在医院打怪的日子……

2018-05-08

安全,是医院信息化建设的关键保障线,是关乎医院运营、社会民生的重要保障。最重要的东西,也最容易成为怪物的目标,总会面临来自各个维度、各个角度的攻击与偷袭。落下层层关卡,只为能成功防御。

负责医院信息安全的人,要不断升级装备、学习技能。所有的一切,都是为了能充分应对层出不穷的怪物,防护医院信息安全,为业务的运转、数据的存储提供一个安全、可靠、高效的环境。

但是,流水的怪物,总有一款出乎你的意料。对医院来说,即便是按照等保规定合规部署了安全体系,遇到未知威胁时,也仍然会被轻易入侵,遭遇信息安全危机。不信,你看下面两个故事。

(以下故事根据真实案例改编,如有雷同,纯属正常)

故事一:瘟疫怪

北京某知名专科医院新采购了杰思猎鹰防护系统。安装杰思安全探针程序后,业务服务器弹出异常行为提示。同时,备份系统弹出异常告警。

经过仔细排查,并查看产品日志信息,发现是由于用户内网中很多主机,包括备份服务器,都感染了“永恒之蓝”的恶意程序,不断在全网发起漏洞攻击。

杰思安全探针安装后,第一时间检测到漏洞攻击,根据策略启用了自动抑制攻击源主机连接的动作,阻断感染了恶意程序的备份服务器和业务服务器之间特定连接,导致了备份系统告警。

在这之前,用户就已经感觉到网络和业务系统变慢。但当时没意识到是被恶意攻击导致。而且之前部署的各种安全产品,都没有发出威胁告警。看似平静的安全环境下,其实网络早已感染了病毒。虽然病毒没有被察觉,但已经悄悄吞噬了业务的各种资源。

通过运行杰思猎鹰产品,快速定位攻击源,并在相应主机安装安全探针,成功阻止并隔离了恶意软件,相关业务和备份系统也及时恢复了正常的运转。

故事二:隐身怪

辽宁某综合三甲医院,医院信息中心进行日常安全巡检时,发现杰思产品管理平台弹出异常告警信息:一台存有处方资料信息的服务器上最近新运行了一个局域网文件传输的软件。

通过横向自动分析,仅有该台服务器运行了该程序。正常情况下,处方资料信息的服务器不会运行该类软件。因此,医院信息中心怀疑有人在进行相关“统方”操作。

借助杰思产品管理平台,追溯到了这个软件运行的时间、账户、网络连接主机等信息,快速定位到相关责任人,及时发现内部管理隐患。

而后,根据管理要求,调整部分服务器杰思产品配置策略,进行“强控”管理:仅允许运行信任的程序,有效控制了内部非合规操作风险。

上述两个故事,只是医院安全问题的一角,“内网”并不是绝对的安全。貌似平静的网络环境中通常暗流涌动,许多未知的怪物(安全威胁)在暗处环伺而动。感知变化,看清自己的网络,才能真正掌握安全的主动权。

人生,就是一场不断打怪、通关、前行的修行,安全防护也如此。如果一直用定义怪物特征的方式来打怪,新的怪物出来时,就会很容易因为不认识而无法判定是不是怪物,变得束手无策。

所以,采用行为特征检测的EDR技术,了解下?

Copyright © 2015-2017 北京杰思安全科技有限公司   备案号:京ICP备15050687 京公网安备 11010502032105号