医疗资安面临数据外泄、OT安全等巨大挑战
近几年,勒索病毒肆虐攻击造成多数企业、单位营运重大损失。以往勒索病毒大多以乱枪打鸟方式,让使用者在网页浏览、下载文件时,点选信件恶意连结时遭受感染,再以快速加密方式让用户的文件、图片无法启动,必须藉由付赎金才能解锁。但是近期,针对式的攻击事件越来越多,目标式主动攻击,藉由先设靶后扩散方式,潜伏在单位内网进行渗透与收集数据,伺机发起攻击。此外,许多单位与个人计算机仍使用已不支持更新的旧版本win7系统,这也是重大资安风险来源。
2019年9月多家医院也纷纷遭受勒索软件攻击,主要是黑客先入侵健保vpn网络,透过卫福部的电子病历交换系统eec,在eec gateway植入勒索病毒globeimposter3.0(图1),并藉由健保 vpn 传输,先潜伏植入院内 【ot 的环控主机】,再伺机窥探对windows server 同步发动攻击。由于 eec 所用 vpn 网络为各大医院自主管理与共享之内部网络,并未分割 vlan,造成该勒索病毒得以急速扩散。
图1:医院遭受ecc 攻击示意图
医疗资安范围不仅限于it环境,还需包含ot 以目前台湾多数医院大楼来说,组织非常庞大,有些还将复健、儿童医疗、急重症、癌症中心、健康医学各自独立,光是使用的服务器设备可能都将近上百台,更不用谈及要管理的各式各样设备可能要到数万台。面对这些设备,要管理就是一门学问了;如果还要将各院区、各大楼间的网络、无线网络、联外网络、终端网络和各点间联系的vpn进行把关审核的动作,无疑又是一个大挑战。一般医院都是藉由防火墙设备、入侵设备、邮件防护设备、流量侦测或身分识别来管理所有网络的进出。不过医院该注重的资安范围不只是it,还包括内部ot(operation technology)安全(图2),为了推动智能医疗、加速医疗数据的传输与分析,医院势必采用可联机的医疗仪器,但这也成为资安隐忧。医疗资安防护不只要把个人计算机和服务器管理好,还要注重医疗仪器的资安检测,比如护理工作车、计算机断层扫描设备、医疗检测仪器等。
图2:卫福部也开始推动医疗ot资安检测
医疗领域资安问题广,数据外泄、ot安全也是挑战 2018年台积电遭遇勒索病毒事件,不仅为高科技业带来警惕,也让ot领域的安全问题浮上台面,而医院也有这类问题要去面对(图3),例如:
1. 医疗院所的计算机主机操作系统老旧问题
医疗院所的部分客户端计算机中,还存在有系统及硬件老旧的状况,甚至连新版本的防病毒软件都无法支持,这些都应该是医疗业必须正视的问题。
2. 无法支持新版防病毒软件
许多的恶意攻击程序是透过操作系统的漏洞渗透执行。所以使用无法更新作业版本的老旧系统须尽速汰换,并应安装合法的防病毒软件,或至少更新至windows 10 并开启内建之windows defender进行防护。
3. 医疗仪器设备的漏洞修补
要求委外厂商将相关ot设备(如:包括麻醉机、呼吸机、心电图仪器、数字 x 光摄影、核子医学设备、透析机等…等)之韧体更新至最新版本。使用物联网设备时,应确实检视设备所提供的功能,并设定用户所能存取之权限。
4. 其他
独立使用链接健保署vpn之计算机,应与任何连结形式之因特网区隔,如:有线网络链接、无线网络链接及透过手机上网连结。此外,也要避免透过远程联机之方式来维护医院连结中央医疗体系专用vpn的计算机。
图3:关注所有ot设备联网安全性
透由ots-600对内网层层的防御,提高医疗网络安全保障 随着资安威胁的增加、环境的变化,现阶段面对的资安威胁与以往已大不相同,如ot( operation technology)环境与iot(internet of things)设备,已经成为黑客、恶意软件的攻击目标,医院必须寻求新世代的资安产品来解决新型态的资安威胁,而众至也推出第一款ots-600内网防护设备,协助用户面对可能的资安挑战。
高规硬件设计
为了确保联机的安全,sharetech ot产品支持多种形式的internet和scada连接,包括以太网,wifi,3g / 4g,串行(rs-232 / 485)。 它们还具有工业外形尺寸,包括din导轨安装,桌上型设备外观,24v dc电源输入,并支持最苛刻部署的宽温度范围。
强化ot网络流量检视
众至ot设备可在既有的网络环境中侦测流量是否带有恶意活动,例如:有外部非允许使用者透过非法的远程登录,接触到各医疗大楼;或者是用户的计算机遭到恶意软件的渗透与感染,让黑客可以透过内部的网络骇到生产制造区。sharetech ot设备可以执行被动的监控、侦测、鉴识与反应等作业,收集所有it、ot网络的封包与讯号,并采用深度封包检测(dpi)方式进行比对,分析每个通讯协议中是否有出现异常的数据。
打造区块防护,强化内网安全
为了强化内网安全,必须将医疗体系网络分割成更小的『区块防护』,将防御的机制更深入至内网监测网络流量,如有攻击者侵入团队成员时,他们应该无法在网络上四处活动进入到单位敏感主机(病患数据库)。ot防护设备能侦测出这些试图存取用户常规活动以外系统的动作,并发出相应的警告讯息,更可藉由与交换器协同作战封锁来自恶意活动威胁或bot渗透攻击。
完整内网协同防御机制
为了强化内网的安全,我们整合交换器与无线基地台管理接口,藉由sharetech ot管理接口执行统一控管,sharetech ot设备除了侦查网关端流量的进与出,同时可向下延伸到交换器与无线基地台。让所有经过有线/无线接取网络服务的装置,都得接受sharetech ot控管,才得以顺利存取到所需的资源。
众至把内网与外网的安全整合在一起进行管控,即形成资安三剑客之解决方案,透过整合交换器及ap,将l2层级的信息整合至防火墙上,就可以确认交换器上每个port的流量、联机的成员以及网络的阶层拓朴图等;ap部份不仅可以看到无线的使用者,还能当作ap控制器,统一派送ssid、密码等数据,无须个别登入每台ap去做设定,加上搭配防火墙异常流量、ips机制,当异常发生时,除了在防火墙上的封锁之外,再结合交换器直接封闭来源网络孔,避免有问题的装置持续在内网扩散。
远程访问安全
开越多的对外服务port,代表把自己暴露在外的风险因素增加,所以对于已知的联机对象,不管对方是使用动态或是固定 ip 地址,都可以利用防火墙普遍有的ipsec vpn,建立安全的vpn 信道传递信息,而不需要以port 的方式达成联机的需求。
opc入侵防御机制
收集所有it、ot网络的封包与讯号,并且采用深度封包检测(dpi)的方式进行比对,分析通讯协议当中的每个层级,掌握出现异常数据的行为。所有异常事件都会完整记录,透过记录查询可以掌握事件发生的时间、来源、目的与攻击类型,方便管理者日后追踪。
virtual patch防护
为避免客户重要主机遭受零时差攻击,sharetech ot解决方案中亦具备虚拟补丁(virtual patch)能力,在医疗机台操作系统或软件还未获原厂修补更新之前,可针对性地防范漏洞的入侵virtual patch,避免医院的医疗设备已经没人维护,漏洞百出,sharetech ot安全网关防护设备替你把关。
统整成威胁情报-战情室
威胁情报-战情室让ot和it管理者都能完整了解所有数据传递的架构,透过ot和it的装置数据进行收集,且会记录所有风险类型数据,可以让ot管理者了解厂域网络安全状况。当有资安事件发生时,可透过详细的风险记录分析启动鉴识调查。此外,提供整个ot网络的运作设备状态能见度,显示其ip和资产内容、显示设备之间使用的具体协议,并突显潜在风险。
完整的ot网络管理平台,快速部署、简易管理与轻松维护
即使最复杂的ot网络,sharetech云端管理平台也能让操作管理员及网络安全专业人员,在单一平台,执行保护监视网络的工作。
云端管理平台与众不同之处
完整呈现ot设备运作状态 支持ics设备大部份专有的通讯协议 实时监控与讯息通知 风险警告讯息通知 间接式联机监控管理模式,并不会对ot设备网络造成运作影响 配置文件备份、还原机制 支持设备usb设定备份机制 亦提供cms服务管理功能
深入浅出谈Android多线程及AsyncTask机制
中国连续3个月居韩国第一大电动汽车进口国
物联网边缘计算:下一个百亿海市场
缺货潮已蔓延到ST、瑞萨、Microchip、高通等品牌
香蕉派 BPI-R64 开源路由器开发板采用MediaTek MT7622芯片设计
医疗资安面临数据外泄、OT安全等巨大挑战
台积电澄清 5大疑点尚未解决
RAID系统中理想的Netsol MRAM存储器
从困境到突破:TigoLeap方案引领数据采集与优化变革
春季新品陆续发布,索尼、realme争先发布5G新品
一文详解CXL.cache协议
PLC通过对万能铣床电气的控制,对生产过程起到了一定维护和调节作用
L2级自动驾驶是一种什么样的体验
华东理工:自供电可穿戴传感器领域的最新研究成果
小米6什么时候上市?小米6最新消息:小米6将确定发布日期,配置表曝光,与传闻相比“大相径庭”
VisionBank AI实现4项技术突破-传统算法融合深度学习,重新定义“工业视觉检测大脑”
数字化战“疫”,混合云正当时
OPPOReno2Z高清图集
【芒果派MangoPi MQ Quad】利用MangoPi MQ Quad部署一个网络摄像头
美国Mobile Recon公司宣布推出一种新型多旋翼无人机
2019年9月多家医院也纷纷遭受勒索软件攻击,主要是黑客先入侵健保vpn网络,透过卫福部的电子病历交换系统eec,在eec gateway植入勒索病毒globeimposter3.0(图1),并藉由健保 vpn 传输,先潜伏植入院内 【ot 的环控主机】,再伺机窥探对windows server 同步发动攻击。由于 eec 所用 vpn 网络为各大医院自主管理与共享之内部网络,并未分割 vlan,造成该勒索病毒得以急速扩散。
图1:医院遭受ecc 攻击示意图
医疗资安范围不仅限于it环境,还需包含ot 以目前台湾多数医院大楼来说,组织非常庞大,有些还将复健、儿童医疗、急重症、癌症中心、健康医学各自独立,光是使用的服务器设备可能都将近上百台,更不用谈及要管理的各式各样设备可能要到数万台。面对这些设备,要管理就是一门学问了;如果还要将各院区、各大楼间的网络、无线网络、联外网络、终端网络和各点间联系的vpn进行把关审核的动作,无疑又是一个大挑战。一般医院都是藉由防火墙设备、入侵设备、邮件防护设备、流量侦测或身分识别来管理所有网络的进出。不过医院该注重的资安范围不只是it,还包括内部ot(operation technology)安全(图2),为了推动智能医疗、加速医疗数据的传输与分析,医院势必采用可联机的医疗仪器,但这也成为资安隐忧。医疗资安防护不只要把个人计算机和服务器管理好,还要注重医疗仪器的资安检测,比如护理工作车、计算机断层扫描设备、医疗检测仪器等。
图2:卫福部也开始推动医疗ot资安检测
医疗领域资安问题广,数据外泄、ot安全也是挑战 2018年台积电遭遇勒索病毒事件,不仅为高科技业带来警惕,也让ot领域的安全问题浮上台面,而医院也有这类问题要去面对(图3),例如:
1. 医疗院所的计算机主机操作系统老旧问题
医疗院所的部分客户端计算机中,还存在有系统及硬件老旧的状况,甚至连新版本的防病毒软件都无法支持,这些都应该是医疗业必须正视的问题。
2. 无法支持新版防病毒软件
许多的恶意攻击程序是透过操作系统的漏洞渗透执行。所以使用无法更新作业版本的老旧系统须尽速汰换,并应安装合法的防病毒软件,或至少更新至windows 10 并开启内建之windows defender进行防护。
3. 医疗仪器设备的漏洞修补
要求委外厂商将相关ot设备(如:包括麻醉机、呼吸机、心电图仪器、数字 x 光摄影、核子医学设备、透析机等…等)之韧体更新至最新版本。使用物联网设备时,应确实检视设备所提供的功能,并设定用户所能存取之权限。
4. 其他
独立使用链接健保署vpn之计算机,应与任何连结形式之因特网区隔,如:有线网络链接、无线网络链接及透过手机上网连结。此外,也要避免透过远程联机之方式来维护医院连结中央医疗体系专用vpn的计算机。
图3:关注所有ot设备联网安全性
透由ots-600对内网层层的防御,提高医疗网络安全保障 随着资安威胁的增加、环境的变化,现阶段面对的资安威胁与以往已大不相同,如ot( operation technology)环境与iot(internet of things)设备,已经成为黑客、恶意软件的攻击目标,医院必须寻求新世代的资安产品来解决新型态的资安威胁,而众至也推出第一款ots-600内网防护设备,协助用户面对可能的资安挑战。
高规硬件设计
为了确保联机的安全,sharetech ot产品支持多种形式的internet和scada连接,包括以太网,wifi,3g / 4g,串行(rs-232 / 485)。 它们还具有工业外形尺寸,包括din导轨安装,桌上型设备外观,24v dc电源输入,并支持最苛刻部署的宽温度范围。
强化ot网络流量检视
众至ot设备可在既有的网络环境中侦测流量是否带有恶意活动,例如:有外部非允许使用者透过非法的远程登录,接触到各医疗大楼;或者是用户的计算机遭到恶意软件的渗透与感染,让黑客可以透过内部的网络骇到生产制造区。sharetech ot设备可以执行被动的监控、侦测、鉴识与反应等作业,收集所有it、ot网络的封包与讯号,并采用深度封包检测(dpi)方式进行比对,分析每个通讯协议中是否有出现异常的数据。
打造区块防护,强化内网安全
为了强化内网安全,必须将医疗体系网络分割成更小的『区块防护』,将防御的机制更深入至内网监测网络流量,如有攻击者侵入团队成员时,他们应该无法在网络上四处活动进入到单位敏感主机(病患数据库)。ot防护设备能侦测出这些试图存取用户常规活动以外系统的动作,并发出相应的警告讯息,更可藉由与交换器协同作战封锁来自恶意活动威胁或bot渗透攻击。
完整内网协同防御机制
为了强化内网的安全,我们整合交换器与无线基地台管理接口,藉由sharetech ot管理接口执行统一控管,sharetech ot设备除了侦查网关端流量的进与出,同时可向下延伸到交换器与无线基地台。让所有经过有线/无线接取网络服务的装置,都得接受sharetech ot控管,才得以顺利存取到所需的资源。
众至把内网与外网的安全整合在一起进行管控,即形成资安三剑客之解决方案,透过整合交换器及ap,将l2层级的信息整合至防火墙上,就可以确认交换器上每个port的流量、联机的成员以及网络的阶层拓朴图等;ap部份不仅可以看到无线的使用者,还能当作ap控制器,统一派送ssid、密码等数据,无须个别登入每台ap去做设定,加上搭配防火墙异常流量、ips机制,当异常发生时,除了在防火墙上的封锁之外,再结合交换器直接封闭来源网络孔,避免有问题的装置持续在内网扩散。
远程访问安全
开越多的对外服务port,代表把自己暴露在外的风险因素增加,所以对于已知的联机对象,不管对方是使用动态或是固定 ip 地址,都可以利用防火墙普遍有的ipsec vpn,建立安全的vpn 信道传递信息,而不需要以port 的方式达成联机的需求。
opc入侵防御机制
收集所有it、ot网络的封包与讯号,并且采用深度封包检测(dpi)的方式进行比对,分析通讯协议当中的每个层级,掌握出现异常数据的行为。所有异常事件都会完整记录,透过记录查询可以掌握事件发生的时间、来源、目的与攻击类型,方便管理者日后追踪。
virtual patch防护
为避免客户重要主机遭受零时差攻击,sharetech ot解决方案中亦具备虚拟补丁(virtual patch)能力,在医疗机台操作系统或软件还未获原厂修补更新之前,可针对性地防范漏洞的入侵virtual patch,避免医院的医疗设备已经没人维护,漏洞百出,sharetech ot安全网关防护设备替你把关。
统整成威胁情报-战情室
威胁情报-战情室让ot和it管理者都能完整了解所有数据传递的架构,透过ot和it的装置数据进行收集,且会记录所有风险类型数据,可以让ot管理者了解厂域网络安全状况。当有资安事件发生时,可透过详细的风险记录分析启动鉴识调查。此外,提供整个ot网络的运作设备状态能见度,显示其ip和资产内容、显示设备之间使用的具体协议,并突显潜在风险。
完整的ot网络管理平台,快速部署、简易管理与轻松维护
即使最复杂的ot网络,sharetech云端管理平台也能让操作管理员及网络安全专业人员,在单一平台,执行保护监视网络的工作。
云端管理平台与众不同之处
完整呈现ot设备运作状态 支持ics设备大部份专有的通讯协议 实时监控与讯息通知 风险警告讯息通知 间接式联机监控管理模式,并不会对ot设备网络造成运作影响 配置文件备份、还原机制 支持设备usb设定备份机制 亦提供cms服务管理功能
深入浅出谈Android多线程及AsyncTask机制
中国连续3个月居韩国第一大电动汽车进口国
物联网边缘计算:下一个百亿海市场
缺货潮已蔓延到ST、瑞萨、Microchip、高通等品牌
香蕉派 BPI-R64 开源路由器开发板采用MediaTek MT7622芯片设计
医疗资安面临数据外泄、OT安全等巨大挑战
台积电澄清 5大疑点尚未解决
RAID系统中理想的Netsol MRAM存储器
从困境到突破:TigoLeap方案引领数据采集与优化变革
春季新品陆续发布,索尼、realme争先发布5G新品
一文详解CXL.cache协议
PLC通过对万能铣床电气的控制,对生产过程起到了一定维护和调节作用
L2级自动驾驶是一种什么样的体验
华东理工:自供电可穿戴传感器领域的最新研究成果
小米6什么时候上市?小米6最新消息:小米6将确定发布日期,配置表曝光,与传闻相比“大相径庭”
VisionBank AI实现4项技术突破-传统算法融合深度学习,重新定义“工业视觉检测大脑”
数字化战“疫”,混合云正当时
OPPOReno2Z高清图集
【芒果派MangoPi MQ Quad】利用MangoPi MQ Quad部署一个网络摄像头
美国Mobile Recon公司宣布推出一种新型多旋翼无人机