迪普科技应急响应多家医院网络病毒攻击

    原标题：迪普科技应急响应多家医院网络病毒攻击

　　随着医疗数据的价值被发现和重视,医疗数据安全问题日益凸显,医院等业内机构、企业已处于相当复杂的数据安全环境之中。近年来，针对医院的勒索、挖矿、医疗信息泄露等医疗行业的信息安全事件层出不穷，医院信息系统已经成为了不法黑客的重点攻击对象之一。

　　近期，迪普科技某办事处接到当地某医院客户的紧急求助。当晚该医院发现系统受到病毒感染，涉及内网多个重要业务系统，导致大面积业务停顿。办事处人员接到求助后，第一时间奔赴现场，采集病毒样本。结合用户反馈信息，迪普科技安全服务团队应急小组立即启动应急程序，第一时间开展分析溯源等响应工作，力争将病毒的危害范围控制在最小，尽量降低不良影响。

　　■ 事件分析过程

　　发现信息系统的资源被大量的EnrollCertXaml.dll占用

    登录安全防护设备，发现攻击记录中存在可疑挖矿攻击事件。

    通过对受感染的主机进行分析，结合识别为木马的可疑dll文件，推断用户感染了挖矿病毒WannaMine的变种，进一步探查样例主机，发现了病毒存在的目录与病毒的典型攻击程序spoolsv.exe。

    通过对病毒文件的分析，发现了变种在探测到系统存在永恒之蓝的漏洞后，会在系统中安装双脉冲星后门，方便病毒的再生与传播。

    再次查看安全防护设备的挖矿病毒的攻击记录，从挖矿记录的报文看，发现了钱包地址等信息，报文信息如下：

　　经安全服务团队应急小组分析研判，并连夜赶赴现场处置，医院业务终于恢复正常。

　　然而，本次由于病毒攻击导致的业务瘫痪事件的发生并非偶然，医院网络管理人员日常的安全意识不足，缺乏主动的风险监测手段、有效的应急响应机制，对内网资产脆弱性掌握不足等，都为内网安全埋下隐患。针对内网安全现状，迪普科技安全服务专家在第一时间也给出建议。

　　■ 安服建议

　　■ 迪普科技安全服务可针对医疗信息系统发生的网络安全事件做到第一时间的应急响应，帮助排查并解决。并可对HIS、LIS、EMR、RIS等关键业务系统进行定期的风险评估、渗透测试，以及重大活动期间的全方位保障，降低威胁事件发生的可能性及其造成的影响。同时可对网络管理人员及医护人员进行安全意识及技能培训，提升人员安全技术水平。

　　■ 迪普科技慧眼安全检测平台可对医院全网资产进行主动检测，帮助快速摸排资产，精准定位风险隐患，评估漏洞影响，及时通报并推动整改，形成安全管理闭环。

　　■ 迪普科技网络安全威胁感知大数据平台通过大数据分析能力，针对医疗行业勒索病毒频发，可实现内网病毒威胁精准检测，定位失陷主机、还原攻击过程、溯源黑客信息。以主/被动引擎检测为手段，基于深度学习模型算法、事件关联分析规则、违规及异常行为分析、威胁情报等技术，实现安全态势全方位感知，提升防护效率，降低运维成本。

　　■ 迪普科技智能安全网关集成了IPSec、SSL、GRE等多种VPN技术，支持国密算法，实现医院与卫计委、移动办公人员的统一安全接入，提供内部业务跨互联网的安全访问。

　　■ 迪普科技LSW-SE系列自安全交换机，可主动识别木马、蠕虫等病毒传播行为并实时处置，天然防止病毒传播，搭配自安全控制器的"医疗业务白名单”防护功能，可实现医技终端以及医院数据中心服务器的安全防护，天然阻断非授信访问、病毒传播、网络环路等事件。

　　■ 迪普科技IPS2000入侵防御系统具有专业的攻击检测引擎、病毒查杀引擎以及全面的特征库，可有效识别并阻断各类攻击及病毒传播行为，有效保障医院各业务系统安全稳定运行。

　　■ 迪普科技WAF3000产品可对医院各Web应用如预约挂号、在线问诊等提供全面的安全防护，如通过事前防扫描、事中防攻击及事后防篡改对黑客攻击行为提供全流程的安全防护，且针对紧急安全事件，可通过网站一键下线功能，实时中断攻击，防止安全事件进一步扩散。

　　计算机信息有共享和易于扩散等特性，在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏。面对种种危机，迪普科技一直将守护客户的网络安全视为己任，不仅推出全场景的安全检测分析及防护解决方案，同时配合风险评估、渗透测试、安全加固、运维保障等专业安全服务，全方位保障用户网络安全，为用户网络安全建设创造更大价值。