醫(yī)療數(shù)據(jù)大規(guī)模泄露的背后����,是網(wǎng)絡(luò)地下黑色市場(chǎng)中����,醫(yī)療數(shù)據(jù)極為珍貴的價(jià)值��。亞信安全針對(duì)網(wǎng)絡(luò)地下黑色市場(chǎng)的長(zhǎng)期跟蹤也發(fā)現(xiàn)��,醫(yī)療數(shù)據(jù)在暗網(wǎng)中極受青睞�����,醫(yī)療信息資料的價(jià)格每份35元起步,成為黑客竊取醫(yī)療數(shù)據(jù)的巨大動(dòng)力��。利用泄露的患者醫(yī)療數(shù)據(jù)���,某些醫(yī)院可以根據(jù)不同患者的病情����,“定制”撥打營(yíng)銷(xiāo)電話(huà)或是推送廣告���,電信詐騙者也會(huì)利用這些信息進(jìn)行網(wǎng)絡(luò)詐騙�����,特別是政治人物���、明星的醫(yī)療數(shù)據(jù),價(jià)格更是難以衡量���。
重重防護(hù)之下 黑客為什么還是可以得逞��?
正是由于醫(yī)療數(shù)據(jù)泄露可能帶來(lái)的嚴(yán)重后果�,很多醫(yī)療機(jī)構(gòu)部署了嚴(yán)密的網(wǎng)絡(luò)安全體系���,關(guān)鍵部門(mén)與業(yè)務(wù)甚至通過(guò)物理隔離的方式來(lái)進(jìn)行保護(hù)�。但是這樣依然沒(méi)有阻擋黑客的入侵腳步,醫(yī)療系統(tǒng)遭到攻擊導(dǎo)致數(shù)據(jù)泄密或是業(yè)務(wù)中斷的事件仍然常有發(fā)生�����,即使在物理隔離的內(nèi)網(wǎng)也不能幸免��。
醫(yī)療數(shù)據(jù)容易泄露的原因與其流動(dòng)的特性有關(guān)���。首先,因?yàn)獒t(yī)療信息化系統(tǒng)的復(fù)雜性�����,醫(yī)療數(shù)據(jù)通常會(huì)流經(jīng)多個(gè)系統(tǒng)���、跨越多個(gè)單位和安全領(lǐng)域���,在醫(yī)院的網(wǎng)站、掛號(hào)系統(tǒng)��、電子病歷系統(tǒng)��、醫(yī)療設(shè)備、醫(yī)院數(shù)據(jù)管理系統(tǒng)等多個(gè)應(yīng)用之間流轉(zhuǎn)�����,任何一個(gè)節(jié)點(diǎn)的漏洞都可能導(dǎo)致數(shù)據(jù)泄露�����。
其次��,醫(yī)療數(shù)據(jù)的高價(jià)值讓網(wǎng)絡(luò)攻擊者得以進(jìn)行更加周密的籌劃��,他們會(huì)選擇更精進(jìn)�、更隱秘的APT攻擊的方式,逐漸滲透到醫(yī)療系統(tǒng)中���,伺機(jī)尋找竊取醫(yī)療數(shù)據(jù)的機(jī)會(huì)��。網(wǎng)絡(luò)攻擊者可以在網(wǎng)絡(luò)地下黑色市場(chǎng)輕松購(gòu)買(mǎi)到APT的攻擊程序�����,他們看準(zhǔn)了醫(yī)療衛(wèi)生行業(yè)相對(duì)薄弱的安全防護(hù)體系�,在數(shù)據(jù)橫跨的多個(gè)系統(tǒng)中尋找攻擊點(diǎn)����,這可能包括用戶(hù)新籌建的移動(dòng)醫(yī)療系統(tǒng)���、云計(jì)算平臺(tái),醫(yī)療設(shè)備���、物聯(lián)網(wǎng)技術(shù)供應(yīng)商等���,這些都超出了傳統(tǒng)數(shù)據(jù)防泄露技術(shù)的范疇。
據(jù)悉���,在新加坡此次醫(yī)保資料泄露事故中�����,黑客即采用了APT攻擊的方式,首先從新加坡保健服務(wù)集團(tuán)的一臺(tái)前端用戶(hù)電腦侵入���,植入惡意軟件后���,再查找集團(tuán)數(shù)據(jù)庫(kù)中的病患個(gè)人資料,并在6月27日至7月4日期間逐步將數(shù)據(jù)滲漏出去��。
重壓之下醫(yī)療機(jī)構(gòu)如何保護(hù)醫(yī)療數(shù)據(jù)
如何更好的保護(hù)醫(yī)療數(shù)據(jù),不僅影響著醫(yī)療機(jī)構(gòu)的數(shù)據(jù)資產(chǎn)�,也關(guān)系著國(guó)計(jì)民生,亞信安全近期與CHIMA��、上海市衛(wèi)生計(jì)生委信息中心共同發(fā)布的《中國(guó)醫(yī)院信息安全白皮書(shū)》指出�����,解決醫(yī)院信息安全的基本思路要做到“統(tǒng)一規(guī)劃建設(shè)�、全面綜合防御、技術(shù)管理并重�����、保障運(yùn)行安全”���, 通過(guò)安全措施構(gòu)建縱深的防御體系�����,對(duì)信息系統(tǒng)實(shí)行分域保護(hù)���,以實(shí)現(xiàn)業(yè)務(wù)安全穩(wěn)定運(yùn)行,并有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件,維護(hù)業(yè)務(wù)數(shù)據(jù)的完整性����、保密性和可用性。
亞信安全產(chǎn)品總監(jiān)白日表示:“網(wǎng)絡(luò)安全威脅可能會(huì)從各個(gè)渠道滲透到醫(yī)療系統(tǒng)中�,風(fēng)險(xiǎn)面非常大,任何一個(gè)疏忽都可能導(dǎo)致前功盡棄��。因此建議醫(yī)療機(jī)構(gòu)建立全面���、立體化的網(wǎng)絡(luò)安全防護(hù)能力����,在服務(wù)器����、網(wǎng)絡(luò)、終端等多個(gè)層面建立網(wǎng)絡(luò)威脅防御能力�����,防護(hù)患者入口網(wǎng)站���、電子病歷系統(tǒng)、醫(yī)療終端等各個(gè)節(jié)點(diǎn),防止數(shù)據(jù)外泄或資金風(fēng)險(xiǎn)���,并滿(mǎn)足網(wǎng)絡(luò)安全相關(guān)法規(guī)需求����?����!?/p>
APT攻擊共有六個(gè)階段����,包括:情報(bào)收集、單點(diǎn)突破����、命令與控制(C&C 通信)、橫向移動(dòng)�、資產(chǎn)/資料發(fā)掘、資料竊取�。這種攻擊方式雖然超越了單點(diǎn)防護(hù)產(chǎn)品的功能范疇,但不是說(shuō)企業(yè)就束手無(wú)策�。相反,隨時(shí)掌握整個(gè)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)的流量情況�,并針對(duì)APT攻擊階段分別建立威脅“抑制點(diǎn)”、形成安全產(chǎn)品之間的聯(lián)動(dòng),將會(huì)對(duì)APT攻擊起到有效的治理作用�。
攻和防從來(lái)都是在悄然無(wú)息中暗自腳力,APT攻擊從來(lái)都不會(huì)坐以待斃���。從安全運(yùn)維角度來(lái)看��,一個(gè)完整的運(yùn)維體系同樣也包含四個(gè)階段:
1.偵測(cè)階段:從日常的海量告警信息中甄別出潛伏最深���、最具攻擊性的威脅,并將有限的運(yùn)維人員投放在最有價(jià)值的威脅響應(yīng)工作中����,以避免越來(lái)越多的人工干預(yù)導(dǎo)致的成本急劇增長(zhǎng),延長(zhǎng)響應(yīng)周期�����;
2.分析階段:準(zhǔn)確判斷威脅的真實(shí)性��,并進(jìn)一步確認(rèn)威脅的本質(zhì)以及攻擊者的意圖����,回溯攻擊場(chǎng)景,評(píng)估威脅嚴(yán)重性����、影響和范圍,真正做到對(duì)威脅的定性定量分析����;
3.響應(yīng)階段:制定響應(yīng)預(yù)案及工作流,為下一步威脅響應(yīng)提供策略支撐����,在提高自動(dòng)化響應(yīng)能力減少人工干預(yù)的同時(shí),更節(jié)省成本開(kāi)銷(xiāo)���,降低響應(yīng)周期�;
4.預(yù)防階段:制定高效的預(yù)防機(jī)制和自我風(fēng)險(xiǎn)評(píng)估��,做到主動(dòng)預(yù)防的方法��、技術(shù)和手段可以幫助客戶(hù)防微杜漸��,避免此類(lèi)威脅或者新型威脅的入侵�。
針對(duì)以上在安全運(yùn)維中面臨的種種挑戰(zhàn)以及管理者最關(guān)心的問(wèn)題,亞信安全2018下一代威脅治理戰(zhàn)略3.0中提出了“精密編排的網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力SOAR模型”�,該模型從安全運(yùn)維視角出發(fā),通過(guò)SOAR平臺(tái)的精密編排能力��,先將云管端安全產(chǎn)品(云和虛擬化安全產(chǎn)品Deep Security、高級(jí)威脅網(wǎng)絡(luò)偵測(cè)產(chǎn)品TDA��、高級(jí)威脅網(wǎng)絡(luò)防護(hù)產(chǎn)品Deep Edge����、高級(jí)威脅郵件防護(hù)產(chǎn)品DDEI、終端安全防護(hù)產(chǎn)品OSCE)提交至現(xiàn)有SIEM/SOC系統(tǒng)的威脅告警做以分類(lèi)和優(yōu)先級(jí)劃分�,然后通過(guò)高級(jí)威脅情報(bào)平臺(tái)CTIP以及高級(jí)威脅分析設(shè)備DDAN確認(rèn)威脅的真實(shí)性、本質(zhì)及意圖�����,再利用部署在服務(wù)器和終端的高級(jí)威脅取證系統(tǒng)CTDI對(duì)威脅做進(jìn)一步調(diào)查取證���、驗(yàn)傷���、以及影響評(píng)估,最后按照SOAR預(yù)先定義的演練腳本自動(dòng)化將響應(yīng)策略下發(fā)給云管端的安全產(chǎn)品Deep Security�����、Deep Edge以及OSCE做威脅處置和響應(yīng)����,最終形成一套精密編排的安全聯(lián)動(dòng)運(yùn)維體系�����,使得相關(guān)機(jī)構(gòu)可以不斷提升網(wǎng)絡(luò)空間回復(fù)補(bǔ)救能力,抵御形形色色的網(wǎng)絡(luò)滲透�����、攻擊和高級(jí)威脅的入侵����。
亞信安全為醫(yī)療行業(yè)用戶(hù)提供了完整的上述解決方案,并樹(shù)立了江蘇省人民醫(yī)院等一大批標(biāo)桿案例�����,攜手各級(jí)醫(yī)療機(jī)構(gòu)����,共建網(wǎng)絡(luò)安全新防線(xiàn)。
