永利皇宫
公司新闻
让网络空间更有序

联系我们

*姓名
*单位
*电话
*验证码
发送验证码
邮箱
*需求概述
烽火三十六技丨永利皇宫医疗行业勒索病毒检测及防御解决方案

发布日期:2019/11/15文章来源:永利皇宫

 

近期,某省各医疗卫生机构接到紧急通知:目前已有多家医院中勒索病毒,要求做好勒索病毒防范工作。

 

勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。

 

从2017年永恒之蓝病毒开始,大面积的医院被攻击导致系统蓝屏;2018年春节过后,某省儿童医院文件被加密……近几年,越来越多的医疗机构受到勒索病毒的威胁和伤害,而勒索病毒版本迭代越来越快,单纯依赖主机杀毒软件已收效甚微。

 

据《2018中国互联网网络安全报告》显示,2018年CNCERT/CC全年捕获勒索软件近14万个,全年整体增长明显,尤其是2018年下半年活跃勒索软件呈快速增长趋势,且更新频率和威胁严重程度大幅增加,仅GandCrab全年就出现了约19个版本;同时可以看到,勒索软件传播手段越来越丰富,集成的漏洞也多种多样,从简单的弱口令到影响广泛的漏洞都可能成为勒索病毒快速传播的途径。而且需要特别注意的是政府、医疗、教育等重要行业关键基础设施成为勒索软件攻击的重点目标。

 

1585882977807018034.jpg

                       (以上部分内容和图片来自CNCERT/CC)

 

勒索病毒会带来哪些影响

 

终端被勒索医生、护士等工作站的终端被勒索,可导致医生无法正常开处方、下医嘱,护士无法有效开展护理工作。

生产数据被勒索生产数据等患者信息数据被勒索,大量暗网交易数据随之产生,不仅如此,医院信息系统也将随之崩溃,令大量病患滞留在医院当中。

 

数据库被勒索数据库文件存放着核心业务系统的数据,一旦数据库文件被加密勒索,核心业务将被迫终止,造成业务瘫痪及敏感数据丢失。

 

攻击链分析

 

从医疗行业被入侵的方式上看,勒索病毒主要通过系统漏洞和端口爆破入侵,然后利用永恒之蓝漏洞工具包传播,一旦不法黑客得以入侵内网,还会利用更多攻击工具在局域网内横向扩散。

 

22.jpg

常用攻击入口:

 

  • 伪装成激活工具、游戏外挂等程序,诱导用户运行病毒;

  • 利用网页挂马传播;

  • 对外网邮箱发送电子邮件,诱导用户打开邮件后下载勒索病毒;

  • 利用系统漏洞自动传播;

  • 利用弱口令远程登录入侵。

 

防范建议:

 

  • 盘点网络上的所有资产和资源;

  • 定期进行漏洞评估和配置管理,以识别风险,并及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁;

  • 采用身份管理方法来管理用户、帐户、权利和角色,以预防不适当的用户访问;

  • 避免在服务器中使用过于简单的口令;登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令有足够的长度;同时添加限制登录失败次数的安全策略并定期更换登录口令;

  • 关闭非必要的服务和端口,如135、139、445、3389等高危端口;

  • 执行访问权限管理以保护敏感帐户不被滥用;

  • 供应商访问时需使用安全的远程访问技术,以避免不受控制的资产被破坏;

  • 确保安全防护设备及时更新,在维护范围内并定期审查预期寿命。

 

永利皇宫医疗行业勒索病毒检测及防御解决方案(“哨兵”解决方案)

 

永利皇宫医疗行业勒索病毒检测及防御解决方案(简称“哨兵”解决方案),采用“RayEYE” + “EDR” +“安全服务”的体系架构 ,形成一套完整的医疗行业勒索病毒检测及防御解决方案,帮助医疗行业用户全面监测网络环境中的流量,并基于流量分析出网络环境中存在的问题,同时加入EDR对终端主机进行防护,满足客户个性化需求。不同的业务系统采用不同的防御策略,利用自动化安全运维系统,降低工作复杂度,建立7*24小时的安全监控体系,并可以随时以邮件/短信等形式获知安全状态。

 

从流量监控、文件沙箱检测,到终端防护,永利皇宫结合安全服务,为医疗行业客户提供从“端”到“面”,从事先监测、事中对抗到事后溯源的全面勒索病毒检测及防御解决方案,有效解决勒索病毒、APT攻击等安全威胁与问题。

33.jpg

异常流量检测

通过部署EDR,有效防止漏洞利用,结合RayEYE对流量中异常流量进行分析,及时发现网络中的端口扫描、弱口令利用、漏洞利用和网络钓鱼等攻击行为;

 

潜伏期检测

可针对后门进行检测,同时对文件的上传下载进行文件还原,多引擎交叉验证,多维探针,并进行沙箱验证等;

 

变种检测

将恶意代码映射为灰度图像,并提取其灰度图像特征;利用恶意代码灰度图像特征进行聚类,并将聚类结果进行恶意代码家族标注,并将恶意代码海量样本送入沙箱分析检测;

 

溯源取证

在现网中,RayEYE系统获取实时网络会话基因特征,使用检测模型对网络流量进行恶意代码加密通讯检测,结合威胁情报精准定位IP,同时通过安全服务对整体网络进行二次加固。

 

截止到目前,永利皇宫已帮助北京协和医院、阜外医院等全国百余家医疗机构顺利完成网络安全建设和等级保护整改工作,并紧跟当下安全行业趋势变化,不断推出适合医疗行业应用场景和需求痛点的安全产品、解决方案和服务,持续为医疗行业客户的信息与网络安全业务保驾护航。

申请下载

*姓名
*单位
*电话
*验证码
发送验证码
邮箱
*需求概述

项目咨询

*姓名
*单位
*电话
*验证码
发送验证码
*您感兴趣的产品
项目规格
*需求概述
*所在地
*意向行业
+
XML 地图