nCompass为医疗行业信息安全穿上“铠甲”

一、行业警示

新医改背景下,国家从战略高度将信息化建设定义为深化医药卫生体制改革的“四梁八柱”之一,不断出台推动医院信息化发展的政策和举措,为医院信息化建设注入强劲动力。

医院数据涉及个人健康隐私,利益面广泛,往往是黑客觊觎的“大金库”。近年来国内外新闻上不乏某医院系统被植入升级版勒索病后瘫痪;某信息系统遭受黑客攻击,导致系统大面积瘫痪、院内诊疗流程无法正常运转的新闻。随着国家及行业层面对信息安全重视程度越来越高,医院防患于未然的意识和能力均得到了大幅度提升,但仍然会出现因为信息管理人员的疏忽或者安全意识缺乏,导致医院信息系统“中招”。

2020年10月3日,美国阿拉巴马州一名9个月大的女婴意外死亡后,孩子的母亲对婴儿出生的医院提起诉讼,声称医院没有披露其网络系统被攻击导致护理调配异常,最终造成了婴儿死亡的后果。这一事件再次表明,网络攻击的影响后果不仅仅是数据、财产、声誉的损失,甚至会造成生命的损失。

2020年4月29日,北京一家医疗机构的新冠病检测相关数据被黑客以4比特币的价格公开售卖,被出售的数据包括150MB的实验室研究成果以及检测技术源代码等。

TON区块链衍生项目Toncoin已转为PoS,日发行量将减少75%:6月28日消息,TON区块链衍生项目Toncoin发布公告称,矿工从PoWGiver智能合约中挖出了最后一个Toncoin,标志着初始代币分配的结束,之后新代币仅可通过质押TON赚取,每天进入流通的新代币将减少20万至25万枚,比之前减少75%。TON基金会表示,TON是一个权益证明(PoS)区块链,目前任何人都可以成为验证者。据悉,TON最初由Telegram于2018年推出,后美国证券交易委员会指控其ICO涉及未注册证券发行。Telegram最终于2020年6月以1850万美元与美国证券交易委员会和解,并停止参与TON的运营。Toncoin是由Telegram社群中的自发成立的TON基金会来进行开发以及维护,并独立于Telegram。[2022/6/28 1:36:09]

2022年4月28日北京健康宝遭遇Rippr黑客团伙攻击。

以上事件说明,医疗行业的数据安全已不容小视,须引起医疗信息行业高度重视。

二、行业痛点

1、稳定性及故障预警要求高

医院信息系统,尤其是核心系统,都是7x24小时全年不能停机的,最大的维护时间窗只有半小时左右,否则就会影响患者排队就医。业务的特殊性决定了对网络连续性的要求以及对网络安全的保障程度要求较高。

疑似Celsius地址已撤出其Bancor上2000ETH流动性,仅取回1150ETH:6月23日消息,据派盾PeckShield Alert数据显示,疑似Celsius地址已已撤出其Bancor平台上2000ETH流动性,仅取回约1150ETH。[2022/6/23 1:27:23]

2、现有安全产品瓶颈与不足防火墙

防火墙作为边缘安全设备,医院部署的防火墙,域内存在大量不合理及宽泛的安全策略,近年来国家对防火墙宽泛策略有明确等保要求,需要快速找出不合理策略,收敛宽泛、无效策略,但是人工梳理难度大,且无法验证对现有业务影响,开启对应策略的日志又会严重消耗性能且不够灵活。运维团队面对防火墙策略现状束手无策,策略维护加重了运维负担。另外,医院需要对防火墙进行配置变更时,人工配置容易失误,比如产生防火墙原端口映射配置未删除及策略下发错误严重影响医院就诊的问题。安全事件发生后,院方希望第一时间自动过滤出事件相关的防火墙策略,然而策略配置还是防火墙自身问题所导致,由于缺乏数据支持难以判断。

3、日志管理及审计设备

医院的数据中心运营着大量医疗系统,日常运维监控需要对医疗系统和信息审计进行日志收集,部分医院有自己的日志管理平台,但展示效果不灵活,对分布的WAF节点和众多的安全事件,也难以做到统一便捷的展示,不能结合异常期间的流量数据做到根因定位,无法对高频攻击做到统计分析,不利于医院做后续针对性的防护。

Bancor正在构建vBNT费用burner合约和无费用投票:3月11日消息,去中心化交易协议Bancor (BNT)官方发推公布项目开发进展。根据披露内容:1.正在构建vBNT费用burner合约(full Vortex);2.构建无费用的投票;3.开发新的稳定币池设计;4.分级白名单 (Launch Pad)。此外针对网友提问“持有BNT的人是否可以申请获得未来项目的白名单”,官方表示,新代币可以将ETH作为配对资产开放资金池,LPs将增加双重流动性(TKN+ETH)。[2021/3/11 18:34:43]

4、安全代理设备

基于医院业务性能扩展及安全考虑,医院的大量负载设备采用的全代理模式通常会对客户端地址进行源地址转换,因此存在转换前后通讯进行关联的难题,另外,医疗系统与调度平台之间的映射关系难以梳理,对攻击路径溯源和人工排查造成较大阻碍。

5、泛洪攻击流量难以回溯和定位

当医院网络面临DDoS类攻击时,如果查看该网卡的发包数在快速增加,导致损耗大量的网络带宽,引起网络堵塞,就会造成广播风暴。传统的NPM由于广播攻击流量和包数巨大难以做到正常的解析和回溯。

6、DNS安全缺乏防护手段

医院业务系统大部分采用域名方式对外提供服务,因此容易遭受基于主机耗尽型的DNS攻击,攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名,被攻击的DNS服务器在接收到域名解析请求时首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定数量就会造成DNS服务器解析域名超时,影响正常的域名业务访问。由于缺乏防护和异常访问统计手段,导致这类问题的事后处理被动,效率较低。

Bancor提出新机制Bancor Vortex以扩大网络流动性:1月13日,去中心化交易协议Bancor (BNT)官方宣布,Bancor治理已提出一种新机制Bancor Vortex,以增加BNT基本需求并扩大网络流动性。该机制将收取少量管理费用,即向流动性提供者收取短期损失保险费用。费用从代币互换中收取并由DAO调整。通过vBNT/BNT流动性池与vBNT交换,消耗vBNT供应,推动价格上涨。[2021/1/13 16:02:32]

三、智维数据解决方案

智维数据基于多年智能分析领域和医疗行业运维服务的经验积累,对上述医疗行业安全痛点有如下实现方案:

1、流量分析0影响

通过网络旁路镜像的方式,7*24小时实时采集数据中心关键网络节点及防火墙前后的网络流量。对现有网络、应用不产生任何影响的前提下对流量进行精细化分析检查。

2、防火墙性能0影响

支持多种方式定时获取防火墙策略,如FTP、API、文件上传等,无需开启防火墙会话日志,通过获取流量+配置,实现流量与配置关联,在不影响性防火墙性能的情况下,为策略提供流量支撑。

加密货币钱包开发商Ginco从日本政策投资银行集团风投基金中融资:日本加密货币钱包开发商Ginco今日宣布已从日本政策投资银行集团的风险投资公司DBJ中进行融资。据悉,这是DBJ资本首次对区块链企业进行投资。Ginco通过以DBJ资本为承兑方的第三方分配增资,进行了Pre-A轮融资。虽然没有公布具体的融资金额,但据Ginco称是“以亿日元为单位”的融资。(Jp.coitelegraph)[2020/4/8]

3、多源数据统一接入管理

智维数据基于自身平台化灵活架构支持多源数据接入,包括各类医疗系统日志和审计日志的集中收集和解析,可灵活精确地实现多个平台联动和对接,通过主动获取与被动接收两种方式来对接各平台数据的数据,并接入到平台内置数据库,可实现日志的统一展示和管理。

4、异常业务路径画像

智维数据可基于负载设备的API接口获取设备配置信息,基于配置信息+流量数据,动态、可视化展现完整的业务系统网络路径。基于业务访问日志对于部分异步的业务进行数据流缝合,实现访问关系的溯源。

5、智能化分析

智维数据产品内置多种智能算法及200多种场景的智能分析知识库,当指标出现异常时,系统自动进行根因分析帮助运维人员更快的感知故障、分析故障,同时赋能运维人员数据预测、变化分析等能力。

四、使用场景

1、防火墙策略优化&故障早发现

防火墙是一种特殊编程的路由器,它作为医院网络的第一道防线,维护大量冗余策略,会占用自身性能,另外,也需要满足等保2.0要求。智维数据基于防火墙前后端流量和配置信息,通过配置梳理和流量验证,快速有效地进行策略收敛,不影响防火墙性能,满足合规检查要求,快速消除防火墙策略隐患。

同时,智维数据支持对医院内的流量数据自动定期智能化巡检。通过异常数据和特征值,发现域内存在的安全隐患,包括:高危端口扫描、冰蝎、挂马、弱口令等明显存在安全隐患特征值的数据。

2、封堵验证及监控

如何验证下发的安全策略是否存在漏洞或者真实生效往往是医院头疼的问题。智维数据基于真实流量旁路采集的方式,监控实时数据,支持对已经封禁的IP和业务进行真实效果验证,若数据表格中出现有流量封禁名单中的IP即可主动发出告警,并支持根因定位分析,可明确问题导致的原因,如策略配置问题或安全设备异常等。

3、DNS攻击溯源及处置

智维数据支持对DNS设备进行深度监测,可针对医院DNS服务器和53端口对院内DNS服务器全面解析和监控,可及时监测到DNS当前访问量及响应时间是否异常,并根据异常响应码和访问成功率进行根因定位。基于告警和可视化,快速定位异常DNS攻击来源及异常请求,通知医院安全人员进行处置。

4、异常安全事件完全回溯定位

智维数据全流量分析平台可以获取全网流量,包括医院出口及内网。平台的业务画像功能可基于历史行为基线,发现新增的异常访问。与CMDB数据相结合,可针对内网出现的新增访问进行二次的检测,对异常访问实现主动监控。

智维数据支持基于流量特征及负载设备日志两种方案对异步的业务进行灵活自动关联数据流缝合,实现访问关系的溯源,可针对攻击经过的负载设备进行回溯分析。同时智维数据基于防火墙前后端流量和配置信息,可通过AI算法智能化检测经过防火墙的业务流量。实时感知业务异常并定位与事件相关的IP和策略。快速判断异常Deny行为及攻击入口,并给出安全风险提示。

基于日志和流量数据,对攻击源、地理位置、攻击类型、攻击方法等多种维度进行统计分析,将终端日志与流量路径进行关联,并针对防御策略制定提供数据支撑。

从流量、代理映射、资产、配置、日志、设备状态等多层面全方位智能分析,实现安全异常事件精准发现。

5、ARP广播风暴攻击

从实际经验来看,90%以上的网络广播风暴是病所致。智维数据拥有专门针对广播风暴攻击的高性能探针,通过Trunk口方式收集数据,只接收广播、组播、单播泛洪的流量。并且由于产品的采集口使用混杂模式,还可避免接口环路的风险。能快速处理分析当前广播域的ARP攻击来源及产生告警,并且支持将告警数据推送至第三方处置平台实现故障自愈。

6、无专家值守

智维数据基于多年的IT运维经验,将常见故障的分析思路通过Python脚本预制在系统中,当出现告警事件、隐患事件或人工需要分析时,系统可自动获取事件相关数据,并进行智能分析,输出分析报告,简洁易懂。

支持Syslog、邮件、短信、微信等告警通知形式。

总结

安全是医疗行业信息化部门极其重视的部分,本文为智维数据在安全层面的技术方案分享,除文中展示的场景外,智维数据还支持基于流量及安全事件特征进行定制化的数据溯源、分析和展示。

更多医疗行业运维场景及其他行业安全管控案例敬请垂询。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

非小号“元宇宙”—虚拟与现实的必然联系

随着5G、人工智能技术、区块链技术等技术的不断发展和疫情的持续,人们的很多生活场景由线下转为线上,因而2021年下半年,互联网被“元宇宙”刷屏。相对于宇宙而言,元宇宙则是一个抽象的概念.

ICP币圈起伏众生相 有用户单日亏损80万元

来源:媒体滚动 来源:北京商报   “如果人生能够重来,我一定不会选择进入币圈。”回望过去三年的经历,币圈用户张茂的讲述中充满了沉重的懊悔.

[0:0ms0-2:149ms