![]()
注:昨天,参加OWASP和河南省医疗联盟组织的安全沙龙,我做了“从勒索病毒看医院网络安全体系建设”的引导发言,会后一些朋友问我有没有PPT,其实我事先准备有一页PPT,不过会场并没有放,今天有空把当时讲的内容大概记录如下:
这两年,最热闹的话题就是勒索病毒了,据不完全统计,这两年时间,河南省仅我公司处理的被勒索的医院客户就有三十多家,如果加上被永恒之蓝攻击的医院就不下百家。再加上一些没有通知我们的,这个数量只会更多,经过对这些单位的取证分析,我们发现现在很多医院在安全建设中存在的很大的问题。经常有信息中心的人问我,怎么样才可以避免被勒索病毒感染?做了等保为什么还是不行?我们到底该学什么知识才可以?近半年来,我一直在参与医疗行业网络安全岗位能力认证(CISAW-HSP)的课件和教材编写工作,也有一些体会,今天就这些话题谈谈我个人的看法。
做好网络安全,我觉得要从三个方面着手,简单来说就是做好PPT:![]()
人是网络安全中最重要的因素,同时也是最薄弱的因素,这一点已经得到大家的共识,在我们处理的这么多勒索病毒的案例中,很大一部分因素都是因为安全意识的问题。一个最典型的例子就是弱口令。很多单位最后取证的结果都是因为管理员使用的非常简单的口令,黑客完全不需要费多大力气就可以破解出来,就象是花巨资购买的防盗门,却把钥匙挂在门把手上,所有的安全措施就形同虚设。再比如有些单位为了文件传输的方便,在服务器上开共享,而且是完全权限的共享,任何人都可以写入,其结果我想大家都可以想象出来。去年,我因病住院,在医生办公室,看到该医院信息中心的工作人员正在为医生电脑做维护,我就问了一句,你们用的什么杀毒软件?该工作人员的回答竟然是,我们是内网,不用装杀毒软件。做为一个信息中心的工作人员其安全意识如此的淡薄,整个单位的安全状况可以想而知。
需要提升安全意识的,不仅仅是信息中心的人,还包括每一位医生和护士。在医院里,我经常遇到的一个场景就是,护士站一个人都没有,电脑开着没有锁屏,或者我说我是信息中心让我来安装杀毒软件的时候,每一个护士都热情的把电脑交给我,然后自己去忙自己的事了。当然医生护士们态度热情,这是好事,可能我长的比较像一个好人,但如果我是坏人呢?如果我趁机做点坏事呢?攻破医院完全不需要什么特别高深的技术。而且据我们分析取证的这么多被勒索的单位后也发现,大部分服务器都不是直接被外网IP进行攻击的,都是从内部一台电脑做为跳板进行的攻击。
除了信息中心和医生护士之外,更需要提高安全意识的是领导。领导如果不重视,我们很多工作难以开展,领导不给批钱,不给批人,信息中心也难为无米之炊。提升安全意识最主要的方法就是通过培训,在全院开展网络安全意识培训,通过培训让所有人意识到网络安全的重要性,了解国家法律,知道基本的安全常识,具备必要的安全知识,提升网络安全意识。尤其是领导,只所以不重视是因为没有了解到法律的要求,不知道自己的责任,通过培训和讲座,知道了自己应承担的法律责任,在面对安全问题时就会重视很多。很多人在提起安全时会想到技术和产品,而忽略流程的重要性。安全事件是不可能被完全避免的,就象勒索病毒一样,不管我们采取措施,想要完全避免被病毒感染几乎是一个不可能完成的任务,除非你的电脑完全不和外界有任何的数据交换,这显然是不可能的。虽然风险不可避免,但我们是可以通过一些手段在事前尽量降低被感染的可能,事后降低被感染后所产生的影响,以及被感染时及时有效的响应措施。举个简单的例子,为了防止被永恒之蓝的攻击,我们要对系统打补丁,但在实际工作中,很多医院的服务器是不敢打补丁的,有时候是HIS厂商不让打,担心打补丁会引起系统死机,但是不打补丁又容易被病毒攻击,打还是不打成了信息中心非常纠结的一个问题。其实如果我们有一个标准的补丁测试流程,这一切都不是问题,在打补丁之前,先要搞清楚你要打的是功能补丁还是安全补丁,是热补丁还是冷补丁,然后构建模拟环境,然后再进行补丁的测试和验证,再多批次小批量的进行补丁分发,制定好万一出现问题之后的应急措施,一切按步就班,也没有什么可纠结的。再比如,很多单位没有制定响应流程,一旦中了勒索病毒,马上就会手忙脚乱,不知道如何是好,为了快速恢复业务,总是第一时间格式化系统,重新安装,殊不知这样不仅会破坏证据,还无法发现黑客到底攻破了哪些系统,所以,往往这一台刚处理好没几天另外一台又被拿下了。如果有一套响应流程,从发现攻击到遏制、根除,都有标准的步骤,我相信就不会如此手忙脚乱了。
从安全运营到安全服务再到安全体系建设,国际国内都相关的标准体系,ITIL、ITSS、ISO27001,这些都是前人整理好的最佳实践,我们只要参照这些标准,再结合自己医院的实际情况,制定好流程去执行就好了,除此之外,还有很多的安全模型,比如我以前经常讲的APPDRR模型、IATF模型,包括我们国家现在正在大力推广的等保,其实也是一种标准和流程,但可惜的是,很多人只是简单的把等保当成一个合规的东西去应付,而不是从安全的角度去考虑为什么要这么做。所以往往是花了很多钱买了很多安全产品,只是为了应付等保检查,很多产品就是摆设,根本没有发挥其应有的作用。
最基本的,我们要制定业务连续性计划(BCP),应急响应计划和灾难恢复计划(DRP),有些这些流程,再定期进行演练,让每个人都能了解当灾难发生时,自己要做什么,才能真正做到“手中有粮,心中不慌”。大家可能都看过电影《中国机长》,为什么他能在出现这么大的灾难事故的时候安全的把飞机开回来,就是因为飞机上有详细的指导手册,当什么样的事故发生,应该如何操作,机长对这些了然于胸,所以才能临危不乱。信息安全也是一样。
技术也是非常重要的一个因素,我们规划网络,需要技术支撑,设置安全策略,需要技术支撑,提升安全意识也需要一些技术支撑。很多时候我们做的不好,也是因为不懂技术,因为不懂,所以不知道该如何优化和设置安全产品,因为不懂,所以不知道如何选择安全产品。因为不懂,所以被厂商牵着鼻子走。
说起技术,不得不提的就是产品。不同的产品性能当然是有差别的,有的差别还比较大,到底什么样的产品才是适合自己的?很多人把大量的时间用来对比产品的功能和选择上,我觉得有点本末倒置。产品只是一个工具,用来解决你某些问题的工具,所以你最重要的是要了解自己的需求,梳理自己的业务,知道自己想要的是什么,根据自己的需要再去按图索骥,就会简单的多。经常有人问我:我想买某某产品,哪个厂商的好?某某产品据说排名第一,是不是最好的?这类问题其实很难回答。应该是在你构建好自己单位的安全体系之后,在某个位置需要达到某些要求,再去选择某些满足你要求的产品。这个前提是你需要懂相关的技术,清楚自己究竟要什么,才不会被厂商强奸。比如安全要求要有备份,等保也这样要求,有些人连备份和高可用的区别都搞不清楚,被厂商忽悠,一说都是RTO=0,RPO=0,听着好厉害,结果呢?中勒索病毒了,双双阵亡。这么多被勒索的医院很多都有这个问题。
以上三点,也并不是所有人都要去掌握,做为领导和员工,要加强安全意识培养。信息中心也是分为不同的岗位的,比如信息中心主任,我个人认为不应该去花太多时间去钻研技术,那是年轻人需要学习的,做为一个部门领导者,更要学会去制定标准和流程,完善管理体系。让每一个人知道自己要做什么。而做为信息安全管理员,则是要了解相关的法律法规,清楚自己的业务流程,了解每一个阶段可能存在的安全隐患,协助领导设计安全流程和标准,并提出具体的措施。安全不仅仅是信息中心的事,而是要全员参与,每一个人都有自己的角色和定位。也只有全员参与,每个人都做好自己该做的事,才有可能构建一个安全的网络安全体系。
以上是我的发言,不足之外请大家用多多指正。谢谢大家。
感谢关注:大兵说安全。我刚刚建了一个群,如果你也对安全问题感兴趣,欢迎入群一起讨论安全问题。![]()
文章来源: http://mp.weixin.qq.com/s?__biz=MzUyNTk1NDQ3Ng==&mid=2247484975&idx=2&sn=c894193b404b190651eafd435b9e2499&chksm=fa177aeccd60f3fad65085cdd05b2907e0938c5f4881c5fc9b1be82054e550b6b6679171b671#rd
如有侵权请联系:admin#unsafe.sh