摄影/王若朴
三总是全台最大军医院,也屡屡成为资安攻击的标靶,曾经1年遭受过上亿次攻击。在这些经验中,三总先是以切割DMZ、分割网段等7个措施,再进一步用11个方法来围堵缺口,最后收紧USB的使用,才维持每个季度病毒量在200、300以下。三总总结医疗资安3心法:可视监控、隔离管制、关键保护,未来还要建置自动化资安应变系统。
医疗资安事件频传,2019年国家级资安事件让医院加码重视
三总是国防部所属14家国军医院之一,不仅是北部医院中心,也是全台最大的军医院。三总医疗资讯组系统工程组组长林靖指出,近年医疗资安事件频传,像是新加坡医疗系统遭骇外泄150万笔个资,或是德国医院因勒索病毒发生病患死亡事件,甚至像在台湾,2019年勒索软件侵袭全台30多家医院,造成了国家级医疗资安事件。
2019年那次攻击之所以影响多家医院,是因为骇客入侵健保VPN网络,再从卫福部电子病历交换中心的EEC闸道器,蔓延到多家医院。林靖解释,攻击者透过远端桌面连线和暴力破解,入侵了健保申报主机,再横向扩散到不同的EEC闸道器,也就是医院与卫福部交换电子病历的平台。
骇客等于是攻进了健保内网,在医院与健保署共用的内部网络扩散,才导致30多家医院受到攻击。这次事件后,全台医院更加注重资安,纷纷投入资安防护建设,卫福部也开始改善EEC内网安全。
身为全台最大军医院成为攻击标靶,AD都曾遭骇变成散播跳板
但对三总来说,“资安攻击司空见惯。”林靖指出,早从2004年开始,三总就不断受到攻击,尤其在2018年,全台军医院频频遭受攻击,甚至,“一年共有1.6亿次攻击,大多针对三总。”
不过,他认为,最严重的攻击发生在2013年,中国网军透过社交工程,把医院最重要的网域主控站(AD)“打挂了”。骇客取得AD控制权后,在内部网络环境部署多个控制管道来扩散。
事后,三总统计,当时高达46个恶意程式和36个骇客工具,入侵了59台电脑和伺服主机,而且在网站主机上,还发现了7种不同功能类型的后门程式。
林靖分析,那次灾情只因一封电子邮件而起。收信者开启信中档案,后门程式顺势触发,骇客便透过中继站操控受害电脑,来下载破解密码的恶意程式,对AD展开攻击。
当骇客掌握AD控制权后,也就取得医院网域内所有账号密码资讯,开始在内网横向扩散,攻击其他电脑和服务器。不只如此,骇客还透过跳板程式来操控这些电脑、上传资料。(如下图)
三总第一次调整,用7招防护措施来改善
2013年事件发生前,三总原有资安架构是,外部设置一套入侵防护系统(IPS),来管理对外网络区域(DMZ),包括了AD、网络、邮件主机和网域名称服务器DNS。IPS下还建置了外部防火墙和网页内容过滤器,对内则有2套不同型号的内部防火墙搭配,来保护三总不同院区(包括台北门诊中心、松山院区、北投院区、澎湖院区)以及国防医学院的资讯安全。(如下图,不过,IPS位置错置,应位于更外层)
内部防火墙之后设有闸道器,除了一端连接到健保VPN外,还有一端连接到紧急医疗网与服务器运算农场(Server Farm),其下有内部的AD、交换主机、急诊系统等。三总还有另一个闸道器来连结汀州院区、行政网、医疗网和资管室网段。
林靖解释,采用不同型号防火墙的原因,是为了预防一款遭攻陷,还有另一款可防护。即使做到了如此的防御纵深,但那起事件中,骇客还是能入侵,三总认为,这代表当时的架构不够强韧。因此找来资安业者讨论,用了几个方法来更进一步来精进资安架构。
第1个方法是将DMZ按业务特性和风险程度细分,再切割成多个DMZ区,比如将提供外部服务的网络挂号等主机,移到外部DMZ区,或是将服务器农场再分割,比如分为行政网DMZ区、内部网络DMZ区等。
再来,三总也隔离了外部邮件,不让外部信件进入医院内部。
第3,为确保分院和总院安全,各院区(包括汀州院区、国防医学院、台北门诊中心、松山院区、北投院区、澎湖院区)改由总院单一闸道连线至网络。同时,各院区专线应经过防火墙把关,而且要在防火墙内限定可存取的指定资源。
接下来,则是在网段间设置存取控制清单(ACL),包括医疗网、行政网、资管处网段、紧急医疗网和服务器农场等。第5个方法则是在服务器农场中,将医疗系统和资料独立出一个网段,安装防火墙来限定可存取来源和协定。不只如此,三总对外也采取更严格的措施,比如院外连线需透过VPN,而且还要双因数认证。
此外,三总也逐年改善资安防护措施,比如在DMZ区前增加防护、在后端也增设APT防火墙等更多系统来防护。
“加了这么多层的纵深防御架构,就够了吗?”林靖坦言,在2017年,三总再次遭到攻击,来自内部国防医学院网络渗透过来的攻击,成功入侵了三总系统。
三总第二次调整,11措施全面防堵医院资安缺口
这起事件发生后,国防部紧急要求三总再次盘点所有资安缺口。林靖指出,医院端使用网络的单位包括了临床医疗、教学部、研究部,其中“教学和研究部,与国防医学院完全分不开,”因为国防医学院每年都派实习生到医院受训,而三总主治医师,也经常要到国防医学院教课,双方需要资讯可共享的网络服务。
三总原本就将医院内网封闭、只开放虚拟桌面VDI连接,但却未将国防医学院的路径隔离在外,因此造成缺口,才酿成了这起攻击事件,骇客入侵后便横向扩散到医院其他主机。
三总盘点缺口后,开始进行防堵,要建造完善的医疗资安防御网。他们采取11项措施,首先是网系隔离,这次将国防医学院学术网实体隔离,彻底与三总分割。再来是网络管理方面,医疗网电脑对外连线,只开放给白名单上医疗业务所需的IP,其他对外连线一律禁止。如果需使用网络资源,只能透过虚拟桌面方式上网,并进行黑名单管制,甚至使用完立即中断连线。
第3个措施是,全院管控行动储存设备,比如随身碟。三总管控之严,连医师用随身碟都必须先注册,来掌握每一个使用者。
再来是安装档案加解密系统。安装系统后,资料携出三总时会经过加密,读取者需要解密才行,林靖指出,若连这么做都发生资料外泄,那就表示有人刻意为之,这也是三总想要杜绝的事。
除此之外,三总也全面建构端点防护作为,不只在使用者端,全面安装防毒软件,来防范已知病毒,也安装资安监控软件,透过渗透行为鉴识,来辨识未知的攻击行为。
其他措施还包括禁止非必要性软件安装(如Line)、管制高危连接埠和指令码(如网络芳龄139和445、PowerShell)、定期资安健检和医护人员资安训练等。另外,由于当时资讯工程师只有4位,人力不足,因此委外资安厂商来建置SOC机制。
另一个措施是定期更新操作系统修补档。“我相信许多医疗院所都对这点很头痛,”林靖解释,因为一般PC有更新程式可修补,但医疗电脑连接了大型医疗装备,这类电脑的操作系统多半为Windows XP,“根本更换不了,”除非连医疗装备一起汰换。即便如此,三总还是找到方法来解决,也计划采购IoT资安闸道器来应对。
三总用内部侦测到的病毒程式量,来观察资安架构对外的防护强度,数量越少,代表多数病毒程式被层层拦截了。三总统计后发现,2013年第三季,内部监测到的病毒数量高达4,500支,资安架构经过第一次调整后,每季度的病毒量下降至500支以下,而2017年第二次调整后,每季度病毒量也微幅下降。最近在2020年的第三次调整,三总更决定全院封锁外部USB,只保留一个简易站电脑,需使用USB的医护人员,得将自带USB的档案先拷贝到这台电脑,再用公发USB来存取,才能到内部使用,来降低恶意程式的攻击。此时,每季内部侦测到的病毒量已经小于200支。(如下图)
医疗资安3大心法:可视监控、隔离管制、关键保护
“因为严格的防护措施,2019年勒索软件攻击全台医院事件中,三总反而没有受到影响。”三总经过多次攻击、久病成良医,林靖也分享医疗资安的3大心法,也就是可视监控、隔离管制、关键保护。
可视监控的第一步,“网络是骇客攻击的第一目标,因此要建立网络可视化系统,来监控异常流量。”他提醒,传统网络流量监控的设备,无法监控SSDL加密资料,因此,三总也采购了进阶的加密资料监控设备,能解开加密式内容,来加强监控。
再者,三总也锁定医疗装备等物联网设备,要采购IoT资安闸道器,来扫描IoT设备状况,进而实现可视监控。再来,三总也建立SIEM平台,来汇整上述两种资料,来进行即时性分析,未来还要导入AI大数据分析,来自动找出异常活动,降低人力负荷。
而第2个心法“隔离管制”则要做到4个要件,也就是边界防护(防火墙)、网络区段隔离,比如分行政网、医疗网等,再来是实体隔离和单机隔离,像三总就将国防医学院的网络直接切割,进行实体隔离。
至于关键保护,首先在程式面,三总要建立零信任监控,针对PC、服务器等,建立应用程序白名单,来有效避免恶意程式。再来是账号权限管控,因为,三总经历过AD遭控制、账号密码权限全失的事件,因此借助不同资安软件来管控账号。
林靖推荐各家医疗院所,参考卫福部去年8月发布的“基层医疗院所资安防护参考指引”,“医院只要做到指引中的措施,就能大幅提高资安层级。”他指出。
与攻击共存,把资安当作一种管理流程
他也坦言,不管任何产业,都没有绝对安全的系统,因此,“学习接受可接受的风险,与攻击共存,”当遇到骇客发动攻击时,有能力尽早找出问题点,解决问题。
在他看来,资安就是一种管理流程,包括预防、侦测、控制、复原、修正。预防要做到的是,避免未授权而获取资料或资源;侦测则是找出资讯系统内的不法案件;控制是要启动安全措施,遏止不法事件发生;而复原则是要建立资安事件后的复原能力,最后的修正,则是加强管理工作,一有缺失就立即更正。如此,医院才能尽情发展智慧医疗应用。
未来,三总还要建立自动化资安应变系统,透过大数据分析来快速掌握资安情资,此外还要透过微分割和SDN机制,来即时响应告警,快速阻止有限和无线网络中的威胁。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09