睿分享 | 华睿投资企业美创科技:打造医疗数据安全保护伞

发布时间:2019-08-08 浏览次数:192次

华睿投资 丨 《睿分享》系列

睿智创造价值  服务助推成长

文 | 美创科技


       华睿投资致力于大数据产业的布局,在一系列投资项目中,美创科技是其中最美的一员,渐露锋芒。美创科技聚焦于数据安全和数据价值的发现与挖掘,围绕数据安全、容灾、集成、分析、运维等铸造数据价值的底层提供基础数据技术服务,是敏感数据保护和数据安全的拓荒者和领导者,医疗数据安全第一品牌。

       今年6月初,江苏某地多家医院出现集中感染勒索病毒事件,黑客团队多次通过社会工程、暴力破解等方式进行针对性地入侵。一时间,医院里的电脑一台接一台地被感染,不少联网设备宕机,挂号、缴费、取号等常规业务均受到影响。

       攻击的潮水此消彼长,反复出现,身处其中的医院又该如何应对,拒绝中招?

       苏州某大型医院便展开了这样一场“化被动为主动”的安全较量。 


 像“流感”一样蔓延

       如果说,2017年勒索病毒的爆发,让人们认识到漏洞威胁的可怕之处,那么如今,随着勒索攻击工具化程度越来越高,无数在互联网中游荡的勒索病毒,就像流感病毒一样,不断的进化、变异且无孔不入。
       此次攻击该地区多家医院的勒索病毒正是如此。经分析,该勒索病毒为最新变种,具有较强的目标性和隐秘性,一旦被它“缠身”,出现“一台感染,一片崩溃”的局面,大量的解密成本以及正常的诊疗流程瘫痪、数据泄漏将造成的严重后果。
       同一行业之间,往往存在网络互通,病毒如流感般肆虐,引起了苏州某医院的重视。对此,院方决定加强核心业务系统防御等级,以防止勒索病毒入侵。
       同时,经过多层的筛选和考察,于2019年6月中旬,该医院选择了从防删除、防加密思路入手,做数据底线防御的美创诺亚防勒索软件,部署在HIS核心业务的Oracle数据库服务器上试用,并配置数据库文件保护策略。

▲部署架构


千钧一发,病毒来袭

       《安全简史》中有段关于黑客攻击的描述,“如果有10%的利润,黑客就保证不会消停;如果有20%的利润,黑客就会异常活跃;如果有50%的利润,黑客就会铤而走险;为了100%的利润,黑客就敢践踏一切人间法律”。

       而医疗行业在黑客们的眼中,恰恰就是那个可以不惜铤而走险的“掘金库”。

       该医院即使已加强核心业务系统防御等级,并在Oracle数据库服务器上部署美创诺亚防勒索软件,仍迎来了勒索病毒的猛扑。

       2019年6月28日下午,美创技术服务工程师接到该医院紧急咨询,称其HIS核心应用服务器出现问题,业务无法正常访问。第一时间,美创技术服务工程师抵达现场,协助运维人员进行排查。

       在排除网络故障原因后。18时15分,运维人员登录HIS核心应用服务器,手动重启HIS应用服务,发现服务无法手动拉起。重启应用服务器后,发现HIS核心应用服务也无法自动启动。

       18时25分,现场运维人员通过检查HIS应用配置文件,发现所有文件均被加密,导致应用无法正常启动。

       18时35分,运维人员检查HIS数据库服务器,发现数据库服务器中的普通w、excel等办公文件均被加密。但是,Oracle数据库文件没有被加密,正常对外提供服务。

       通过多次验证发现:被美创诺亚防勒索软件通过策略防护的Oracle数据库文件完好无损(Oracle数据库文件均没有被加密),中招的恰恰是未部署防御的HIS核心业务的应用服务器数据,以及未写入防御策略的数据库服务器中的普通办公文件。


从被动防御到主动防御的华丽转身

       传统杀毒软件在勒索病毒的攻击下“节节败退”, 让该医院对被动防护类软件的信任度打了折扣。

       而回溯整个与勒索病毒的较量中,我们通过美创诺亚防勒索攻击日志查询功能发现,勒索病毒对被“诺亚”保护Oracle数据库文件同样发起多次攻击,但美创诺亚防勒索作为最后一道防线,从发现到快速拦截,有效防护住了系统重要文件,极大的降低了核心业务系统的恢复难度、减少了业务的中断时间。

       美创诺亚防勒索展现的强大病毒防御能力,也让客户开始了一场从被动防御到主动防御的全面转身。

       目前,该医院已经将HIS、Lis、Pacs等重要的业务系统,全部通过美创诺亚防勒索进行了整体防护,包括数据库和办公文件,并针对重点应用服务直接开启美创诺亚防勒索的堡垒模式,从而主动防护已知和未知的勒索病毒,全面防范勒索病毒攻击,确保信息系统的高可用和数据安全性。

▲部署架构


“诺亚”:让勒索病毒无处遁形

       生活中,很多人都抱怨过,几十年前可谓药到病除,现在的病毒都有抗药性,得了病很难治。

       安全领域亦然,在安全企业和恶意攻击者年复一年的攻防拉锯战中,如勒索病毒之类的高级恶意软件也具备了种种 “抗药性”,基于静态特征(即黑名单)检测的传统安全产品既不能顾及安全的每个边角,也欠缺足够的甄别和处理能力。

       对此,美创科技通过大量勒索病毒行为特征分析,推出专门针对勒索病毒的安全防护产品“诺亚”防勒索系统,该系统从保护数据的角度对应用主体、操作对象及其操作行为边界进行控制,对无论是办公电脑上的类型化文档(*docx、*xlsx等),还是服务器上的数据库文件,以及哑终端(ATM、加油站等)实现全方位主动防护:

       1、未知病毒防御

       诺亚防勒索系统基于零信任体系构建,并不关心病毒特征,未经过授权的应用无法对于受保护的文件和数据进行加密或破坏,从而防御各种未知勒索病毒的侵袭。病毒诱捕系统进一步保证系统安全,第一时间检测未知病毒侵袭,获知现场第一手病毒数据进行研究分析。

       2、带毒生存能力

       在0day漏洞利用层出不穷的今天,期望完全御敌于国门之外是不现实的。诺亚防勒索系统可以在勒索病毒侵袭的终端和服务器上保护关键机密文档和数据库不受破坏,保障关键业务程序正常运行,实时检测和报告勒索病毒的运行和破坏,为对抗勒索病毒赢得时间。

       3、数据库勒索防御

       美创独创数据库文件防勒索保护引擎,保护Oracle,SQL server,Mysql,DB2等关键数据库系统在受到勒索病毒入侵时,依然保持正常运转,在极端情况下最底限保证数据不被破坏,数据不丢失。

       4、核心驱动保护

       诺亚防勒索引擎作用在核心驱动层,确保安全策略不会被旁路。核心驱动引擎监控所有程序的运行和修改操作,检查操作是否符合安全策略,对于非法的更新操作进行阻断,从而防御勒索病毒加密或删除文档。

       5、堡垒模式坚固防护

       美创诺亚防勒索系统支持堡垒模式。堡垒模式开启后,禁止任何新的应用程序在哑终端上运行,包括勒索软件、已知勒索病毒、未知勒索病毒、挖矿病毒等。
在堡垒模式下,如果想运行某些新应用,可以配置“运行保护”策略。在“运行保护”里面,配一个“允许”策略,这样应用就可在“堡垒模式”中正常运行。
返回

Copyright(C)2017 sinowisdom.cn All rights reserved.浙ICP备11026831号-1