中芯數據資安技術團隊近期發現,多家醫療體系正面臨持續入侵的問題,從觀察到的案例中分析,駭客多數從醫院的網站作為入侵點,雖然遭入侵的醫院幾乎都有針對網站的防護設備,但駭客持續性針對該單位進行攻擊後,往往找到可以繞過防護設備的攻擊方式,並針對網站的弱點進行入侵,之後多半透過上傳惡意程式至網站,並透過網站運行的正常服務去執行惡意指令,如此以正常服務執行惡意指令的手法會繞過資安設備的檢查,使駭客可以在網站伺服器上進行情蒐、提權、獲取帳號密碼或下載並執行其他惡意程式,如此一來,就能進一步橫向擴散至醫院內部其他設備,醫院將處於重大的資安威脅下。
這樣的攻擊不容易被發現,因為駭客會透過大量作業系統正常的程式去執行惡意的操作,如果沒有針對端點的行為進行全面的分析,進而發現這樣的攻擊行為,往往到了最後醫院的重要資料可能遭到竊取或醫療服務突然中斷,極有可能會損害病患的權益。另外一方面,由於醫院內有大量設備為醫生平時看診時使用的電腦,以往處理資安事件時,如果是看診電腦出問題,在處理過程中很可能半天到一天都無法使用,常常對醫生造成不小的困擾,因此在事件的處理上很難兼顧醫療服務及資訊安全。
為此中芯數據提供端點全面性的資安監控分析服務IPaaS,在IPaaS的服務下,會7X24不中斷的即時分析單位內端點的行為,第一時間針對全球情資與台灣本土專業情資進行交叉分析確認,以利惡意程式入侵的瞬間即可確認是否為惡意程式,並進行處理,而對於變種、針對性等特殊惡意程式,由於這種惡意程式第一次出現往往沒有任何情資,因此常常造成各企業相當大的損失,故在沒有情資協助分析的情形下,中芯數據透過獨有的Intended Intrusion Hunting(IIH)技術分析,有別與以往資安設備只對於單一行為進行偵測告警,對於端點中任何可疑的行為,IIH機制會針對可疑行為的前後動作進行整合判斷,所以能發現變種、針對性等特殊惡意程式,並排除單位內的正常服務,甚至正常服務執行惡意指令這種以往極難發現的惡意攻擊也無法逃過IPaaS的分析。此外,透過IPaaS服務資安事件的處理不需要讓設備原本提供的服務中斷,由於IPaaS能直接提供惡意程式位置及遠端進行清除,所以就算看診電腦有惡意程式,也可以讓醫生一邊看診,資安人員一邊進行處理,達到同時兼顧醫療服務及資訊安全的目標。
中芯數據資安團隊建議:
各單位應評估現有資安防護中,面對變種或針對性的特殊惡意程式,這些無法有效以情資進行防阻的部分是否有可行的因應措施,該措施除了要能發現這些可疑的惡意行為外,還需要有盡可能低的誤報率,避免因為大量的誤報耽誤到資安人員發現真正資安事件時間。此外,為了能迅速的處理資安事件,應提供詳盡且確實的惡意程式相關資訊,避免單位遭受資安攻擊時,資安人員還需要從蛛絲馬跡中找尋真正的問題。中芯數據的IPaaS意圖威脅即時鑑識,提供專業的MDR服務,我們會在平時即時分析您單位內部端點的行為,以便即時發現異常和可疑行為,第一時間就能提供詳細惡意程式資訊及完整的處置辦法,除了確保單位可以成功偵測到各種最新的威脅之外,處理過程中單位內的服務都能正常運行不中斷。