新冠肺炎疫情仍在持續蔓延,各國均處在抗擊疫情的緊要關頭。然而,不法分子卻借疫情之名開展網絡攻擊和網絡欺詐,造成惡劣影響,數字醫療網絡安全也逐漸成為“抗疫第二戰場”。
近日,中國信息通信研究院安全研究發佈了《2020數字醫療:疫情防控期間網絡安全風險研究報告》(下稱《報告》)。
報告從公共互聯網安全、移動 App 安全、新型醫療設備和網絡攻擊態勢 4 個方面出發,解析疫情防控期間醫療領域面臨的網絡安全風險。
結果顯示,在 2 月份觀測的單位中,存在脆弱性的單位高達 10,013 家,佔觀測單位的 62.79%。另外,數據庫服務、文件服務暴露在公共互聯網的醫療單位佔比分別達到 29.8% 和 28.88%,共涉及 2.1 萬項數據資產。
在醫院層面,針對健康醫療行業觀測共發現 330 個安全漏洞,涉及 251 家醫療單位,佔全部觀測對象的 1.57%。其中,私立醫院風險偏高,公立醫院承受攻擊較多。
App 方面,報告團隊對 21,846 款健康醫療行業 App 進行漏洞掃描,共計檢測出 346,974 條漏洞記錄,涉及 61 種漏洞類型,其中高危漏洞有 23 種。另外,84.15% 健康醫療行業 App 存在不同程度的安全漏洞,平均每款 App 存在 18.88 個漏洞,81.24% 的 App 存在高危漏洞。
在惡意程序方面,共有 806 款健康醫療 App 被檢測出含有惡意程序,感染惡意程序 App 佔比達到 3.69%。從惡意程序類型來看,64.05% 的 App 受到具有流氓行為的惡意程序感染。
通過對醫療網絡安全風險的分析以及網絡安全風險變化趨勢的深度研究,報告從四個不同方面給出了工作建議,為構建和健全數字醫療網絡安全體系提供思路參考。
如果您想獲得本報告的全文 pdf,請在雷鋒網微信(leiphone-sz)回覆關鍵詞“317報告”提取。
來源:中國信息通信研究院安全研究所《2020 數字醫療:疫情防控期間網絡安全風險研究報告》
疫情期間醫療公網安全風險趨勢研究
1.數字資產暴露微降,安全隱患持續居高
在 2 月份觀測的單位中,存在脆弱性的單位高達 10,013 家,佔觀測單位的 62.79%,健康醫療行業網絡資產脆弱性問題仍然居高不下。
雷鋒網注:圖為三大脆弱性單位佔比變化情況
報告團隊基於觀測結果分析發現,健康醫療行業易被利用實施攻擊的脆弱性主要集中在三個方面:敏感服務暴露在公共互聯網(39.28%)、存在公開漏洞的低版本服務(44.39%)、可被利用的高危端口開放(49.46%)。
在本次觀測中,數據庫服務、文件服務暴露在公共互聯網的醫療單位佔比分別達到 29.8% 和 28.88%,共涉及 2.1 萬項數據資產。從省份分佈情況來看,山東、廣東、四川、江蘇等省份暴露的數據服務數量最多。
應用服務組件版本的及時升級是安全防護的重要手段之一。本次觀測發現,有 7080 家單位使用存在公開漏洞的低版本組件服務,佔全部觀測對象的 44.39%。相比去年的觀測結果,OpenSSH、MySQL、Apache、涉及的單位數量均有不同程度增加,風險形勢極為嚴峻。
雷鋒網注:圖為觀測中涉及單位最多的 10 個端口
端口方面,從觀測結果可以看到,開放 MySQL 端口 3306 的機構數量最多,隨後是 SSH 端口 22、Windows 遠程桌面端口 3389 和網絡打印端口 9100。
值得注意的是,受此次新冠肺炎疫情影響,遠程辦公、遠程運維等活動增加,開放遠程登錄端口 22、3389 的單位數相比 2019 年 7 月增加 31.76% 和 34.95%,這兩個端口的漏洞問題需重點關注。
2.安全漏洞修復提升,私立醫院問題突出
研究團隊針對健康醫療行業觀測發現的問題進行了滲透測試,共發現 330 個安全漏洞,涉及 251 家醫療單位,佔全部觀測對象的 1.57%。
雷鋒網注:圖為觀測對象滲透測試漏洞情況
對比 2019 年 7 月,高危漏洞問題有較大幅度下降。同時,弱密碼問題也得到了緩解,由 411 家下降到了 48 家。Apache Struts2 相關漏洞呈上升態勢,建議關注該服務的相關補丁信息,及時修復漏洞。
從各省存在安全漏洞單位佔比情況來看,排名前四的省份分別是浙江、北京、廣東、江蘇。
另外,研究團隊重點關注了漏洞數量 Top5 的醫療機構——1 家疾病預防控制中心,4 傢俬立醫院。值得注意的是,4 傢俬立醫院均掃描出不同類型的高危漏洞,一定程度上反應出私立醫院網絡安全漏洞防護相對落後。
3.僵木蠕毒風險加劇,網站篡改亟需關注
為了便於分析評估疫情期間健康醫療行業遭受網絡攻擊的變化情況,研究團隊對比了 2019 年 11 月、2020 年 1 月、2020 年 2 月的觀測數據。
雷鋒網注:圖為各類惡意程序數量情況
疫情暴發後,流氓或廣告軟件、與惡意主機通信、挖礦軟件、漏洞利用等大部分惡意軟件感染單位數量均呈現上升趨勢,僅勒索軟件微降。可見疫情期間,健康醫療行業面臨更為嚴峻的網絡安全態勢,殭屍、木馬、病毒等惡意程序感染風險更高。
在受到惡意程序感染最為嚴重的 10 家醫療機構中,8 家為公立醫院,2 家為私立醫院。這些醫院感染的惡意程序總量達到 907 個,佔到全部惡意程序樣本總量的 26.28%,相關醫院亟需提升惡意程序監測和防護能力。
根據網站篡改效果,網站篡改可分為顯式篡改和隱式篡改兩種。顯式篡改主要用於幫助攻擊者聲明自己的主張,因此篡改內容可見,如果改為非法信息,影響極其惡劣。隱式篡改的內容不可見,一般通過植入色情、博彩、詐騙等非法信息,幫助攻擊者謀取非法經濟利益。
本次觀測發現,被篡改的網站共涉及 171 家單位,其中篡改為博彩的網站涉及單位 157 個,篡改為色情的網站涉及單位 18 個。
從網站篡改的攻擊趨勢來看,2020 年 2 月網站篡改類攻擊相比 2019 年 11 月明顯增長,增長幅度達到 44.92%,且在各類機構增長趨勢基本一致。
4.私立醫院風險偏高,公立醫院承受攻擊
從數字資產三大脆弱性方面對比公立醫院與私立醫院可以看到,雖然公立醫院和私立醫院均存在較高比例的網絡安全隱患,但公立醫院在三大脆弱性防護方面要強於私立醫院,一定程度可以反映出公立醫院的安全防護意識相對私立醫院更強。
雷鋒網注:圖為存在脆弱性的單位佔比
在安全漏洞層面,存在高危和低危安全漏洞的私立醫院佔比都超過公立醫院。在惡意程序感染方面,公立醫院受到惡意程序感染的醫院數量和比例都超過私立醫院,且隨著新冠肺炎疫情的暴發,受惡意程序感染的單位數量呈現上升趨勢,而私立醫院則沒有表現出類似特點。
綜合以上分析可知,在網絡安全風險防護方面,公立醫院的安全意識和手段要強於私立醫院,私立醫院相較面臨著更大的網絡安全風險。然而,從實際攻擊結果方面,公立醫院被感染和植入的惡意程序更多,且隨著疫情暴發呈現增長趨勢,可以推斷公立醫院承受更多的安全攻擊壓力。
移動醫療 App 安全風險評估
1.以 App 仿冒為代表的高危漏洞風險嚴重
報告團隊對 21,846 款健康醫療行業 App 進行漏洞掃描,共計檢測出 346,974 條漏洞記錄,涉及 61 種漏洞類型,其中高危漏洞有 23 種。
健康醫療行業 App 中,84.15% 存在不同程度的安全漏洞,平均每款 App 存在 18.88 個漏洞,81.24% 的 App 存在高危漏洞,雖然相比 2019 年的 88.83% 有所下降,但 App 的高危漏洞風險仍非常嚴重。
雷鋒網注:圖為高危漏洞類型 Top10 分佈
從高危漏洞類型來看,存在 Janus 漏洞的 App 數量最多,佔監測總數的 66.08%;其次是 Java 代碼加殼檢測,佔監測總數的 53.89%;WebView 遠程代碼執行漏洞排行第三,52.24% 的 App 存在此漏洞。
攻擊者可利用這些漏洞進行 App 仿冒、植入惡意程序、竊取用戶敏感信息、攻擊服務等,對 App 安全具有嚴重威脅。
2.以流氓行為為代表的惡意程序感染加劇
雷鋒網注:圖為 App 惡意程序分佈情況
在惡意程序方面,共有 806 款健康醫療 App 被檢測出含有惡意程序,感染惡意程序 App 佔比達到 3.69%,而 2019 年的感染率僅為 0.86%;可見,健康醫療 App 惡意程序感染風險加劇。
從惡意程序類型來看,64.05% 的 App 受到具有流氓行為的惡意程序感染。這類惡意程序會在用戶未授權的情況下,任意彈出廣告窗口,影響用戶體驗的同時,可能因誤觸點擊導致隱私安全風險。
另外,存在 16.01% 的 App 受到具有資費消耗行為的惡意程序感染,這類惡意程序會在用戶不知情或未授權情況下,通過頻繁連接網絡等方式導致用戶資費損失,具有資費消耗屬性。
3.使用第三方 SDK 引入的安全隱患升高
SDK 是 Software Development Kit 的縮寫,即“軟件開發工具包”,它是輔助開發某一類應用軟件的相關文檔、範例和工具的集合。
開發者在開發過程中,為了提升效率、降低成本,往往會嵌入第三方 SDK。但是,第三方 SDK 存在安全漏洞、惡意程序、隱蔽收集個人信息等安全問題,嵌入第三方 SDK 往往會給 App 帶來安全隱患。
本次檢測發現,共有 9,636 款健康醫療行業 App 嵌入了第三方 SDK,佔檢測總數的 44.11%,平均每款 APP 嵌入 2.37 個,嵌入 5 個及以上 SDK 的 App 佔比 9.88%。
對比來看,2019 年健康醫療行業 App 被嵌入第三方 SDK 的比例僅 25.58%,可見,在健康醫療行業 App 中第三方 SDK 使用更為普遍,而 SDK 應用帶來的安全隱患也在持續升高。
4.App 加固不足造成源代碼暴露問題惡化
基於 Java 編寫的安卓 App 容易被破解暴露 App 源代碼,進而帶來 App 盜版、二次打包、注入等安全問題。
“安全加固”是維護 App 安全的重要防護手段,它能夠有效阻止對 App 的反彙編分析。經過安全加固的 App,不僅其系統穩定性得到提升,還擁有能力規避一定程度的安全風險。
本次檢測發現,健康醫療行業 App 加固比例降低至 18.04%(2019 年其加固比例為 24.83%),有超過 80% 的 App 未進行過安全加固,安卓 App 源代碼暴露風險進一步惡化。
疫情期間新型醫療設備應用風險分析
1.疫情推動醫療設備行業創新發展
在疫情防控過程中,在政府政策的推動下,行業諸多科研人才投入到了攻關創新型醫療設備中,各類結合 AI 技術、機器人技術的新型醫療設備逐步應用推廣。
例如搭載 AI 的專用 CT 機設備,能夠快速識別新冠肺炎影像,大幅度降低醫生閱片工作量;各類提供消毒、送餐、配藥、測溫、問診、護理、陪伴、運輸、超聲等服務的機器人醫療設備衝上防禦一線;基於 5G 技術的遠程診療視頻設備、超聲設備、手術設備等,支撐了疫情期間的遠程醫療協同、會診、手術的高效應用。
新型醫療設備在新冠肺炎疫情的推動下快速走向市場和實踐。與此同時,疫情也刺激了醫療設備市場的快速發展,據億邦動力統計,自 2020 年 1 月 1 日至 2 月 7 日,全國超過 3,000 家企業經營範圍新增了“醫療器械”業務。
2.醫療設備行業安全體系亟待完善
在各類新型醫療設備應用推廣的同時,我們需要警惕新型醫療設備應用帶來的網絡安全風險。由於醫療設備的特殊性,一旦發生網絡安全問題,可能直接危及患者的生命健康,造成極其嚴重的後果。
當前,我國針對醫療設備上市後的監管主要是通過不良事件報告及召回的方式,但由於醫療設備生產企業對不良事件和其他安全問題上報不及時,導致使用單位或使用者面臨巨大損失的情況時有發生。
據國家藥品監督管理局在 2019 年 10 月發佈的《國家醫療器械不良事件監測年度報告(2018 年)》,全國醫療器械不良事件監測信息系統在 2018年接收到可疑醫療器械不良事件監測報告達到 40 餘萬份。
隨著各類新型醫療設備的落地應用,醫療設備網絡安全將面臨巨大的挑戰。我國針對醫療設備的網絡安全監管仍處於建設期,各類醫療設備網絡安全監管標準體系和機制手段需要進一步健全和完善。
疫情期間醫療網絡安全攻擊特徵總結
1.疫情相關題材網絡釣魚成為主要攻擊手段
新冠肺炎疫情暴發後,利用新冠肺炎相關題材的網絡釣魚攻擊事件頻發,成為疫情期間最為主要的網絡攻擊手段。
研究團隊基於觀測數據發現,此次藉助新冠肺炎疫情開展網絡釣魚的病毒木馬惡意程序以文件夾病毒、蠕蟲病毒、後門遠控木馬、後門程序木馬等類型為主,並冠以“武漢肺炎”、“新型肺炎”、“冠狀病毒”、“疫情動態”、“口罩廠家名單”等涉及疫情的關鍵字。
黑產團隊通過修改病毒樣本名稱,偽裝後誘導受害者下載運行,實現竊取數據、控制用戶設備等目的。以此手段開展網絡釣魚攻擊的組織涉及 APT 組織、黑客以及黑產團伙,受攻擊地域涉及中國、美國、日本等多個國家。
另外,研究團隊整理網絡釣魚攻擊的 6 個典型樣本——“新型冠狀病毒配方.com”、“open新型冠狀病毒資料.exe”、“5 名醫務人員感染新型冠狀病毒!!.com”、“新型冠狀病毒培訓班.exe”、“疫情雜物.exe”、“疫情重要事項報告.exe”,可用於全網布控和防護。
2.醫療服務認證暴力破解攻擊態勢持續嚴峻
春節假期是企業“封網”的休息時期,企業安全策略更新時效性相比平時較差,本身容易吸引黑客在此時期發動攻擊。
新冠肺炎疫情暴發後,為避免人員聚集產生的交叉傳染風險,大量企事業單位延遲復工或遠程辦公。企業為了員工遠程辦公便利,往往對外開放遠程服務,直通敏感信息系統甚至辦公內網。在這種情況下,認證暴力破解成為黑客最常使用的手法。
在 1 月 31 日(正月初七,即往年開工首日),黑客對醫療行業的暴力破解攻擊達到了單日 80 萬次的高峰。其中,Windows 生態中的遠程桌面服務 RDP 和數據庫服務 SQLServer 成為受到攻擊的重災區。
雷鋒網注:圖為醫療行業被暴力破解攻擊態勢
從攻擊源分佈上看,針對騰訊雲上醫療行業客戶的認證暴力破解攻擊超過 70% 來自境外 125 個國家。由於美國區域機房管控趨嚴,使得美國成為攻擊源的“冷門片區”,而來自印度、俄羅斯的國家的攻擊躍居前列。
疫情期間網絡安全工作思路建議
1.強化安全標準,規範行業發展
隨著物聯網、5G 等新技術在數字醫療領域的深度應用,新型醫療設備和醫療應用不斷湧現,亟需健全完善的健康醫療行業網絡安全標準化體系建設。
應充分利用 ICT 領域新技術安全應用實踐經驗,支撐和構建新型醫療設備和醫療應用等領域的安全標準體系,推動數字醫療與 ICT 融合領域安全發展。
2.持續動態監測,建立反饋閉環
網絡安全風險具有長期性和動態變化的特點,且不同行業的網絡安全風險特點不同。因此,建立健康醫療行業維度的網絡安全風險觀測機制和平臺十分重要。
同時,風險動態監測需要與風險反饋處置形成閉環,將監測到的安全風險儘快反饋到存在風險的醫療機構,修復相關安全漏洞或升級相關服務版本,從而有效控制和降低健康醫療行業整體的安全風險。
3.加強安全培訓,提高安全意識
實際上,在安全觀測中發現的數據服務暴露、組件版本過低以及高危端口開放等安全隱患,都直接或間接與人員網絡安全意識不足存在關聯。
因此,應推動和加強健康醫療行業從業人員網絡安全相關培訓,建立健全醫療機構內部網絡安全管理規章制度,從醫療信息系統安全設計研發維護、醫療設備安全操作運維管理、醫療數據安全採集存儲共享等多方面、全視角規範內部安全操作流程,切實提升相關人員的網絡安全意識,落實網絡安全責任。
4.突出能力建設,形成長效機制
健康醫療行業相關機構應提升自身網絡數據安全綜合防護能力,加強在網絡數據安全領域的投入,建立系統化的安全保障體系,構建安全長效機制:
加快推進網絡安全等級保護測評工作,定位安全問題,排除安全隱患。
定期開展網絡安全風險評估工作,評估醫療設備、醫療信息系統安全狀況,發現潛在的安全風險。
協同國家專業安全機構,建立新型醫療設備和技術的安全融合應用機制,保障數字醫療新技術的安全發展。
雷鋒網注:文章配圖均截取自《2020 數字醫療:疫情防控期間網絡安全風險研究報告》
參考資料:http://www.caict.ac.cn/xwdt/ynxw/202003/t20200316_276945.htm
閱讀更多 雷鋒網 的文章
