当前位置:首页 > 新闻中心 > 行业新闻 >

暴力攻击单日80万次,全面揭秘疫情下医疗网络安全风险!

点击次数:2020-03-17 20:49:45【打印】【关闭】

新冠肺炎疫情仍在持续蔓延,各国均处在抗击疫情的紧要关头。然而,不法分子却借疫情之名开展网络攻击和网络欺诈,造成恶劣影响,数字医疗网络安全也逐渐成为“抗疫第二

新冠肺炎疫情仍在持续蔓延,各国均处在抗击疫情的紧要关头。然而,不法分子却借疫情之名开展网络攻击和网络欺诈,造成恶劣影响,数字医疗网络安全也逐渐成为“抗疫第二战场”。

近日,中国信息通信研究院安全研究发布了《2020数字医疗:疫情防控期间网络安全风险研究报告》(下称《报告》)。


报告从公共互联网安全、移动 App 安全、新型医疗设备和网络攻击态势 4 个方面出发,解析疫情防控期间医疗领域面临的网络安全风险。

结果显示,在 2 月份观测的单位中,存在脆弱性的单位高达 10,013 家,占观测单位的 62.79%。另外,数据库服务、文件服务暴露在公共互联网的医疗单位占比分别达到 29.8% 和 28.88%,共涉及 2.1 万项数据资产。

在医院层面,针对健康医疗行业观测共发现 330 个安全漏洞,涉及 251 家医疗单位,占全部观测对象的 1.57%。其中,私立医院风险偏高,公立医院承受攻击较多。

App 方面,报告团队对 21,846 款健康医疗行业 App 进行漏洞扫描,共计检测出 346,974 条漏洞记录,涉及 61 种漏洞类型,其中高危漏洞有 23 种。另外,84.15% 健康医疗行业 App 存在不同程度的安全漏洞,平均每款 App 存在 18.88 个漏洞,81.24% 的 App 存在高危漏洞。

在恶意程序方面,共有 806 款健康医疗 App 被检测出含有恶意程序,感染恶意程序 App 占比达到 3.69%。从恶意程序类型来看,64.05% 的 App 受到具有流氓行为的恶意程序感染。

通过对医疗网络安全风险的分析以及网络安全风险变化趋势的深度研究,报告从四个不同方面给出了工作建议,为构建和健全数字医疗网络安全体系提供思路参考。

如果您想获得本报告的全文 pdf,请在雷锋网微信公众号(leiphone-sz)回复关键词“317报告”提取。

来源:中国信息通信研究院安全研究所《2020 数字医疗:疫情防控期间网络安全风险研究报告》

疫情期间医疗公网安全风险趋势研究

1.数字资产暴露微降,安全隐患持续居高

在 2 月份观测的单位中,存在脆弱性的单位高达 10,013 家,占观测单位的 62.79%,健康医疗行业网络资产脆弱性问题仍然居高不下。


雷锋网注:图为三大脆弱性单位占比变化情况

报告团队基于观测结果分析发现,健康医疗行业易被利用实施攻击的脆弱性主要集中在三个方面:敏感服务暴露在公共互联网(39.28%)、存在公开漏洞的低版本服务(44.39%)、可被利用的高危端口开放(49.46%)。

在本次观测中,数据库服务、文件服务暴露在公共互联网的医疗单位占比分别达到 29.8% 和 28.88%,共涉及 2.1 万项数据资产。从省份分布情况来看,山东、广东、四川、江苏等省份暴露的数据服务数量最多。

应用服务组件版本的及时升级是安全防护的重要手段之一。本次观测发现,有 7080 家单位使用存在公开漏洞的低版本组件服务,占全部观测对象的 44.39%。相比去年的观测结果,OpenSSH、MySQL、Apache、涉及的单位数量均有不同程度增加,风险形势极为严峻。


雷锋网注:图为观测中涉及单位最多的 10 个端口

端口方面,从观测结果可以看到,开放 MySQL 端口 3306 的机构数量最多,随后是 SSH 端口 22、Windows 远程桌面端口 3389 和网络打印端口 9100。

值得注意的是,受此次新冠肺炎疫情影响,远程办公、远程运维等活动增加,开放远程登录端口 22、3389 的单位数相比 2019 年 7 月增加 31.76% 和 34.95%,这两个端口的漏洞问题需重点关注。

2.安全漏洞修复提升,私立医院问题突出

研究团队针对健康医疗行业观测发现的问题进行了渗透测试,共发现 330 个安全漏洞,涉及 251 家医疗单位,占全部观测对象的 1.57%。


雷锋网注:图为观测对象渗透测试漏洞情况

对比 2019 年 7 月,高危漏洞问题有较大幅度下降。同时,弱密码问题也得到了缓解,由 411 家下降到了 48 家。Apache Struts2 相关漏洞呈上升态势,建议关注该服务的相关补丁信息,及时修复漏洞。

从各省存在安全漏洞单位占比情况来看,排名前四的省份分别是浙江、北京、广东、江苏。

另外,研究团队重点关注了漏洞数量 Top5 的医疗机构——1 家疾病预防控制中心,4 家私立医院。值得注意的是,4 家私立医院均扫描出不同类型的高危漏洞,一定程度上反应出私立医院网络安全漏洞防护相对落后。

3.僵木蠕毒风险加剧,网站篡改亟需关注

为了便于分析评估疫情期间健康医疗行业遭受网络攻击的变化情况,研究团队对比了 2019 年 11 月、2020 年 1 月、2020 年 2 月的观测数据。


雷锋网注:图为各类恶意程序数量情况

疫情暴发后,流氓或广告软件、与恶意主机通信、挖矿软件、漏洞利用等大部分恶意软件感染单位数量均呈现上升趋势,仅勒索软件微降。可见疫情期间,健康医疗行业面临更为严峻的网络安全态势,僵尸、木马、病毒等恶意程序感染风险更高。

在受到恶意程序感染最为严重的 10 家医疗机构中,8 家为公立医院,2 家为私立医院。这些医院感染的恶意程序总量达到 907 个,占到全部恶意程序样本总量的 26.28%,相关医院亟需提升恶意程序监测和防护能力。

根据网站篡改效果,网站篡改可分为显式篡改和隐式篡改两种。显式篡改主要用于帮助攻击者声明自己的主张,因此篡改内容可见,如果改为非法信息,影响极其恶劣。隐式篡改的内容不可见,一般通过植入色情、博彩、诈骗等非法信息,帮助攻击者谋取非法经济利益。

本次观测发现,被篡改的网站共涉及 171 家单位,其中篡改为博彩的网站涉及单位 157 个,篡改为色情的网站涉及单位 18 个。

从网站篡改的攻击趋势来看,2020 年 2 月网站篡改类攻击相比 2019 年 11 月明显增长,增长幅度达到 44.92%,且在各类机构增长趋势基本一致。

4.私立医院风险偏高,公立医院承受攻击

从数字资产三大脆弱性方面对比公立医院与私立医院可以看到,虽然公立医院和私立医院均存在较高比例的网络安全隐患,但公立医院在三大脆弱性防护方面要强于私立医院,一定程度可以反映出公立医院的安全防护意识相对私立医院更强。


雷锋网(公众号:雷锋网)注:图为存在脆弱性的单位占比

在安全漏洞层面,存在高危和低危安全漏洞的私立医院占比都超过公立医院。在恶意程序感染方面,公立医院受到恶意程序感染的医院数量和比例都超过私立医院,且随着新冠肺炎疫情的暴发,受恶意程序感染的单位数量呈现上升趋势,而私立医院则没有表现出类似特点。

综合以上分析可知,在网络安全风险防护方面,公立医院的安全意识和手段要强于私立医院,私立医院相较面临着更大的网络安全风险。然而,从实际攻击结果方面,公立医院被感染和植入的恶意程序更多,且随着疫情暴发呈现增长趋势,可以推断公立医院承受更多的安全攻击压力。

移动医疗 App 安全风险评估

1.以 App 仿冒为代表的高危漏洞风险严重

报告团队对 21,846 款健康医疗行业 App 进行漏洞扫描,共计检测出 346,974 条漏洞记录,涉及 61 种漏洞类型,其中高危漏洞有 23 种。

健康医疗行业 App 中,84.15% 存在不同程度的安全漏洞,平均每款 App 存在 18.88 个漏洞,81.24% 的 App 存在高危漏洞,虽然相比 2019 年的 88.83% 有所下降,但 App 的高危漏洞风险仍非常严重。


雷锋网注:图为高危漏洞类型 Top10 分布

从高危漏洞类型来看,存在 Janus 漏洞的 App 数量最多,占监测总数的 66.08%;其次是 Java 代码加壳检测,占监测总数的 53.89%;WebView 远程代码执行漏洞排行第三,52.24% 的 App 存在此漏洞。

攻击者可利用这些漏洞进行 App 仿冒、植入恶意程序、窃取用户敏感信息、攻击服务等,对 App 安全具有严重威胁。

2.以流氓行为为代表的恶意程序感染加剧


雷锋网注:图为 App 恶意程序分布情况

在恶意程序方面,共有 806 款健康医疗 App 被检测出含有恶意程序,感染恶意程序 App 占比达到 3.69%,而 2019 年的感染率仅为 0.86%;可见,健康医疗 App 恶意程序感染风险加剧。

从恶意程序类型来看,64.05% 的 App 受到具有流氓行为的恶意程序感染。这类恶意程序会在用户未授权的情况下,任意弹出广告窗口,影响用户体验的同时,可能因误触点击导致隐私安全风险。

另外,存在 16.01% 的 App 受到具有资费消耗行为的恶意程序感染,这类恶意程序会在用户不知情或未授权情况下,通过频繁连接网络等方式导致用户资费损失,具有资费消耗属性。

3.使用第三方 SDK 引入的安全隐患升高

SDK 是 Software Development Kit 的缩写,即“软件开发工具包”,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。

开发者在开发过程中,为了提升效率、降低成本,往往会嵌入第三方 SDK。但是,第三方 SDK 存在安全漏洞、恶意程序、隐蔽收集个人信息等安全问题,嵌入第三方 SDK 往往会给 App 带来安全隐患。

本次检测发现,共有 9,636 款健康医疗行业 App 嵌入了第三方 SDK,占检测总数的 44.11%,平均每款 APP 嵌入 2.37 个,嵌入 5 个及以上 SDK 的 App 占比 9.88%。

对比来看,2019 年健康医疗行业 App 被嵌入第三方 SDK 的比例仅 25.58%,可见,在健康医疗行业 App 中第三方 SDK 使用更为普遍,而 SDK 应用带来的安全隐患也在持续升高。

4.App 加固不足造成源代码暴露问题恶化

基于 Java 编写的安卓 App 容易被破解暴露 App 源代码,进而带来 App 盗版、二次打包、注入等安全问题。

“安全加固”是维护 App 安全的重要防护手段,它能够有效阻止对 App 的反汇编分析。经过安全加固的 App,不仅其系统稳定性得到提升,还拥有能力规避一定程度的安全风险。

本次检测发现,健康医疗行业 App 加固比例降低至 18.04%(2019 年其加固比例为 24.83%),有超过 80% 的 App 未进行过安全加固,安卓 App 源代码暴露风险进一步恶化。

疫情期间新型医疗设备应用风险分析

1.疫情推动医疗设备行业创新发展

在疫情防控过程中,在政府政策的推动下,行业诸多科研人才投入到了攻关创新型医疗设备中,各类结合 AI 技术、机器人技术的新型医疗设备逐步应用推广。

例如搭载 AI 的专用 CT 机设备,能够快速识别新冠肺炎影像,大幅度降低医生阅片工作量;各类提供消毒、送餐、配药、测温、问诊、护理、陪伴、运输、超声等服务的机器人医疗设备冲上防御一线;基于 5G 技术的远程诊疗视频设备、超声设备、手术设备等,支撑了疫情期间的远程医疗协同、会诊、手术的高效应用。

新型医疗设备在新冠肺炎疫情的推动下快速走向市场和实践。与此同时,疫情也刺激了医疗设备市场的快速发展,据亿邦动力统计,自 2020 年 1 月 1 日至 2 月 7 日,全国超过 3,000 家企业经营范围新增了“医疗器械”业务。

2.医疗设备行业安全体系亟待完善

在各类新型医疗设备应用推广的同时,我们需要警惕新型医疗设备应用带来的网络安全风险。由于医疗设备的特殊性,一旦发生网络安全问题,可能直接危及患者的生命健康,造成极其严重的后果。

当前,我国针对医疗设备上市后的监管主要是通过不良事件报告及召回的方式,但由于医疗设备生产企业对不良事件和其他安全问题上报不及时,导致使用单位或使用者面临巨大损失的情况时有发生。

据国家药品监督管理局在 2019 年 10 月发布的《国家医疗器械不良事件监测年度报告(2018 年)》,全国医疗器械不良事件监测信息系统在 2018年接收到可疑医疗器械不良事件监测报告达到 40 余万份。

随着各类新型医疗设备的落地应用,医疗设备网络安全将面临巨大的挑战。我国针对医疗设备的网络安全监管仍处于建设期,各类医疗设备网络安全监管标准体系和机制手段需要进一步健全和完善。

疫情期间医疗网络安全攻击特征总结

1.疫情相关题材网络钓鱼成为主要攻击手段

新冠肺炎疫情暴发后,利用新冠肺炎相关题材的网络钓鱼攻击事件频发,成为疫情期间最为主要的网络攻击手段。

研究团队基于观测数据发现,此次借助新冠肺炎疫情开展网络钓鱼的病毒木马恶意程序以文件夹病毒、蠕虫病毒、后门远控木马、后门程序木马等类型为主,并冠以“武汉肺炎”、“新型肺炎”、“冠状病毒”、“疫情动态”、“口罩厂家名单”等涉及疫情的关键字。

黑产团队通过修改病毒样本名称,伪装后诱导受害者下载运行,实现窃取数据、控制用户设备等目的。以此手段开展网络钓鱼攻击的组织涉及 APT 组织、黑客以及黑产团伙,受攻击地域涉及中国、美国、日本等多个国家。

另外,研究团队整理网络钓鱼攻击的 6 个典型样本——“新型冠状病毒配方.com”、“open新型冠状病毒资料.exe”、“5 名医务人员感染新型冠状病毒!!.com”、“新型冠状病毒培训班.exe”、“疫情杂物.exe”、“疫情重要事项报告.exe”,可用于全网布控和防护。

2.医疗服务认证暴力破解攻击态势持续严峻

春节假期是企业“封网”的休息时期,企业安全策略更新时效性相比平时较差,本身容易吸引黑客在此时期发动攻击。

新冠肺炎疫情暴发后,为避免人员聚集产生的交叉传染风险,大量企事业单位延迟复工或远程办公。企业为了员工远程办公便利,往往对外开放远程服务,直通敏感信息系统甚至办公内网。在这种情况下,认证暴力破解成为黑客最常使用的手法。

在 1 月 31 日(正月初七,即往年开工首日),黑客对医疗行业的暴力破解攻击达到了单日 80 万次的高峰。其中,Windows 生态中的远程桌面服务 RDP 和数据库服务 SQLServer 成为受到攻击的重灾区。


雷锋网注:图为医疗行业被暴力破解攻击态势

从攻击源分布上看,针对腾讯云上医疗行业客户的认证暴力破解攻击超过 70% 来自境外 125 个国家。由于美国区域机房管控趋严,使得美国成为攻击源的“冷门片区”,而来自印度、俄罗斯的国家的攻击跃居前列。

疫情期间网络安全工作思路建议

1.强化安全标准,规范行业发展

随着物联网、5G 等新技术在数字医疗领域的深度应用,新型医疗设备和医疗应用不断涌现,亟需健全完善的健康医疗行业网络安全标准化体系建设。

应充分利用 ICT 领域新技术安全应用实践经验,支撑和构建新型医疗设备和医疗应用等领域的安全标准体系,推动数字医疗与 ICT 融合领域安全发展。

2.持续动态监测,建立反馈闭环

网络安全风险具有长期性和动态变化的特点,且不同行业的网络安全风险特点不同。因此,建立健康医疗行业维度的网络安全风险观测机制和平台十分重要。

同时,风险动态监测需要与风险反馈处置形成闭环,将监测到的安全风险尽快反馈到存在风险的医疗机构,修复相关安全漏洞或升级相关服务版本,从而有效控制和降低健康医疗行业整体的安全风险。

3.加强安全培训,提高安全意识

实际上,在安全观测中发现的数据服务暴露、组件版本过低以及高危端口开放等安全隐患,都直接或间接与人员网络安全意识不足存在关联。

因此,应推动和加强健康医疗行业从业人员网络安全相关培训,建立健全医疗机构内部网络安全管理规章制度,从医疗信息系统安全设计研发维护、医疗设备安全操作运维管理、医疗数据安全采集存储共享等多方面、全视角规范内部安全操作流程,切实提升相关人员的网络安全意识,落实网络安全责任。

4.突出能力建设,形成长效机制

健康医疗行业相关机构应提升自身网络数据安全综合防护能力,加强在网络数据安全领域的投入,建立系统化的安全保障体系,构建安全长效机制:

加快推进网络安全等级保护测评工作,定位安全问题,排除安全隐患。
定期开展网络安全风险评估工作,评估医疗设备、医疗信息系统安全状况,发现潜在的安全风险。
协同国家专业安全机构,建立新型医疗设备和技术的安全融合应用机制,保障数字医疗新技术的安全发展。 

浏览相关内容: