医疗资安面临数据外泄、OT安全等巨大挑战_技术

近几年，勒索病毒肆虐攻击造成多数企业、单位营运重大损失。以往勒索病毒大多以乱q打鸟方式，让使用者在网页浏览、下载文件时，点选信件恶意连结时遭受感染，再以快速加密方式让用户的文件、图片无法启动，必须藉由付赎金才能解锁。但是近期，针对式的攻击事件越来越多，目标式主动攻击，藉由先设靶后扩散方式，潜伏在单位内网进行渗透与收集数据，伺机发起攻击。此外，许多单位与个人计算机仍使用已不支持更新的旧版本Win7系统，这也是重大资安风险来源。

2019年9月多家医院也纷纷遭受勒索软件攻击，主要是黑客先入侵健保VPN网络，透过卫福部的电子病历交换系统EEC，在EEC Gateway植入勒索病毒Globeimposter3.0（图1），并藉由健保 VPN 传输，先潜伏植入院内【OT 的环控主机】，再伺机窥探对Windows Server 同步发动攻击。由于 EEC 所用 VPN 网络为各大医院自主管理与共享之内部网络，并未分割 VLAN，造成该勒索病毒得以急速扩散。

图1：医院遭受ECC 攻击示意图

医疗资安范围不仅限于IT环境，还需包含OT

以目前台湾多数医院大楼来说，组织非常庞大，有些还将复健、儿童医疗、急重症、癌症中心、健康医学各自独立，光是使用的服务器设备可能都将近上百台，更不用谈及要管理的各式各样设备可能要到数万台。面对这些设备，要管理就是一门学问了；如果还要将各院区、各大楼间的网络、无线网络、联外网络、终端网络和各点间联系的VPN进行把关审核的动作，无疑又是一个大挑战。一般医院都是藉由防火墙设备、入侵设备、邮件防护设备、流量侦测或身分识别来管理所有网络的进出。不过医院该注重的资安范围不只是IT，还包括内部OT（OperaTIon Technology）安全（图2），为了推动智能医疗、加速医疗数据的传输与分析，医院势必采用可联机的医疗仪器，但这也成为资安隐忧。医疗资安防护不只要把个人计算机和服务器管理好，还要注重医疗仪器的资安检测，比如护理工作车、计算机断层扫描设备、医疗检测仪器等。

图2：卫福部也开始推动医疗OT资安检测

医疗领域资安问题广，数据外泄、OT安全也是挑战

2018年台积电遭遇勒索病毒事件，不仅为高科技业带来警惕，也让OT领域的安全问题浮上台面，而医院也有这类问题要去面对（图3），例如：

1. 医疗院所的计算机主机 *** 作系统老旧问题

医疗院所的部分客户端计算机中，还存在有系统及硬件老旧的状况，甚至连新版本的防病毒软件都无法支持，这些都应该是医疗业必须正视的问题。

2. 无法支持新版防病毒软件

许多的恶意攻击程序是透过 *** 作系统的漏洞渗透执行。所以使用无法更新作业版本的老旧系统须尽速汰换，并应安装合法的防病毒软件，或至少更新至Windows 10 并开启内建之Windows defender进行防护。

3. 医疗仪器设备的漏洞修补

要求委外厂商将相关OT设备（如：包括麻醉机、呼吸机、心电图仪器、数字 X 光摄影、核子医学设备、透析机等…等）之韧体更新至最新版本。使用物联网设备时，应确实检视设备所提供的功能，并设定用户所能存取之权限。

4. 其他

独立使用链接健保署VPN之计算机，应与任何连结形式之因特网区隔，如：有线网络链接、无线网络链接及透过手机上网连结。此外，也要避免透过远程联机之方式来维护医院连结中央医疗体系专用VPN的计算机。

图3：关注所有OT设备联网安全性

透由OTS-600对内网层层的防御，提高医疗网络安全保障

随着资安威胁的增加、环境的变化，现阶段面对的资安威胁与以往已大不相同，如OT（ OperaTIon Technology）环境与IoT（Internet of Things）设备，已经成为黑客、恶意软件的攻击目标，医院必须寻求新世代的资安产品来解决新型态的资安威胁，而众至也推出第一款OTS-600内网防护设备，协助用户面对可能的资安挑战。

高规硬件设计

为了确保联机的安全，ShareTech OT产品支持多种形式的Internet和SCADA连接，包括以太网，WiFi，3G / 4G，串行（RS-232 / 485）。它们还具有工业外形尺寸，包括DIN导轨安装，桌上型设备外观，24V DC电源输入，并支持最苛刻部署的宽温度范围。

强化OT网络流量检视

众至OT设备可在既有的网络环境中侦测流量是否带有恶意活动，例如：有外部非允许使用者透过非法的远程登录，接触到各医疗大楼；或者是用户的计算机遭到恶意软件的渗透与感染，让黑客可以透过内部的网络骇到生产制造区。ShareTech OT设备可以执行被动的监控、侦测、鉴识与反应等作业，收集所有IT、OT网络的封包与讯号，并采用深度封包检测（DPI）方式进行比对，分析每个通讯协议中是否有出现异常的数据。

打造区块防护，强化内网安全

为了强化内网安全，必须将医疗体系网络分割成更小的『区块防护』，将防御的机制更深入至内网监测网络流量，如有攻击者侵入团队成员时，他们应该无法在网络上四处活动进入到单位敏感主机（病患数据库）。OT防护设备能侦测出这些试图存取用户常规活动以外系统的动作，并发出相应的警告讯息，更可藉由与交换器协同作战封锁来自恶意活动威胁或BOT渗透攻击。

完整内网协同防御机制

为了强化内网的安全，我们整合交换器与无线基地台管理接口，藉由ShareTech OT管理接口执行统一控管，ShareTech OT设备除了侦查网关端流量的进与出，同时可向下延伸到交换器与无线基地台。让所有经过有线／无线接取网络服务的装置，都得接受ShareTech OT控管，才得以顺利存取到所需的资源。

众至把内网与外网的安全整合在一起进行管控，即形成资安三剑客之解决方案，透过整合交换器及AP，将L2层级的信息整合至防火墙上，就可以确认交换器上每个Port的流量、联机的成员以及网络的阶层拓朴图等；AP部份不仅可以看到无线的使用者，还能当作AP控制器，统一派送SSID、密码等数据，无须个别登入每台AP去做设定，加上搭配防火墙异常流量、IPS机制，当异常发生时，除了在防火墙上的封锁之外，再结合交换器直接封闭来源网络孔，避免有问题的装置持续在内网扩散。

远程访问安全

开越多的对外服务Port，代表把自己暴露在外的风险因素增加，所以对于已知的联机对象，不管对方是使用动态或是固定 IP 地址，都可以利用防火墙普遍有的IPSec VPN，建立安全的VPN 信道传递信息，而不需要以Port 的方式达成联机的需求。

OPC入侵防御机制

收集所有IT、OT网络的封包与讯号，并且采用深度封包检测（DPI）的方式进行比对，分析通讯协议当中的每个层级，掌握出现异常数据的行为。所有异常事件都会完整记录，透过记录查询可以掌握事件发生的时间、来源、目的与攻击类型，方便管理者日后追踪。

Virtual Patch防护

为避免客户重要主机遭受零时差攻击，ShareTech OT解决方案中亦具备虚拟补丁（Virtual Patch）能力，在医疗机台 *** 作系统或软件还未获原厂修补更新之前，可针对性地防范漏洞的入侵Virtual Patch，避免医院的医疗设备已经没人维护，漏洞百出，ShareTech OT安全网关防护设备替你把关。

统整成威胁情报-战情室

威胁情报-战情室让OT和IT管理者都能完整了解所有数据传递的架构，透过OT和IT的装置数据进行收集，且会记录所有风险类型数据，可以让OT管理者了解厂域网络安全状况。当有资安事件发生时，可透过详细的风险记录分析启动鉴识调查。此外，提供整个OT网络的运作设备状态能见度，显示其IP和资产内容、显示设备之间使用的具体协议，并突显潜在风险。