×

专题直播:勒索病毒频发,医疗业务怎样守关?
  

SANGFOR_智安全 6540

{{ttag.title}}
专题直播:勒索病毒频发,医疗业务怎样守关?

      近期,“勒索病毒”、“网络安全”等似乎成为了医信界2018年的开年代名词。年后,黑客针对医院下手,导致医院系统故障,影响患者就医,情况极其恶劣。从2017年5月勒索病毒WannaCry对学校、医疗、政府等各个领域的袭击,到现如今医院系统被植入升级版勒索病毒,勒索病毒的预防及应急处理刻不容缓。

      那么,如何针对勒索病毒造成的网络安全事件进行应急处置和安全加固?在国内医疗行业较有影响力的医院信息咨询自媒体平台医信微平台的邀请下,某公司医疗事业部副总经理钟一鸣在其“医信大讲堂” 活动中直播剖析勒索病毒,并分享防治之道。

勒索病毒剖析
什么是勒索病毒
主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的比特币才能恢复数据,否则将销毁被加密数据。

勒索病毒的发展

近两年,随着电子货币的发展,很多黑客利用了电子货币难以追踪的特性通过勒索病毒进行电子货币勒索,勒索病毒大规模爆发,尤其是Wannacry事件,使得公众对勒索病毒谈之色变。随着人工智能、机器学习以及物联网的普及,未来2到3年内勒索病毒或将更大规模爆发,病毒数量指数增加,预计损失将达到115亿美元。

勒索病毒的传播
勒索病毒必须经过传播植入到受害者主机才能够实现勒索。四种常见传播方式为:
1、钓鱼邮件:恶意代码伪装在邮件附件中,诱使打开附件,主要对象为个人PC。
2、蠕虫式传播:通过漏洞和口令进行网络空间中的蠕虫式传播,主要对象无定向,甚至能够自动传播,Wanncry病毒、Petya变种均利用了此种方式。
3、查找攻击源:通过黑色产业链中的Exploit Kit来分发勒索软件。一般针对有漏洞的服务器。
4、暴力破解:通过暴力破解RDP端口、SSH端口、数据库端口。主要针对开放远程管理的服务器。
值得注意的是,勒索病毒之所以能够对各个单位造成严重的影响,很大的原因是大多数勒索病毒都具备内网传播感染能力。
勒索病毒应急处置与加固

中招”后如何解决
在此次直播过程中,钟一鸣为大家提供了勒索病毒中招后应急处置建议:
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB,RDP端口等共享传播端口。关闭异常的外联访问。
3、查找攻击源:手工抓包分析供给源或借助态势感知类产品分析。
4、查杀病毒修复漏洞:查杀病毒,打上漏洞补丁,修改口令。
对于大家普遍关注的中招后的数据恢复,钟一鸣也提供了几个方案,包括尝试用数据恢复软件找到被删除的源文件通过解密工具破解,解密文件通过winhex对比历史文件分析文件头内容恢复,以及通过支付赎金恢复数据等方式。但目前勒索病毒的数据恢复难度较大,部分勒索病毒即便支付攻击者赎金也未必可以解密被勒索文件,建议防范还是以预防为主。
勒索病毒如何预防
1)避免弱口令,避免多个系统使用同一口令。
2)应用服务管控:终端上关闭Windows共享服务、远程桌面控制等不必要的服务,网络层面上防火墙做好应用控制,关闭非必要的互联网访问。
3)漏洞管理:定期漏扫;及时打补丁,修复漏洞。
4)安装杀毒软件并及时更新病毒库。
5)数据备份:对重要的数据文件定期进行非本地备份。
6)提高安全意识 :   
不使用不明来历的U盘、移动硬盘等存储设备;   
不要点击来源不明的邮件以及附件;   
不接入公共网络也不允许内部网络接入来历不明外网PC。

某公司应对实践
      某公司作为一家专业安全厂商,在帮助大量用户应对勒索病毒所带来的威胁同时,也积累了大量针对勒索病毒的处置经验以及对勒索病毒这种攻击行为的预防和防御创新方法。
基于勒索病毒的传播方式、感染方式、事后勒索行为等的分析理解,某公司把勒索病毒的防御定位为全方位的安全服务,包括勒索风险安全评估、流量防御、威胁主机检测以及快速响应。
勒索病毒风险评估:通过云端扫描、本地安全检查、口令扫描等方式扫描可能传播勒索病毒或被勒索病毒利用的漏洞或脆弱性口令,事前预防勒索病毒的植入途径。

流量防御:一方面通过漏洞阻断、暴力破解防护、邮件查杀等手段进行攻击投放阻断与扩散传播阻断。另一方面通过下载文件云查杀对勒索病毒本身进行阻断。

威胁主机检测:大型医疗机构内网终端及服务器比较多,业务相对比较复杂,某公司通过安全感知解决方案能够全网自动发现勒索病毒受害主机,发现潜伏威胁主机,帮助用户有效管理大型网络。

快速响应:首先是扫描策略快速下发,检测是否存在感染隐患;其次是流量端点协同响应,自动阻断木马与黑客通信,端点执行扫描、查杀等动作;最后提供高级专家应急响应,不仅全国各地中小城市均有响应服务点,同时提供7*24小时无休在线服务响应。

      目前依靠某一台专门的设备或者某一类专门技术并不能解决勒索病毒问题,某公司针对勒索病毒构建的是一套完整的防御体系。通过全网勒索情报收集、自动化沙盒集群、人工智能引擎检测,以及大量安全专家分析,将汇聚到安全云脑并用大数据及人工智能的分析来提高检测防御的能力,并将安全防御策略输送到各个安全设备中,提高安全设备的安全检测能力。最终通过下一代防火墙、终端检测响应EDR、安全感知等安全产品的检测响应能力来实现全生命周期的勒索防护,提升整体的安全防御能力。


      在近期爆发的GlobeImposter 变种勒索病毒事件中,某公司已经帮助华中、华南、西南等多个区域的多家医院检测出勒索病毒并查杀,收到不少的好评和感谢。某公司在勒索病毒应对实践中积累大量实战经验,拥有勒索病毒检测解决方案,勒索病毒防御响应解决方案,以及体系化解决方案,信服君后续将持续为您介绍,敬请期待!

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

zoonctrl 发表于 2018-3-18 01:16
  
主要是医疗更新太慢了,意识需要提升
feeling 发表于 2018-3-18 08:35
  
有事错过了
yl2352 发表于 2018-3-21 15:02
  
这个勒索病毒看起来好恐怖
Rocky 发表于 2018-3-27 11:40
  
医院里没有专门的运维人员吧。
Zarks 发表于 2018-3-29 08:10
  
用什么软件查询 勒索病毒?360杀毒行吗?
新手778572 发表于 2024-6-8 17:22
  
面对勒索病毒频发的威胁,医疗业务需要采取一系列措施来加强网络安全和保护患者数据的安全性。以下是一些建议:

教育和培训:

对医疗工作人员进行网络安全意识教育和培训,教导员工如何识别和避免勒索病毒的攻击,以及如何正确处理可疑电子邮件、链接和附件。
加强访问控制:

实施严格的访问控制措施,限制员工和外部用户对敏感数据和系统的访问权限,确保只有授权人员可以访问特定信息。
定期备份数据:

定期备份医疗记录和患者数据,并确保备份文件存储在安全的离线位置。在受到勒索病毒攻击时,可以从备份中快速恢复数据。
更新和维护系统:

及时更新操作系统、应用程序和安全补丁,以修复已知漏洞,减少系统受到攻击的风险。
使用安全软件:

安装和定期更新防病毒软件、防火墙和其他安全软件,以检测和阻止恶意软件的入侵。
网络监控:

实施实时网络监控和日志审计,及时发现异常活动和潜在的安全威胁,以加强对网络安全事件的响应能力。
制定安全策略:

制定和执行医疗数据安全策略,包括数据加密、访问控制、数据备份和恢复计划等,以确保患者数据的安全性和隐私保护。
应急响应计划:

制定和定期演练应急响应计划,以应对勒索病毒等安全事件,确保团队能够快速有效地应对攻击并恢复业务。
合规性和监管:

遵守相关的医疗信息安全法规和标准,如HIPAA(美国)或GDPR(欧洲),并定期进行安全合规性审计。
寻求专业支持:

如果需要,可以考虑与网络安全专家或安全公司合作,进行安全评估和漏洞扫描,以确保医疗业务的网络安全性。感谢回答,如果大家有紧急情况可以:1.3.1.3.7.0.8.5.8.6.8 ,我们的工程师拥有多年数据恢复经验,提供专业的数据恢复服务
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
干货满满
技术笔记
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人