自2017年5月一種名為WannaCry的勒索病毒爆發以來,部分醫院成為主要攻擊對象之一。
9月17日至21日,在2018年國家網絡安全宣傳周暨2018年網絡安全博覽會期間,騰訊智慧安全發布《醫療行業勒索病毒專題報告》(以下簡稱「報告」)。報告發現,自今年7月以來,勒索病毒一直處於持續活躍的狀態,其中8月相對於7月勒索病毒傳播有所加強。另外在全國三甲醫院中,有247家醫院檢出了勒索病毒,以廣東、湖北、江蘇等地區檢出勒索病毒最多。
其中,被勒索病毒攻擊的作業系統主要以Windows 7為主,Windows 10次之,以及停止更新的Windows XP。對此,報告指出,當前沒有及時更新作業系統的醫療機構仍佔一定的比例,這極有可能會為醫療業務帶來極大的安全隱患。
針對性投放病毒
2017年5月12日,WannaCry勒索病毒爆發,全英國16家醫院遭到大範圍網絡攻擊,醫院的內網被攻陷,導致這16家醫院基本中斷了與外界聯繫,內部醫療系統幾乎停止運轉,很快又有更多醫院的電腦遭到攻擊,這場網絡攻擊迅速席捲全球。
勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。
7、8月勒索病毒趨勢
全國醫院勒索病毒攻擊地域分布
報告指出,全國醫院高危漏洞仍然有RTF漏洞、Flash漏洞等未及時修復。勒索病毒工作者往往會將帶漏洞利用的Office文檔通過偽造的釣魚郵件傳播,一旦用戶點擊打開,則會下載勒索病毒在內網展開攻擊。
報告指出,勒索病毒相較2017年也已發生較為明顯的變化,攻擊行動不再是沒有目的的廣撒網式傳播,而是針對重點高價值目標投放,以最大限度達到敲詐勒索的目的。
從醫療行業被勒索病毒入侵的方式上看,勒索病毒主要通過系統漏洞入侵和埠爆破,然後利用永恆之藍漏洞工具包傳播,一旦不法黑客得以入侵內網,還會利用更多攻擊工具在區域網內橫向擴散。根據調查分析,國內各醫療機構大多都有及時修復高危漏洞的意識,但由於資產管理不到位,導致少數機器依然存在風險,給了不法分子可乘之機。
報告指出,病毒傳播者不斷更新作案手法,通過加強代碼混淆加密升級對抗技術方案,導致安全軟體無法及時報毒。以PyLocky勒索病毒為例,該勒索病毒擁有正規的數字籤名,藉助合法證書避免被安全軟體的查殺攔截,從而橫行網絡,給用戶網絡安全帶來巨大的威脅。而另一個勒索病毒GandCrab,在7月初發現第四代之後,短短2個月就更新了4個版本,速度之快令人咋舌。
在傳播場景方面,傳統的勒索病毒傳播更多的依賴於水坑攻擊、釣魚郵件攻擊、或利用Office安全漏洞構造攻擊文檔,誘騙安全意識不足的目標用戶運行後中毒。近日騰訊智慧安全御見威脅情報中心監測還發現,越來越多的攻擊者會首先從醫療機構連接外網的Web伺服器入手,利用伺服器的安全漏洞或弱口令入侵,一旦成功,便會利用更多攻擊工具在內網繼續攻擊擴散。如果醫療機構的業務系統存在安全漏洞,又遲遲未能修補,便會給不法分子留下可趁之機。
報告通過對調查中醫療機構採用的各種數據安全措施分析,發現數據災備、資料庫鏡像備份、數據冷備份和數據離線存儲是醫院主要的數據安全措施,目前至少有一半醫院採取了數據備份措施,使得醫院遭受勒索攻擊時,能及時恢復數據維持業務正常運轉。
醫療網際網路化安全考驗
網際網路時代,隨著移動醫療、AI醫療影像、電子病歷等等數位化程序的普及,醫療數據被洩露屢見不鮮。面對未知、突發性的勒索病毒,採取主動事前防禦的辦法,無疑是保護企業信息安全的重中之重。
作為安全廠商,騰訊安全稱,其不斷完善迭代智慧醫療行業安全解決方案,通過御點終端安全管理系統,幫助企業有針對性的查殺病毒,抵禦網絡攻擊,同時與騰訊御界高級威脅檢測系統、騰訊御見安全態勢感知平臺和新加入的騰訊御知網絡空間風險雷達等產品,在終端安全、邊界安全、網站監測、統一監控方面為醫療機構建立一套集風險監測、分析、預警、響應和可視化為一體的安全體系。
目前,騰訊智慧安全已經同復旦大學附屬腫瘤醫院、重慶市人民醫院、陸軍軍醫大學第二附屬醫院、中山市人民醫院等二十多家醫療機構達成合作協議,為這些醫療機構輸出安防能力。
以深圳市南山醫院為例,騰訊智慧安全依託「雲、管、端」一體化綜合立體防護模式為南山醫院信息安全建設提供以醫療數據安全為中心,圍繞辦公終端、伺服器安全、運營維護管理、安全服務、雲上安全五大安全建設需求的完整解決方案,以提升南山醫院發現已知和未知威脅攻擊、並快速響應處理的能力。