2019年医院大数据安全分析与勒索病毒防护方案.pdf

1、医院大数据安全分析与勒索病毒防护方案目 录01医院信息安全现状02大数据安全分析03勒索病毒防护Contents04用户案例01医院信息安全现状内蒙古新疆甘肃四川辽宁陕西河南湖南山西北京河北山东江苏浙江上海广东湖北重庆江西福建吉林黑龙江西藏安徽金融,4%教育,7%制造业,7%政府机构,7%医疗,25%对外贸易,11%工业企业,17%互联网,16%其他,6%地域分布行业分布2019以来全国勒索攻击态势云南贵州广西青海由于部分医院信息系统存在安全风险，勒索病毒受利益驱使，依然是危害医院的主要安全风险之一。自去年7月以来，勒索病毒一直处于持续活跃的状态，其中8月份相对于7月勒索病毒传播有所加强。另外

2、在全国三甲医院中，有247家医院检出了勒索病毒，以广东、湖北、江苏等地区检出勒索病毒最多。.其中，被勒索病毒攻击的操作系统主要以Windows 7为主，Windows 10次之，以及停止更新的Windows XP。对此报告指出，当前没有及时更新操作系统的医疗机构仍占有一定的比例，这极有可能会为医疗业务带来极大的安全隐患。近期医疗行业大规模勒索病毒事件（1）以十二生肖作为后缀，“狗”生肖尚未出现GlobeImposter勒索病毒家族：2017年出现，2018年8月份演进为V3.0版本。整体特点如下:加密方法：采用RSA和AES两种加密算法的结合。-无法破解！主要的传播方式:扫描渗透+远程桌面登录

3、爆破。-粗暴实用！解密办法：暂无公开的破解方法。V3.0版本特点如下：1、将加密文件的后缀改成 动物名称+4444的样子。2、当加密完成后，除了清除远程桌面登录信息，还添加了自删除的功能，让追溯分析难度更高。为什么勒索病毒总是攻击医院？成本低、来钱快！近期医疗行业大规模勒索病毒事件（2）业务日常办公物理服务器承载工作人员Internet业务工作人员临时访客机构移动分支BYOD私有云行业云虚拟化运维人员边界：清晰模糊资产：单一多元人员：简单复杂日常办公物理服务器承载多元传统威胁以破坏为目的频率一次性破坏单个服务手段简单高级威胁获取敏感数据长期持续潜伏攻击针对机构区域和国家手段复杂隐蔽医院信息安全

4、新挑战第三方InternetFWIPSWAF事前检测事中防护事后审计依靠单点的处理能力基于特征的安全检测无法应对持续性安全风险安全设备各自为战不协同传统安全解决方案02大数据安全分析大数据安全分析整体方案基础安全能力智能安全分析平台联动响应机制安全运维和管理AILPHA大数据智能安全平台AiLPHA大数据平台知己：基于机器学习发现潜在的入侵和高隐蔽性攻击，大数据安全分析，展现全网安全态势；知彼：结合威胁情报形成一体化主动安全防御能力；形成全网的安全大数据中心，集成关键资产的日志、告警、流量；满足网络安全法存储6个月的法规要求；具备对内部恶意资产的发现与验证能力；平台功能全面可靠的数据收集能力日

5、志数据流量数据性能数据弱点数据威胁情报日志解析能力8年多的项目实践，我们支持200多个品牌，近3000多种型号设备的日志解析分析模型WebShell检测恶意提权检测僵尸主机发现渗透攻击检测恶意操作检测木马回连检测DDoS攻击检测潜伏性数据窃取0day漏洞检测异常流量检测异常业务操作异常系统登录恶意软件行为检测DGA检测垃圾邮件检测恶意访问检测安全场景模型智能机器学习态势感知外部威胁感知重点关注外部攻击来源区域和内部受攻击资产横向威胁感知重点关注内部安全域之间的违规行为和内网主机之间的病毒传播Web业务系统安全重点关注Web服务的被访问状态和受攻击情况资产外连威胁感知重点关注内网失陷主机的被远程

6、控制和回连行为内网安全视角平台运行状态监测视角企业安全门户安全设备视角AI异常分析引擎利用AI分析算法或机器学习算法对历史的安全数据进行分析建模，发现潜在的安全隐患和未知威胁，AI异常分析算法可识别数据中存在的周期性规律和异常突变AI异常分析智能联动03勒索病毒防护WannaCry家族乌克兰首都机场、国家银行、俄罗斯石油公司、中国八十多个城市遭到过攻击。能够加密113种常用类型文件。北京市委网信办、市公安局、市经信委等单位联合发布预警。Petya家族席卷全球150多个国家，能够加密178种常用类型文件Bad Rabbit家族GlobeImposter家族病毒会加密本地磁盘与共享文件夹的所有文件