醫院再遭網路攻擊,病患資訊被篡改?QDNS平臺醫療衛生行業實戰案例分析

據《2022醫療衛生行業網路安全分析報告》顯示:2021年醫療衛生行業風險事件以漏洞利用和惡意程序為主,在一次風險事件中,攻擊者會使用包括漏洞利用和惡意程序等多種手段對醫療衛生行業的網路系統進行攻擊,如果不能及時進行監測和處置,會造成不可估量的業務損失,甚至會危及患者的生命。而惡意程序類型的風險事件中,遠控木馬、挖礦木馬的佔比居首位。

圖源:奇安信《2022醫療衛生行業網路安全分析報告》

隨著疫情防控的需要、資訊化水平的不斷發展以及網際網路+模式在醫療衛生行業的廣泛應用,我國持續加大醫療衛生基礎設施建設力度,這就要求各醫院單位在網路安全建設水平提高和網路安全風險之間追求動態平衡,以期尋找最大程度減少或避免因網路安全事件引起的敲詐勒索和黑產活動的最佳方案。

在此過程中,針對域名系統(DNS)的攻擊正在給醫院的資料安全及正常運營造成不可估量的影響。奇安信安全DNS(QDNS)平臺是一款面向政府、企業的包括DNS解析、威脅監測防禦、資產/域名監控等一體的公有云SaaS服務的威脅檢測應用平臺,基於奇安信威脅情報中心高精準威脅情報,能夠對APT攻擊、勒索軟體、竊密木馬、遠控木馬 、殭屍網路等幾十種網路威脅請求進行及時、有效的檢測和攔截,助力各醫療行業單位提高網路中的威脅檢測和發現能力,避免造成重大損失。

自9月起,

自9月起,奇安信安全DNS(QDNS)平臺面向企業開展免費試用,重保期間共有50餘家行業單位參與試用,其中醫療衛生行業單位佔比近20%,試用總解析次數達4.01億次,總惡意攔截次數為9萬餘次,木馬相關活動佔比86%

近期攔截惡意類型分類

近期攔截惡意類型分類

醫療衛生行業痛點

1、醫院科室或機構分支部門多,複雜終端難管控

2、惡意程序和漏洞利用等攻擊事件頻發,資料洩露風險大

3、部分醫護及體檢中心員工網路安全意識薄弱

以某區人民醫院為例

以某區人民醫院為例

該院的防火牆設備通過接入QDNS,對其出口IP進行監控,接入期間持續進行域名解析次數約9500萬次,惡意域名訪問攔截次數近900次。共發生木馬相關攔截600餘次,佔總攔截的69%左右,為其高級風險提供了防護和分析。

試用期間攔截惡意類型分類

試用期間攔截惡意類型分類

惡意域名研判結果

遠控木馬:102.165.48.81

攻擊者在向醫院的計算機植入遠控木馬後,可以完全控制被成功入侵的計算機設備,任意訪問、刪除、複製計算機設備上的檔案等重要內容,容易造成大量的敏感資料洩露,影響醫院的資料安全,嚴重甚至危及病患生命,危害程度極高。QDNS產生此告警後,客戶及時對該域名進行了封禁、查殺、攔截等處理。

【奇安信威脅分析平臺ALPHA研判分析結果】

竊密木馬:000359.xyz

近年來日益猖獗的竊密木馬,不僅能夠進行獲取鍵盤記錄、文字監控、抓取瀏覽器和電子郵件客戶端密碼、螢幕截圖等一系列操作,甚至可以命令和控制伺服器接收並執行一系列遠端操作,危害程度極高,也成為了醫院資料洩露的一大安全隱患。QDNS產生此告警後,客戶隨即將被攔截的域名添加到其他安全設備中,對該域名進行封禁處理,避免了潛在的資料洩露。

【奇安信威脅分析平臺ALPHA研判分析結果】

近年來,全球醫療衛生行業網路安全事件高發,攻擊手法防不勝防,奇安信安全DNS(QDNS)平臺致力於為全行業提供高速迅捷、純淨安全的全生態鏈網站安全防護體系。平臺使用的失陷檢測信譽庫及各類情報由多名安全專家、應急專家動態更新維護,保障對最新威脅的實時防護能力,全面提高網路中的威脅檢測和發現能力。

截至目前,奇安信安全DNS(QDNS)平臺已對公眾提供域名解析服務3.4萬億次,解析域名近217億,累計攔截惡意域名131萬個,累計服務企業300家以上。有效提升了企業及各級單位的安全保障,精準發現問題並協助處置。