2022 医疗卫生行业应急响应形势分析报告 脱敏板

news2024/11/17 9:49:20

声明

本文是学习2022医疗卫生行业网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

医疗卫生行业应急响应形势分析

2021年1-12月,奇安信集团安服团队共参与和处置全国范围内医疗卫生行业网络安全应急响应事件84起,第一时间协助用户处理安全事件,确保了用户门户网站、数据库、办公系统和重要业务系统的持续安全稳定运行。

在奇安信集团安服团队参与处置的医疗卫生行业网络安全应急响应事件中,相关机构自行发现的网络安全事件占96.4%,其中16.7%通过内部安全运营巡检的方式自主查出,79.7%是因为其网络系统已经出现了显著的入侵迹象,或者已遭到了攻击者的敲诈勒索。由监管机构、主管单位、第三方平台通报处置的网络安全事件占3.6%。

github5.com 专注免费分享高质量文档

医疗卫生行业网络安全应急响应事件的影响范围中,业务专网设备占比81.0%,互联网设备占比19.0%。下图为医疗卫生行业网络安全应急响应事件影响范围分布。

github5.com 专注免费分享高质量文档

从攻击者意图来看,敲诈勒索和黑产活动占比最高,占比分别为51.2%和25.0%。同时,有7.1%是为了窃取重要数据,还有3.6%属于内部违规。

github5.com 专注免费分享高质量文档

通过对 2021 年医疗卫生行业安全事件攻击类型进行分析,排名前三的类型分别是:恶意程序占比 46.4%;漏洞利用占比 29.8%;钓鱼邮件占比 3.6%。在恶意程序中,木马攻击(非蠕虫病毒)占比 51.3%,蠕虫病毒攻击占比 48.7%。

github5.com 专注免费分享高质量文档

蠕虫病毒、木马由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手段,攻击者利用病毒、木马对办公系统进行攻击,通常会产生大范围感染,造成系统不可用、数据损坏或丢失等现象;例如11月出现的“Magniber 勒索病毒”对服务器和系统进行攻击,导致系统不可用,从而谋取利益。

漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端,使用常见系统漏洞、Web 漏洞等发起攻击。例如 2021 年 12 月发现的“Apache Log4j2 漏洞”,就被大量攻击者利用对服务器进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。 除此之外,钓鱼邮件、网页篡改、网络监听攻击等也是较为常见的攻击类型。如 2021年 12 月份发现的 emote 木马钓鱼邮件,一旦中招,对政企机构产生的影响是不小的。医疗卫生行业机构应做好员工安全意识培训工作,定期内部巡检,及时发现威胁并有效遏制。

特别值得注意的是,在2021年的医疗卫生行业的网络安全应急响应事件中,还有16.7%并非是由网络攻击事件触发的。这些事件绝大多数都是机构内部运营故障、操作失误或管理疏失所造成的。这也提醒我们,网络安全工作与业务运营是密不可分的。网络安全问题会影响业务开展,而业务问题也同样会触发网络安全事件。

从被攻陷系统的损失来看,数据丢失占比最高,达29.8%;其次是系统/网络不可用,占比16.7%;生产效率低下排第三,占比11.9%。具体分布如下所示。

github5.com 专注免费分享高质量文档

医疗卫生行业应急响应典型案例

某三甲医院部分内网设备被勒索加密

(一)场景回顾

2021年10月,某地一家三甲医院门诊部内部系统无法正常使用,信息科工作人员检查发现部分服务器上文件被加密,故请求安服团队支持进行分析处置。

(二)事件分析

现场分析处置过程中发现,除了被报告的几台服务器设备外,还有多台服务器和医用终端被勒索病毒加密,应用无法使用,数据被加密。通过溯源分析发现,攻击者通过服务器远程桌面口令爆破登录到服务器后,以服务器作为跳板接入内网,之后对其他服务器和医用终端进行了远程桌面口令撞库,获取了一台具有双网卡的服务器权限,并对内网发起大规模撞库,获取大量服务器权限,并通过跳板机以人工方式进行投毒。

(三)处置方案

1)切断网络,阻断攻击者连接,同时对重要信息系统PACS进行业务恢复;

2)在服务器和终端上逐一安装杀毒和安全防护软件,修复系统漏洞,更新病毒库;

3)修改所有服务器、医用终端密码,重要信息系统使用不同密码,保证密码复杂度并定期进行更改,杜绝使用弱口令。

某三级综合医院部分电脑C盘文件无端被删

(一)场景回顾

2021年9月,某地一家三级综合性医院部分电脑存在卡顿黑屏现象,C盘大量文件被删。医院工作人员怀疑电脑疑似感染挖矿木马。

(二)事件分析

应急人员在现场首先对某一问题机器进行排查分析,发现存在可疑恶意进程和敏感端口开放情况,并且系统用户也存在使用弱口令等问题,但这些问题并非是导致电脑卡顿、黑屏和C盘文件被删的主要原因。

应急人员使用专杀工具对问题电脑进行病毒查杀,发现某个会造成系统黑屏和卡顿的病毒文件。但病毒程序并不会破坏或删除C盘文件。

进一步排查发现,电脑的打印程序存在某个配置,不仅会造成系统卡死,还会导致系统重启后大部分文件被删除。在与医院的IT运维人员沟通后确认,医院使用的医用仪器检验管理系统日前新增了一个配置策略,该策略会使电脑在打印包含图片的病例时,会先检查C盘空间是否充足,若不充足会删除自建的临时文件。但由于软件运维人员在配置该系统时,误把“C:\”目录添加到了删除目录中,造成系统在打印某些病例时会把C盘根目录所有文件删除。

(三)处置方案

  1. 修改不当的系统配置,排查其他可能有风险的设备;
  2. 排查发现系统存在空口令、弱口令和敏感端口开放的设备,要求增强口令强度,关闭不必要端口,或配置特定端口仅对特定IP地址开放;
  3. 安装相应的防病毒软件,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。

某专科医院内网大规模感染蠕虫病毒

(一)场景回顾

2021年4月,某地一家专科医院内网200余台主机感染蠕虫病毒,杀毒软件查杀后仍会出现病毒,部分异常程序无法清除,干扰正常业务应用使用,部分终端无法部署新的业务系统。

(二)事件分析

应急人员现场对一台感染病毒的主机进行病毒定性分析,使用奇安信天擎对病毒进行查杀,初步判断为蠕虫病毒,并发现存在仿冒系统进程的异常程序,异常程序存在守护进程和自启动选项。

随后,应急人员又对某科室八台终端进行同样的排查,均发现启动项目录下存在恶意程序,判断该恶意程序为操作系统感染所致。由于现场条件不允许进行情景再现模拟测试,故无法最终确定感染方式和时间。

(三)处置方案

  1. 因装机方式特殊,且感染终端数量较多,因此没有采取逐台设备清除病毒的方法,而是对所有已经感染的终端重装了操作系统;
  2. 部署高级威胁监测设备(如:奇安信天眼),及时发现恶意网络流量,同时可进一步加强追踪溯源能力,在安全事件发生时可提供可靠的追溯依据;
  3. 建议医院上新业务和上新终端时,要对上新业务和终端进行安全检查或安全评估,检查和评估结果为安全后,再接入生产网络中去。

某三甲医院内网爆发永恒之蓝病毒

(一)场景回顾

2021年1月,某地一家三甲医院内网十几台未安装安全软件的终端出现持续重启现象,疑似出现内网病毒,故请求奇安信安服团队协助检测最先感染病毒的终端并提供病毒信息,确认是否与外部网络攻击有联系。

(二)事件分析

应急人员现场对内网终端系统日志、流量威胁检测记录等进行取证分析,确认导致此次事件的直接原因是与永恒之蓝漏洞相关病毒。

应急人员在日志中发现相关漏洞利用痕迹,早在2019年9月就已经存在,故判定病毒存在一定的潜伏期。排查中还发现该医院对外服务器存在Weblogic反序列化命令执行严重漏洞,该漏洞可导致未授权用户通过远程服务器执行任意指令,但是该服务器与最先中毒的终端间未发现通信过程,故可排除外部直接、主动攻击的可能。病毒源的引入可能为点击恶意链接、浏览不良网页、插入了带病毒的U盘等。

(三)处置方案

  1. 断开感染病毒终端的内网连接,对所有感染病毒的终端安装安全软件(如:奇安信天擎)并进行全盘杀毒;
  2. 对SMB端口做合理限制,关闭所有不需要使用445端口的设备的445端口。并且关闭IPC的不安全共享,对所有内网终端进行SMB补丁安装,对外网服务器进行安全加固;
  3. 部署高级威胁监测设备(如:奇安信天眼),及时发现恶意网络流量,进一步加强追踪溯源能力,在安全事件发生时可提供可靠的追溯依据。

某三甲医院内网服务器感染勒索病毒

(一)场景回顾

2021年10月,某地一家三甲医院业务系统不可用,系统文件被加密勒索,故请求奇安信安服团队进行应急处置,分析病毒攻击行为。

(二)事件分析

现场对内网服务器进行排查,发现大量主机存在弱口令,如1qaz2WSX、P@ssw0rd等。此类口令虽然看似复杂,但是实际上属于常见键盘组合或常见字符替换,均属于流行弱口令库中排名靠前的口令,对于有经验的黑客来说并不难破解。

通过进一步的日志分析发现,多台服务器上都存在大量弱口令爆破行为,在过去几个月中,不止一路黑客曾经通过弱口令登录远程桌面进入医院服务器。而最后一个通过弱口令登入的攻击者,对服务器进行了勒索加密,根据被加密的文件名后缀判断,病毒为LOCKBIT勒索病毒,目前无法解密。

总体来看,该医院服务器长期使用弱口令,长期处于不安全状态,并曾遭多路黑客频繁攻击,发生重大安全事故,只是时间问题。

(三)处置方案

  1. 使用医院日常冷备份数据,对服务器系统进行快速恢复,未备份数据,人工重新录入;
  2. 全面检查内网所有设备的密码,修改所有弱口令,包括防火墙、服务器等,禁止使用看似复杂,但常见有规律的弱口令;
  3. 尚未部署安全软件的服务器立即部署安全软件,并进行全盘查杀;及时对病毒库进行更新,设置定期进行全面扫描,加强服务器上的病毒清除能力;
  4. 采用端口白名单机制,只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口。

某三甲医院内网出现大量异常流量被网警通报

(一)场景回顾

2021年11月,某地一家三甲医院被网警通报发现大量异常流量,经自查发现多个挖矿木马和蠕虫病毒,故请求奇安信安服团队排查被攻击服务器并确定攻击源。

(二)事件分析

现场对失陷服务器主机进行溯源分析发现,2021年10月,就已经有多个IP对医院内部服务器进行暴力破解的攻击行为。同时,我们在医院服务器上还发现了Trojan.Agent木马病毒。对现有失陷服务器进行日志分析,确定攻击者是首先攻破一台服务器,再通过暴力破解进行横向传播,然后在多台服务器和办公终端中,植入挖矿木马和蠕虫病毒等多个恶意服务。

(三)处置方案

  1. 对所有失陷主机进行断网处理,重装系统并安装安全软件,其他为失陷主机安装安全软件和专杀工具进行查杀并对可疑恶意服务进行上机排查;
  2. 对于出现弱口令的主机强制修改为强口令,对矿池恶意域名进行拉黑封禁处理,并对内部员工进行相关的安全培训;
  3. 针对暴力破解的情况,对防火墙必要端口进行阻断控制,同时配置私有DNS解析到本地,就不会连接到恶意域名矿池上。

延伸阅读

更多内容 可以 2022医疗卫生行业网络安全分析报告. 进一步学习

联系我们

DB13-T 5042-2019 电梯维护保养年度自检规范 河北省.pdf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/186306.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

is not defined at HTMLInputElement.onclick

vue项目中一小部分功能想要使用原生的onclick 事件,发现报错Uncaught ReferenceError: 函数名 is not defined at HTMLInputElement.onclick搜索了相关blog,得出结论是onclick事件调用的方法必须是全局变量或者说是window的方法解决方法:将cl…

leetcode:43. 字符串相乘(附加一些C++string其他小练习)

目录 一.leetcode:43. 字符串相乘 1.问题描述 2.问题分析 3.问题求解 二. leetcode:541. 反转字符串 II 1.问题描述 2.题解 三. leetcode:125. 验证回文串 1.问题描述 2.双指针法求解 一.leetcode:43. 字符串相乘 43…

数据结构(括号匹配与表达式计算)

目录 括号配对 括号匹配算法 表达式计算 后缀式的计算 中缀式转后缀式 括号配对 编译器做语法检查的任务之一是检查符号是否配对,最简单的符号匹配问题是括号是否匹配,如开括号( 及{ 后面必须依次跟随相应的闭括号 }及 )。 如下段程序中的括号、引号…

谷歌竞价账户效果不好的原因?

很多外贸企业喜欢用谷歌竞价来推广自己的网站,提升自己的竞争力。是一种能很快看到效果的宣传方式。但是很多公司在谷歌竞价上投入了大量的资金,却收效甚微。为什么?下面我们来看看如何解决我们在google竞价推广中会遇到的一些问题。很多人在…

Linux的文件权限理解

目录 前言 1、用户、用户组、其他人 1.1用户、用户组、其他人之间的概念理解 1.2Linux系统中有用户身份与用户组记录的文件 2、Linux文件权限概念 第一列 第二列 第三列 第四列 第五列 第六列 第七列 Linux文件权限的重要性 3、Linux的目录与文件的权限意义 权限…

计算机图形学 第5章 二维变换与裁剪到Cohen-Sutherland直线裁剪算法

目录学习目标前驱知识规范化齐次坐标二维几何变换矩阵物体变换与坐标变换二维几何变换二维图形基本几何变换矩阵平移变换矩阵比例变换矩阵旋转变换矩阵反射变换矩阵错切变换矩阵二维仿射变换二维复合变换相对于任意方向的二维几何变换二维图形裁剪世界坐标系2.用户坐标系观察坐…

VSCode中设置Python语言自动格式化的方案

安装Python扩展 在VSCode的扩展(Externsions)中使用下面命令检索Python扩展 category:debuggers Python 打开一个Python文件,可以在VSCode的右下角看到运行环境。 安装PEP8 python3.10 -m pip install -U autopep8 安装Flake8 python3.10 …

上百个数字经济新场景 低代码完美搭建 实现项目落地

数字经济 自人类社会进入信息时代以来,数字技术的快速发展和广泛应用衍生出数字经济(Digital Economy)。与农耕时代的农业经济,以及工业时代的工业经济大有不同,数字经济是一种新的经济、新的动能,新的业态,其引发了社…

MicroBlaze系列教程(3):AXI_TIMER的使用

文章目录 @[toc]AXI_TIMER简介常用函数使用示例参考资料工程下载本文是Xilinx MicroBlaze系列教程的第3篇文章。 AXI_TIMER简介 AXI_TIMER支持两路可编程32位计数器,可以配置为中断、捕获、PWM模式,两个32位计数器可以级联为一个64位计数器。 IP核支持的最高频率: 常用…

nacos 服务发现获取列表源码分析

nacos 服务发现获取列表源码是注册中心最重要的技术点之一,其获取服务列表理论上是在首次接口调用时获取,有时候配置饥饿加载,即服务启动时就获取服务列表:今天我们从一个入口解析获取配置列表; 一、客户端源码 1、自动装配&…

推荐系统之推荐缓存服务

5.6 推荐缓存服务 学习目标 目标 无应用 无 5.6.1 待推荐结果的redis缓存 目的:对待推荐结果进行二级缓存,多级缓存减少数据库读取压力步骤: 1、获取redis结果,进行判断 如果redis有,读取需要推荐的文章数量放回&am…

(深度学习快速入门)第四章第一节:基础图像处理知识

文章目录一:位图和矢量图二:图像分辨率三:颜色模式(1)RGB(2)HSB(2)灰度图四:通道五:亮度、对比度和饱和度六:图像平滑和锐化&#xff…

D3股权穿透图

前言:最近做了一个项目,主要就是实现各种类似企查查的各种图谱,欢迎交流。后期将完成的谱图全部链接上,目前已大致实现了: 【企业关系图谱】、【企业构成图谱】、【股权穿透图】、【股权结构图】、【关联方认定图】 准…

【蓝桥杯基础题】2018年省赛—日志统计

👑专栏内容:蓝桥杯刷题⛪个人主页:子夜的星的主页💕座右铭:前路未远,步履不停 目录一、题目描述1.问题描述2.输入格式3.输出格式4.一个例子二、题目分析1、暴力法2、双指针三、代码汇总1、暴力代码汇总2、双…

【Mysql第一期 数据库概述】

文章目录1. 为什么要使用数据库2. 数据库与数据库管理系统2.1 数据库的相关概念2.2 数据库特点2.3SQL优点3.常见的数据库介绍1.Oracle2.SQL Server3.MySQL4.Access5.DB26.PostgreSQL7.SQLite8.informix4. MySQL介绍4.1Mysql重大历史事件4.2 关于MySQL 8.04.3 Why choose MySQL?…

linux内核读文件代码分析

linux下“一切皆文件”,所有设备都可以被抽象成文件,用户态可以通过open、read、write、llseek等api操作一个文件,通过系统调用进入内核态,最终访问到pagecache/磁盘上的数据,然后返回给用户态。 kernel version:v6.2-rc4 社区master主干 用户态应用程序调用read接口,通…

【转载】车载传感器与云端数据交换标准SensorIS的理解与使用

原文 https://zhuanlan.zhihu.com/p/386277784 1、什么是SensorIS?SensorIS全称是Sensor Interface Specification,翻译为中文就是传感器接口规范,是由来自全球汽车行业的主机厂、地图和数据提供商、传感器制造商和电信运营商共同组成的开放团体发布的一…

JavaEE day10 初识SpringMVC

JSON简介 JSON :JavaScript Object Notation JS对象表示法 是轻量级的文本数据交换格式,但是JSON仍然独立于语言和平台。其解析器和库支持许多不同的编程语言。目前非常多的动态编程语言(java,PHP)都支持JSON。JSON…

禅道好用吗?优缺点及类似10大项目管理系统介绍

类似禅道的十大项目管理软件:1、一站式研发项目管理软件PingCode;2、通用型项目协作工具Worktile;3、开源项目管理软件Redmine;4、免费项目管理软件Trello;5、无代码项目管理软件Monday;6、IT项目追踪管理工…

面试宝典-数据库基础

数据库基础前言一、数据库1.1 sql练习题1.2 sql语句执行顺序1.3 sql语句编写前言 本文主要记录B站视频视频链接的内容,做到知识梳理和总结的作用,项目git地址。 一、数据库 1.1 sql练习题 user表数据: idusername1张三2李四3王五4小刘 user_role表数…