过去的2018年,医疗数据泄露事件层出不穷,全球医疗行业继续成为网络攻击的主要目标,以下是HIPPA Journal对2015-2017年医疗产业数据泄露事件的数量统计图:

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

在过去的一年,浩海云安全团队针对黑客加密医疗数据并发起勒索的攻击行为进行了深入观察,从这些攻击者是如何进入医疗网络、如何泄露医疗数据、以及如何在公共医疗资源中找到敏感数据等方面,剖析全球的医疗产业安全形势。

 

一、全球医疗行业部分安全数据

我们来看一看2018年的一些数据。以下数据所反映的整体现状令人堪忧。60%以上的医疗机构都在其服务器或计算机上安装了某些恶意软件。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

2018年在医疗机构中检测到的攻击活动

另外,我们在与医疗机构紧密相关的制药行业中发现了更多的攻击活动。制药行业同样“商机无限”,令网络犯罪分子垂涎三尺。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

2018年在制药企业中检测到的攻击活动

那么,哪些国家的医院和诊所最容易受到网络攻击?下面我们给出的数据是相对的,计算方式如下:国内医疗机构的设备数量除以我们检测到恶意代码的设备数量。

前三名依次是菲律宾、委内瑞拉和泰国。日本、沙特阿拉伯和墨西哥排名最靠后。由此可见,受网络攻击的可能性很大程度上取决于政府在公共部门网络安全方面的资金投入和整体网络安全意识水平。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

医疗机构安全事故多发国家排行榜TOP 15

制药行业的情况似乎完全不同。网络安全事故最多发的是孟加拉国。通过相关资料的查阅,这个统计数据是有事实依据的:孟加拉国向欧洲出口海量药物。另外,摩洛哥的大型制药公司总产值占全国GDP的14%。并且印度也在这个排行榜中.

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心制药企业安全事故多发国家排行榜TOP 15

我们在10%的医疗设备、25%以上的医疗公司以及10%的制药公司中均检测到了一些黑客工具,例如Mimikatz、Meterpreter、tweaked远程管理工具包等。

这一现象的出现有两种可能:一是说明医疗行业在网安领域还是有一定技术成熟度,十分重视通过白帽黑客和专业的渗透测试人员对自己的基础架构进行持续性的审计活动;二是他们的网络频繁遭到黑客入侵。显然,从实际情况来看,第二种情况的可能性更大。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

二、打开医疗网络“大门”的钥匙

为了找到医疗基础架构中可能存在的弱点,我们首先提取了名称中含 “medic”   “clinic”  “hospit” “surgery” 以及 “healthcare” 等关键字的IP地址,然后启动masscan(端口扫描器),通过专门的搜索引擎(Shodan与Censys)进行解析,最终获得这些医疗机构的公共资源。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

Masscan扫描报告摘录

当然,医疗网络边界往往包含着很多不太重要的开放端口和服务:web服务器、DNS服务器、mail服务器等等。这些端口和服务最容易被攻击者利用,但是研究这些简单的漏洞对于我们的研究没有太大帮助。修复这些过时的服务是医疗机构应该做到的最基本的安全防护。例如,我们发现很多电子医疗记录的web应用其实都需要更新。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

医疗网络便捷最受欢迎的开放端口

通过ZTag和Censys这两个工具,我们确定了隐藏在这些端口背后的服务类型。如果你愿意深入探究这些嵌入式标签,还会看到发现很多东西,例如打印机、SCADA系统、NAS等。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

医疗网络边界中的主要服务

撇开以上那些小型端口和服务后,我们发现了可能存在漏洞的建筑管理系统。采用Niagara Fox协议的设备通常在TCP端口1911和4911上运行。我们能从中远程收集信息,如应用名称、Java版本、主机操作系统、所在时区、本地IP地址以及堆栈中涉及的软件版本。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

Niagara Fox service的信息摘录

或者通过具备web界面但没有认证请求的打印机,其仪表盘可在线获取,最终获得内部wifi网络信息以及“作业存储”日志中出现的文档信息。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

通过Shodan搜索引擎,我们发现有些医疗机构的端口2000是开放的。这是一个智能kettle。尽管深层原因不明确,但这种kettle模型在医疗机构中非常流行。并且他们也已公开了漏洞信息,通过HP simple pass就能与kettle建立连接并提取当前连接wifi的相关信息。

 

三、医疗行业如何应对?

医疗行业的数据价值千金,而信息安全又是医疗行业的弱项,这导致了医疗产业持续成为全球黑客势力的主要目标。

年终盘点:全球医疗产业安全现状,医疗行业网络入侵形势!-浩海云安全中心

医疗行业在面向新形势下的信息安全问题时,浩海云安全专家给出以下建议:

1、重视数据资产安全防护,采购全方位的数据防护系统,让黑客入侵和勒索病毒无法造成数据泄露事件,保护病患隐私信息。

2、重视医疗业务系统的持续安全评估测试,定期对业务系统进行扫描评估,发现问题修复问题,保证系统持续的安全可靠。

3、重视网络信息安全人员的知识技能培训,加强知识技能的学习升级,提升信息安全的意识,从根本上解决信息安全的问题。