一、行業(yè)警示
新醫(yī)改背景下,國家從戰(zhàn)略高度將信息化建設(shè)定義為深化醫(yī)藥衛(wèi)生體制改革的“四梁八柱”之一,不斷出臺(tái)推動(dòng)醫(yī)院信息化發(fā)展的政策和舉措,為醫(yī)院信息化建設(shè)注入強(qiáng)勁動(dòng)力。
醫(yī)院數(shù)據(jù)涉及個(gè)人健康隱私,利益面廣泛,往往是黑客覬覦的“大金庫”。近年來國內(nèi)外新聞上不乏某醫(yī)院系統(tǒng)被植入升級(jí)版勒索病毒后癱瘓;某信息系統(tǒng)遭受黑客攻擊,導(dǎo)致系統(tǒng)大面積癱瘓、院內(nèi)診療流程無法正常運(yùn)轉(zhuǎn)的新聞。隨著國家及行業(yè)層面對(duì)信息安全重視程度越來越高,醫(yī)院防患于未然的意識(shí)和能力均得到了大幅度提升,但仍然會(huì)出現(xiàn)因?yàn)樾畔⒐芾砣藛T的疏忽或者安全意識(shí)缺乏,導(dǎo)致醫(yī)院信息系統(tǒng)“中招”。
2020年 10月3日,美國阿拉巴馬州一名9個(gè)月大的女嬰意外死亡后,孩子的母親對(duì)嬰兒出生的醫(yī)院提起訴訟,聲稱醫(yī)院沒有披露其網(wǎng)絡(luò)系統(tǒng)被攻擊導(dǎo)致護(hù)理調(diào)配異常,最終造成了嬰兒死亡的后果。這一事件再次表明,網(wǎng)絡(luò)攻擊的影響后果不僅僅是數(shù)據(jù)、財(cái)產(chǎn)、聲譽(yù)的損失,甚至?xí)斐缮膿p失。
2020年4月29日,北京一家醫(yī)療機(jī)構(gòu)的新冠病毒檢測(cè)相關(guān)數(shù)據(jù)被黑客以4比特幣的價(jià)格公開售賣,被出售的數(shù)據(jù)包括150MB的實(shí)驗(yàn)室研究成果以及檢測(cè)技術(shù)源代碼等。
2022年4月28日北京健康寶遭遇Rippr黑客團(tuán)伙攻擊。
以上事件說明,醫(yī)療行業(yè)的數(shù)據(jù)安全已不容小視,須引起醫(yī)療信息行業(yè)高度重視。
二、行業(yè)痛點(diǎn)
1、穩(wěn)定性及故障預(yù)警要求高
醫(yī)院信息系統(tǒng),尤其是核心系統(tǒng),都是7×24小時(shí)全年不能停機(jī)的,最大的維護(hù)時(shí)間窗只有半小時(shí)左右,否則就會(huì)影響患者排隊(duì)就醫(yī)。業(yè)務(wù)的特殊性決定了對(duì)網(wǎng)絡(luò)連續(xù)性的要求以及對(duì)網(wǎng)絡(luò)安全的保障程度要求較高。
2、現(xiàn)有安全產(chǎn)品瓶頸與不足防火墻
防火墻作為邊緣安全設(shè)備,醫(yī)院部署的防火墻,域內(nèi)存在大量不合理及寬泛的安全策略,近年來國家對(duì)防火墻寬泛策略有明確等保要求,需要快速找出不合理策略,收斂寬泛、無效策略,但是人工梳理難度大,且無法驗(yàn)證對(duì)現(xiàn)有業(yè)務(wù)影響,開啟對(duì)應(yīng)策略的日志又會(huì)嚴(yán)重消耗性能且不夠靈活。運(yùn)維團(tuán)隊(duì)面對(duì)防火墻策略現(xiàn)狀束手無策,策略維護(hù)加重了運(yùn)維負(fù)擔(dān)。另外,醫(yī)院需要對(duì)防火墻進(jìn)行配置變更時(shí),人工配置容易失誤,比如產(chǎn)生防火墻原端口映射配置未刪除及策略下發(fā)錯(cuò)誤嚴(yán)重影響醫(yī)院就診的問題。安全事件發(fā)生后,院方希望第一時(shí)間自動(dòng)過濾出事件相關(guān)的防火墻策略,然而策略配置還是防火墻自身問題所導(dǎo)致,由于缺乏數(shù)據(jù)支持難以判斷。
3、日志管理及審計(jì)設(shè)備
醫(yī)院的數(shù)據(jù)中心運(yùn)營著大量醫(yī)療系統(tǒng),日常運(yùn)維監(jiān)控需要對(duì)醫(yī)療系統(tǒng)和信息審計(jì)進(jìn)行日志收集,部分醫(yī)院有自己的日志管理平臺(tái),但展示效果不靈活,對(duì)分布的WAF節(jié)點(diǎn)和眾多的安全事件,也難以做到統(tǒng)一便捷的展示,不能結(jié)合異常期間的流量數(shù)據(jù)做到根因定位,無法對(duì)高頻攻擊做到統(tǒng)計(jì)分析,不利于醫(yī)院做后續(xù)針對(duì)性的防護(hù)。
4、安全代理設(shè)備
基于醫(yī)院業(yè)務(wù)性能擴(kuò)展及安全考慮,醫(yī)院的大量負(fù)載設(shè)備采用的全代理模式通常會(huì)對(duì)客戶端地址進(jìn)行源地址轉(zhuǎn)換,因此存在轉(zhuǎn)換前后通訊進(jìn)行關(guān)聯(lián)的難題,另外,醫(yī)療系統(tǒng)與調(diào)度平臺(tái)之間的映射關(guān)系難以梳理,對(duì)攻擊路徑溯源和人工排查造成較大阻礙。
5、泛洪攻擊流量難以回溯和定位
當(dāng)醫(yī)院網(wǎng)絡(luò)面臨DDoS類攻擊時(shí),如果查看該網(wǎng)卡的發(fā)包數(shù)在快速增加,導(dǎo)致?lián)p耗大量的網(wǎng)絡(luò)帶寬,引起網(wǎng)絡(luò)堵塞,就會(huì)造成廣播風(fēng)暴。傳統(tǒng)的NPM由于廣播攻擊流量和包數(shù)巨大難以做到正常的解析和回溯。
6、DNS安全缺乏防護(hù)手段
醫(yī)院業(yè)務(wù)系統(tǒng)大部分采用域名方式對(duì)外提供服務(wù),因此容易遭受基于主機(jī)耗盡型的DNS攻擊(DNS query Flooding),攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請(qǐng)求,通常請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)上根本不存在的域名,被攻擊的DNS 服務(wù)器在接收到域名解析請(qǐng)求時(shí)首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存,如果查找不到并且該域名無法直接由服務(wù)器解析的時(shí)候,DNS 服務(wù)器會(huì)向其上層DNS服務(wù)器遞歸查詢域名信息。域名解析的過程給服務(wù)器帶來了很大的負(fù)載,每秒鐘域名解析請(qǐng)求超過一定數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí),影響正常的域名業(yè)務(wù)訪問。由于缺乏防護(hù)和異常訪問統(tǒng)計(jì)手段,導(dǎo)致這類問題的事后處理被動(dòng),效率較低。
三、智維數(shù)據(jù)解決方案
智維數(shù)據(jù)基于多年智能分析領(lǐng)域和醫(yī)療行業(yè)運(yùn)維服務(wù)的經(jīng)驗(yàn)積累,對(duì)上述醫(yī)療行業(yè)安全痛點(diǎn)有如下實(shí)現(xiàn)方案:
1、流量分析0影響
通過網(wǎng)絡(luò)旁路鏡像的方式,7*24 小時(shí)實(shí)時(shí)采集數(shù)據(jù)中心關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)及防火墻前后的網(wǎng)絡(luò)流量。對(duì)現(xiàn)有網(wǎng)絡(luò)、應(yīng)用不產(chǎn)生任何影響的前提下對(duì)流量進(jìn)行精細(xì)化分析檢查。
2、防火墻性能0影響
支持多種方式定時(shí)獲取防火墻策略,如FTP、API、文件上傳等,無需開啟防火墻會(huì)話日志,通過獲取流量+配置,實(shí)現(xiàn)流量與配置關(guān)聯(lián),在不影響性防火墻性能的情況下,為策略提供流量支撐。
3、多源數(shù)據(jù)統(tǒng)一接入管理
智維數(shù)據(jù)基于自身平臺(tái)化靈活架構(gòu)支持多源數(shù)據(jù)接入,包括各類醫(yī)療系統(tǒng)日志和審計(jì)日志的集中收集和解析,可靈活精確地實(shí)現(xiàn)多個(gè)平臺(tái)聯(lián)動(dòng)和對(duì)接,通過主動(dòng)獲取與被動(dòng)接收兩種方式來對(duì)接各平臺(tái)數(shù)據(jù)(包括Kafka、syslog、socket等)的數(shù)據(jù),并接入到平臺(tái)內(nèi)置數(shù)據(jù)庫,可實(shí)現(xiàn)日志的統(tǒng)一展示和管理。
4、異常業(yè)務(wù)路徑畫像
智維數(shù)據(jù)可基于負(fù)載設(shè)備的 API接口獲取設(shè)備配置信息,基于配置信息+流量數(shù)據(jù),動(dòng)態(tài)、可視化展現(xiàn)完整的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)路徑。基于業(yè)務(wù)訪問日志對(duì)于部分異步的業(yè)務(wù)進(jìn)行數(shù)據(jù)流縫合,實(shí)現(xiàn)訪問關(guān)系的溯源。
【上圖為demo數(shù)據(jù)演示】
5、智能化分析
智維數(shù)據(jù)產(chǎn)品內(nèi)置多種智能算法及200多種場(chǎng)景的智能分析知識(shí)庫,當(dāng)指標(biāo)出現(xiàn)異常時(shí),系統(tǒng)自動(dòng)進(jìn)行根因分析幫助運(yùn)維人員更快的感知故障、分析故障,同時(shí)賦能運(yùn)維人員數(shù)據(jù)預(yù)測(cè)、變化分析等能力。
四、使用場(chǎng)景
1、防火墻策略優(yōu)化&故障早發(fā)現(xiàn)
防火墻是一種特殊編程的路由器,它作為醫(yī)院網(wǎng)絡(luò)的第一道防線,維護(hù)大量冗余策略,會(huì)占用自身性能,另外,也需要滿足等保2.0要求。智維數(shù)據(jù)基于防火墻前后端流量和配置信息,通過配置梳理和流量驗(yàn)證,快速有效地進(jìn)行策略收斂,不影響防火墻性能,滿足合規(guī)檢查要求,快速消除防火墻策略隱患。
同時(shí),智維數(shù)據(jù)支持對(duì)醫(yī)院內(nèi)的流量數(shù)據(jù)自動(dòng)定期智能化巡檢。通過異常數(shù)據(jù)和特征值,發(fā)現(xiàn)域內(nèi)存在的安全隱患,包括:高危端口掃描、冰蝎、掛馬、弱口令等明顯存在安全隱患特征值的數(shù)據(jù)。
2、封堵驗(yàn)證及監(jiān)控
如何驗(yàn)證下發(fā)的安全策略是否存在漏洞或者真實(shí)生效往往是醫(yī)院頭疼的問題。智維數(shù)據(jù)基于真實(shí)流量旁路采集的方式,監(jiān)控實(shí)時(shí)數(shù)據(jù),支持對(duì)已經(jīng)封禁的IP和業(yè)務(wù)進(jìn)行真實(shí)效果驗(yàn)證,若數(shù)據(jù)表格中出現(xiàn)有流量封禁名單中的IP即可主動(dòng)發(fā)出告警,并支持根因定位分析,可明確問題導(dǎo)致的原因,如策略配置問題或安全設(shè)備異常等。
3、DNS攻擊溯源及處置
智維數(shù)據(jù)支持對(duì)DNS設(shè)備進(jìn)行深度監(jiān)測(cè),可針對(duì)醫(yī)院DNS服務(wù)器和53端口對(duì)院內(nèi)DNS服務(wù)器全面解析和監(jiān)控,可及時(shí)監(jiān)測(cè)到DNS當(dāng)前訪問量及響應(yīng)時(shí)間是否異常,并根據(jù)異常響應(yīng)碼和訪問成功率進(jìn)行根因定位。基于告警和可視化,快速定位異常DNS攻擊來源及異常請(qǐng)求,通知醫(yī)院安全人員進(jìn)行處置。
4、異常安全事件完全回溯定位
智維數(shù)據(jù)全流量分析平臺(tái)可以獲取全網(wǎng)流量,包括醫(yī)院出口及內(nèi)網(wǎng)。平臺(tái)的業(yè)務(wù)畫像功能可基于歷史行為基線,發(fā)現(xiàn)新增的異常訪問。與CMDB數(shù)據(jù)相結(jié)合,可針對(duì)內(nèi)網(wǎng)出現(xiàn)的新增訪問進(jìn)行二次的檢測(cè),對(duì)異常訪問實(shí)現(xiàn)主動(dòng)監(jiān)控。
智維數(shù)據(jù)支持基于流量特征及負(fù)載設(shè)備日志兩種方案對(duì)異步的業(yè)務(wù)進(jìn)行靈活自動(dòng)關(guān)聯(lián)數(shù)據(jù)流縫合,實(shí)現(xiàn)訪問關(guān)系的溯源,可針對(duì)攻擊經(jīng)過的負(fù)載設(shè)備進(jìn)行回溯分析。同時(shí)智維數(shù)據(jù)基于防火墻前后端流量和配置信息,可通過AI算法智能化檢測(cè)經(jīng)過防火墻的業(yè)務(wù)流量。實(shí)時(shí)感知業(yè)務(wù)異常并定位與事件相關(guān)的IP和策略。快速判斷異常Deny行為及攻擊入口,并給出安全風(fēng)險(xiǎn)提示。
基于日志和流量數(shù)據(jù),對(duì)攻擊源、地理位置、攻擊類型、攻擊方法等多種維度進(jìn)行統(tǒng)計(jì)分析,將終端日志與流量路徑進(jìn)行關(guān)聯(lián),并針對(duì)防御策略制定提供數(shù)據(jù)支撐。
從流量、代理映射、資產(chǎn)、配置、日志、設(shè)備狀態(tài)等多層面全方位智能分析,實(shí)現(xiàn)安全異常事件精準(zhǔn)發(fā)現(xiàn)。
5、ARP廣播風(fēng)暴攻擊
從實(shí)際經(jīng)驗(yàn)來看,90%以上的網(wǎng)絡(luò)廣播風(fēng)暴是病毒所致。智維數(shù)據(jù)擁有專門針對(duì)廣播風(fēng)暴攻擊的高性能探針,通過Trunk口方式收集數(shù)據(jù),只接收廣播、組播、單播泛洪的流量。并且由于產(chǎn)品的采集口使用混雜模式,還可避免接口環(huán)路的風(fēng)險(xiǎn)。能快速處理分析當(dāng)前廣播域的ARP攻擊來源及產(chǎn)生告警,并且支持將告警數(shù)據(jù)推送至第三方處置平臺(tái)實(shí)現(xiàn)故障自愈。
6、無專家值守
智維數(shù)據(jù)基于多年的IT運(yùn)維經(jīng)驗(yàn),將常見故障的分析思路通過Python腳本預(yù)制在系統(tǒng)中,當(dāng)出現(xiàn)告警事件、隱患事件或人工需要分析時(shí),系統(tǒng)可自動(dòng)獲取事件相關(guān)數(shù)據(jù),并進(jìn)行智能分析,輸出分析報(bào)告,簡(jiǎn)潔易懂。
支持Syslog、郵件、短信、微信等告警通知形式。
總 結(jié)
安全是醫(yī)療行業(yè)信息化部門極其重視的部分,本文為智維數(shù)據(jù)在安全層面的技術(shù)方案分享,除文中展示的場(chǎng)景外,智維數(shù)據(jù)還支持基于流量及安全事件特征進(jìn)行定制化的數(shù)據(jù)溯源、分析和展示。
更多醫(yī)療行業(yè)運(yùn)維場(chǎng)景及其他行業(yè)安全管控案例敬請(qǐng)垂詢。
