醫(yī)療數(shù)據(jù)大規(guī)模泄露的背后,是網(wǎng)絡(luò)地下黑色市場中,醫(yī)療數(shù)據(jù)極為珍貴的價值。亞信安全針對網(wǎng)絡(luò)地下黑色市場的長期跟蹤也發(fā)現(xiàn),醫(yī)療數(shù)據(jù)在暗網(wǎng)中極受青睞,醫(yī)療信息資料的價格每份35元起步,成為黑客竊取醫(yī)療數(shù)據(jù)的巨大動力。利用泄露的患者醫(yī)療數(shù)據(jù),某些醫(yī)院可以根據(jù)不同患者的病情,“定制”撥打營銷電話或是推送廣告,電信詐騙者也會利用這些信息進行網(wǎng)絡(luò)詐騙,特別是政治人物、明星的醫(yī)療數(shù)據(jù),價格更是難以衡量。

重重防護之下 黑客為什么還是可以得逞?

正是由于醫(yī)療數(shù)據(jù)泄露可能帶來的嚴重后果,很多醫(yī)療機構(gòu)部署了嚴密的網(wǎng)絡(luò)安全體系,關(guān)鍵部門與業(yè)務(wù)甚至通過物理隔離的方式來進行保護。但是這樣依然沒有阻擋黑客的入侵腳步,醫(yī)療系統(tǒng)遭到攻擊導(dǎo)致數(shù)據(jù)泄密或是業(yè)務(wù)中斷的事件仍然常有發(fā)生,即使在物理隔離的內(nèi)網(wǎng)也不能幸免。

醫(yī)療數(shù)據(jù)容易泄露的原因與其流動的特性有關(guān)。首先,因為醫(yī)療信息化系統(tǒng)的復(fù)雜性,醫(yī)療數(shù)據(jù)通常會流經(jīng)多個系統(tǒng)、跨越多個單位和安全領(lǐng)域,在醫(yī)院的網(wǎng)站、掛號系統(tǒng)、電子病歷系統(tǒng)、醫(yī)療設(shè)備、醫(yī)院數(shù)據(jù)管理系統(tǒng)等多個應(yīng)用之間流轉(zhuǎn),任何一個節(jié)點的漏洞都可能導(dǎo)致數(shù)據(jù)泄露。

其次,醫(yī)療數(shù)據(jù)的高價值讓網(wǎng)絡(luò)攻擊者得以進行更加周密的籌劃,他們會選擇更精進、更隱秘的APT攻擊的方式,逐漸滲透到醫(yī)療系統(tǒng)中,伺機尋找竊取醫(yī)療數(shù)據(jù)的機會。網(wǎng)絡(luò)攻擊者可以在網(wǎng)絡(luò)地下黑色市場輕松購買到APT的攻擊程序,他們看準了醫(yī)療衛(wèi)生行業(yè)相對薄弱的安全防護體系,在數(shù)據(jù)橫跨的多個系統(tǒng)中尋找攻擊點,這可能包括用戶新籌建的移動醫(yī)療系統(tǒng)、云計算平臺,醫(yī)療設(shè)備、物聯(lián)網(wǎng)技術(shù)供應(yīng)商等,這些都超出了傳統(tǒng)數(shù)據(jù)防泄露技術(shù)的范疇。

據(jù)悉,在新加坡此次醫(yī)保資料泄露事故中,黑客即采用了APT攻擊的方式,首先從新加坡保健服務(wù)集團的一臺前端用戶電腦侵入,植入惡意軟件后,再查找集團數(shù)據(jù)庫中的病患個人資料,并在6月27日至7月4日期間逐步將數(shù)據(jù)滲漏出去。

重壓之下醫(yī)療機構(gòu)如何保護醫(yī)療數(shù)據(jù)

如何更好的保護醫(yī)療數(shù)據(jù),不僅影響著醫(yī)療機構(gòu)的數(shù)據(jù)資產(chǎn),也關(guān)系著國計民生,亞信安全近期與CHIMA、上海市衛(wèi)生計生委信息中心共同發(fā)布的《中國醫(yī)院信息安全白皮書》指出,解決醫(yī)院信息安全的基本思路要做到“統(tǒng)一規(guī)劃建設(shè)、全面綜合防御、技術(shù)管理并重、保障運行安全”, 通過安全措施構(gòu)建縱深的防御體系,對信息系統(tǒng)實行分域保護,以實現(xiàn)業(yè)務(wù)安全穩(wěn)定運行,并有效應(yīng)對網(wǎng)絡(luò)安全事件,維護業(yè)務(wù)數(shù)據(jù)的完整性、保密性和可用性。

亞信安全產(chǎn)品總監(jiān)白日表示:“網(wǎng)絡(luò)安全威脅可能會從各個渠道滲透到醫(yī)療系統(tǒng)中,風險面非常大,任何一個疏忽都可能導(dǎo)致前功盡棄。因此建議醫(yī)療機構(gòu)建立全面、立體化的網(wǎng)絡(luò)安全防護能力,在服務(wù)器、網(wǎng)絡(luò)、終端等多個層面建立網(wǎng)絡(luò)威脅防御能力,防護患者入口網(wǎng)站、電子病歷系統(tǒng)、醫(yī)療終端等各個節(jié)點,防止數(shù)據(jù)外泄或資金風險,并滿足網(wǎng)絡(luò)安全相關(guān)法規(guī)需求。”

APT攻擊共有六個階段,包括:情報收集、單點突破、命令與控制(C&C 通信)、橫向移動、資產(chǎn)/資料發(fā)掘、資料竊取。這種攻擊方式雖然超越了單點防護產(chǎn)品的功能范疇,但不是說企業(yè)就束手無策。相反,隨時掌握整個醫(yī)療機構(gòu)網(wǎng)絡(luò)的流量情況,并針對APT攻擊階段分別建立威脅“抑制點”、形成安全產(chǎn)品之間的聯(lián)動,將會對APT攻擊起到有效的治理作用。

攻和防從來都是在悄然無息中暗自腳力,APT攻擊從來都不會坐以待斃。從安全運維角度來看,一個完整的運維體系同樣也包含四個階段:

1.偵測階段:從日常的海量告警信息中甄別出潛伏最深、最具攻擊性的威脅,并將有限的運維人員投放在最有價值的威脅響應(yīng)工作中,以避免越來越多的人工干預(yù)導(dǎo)致的成本急劇增長,延長響應(yīng)周期;

2.分析階段:準確判斷威脅的真實性,并進一步確認威脅的本質(zhì)以及攻擊者的意圖,回溯攻擊場景,評估威脅嚴重性、影響和范圍,真正做到對威脅的定性定量分析;

3.響應(yīng)階段:制定響應(yīng)預(yù)案及工作流,為下一步威脅響應(yīng)提供策略支撐,在提高自動化響應(yīng)能力減少人工干預(yù)的同時,更節(jié)省成本開銷,降低響應(yīng)周期;

4.預(yù)防階段:制定高效的預(yù)防機制和自我風險評估,做到主動預(yù)防的方法、技術(shù)和手段可以幫助客戶防微杜漸,避免此類威脅或者新型威脅的入侵。

針對以上在安全運維中面臨的種種挑戰(zhàn)以及管理者最關(guān)心的問題,亞信安全2018下一代威脅治理戰(zhàn)略3.0中提出了“精密編排的網(wǎng)絡(luò)空間恢復(fù)補救能力SOAR模型”,該模型從安全運維視角出發(fā),通過SOAR平臺的精密編排能力,先將云管端安全產(chǎn)品(云和虛擬化安全產(chǎn)品Deep Security、高級威脅網(wǎng)絡(luò)偵測產(chǎn)品TDA、高級威脅網(wǎng)絡(luò)防護產(chǎn)品Deep Edge、高級威脅郵件防護產(chǎn)品DDEI、終端安全防護產(chǎn)品OSCE)提交至現(xiàn)有SIEM/SOC系統(tǒng)的威脅告警做以分類和優(yōu)先級劃分,然后通過高級威脅情報平臺CTIP以及高級威脅分析設(shè)備DDAN確認威脅的真實性、本質(zhì)及意圖,再利用部署在服務(wù)器和終端的高級威脅取證系統(tǒng)CTDI對威脅做進一步調(diào)查取證、驗傷、以及影響評估,最后按照SOAR預(yù)先定義的演練腳本自動化將響應(yīng)策略下發(fā)給云管端的安全產(chǎn)品Deep Security、Deep Edge以及OSCE做威脅處置和響應(yīng),最終形成一套精密編排的安全聯(lián)動運維體系,使得相關(guān)機構(gòu)可以不斷提升網(wǎng)絡(luò)空間回復(fù)補救能力,抵御形形色色的網(wǎng)絡(luò)滲透、攻擊和高級威脅的入侵。

亞信安全為醫(yī)療行業(yè)用戶提供了完整的上述解決方案,并樹立了江蘇省人民醫(yī)院等一大批標桿案例,攜手各級醫(yī)療機構(gòu),共建網(wǎng)絡(luò)安全新防線。

分享到

xiesc

相關(guān)推薦