醫(yī)療數(shù)據(jù)大規(guī)模泄露的背后,是網(wǎng)絡(luò)地下黑色市場中��,醫(yī)療數(shù)據(jù)極為珍貴的價值�。亞信安全針對網(wǎng)絡(luò)地下黑色市場的長期跟蹤也發(fā)現(xiàn),醫(yī)療數(shù)據(jù)在暗網(wǎng)中極受青睞����,醫(yī)療信息資料的價格每份35元起步,成為黑客竊取醫(yī)療數(shù)據(jù)的巨大動力�����。利用泄露的患者醫(yī)療數(shù)據(jù)���,某些醫(yī)院可以根據(jù)不同患者的病情�,“定制”撥打營銷電話或是推送廣告����,電信詐騙者也會利用這些信息進行網(wǎng)絡(luò)詐騙,特別是政治人物��、明星的醫(yī)療數(shù)據(jù)���,價格更是難以衡量�����。
重重防護之下 黑客為什么還是可以得逞����?
正是由于醫(yī)療數(shù)據(jù)泄露可能帶來的嚴重后果,很多醫(yī)療機構(gòu)部署了嚴密的網(wǎng)絡(luò)安全體系��,關(guān)鍵部門與業(yè)務(wù)甚至通過物理隔離的方式來進行保護�。但是這樣依然沒有阻擋黑客的入侵腳步,醫(yī)療系統(tǒng)遭到攻擊導(dǎo)致數(shù)據(jù)泄密或是業(yè)務(wù)中斷的事件仍然常有發(fā)生����,即使在物理隔離的內(nèi)網(wǎng)也不能幸免。
醫(yī)療數(shù)據(jù)容易泄露的原因與其流動的特性有關(guān)����。首先,因為醫(yī)療信息化系統(tǒng)的復(fù)雜性���,醫(yī)療數(shù)據(jù)通常會流經(jīng)多個系統(tǒng)����、跨越多個單位和安全領(lǐng)域��,在醫(yī)院的網(wǎng)站��、掛號系統(tǒng)����、電子病歷系統(tǒng)、醫(yī)療設(shè)備����、醫(yī)院數(shù)據(jù)管理系統(tǒng)等多個應(yīng)用之間流轉(zhuǎn),任何一個節(jié)點的漏洞都可能導(dǎo)致數(shù)據(jù)泄露����。
其次,醫(yī)療數(shù)據(jù)的高價值讓網(wǎng)絡(luò)攻擊者得以進行更加周密的籌劃�,他們會選擇更精進、更隱秘的APT攻擊的方式��,逐漸滲透到醫(yī)療系統(tǒng)中�����,伺機尋找竊取醫(yī)療數(shù)據(jù)的機會。網(wǎng)絡(luò)攻擊者可以在網(wǎng)絡(luò)地下黑色市場輕松購買到APT的攻擊程序��,他們看準了醫(yī)療衛(wèi)生行業(yè)相對薄弱的安全防護體系����,在數(shù)據(jù)橫跨的多個系統(tǒng)中尋找攻擊點,這可能包括用戶新籌建的移動醫(yī)療系統(tǒng)�����、云計算平臺�,醫(yī)療設(shè)備、物聯(lián)網(wǎng)技術(shù)供應(yīng)商等�����,這些都超出了傳統(tǒng)數(shù)據(jù)防泄露技術(shù)的范疇�����。
據(jù)悉����,在新加坡此次醫(yī)保資料泄露事故中,黑客即采用了APT攻擊的方式���,首先從新加坡保健服務(wù)集團的一臺前端用戶電腦侵入��,植入惡意軟件后���,再查找集團數(shù)據(jù)庫中的病患個人資料���,并在6月27日至7月4日期間逐步將數(shù)據(jù)滲漏出去����。
重壓之下醫(yī)療機構(gòu)如何保護醫(yī)療數(shù)據(jù)
如何更好的保護醫(yī)療數(shù)據(jù),不僅影響著醫(yī)療機構(gòu)的數(shù)據(jù)資產(chǎn)�����,也關(guān)系著國計民生���,亞信安全近期與CHIMA�、上海市衛(wèi)生計生委信息中心共同發(fā)布的《中國醫(yī)院信息安全白皮書》指出�����,解決醫(yī)院信息安全的基本思路要做到“統(tǒng)一規(guī)劃建設(shè)����、全面綜合防御�、技術(shù)管理并重���、保障運行安全”���, 通過安全措施構(gòu)建縱深的防御體系,對信息系統(tǒng)實行分域保護��,以實現(xiàn)業(yè)務(wù)安全穩(wěn)定運行���,并有效應(yīng)對網(wǎng)絡(luò)安全事件����,維護業(yè)務(wù)數(shù)據(jù)的完整性����、保密性和可用性。
亞信安全產(chǎn)品總監(jiān)白日表示:“網(wǎng)絡(luò)安全威脅可能會從各個渠道滲透到醫(yī)療系統(tǒng)中�,風險面非常大,任何一個疏忽都可能導(dǎo)致前功盡棄����。因此建議醫(yī)療機構(gòu)建立全面�、立體化的網(wǎng)絡(luò)安全防護能力���,在服務(wù)器�、網(wǎng)絡(luò)����、終端等多個層面建立網(wǎng)絡(luò)威脅防御能力,防護患者入口網(wǎng)站�����、電子病歷系統(tǒng)��、醫(yī)療終端等各個節(jié)點����,防止數(shù)據(jù)外泄或資金風險�����,并滿足網(wǎng)絡(luò)安全相關(guān)法規(guī)需求�����。”
APT攻擊共有六個階段���,包括:情報收集���、單點突破、命令與控制(C&C 通信)��、橫向移動��、資產(chǎn)/資料發(fā)掘����、資料竊取。這種攻擊方式雖然超越了單點防護產(chǎn)品的功能范疇�,但不是說企業(yè)就束手無策。相反�����,隨時掌握整個醫(yī)療機構(gòu)網(wǎng)絡(luò)的流量情況�,并針對APT攻擊階段分別建立威脅“抑制點”、形成安全產(chǎn)品之間的聯(lián)動��,將會對APT攻擊起到有效的治理作用��。
攻和防從來都是在悄然無息中暗自腳力,APT攻擊從來都不會坐以待斃�。從安全運維角度來看,一個完整的運維體系同樣也包含四個階段:
1.偵測階段:從日常的海量告警信息中甄別出潛伏最深����、最具攻擊性的威脅,并將有限的運維人員投放在最有價值的威脅響應(yīng)工作中��,以避免越來越多的人工干預(yù)導(dǎo)致的成本急劇增長����,延長響應(yīng)周期;
2.分析階段:準確判斷威脅的真實性���,并進一步確認威脅的本質(zhì)以及攻擊者的意圖,回溯攻擊場景����,評估威脅嚴重性、影響和范圍�,真正做到對威脅的定性定量分析;
3.響應(yīng)階段:制定響應(yīng)預(yù)案及工作流�,為下一步威脅響應(yīng)提供策略支撐,在提高自動化響應(yīng)能力減少人工干預(yù)的同時���,更節(jié)省成本開銷����,降低響應(yīng)周期;
4.預(yù)防階段:制定高效的預(yù)防機制和自我風險評估���,做到主動預(yù)防的方法�����、技術(shù)和手段可以幫助客戶防微杜漸���,避免此類威脅或者新型威脅的入侵。
針對以上在安全運維中面臨的種種挑戰(zhàn)以及管理者最關(guān)心的問題����,亞信安全2018下一代威脅治理戰(zhàn)略3.0中提出了“精密編排的網(wǎng)絡(luò)空間恢復(fù)補救能力SOAR模型”,該模型從安全運維視角出發(fā)����,通過SOAR平臺的精密編排能力,先將云管端安全產(chǎn)品(云和虛擬化安全產(chǎn)品Deep Security���、高級威脅網(wǎng)絡(luò)偵測產(chǎn)品TDA��、高級威脅網(wǎng)絡(luò)防護產(chǎn)品Deep Edge����、高級威脅郵件防護產(chǎn)品DDEI、終端安全防護產(chǎn)品OSCE)提交至現(xiàn)有SIEM/SOC系統(tǒng)的威脅告警做以分類和優(yōu)先級劃分����,然后通過高級威脅情報平臺CTIP以及高級威脅分析設(shè)備DDAN確認威脅的真實性、本質(zhì)及意圖��,再利用部署在服務(wù)器和終端的高級威脅取證系統(tǒng)CTDI對威脅做進一步調(diào)查取證���、驗傷��、以及影響評估���,最后按照SOAR預(yù)先定義的演練腳本自動化將響應(yīng)策略下發(fā)給云管端的安全產(chǎn)品Deep Security、Deep Edge以及OSCE做威脅處置和響應(yīng)���,最終形成一套精密編排的安全聯(lián)動運維體系,使得相關(guān)機構(gòu)可以不斷提升網(wǎng)絡(luò)空間回復(fù)補救能力����,抵御形形色色的網(wǎng)絡(luò)滲透���、攻擊和高級威脅的入侵。
亞信安全為醫(yī)療行業(yè)用戶提供了完整的上述解決方案�,并樹立了江蘇省人民醫(yī)院等一大批標桿案例,攜手各級醫(yī)療機構(gòu)����,共建網(wǎng)絡(luò)安全新防線。
