近年來,針對醫(yī)療機構的勒索、挖礦、信息泄露等信息安全事件層出不窮,醫(yī)療信息系統(tǒng)已經成為不法黑客的重點攻擊對象之一。如何保障醫(yī)療機構的業(yè)務系統(tǒng)穩(wěn)定運行,有效防止勒索病毒的攻擊,已成為目前醫(yī)療行業(yè)亟待解決的問題。
近日,全國范圍內出現(xiàn)醫(yī)院被GlobeImposter3.0變種入侵的事件,造成業(yè)務系統(tǒng)大面積癱瘓,數(shù)據(jù)丟失等問題,嚴重影響患者就醫(yī)。醫(yī)療機構開展網絡安全的預防及應急的處理刻不容緩。
銀川市各醫(yī)療機構
緊急開展安全自檢及網絡應急預案
為此,銀川市各醫(yī)療機構緊急聯(lián)合深信服安全團隊對各醫(yī)院的網絡情況進行安全自檢以及啟動網絡應急預案。
深信服安全服務工程師在銀川市第一人民醫(yī)院進行安全檢查
本次安全自檢及網絡安全應急預案內容包括:
勒索病毒風險評估
深信服安全專家通過云端掃描、本地安全檢查、口令掃描等方式掃描可能傳播勒索病毒或被勒索病毒利用的漏洞或脆弱性口令,幫助銀川市各醫(yī)療機構事前預防勒索病毒的植入。
流量防御
一方面通過漏洞阻斷、端口隔離、暴力破解防護、郵件查殺等手段進行攻擊投放阻斷與擴散傳播阻斷。另一方面通過下載文件云查殺對勒索病毒本身進行阻斷。
深信服終端檢測響應平臺EDR安全檢查中
深信服下一代防火墻開啟防爆破功能
威脅主機檢測
大型醫(yī)療機構內網終端及服務器比較多,業(yè)務相對比較復雜,深信服通過安全感知解決方案能夠全網自動發(fā)現(xiàn)勒索病毒受害主機,發(fā)現(xiàn)潛伏威脅主機,幫助用戶有效管理大型網絡。
快速響應
首先是掃描策略快速下發(fā),檢測是否存在感染隱患;其次是流量端點協(xié)同響應,自動阻斷木馬與黑客通信,端點執(zhí)行掃描、查殺等動作;最后安排專門專家做應急響應,7*24小時無休隨時準備應急。
通過此次對各單位的網絡進行安全檢查和殺毒掃描,對全網進行安全感知、查殺和防護,及時對各家醫(yī)院發(fā)現(xiàn)的問題迅速響應處置。形成集檢測、響應、防御為一體的安全閉環(huán)體系。截至目前,銀川市尚未出現(xiàn)勒索病毒成功入侵案例。
安全形勢嚴峻
未來醫(yī)療機構如何更有效應對勒索病毒
此次勒索病毒爆發(fā)也再次給醫(yī)療機構敲響警鐘。近年來,網絡安全態(tài)勢日新月異,在利益鏈驅動下,各醫(yī)療結構所面對的敵人,已經從黑客黃金年代大拿們單純的炫技,演進到了分工明確的黑客團隊合伙作案,攻擊技術更加先進、攻擊手段更加高明、攻擊方法更加多樣。而隨著區(qū)塊鏈技術的發(fā)展,勒索病毒也成為了黑客快速獲取利益的最佳手段,勒索病毒攻擊日益增加。那么,醫(yī)療機構又該如何應對勒索病毒呢?
感染勒索病毒后應該如何解決?
- 隔離感染主機:已中毒計算機盡快隔離,關閉所有網絡連接,禁用網卡。
- 切斷傳播途徑:關閉潛在終端的SMB,RDP端口等共享傳播端口。關閉異常的外聯(lián)訪問。
- 查找攻擊源:手工抓包分析供給源或借助態(tài)勢感知類產品分析。
- 查殺病毒修復漏洞:查殺病毒,打上漏洞補丁,修改口令。
感染后的數(shù)據(jù)恢復:嘗試用數(shù)據(jù)恢復軟件找到被刪除的源文件;利用解密工具破解,解密文件;通過winhex對比歷史文件分析文件頭內容恢復,或者通過支付贖金恢復數(shù)據(jù)。但目前勒索病毒的數(shù)據(jù)恢復難度較大,部分勒索病毒即便支付攻擊者贖金也未必可以解密被勒索文件,建議防范還是以預防為主。
勒索病毒如何預防?
- 避免弱口令:避免多個系統(tǒng)使用同一口令。
- 應用服務管控: 終端上關閉Windows共享服務、遠程桌面控制等不必要的服務,網絡層面上防火墻做好應用控制,關閉非必要的互聯(lián)網訪問。
- 漏洞管理:定期漏掃;及時打補丁,修復漏洞。
- 安裝殺毒軟件并及時更新病毒庫。
- 數(shù)據(jù)備份:對重要的數(shù)據(jù)文件定期進行非本地備份。
- 提高安全意識 :不使用不明來歷的U盤、移動硬盤等存儲設備;不要點擊來源不明的郵件以及附件;不接入公共網絡也不允許內部網絡接入來歷不明外網PC。
未來,深信服將持續(xù)創(chuàng)新,基于“面向未來、有效保護”的理念完善醫(yī)療行業(yè)的網絡安全體系,助力“智慧醫(yī)療”建設,加速產業(yè)升級和行業(yè)價值創(chuàng)造!
