春节刚过,年轻的住院部医生张楠第一天上班,她突然发现,自己的电脑竟然出现了淘宝广告弹窗,真是新年新气象,按理来说,它只能连内网,上不了外网的。没容她多想,忽然走廊里传来药剂科同事的“哀嚎”,他的电脑系统瘫痪,录入其中的药价等数据不见了。几乎同一时间,对面诊室的主治医生袁朗眼睁睁的看着电脑中的病例瞬间消失……
10分钟后,医院紧急通知,系统可能受到了新型勒索病毒的攻击,各部门启用应急预案。
不到半个小时,医院的住院部大厅内就人满为患,陷入混乱,一些想挂急诊号的家属开始变得焦躁。
而这,并不是个例,第二天相隔不远的另一家儿童医院也遭遇了类似的黑客攻击,致使许多病患无法及时就诊。
其实,雷锋网发现,自去年WannaCry爆发以来,这些以前只在科幻大片中出现的场景,正越来越多的出现在现实生活中。比如,英国国立医疗服务(NHS)系统就曾成为重灾区,旗下248个医疗机构中共就曾有48个受到攻击,许多医院正常的治疗活动也受到影响,部分病人被迫转院。
之前更多针对个人的勒索病毒,近来频频瞄向医院等机构,比如这次的 GlobeImposter ,这也成为勒索病毒发展的“新趋势”。
为何救死扶伤的医院正越来越多的成为黑客攻击的靶子?这些本就配备安全团队的机构,为何系统屡屡被攻破?血的教训下,又该如何防范?
对机构进行勒索,成本低,来钱快
来自腾讯企业安全的技术专家饶帅,曾对多家医院有过防护和应急处理经验,他告诉雷锋网(公众号:雷锋网),相比于个人,黑客对机构进行勒索,更容易来钱。
之所以说是成本低,是因为对于一般的攻击来说,备好攻击“原料”并不难,有时甚至都不需要自己来开发,在网上就可找到已经发布的各类工具组合成攻击包。当然特殊的APT攻击也有,但比较少。
与其他机构相比,医院的信息系统也比较有特殊性,如其中的医学记录、数据、病患资料以及预约信息等,都属于需要紧急使用的信息,被加密后,会造成比较大的影响,所以势必会想尽办法以最快速度恢复数据,比如,马上交赎金。
这并非是向恶势力低头,而是,还有什么比生命更重要?
自从去年体会过勒索病毒对众多资料撕票的“血泪史”,不少人已经成为了及时升级、不随便点钓鱼网址的“机智”网民,各路杀软也会经常秀一把轻松碾压勒索病毒的肌肉。但对于服务器来说,可就没那么简单了,因为需要防护的点实在太多,不像个人PC 下载一个靠谱的杀软就万事大吉。
俗话说,苍蝇不叮无缝的蛋,而服务器,正好是那个“缝”比较多的蛋。
对于服务器来说,可访问外网的终端,外接u盘,对外的web服务,内部设备直接的访问控制,关键服务器防渗透、爆破,各种系统软件、第三方软件漏洞等都可能让攻击者趁虚而入。
在饶帅的实际工作中,一般医院对于勒索病毒之类的紧急事件都会有应急预案,目前他所知道的还没有因此而造成生命危险的案例,不过在前文中所提到的NHS所遭遇到的勒索病毒,有一些病人被迫进行了转院。
在他看来,情况也许并没有到达某些媒体所渲染的“非常严重”的境地,就目前的勒索而言,黑客往往是批量去尝试找机会,广撒网,可能攻击了100家,其实可能只有1家的被攻击成功,而我们看到的都是被攻击成功的。
勒索分这两步
对于医院的电脑,很多人应该有这样的感受,医生无非也就是开个药,查询一下你的历史病例,看起来是个内网的操作流程,医生天天忙得团团转,又不会去发邮件逛淘宝点钓鱼网址,为啥会中招?
雷锋网发现,对黑客来说,把大象放进冰箱需要两步。
第一步,打入对方内部。
第二步,对其成员进行大规模策反。
具体来说,第一步需要突破边界,从外网进入内网,在这个过程中往往是利用服务器的系统漏洞,或者是暴力破解远程桌面服务密码,此时可成功打入敌方内部。而第二步则是横向扩散,利用内网互相传播,进一步扩散感染面。
在整个破解过程中,黑客往往会先在系统上安装远程控制木马,以此远程控制中毒机器执行任意操作,比如下发勒索者木马,甚至可以卸载安全软件。接着使用的手段就花样就比较多了,比如感染共享目录,抓取windows密码后尝试登录其它机器(不同服务器使用同样帐号密码会中招),远程桌面密码暴力破解,浏览器密码查看尝试等。
在饶帅和团队所接触到的被攻破的案例中,一般打补丁完成度比较高,但关闭文件共享、端口服务等就会有很多医院做不到,而不使用通用服务器帐号密码,密码定时更换,能做到这些的就更少了。
换句话说,你被勒索并不是对方有多高明,有时是自己漏出的破绽太多。
血泪教训后,如何防御?
血泪教训过后,到底该怎么应对“丧尽天良”的黑客?
腾讯企业安全团队给出了以下几点建议。
1.目前在省级及其以上级别的医院,都会配备安全人员或者有相关的预算(外包安全服务),可以定期做安全测试,相当于人每年要体检,知道问题在哪里后,根据情况配备安全产品或者自己来部署安全防护。
2.采用高强度密码,千万不要使用简单的弱密码、弱密码、弱密码……(恩,有人会说这是废话,但就是说上100遍,也还是有人会用,这点真的很重要)服务器密码使用高强度且无规律的密码,并且强制要求每台服务器使用不同的密码管理。
3.设置内部访问控制,对没有互联需求的服务器、工作站,内部访问需设置相应控制,避免可连外网的服务器被攻击后,被作为跳板进一步攻击企业服务器。
4.部署安全专业的云服务,在终端、服务器不熟专业安全的防护软件,服务器可考虑不熟腾讯云等具备专业安全防护能力的云服务。
除了对于安全人员的要求,普通的医生和后勤人员也要有安全意识。
1.不要让电脑裸奔,个人电脑安装靠谱的杀软。
2.保护好自己的文档,勒索病毒最想加密的就是你的重要文档,或者备份,或者加密。
3. 关闭不必要的端口,默认情况下,Windows 有很多端口是开放的,不法黑客可通过这些端口连上你的电脑。尽量关闭 445、135、139 等不必要开启的端口,对 3389 端口则可以进行白名单配置,只允许白名单内的ip 连接登录。
4.关闭不必要的文件共享,文件共享也存在隐患,如有需要,请使用 ACL 和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
5.养成良好的上网习惯,切记不要随意点击来源不明的邮件附件。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/112548.html