有人说,医生这个职业救人惠世,却救不了自己。如果把健康医疗行业比作一个“人”。在网络安全研究人员眼里,这位历经风霜的“老医生”可谓已是“病入膏肓”。那么,健康医疗行业信息安全情况究竟如何呢?从今天发布的这份《2019健康医疗行业网络安全观测报告》中我们可以一窥一二。
健康医疗业“病了”
将风险分成四级,分别为重大风险(0-500分)、较大风险(500-800 分)、一般风险(800-900 分)和低风险(900-1000 分)——如果这是人的体质评估标准,那么,健康医疗行业788的评分已经进入到了“晚期”。
报告中称,健康医疗总体行业处于“较大风险”的风险级别,存在多种网络安全风险以及大量可以被利用的安全隐患,防御公共互联网攻击的能力较弱。
从报告来看,健康医疗行业面临的网络安全风险主要集中表现在“以勒索病毒为代表的僵木蠕等恶意程序风险”、“网站篡改风险”和“安全隐患带来的大数据泄露风险”三大方面。接下来我们来一一进行分析。
1、以勒索病毒为代表的僵木蠕等恶意程序风险
从省份分布来看,发现存在僵木蠕等恶意程序的单位共计 1029 家,可谓“常客”。
其中,受勒索病毒影响的单位共计 136 家。其中,有 136 家单位存在勒索病毒风险、有 539 家单位存在远控木马、有 359 家单位存在挖矿木马、有 557 家单位存在捆绑软件与流氓广告。
整体来看,勒索病毒攻击成功率较高的区域中,例如西藏、贵州、新疆、青海等地域信息化程度较低或者经济发达的情况更为凸显;两广、长三角、北京等经济较为发达,攻击者关注程度较高。
这些恶意程序可导致大范围的网络欺诈、信息泄露和医疗信息系统瘫痪等破坏性后果。
2、网站篡改风险
根据攻击效果,网站篡改可分为显式篡改和隐式篡改两种。此次发现的网站篡改以隐式篡改为主,其篡改手法主要表现为以下三种:
1>寄生页面,指站点目录结构中被放入了以博彩、色情站点资源为主的非法页面。这些页面一般在单位站并无入口,寄生的主要目的是躲避观测,利用站点资源。
2>暗链,指页面代码被放入不可显示的链接,一般为博彩、色情网站链接。暗链的主要目的是帮助非法网站在引擎排名中获得更高优先级。
3>域名恶意利用,指单位域名被用于无关内容,大是由于单位历史域名到期后未持续维护造成的。利用域主要目的也是在躲避观测的前提下使用站点资源。
报告显示,被篡改的网站共涉及 261 家单位。从全国范围内看,网站篡改现象普遍存在,但主要集中分布在上海、江苏、安徽区域;北京、天津区域;陕西、重庆、湖南区域以及西藏区域。
3、安全隐患带来的大数据泄露风险
应用数据安全问题在健康医疗行业尤为突出,事件多为突发性勒索病毒相关事件,数据盗窃、数据泄露等问题层出不穷。
据报告显示,健康医疗行业存在大量应用服务(如数据库服务、FTP 服务、打印机服务等)暴露在公共互联网的情况,共涉及 6446 家单位。
除西藏自治区外,其余各省至少有 30%以上的单位将应 用服务直接暴露在公共互联网。从分布上看,东北、西北各省与东南的福建省、浙江省和海南省略少,其余省份皆高于40%。
如果这些暴露的应用服务管理存在缺陷,那么攻击者从公共互联网会轻易地窃取到医疗相关数据。
“病因”分析
在参加观测的 15339 家单位中,网络资产存在脆弱性的有 9532 家,占比 62.14%。由此可见,健康医疗行业相关机构的网络资产中存在脆弱性的情况较为普遍。
报告显示,大量敏感的应用服务暴露在公共互联网,覆盖了 48.08%的单位;开放的高危端口上存在可被利用的高危漏洞,覆盖了47.21%的单位;服务版本过低,存在公开漏洞,覆盖了 37.90%的单位。
此外,Web 服务一般都是通过端口号来识别的。因此端口如同是服务的钥匙,是攻击的源头所在。
报告显示,自2017年 5 月 12 日到 5 月 15 日,WannaCry 勒索病毒共造成 150 多个国家遭受网络攻击,涉及金融、能源、医疗等行业,造成了严重的危机管理问题。
以作为微软操作系统远程桌面的服务端口的 3389 端口 为例,2019 年 5 月 14 日微软官方发布安全补丁,修复了 Windows 远程桌面服务的远程代码执行漏洞 CVE-2019-0708。
此漏洞是预先验证身份,无需用户交互(无需验证系统账户密码),即可以在目标系统上执行任意命令。这就意味着这个漏洞可以通过网络蠕虫的方式被利用,与 WannaCry 勒索病毒极为类似。
通过针对此漏洞进行渗透测试,在开放 3389 端 口的 1860 家单位中,有 1012 家可被利用成功,占比高达 54.40%。如果这些单位遭受利用此漏洞发起的攻击,则可能被轻易植入勒索病毒等各种恶意程序。
除了上述“病因”,大量敏感服务暴露,也使得弱口令成安全隐患。在渗透测试中, 410 家单位存在弱口令问题。因为应用组件版本较低,往往被公开漏洞所利用,存在极大的安全隐患。本次观测有 7242 家单位存在这种情况,占比 47.21%。
为何“生病”?
让健康医疗行业“得病”的原因有很多,这也从侧面体现出医院的网络安全等级保护工作普遍不足。
根据《调查报告》,至少有一个系统通过等保三级测评的受访医院共计 195 家,占比 50.13%;通过等保二级测评的受访医院共计 40 家,占比 10.28%;有实施等保工作规划的医院有 106家,占比 27.25%;没有开展等保工作规划的医院有 48 家,占比 12.34%。
各医院推进网络安全等级保护的工作的力度和进展存在较大差别,有些医院未开展科学、合理的系统定级工作,使系统缺乏必要的安全保障措施。
调查中共有 37 家受访医院表示采用了定期渗透测试以评估风险,占受访医院的 9.51%。同时还有 27 家医院填写了每年定期渗透的次数,每年一次的医院有 12 家,每年两次的医院有 11 家,每年三次的医院有 1 家,每年四次的医院有 5 家。
绝大部分医院尚未建立对信息系统开展定期渗透测试的风险评估机制,在少数已开展定期渗透测试的医院当中,测试开展的频率偏低。
安全培训方面,有 111 位受访者表示医院会定期在信息部门内部举行网络安全培训,占比 56%;36 位受访者表示医院设置了专门的信息安全员,由他们负责进行网络安全培训,占比 18%;31 位受访者表示医院会对全体员工进行网络安全培训,占比 16%;20 位受访者表示没有相关培训,占比 10%。
应急演练方面,选择信息部门内部参加的定期网络安全应急演练的共计 93 位受访者,占比 47%;选择医院全体员工参加的定期网络安全应急演练的共有 42 位受访者,占比 21%;选择仅有医院设立的信息安全员参加的定期网络安全应急演练有 36 位受访者,占比 18%;回答医院没有定期组织网络安全应急演练的有 27 位受访者,占比 14% 。
目前各医院开展网络安全培训和应急演练工作的覆盖面不足,近半数的医院仅在信息部门内部定期开展网络安全培训和应急演练工作,设置专门信息安全员的医院不足 20%,还有部分医院完全没有进行安全培训和应急演练。
