2022医疗卫生行业网络安全分析报告
声明本文是学习2022医疗卫生行业网络安全分析报告.而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
研究背景
2019年12月以来,新型冠状病毒感染肺炎疫情在全国蔓延。国家卫生健康委员会为贯彻落实党中央、国务院关于新型冠状病毒感染的肺炎疫情防控工作的总体部署,充分发挥信息化在辅助疫情研判、创新诊疗模式、提升服务效率等方面的支撑作用,在总结各地典型做法的基础上,制定出台了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》国卫办规划函〔2020〕100号,要求“加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。”随着我国新型冠状病毒感染肺炎疫情逐步得到控制,社会对医疗卫生行业的信息化建设所起到的成效有目共睹,同时也暴露出我国医疗体系中的一些短板。
“十三五”将医疗卫生信息化纳入其中作为网络安全和信息化建设的重点。2020年3月5日,《中共中央国务院关于深化医疗保障制度改革的意见》(以下简称《意见》)发布,提出我国未来5年—10年医疗改革的目标和任务。医疗信息化建设有望提速,《意见》出台的新意在于“高起点推进标准化和信息化建设”和“建立管用高效的医保支付机制”。《意见》提出,高起点推进标准化和信息化建设。统一医疗保障业务标准和技术标准,建立全国统一、高效、兼容、便捷、安全的医疗保障信息系统,实现全国医疗保障信息互联互通,加强数据有序共享。
随着疫情防控的需要、信息化的不断发展与国内居民在自身健康需求关注度的逐渐提升,医疗卫生行业为了提升我国居民医疗健康的管理与服务水平,通过信息化手段例如远程诊疗、移动诊疗、医疗物联网的方式拓展了各类医疗信息化的应用场景,互联网医院的开展也改变了传统线下就诊的服务模式,云计算、大数据的不断深化应用也让医疗信息化不再受传统IT服务架构的桎梏,医疗数据的价值进一步得到提升。但是,在这背后也存在着亟待解决的一些安全风险与问题。
为了深入了解医疗卫生行业网络安全建设水平与运营现状,为医疗卫生行业各单位提升网络安全实战化保障能力提供参考依据,奇安信行业安全研究中心与医疗卫生行业一线运营团队联合编撰了《2022医疗卫生行业网络安全分析报告》。
报告从安全漏洞、运营风险、应急响应等多个维度出发,通过数据、案例等多种方式对医疗卫生行业网络安全现状展开全面分析。报告内容涉及医疗卫省行业网站2100个,应急响应事件84起,及百余起医疗卫生行业网络安全运营风险事件。
医疗卫生行业安全漏洞分析
网站是政府和企业重要的信息化平台。网站安全也是政企机构最为关注的网络安全问题之一。近年来,国内大中型政企机构的网站安全建设已然取得了巨大的进步,但安全隐患仍然普遍存在。
2021年1-12月,补天漏洞响应平台(以下简称:补天平台)共收录全国医疗卫生行业相关网站的安全漏洞2568个,占全年各类网站安全漏洞的1.8%,涉及国内医疗卫生行业网站2100个。其中,12月份收录的漏洞数量最多,为821个。
http://public.host.github5.com/media/a4c307e69ad496510605ea793f4d6bcf.png
从漏洞属性分布来看,2021年全年补天平台收录的医疗卫生行业相关网站的安全漏洞中,通用型漏洞占比0.3%,事件型漏洞占比99.7%。
http://public.host.github5.com/media/e68a7651730aa4457ea7a23d4957c24c.png
其中,通用型漏洞是指某一类系统共同存在的安全漏洞,具有一定的普适性,通常可以通过标准化方法进行检测。而事件型漏洞则是指某一个系统特有的安全漏洞,一般与系统的管理、配置不当或特殊开发过程等因素有关,一般需要通过人工挖掘来发现。
从网站的IP归属地(省级)来看,来自北京市的医疗卫生行业网站被报告漏洞数量最多,占比约为12.7%;其次是青海省,占比为9.4%;广东省排第三,占比9.1%。
http://public.host.github5.com/media/8084fc71f6a4fb76fd0eab6d94cd4e49.png
从漏洞的危险等级来看,高危漏洞占比为38.4%;中危漏洞占比为52.7%;低危漏洞占比为8.9%。
http://public.host.github5.com/media/57024fda78ee913b19c15d9a75bf45c0.png
从漏洞的技术类型来看,信息泄露漏洞最多,占比为21.7%,其次是命令执行漏洞,占比为21.0%,弱口令漏洞,占比为13.4%。具体漏洞类型分布请见下图。
http://public.host.github5.com/media/addd84042e5f41abd6768ae756c5b3bf.png
2021年全年,在补天平台收录的医疗卫生行业网站漏洞中,98.9%网站漏洞已经进行了修复,1.1%的网站漏洞未进行修复。这一修复比例,远高于补天平台平均漏洞修复率97.8%,在所有行业中,排名居前。
http://public.host.github5.com/media/18ca1ce353e1a312d4a8c9fc3019c27b.png
安全运营风险事件特征分析
安全运营风险事件
安全运营风险事件(以下简称“风险事件”)是指网络用户由于计算机系统或设备相关因素、用户自身安全意识薄弱或者遭到外部攻击入侵导致的,在网络使用过程中存在一定风险,容易造成用户损失的网络安全事件。
奇安信安全托管服务通过采集安全设备产生的网络流量、网络日志、安全日志、主机日志等数据信息,结合威胁预警情报分析发现客户侧的数据失窃密、非法连接与控制、系统破坏等行为,集合威胁情报库等信息,判定攻击来源组织、攻击工具、攻击技术、战术目标等,深度发现潜在的攻击行为和控制通道,为客户本地侧检测发现、追踪溯源、应急响应等提供技术支撑。本章内容基于奇安信安全托管服务团队数据,对2022年以来监测到的100余起典型风险事件进行了综合分析。
风险事件发生时间
下图给出了风险事件发生时间在1天24小时内的分布情况,统计显示, 09:00~10:00是风险事件最为高发的时段,在全天占比高达15.5%,其次是10:00~11:00,风险事件的发生率占全天的11.8%。此外,在14:00~15:00和16:00~17:00也是风险事件高发时段。总体来看,相较于夜间(20:00~08:00),医院在日间(08:00~20:00)更容易遭受网络攻击,日间发生的风险事件占风险事件总数的79.1%。分析认为,日间是医院业务最为繁忙的时间,接入网络和运行的各类设备、系统也最多,因此也更容易遭受各种各样的网络攻击。
http://public.host.github5.com/media/90f940a1c2b3b643c167349fab3bf722.png
从一周情况来看,周四是一周中医疗卫生行业风险事件最为高发的一天,占比为22.2%,其次在周五和周一,分别占比18.9%和17.7%。医疗卫生行业一周七天风险事件发生概率分布如下图。
http://public.host.github5.com/media/d251b73fb24f9aeef65b55bd87990677.png
从风险事件持续时长来看,攻击时长持续不到一分钟的事件占比44.6%,其中时长在1秒以内的占总量的39.1%。攻击时长在1~3分钟的事件占比13.6%,3~30分钟的事件占比9.1%。医疗卫生及行业风险事件持续时长分布如下图。
http://public.host.github5.com/media/0eced632034c3e919e116d0a6877a21f.png
风险事件攻击手法
从攻击手法来看,医疗卫生行业风险事件以漏洞利用和恶意程序为主。漏洞利用占比66.0%,恶意程序占比29.7%。,其他类型占比4.3%。
http://public.host.github5.com/media/40b766f40281274666fafe7001a96054.png
漏洞利用类型的风险事件中,弱口令漏洞占比最高,达47.8%,信息泄露漏洞占比12.6%,后门漏洞占比11.9%,未授权访问漏洞占比10.1%,暴力破解漏洞占比5.7%。弱口令依然是医疗卫生行业应该引起高度重视的安全问题。
http://public.host.github5.com/media/7454a3fa998a1be685b2264611b6ebe9.png
恶意程序类型的风险事件中,远控木马类型占比41.0%,挖矿木马类型占比24.1%,勒索病毒类型占比12.0%。具体恶意程序类型分布如下图。
http://public.host.github5.com/media/1412dc0f3b6d43c1b485b13bc81f5731.png
远控木马可以让攻击者完全控制被成功入侵的计算机设备,可以利用它完成一些甚至连用户都不能顺利进行的操作。由于要达到远程控制的目的,该种类的木马往往集成了其他功能,使得攻击者可以在计算机上为所欲为,例如可以任意访问、删除、拷贝文件等,可能使得医疗卫生行业许多敏感数据被泄露。
挖矿木马是指攻击者通过各种手段将挖矿程序植入受害者的计算机中,在用户不知情的情况下,利用受害者计算机的运算力进行挖矿,会导致用户系统资源被恶意占用和消耗、硬件寿命被缩短,会严重影响医疗卫生行业的业务运行。
除此之外,勒索病毒、僵尸网络等都是攻击者青睐的恶意程序类型的攻击手段。更有甚者,在一次风险事件中,攻击者会使用包括漏洞利用和恶意程序类型的多种手段对医疗卫生行业的网络系统进行攻击,如果不能及时监测和处置,可能会造成不可估量的业务损失,甚至会危及患者的生命。
延伸阅读
更多内容 可以2022医疗卫生行业网络安全分析报告.进一步学习
联系我们
DB52-T 1287-2018 精准扶贫 教育扶贫学生资助规程 贵州省.pdf
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]