華睿投資 丨 《睿分享》系列
睿智創(chuàng)造價值 服務(wù)助推成長
文 | 美創(chuàng)科技
華睿投資致力于大數(shù)據(jù)產(chǎn)業(yè)的布局�����,在一系列投資項目中��,美創(chuàng)科技是其中最美的一員��,漸露鋒芒。美創(chuàng)科技聚焦于數(shù)據(jù)安全和數(shù)據(jù)價值的發(fā)現(xiàn)與挖掘�,圍繞數(shù)據(jù)安全、容災(zāi)�����、集成、分析�、運維等鑄造數(shù)據(jù)價值的底層提供基礎(chǔ)數(shù)據(jù)技術(shù)服務(wù),是敏感數(shù)據(jù)保護(hù)和數(shù)據(jù)安全的拓荒者和領(lǐng)導(dǎo)者���,醫(yī)療數(shù)據(jù)安全第一品牌��。
今年6月初��,江蘇某地多家醫(yī)院出現(xiàn)集中感染勒索病毒事件�����,黑客團(tuán)隊多次通過社會工程��、暴力破解等方式進(jìn)行針對性地入侵���。一時間,醫(yī)院里的電腦一臺接一臺地被感染�����,不少聯(lián)網(wǎng)設(shè)備宕機(jī)���,掛號��、繳費�����、取號等常規(guī)業(yè)務(wù)均受到影響��。
攻擊的潮水此消彼長���,反復(fù)出現(xiàn)�,身處其中的醫(yī)院又該如何應(yīng)對�����,拒絕中招���?
蘇州某大型醫(yī)院便展開了這樣一場“化被動為主動”的安全較量���。
像“流感”一樣蔓延
如果說,2017年勒索病毒的爆發(fā)�,讓人們認(rèn)識到漏洞威脅的可怕之處,那么如今�����,隨著勒索攻擊工具化程度越來越高�,無數(shù)在互聯(lián)網(wǎng)中游蕩的勒索病毒,就像流感病毒一樣����,不斷的進(jìn)化、變異且無孔不入�。
此次攻擊該地區(qū)多家醫(yī)院的勒索病毒正是如此。經(jīng)分析��,該勒索病毒為最新變種�,具有較強(qiáng)的目標(biāo)性和隱秘性,一旦被它“纏身”��,出現(xiàn)“一臺感染��,一片崩潰”的局面����,大量的解密成本以及正常的診療流程癱瘓、數(shù)據(jù)泄漏將造成的嚴(yán)重后果�。
同一行業(yè)之間,往往存在網(wǎng)絡(luò)互通����,病毒如流感般肆虐��,引起了蘇州某醫(yī)院的重視����。對此�����,院方?jīng)Q定加強(qiáng)核心業(yè)務(wù)系統(tǒng)防御等級�,以防止勒索病毒入侵。
同時��,經(jīng)過多層的篩選和考察����,于2019年6月中旬,該醫(yī)院選擇了從防刪除�����、防加密思路入手����,做數(shù)據(jù)底線防御的美創(chuàng)諾亞防勒索軟件�����,部署在HIS核心業(yè)務(wù)的Oracle數(shù)據(jù)庫服務(wù)器上試用,并配置數(shù)據(jù)庫文件保護(hù)策略���。
▲部署架構(gòu)
千鈞一發(fā)��,病毒來襲
《安全簡史》中有段關(guān)于黑客攻擊的描述�����,“如果有10%的利潤�����,黑客就保證不會消停;如果有20%的利潤���,黑客就會異常活躍;如果有50%的利潤�����,黑客就會鋌而走險;為了100%的利潤�,黑客就敢踐踏一切人間法律”�。
而醫(yī)療行業(yè)在黑客們的眼中�����,恰恰就是那個可以不惜鋌而走險的“掘金庫”��。
該醫(yī)院即使已加強(qiáng)核心業(yè)務(wù)系統(tǒng)防御等級�����,并在Oracle數(shù)據(jù)庫服務(wù)器上部署美創(chuàng)諾亞防勒索軟件����,仍迎來了勒索病毒的猛撲。
2019年6月28日下午�����,美創(chuàng)技術(shù)服務(wù)工程師接到該醫(yī)院緊急咨詢��,稱其HIS核心應(yīng)用服務(wù)器出現(xiàn)問題����,業(yè)務(wù)無法正常訪問。第一時間,美創(chuàng)技術(shù)服務(wù)工程師抵達(dá)現(xiàn)場����,協(xié)助運維人員進(jìn)行排查。
在排除網(wǎng)絡(luò)故障原因后���。18時15分�,運維人員登錄HIS核心應(yīng)用服務(wù)器����,手動重啟HIS應(yīng)用服務(wù)�,發(fā)現(xiàn)服務(wù)無法手動拉起。重啟應(yīng)用服務(wù)器后����,發(fā)現(xiàn)HIS核心應(yīng)用服務(wù)也無法自動啟動。
18時25分�,現(xiàn)場運維人員通過檢查HIS應(yīng)用配置文件,發(fā)現(xiàn)所有文件均被加密��,導(dǎo)致應(yīng)用無法正常啟動�����。
18時35分���,運維人員檢查HIS數(shù)據(jù)庫服務(wù)器�,發(fā)現(xiàn)數(shù)據(jù)庫服務(wù)器中的普通w、excel等辦公文件均被加密��。但是�,Oracle數(shù)據(jù)庫文件沒有被加密,正常對外提供服務(wù)��。
通過多次驗證發(fā)現(xiàn):被美創(chuàng)諾亞防勒索軟件通過策略防護(hù)的Oracle數(shù)據(jù)庫文件完好無損(Oracle數(shù)據(jù)庫文件均沒有被加密)����,中招的恰恰是未部署防御的HIS核心業(yè)務(wù)的應(yīng)用服務(wù)器數(shù)據(jù),以及未寫入防御策略的數(shù)據(jù)庫服務(wù)器中的普通辦公文件�����。
從被動防御到主動防御的華麗轉(zhuǎn)身
傳統(tǒng)殺毒軟件在勒索病毒的攻擊下“節(jié)節(jié)敗退”�����, 讓該醫(yī)院對被動防護(hù)類軟件的信任度打了折扣����。
而回溯整個與勒索病毒的較量中,我們通過美創(chuàng)諾亞防勒索攻擊日志查詢功能發(fā)現(xiàn),勒索病毒對被“諾亞”保護(hù)Oracle數(shù)據(jù)庫文件同樣發(fā)起多次攻擊�,但美創(chuàng)諾亞防勒索作為最后一道防線,從發(fā)現(xiàn)到快速攔截����,有效防護(hù)住了系統(tǒng)重要文件,極大的降低了核心業(yè)務(wù)系統(tǒng)的恢復(fù)難度����、減少了業(yè)務(wù)的中斷時間。
美創(chuàng)諾亞防勒索展現(xiàn)的強(qiáng)大病毒防御能力��,也讓客戶開始了一場從被動防御到主動防御的全面轉(zhuǎn)身��。
目前��,該醫(yī)院已經(jīng)將HIS���、Lis、Pacs等重要的業(yè)務(wù)系統(tǒng)���,全部通過美創(chuàng)諾亞防勒索進(jìn)行了整體防護(hù)����,包括數(shù)據(jù)庫和辦公文件,并針對重點應(yīng)用服務(wù)直接開啟美創(chuàng)諾亞防勒索的堡壘模式����,從而主動防護(hù)已知和未知的勒索病毒,全面防范勒索病毒攻擊�����,確保信息系統(tǒng)的高可用和數(shù)據(jù)安全性����。
▲部署架構(gòu)
“諾亞”:讓勒索病毒無處遁形
生活中,很多人都抱怨過����,幾十年前可謂藥到病除,現(xiàn)在的病毒都有抗藥性��,得了病很難治��。
安全領(lǐng)域亦然�,在安全企業(yè)和惡意攻擊者年復(fù)一年的攻防拉鋸戰(zhàn)中,如勒索病毒之類的高級惡意軟件也具備了種種 “抗藥性”��,基于靜態(tài)特征(即黑名單)檢測的傳統(tǒng)安全產(chǎn)品既不能顧及安全的每個邊角��,也欠缺足夠的甄別和處理能力。
對此�,美創(chuàng)科技通過大量勒索病毒行為特征分析,推出專門針對勒索病毒的安全防護(hù)產(chǎn)品“諾亞”防勒索系統(tǒng)�,該系統(tǒng)從保護(hù)數(shù)據(jù)的角度對應(yīng)用主體、操作對象及其操作行為邊界進(jìn)行控制���,對無論是辦公電腦上的類型化文檔(*docx��、*xlsx等)��,還是服務(wù)器上的數(shù)據(jù)庫文件����,以及啞終端(ATM���、加油站等)實現(xiàn)全方位主動防護(hù):
1��、未知病毒防御
諾亞防勒索系統(tǒng)基于零信任體系構(gòu)建,并不關(guān)心病毒特征�����,未經(jīng)過授權(quán)的應(yīng)用無法對于受保護(hù)的文件和數(shù)據(jù)進(jìn)行加密或破壞���,從而防御各種未知勒索病毒的侵襲��。病毒誘捕系統(tǒng)進(jìn)一步保證系統(tǒng)安全����,第一時間檢測未知病毒侵襲,獲知現(xiàn)場第一手病毒數(shù)據(jù)進(jìn)行研究分析�����。
2���、帶毒生存能力
在0day漏洞利用層出不窮的今天����,期望完全御敵于國門之外是不現(xiàn)實的��。諾亞防勒索系統(tǒng)可以在勒索病毒侵襲的終端和服務(wù)器上保護(hù)關(guān)鍵機(jī)密文檔和數(shù)據(jù)庫不受破壞��,保障關(guān)鍵業(yè)務(wù)程序正常運行���,實時檢測和報告勒索病毒的運行和破壞�,為對抗勒索病毒贏得時間���。
3�����、數(shù)據(jù)庫勒索防御
美創(chuàng)獨創(chuàng)數(shù)據(jù)庫文件防勒索保護(hù)引擎�,保護(hù)Oracle,SQL server��,Mysql���,DB2等關(guān)鍵數(shù)據(jù)庫系統(tǒng)在受到勒索病毒入侵時��,依然保持正常運轉(zhuǎn)��,在極端情況下最底限保證數(shù)據(jù)不被破壞�����,數(shù)據(jù)不丟失����。
4���、核心驅(qū)動保護(hù)
諾亞防勒索引擎作用在核心驅(qū)動層�����,確保安全策略不會被旁路����。核心驅(qū)動引擎監(jiān)控所有程序的運行和修改操作��,檢查操作是否符合安全策略�����,對于非法的更新操作進(jìn)行阻斷�,從而防御勒索病毒加密或刪除文檔。
5��、堡壘模式堅固防護(hù)
美創(chuàng)諾亞防勒索系統(tǒng)支持堡壘模式�����。堡壘模式開啟后���,禁止任何新的應(yīng)用程序在啞終端上運行��,包括勒索軟件���、已知勒索病毒���、未知勒索病毒、挖礦病毒等����。
在堡壘模式下,如果想運行某些新應(yīng)用����,可以配置“運行保護(hù)”策略。在“運行保護(hù)”里面���,配一個“允許”策略�,這樣應(yīng)用就可在“堡壘模式”中正常運行���。
