业务背景
国家对网络安全越来越重视,一旦发生网络安全事件压力通过网安——卫健委——分管院长层层传递,而传统安全体系让信息科无法有效了解内部安全情况,两眼一摸黑,无法回应领导“我就是要绝对安全”的要求。医疗行为的特殊性决定了医疗数据的真实性,包含患者的姓名、年龄、居住地址、电话、病史、银行账户等信息,蕴含着重要的财富价值,成为了不良黑客的香饽饽。另外医疗数据的重要程度可以与银行相媲美,对数据和业务的实时性要求很高,用信息科的话说要达到:数据一点不能丢,业务一刻不能停。所以,一旦数据被加密,无论面对焦急等待就医的患者,还是面对上级部门的问责,都让医院压力倍增,不惜代价先把数据恢复再说。勒索病毒得手如此容易,也让黑客乐此不疲。
医院内网PC客户端较多,且多数无密码、缺少补丁,杀毒软件安装情况参差不齐,导致无法进行有效的安全管理,基本处于“裸奔”状态。医疗行业特殊性导致445、3389无法关闭,无法从根源阻断勒索、挖矿病毒的传播途径。
随着医院发展,采购各类医疗设备较多,操作系统过时的医疗设备也是网络攻击者的重要途径。很多医疗设备质量优质,运行时间长,有些能够保证运行十年以上。医疗设备操作系统过时,存在先天安全漏洞,由于医疗设备的特殊性这些漏洞往往不能及时修复,网络攻击者便有了可乘之机。
安全需求
• 构建完整防御架构,有效进行风险识别与预测;
• 全天候持续安全检测能力;
• 全面威胁精准阻断及全方位响应与溯源能力;
• 实现实时数据备份与恢复;
• 提高全院人员安全意识。
解决方案
结合勒索病毒特性、攻击原理、用户现状等方面分析,用户已经具备一定的安全防护措施,但在对于勒索病毒的检测和响应方面,仍存在诸多不足。本方案将借鉴IPDRR架构来逐步建立用户风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力,最终实现风险可视化,防御主动化,响应自动化的安全目标,保障用户业务的安全。
本架构方法论参考了NIST Cybersecurity Framework,SABSA,ISO27000,Gartner等报告资料。在这样的背景下,基础架构安全是基石,持续监控分析是核心。之后,基于IPDRR能力框架实现“事前、事中、事后”的全过程覆盖,从原来以防护能力为核心的模型,转向以检测能力为核心的模型,最终形成安全问题闭环。
1. 事前-风险识别与预测
识别用户有线、无线网络的环境、资产情况、互联网暴露的端口、服务、地址等等一系列内容信息。以便在勒索病毒出现的第一时刻能够快速明确自身网络所面临的风险情况。
2. 事前-攻击防御
从前期风险识别的各个层面,开展针对勒索病毒的网络安全加固及防护措施。
3. 事中-持续安全检测
即便我们采取了很多安全防御措施,但是事实上没有攻不破的网络,也没有绝对的安全,我们采取的一系列措施只是为了提高攻击者的攻击门槛,所以我们还应加强网络安全检测能力,以应对勒索病毒以其他方式突破我们防线的潜在隐患。
4. 事后-快速响应与恢复
针对层层防御、层层检测的手段,那也没办法绝对的避免安全事件的发生,因为攻击者与防守者本来就处在一个长期对抗的过程中。所以为了尽可能将安全事件造成的影响降到最小,我们应建立有效的响应手段及数据备份与恢复措施,尤其是针对勒索病毒这样目的性极强的攻击,我们需要限制事件的全网扩散,防止数据被恶意删除破坏等。
整体部署示意图:
涉及产品及服务:
天清汉马下一代防火墙(AV模块),天珣终端安全,景云服务器安全,APT检测,态势感知平台,超融合探针,天清无线安全,漏洞扫描(三合一),天清网络接入控制系统,书生云ARS灾备系统,邮件安全管理系统,页面防篡改,应急响应服务,运维值守服务,安全意识教育等。
方案优势
• 找不着
事前,通过暴露面识别,从资产、配置管理、漏洞管理等维度,全方位的明确自身存在的风险点与暴露面,然后基于威胁情报赋能,全网态势威胁预测,精准的把握风险,在攻击者发起攻击之前进行事前封堵,减少攻击面,让攻击者无处可寻。
• 进不来
事前,在边界出口、互联网应用、有线无线、补丁与配置、人员安全意识教育等多层面来做的一系列加固工作,保证无论攻击者是采用社工钓鱼、还是暴力破解、还是漏洞利用均无法轻易突破防护内部防护体系。
• 动不了
事中,在主机层面、横向与纵向流量,及无线层面开展攻击威胁的检测工作,通过态势感知系统构建统一监测体系,配套专业的安全值守人员,全天候进行事件的综合研判分析。
事后,基于产品与产品之间协同联动处置能力,实现一键封堵查杀。最终通过专业应急响应服务,来对事件进一步分析溯源与取证。
确保潜伏在网络内部的攻击者动不得、不敢动。
• 赚不着
事后,基于日常的数据备份措施及专业的应急响应服务支撑,保证即便被攻击者成功加密的数据,也可以最终得到挽回,让攻击者无利可图,攻击目的功亏一篑。而不需要面临巨大不确定性,花费巨额资金支付赎金。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
