近期,某省各醫(yī)療衛(wèi)生機構接到緊急通知:目前已有多家醫(yī)院中勒索病毒���,要求做好勒索病毒防范工作����。
勒索病毒�����,是一種新型電腦病毒,主要以郵件�、程序木馬、網頁掛馬的形式進行傳播�����。這種病毒利用各種加密算法對文件進行加密���,被感染者一般無法解密��,必須拿到解密的私鑰才有可能破解��。
從2017年永恒之藍病毒開始���,大面積的醫(yī)院被攻擊導致系統(tǒng)藍屏;2018年春節(jié)過后��,某省兒童醫(yī)院文件被加密……近幾年��,越來越多的醫(yī)療機構受到勒索病毒的威脅和傷害���,而勒索病毒版本迭代越來越快�,單純依賴主機殺毒軟件已收效甚微。
據《2018中國互聯網網絡安全報告》顯示�,2018年CNCERT/CC全年捕獲勒索軟件近14萬個,全年整體增長明顯��,尤其是2018年下半年活躍勒索軟件呈快速增長趨勢����,且更新頻率和威脅嚴重程度大幅增加�,僅GandCrab全年就出現了約19個版本;同時可以看到��,勒索軟件傳播手段越來越豐富��,集成的漏洞也多種多樣�,從簡單的弱口令到影響廣泛的漏洞都可能成為勒索病毒快速傳播的途徑。而且需要特別注意的是政府�����、醫(yī)療�、教育等重要行業(yè)關鍵基礎設施成為勒索軟件攻擊的重點目標。
(以上部分內容和圖片來自CNCERT/CC)
勒索病毒會帶來哪些影響
終端被勒索醫(yī)生�����、護士等工作站的終端被勒索,可導致醫(yī)生無法正常開處方��、下醫(yī)囑����,護士無法有效開展護理工作。
生產數據被勒索生產數據等患者信息數據被勒索�,大量暗網交易數據隨之產生,不僅如此����,醫(yī)院信息系統(tǒng)也將隨之崩潰,令大量病患滯留在醫(yī)院當中�。
數據庫被勒索數據庫文件存放著核心業(yè)務系統(tǒng)的數據,一旦數據庫文件被加密勒索��,核心業(yè)務將被迫終止�,造成業(yè)務癱瘓及敏感數據丟失。
攻擊鏈分析
從醫(yī)療行業(yè)被入侵的方式上看�����,勒索病毒主要通過系統(tǒng)漏洞和端口爆破入侵�����,然后利用永恒之藍漏洞工具包傳播,一旦不法黑客得以入侵內網���,還會利用更多攻擊工具在局域網內橫向擴散��。
常用攻擊入口:
防范建議:
-
盤點網絡上的所有資產和資源;
-
定期進行漏洞評估和配置管理�,以識別風險,并及時修補系統(tǒng)漏洞����,同時不要忽略各種常用服務的安全補?����?���;
-
采用身份管理方法來管理用戶���、帳戶�、權利和角色�,以預防不適當的用戶訪問;
-
避免在服務器中使用過于簡單的口令�����;登錄口令盡量采用大小寫字母���、數字�����、特殊符號混用的組合方式����,并且保持口令有足夠的長度;同時添加限制登錄失敗次數的安全策略并定期更換登錄口令�����;
-
關閉非必要的服務和端口����,如135、139�、445、3389等高危端口���;
-
執(zhí)行訪問權限管理以保護敏感帳戶不被濫用��;
-
供應商訪問時需使用安全的遠程訪問技術,以避免不受控制的資產被破壞�;
-
確保安全防護設備及時更新,在維護范圍內并定期審查預期壽命���。
盛邦安全醫(yī)療行業(yè)勒索病毒檢測及防御解決方案(“哨兵”解決方案)
盛邦安全醫(yī)療行業(yè)勒索病毒檢測及防御解決方案(簡稱“哨兵”解決方案)�����,采用“RayEYE” + “EDR” +“安全服務”的體系架構 �����,形成一套完整的醫(yī)療行業(yè)勒索病毒檢測及防御解決方案�����,幫助醫(yī)療行業(yè)用戶全面監(jiān)測網絡環(huán)境中的流量�,并基于流量分析出網絡環(huán)境中存在的問題,同時加入EDR對終端主機進行防護���,滿足客戶個性化需求���。不同的業(yè)務系統(tǒng)采用不同的防御策略,利用自動化安全運維系統(tǒng)����,降低工作復雜度,建立7*24小時的安全監(jiān)控體系����,并可以隨時以郵件/短信等形式獲知安全狀態(tài)。
從流量監(jiān)控、文件沙箱檢測�����,到終端防護����,盛邦安全結合安全服務,為醫(yī)療行業(yè)客戶提供從“端”到“面”��,從事先監(jiān)測���、事中對抗到事后溯源的全面勒索病毒檢測及防御解決方案��,有效解決勒索病毒�、APT攻擊等安全威脅與問題����。
異常流量檢測
通過部署EDR,有效防止漏洞利用�����,結合RayEYE對流量中異常流量進行分析��,及時發(fā)現網絡中的端口掃描�����、弱口令利用����、漏洞利用和網絡釣魚等攻擊行為;
潛伏期檢測
可針對后門進行檢測��,同時對文件的上傳下載進行文件還原����,多引擎交叉驗證,多維探針�����,并進行沙箱驗證等�;
變種檢測
將惡意代碼映射為灰度圖像,并提取其灰度圖像特征�����;利用惡意代碼灰度圖像特征進行聚類�����,并將聚類結果進行惡意代碼家族標注,并將惡意代碼海量樣本送入沙箱分析檢測��;
溯源取證
在現網中�����,RayEYE系統(tǒng)獲取實時網絡會話基因特征�����,使用檢測模型對網絡流量進行惡意代碼加密通訊檢測�����,結合威脅情報精準定位IP��,同時通過安全服務對整體網絡進行二次加固���。
截止到目前�����,盛邦安全已幫助北京協(xié)和醫(yī)院����、阜外醫(yī)院等全國百余家醫(yī)療機構順利完成網絡安全建設和等級保護整改工作���,并緊跟當下安全行業(yè)趨勢變化���,不斷推出適合醫(yī)療行業(yè)應用場景和需求痛點的安全產品、解決方案和服務�����,持續(xù)為醫(yī)療行業(yè)客戶的信息與網絡安全業(yè)務保駕護航���。
