設好邊界防禦就能把駭客阻擋在外的傳統概念已經是過去式,現在必須抱著駭客隨時隨地都可能突破入侵的思維,如何在最短時間內發現與處理,才是關鍵。一旦看到駭客有入侵活動,就要當機立斷執行緩解的策略。
台灣醫療院所遭受勒索病毒攻擊已非第一遭,2019年8月便曾發生醫院大規模受到勒索病毒攻擊的事件,當時有數十家醫院受害;2022年衛生福利部桃園醫院也曾因對外連網主機遭入侵而有一台主機的資料遭到竊取;今年2月,國內接連有兩家醫院遭受中國駭客「CrazyHunter」勒索病毒攻擊。長期以來,醫療院所因保有病患大量個資,而成為駭客鎖定的對象。對於醫療院所而言,壓力不只來自於因核心系統或是設備醫材遭駭客入侵、加密,而帶來的財務和營運的問題,更可能直接影響到病患的生命安全。
這也是為何醫療資安如此重要的原因。然而,資安的關鍵並不在於如何百分之百的防堵,實際上這樣的防禦機制或產品也不可能存在,因此,如何找到相對脆弱的環境加以強化,以有限的預算進行最妥適的配置,才是應變之道。以近期兩家醫院遭受中國駭客CrazyHunter勒索病毒攻擊為例,許多業界專家建議,端點偵測及回應(EDR)將會是多數醫院較佳的防禦機制。
警覺性與認知不夠 MDR可補經驗不足
數聯資安技術副總經理游承儒指出,駭客主要是透過外網漏洞入侵,再橫向擴散到Active Directory(AD)主機,而後進行勒索攻擊。其實受CrazyHunter攻擊的兩家醫院並非完全沒有佈建EDR,只是部署得不夠全面,使得駭客有機可趁。當駭客規避掉這些EDR後,內網就毫無抵抗能力。「部署率不高的原因,除了預算成本考量之外,醫工單位不同意把EDR安裝在其負責的系統上,也是醫院常見的窒礙難行之處。」
「另一項原因則在於能力與經驗不足,對於告警的警覺性與認知不夠。」他提到,不少醫院在部署EDR後才發現看不懂EDR告警,到底是嚴重還是不嚴重、是誤判還是真的攻擊?同樣的告警訊息,有經驗的資安人員可能覺得是誤判,但維運人員可能會很緊張的對待,反之亦然。在此情況下,很可能造成重要的告警卻被輕忽以待。事實上,EDR是非常需要專業團隊看照的解決方案,如果醫院的人力在資安相關能力或經驗上較為不足,代管式的威脅偵測與應變服務(MDR)會更適合醫療場域。
另外,設定緊急應變措施以及授權機制也相當重要。在處理勒索軟體攻擊事件時,第一時間該斷網就一定要果決斷網,這是必要之惡。但是一旦斷網,醫院有許多服務極有可能受到影響,若是緊急應變措施是由資訊室主任來處理,就算委外專業廠商在第一時間察覺,在決策權力不足的情況下,資訊室主任往往難以下定決策,但層層上報的結果,可能就要花上四、五個小時的時間才能核準。
游承儒說明,一般而言,5至10分內就必須做出斷網決定,所以最好能有一位決策權力夠高的主管能與委外專業團隊對接。「斷網對於緩解攻擊是一項很重要的手段與戰術。試想,駭客坐在電腦桌前指令下到一半發現網路斷掉,就要再花時間找尋下一台設備,根據我們的經驗,只要反覆幾次,駭客就不會花太多時間在這個場域,選擇撤退。」他認為,傳統設好邊界防禦,不要讓駭客進入的概念已經是過去式,現在必須抱著駭客隨時隨地都可能攻打入侵的思維,如何在最短時間發現與處理,才是關鍵。一旦看到駭客有入侵活動,就要當機立斷執行緩解的策略。
藉SaaS服務模擬訓練
為了協助醫院強化自身安全防護,衛生福利部也訂定醫院面對勒索軟體攻擊的應變指南,提供分階段的應對方法——立即應對、遏制與診斷、恢復與重建,並附上詳細技術指引,以辨識勒索軟體、追溯其來源並減輕影響。
數聯資安技術副總經理游承儒(左)指出,EDR是非常需要專業團隊看照的解決方案,如果醫院的人力在資安相關的能力或經驗上較為不足,威脅偵測與應變服務(MDR)會更適合醫療場域。右為數聯資安產品發展暨顧問處資深協理恭俊偉。
舉例而言,在第一階的立即應對中,對於「限制勒索軟體擴散」和「證據保全」至關重要,內容也提到受感染的系統要立即將受感染設備從所有網路(Wi-Fi、LAN、藍牙)中斷開。同時要立即通知醫院的資安部門主管、資安專責(職)人員與資安長、保全證據並通報主管機關、確認與驗證備份完整性。接著才是由資安SOC服務來協助「識別勒索軟體」、「追溯其進入點」並保護關鍵資產。最後是恢復與重建,此階段主要是聚焦恢復運營,同時修補漏洞並強化防禦。
游承儒觀察,醫院常見幾個破口,包含自帶設備而導致內網通外網、VPN沒有按照安全的使用方法進行設計或是廣開VPN、員工個人帳密管理,以及醫院有許多對外服務,卻沒有落實弱點修補。「我們在幾個案例中發現,有很多使用者的VPN帳號密碼在暗網遭洩漏,駭客在暗網購買後,直接就透過這個VPN登入進入到內部;而且VPN也常有漏洞,很多資安事故都是透過VPN這個路徑進入攻擊。數聯資安已採用零信任的方式,並且搭配設備鑑別,當這兩者都通過時,員工才能登入使用VPN,建議醫療院所也可以參考採用。」
另外,在應對攻擊經驗方面,數聯資安產品發展暨顧問處資深協理恭俊偉也建議可以透過「網路靶場」來累積經驗。隨著雲端服務的成熟,不用實體佈建,在網路上就可以模擬真實的世界與網路攻擊,而且有非常多種型態。如此一來,醫療院所的資安人員就可以透過網路靶場提高訓練的頻率,來加強相關的技能與知識。過往要進行一次實地的攻防演練,可能要大費周章,現在則以SaaS模式來提供服務,透過這種模擬演練的方式可以做到分析、收集、回應與阻絕的能力,萬一未來再遇到曾經演練過的攻擊場景,就可以知道緩解的方式,更快地應處。