毒情況的通報(bào)》 
大家都在問(wèn)同一個(gè)問(wèn)題,為什么醫(yī)療行業(yè)會(huì)成為病毒攻擊的重災(zāi)區(qū)呢�?
(1) 為什么是醫(yī)院? 其實(shí)仔細(xì)分析一下也不難理解�,用一句話形容就是: 如幼兒抱赤金行于鬧市 這里有三個(gè)關(guān)鍵字: 幼兒���、赤金、鬧市 一�����、數(shù)據(jù)如赤金——價(jià)值高 醫(yī)院的數(shù)據(jù)都是患者的就醫(yī)信息�����,一旦出現(xiàn)問(wèn)題���,將會(huì)帶來(lái)極其嚴(yán)重的后果��,如果按照衛(wèi)健委對(duì)醫(yī)院安全的要求����,其對(duì)數(shù)據(jù)的重要程度可以與銀行相媲美���,對(duì)數(shù)據(jù)和業(yè)務(wù)的實(shí)時(shí)性要求很高���,用信息科的話說(shuō)要達(dá)到:數(shù)據(jù)一點(diǎn)不能丟,業(yè)務(wù)一刻不能停���。所以�����,一旦數(shù)據(jù)被加密�����,無(wú)論面對(duì)焦急等待就醫(yī)的患者����,還是面對(duì)上級(jí)部門(mén)的問(wèn)責(zé),都讓醫(yī)院壓力倍增��,不惜代價(jià)先把數(shù)據(jù)恢復(fù)再說(shuō)����,得手如此容易,也讓黑客樂(lè)此不疲��。 二����、防護(hù)如幼童——防護(hù)差 然而,與這么高的要求相對(duì)應(yīng)的卻是很多醫(yī)院的重視程度并不高�����。我說(shuō)的不重視主要體現(xiàn)在以下幾個(gè)方面: 1�����、信息科地位低�����。在很多醫(yī)院里��,信息科的工作就是修電腦的����,一些醫(yī)院的信息科還要隸屬于辦公室或者其他部門(mén)管理,一些醫(yī)院的信息科只負(fù)責(zé)服務(wù)器���,所有的PC都不歸他們管�����,電腦的采購(gòu)和維護(hù)都由設(shè)備科負(fù)責(zé)�,而這些機(jī)器往往是問(wèn)題最多的����,最容易成為黑客攻擊的跳板�����。 2�����、信息科技術(shù)人員缺乏�����。在一些醫(yī)院��,信息科往往是各領(lǐng)導(dǎo)安排親屬的首選�����,因?yàn)樵谒麄兛磥?lái)�,其他科室都要求有醫(yī)學(xué)專業(yè)的要求��,而信息科是最閑的一個(gè)科室���,所以有什么親戚啥的要進(jìn)醫(yī)院都會(huì)優(yōu)先考慮信息科�,因此,看似信息科人員編制不少��,但真正能干活的沒(méi)有幾個(gè)人����。專業(yè)的安全人員更少了����。 3、不舍得投入資金�。有一次去參加一個(gè)會(huì)議的時(shí)候,一個(gè)主管院長(zhǎng)上臺(tái)時(shí)就說(shuō):“以前的時(shí)候�,醫(yī)院要買醫(yī)療設(shè)備,幾百萬(wàn)的設(shè)備我都不猶豫�,因?yàn)槲铱吹降亩际鞘杖耄颗囊粡埰泳褪嵌嗌馘X(qián)����,我能算出來(lái)。但如果讓我在信息和安全方面投入�����,花幾萬(wàn)塊錢(qián)我都會(huì)考慮半天,這事不花錢(qián)能不能做下來(lái)����。直到后來(lái)醫(yī)院出了幾次事我才意識(shí)到安全的重要性”。我想這個(gè)院長(zhǎng)的話代表了很多領(lǐng)導(dǎo)的想法���,在沒(méi)有出事之前�,很多領(lǐng)導(dǎo)都是抱著這個(gè)想法的����。但這種事不出則已,一出都是大事啊�,不管是數(shù)據(jù)損失還是業(yè)務(wù)停止,對(duì)醫(yī)院來(lái)說(shuō)都是不可承受之重�����。面對(duì)幾乎同金融領(lǐng)域同等重要的數(shù)據(jù)����,付出卻是銀行的N分之一,還想要達(dá)到同樣的效果���,這不是讓巧婦難為無(wú)米之炊嘛���。 4���、采購(gòu)時(shí)沒(méi)有話語(yǔ)權(quán)。安全是一個(gè)相對(duì)專業(yè)的領(lǐng)域����,不同產(chǎn)品的性能差別也很大,但很多醫(yī)院采購(gòu)時(shí)信息中心往往沒(méi)有什么發(fā)言權(quán)�����,領(lǐng)導(dǎo)或者采購(gòu)部門(mén)把價(jià)格做為唯一的標(biāo)準(zhǔn)(當(dāng)然了���,這個(gè)不是醫(yī)院特有的),在領(lǐng)導(dǎo)看來(lái)�����,都叫殺毒軟件����,所以殺毒效果都是一樣的,都叫存儲(chǔ)����,所以性能是沒(méi)有區(qū)別的�����。一分價(jià)錢(qián)一分貨這個(gè)淺顯的道理在這里也是適用的����,專業(yè)的產(chǎn)品肯定比不專業(yè)的貴��,專業(yè)的服務(wù)肯定比不專業(yè)的服務(wù)收費(fèi)高���。就象醫(yī)院一樣�,三甲醫(yī)院和鄉(xiāng)鎮(zhèn)醫(yī)院收費(fèi)不一樣��,普通小病可能都可以看���,但如果有了大病����,區(qū)別也就出來(lái)了����。 5����、網(wǎng)絡(luò)邊界模糊�����。普通的網(wǎng)絡(luò)基本也就是只有一個(gè)互聯(lián)網(wǎng)出口���,防范相對(duì)簡(jiǎn)單好多���,而對(duì)于醫(yī)院網(wǎng)絡(luò),雖然他們自稱為內(nèi)網(wǎng)����,不連互聯(lián)網(wǎng)��,但實(shí)際上����,很多醫(yī)院都是內(nèi)外互聯(lián)的,有些信息中心或者領(lǐng)導(dǎo)的電腦都是可以同時(shí)上內(nèi)網(wǎng)也可以上外網(wǎng)的�。這些內(nèi)外互聯(lián)的電腦就很容易成為黑客進(jìn)攻的跳板。除此之外���,醫(yī)院的網(wǎng)絡(luò)還要連接衛(wèi)健委����、新農(nóng)合、醫(yī)保平臺(tái)����、遠(yuǎn)程醫(yī)療、微信(支付寶)平臺(tái)等很多外部網(wǎng)絡(luò)��,這都導(dǎo)致網(wǎng)絡(luò)被黑客和病毒攻擊的風(fēng)險(xiǎn)大增���。
6�、網(wǎng)絡(luò)安全策略不當(dāng)��。很多單位買的有不少的安全設(shè)備���,但沒(méi)有用好���,比如,很多單位買的有防火墻�,但里面幾乎是透明模式,沒(méi)有什么安全策略��。有的單位買的有殺毒軟件,但在服務(wù)器上不裝��,補(bǔ)丁也不打�,說(shuō)是應(yīng)用廠商不讓?��;蛘哔I了不少設(shè)備��,但密碼卻是類似12345678這樣的弱口令��,等等��。 7���、只強(qiáng)調(diào)外對(duì)內(nèi)的攻擊保護(hù),沒(méi)有對(duì)于來(lái)自內(nèi)部攻擊的檢測(cè)和響應(yīng)措施����。默認(rèn)外部都是危險(xiǎn)的����,內(nèi)部都是安全的。所以黑客一旦進(jìn)入內(nèi)網(wǎng)之后恣意妄為�,卻沒(méi)有什么預(yù)警的措施�。目前很多單位采用的都是老三樣中的防火墻和入侵檢測(cè)設(shè)備���,主要檢測(cè)外部對(duì)內(nèi)部發(fā)起的攻擊����,但對(duì)于網(wǎng)絡(luò)內(nèi)部的各種攻擊行為并不能做到很好的檢測(cè)和預(yù)警���,這也目前存在的一個(gè)重要薄弱環(huán)節(jié)�,很多攻擊都是黑客通過(guò)控制內(nèi)網(wǎng)的一臺(tái)肉機(jī)從內(nèi)網(wǎng)對(duì)網(wǎng)絡(luò)進(jìn)行掃描和攻擊����,而這種攻擊網(wǎng)關(guān)處的安全設(shè)備是檢測(cè)不到的。 三��、外部如鬧市——壞人多����。 現(xiàn)在有些勒索病毒采用RAAS(勒索即服務(wù))的模式運(yùn)營(yíng)。在暗網(wǎng)上也有人專門(mén)提供類似的服務(wù)��。
有完整的黑色產(chǎn)業(yè)鏈��、暴利����、使用比特幣難以追蹤�,這些條件讓越來(lái)越多的人挺而走險(xiǎn)���。
我個(gè)人估計(jì)�����,很未來(lái)很長(zhǎng)一段時(shí)間內(nèi)���,勒索病毒依然會(huì)是威脅我們網(wǎng)絡(luò)和數(shù)據(jù)安全的最大隱患之一。 (2) 中招了我該怎么辦����? 萬(wàn)一單位被攻擊,我們應(yīng)該如何處理呢�?建議應(yīng)急處理步驟如下: 1、隔離:快速將中毒機(jī)器從網(wǎng)絡(luò)中隔離開(kāi)����,比如斷開(kāi)網(wǎng)線�。如果不能斷開(kāi)網(wǎng)線就及時(shí)關(guān)閉各主機(jī)的445和3389端口。這里我要強(qiáng)調(diào)一下����,關(guān)閉端口并不是要在防火墻或交換機(jī)上關(guān)閉就完了��,要關(guān)閉每一臺(tái)主機(jī)的相應(yīng)端口��,建議部署有防火墻功能 的終端安全軟件�,這樣可以統(tǒng)一下發(fā)策略快速關(guān)閉�。(《防黑必備技能之端口篇(3)》) 2、取證:中毒之后��,因?yàn)橹被謴?fù)業(yè)務(wù)和數(shù)據(jù)�����,所以很多人選擇格式化系統(tǒng)重新部署系統(tǒng)����,我可以理解大家的心情,但建議大家在恢復(fù)之前一定要等應(yīng)急響應(yīng)人員去做完相關(guān)的取證工作之后再開(kāi)始恢復(fù)工作�����。只有經(jīng)過(guò)取證分析����,才可以知道這次被感染的原因何在��,才能做好防御措施避免下次被再次加密���。如果分析時(shí)間較久,建議采用磁盤(pán)鏡像軟件(如acronis)對(duì)整盤(pán)做鏡像����,然后恢復(fù)到虛擬機(jī)中慢慢的進(jìn)行取證分析。但千萬(wàn)不可以直接把系統(tǒng)格式化���。 3�、加固:檢查其他還沒(méi)有中毒的機(jī)器�,對(duì)于沒(méi)有打補(bǔ)丁的趕緊打補(bǔ)丁,沒(méi)有安裝殺毒軟件的馬上安裝殺毒軟件���,有弱口令的趕緊改����。 4���、殺毒:安裝專業(yè)殺毒軟件對(duì)內(nèi)網(wǎng)電腦(包括工作站和服務(wù)器)進(jìn)行全網(wǎng)掃描�����,及時(shí)清除網(wǎng)內(nèi)病毒���。 5、恢復(fù):利用之前的備份恢復(fù)業(yè)務(wù)或者聯(lián)系廠商對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行重建���。利用之前的備份或者聯(lián)系黑客(不建議)對(duì)數(shù)據(jù)進(jìn)行恢復(fù)��?����;謴?fù)后根據(jù)取證分析的結(jié)果對(duì)上次出現(xiàn)的漏洞進(jìn)行防范和加固�����,避免被二次加密����。 (3) 如何防范�? 最重要的當(dāng)然是盡力避免不被感染,那么應(yīng)該如何做呢���?其實(shí)之前我也寫(xiě)過(guò)不少的文章��,比如《這是一篇價(jià)值幾十萬(wàn)的文章��!》�����,今天我們換個(gè)角度來(lái)說(shuō)一下��。 以前我們都是按照等保的要求�,從靜態(tài)的角度來(lái)看安全,從物理層����、網(wǎng)絡(luò)層、系統(tǒng)層���、應(yīng)用層�����、數(shù)據(jù)層等五個(gè)方面�����,部署相應(yīng)的安全措施�����。今天我們從動(dòng)態(tài)角度來(lái)看一下�,還用我之前講過(guò)的APPDRR模型(《常見(jiàn)網(wǎng)絡(luò)安全模型(上篇)》《常見(jiàn)網(wǎng)絡(luò)安全模型(下篇)》�����,簡(jiǎn)單來(lái)套一下: 
一��、A:分析 通過(guò)分析�,了解勒索病毒可能傳播的途徑和方法,比如通過(guò)漏洞 �、口令爆破、互聯(lián)網(wǎng)����、農(nóng)合醫(yī)保等外部業(yè)務(wù)、第三方維護(hù)人員等�����。 二��、P:策略 了解了病毒可能感染的途徑和手段,我們要分別針對(duì)以上問(wèn)題做出相應(yīng)的措施�����。如及時(shí)給系統(tǒng)打補(bǔ)丁��、安裝殺毒軟件��、增強(qiáng)口令強(qiáng)度���、在所有可能的入口增加防范手段��、加強(qiáng)對(duì)第三方維護(hù)人員的管理等��。 三��、P:阻止 目前最常見(jiàn)的手段就是防火墻和殺毒軟件了�。 四�、D:檢測(cè) 但僅有阻止是遠(yuǎn)遠(yuǎn)不夠的,還需要有相應(yīng)的檢測(cè)手段��,包括端點(diǎn)的檢測(cè)和網(wǎng)絡(luò)的檢測(cè)���。這里也涉及到最近比較火的一個(gè)概念EDR�,所謂EDR就是端點(diǎn)檢測(cè)與響應(yīng)(Endpoint Detection and Response)。一般來(lái)說(shuō)網(wǎng)絡(luò)檢測(cè)產(chǎn)品應(yīng)能和端點(diǎn)產(chǎn)品進(jìn)行聯(lián)動(dòng)����,這樣才可以進(jìn)行有效及時(shí)的響應(yīng)。 五�����、R:響應(yīng) 響應(yīng)也包括兩部分內(nèi)容����,一是檢測(cè)到攻擊之后和自己配套的EDR產(chǎn)品進(jìn)行聯(lián)動(dòng)處理����,二是人工的響應(yīng)和取證服務(wù)。 六���、R:恢復(fù) 災(zāi)難恢復(fù)是安全的最后一道防線����。前面所做的工作都是在防止災(zāi)難的發(fā)生����,但無(wú)論再好的防御也不可能做到100%的安全�����,萬(wàn)一最終沒(méi)有能防止災(zāi)難的發(fā)生��,我們要確保的就是可以恢復(fù)到之前的狀態(tài)�。因此最后一步是我們必須要考慮的�,也是我們安全工作的底線。備份是恢復(fù)的前提����,恢復(fù)是備份的目的。這里的災(zāi)難恢復(fù)不是簡(jiǎn)單指數(shù)據(jù)的恢復(fù)����,還包括業(yè)務(wù)系統(tǒng)的恢復(fù)。參見(jiàn)《等保中對(duì)災(zāi)難恢復(fù)的要求》�����。 目前根據(jù)各醫(yī)院的情況來(lái)看: 對(duì)于從外到內(nèi)的防范手段(如防火墻����、入侵檢測(cè)等)都比較重視,但對(duì)于內(nèi)部的檢測(cè)和響應(yīng)手段有些欠缺�����; 對(duì)于數(shù)據(jù)庫(kù)的備份和恢復(fù)相對(duì)比較重視,對(duì)于業(yè)務(wù)系統(tǒng)的備份和恢復(fù)比較欠缺��。 如何增加對(duì)危險(xiǎn)的檢測(cè)和響應(yīng)手段以及快速的災(zāi)難恢復(fù)能力也是下一步安全要考慮的重點(diǎn)�。
關(guān)于EDR以及網(wǎng)絡(luò)檢測(cè)與響應(yīng)產(chǎn)品,目前很多廠商也推出了相關(guān)的產(chǎn)品��,比如卡巴斯基�����、checkpoint��、天融信�����、深信服等都推出了自己的EDR產(chǎn)品�����。針對(duì)網(wǎng)絡(luò)的檢測(cè)與響應(yīng)產(chǎn)品�����,目前有三類廠商: 一類是傳統(tǒng)的防病毒廠商����,在傳統(tǒng)端點(diǎn)安全的基礎(chǔ)上推出了EDR和網(wǎng)絡(luò)檢測(cè)與響應(yīng)產(chǎn)品,如卡巴斯基的�����、賽門(mén)鐵克和MCAFEE等�,都有類似的產(chǎn)品推出。以達(dá)到網(wǎng)絡(luò)檢測(cè)與EDR聯(lián)動(dòng)響應(yīng)的效果���。 一類是新晉的以EDR為賣點(diǎn)的廠商�,如crowdstrike�����、CARBONBLACK�、CYLANCE、sentinelone ����,這類大多自稱為“下一代”產(chǎn)品,但其實(shí)更多的是一種具有機(jī)器學(xué)習(xí)功能的產(chǎn)品。 一類是傳統(tǒng)的網(wǎng)絡(luò)設(shè)備廠商�,在其傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品如第二代防火墻、UTM等設(shè)備的基礎(chǔ)上�,通過(guò)OEM專業(yè)安全廠商的防病毒引擎增加EDR的功能。如checkpoint����、fireeye、天融信等�����。 關(guān)于這三類產(chǎn)品的具體差別��,以及如何選擇EDR產(chǎn)品��,不是本文的重點(diǎn)�,以后有時(shí)間再詳細(xì)說(shuō)吧。 *以上只是我個(gè)人的觀點(diǎn)��,歡迎探討�。
|
