近日,新加坡遭受了史上最严重的网络攻击,近150万人的医保资料遭到泄露,这些信息包括病患姓名、国籍、地址、性别、种族和出生日期等,受害者甚至包括新加坡总理李显龙。此事件折射出在医疗机构加速数字化的今天,网络安全能力的匮乏,已经严重影响了全球公民健康数据的个人隐私,威胁着医疗机构的数字资产。亚信安全建议医疗机构是时候重新审视安全防护体系的有效性,要严密关注高级持续性威胁攻击(APT)的发展动向,并建立起全面、立体、有效的网络安全防护体系。
医疗机构已经成为网络攻击的重要目标
此次新加坡的医保资料泄露事件并不是孤例,事实上,医疗机构受到攻击的事件在近年来已经愈演愈烈。2015年,美国第二大医疗保险公司Anthem就被黑客盗取了该公司超过8000万客户和雇员的个人信息。同年,加州大学洛杉矶分校医疗系统遭遇大规模的黑客攻击,大约450万份客户医疗数据泄露。2018年初,挪威四大区域医疗保健组织之一的Health South East RHF遭到网络攻击,可能有290万人成为了事件的受害者。在中国,某部委的医疗服务信息系统被爆遭到黑客入侵,大量孕检信息遭到泄露和买卖。
医疗数据大规模泄露的背后,是网络地下黑色市场中,医疗数据极为珍贵的价值。亚信安全针对网络地下黑色市场的长期跟踪也发现,医疗数据在暗网中极受青睐,医疗信息资料的价格每份35元起步,成为黑客窃取医疗数据的巨大动力。利用泄露的患者医疗数据,某些医院可以根据不同患者的病情,“定制”拨打营销电话或是推送广告,电信诈骗者也会利用这些信息进行网络诈骗,特别是政治人物、明星的医疗数据,价格更是难以衡量。
重重防护之下 黑客为什么还是可以得逞?
正是由于医疗数据泄露可能带来的严重后果,很多医疗机构部署了严密的网络安全体系,关键部门与业务甚至通过物理隔离的方式来进行保护。但是这样依然没有阻挡黑客的入侵脚步,医疗系统遭到攻击导致数据泄密或是业务中断的事件仍然常有发生,即使在物理隔离的内网也不能幸免。
医疗数据容易泄露的原因与其流动的特性有关。首先,因为医疗信息化系统的复杂性,医疗数据通常会流经多个系统、跨越多个单位和安全领域,在医院的网站、挂号系统、电子病历系统、医疗设备、医院数据管理系统等多个应用之间流转,任何一个节点的漏洞都可能导致数据泄露。
其次,医疗数据的高价值让网络攻击者得以进行更加周密的筹划,他们会选择更精进、更隐秘的APT攻击的方式,逐渐渗透到医疗系统中,伺机寻找窃取医疗数据的机会。网络攻击者可以在网络地下黑色市场轻松购买到APT的攻击程序,他们看准了医疗卫生行业相对薄弱的安全防护体系,在数据横跨的多个系统中寻找攻击点,这可能包括用户新筹建的移动医疗系统、云计算平台,医疗设备、物联网技术供应商等,这些都超出了传统数据防泄露技术的范畴。
据悉,在新加坡此次医保资料泄露事故中,黑客即采用了APT攻击的方式,首先从新加坡保健服务集团的一台前端用户电脑侵入,植入恶意软件后,再查找集团数据库中的病患个人资料,并在6月27日至7月4日期间逐步将数据渗漏出去。
重压之下医疗机构如何保护医疗数据
如何更好的保护医疗数据,不仅影响着医疗机构的数据资产,也关系着国计民生,亚信安全近期与CHIMA、上海市卫生计生委信息中心共同发布的《中国医院信息安全白皮书》指出,解决医院信息安全的基本思路要做到“统一规划建设、全面综合防御、技术管理并重、保障运行安全”, 通过安全措施构建纵深的防御体系,对信息系统实行分域保护,以实现业务安全稳定运行,并有效应对网络安全事件,维护业务数据的完整性、保密性和可用性。
亚信安全产品总监白日表示:“网络安全威胁可能会从各个渠道渗透到医疗系统中,风险面非常大,任何一个疏忽都可能导致前功尽弃。因此建议医疗机构建立全面、立体化的网络安全防护能力,在服务器、网络、终端等多个层面建立网络威胁防御能力,防护患者入口网站、电子病历系统、医疗终端等各个节点,防止数据外泄或资金风险,并满足网络安全相关法规需求。”
APT攻击共有六个阶段,包括:情报收集、单点突破、命令与控制(C&C 通信)、横向移动、资产/资料发掘、资料窃取。这种攻击方式虽然超越了单点防护产品的功能范畴,但不是说企业就束手无策。相反,随时掌握整个医疗机构网络的流量情况,并针对APT攻击阶段分别建立威胁“抑制点”、形成安全产品之间的联动,将会对APT攻击起到有效的治理作用。
攻和防从来都是在悄然无息中暗自脚力,APT攻击从来都不会坐以待毙。从安全运维角度来看,一个完整的运维体系同样也包含四个阶段:
1. 侦测阶段:从日常的海量告警信息中甄别出潜伏最深、具攻击性的威胁,并将有限的运维人员投放在最有价值的威胁响应工作中,以避免越来越多的人工干预导致的成本急剧增长,延长响应周期;
2. 分析阶段:准确判断威胁的真实性,并进一步确认威胁的本质以及攻击者的意图,回溯攻击场景,评估威胁严重性、影响和范围,真正做到对威胁的定性定量分析;
3. 响应阶段:制定响应预案及工作流,为下一步威胁响应提供策略支撑,在提高自动化响应能力减少人工干预的同时,更节省成本开销,降低响应周期;
4. 预防阶段:制定高效的预防机制和自我风险评估,做到主动预防的方法、技术和手段可以帮助客户防微杜渐,避免此类威胁或者新型威胁的入侵。
针对以上在安全运维中面临的种种挑战以及管理者最关心的问题,亚信安全2018下一代威胁治理战略3.0中提出了“精密编排的网络空间恢复补救能力SOAR模型”,该模型从安全运维视角出发,通过SOAR平台的精密编排能力,先将云管端安全产品(云和虚拟化安全产品Deep Security、高级威胁网络侦测产品TDA、高级威胁网络防护产品Deep Edge、高级威胁邮件防护产品DDEI、终端安全防护产品OSCE)提交至现有SIEM/SOC系统的威胁告警做以分类和优先级划分,然后通过高级威胁情报平台CTIP以及高级威胁分析设备DDAN确认威胁的真实性、本质及意图,再利用部署在服务器和终端的高级威胁取证系统CTDI对威胁做进一步调查取证、验伤、以及影响评估,最后按照SOAR预先定义的演练脚本自动化将响应策略下发给云管端的安全产品Deep Security、Deep Edge以及OSCE做威胁处置和响应,最终形成一套精密编排的安全联动运维体系,使得相关机构可以不断提升网络空间回复补救能力,抵御形形色色的网络渗透、攻击和高级威胁的入侵。
亚信安全为医疗行业用户提供了完整的上述解决方案,并树立了江苏省人民医院等一大批标杆案例,携手各级医疗机构,共建网络安全新防线。