近日，新加坡遭受了史上最嚴重的網絡攻擊，近150萬人的醫保資料遭到泄露，這些信息包括病患姓名、國籍、地址、性別、種族和出生日期等，受害者甚至包括新加坡總理李顯龍。此事件折射出在醫療機構加速數字化的今天，網絡安全能力的匱乏，已經嚴重影響了全球公民健康數據的個人隱私，威脅著醫療機構的數字資產。亞信安全建議醫療機構是時候重新審視安全防護體系的有效性，要嚴密關注高級持續性威脅攻擊(APT)的發展動向，并建立起全面、立體、有效的網絡安全防護體系。

醫療機構已經成為網絡攻擊的重要目標

此次新加坡的醫保資料泄露事件并不是孤例，事實上，醫療機構受到攻擊的事件在近年來已經愈演愈烈。2015年，美國第二大醫療保險公司Anthem就被黑客盜取了該公司超過8000萬客戶和雇員的個人信息。同年，加州大學洛杉磯分校醫療系統遭遇大規模的黑客攻擊，大約450萬份客戶醫療數據泄露。2018年初，挪威四大區域醫療保健組織之一的Health South East RHF遭到網絡攻擊，可能有290萬人成為了事件的受害者。在中國，某部委的醫療服務信息系統被爆遭到黑客入侵，大量孕檢信息遭到泄露和買賣。

醫療數據大規模泄露的背后，是網絡地下黑色市場中，醫療數據極為珍貴的價值。亞信安全針對網絡地下黑色市場的長期跟蹤也發現，醫療數據在暗網中極受青睞，醫療信息資料的價格每份35元起步，成為黑客竊取醫療數據的巨大動力。利用泄露的患者醫療數據，某些醫院可以根據不同患者的病情，“定制”撥打營銷電話或是推送廣告，電信詐騙者也會利用這些信息進行網絡詐騙，特別是政治人物、明星的醫療數據，價格更是難以衡量。

重重防護之下 黑客為什么還是可以得逞?

正是由于醫療數據泄露可能帶來的嚴重后果，很多醫療機構部署了嚴密的網絡安全體系，關鍵部門與業務甚至通過物理隔離的方式來進行保護。但是這樣依然沒有阻擋黑客的入侵腳步，醫療系統遭到攻擊導致數據泄密或是業務中斷的事件仍然常有發生，即使在物理隔離的內網也不能幸免。

醫療數據容易泄露的原因與其流動的特性有關。首先，因為醫療信息化系統的復雜性，醫療數據通常會流經多個系統、跨越多個單位和安全領域，在醫院的網站、掛號系統、電子病歷系統、醫療設備、醫院數據管理系統等多個應用之間流轉，任何一個節點的漏洞都可能導致數據泄露。

其次，醫療數據的高價值讓網絡攻擊者得以進行更加周密的籌劃，他們會選擇更精進、更隱秘的APT攻擊的方式，逐漸滲透到醫療系統中，伺機尋找竊取醫療數據的機會。網絡攻擊者可以在網絡地下黑色市場輕松購買到APT的攻擊程序，他們看準了醫療衛生行業相對薄弱的安全防護體系，在數據橫跨的多個系統中尋找攻擊點，這可能包括用戶新籌建的移動醫療系統、云計算平臺，醫療設備、物聯網技術供應商等，這些都超出了傳統數據防泄露技術的范疇。

據悉，在新加坡此次醫保資料泄露事故中，黑客即采用了APT攻擊的方式，首先從新加坡保健服務集團的一臺前端用戶電腦侵入，植入惡意軟件后，再查找集團數據庫中的病患個人資料，并在6月27日至7月4日期間逐步將數據滲漏出去。

重壓之下醫療機構如何保護醫療數據

如何更好的保護醫療數據，不僅影響著醫療機構的數據資產，也關系著國計民生，亞信安全近期與CHIMA、上海市衛生計生委信息中心共同發布的《中國醫院信息安全白皮書》指出，解決醫院信息安全的基本思路要做到“統一規劃建設、全面綜合防御、技術管理并重、保障運行安全”， 通過安全措施構建縱深的防御體系，對信息系統實行分域保護，以實現業務安全穩定運行，并有效應對網絡安全事件，維護業務數據的完整性、保密性和可用性。

亞信安全產品總監白日表示：“網絡安全威脅可能會從各個渠道滲透到醫療系統中，風險面非常大，任何一個疏忽都可能導致前功盡棄。因此建議醫療機構建立全面、立體化的網絡安全防護能力，在服務器、網絡、終端等多個層面建立網絡威脅防御能力，防護患者入口網站、電子病歷系統、醫療終端等各個節點，防止數據外泄或資金風險，并滿足網絡安全相關法規需求。”

APT攻擊共有六個階段，包括：情報收集、單點突破、命令與控制(C&C 通信)、橫向移動、資產/資料發掘、資料竊取。這種攻擊方式雖然超越了單點防護產品的功能范疇，但不是說企業就束手無策。相反，隨時掌握整個醫療機構網絡的流量情況，并針對APT攻擊階段分別建立威脅“抑制點”、形成安全產品之間的聯動，將會對APT攻擊起到有效的治理作用。

攻和防從來都是在悄然無息中暗自腳力，APT攻擊從來都不會坐以待斃。從安全運維角度來看，一個完整的運維體系同樣也包含四個階段：

1.偵測階段：從日常的海量告警信息中甄別出潛伏最深、最具攻擊性的威脅，并將有限的運維人員投放在最有價值的威脅響應工作中，以避免越來越多的人工干預導致的成本急劇增長，延長響應周期;

2.分析階段：準確判斷威脅的真實性，并進一步確認威脅的本質以及攻擊者的意圖，回溯攻擊場景，評估威脅嚴重性、影響和范圍，真正做到對威脅的定性定量分析;

3.響應階段：制定響應預案及工作流，為下一步威脅響應提供策略支撐，在提高自動化響應能力減少人工干預的同時，更節省成本開銷，降低響應周期;

4.預防階段：制定高效的預防機制和自我風險評估，做到主動預防的方法、技術和手段可以幫助客戶防微杜漸，避免此類威脅或者新型威脅的入侵。

針對以上在安全運維中面臨的種種挑戰以及管理者最關心的問題，亞信安全2018下一代威脅治理戰略3.0中提出了“精密編排的網絡空間恢復補救能力SOAR模型”，該模型從安全運維視角出發，通過SOAR平臺的精密編排能力，先將云管端安全產品(云和虛擬化安全產品Deep Security、高級威脅網絡偵測產品TDA、高級威脅網絡防護產品Deep Edge、高級威脅郵件防護產品DDEI、終端安全防護產品OSCE)提交至現有SIEM/SOC系統的威脅告警做以分類和優先級劃分，然后通過高級威脅情報平臺CTIP以及高級威脅分析設備DDAN確認威脅的真實性、本質及意圖，再利用部署在服務器和終端的高級威脅取證系統CTDI對威脅做進一步調查取證、驗傷、以及影響評估，最后按照SOAR預先定義的演練腳本自動化將響應策略下發給云管端的安全產品Deep Security、Deep Edge以及OSCE做威脅處置和響應，最終形成一套精密編排的安全聯動運維體系，使得相關機構可以不斷提升網絡空間回復補救能力，抵御形形色色的網絡滲透、攻擊和高級威脅的入侵。

亞信安全為醫療行業用戶提供了完整的上述解決方案，并樹立了江蘇省人民醫院等一大批標桿案例，攜手各級醫療機構，共建網絡安全新防線。