目前,医院的网络安全防护策略已经从“强调等级保护合规”进入“提升实战能力”的新阶段。
郑攀:“以战养战”,医疗卫生网络安全防护实战化势在必行
“在攻防演练过程中,攻防队伍实施‘背靠背’演练,通过攻防对抗,考验防守方的安全防护能力,以及对安全事件的监测发现能力和应急处置能力。”郑攀认为攻防演练目的在于:检验和提高网络安全应急响应能力,培养和提升网络安全人才实战能力,有效强化网络安全风险意识。
网络安全的本质在于对抗,对抗的本质在于攻防两端的能力较量。国家规模的演练已经成为检验网络强国建设的重器,同时也是维护网络空间安全的绸缪之举。举办高质量的网络攻防演练可以发现目前网络存在的隐患并及时弥补,加强部门之间协同响应,同时也可为培养高水平网络攻防人才提供技术支撑,为国家的网络安全决策提供依据。
网络安全攻防演练具备三大特性:首先是目标性,确定演习目标,开展真攻真防,只知起止时间,不知攻击方法与确切时间点,需24小时防护;其次是对抗性,在攻防演练中,防守方需实时监测、封堵、修复漏洞,对抗性极强;最后是竞争性,牵头组织单位对参加攻防演练的单位进行实时排名,排名动态变化,竞争非常激烈。
从技术层面来讲,攻防演练与网络安全检查迥然不同。攻防演练没有范围,一般从互联网发起攻击,以关注度低和防护薄弱的系统、存在高危漏洞的系统、第三方产品供应商、运维服务供应商和存在敏感信息泄露的系统为突破口,寻找漏洞或薄弱点,通过植入木马等手段进行突破。同时还会在信息内网进行横向渗透,手段包括从内部查询无线接入点的漏洞,通过弱电接口连入攻击设备,甚至拔下医院设备网线连接到攻击设备上对医院内网发起攻击。一旦成功突破漏洞,其攻击不限路径,“哪有漏洞,它就往哪钻”,最终以获取核心区域或者目标系统的控制权为目的,让人感觉“防无可防”。
但从攻击角度来看,攻击方的手段仍有迹可循,其主要利用系统漏洞进行攻击。具体攻击方式如:利用网站、VPN、邮件系统、JAVA等应用的漏洞打开入口;迂回攻击下属单位,进入内网后绕道攻击总部目标;利用第三方运维、内部违规员工非法外联入侵专网;使用弱口令、密码复用、密码猜测攻击获取权限;攻击第三方,利用第三方接入网络攻击目标单位等。
不过,这些漏洞的防护基本都涵盖在等保要求、《网络安全法》及医疗机构内部管理要求中,只要日常防护得当,在攻防演练中便有抓手可寻。近年来,北京市卫生健康委信息中心一直承担着北京市医疗卫生行业信息安全技术检测的工作,帮助各单位检测网站及App应用,目的是发现系统的安全漏洞和隐患,验证现有技术安全防护手段的有效性,同时针对已经发现的漏洞提供加固方案和防护建议。
在2020年10月的安全检测中,北京市卫生健康委信息中心对检测到的两个高危漏洞进行了通报,并要求相关单位进行整改。2021年,检测工作仍将持续下去,北京市卫生健康委信息中心也希望能够与第三方进行合作,共同推进卫生行业的安全工作,通过主动检查来发现问题、解决问题。
目前,医院的网络安全防护策略已经从“强调等级保护合规”进入“提升实战能力”的新阶段。作为防守方,医院应首先从组织机制上进行保障,成立攻防演习领导小组和三个攻防演习工作组。
其中,领导小组由主管信息安全的领导和信息科室领导组成,负责指挥协调开展应急响应工作,及时向攻防演习指挥部上报应急处置情况;综合研判组由网络安全专家组成,负责与演习指挥部联系沟通,综合分析研判安全事件,报告领导小组启动相应应急预案;防护监测组由一线驻场工程师和信息科室成员组成,利用监测技术手段对网络攻击进行监测、分析、预警和处置,将初步判定为安全事件的分析结果反馈综合研判组;应急处置组由网络安全专家和信息科室成员组成,接到安全事件应急处置通知后立即启动应急预案,开展应急处置工作,并将处置结果上报领导小组。
郑攀认为,在攻防演练中,防守工作应分为五个阶段。
首先是准备阶段,包括防守方案编制、召开防守工作启动会、目标系统梳理、安全防护设备梳理、系统厂商梳理等工作。
其次是安全自查和整改阶段。通过互联网资产扫描、漏洞扫描、渗透测试、安全风险检查(集权类系统、网络划分应用系统、网络攻击风险等检查)、安全基线/配置检查、安全设备策略检查、日志审计情况检查等手段自查,并针对检查结果完成安全整改加固。
第三阶段是正式演习,防守方单位应重点加强防护过程中的安全保障工作,各岗位人员各司其职,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果,整体应按“事件监测—初步处置—研判—处置—恢复上线”的基础思路开展防护工作。
在近几次攻防演练中,北京市卫生健康委信息中心所用防护设备均基于安全等保三级标准,并未调用额外设备。利用这些设备可实现六大技术手段:通过Web应用防火墙对互联网业务开展Web安全事件监控阻断;通过入侵防护设备对互联网业务开展入侵行为事件监控阻断;通过防病毒网关对互联网业务开展病毒攻击事件监控阻断;通过异常流量清洗系统对互联网业务开展入侵DDoS监控阻断;通过入侵检测系统对内网情况开展入侵情况监控;利用防火墙设备对发现的风险地址进行封堵。
第四阶段是提交安全事件分析报告,综合研判组填写分析报告上报至领导小组审核通过,交由应急处置组进行IP地址封禁,封禁完成后该攻击停止。综合研判组将处置情况上报至网信办,收到回复确认攻击地址为本次演练使用地址。
最后是总结阶段,防守方单位应全面总结本次攻防演习各阶段的工作情况,包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等,形成总结报告并向有关单位汇报。并且针对演习结果,对演习过程中暴露的脆弱点开展整改工作,进一步提高目标系统的安全防护能力。
根据过往的攻防演练过程,郑攀总结梳理出三条注意事项:
首先是弱口令、默认口令问题。进攻方在获取口令、渗透到外网边界设备后将一路畅通无阻,甚至可以通过登录安全设备查看配置的方式,更精准地渗透到关键基础系统。对此,应修改所有用户弱口令和默认口令,要求应用系统和中间件等开启口令策略,口令须满足复杂度要求并定期更换。
其次是应用和中间件管理后台暴露问题。部分运维人员为了方便远程管理将网站应用系统后台或中间件管理后台对互联网开放,攻击者可对其进行攻击,利用漏洞或破解口令,获取后台权限,进而上传后门、获取权限,获得互联网攻击入口。郑攀建议:“全面排查向互联网暴露的资产是否存在管理后台,利用防火墙等关闭管理后台互联网访问,并按照最小化原则开放后台访问权限。”
最后,应对台账等重要文件加密处理。在过去一次攻防演练中,有一家防守单位的运维人员的电脑既能连接单位内网进行运维,也可以访问互联网,由于此设备是个人设备并没有进行漏洞补丁升级,并且电脑里有所有维护设备的口令及密码,进攻方通过此台电脑在5分钟之内找到了防守单位的主要系统并直接获取口令密码。
通过以上三点,郑攀提醒所有网络安全防护人员:“网络安全工作一定要细致,不能图省事图便利,一时的方便有可能会导致所做的所有网络安全工作付之一炬。”
商务合作:(010)82373062