来源:HIT专家网 记者:孙鹏
今年5月上旬,“勒索病毒”肆虐全球信息网络,医疗机构成为了受威胁影响最严重的“灾区”之一。而早在2016年,业界知名企业思科公司就曾发布过针对勒索软件的分析即《勒索软件:过去、现在和未来》,就预测到勒索软件攻击对象可能会从个人用户开始转向企业用户,会利用类似蠕虫病毒传播的方式造成更大的危害。
网络安全,一直以来就是思科最为重视的关键业务之一。“勒索软件不是第一次出现,目前它已经成为网络安全的最大威胁,并且必将成为一个常态。” 在HIT专家网对思科进行专访时,思科大中华区网络安全事业部技术总监徐洪涛表示,“对于医疗行业而言,数据的隐私性和业务系统及医疗设备的可用性是我们最为看重的, 也是需要保护的最关键方面。而勒索软件的制作者也正是看到这些,将医疗行业作为其主要的攻击对象。”
近年来,由于医疗机构IT网络基础架构薄弱,再加之医疗互联网化转型不断提速,在日益增多的潜在威胁面前,医院所面临的信息安全的挑战,急需全面重新加以评估和应对。
医院网络“无边界化”势必带来更多安全隐患
当前,医院面临的业务日益开放,已不再仅仅局限于“院内”。在院前有预约挂号、网络咨询、院中移动支付结算等需求,在院后有报告推送、随访、院长及医务人员移动办公、远程会诊等需求,新的需求层出不穷,这就要求今天的中国医院不得不全面打破以往内外网物理隔离的网络环境格局,医院网络基础设施呈现出了日益开放的发展特点。同时,应用系统朝着越来越移动化和云化的方向前进,最典型的例子就是,时下诸多医疗业务应用和数据被迁移至云端。而对医疗机构甚至整个行业来说,这将面临着新的信息安全威胁。
思科认为,当今医疗系统的业务模型发生了很大的变化,越来越多的智能终端,越来越多的接入用户类型,以及越来越广的接入位置,使得传统的医院网络朝着“无边界”方向发展。从应用端来看,云计算得到了广泛的应用,虚拟化技术,各种新应用大量出现。所有新的技术应用的出现,都使得传统的网络边界变得越来越模糊,而如何更好地实施动态分区、边界控制和有效防御,就成为了医疗网络安全面临的一个重大课题。
思科表示,除了来自全球的日益更新的恶意威胁之外,在新时期下,医疗行业自身的一些特点,也使得其本身存在一些安全的隐患,容易被黑客利用。
一是医疗系统的建设过程中,设备往往优先注重优化医疗方面的技术,忽略了网络安全方面的设计、如存在非授权的访问、未加密的通信信道等,这些容易导致医疗设备被黑客入侵。
二是有时候医疗机构无法及时地对某些嵌入式系统打上最新的补丁,也会导致自身的系统内部或多或少的会存在一些系统漏洞,给黑客以可乘之机。
三是目前医疗行业的从业者对IT系统的依赖性越来越大,而医生自身不是专业的IT人员,没有足够的安全意识,容易在系统的使用过程中,引入新的风险。
从被动到主动:建立“防御+检测+响应”的新安全机制
如何在日益开放的网络环境中做好对核心医疗数据和病人隐私的防护,这对于医院的信息主管们是头等大事。本次“勒索病毒”对业内来说,最大的教训就是面对网络安全问题,不能碰到事件后去简单地选择亡羊补牢,而应该更多地去做到未雨绸缪,在事件发生之前能够更多地去了解最新的威胁,加固自身的系统,从技术上要做到主动防御,不断完善自身的防御机制,充分利用全球化安全大数据/安全情报系统给我们带来的关键实时信息和自动化防御手段,在新的威胁出现的第一时间点就能够实现自动地威胁拦截。
思科建议,医疗机构用户不能完全依赖某些防御手段,防御/检测/响应相结合的安全模型也是至关重要,任何一套安全系统都不可能有100%的防御效率,所以医院需要充分利用各种检测手段,快速地发现网络中已经存在的攻击,有效地减少攻击在医疗网络当中的活动时间。唯有如此,才能够真正地减少因为恶意攻击而造成的损失。
思科网络安全应对之道:可见、可控、有效
在日益严峻和复杂的安全形势下,思科认为,在新的医疗系统当中,如何做到可见性,可控性和有效的威胁防御,将成为医疗行业网络安全建设的关键。为此,思科针对医疗行业提出了相应的安全技术解决方案来专门应对新威胁。
一个是思科的情景感知技术(包括思科的ISE终端准入平台/Firepower 高级威胁分析平台/Stealthwatch异常流量分析平台)。任何机构都无法保护一个自己根本就不了解的网络。对网络以及接入终端的全面可知,是管理员做出正确的控制和防御策略的前提。思科的情景感知技术可以全面了解医疗网络当中的业务终端、医疗设备的设备类型,使用者的身份、终端所处的位置以及终端接入网络的时间等因素,同时也包括其应用、服务、操作系统、漏洞、网络流量等相关信息。只有全面感知了这些信息,医院才能够针对不同的终端做出相应的授权和分区隔离。而对于一个恶意攻击行为,如果具备了这些信息,医院就可以与终端的信息有效关联,一方面可准确地判读出该事件是否会真正的造成威胁,另一方面也可以帮助医院更好的进行快速修复。
另一个关键技术是思科的Talos安全情报平台。除了自身网络信息的可见性,医疗机构还需要从全球角度获得威胁情报的可见性,比如互联网上最新的攻击是什么样子、什么样的文件是恶意文件、什么样的邮件是垃圾邮件、什么样的链接是挂马网站等。这些问题是医院用户很难自己去判断的,所以,基于安全情报的自动化防御,是针对互联网威胁防御必须具备的。思科的Talos安全情报平台,通过对全球最多的威胁数据的分析,可以为所有的部署在用户边界的思科安全平台提供实时的威胁情报,这样的一个全面的、动态的、安全情报,可以帮助医疗机构针对全球最新的威胁在边界处即可实施准确的阻挡。
图示为思科Talos安全情报在Wannacry勒索软件发生过程中提供的一个全球防护时间表,从中可深刻地看出全球化安全情报对这种最新恶意威胁防御的价值。
此外,除了能做到可见性和可控性,威胁防御的有效性也是不能不提到一个重要话题。思科表示,很多医疗机构用户在不同的系统应用位置,针对不同的威胁,部署了多个安全系统平台进行防御,但是各个系统都是在独立的工作,系统之间缺乏信息的共享,并没有起到“1+1>2”的效果。因此,从提高防御有效性的角度出发,思科认为,医院应搭建一个统一的平台,各个安全防御系统都基于统一的平台上,这样就可以实现诸如安全情报、事件信息、安全策略等内容的共享,通过这些共享,能够全面地提高医疗机构对安全事件分析的准确率以及对安全事件处理的及时性。
(了解更多,请点击进入 思科助推中国医疗行业数字化转型专区)
【责任编辑:孙鹏】
评论前必须登录!
注册