給醫療衛生機構勒索病毒防護加上安全鎖

勒索病毒是近年來醫療衛生機構面臨的主要安全威脅之一。信息系統中招后會加密磁盤中的文件，只有支付贖金后方可解密，造成重要數據丟失和重大經濟損失。同時，新型勒索病毒具備蠕蟲自行復制的特征，可利用信息系統存在的漏洞端口，在網絡內快速傳播，大大增加了破壞性，導致勒索病毒事件影響面極大。

通過對2021年勒索事件的觀察，勒索攻擊手段正趨于多樣化、復雜化。當前勒索攻擊不僅局限于簡單的掃描爆破、加密，還使用了更為復雜的手段，在隱蔽自身的同時進行戰果擴大化。

醫療衛生機構信息系統承載著預約信息、病患資料、醫學記錄等在內的諸多重要數據，一方面數據極具商業價值，另一方面數據應用緊急性高，關乎病患診療過程的順暢與否。基于此，醫療衛生機構信息系統一旦被勒索病毒加密，勢必需要以最快速度恢復數據，通常會選擇馬上交納贖金的方式，因此也給勒索病毒開發者帶來可觀的收益預期。

今天綠盟君就跟您一起聊聊醫療衛生機構勒索病毒防護這件事。

層層滲透、防不勝防——醫療衛生機構是怎么中招的？

勒索病毒攻擊者通常會以釣魚郵件、掃描和漏洞利用、利用非授權賬號密碼、暴力破解攻擊、移動設備入侵、水坑站點攻擊等多種方式，對醫療機構服務器進行遠程攻擊滲透。在成功感染首個主機后，攻擊者通常將投放攻擊工具，并利用該服務器作為跳板，在內網中橫向移動，感染更多主機。當攻擊者獲取到一定數量的服務器權限后，其將拷貝勒索軟件到內網服務器上運行，實施勒索。

可以說，勒索病毒防不勝防，并且具有形式多樣化、病毒性質惡劣、危害極大、內網滲透時間長等特點。

體系化防護，破局勒索病毒

在醫療衛生機構勒索病毒防護的過程中，又會有哪些具體的破局之道呢？

 “云、管、端”立體化防護

在實際的防護過程中，需要綜合利用好“云、管、端”進行立體化防護，從終端、郵件、邊界處著手，進行全面檢測與防護。

終端防病毒系統和網絡入侵防護系統在集成海量病毒樣本、入侵特征的情況下，在網絡邊界和電腦終端上對已知勒索病毒進行封堵。同時針對未知勒索病毒及其變種，采用網絡入侵防護系統與威脅分析系統聯動的方式進行縱深攔截。最后，結合綠盟云端威脅情報，實現對醫院側安全設備的安全能力輸送，快速提高應急響應速度，變被動防御為主動防御，以此形成“云、管、端”的立體式勒索病毒防護體系。

注重安全運營

當勒索病毒向內網進行滲透時，通常是會留下很多攻擊痕跡的。但往往出現沒人注意或因專業化程度不夠而放任勒索病毒擴散的情況，最終導致較為嚴重的后果。因此，日常的安全運營工作就顯得更加重要了。

首先借助安全運營平臺，通過利用大數據采集、存儲、分析技術，收集多種安全數據，并將各類安全數據進行關聯分析，再利用可視化技術，將各種威脅事件行為、系統脆弱性進行可視化展示，實現對系統安全的整體展示、態勢感知、攻擊事件溯源、及對潛在威脅的預警功能。其次依靠具備豐富攻防經驗的安全運營專家，以安全運營平臺為工具，開展威脅監測、事件研判、應急處置、攻擊溯源等工作，不放過勒索病毒的蛛絲馬跡，確保“早發現、早隔離、早治療”，實現醫療衛生機構7×24小時的安全保障。

增強安全意識，做好數據備份

在技術快速更迭的時代下，安全的邊界日益模糊，需要進行保護的各類數據也在不斷增加，對于數據的安全防護壓力也在不斷加強。當醫療衛生機構面臨勒索攻擊時，一方面需要做好各類安全防護措施，加固好自己的“城池”，不給攻擊者可乘之機；另一方面，也需要不斷增強安全意識，避免中招。同時做好數據的備份工作，保證在受到攻擊后能夠快速有效地恢復數據。

體系化的安全防護策略會帶來怎樣的好處？

從終端病毒防護到網絡入侵防護，再到云端威脅實現全面防護。從已知勒索病毒防護，到未知勒索病毒與APT防護，全面保障醫院網絡免遭勒索病毒入侵，全面、體系化的安全防護策略，將為醫療衛生機構帶來怎樣的優勢？

威脅“進不來”

綠盟勒索攻擊安全解決方案可在勒索病毒攻擊的初始階段，從上網、郵件、終端等不同層面對威脅進行檢測和防御，防止威脅進入到醫療機構系統中。

擴散“藏不住”

對于已在內網中存在的威脅，可通過大數據分析引擎進行分析，檢測出惡意流量和主機。對于少部分進入到網絡的威脅，在其嘗試擴散、攻擊前，通過對網絡流量、注冊表異常情況進行分析，及時發現、處置。

敏感數據“帶不走”

從網絡邊界到內網終端，綠盟勒索攻擊安全解決方案既防御傳統安全威脅，還特別針對APT攻擊進行檢測和防御。通過對網絡，郵件，終端的惡意軟件進行關聯分析，從云端到本地的綜合防護，形成預警、檢測、防護、清除的安全威脅防護閉環，有效保護敏感數據。