近日，新加坡遭受了史上最嚴(yán)重的網(wǎng)絡(luò)攻擊，近150萬(wàn)人的醫(yī)保資料遭到泄露，這些信息包括病患姓名、國(guó)籍、地址、性別、種族和出生日期等，受害者甚至包括新加坡總理李顯龍。此事件折射出在醫(yī)療機(jī)構(gòu)加速數(shù)字化的今天，網(wǎng)絡(luò)安全能力的匱乏，已經(jīng)嚴(yán)重影響了全球公民健康數(shù)據(jù)的個(gè)人隱私，威脅著醫(yī)療機(jī)構(gòu)的數(shù)字資產(chǎn)。亞信安全建議醫(yī)療機(jī)構(gòu)是時(shí)候重新審視安全防護(hù)體系的有效性，要嚴(yán)密關(guān)注高級(jí)持續(xù)性威脅攻擊(APT)的發(fā)展動(dòng)向，并建立起全面、立體、有效的網(wǎng)絡(luò)安全防護(hù)體系。

[[238123]]

醫(yī)療機(jī)構(gòu)已經(jīng)成為網(wǎng)絡(luò)攻擊的重要目標(biāo)

此次新加坡的醫(yī)保資料泄露事件并不是孤例，事實(shí)上，醫(yī)療機(jī)構(gòu)受到攻擊的事件在近年來(lái)已經(jīng)愈演愈烈。2015年，美國(guó)第二大醫(yī)療保險(xiǎn)公司Anthem就被黑客盜取了該公司超過(guò)8000萬(wàn)客戶和雇員的個(gè)人信息。同年，加州大學(xué)洛杉磯分校醫(yī)療系統(tǒng)遭遇大規(guī)模的黑客攻擊，大約450萬(wàn)份客戶醫(yī)療數(shù)據(jù)泄露。2018年初，挪威四大區(qū)域醫(yī)療保健組織之一的Health South East RHF遭到網(wǎng)絡(luò)攻擊，可能有290萬(wàn)人成為了事件的受害者。在中國(guó)，某部委的醫(yī)療服務(wù)信息系統(tǒng)被爆遭到黑客入侵，大量孕檢信息遭到泄露和買賣。

醫(yī)療數(shù)據(jù)大規(guī)模泄露的背后，是網(wǎng)絡(luò)地下黑色市場(chǎng)中，醫(yī)療數(shù)據(jù)極為珍貴的價(jià)值。亞信安全針對(duì)網(wǎng)絡(luò)地下黑色市場(chǎng)的長(zhǎng)期跟蹤也發(fā)現(xiàn)，醫(yī)療數(shù)據(jù)在暗網(wǎng)中極受青睞，醫(yī)療信息資料的價(jià)格每份35元起步，成為黑客竊取醫(yī)療數(shù)據(jù)的巨大動(dòng)力。利用泄露的患者醫(yī)療數(shù)據(jù)，某些醫(yī)院可以根據(jù)不同患者的病情，“定制”撥打營(yíng)銷電話或是推送廣告，電信詐騙者也會(huì)利用這些信息進(jìn)行網(wǎng)絡(luò)詐騙，特別是政治人物、明星的醫(yī)療數(shù)據(jù)，價(jià)格更是難以衡量。

重重防護(hù)之下 黑客為什么還是可以得逞?

正是由于醫(yī)療數(shù)據(jù)泄露可能帶來(lái)的嚴(yán)重后果，很多醫(yī)療機(jī)構(gòu)部署了嚴(yán)密的網(wǎng)絡(luò)安全體系，關(guān)鍵部門與業(yè)務(wù)甚至通過(guò)物理隔離的方式來(lái)進(jìn)行保護(hù)。但是這樣依然沒(méi)有阻擋黑客的入侵腳步，醫(yī)療系統(tǒng)遭到攻擊導(dǎo)致數(shù)據(jù)泄密或是業(yè)務(wù)中斷的事件仍然常有發(fā)生，即使在物理隔離的內(nèi)網(wǎng)也不能幸免。

醫(yī)療數(shù)據(jù)容易泄露的原因與其流動(dòng)的特性有關(guān)。首先，因?yàn)獒t(yī)療信息化系統(tǒng)的復(fù)雜性，醫(yī)療數(shù)據(jù)通常會(huì)流經(jīng)多個(gè)系統(tǒng)、跨越多個(gè)單位和安全領(lǐng)域，在醫(yī)院的網(wǎng)站、掛號(hào)系統(tǒng)、電子病歷系統(tǒng)、醫(yī)療設(shè)備、醫(yī)院數(shù)據(jù)管理系統(tǒng)等多個(gè)應(yīng)用之間流轉(zhuǎn)，任何一個(gè)節(jié)點(diǎn)的漏洞都可能導(dǎo)致數(shù)據(jù)泄露。

其次，醫(yī)療數(shù)據(jù)的高價(jià)值讓網(wǎng)絡(luò)攻擊者得以進(jìn)行更加周密的籌劃，他們會(huì)選擇更精進(jìn)、更隱秘的APT攻擊的方式，逐漸滲透到醫(yī)療系統(tǒng)中，伺機(jī)尋找竊取醫(yī)療數(shù)據(jù)的機(jī)會(huì)。網(wǎng)絡(luò)攻擊者可以在網(wǎng)絡(luò)地下黑色市場(chǎng)輕松購(gòu)買到APT的攻擊程序，他們看準(zhǔn)了醫(yī)療衛(wèi)生行業(yè)相對(duì)薄弱的安全防護(hù)體系，在數(shù)據(jù)橫跨的多個(gè)系統(tǒng)中尋找攻擊點(diǎn)，這可能包括用戶新籌建的移動(dòng)醫(yī)療系統(tǒng)、云計(jì)算平臺(tái)，醫(yī)療設(shè)備、物聯(lián)網(wǎng)技術(shù)供應(yīng)商等，這些都超出了傳統(tǒng)數(shù)據(jù)防泄露技術(shù)的范疇。

據(jù)悉，在新加坡此次醫(yī)保資料泄露事故中，黑客即采用了APT攻擊的方式，首先從新加坡保健服務(wù)集團(tuán)的一臺(tái)前端用戶電腦侵入，植入惡意軟件后，再查找集團(tuán)數(shù)據(jù)庫(kù)中的病患個(gè)人資料，并在6月27日至7月4日期間逐步將數(shù)據(jù)滲漏出去。

重壓之下醫(yī)療機(jī)構(gòu)如何保護(hù)醫(yī)療數(shù)據(jù)

如何更好的保護(hù)醫(yī)療數(shù)據(jù)，不僅影響著醫(yī)療機(jī)構(gòu)的數(shù)據(jù)資產(chǎn)，也關(guān)系著國(guó)計(jì)民生，亞信安全近期與CHIMA、上海市衛(wèi)生計(jì)生委信息中心共同發(fā)布的《中國(guó)醫(yī)院信息安全白皮書》指出，解決醫(yī)院信息安全的基本思路要做到“統(tǒng)一規(guī)劃建設(shè)、全面綜合防御、技術(shù)管理并重、保障運(yùn)行安全”， 通過(guò)安全措施構(gòu)建縱深的防御體系，對(duì)信息系統(tǒng)實(shí)行分域保護(hù)，以實(shí)現(xiàn)業(yè)務(wù)安全穩(wěn)定運(yùn)行，并有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件，維護(hù)業(yè)務(wù)數(shù)據(jù)的完整性、保密性和可用性。

亞信安全產(chǎn)品總監(jiān)白日表示：“網(wǎng)絡(luò)安全威脅可能會(huì)從各個(gè)渠道滲透到醫(yī)療系統(tǒng)中，風(fēng)險(xiǎn)面非常大，任何一個(gè)疏忽都可能導(dǎo)致前功盡棄。因此建議醫(yī)療機(jī)構(gòu)建立全面、立體化的網(wǎng)絡(luò)安全防護(hù)能力，在服務(wù)器、網(wǎng)絡(luò)、終端等多個(gè)層面建立網(wǎng)絡(luò)威脅防御能力，防護(hù)患者入口網(wǎng)站、電子病歷系統(tǒng)、醫(yī)療終端等各個(gè)節(jié)點(diǎn)，防止數(shù)據(jù)外泄或資金風(fēng)險(xiǎn)，并滿足網(wǎng)絡(luò)安全相關(guān)法規(guī)需求。”

APT攻擊共有六個(gè)階段，包括：情報(bào)收集、單點(diǎn)突破、命令與控制(C&C 通信)、橫向移動(dòng)、資產(chǎn)/資料發(fā)掘、資料竊取。這種攻擊方式雖然超越了單點(diǎn)防護(hù)產(chǎn)品的功能范疇，但不是說(shuō)企業(yè)就束手無(wú)策。相反，隨時(shí)掌握整個(gè)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)的流量情況，并針對(duì)APT攻擊階段分別建立威脅“抑制點(diǎn)”、形成安全產(chǎn)品之間的聯(lián)動(dòng)，將會(huì)對(duì)APT攻擊起到有效的治理作用。

攻和防從來(lái)都是在悄然無(wú)息中暗自腳力，APT攻擊從來(lái)都不會(huì)坐以待斃。從安全運(yùn)維角度來(lái)看，一個(gè)完整的運(yùn)維體系同樣也包含四個(gè)階段：

1. 偵測(cè)階段：從日常的海量告警信息中甄別出潛伏最深、最具攻擊性的威脅，并將有限的運(yùn)維人員投放在最有價(jià)值的威脅響應(yīng)工作中，以避免越來(lái)越多的人工干預(yù)導(dǎo)致的成本急劇增長(zhǎng)，延長(zhǎng)響應(yīng)周期;

2. 分析階段：準(zhǔn)確判斷威脅的真實(shí)性，并進(jìn)一步確認(rèn)威脅的本質(zhì)以及攻擊者的意圖，回溯攻擊場(chǎng)景，評(píng)估威脅嚴(yán)重性、影響和范圍，真正做到對(duì)威脅的定性定量分析;

3. 響應(yīng)階段：制定響應(yīng)預(yù)案及工作流，為下一步威脅響應(yīng)提供策略支撐，在提高自動(dòng)化響應(yīng)能力減少人工干預(yù)的同時(shí)，更節(jié)省成本開(kāi)銷，降低響應(yīng)周期;

4. 預(yù)防階段：制定高效的預(yù)防機(jī)制和自我風(fēng)險(xiǎn)評(píng)估，做到主動(dòng)預(yù)防的方法、技術(shù)和手段可以幫助客戶防微杜漸，避免此類威脅或者新型威脅的入侵。

針對(duì)以上在安全運(yùn)維中面臨的種種挑戰(zhàn)以及管理者最關(guān)心的問(wèn)題，亞信安全2018下一代威脅治理戰(zhàn)略3.0中提出了“精密編排的網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力SOAR模型”，該模型從安全運(yùn)維視角出發(fā)，通過(guò)SOAR平臺(tái)的精密編排能力，先將云管端安全產(chǎn)品(云和虛擬化安全產(chǎn)品Deep Security、高級(jí)威脅網(wǎng)絡(luò)偵測(cè)產(chǎn)品TDA、高級(jí)威脅網(wǎng)絡(luò)防護(hù)產(chǎn)品Deep Edge、高級(jí)威脅郵件防護(hù)產(chǎn)品DDEI、終端安全防護(hù)產(chǎn)品OSCE)提交至現(xiàn)有SIEM/SOC系統(tǒng)的威脅告警做以分類和優(yōu)先級(jí)劃分，然后通過(guò)高級(jí)威脅情報(bào)平臺(tái)CTIP以及高級(jí)威脅分析設(shè)備DDAN確認(rèn)威脅的真實(shí)性、本質(zhì)及意圖，再利用部署在服務(wù)器和終端的高級(jí)威脅取證系統(tǒng)CTDI對(duì)威脅做進(jìn)一步調(diào)查取證、驗(yàn)傷、以及影響評(píng)估，最后按照SOAR預(yù)先定義的演練腳本自動(dòng)化將響應(yīng)策略下發(fā)給云管端的安全產(chǎn)品Deep Security、Deep Edge以及OSCE做威脅處置和響應(yīng)，最終形成一套精密編排的安全聯(lián)動(dòng)運(yùn)維體系，使得相關(guān)機(jī)構(gòu)可以不斷提升網(wǎng)絡(luò)空間回復(fù)補(bǔ)救能力，抵御形形色色的網(wǎng)絡(luò)滲透、攻擊和高級(jí)威脅的入侵。

亞信安全為醫(yī)療行業(yè)用戶提供了完整的上述解決方案，并樹(shù)立了江蘇省人民醫(yī)院等一大批標(biāo)桿案例，攜手各級(jí)醫(yī)療機(jī)構(gòu)，共建網(wǎng)絡(luò)安全新防線。