The Fearsome
Four Cybersecurity Weaknesses in Hospitals
leiphone 作者:郭佳
春節剛過,年輕的住院部醫生張楠第一天上班,她突然發現,自己的電腦竟然出現了淘寶廣告彈窗,真是新年新氣象,按理來說,它只能連內網,上不了外網的。
沒容她多想,忽然走廊裡傳來藥劑科同事的「哀嚎」,他的電腦系統癱瘓,錄入其中的藥價等數據不見了。幾乎同一時間,對面診室的主治醫生袁朗,眼睜睜的看著電腦中的病例瞬間消失……
10分鐘後,醫院緊急通知,系統可能受到了新型勒索病毒的攻擊,各部門啓用應急預案。
不到半個小時,醫院的住院部大廳內就人滿為患,陷入混亂,一些想掛急診號的家屬開始變得焦躁。
而這,並不是個例,第二天相隔不遠的另一家兒童醫院,也遭遇了類似的駭客攻擊,致使許多病患無法及時就診。
其實,記者發現,自去年WannaCry爆發以來,這些以前只在科幻大片中出現的場景,正越來越多的出現在現實生活中。比如,英國國立醫療服務(NHS)系統就曾成為重災區,旗下248個醫療機構中,共就曾有48個受到攻擊,許多醫院正常的治療活動也受到影響,部分病人被迫轉院。
之前更多針對個人的勒索病毒,近來頻頻瞄向醫院等機構,比如這次的 GlobeImposter ,這也成為勒索病毒發展的「新趨勢」。
為何救死扶傷的醫院,正越來越多的成為駭客攻擊的靶子?這些本就配備安全團隊的機構,為何系統屢屢被攻破?血的教訓下,又該如何防範?
對機構進行勒索,成本低,來錢快
來自騰訊企業安全的技術專家饒帥,曾對多家醫院有過防護和應急處理經驗,他告訴記者,相比於個人,駭客對機構進行勒索,更容易來錢。
之所以說是成本低,是因為對於一般的攻擊來說,備好攻擊「原料」並不難,有時甚至都不需要自己來開發,在網上就可找到已經發佈的各類工具組合成攻擊包。當然特殊的APT攻擊也有,但比較少。
與其他機構相比,醫院的資訊系統也比較有特殊性,如其中的醫學記錄、數據、病患資料以及預約資等,都屬於需要緊急使用的資,被加密後,會造成比較大的影響,所以勢必會想盡辦法以最快速度恢複數據,比如,馬上交贖金。
這並非是向惡勢力低頭,而是,還有什麼比生命更重要?
自從去年體會過勒索病毒,對眾多資料撕票的「血淚史」,不少人已經成為了及時升級、不隨便點釣魚網址的「機智」網民,各路殺軟也會經常秀一把,輕鬆碾壓勒索病毒的肌肉。
但對於伺服器來說,可就沒那麼簡單了,因為需要防護的點實在太多,不像個人PC 下載一個靠譜的殺軟就萬事大吉。
俗話說,蒼蠅不叮無縫的蛋,而伺服器,正好是那個「縫」比較多的蛋。
對於伺服器來說,可訪問外網的終端,外接U盤,對外的web服務,內部設備直接的訪問控制,關鍵伺服器防滲透、爆破,各種系統軟體、第三方軟體漏洞等都可能讓攻擊者趁虛而入。
在饒帥的實際工作中,一般醫院對於勒索病毒之類的緊急事件,都會有應急預案,目前他所知道的,還沒有因此而造成生命危險的案例,不過在前文中所提到的NHS,所遭遇到的勒索病毒,有一些病人被迫進行了轉院。
在他看來,情況也許並沒有到達某些媒體所渲染的「非常嚴重」的境地,就目前的勒索而言,駭客往往是批量去嘗試找機會,廣撒網,可能攻擊了100家,其實可能只有1家的被攻擊成功,而我們看到的都是被攻擊成功的。
勒索分這兩步
對於醫院的電腦,很多人應該有這樣的感受,醫生無非也就是開個藥,查詢一下你的歷史病例,看起來是個內網的操作流程,醫生天天忙得團團轉,又不會去發郵件逛淘寶點釣魚網址,為啥會中招?
記者發現,對駭客來說,把大象放進冰箱需要兩步。
第一步,打入對方內部。
第二步,對其成員進行大規模策反。
具體來說,第一步需要突破邊界,從外網進入內網,在這個過程中往往是利用伺服器的系統漏洞,或者是暴力破解遠端桌面服務密碼,此時可成功打入敵方內部。而第二步則是橫向擴散,利用內網互相傳播,進一步擴散感染面。
在整個破解過程中,駭客往往會先在系統上,安裝遠端控制木馬,以此遠端控制中毒機器執行任意操作,比如下發勒索者木馬,甚至可以卸載安全軟體。
接著使用的手段就花樣就比較多了,比如感染共享目錄,抓取windows密碼後嘗試登錄其它機器(不同伺服器使用同樣帳號密碼會中招),遠程桌面密碼暴力破解,瀏覽器密碼查看嘗試等。
在饒帥和團隊所接觸到的被攻破的案例中,一般打補丁完成度比較高,但關閉文件共享、端口服務等,就會有很多醫院做不到,而不使用通用伺服器帳號密碼,密碼定時更換,能做到這些的就更少了。
換句話說,你被勒索並不是對方有多高明,有時是自己漏出的破綻太多。
血淚教訓後,如何防禦?
血淚教訓過後,到底該怎麼應對「喪盡天良」的駭客?
騰訊企業安全團隊給出了以下幾點建議。
1.目前在省級及其以上級別的醫院,都會配備安全人員或者有相關的預算(外包安全服務),可以定期做安全測試,相當於人每年要體檢,知道問題在哪裡後,根據情況配備安全產品,或者自己來部署安全防護。
2.採用高強度密碼,千萬不要使用簡單的弱密碼、弱密碼、弱密碼……(恩,有人會說這是廢話,但就是說上100遍,也還是有人會用,這點真的很重要)服務器密碼使用高強度且無規律的密碼,並且強制要求每台服務器使用不同的密碼管理。
3.設置內部訪問控制,對沒有互聯需求的伺服器、工作站,內部訪問需設置相應控制,避免可連外網的伺服器被攻擊後,被作為跳板進一步攻擊企業伺服器。
4.部署安全專業的雲服務,在終端、伺服器不熟專業安全的防護軟體,伺服器可考慮不熟騰訊雲等,具備專業安全防護能力的雲服務。
除了對於安全人員的要求,普通的醫生和後勤人員也要有安全意識。
1.不要讓電腦裸奔,個人電腦安裝靠譜的殺軟。
2.保護好自己的文檔,勒索病毒最想加密的,就是你的重要文檔,或者備份,或者加密。
3. 關閉不必要的端口,默認情況下,Windows 有很多端口是開放的,不法駭客可透過這些端口連上你的電腦。盡量關閉 445、135、139 等不必要開啓的端口,對 3389 端口則可以進行白名單配置,只允許白名單內的ip 連接登錄。
4.關閉不必要的文件共享,文件共享也存在隱患,如有需要,請使用 ACL 和強密碼保護來限制訪問權限,禁用對共享文件夾的匿名訪問。
沒有留言:
張貼留言