1、通过全面资产探测,建立统一的资产台账,排查漏洞、弱口令、高危端口和服务,消除安全隐患,防止勒索、数据泄露事件发生;
2、通过持续网络资产风险监测,在新漏洞爆发后快速排查受影响资产,在被黑客利用或被监管通报之前抢先收敛攻击面,避免新漏洞被利用或被通报。
某医院客户为大型综合性三级甲等医院,建成了医疗、服务、管理“三位一体”的智慧医院系统。根据《网络安全法》、《关键信息基础设施安全保护条例》,医疗卫生单位信息系统被纳入关基保护范围,要在等级保护的基础上,进行重点保护。
2022年8月,国家卫生健康委、国家中医药局、国家疾控局联合发布《医疗卫生机构网络安全管理办法》,规范管理医疗机构网络安全,明确要求各医疗卫生机构由单位主要负责人负安全领导责任。相关法规颁布以来,众多医疗卫生单位因系统存在漏洞或无完善防御措施,依照《网络安全法》第五十九条之规定,接受行政警告处罚,限期整改或者被处以罚款,直接负责人被行政处罚。
受疫情影响,医疗行业面临严峻的安全形势,医疗系统一旦受到攻击而瘫痪或者信息发生泄露,将给人民生命、社会稳定、国家安全带来巨大的损失,医疗机构网络运营者也必须承担相应的法律责任。
Check Point发布了关于2022年Q3全球网络攻击的报告中显示,医疗保健行业是2022年第三季度遭到勒索攻击最多的行业,而其根本原因可归结为:自身资产不清、缺少定期全面风险排查及持续安全监测。
某医院客户作为全国首批建立健全现代医院管理制度试点医院,在不断夯实信息化建设的同时,安全隐患也随之而来:
● 医疗机构网络资产规模大、复杂度高,包含HIS系统、LS系统、电子病历系统、 PACS系统等等,资产管理难度大,运维人员少且安全专业度不足。
● 信息系统建设及运维大部分由第三方厂商负责,第三方厂商为操作方便而开放高危端口接入,医院资产存在众多高危因素而不自知,缺乏统一管控;
● 资产不清,底数不明,客户曾被监管部门通报,甚至在通报后,都无法第一时间找到对应的被通报资产的责任人。
所以对于资产集中管理的具体需求集中在风险筛查、消除隐患、避免被通报和通报时及时响应整改:
1)全面资产梳理,排查资产漏洞及高危端口,避免被通报
对所有接入医院网络的资产进行全面梳理,自动分类,消除“暗资产”;对资产进行统一高危端口、组件等高危因素的排查,消除安全隐患。
2)网络空间资产安全持续统一管控,应对新发漏洞,抢在被监管通报之前修复漏洞
实现医疗机构网络空间资产的持续管控,可以随时掌握设备新增、停用、高危端口开放等变动情况,对新增和变化资产能够重新进行漏洞扫描,及时发现风险问题。在新的漏洞爆发时也可以迅速进行影响评估,修复加固等,抢在被监管单位通报之前修补漏洞。
3)建立资产-风险-责任部门/人员的清晰台账,可以实现事件、漏洞的及时响应
自动化梳理包含资产-风险-责任部门/人员的统一资产台账,以便在安全事件发生或者新漏洞爆发时,进行快速的响应处置,避免产生损失和被通报,影响医院业务及形象。
某医院客户预估有2W+网络空间资产需要进行管理,方案采用一台ZoomEye Pro部署于医院内网中且各网络分区可达,主要从三方面解决客户问题:
1)全面梳理资产,建立完善的资产统一台账,为资产安全管理打下基础
资产梳理三步走:全面资产发现、详细资产信息收集及责任部门及人员对应。
五种探测方式保证全面资产发现,消灭“暗资产”、未知资产和影子资产等;将多种渠道数据整合成统一资产信息进行列表呈现,资产信息详实;结合现有组织架构信息及自主完善资产信息的方式,将资产具体的运维部门及人员信息进行完善。
最终形成全面、清晰、完善的资产台账,为后续的风险排查、统一管理及应急响应打下基础。
2)漏洞风险、高危因素风险统一排查,完善自身安全管理
资产风险来源于一些高危因素及漏洞风险,针对漏洞风险,ZoomEye Pro集成高危漏洞POC,80%以上为高危漏洞,且经404实验室评估为极易被利用的漏洞,可以对资产风险进行准确的评估,有利于实际的修复操作。
对于高危因素,比如高危端口,高危组件等,可以基于资产探测的结果直接定位存在这些特征的资产,还可以进一步针对高危服务,例如ssh、rdp、mysql等进行弱口令检测。然后进行整改操作,彻底消除漏洞及高危因素造成的资产风险。
ZoomEye Pro自带资产态势大屏和仪表盘,可以持续监控资产变化情况,如新增、端口变动等,及时提醒客户关注变化资产。当爆发新的漏洞时,ZoomEye Pro可以最快十分钟内更新漏洞插件,定位受影响资产,从而及时进行漏洞修复,避免被通报的风险。
全面彻底的资产发现是漏洞、高危风险排查的基础,全面资产发现,并基于资产数据进行高危漏洞风险和高危特征风险的排查,尤其是第三方用于远程维护的高危端口、组件等重点排查项目,这样从根本上面做到资产清、风险明,极大避免了被通报及被勒索攻击的可能,还节约了人力成本。即使被通报,也可以迅速启动响应修复,不至于手足无措。
医院网络空间资产变化快,必须持续进行维护,现在医院可以及时发现资产的变动,确认变化原因,排除变化风险,保障资产安全的同时发现攻击影响资产,及时响应,控制安全事件影响范围。
3)持续安全事件及新爆发漏洞响应,持续保障资产安全
医院需要面对多方监管,应对频繁的网络攻击,当安全事件发生或者有新漏洞爆发时及时响应处置的基础就是清晰详实的资产台账,现在完全可以明确受攻击的资产,影响的范围及定位存在漏洞资产,及时进行安全加固。
![医疗机构被勒索、被通报?ZoomEye Pro助力从根源解决问题]( "医疗机构被勒索、被通报?ZoomEye Pro助力从根源解决问题")
原文始发于微信公众号(知道创宇):医疗机构被勒索、被通报?ZoomEye Pro助力从根源解决问题
评论