《2019年医院大数据安全分析与勒索病毒防护方案.pdf》由会员分享,可在线阅读,更多相关《2019年医院大数据安全分析与勒索病毒防护方案.pdf(33页珍藏版)》请在三个皮匠报告上搜索。
1、医院大数据安全分析与勒索病毒防护方案目 录01医院信息安全现状02大数据安全分析03勒索病毒防护Contents04用户案例01医院信息安全现状内蒙古新疆甘肃四川辽宁陕西河南湖南山西北京河北山东江苏浙江上海广东湖北重庆江西福建吉林黑龙江西藏安徽金融,4%教育,7%制造业,7%政府机构,7%医疗,25%对外贸易,11%工业企业,17%互联网,16%其他,6%地域分布行业分布2019以来全国勒索攻击态势云南贵州广西青海由于部分医院信息系统存在安全风险,勒索病毒受利益驱使,依然是危害医院的主要安全风险之一。自去年7月以来,勒索病毒一直处于持续活跃的状态,其中8月份相对于7月勒索病毒传播有所加强。另外
2、在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。.其中,被勒索病毒攻击的操作系统主要以Windows 7为主,Windows 10次之,以及停止更新的Windows XP。对此报告指出,当前没有及时更新操作系统的医疗机构仍占有一定的比例,这极有可能会为医疗业务带来极大的安全隐患。近期医疗行业大规模勒索病毒事件(1)以十二生肖作为后缀,“狗”生肖尚未出现GlobeImposter勒索病毒家族:2017年出现,2018年8月份演进为V3.0版本。整体特点如下:加密方法:采用RSA和AES两种加密算法的结合。-无法破解!主要的传播方式:扫描渗透+远程桌面登录
3、爆破。-粗暴实用!解密办法:暂无公开的破解方法。V3.0版本特点如下:1、将加密文件的后缀改成 动物名称+4444的样子。2、当加密完成后,除了清除远程桌面登录信息,还添加了自删除的功能,让追溯分析难度更高。为什么勒索病毒总是攻击医院?成本低、来钱快!近期医疗行业大规模勒索病毒事件(2)业务日常办公物理服务器承载工作人员Internet业务工作人员临时访客机构移动分支BYOD私有云行业云虚拟化运维人员边界:清晰模糊资产:单一多元人员:简单复杂日常办公物理服务器承载多元传统威胁以破坏为目的频率一次性破坏单个服务手段简单高级威胁获取敏感数据长期持续潜伏攻击针对机构区域和国家手段复杂隐蔽医院信息安全
4、新挑战第三方InternetFWIPSWAF事前检测事中防护事后审计依靠单点的处理能力基于特征的安全检测无法应对持续性安全风险安全设备各自为战不协同传统安全解决方案02大数据安全分析大数据安全分析整体方案基础安全能力智能安全分析平台联动响应机制安全运维和管理AILPHA大数据智能安全平台AiLPHA大数据平台知己:基于机器学习发现潜在的入侵和高隐蔽性攻击,大数据安全分析,展现全网安全态势;知彼:结合威胁情报形成一体化主动安全防御能力;形成全网的安全大数据中心,集成关键资产的日志、告警、流量;满足网络安全法存储6个月的法规要求;具备对内部恶意资产的发现与验证能力;平台功能全面可靠的数据收集能力日
5、志数据流量数据性能数据弱点数据威胁情报日志解析能力8年多的项目实践,我们支持200多个品牌,近3000多种型号设备的日志解析分析模型WebShell检测恶意提权检测僵尸主机发现渗透攻击检测恶意操作检测木马回连检测DDoS攻击检测潜伏性数据窃取0day漏洞检测异常流量检测异常业务操作异常系统登录恶意软件行为检测DGA检测垃圾邮件检测恶意访问检测安全场景模型智能机器学习态势感知外部威胁感知重点关注外部攻击来源区域和内部受攻击资产横向威胁感知重点关注内部安全域之间的违规行为和内网主机之间的病毒传播Web业务系统安全重点关注Web服务的被访问状态和受攻击情况资产外连威胁感知重点关注内网失陷主机的被远程
6、控制和回连行为内网安全视角平台运行状态监测视角企业安全门户安全设备视角AI异常分析引擎利用AI分析算法或机器学习算法对历史的安全数据进行分析建模,发现潜在的安全隐患和未知威胁,AI异常分析算法可识别数据中存在的周期性规律和异常突变AI异常分析智能联动03勒索病毒防护WannaCry家族乌克兰首都机场、国家银行、俄罗斯石油公司、中国八十多个城市遭到过攻击。能够加密113种常用类型文件。北京市委网信办、市公安局、市经信委等单位联合发布预警。Petya家族席卷全球150多个国家,能够加密178种常用类型文件Bad Rabbit家族GlobeImposter家族病毒会加密本地磁盘与共享文件夹的所有文件
7、,导致系统、数据库文件被加密破坏,几乎无法解密首个以达世币(DASH)作为赎金的勒索病毒,持续更新对抗查杀,被加密文件后缀通常被追加CRAB.GDCB.KRAB 等后缀。GandCrab家族攻击者使用弱口令暴力破解受害者机器,很多公司都是同一个密码,就会导致大量机器中毒。Crysis家族Locky家族是2016年流行的勒索软件之一,和Cerber 的传播方式类似,主要采用垃圾邮件和EK,勒索赎金0.5-1个比特币。Locky家族粗略计算20个家族*50个变种=1000种已知的勒索病毒勒索病毒系列01传统杀毒软件单点能力无法应对勒索的分布式扩散勒索病毒在局域网内大量扩散,对主机上安装的杀毒软件无
8、法及时全部配置检测任务杀毒软件无法处理未知的勒索病毒变种勒索病毒变种繁多,杀毒软件依赖规则库,面对新型勒索病毒无法识别,只能任由其完成加密行为02Globelmposter家族变种.freeman、.panda.reserve、.true+.walker、.gotham.techno、.chak等传统杀毒软件在应对勒索时的困境1.部署EDR2.开启防御引擎3.切断扩散路径6.阻止加密行为4.定位病毒源5.查杀已知病毒7.巡检与加固诱饵引擎,独家技术!装了安恒EDR,承诺不被加密,支持保险赔付!安恒EDR一剑封喉集防御、检测、运维功能于一体的主机安全及管理系统安恒主机卫士(EDR)是一款集成了丰
9、富的系统防护与加固、网络防护与加固等功能的主机安全产品。安恒主机卫士(EDR)通过自主研发的文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。VM虚拟机安全管理勒索病毒查杀处理PC安全管理服务器安全运维应用场景:应用场景:主机安全管控一体化杀毒软件,不用单独买了桌管软件,不用单独买了运维软件,不用单独买了04用户案例3月5日15:03该单位某部门一台设备出现蓝屏。3月5日15:37内网爆发蓝屏现象。3月5日16:00安恒信息安服赶到客户现场确认勒索病毒爆发,并协助该单位进行病毒查杀
10、。3月6日7:00AiLPHA大数据平台+APT+SOC设备部署。3月6日采用大数据发现传播源发工单给安服处理方式,成功抑制病毒爆发与扩散。3月7日,根据大数据平台告警,彻底完成内部勒索病毒清理工作。该单位有2000+台设备,没有很好的网络规划,安服处置十分困难,只能是那里有蓝屏去哪里。案例:某医院内网勒索病毒爆发内 部 网 络 访 问 关 系完全不了解1病 毒 爆 发 应 急 处 置无从下手2各 安 全 设 备 产 生千万条日 志 和近万告 警3病 毒 何 时 何 入 口 入 侵完全不知道4内 网 安 全无统 一 监 管5实 施 前内 部 访 问 关 系一目了然1快 速 精 准 定 位关键节
11、点2关 注 资 产 感 知 的十几个已 失 陷 资 产3威 胁 溯 源 定 位20分钟,报 告 一 键 导 出4全 网 安 全实时统一监 管,态势感知5实 施 后部署前后对比通过全网连接关系图谱,快速寻找病毒影响最大区域,优先处置扩散面最大终端,以点破面,摆脱安服无从下手困境。药房手术室门诊住院部办公室图谱分析一目了然资产感知-快速定位查杀3月6号11:02正在遭受病毒感染3月6号12:27被感染成功后成为新的病毒源头病毒感染溯源联动防护机制北京医院仁济医院中国人民解放军总医院浙江省人民医院广东省人民医院浙江大学附属第一医院中国医学科学院上海市浦东医院武汉市中心医院广东省疾病预防控制中心浙江省
12、卫生厅河南省人民医院西安第四医院北京大学肿瘤医院中日友好医院上海市第五人民医院第四军医大学口腔医学院佛山市第一人民医院上海市浦东医院唐都医院山东中医药大学附属医院西安儿童医院北京积水潭医院深圳市人民医院深圳流花医院深圳市罗湖区中医院南方医院中山大学孙逸仙纪念医院茂名市中医院清远市人民医院广州医科大学附属第三医院佛山市中医院广州市番禺区中心医院深圳市龙华人民医院南方医科大学深圳医院南方医科大学顺德医院佛山市第三人民医院广州市海珠区中医院广州中医药大学第一附属医院香港大学深圳医院深圳市光明新区中心医院深圳市龙岗区中医院深圳市儿童医院江门市人民医院佛山市高明区人民医院罗定市中医院汕头市中医医院连州市人民医院梅州市人民医院湛江市第二人民医院广州医科大学附属肿瘤医院医疗行业客户案例(部分)谢谢观看Thanks for watching