10-构建医院大数据安全分析与勒索病毒防御-广西医疗会议

构建医院大数据安全分析与勒索病毒防御

汇报人：刘洋通

—广西预防医学会卫生健康信息技术专业委员会2019年度大会暨学术交流会

01医院信息安全现状

西藏安徽

金融, 4%

教育, 7%

制造业, 7%

政府机构, 7%

医疗, 25%

对外贸易,

11%

工业企业, 17%

互联网, 16%

其他, 6%

地域分布行业分布2019以来全国勒索攻击态势

云南贵州

广西

青海

目 录

Contents

01医院信息安全现状

02大数据安全分析

03勒索病毒防护

04勒索病毒实战

由于部分医院信息系统存在安全风险，勒索病毒受利益驱使，依然是危害医院的主要安全风险之一。自去年7月以来，勒索病毒一直处于持续活跃的状态，其中8月份相对于7月勒索病毒传播有所加强。另外在全国三甲医院中，有247家医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。

... ...

其中，被勒索病毒攻击的操作系统主要以Windows 7为主，Windows 10次之，以及停止更新的Windows XP。对此报告指出，当前没有及时更新操作系统的医疗机构仍占有一定的比例，这极有可能会为医疗业务带来极大的安全隐患。

以十二生肖作为后缀，“狗”生肖尚未出现

GlobeImposter勒索病毒家族： 2017年出现，2018年8月

份演进为V3.0版本。整体特点如下:

加密方法：采用RSA和AES两种加密算法的结合。----无法破解！主要的传播方式:扫描渗透+远程桌面登录爆破。----粗暴实用！解密办法：暂无公开的破解方法。

V3.0版本特点如下：

1、将加密文件的后缀改成 动物名称+4444的样子。

2、当加密完成后，除了清除远程桌面登录信息，还添加了自删除的功能，让追溯分析难度更高。

为什么勒索病毒总是攻击医院？

成本低、来钱快！

业务

日常办公

物理服务器承载

工作人员

Internet

业务

工作人员临时访客

机构

移动分支

BYOD

私有云行业云虚拟化

运维人员

边界： 清晰 模糊

资产： 单一 多元

人员： 简单 复杂

日常办公

物理服务器承载

多元

传统威胁以破坏为目的

频率一次性

破坏单个服务

手段简单

高

级

威

胁

获取敏感数据

长期持续潜伏攻击

针对机构区域和国家

手段复杂隐蔽

医院信息安全新挑战

第三方

Internet FW IPS WAF

事前检测

事中防护

事后审计依靠单点的处理能力

基于特征的安全检测无法应对持续性安全风险安全设备各自为战不协同

传统安全解决方案

02大数据安全分析

大数据分析的误区与黄金标准

判断大数据分析真伪的黄金标准对大数据分析的认识误区

误区1：数据采集

只采集安全设备相关的日志数据误区2：分析方法

只分析安全单一类型数据

误区3：分析算法

只使用经典统计分析算法数据多样性算法智能性

大数据分析的误区与黄金标准

事件驱动（基于线索）的分析方法

出错信息

告警信息

邮件发送失败登录失败

Web 访问错误

无法解析的域名查询

诱骗装置（蜜罐、伪装库表、伪装邮件、伪装ID）IDS\WAF\FW的告警

来自主机Agent（例如：安装可执行程序）

外部主机

邮件服务器

内部OA

未知主机

内部DB

Ø流量分析

ü总流量随时间变化→流量的应用层协议组成

ü到各对端（IP地址/域名）的流量→特定对端流量的应用层协议组成ü到指定对端（IP地址/域名）的流量趋势（有周期性？）

Ø

对端分析

üIP地址(地址数量、连续性、公有私有、特定地址的属性：属地属主、反向解析域名数量、注册时间、动态性)

ü域名(域名数量、相似性、特定域名解析地址数量、注册时间、动态性)

Ø行为分析

ü错误信息相关行为（次数、频率、涉及对端的属性）ü同类行为比较

事件驱动（基于线索）的分析方法

数据驱动(基于算法)的分析方法

数据驱动(基于算法)的分析方法

大数据安全分析整体方案

基础安全能力智能安全分析平台

联动响应机制

安全运维和管理

AILPHA大数据智能安全平台

AiLPHA大数据平台

形成全网的安全大数据中心，集成关键资产的日志、告警、流量；满足网

络安全法存储6个月的法规要求；具备对内部恶意资产的发现与验证能力；

知己：基于机器学习发现潜在的入侵和高隐蔽性攻击，大数据安全分析，

展现全网安全态势；

知彼：结合威胁情报形成一体化主动安全防御能力；

大数据分析能力

全要素的数据收集

日志数据流量数据性能数据弱点数据威胁情报

日志解析能力

8年多的项目实践，我们支持200多个品牌，

近3000多种型号设备的日志解析