醫(yī)療數(shù)據(jù)大規(guī)模泄露的背后,是網(wǎng)絡地下黑色市場中���,醫(yī)療數(shù)據(jù)極為珍貴的價值���。亞信安全針對網(wǎng)絡地下黑色市場的長期跟蹤也發(fā)現(xiàn),醫(yī)療數(shù)據(jù)在暗網(wǎng)中極受青睞���,醫(yī)療信息資料的價格每份35元起步����,成為黑客竊取醫(yī)療數(shù)據(jù)的巨大動力�。利用泄露的患者醫(yī)療數(shù)據(jù)�����,某些醫(yī)院可以根據(jù)不同患者的病情���,“定制”撥打營銷電話或是推送廣告�,電信詐騙者也會利用這些信息進行網(wǎng)絡詐騙,特別是政治人物�、明星的醫(yī)療數(shù)據(jù),價格更是難以衡量�����。
重重防護之下 黑客為什么還是可以得逞�����?
正是由于醫(yī)療數(shù)據(jù)泄露可能帶來的嚴重后果����,很多醫(yī)療機構部署了嚴密的網(wǎng)絡安全體系,關鍵部門與業(yè)務甚至通過物理隔離的方式來進行保護����。但是這樣依然沒有阻擋黑客的入侵腳步,醫(yī)療系統(tǒng)遭到攻擊導致數(shù)據(jù)泄密或是業(yè)務中斷的事件仍然常有發(fā)生��,即使在物理隔離的內網(wǎng)也不能幸免�。
醫(yī)療數(shù)據(jù)容易泄露的原因與其流動的特性有關。首先���,因為醫(yī)療信息化系統(tǒng)的復雜性�����,醫(yī)療數(shù)據(jù)通常會流經(jīng)多個系統(tǒng)��、跨越多個單位和安全領域���,在醫(yī)院的網(wǎng)站�、掛號系統(tǒng)�����、電子病歷系統(tǒng)���、醫(yī)療設備���、醫(yī)院數(shù)據(jù)管理系統(tǒng)等多個應用之間流轉,任何一個節(jié)點的漏洞都可能導致數(shù)據(jù)泄露��。
其次����,醫(yī)療數(shù)據(jù)的高價值讓網(wǎng)絡攻擊者得以進行更加周密的籌劃,他們會選擇更精進����、更隱秘的APT攻擊的方式,逐漸滲透到醫(yī)療系統(tǒng)中�,伺機尋找竊取醫(yī)療數(shù)據(jù)的機會。網(wǎng)絡攻擊者可以在網(wǎng)絡地下黑色市場輕松購買到APT的攻擊程序����,他們看準了醫(yī)療衛(wèi)生行業(yè)相對薄弱的安全防護體系,在數(shù)據(jù)橫跨的多個系統(tǒng)中尋找攻擊點�,這可能包括用戶新籌建的移動醫(yī)療系統(tǒng)、云計算平臺�,醫(yī)療設備、物聯(lián)網(wǎng)技術供應商等�,這些都超出了傳統(tǒng)數(shù)據(jù)防泄露技術的范疇。
據(jù)悉�����,在新加坡此次醫(yī)保資料泄露事故中����,黑客即采用了APT攻擊的方式,首先從新加坡保健服務集團的一臺前端用戶電腦侵入�����,植入惡意軟件后,再查找集團數(shù)據(jù)庫中的病患個人資料��,并在6月27日至7月4日期間逐步將數(shù)據(jù)滲漏出去�。
重壓之下醫(yī)療機構如何保護醫(yī)療數(shù)據(jù)
如何更好的保護醫(yī)療數(shù)據(jù),不僅影響著醫(yī)療機構的數(shù)據(jù)資產����,也關系著國計民生,亞信安全近期與CHIMA�、上海市衛(wèi)生計生委信息中心共同發(fā)布的《中國醫(yī)院信息安全白皮書》指出,解決醫(yī)院信息安全的基本思路要做到“統(tǒng)一規(guī)劃建設��、全面綜合防御���、技術管理并重�����、保障運行安全”�����, 通過安全措施構建縱深的防御體系�����,對信息系統(tǒng)實行分域保護�,以實現(xiàn)業(yè)務安全穩(wěn)定運行�����,并有效應對網(wǎng)絡安全事件����,維護業(yè)務數(shù)據(jù)的完整性、保密性和可用性�����。
亞信安全產品總監(jiān)白日表示:“網(wǎng)絡安全威脅可能會從各個渠道滲透到醫(yī)療系統(tǒng)中���,風險面非常大����,任何一個疏忽都可能導致前功盡棄��。因此建議醫(yī)療機構建立全面、立體化的網(wǎng)絡安全防護能力���,在服務器���、網(wǎng)絡、終端等多個層面建立網(wǎng)絡威脅防御能力���,防護患者入口網(wǎng)站���、電子病歷系統(tǒng)、醫(yī)療終端等各個節(jié)點�����,防止數(shù)據(jù)外泄或資金風險��,并滿足網(wǎng)絡安全相關法規(guī)需求����。”
APT攻擊共有六個階段�����,包括:情報收集、單點突破�、命令與控制(C&C 通信)、橫向移動��、資產/資料發(fā)掘�、資料竊取��。這種攻擊方式雖然超越了單點防護產品的功能范疇��,但不是說企業(yè)就束手無策����。相反,隨時掌握整個醫(yī)療機構網(wǎng)絡的流量情況���,并針對APT攻擊階段分別建立威脅“抑制點”�����、形成安全產品之間的聯(lián)動�,將會對APT攻擊起到有效的治理作用�。
攻和防從來都是在悄然無息中暗自腳力,APT攻擊從來都不會坐以待斃�����。從安全運維角度來看,一個完整的運維體系同樣也包含四個階段:
1.偵測階段:從日常的海量告警信息中甄別出潛伏最深���、最具攻擊性的威脅�����,并將有限的運維人員投放在最有價值的威脅響應工作中��,以避免越來越多的人工干預導致的成本急劇增長�,延長響應周期���;
2.分析階段:準確判斷威脅的真實性���,并進一步確認威脅的本質以及攻擊者的意圖,回溯攻擊場景���,評估威脅嚴重性�����、影響和范圍���,真正做到對威脅的定性定量分析�;
3.響應階段:制定響應預案及工作流����,為下一步威脅響應提供策略支撐,在提高自動化響應能力減少人工干預的同時��,更節(jié)省成本開銷��,降低響應周期�;
4.預防階段:制定高效的預防機制和自我風險評估���,做到主動預防的方法��、技術和手段可以幫助客戶防微杜漸���,避免此類威脅或者新型威脅的入侵。
針對以上在安全運維中面臨的種種挑戰(zhàn)以及管理者最關心的問題����,亞信安全2018下一代威脅治理戰(zhàn)略3.0中提出了“精密編排的網(wǎng)絡空間恢復補救能力SOAR模型”,該模型從安全運維視角出發(fā)��,通過SOAR平臺的精密編排能力,先將云管端安全產品(云和虛擬化安全產品Deep Security�����、高級威脅網(wǎng)絡偵測產品TDA��、高級威脅網(wǎng)絡防護產品Deep Edge���、高級威脅郵件防護產品DDEI�����、終端安全防護產品OSCE)提交至現(xiàn)有SIEM/SOC系統(tǒng)的威脅告警做以分類和優(yōu)先級劃分��,然后通過高級威脅情報平臺CTIP以及高級威脅分析設備DDAN確認威脅的真實性�、本質及意圖��,再利用部署在服務器和終端的高級威脅取證系統(tǒng)CTDI對威脅做進一步調查取證�、驗傷、以及影響評估�,最后按照SOAR預先定義的演練腳本自動化將響應策略下發(fā)給云管端的安全產品Deep Security、Deep Edge以及OSCE做威脅處置和響應�����,最終形成一套精密編排的安全聯(lián)動運維體系,使得相關機構可以不斷提升網(wǎng)絡空間回復補救能力��,抵御形形色色的網(wǎng)絡滲透�、攻擊和高級威脅的入侵。
亞信安全為醫(yī)療行業(yè)用戶提供了完整的上述解決方案���,并樹立了江蘇省人民醫(yī)院等一大批標桿案例���,攜手各級醫(yī)療機構,共建網(wǎng)絡安全新防線��。
