华睿投资 丨 《睿分享》系列

睿智创造价值  服务助推成长

文 | 美创科技

       华睿投资致力于大数据产业的布局，在一系列投资项目中，美创科技是其中最美的一员，渐露锋芒。美创科技聚焦于数据安全和数据价值的发现与挖掘，围绕数据安全、容灾、集成、分析、运维等铸造数据价值的底层提供基础数据技术服务，是敏感数据保护和数据安全的拓荒者和领导者，医疗数据安全第一品牌。

       苏州某大型医院便展开了这样一场“化被动为主动”的安全较量。 

 像“流感”一样蔓延

▲部署架构

千钧一发，病毒来袭

       《安全简史》中有段关于黑客攻击的描述，“如果有10%的利润，黑客就保证不会消停;如果有20%的利润，黑客就会异常活跃;如果有50%的利润，黑客就会铤而走险;为了100%的利润，黑客就敢践踏一切人间法律”。

       而医疗行业在黑客们的眼中，恰恰就是那个可以不惜铤而走险的“掘金库”。

       该医院即使已加强核心业务系统防御等级，并在Oracle数据库服务器上部署美创诺亚防勒索软件，仍迎来了勒索病毒的猛扑。

       2019年6月28日下午，美创技术服务工程师接到该医院紧急咨询，称其HIS核心应用服务器出现问题，业务无法正常访问。第一时间，美创技术服务工程师抵达现场，协助运维人员进行排查。

       在排除网络故障原因后。18时15分，运维人员登录HIS核心应用服务器，手动重启HIS应用服务，发现服务无法手动拉起。重启应用服务器后，发现HIS核心应用服务也无法自动启动。

       18时25分，现场运维人员通过检查HIS应用配置文件，发现所有文件均被加密，导致应用无法正常启动。

       18时35分，运维人员检查HIS数据库服务器，发现数据库服务器中的普通w、excel等办公文件均被加密。但是，Oracle数据库文件没有被加密，正常对外提供服务。

       通过多次验证发现：被美创诺亚防勒索软件通过策略防护的Oracle数据库文件完好无损（Oracle数据库文件均没有被加密），中招的恰恰是未部署防御的HIS核心业务的应用服务器数据，以及未写入防御策略的数据库服务器中的普通办公文件。

从被动防御到主动防御的华丽转身

       传统杀毒软件在勒索病毒的攻击下“节节败退”， 让该医院对被动防护类软件的信任度打了折扣。

       而回溯整个与勒索病毒的较量中，我们通过美创诺亚防勒索攻击日志查询功能发现，勒索病毒对被“诺亚”保护Oracle数据库文件同样发起多次攻击，但美创诺亚防勒索作为最后一道防线，从发现到快速拦截，有效防护住了系统重要文件，极大的降低了核心业务系统的恢复难度、减少了业务的中断时间。

       美创诺亚防勒索展现的强大病毒防御能力，也让客户开始了一场从被动防御到主动防御的全面转身。

       目前，该医院已经将HIS、Lis、Pacs等重要的业务系统，全部通过美创诺亚防勒索进行了整体防护，包括数据库和办公文件，并针对重点应用服务直接开启美创诺亚防勒索的堡垒模式，从而主动防护已知和未知的勒索病毒，全面防范勒索病毒攻击，确保信息系统的高可用和数据安全性。

▲部署架构

“诺亚”：让勒索病毒无处遁形

       生活中，很多人都抱怨过，几十年前可谓药到病除，现在的病毒都有抗药性，得了病很难治。

       安全领域亦然，在安全企业和恶意攻击者年复一年的攻防拉锯战中，如勒索病毒之类的高级恶意软件也具备了种种 “抗药性”，基于静态特征（即黑名单）检测的传统安全产品既不能顾及安全的每个边角，也欠缺足够的甄别和处理能力。

       对此，美创科技通过大量勒索病毒行为特征分析，推出专门针对勒索病毒的安全防护产品“诺亚”防勒索系统，该系统从保护数据的角度对应用主体、操作对象及其操作行为边界进行控制，对无论是办公电脑上的类型化文档（*docx、*xlsx等），还是服务器上的数据库文件，以及哑终端（ATM、加油站等）实现全方位主动防护：

       1、未知病毒防御

       诺亚防勒索系统基于零信任体系构建，并不关心病毒特征，未经过授权的应用无法对于受保护的文件和数据进行加密或破坏，从而防御各种未知勒索病毒的侵袭。病毒诱捕系统进一步保证系统安全，第一时间检测未知病毒侵袭，获知现场第一手病毒数据进行研究分析。

       2、带毒生存能力

       3、数据库勒索防御

       4、核心驱动保护

       5、堡垒模式坚固防护