隨著醫療數據的價值被發現和重視,醫療數據安全問題日益凸顯,醫院等業內機構、企業已處于相當復雜的數據安全環境之中。近年來,針對醫院的勒索、挖礦、醫療信息泄露等醫療行業的信息安全事件層出不窮,醫院信息系統已經成為了不法黑客的重點攻擊對象之一。
近期,迪普科技某辦事處接到當地某醫院客戶的緊急求助。當晚該醫院發現系統受到病毒感染,涉及內網多個重要業務系統,導致大面積業務停頓。辦事處人員接到求助后,第一時間奔赴現場,采集病毒樣本。結合用戶反饋信息,迪普科技安全服務團隊應急小組立即啟動應急程序,第一時間開展分析溯源等響應工作,力爭將病毒的危害范圍控制在最小,盡量降低不良影響。
■ 事件分析過程
發現信息系統的資源被大量的EnrollCertXaml.dll占用
登錄安全防護設備,發現攻擊記錄中存在可疑挖礦攻擊事件。
通過對受感染的主機進行分析,結合識別為木馬的可疑dll文件,推斷用戶感染了挖礦病毒WannaMine的變種,進一步探查樣例主機,發現了病毒存在的目錄與病毒的典型攻擊程序spoolsv.exe。
通過對病毒文件的分析,發現了變種在探測到系統存在永恒之藍的漏洞后,會在系統中安裝雙脈沖星后門,方便病毒的再生與傳播。
再次查看安全防護設備的挖礦病毒的攻擊記錄,從挖礦記錄的報文看,發現了錢包地址等信息,報文信息如下:
經安全服務團隊應急小組分析研判,并連夜趕赴現場處置,醫院業務終于恢復正常。
然而,本次由于病毒攻擊導致的業務癱瘓事件的發生并非偶然,醫院網絡管理人員日常的安全意識不足,缺乏主動的風險監測手段、有效的應急響應機制,對內網資產脆弱性掌握不足等,都為內網安全埋下隱患。針對內網安全現狀,迪普科技安全服務專家在第一時間也給出建議。
■ 安服建議
■ 迪普科技安全服務可針對醫療信息系統發生的網絡安全事件做到第一時間的應急響應,幫助排查并解決。并可對HIS、LIS、EMR、RIS等關鍵業務系統進行定期的風險評估、滲透測試,以及重大活動期間的全方位保障,降低威脅事件發生的可能性及其造成的影響。同時可對網絡管理人員及醫護人員進行安全意識及技能培訓,提升人員安全技術水平。
■ 迪普科技慧眼安全檢測平臺可對醫院全網資產進行主動檢測,幫助快速摸排資產,精準定位風險隱患,評估漏洞影響,及時通報并推動整改,形成安全管理閉環。
■ 迪普科技網絡安全威脅感知大數據平臺通過大數據分析能力,針對醫療行業勒索病毒頻發,可實現內網病毒威脅精準檢測,定位失陷主機、還原攻擊過程、溯源黑客信息。以主/被動引擎檢測為手段,基于深度學習模型算法、事件關聯分析規則、違規及異常行為分析、威脅情報等技術,實現安全態勢全方位感知,提升防護效率,降低運維成本。
■ 迪普科技智能安全網關集成了IPSec、SSL、GRE等多種VPN技術,支持國密算法,實現醫院與衛計委、移動辦公人員的統一安全接入,提供內部業務跨互聯網的安全訪問。
■ 迪普科技LSW-SE系列自安全交換機,可主動識別木馬、蠕蟲等病毒傳播行為并實時處置,天然防止病毒傳播,搭配自安全控制器的"醫療業務白名單”防護功能,可實現醫技終端以及醫院數據中心服務器的安全防護,天然阻斷非授信訪問、病毒傳播、網絡環路等事件。
■ 迪普科技IPS2000入侵防御系統具有專業的攻擊檢測引擎、病毒查殺引擎以及全面的特征庫,可有效識別并阻斷各類攻擊及病毒傳播行為,有效保障醫院各業務系統安全穩定運行。
■ 迪普科技WAF3000產品可對醫院各Web應用如預約掛號、在線問診等提供全面的安全防護,如通過事前防掃描、事中防攻擊及事后防篡改對黑客攻擊行為提供全流程的安全防護,且針對緊急安全事件,可通過網站一鍵下線功能,實時中斷攻擊,防止安全事件進一步擴散。
計算機信息有共享和易于擴散等特性,在處理、存儲、傳輸和使用上有著嚴重的脆弱性,很容易被干擾、濫用、遺漏和丟失,甚至被泄露、竊取、篡改、冒充和破壞。面對種種危機,迪普科技一直將守護客戶的網絡安全視為己任,不僅推出全場景的安全檢測分析及防護解決方案,同時配合風險評估、滲透測試、安全加固、運維保障等專業安全服務,全方位保障用戶網絡安全,為用戶網絡安全建設創造更大價值。
(新聞稿 2019-10-14)