全面揭秘疫情下医疗网络安全风险!超80%健康App有高危漏洞,暴力攻击单日80万次
新冠肺炎疫情仍在持续蔓延,各国均处在抗击疫情的紧要关头。然而,不法分子却借疫情之名开展网络攻击和网络欺诈,造成恶劣影响,数字医疗网络安全也逐渐成为“抗疫第二战场”。近日,中国信息通信研究院安全研究发布了《2020数字医疗:疫情防控期间网络安全风险研究报告》(下称《报告》)。报告从公共互联网安全、移动App安全、新型医疗设备和网络攻击态势4个方面出发,解析疫情防控期间医疗领域面临的网络安全风险。
结果显示,在2月份观测的单位中,存在脆弱性的单位高达10,013家,占观测单位的62.79%。另外,数据库服务、文件服务暴露在公共互联网的医疗单位占比分别达到29.8%和28.88%,共涉及2.1万项数据资产。在医院层面,针对健康医疗行业观测共发现330个安全漏洞,涉及251家医疗单位,占全部观测对象的1.57%。
其中,私立医院风险偏高,公立医院承受攻击较多。App方面,报告团队对21,846款健康医疗行业App进行漏洞扫描,共计检测出346,974条漏洞记录,涉及61种漏洞类型,其中高危漏洞有23种。另外,84.15%健康医疗行业App存在不同程度的安全漏洞,平均每款App存在18.88个漏洞,81.24%的App存在高危漏洞。
在恶意程序方面,共有806款健康医疗App被检测出含有恶意程序,感染恶意程序App占比达到3.69%。从恶意程序类型来看,64.05%的App受到具有流氓行为的恶意程序感染。
通过对医疗网络安全风险的分析以及网络安全风险变化趋势的深度研究,报告从四个不同方面给出了工作建议,为构建和健全数字医疗网络安全体系提供思路参考。如果您想获得本报告的全文pdf,请在微信(leiphone-sz)回复关键词“317报告”提取。来源:中国信息通信研究院安全研究所《2020数字医疗:疫情防控期间网络安全风险研究报告》疫情期间医疗公网安全风险趋势研究1.数字资产暴露微降,安全隐患持续居高在2月份观测的单位中,存在脆弱性的单位高达10,013家,占观测单位的62.79%,健康医疗行业网络资产脆弱性问题仍然居高不下。注:图为三大脆弱性单位占比变化情况报告团队基于观测结果分析发现,健康医疗行业易被利用实施攻击的脆弱性主要集中在三个方面:敏感服务暴露在公共互联网(39.28%)、存在公开漏洞的低版本服务(44.39%)、可被利用的高危端口开放(49.46%)。
在本次观测中,数据库服务、文件服务暴露在公共互联网的医疗单位占比分别达到29.8%和28.88%,共涉及2.1万项数据资产。从省份分布情况来看,山东、广东、四川、江苏等省份暴露的数据服务数量最多。应用服务组件版本的及时升级是安全防护的重要手段之一。本次观测发现,有7080家单位使用存在公开漏洞的低版本组件服务,占全部观测对象的44.39%。
相比去年的观测结果,OpenSSH、MySQL、Apache、涉及的单位数量均有不同程度增加,风险形势极为严峻。注:图为观测中涉及单位最多的10个端口端口方面,从观测结果可以看到,开放MySQL端口3306的机构数量最多,随后是SSH端口22、Windows远程桌面端口3389和网络打印端口9100。值得注意的是,受此次新冠肺炎疫情影响,远程办公、远程运维等活动增加,开放远程登录端口22、3389的单位数相比2019年7月增加31.76%和34.95%,这两个端口的漏洞问题需重点关注。
2.安全漏洞修复提升,私立医院问题突出研究团队针对健康医疗行业观测发现的问题进行了渗透测试,共发现330个安全漏洞,涉及251家医疗单位,占全部观测对象的1.57%。注:图为观测对象渗透测试漏洞情况对比2019年7月,高危漏洞问题有较大幅度下降。
同时,弱密码问题也得到了缓解,由411家下降到了48家。ApacheStruts2相关漏洞呈上升态势,建议关注该服务的相关补丁信息,及时修复漏洞。
从各省存在安全漏洞单位占比情况来看,排名前四的省份分别是浙江、北京、广东、江苏。另外,研究团队重点关注了漏洞数量Top5的医疗机构——1家疾病预防控制中心,4家私立医院。
值得注意的是,4家私立医院均扫描出不同类型的高危漏洞,一定程度上反应出私立医院网络安全漏洞防护相对落后。3.僵木蠕毒风险加剧,网站篡改亟需关注为了便于分析评估疫情期间健康医疗行业遭受网络攻击的变化情况,研究团队对比了2019年11月、2020年1月、2020年2月的观测数据。注:图为各类恶意程序数量情况疫情暴发后,流氓或广告软件、与恶意主机通信、挖矿软件、漏洞利用等大部分恶意软件感染单位数量均呈现上升趋势,仅勒索软件微降。可见疫情期间,健康医疗行业面临更为严峻的网络安全态势,僵尸、木马、病毒等恶意程序感染风险更高。
在受到恶意程序感染最为严重的10家医疗机构中,8家为公立医院,2家为私立医院。这些医院感染的恶意程序总量达到907个,占到全部恶意程序样本总量的26.28%,相关医院亟需提升恶意程序监测和防护能力。根据网站篡改效果,网站篡改可分为显式篡改和隐式篡改两种。
显式篡改主要用于帮助攻击者声明自己的主张,因此篡改内容可见,如果改为非法信息,影响极其恶劣。隐式篡改的内容不可见,一般通过植入色情、博彩、诈骗等非法信息,帮助攻击者谋取非法经济利益。本次观测发现,被篡改的网站共涉及171家单位,其中篡改为博彩的网站涉及单位157个,篡改为色情的网站涉及单位18个。从网站篡改的攻击趋势来看,2020年2月网站篡改类攻击相比2019年11月明显增长,增长幅度达到44.92%,且在各类机构增长趋势基本一致。
4.私立医院风险偏高,公立医院承受攻击从数字资产三大脆弱性方面对比公立医院与私立医院可以看到,虽然公立医院和私立医院均存在较高比例的网络安全隐患,但公立医院在三大脆弱性防护方面要强于私立医院,一定程度可以反映出公立医院的安全防护意识相对私立医院更强。注:图为存在脆弱性的单位占比在安全漏洞层面,存在高危和低危安全漏洞的私立医院占比都超过公立医院。在恶意程序感染方面,公立医院受到恶意程序感染的医院数量和比例都超过私立医院,且随着新冠肺炎疫情的暴发,受恶意程序感染的单位数量呈现上升趋势,而私立医院则没有表现出类似特点。
综合以上分析可知,在网络安全风险防护方面,公立医院的安全意识和手段要强于私立医院,私立医院相较面临着更大的网络安全风险。然而,从实际攻击结果方面,公立医院被感染和植入的恶意程序更多,且随着疫情暴发呈现增长趋势,可以推断公立医院承受更多的安全攻击压力。移动医疗App安全风险评估1.以App仿冒为代表的高危漏洞风险严重报告团队对21,846款健康医疗行业App进行漏洞扫描,共计检测出346,974条漏洞记录,涉及61种漏洞类型,其中高危漏洞有23种。
健康医疗行业App中,84.15%存在不同程度的安全漏洞,平均每款App存在18.88个漏洞,81.24%的App存在高危漏洞,虽然相比2019年的88.83%有所下降,但App的高危漏洞风险仍非常严重。注:图为高危漏洞类型Top10分布从高危漏洞类型来看,存在Janus漏洞的App数量最多,占监测总数的66.08%;其次是Java代码加壳检测,占监测总数的53.89%;WebView远程代码执行漏洞排行第三,52.24%的App存在此漏洞。
攻击者可利用这些漏洞进行App仿冒、植入恶意程序、窃取用户敏感信息、攻击服务等,对App安全具有严重威胁。2.以流氓行为为代表的恶意程序感染加剧注:图为App恶意程序分布情况在恶意程序方面,共有806款健康医疗App被检测出含有恶意程序,感染恶意程序App占比达到3.69%,而2019年的感染率仅为0.86%;可见,健康医疗App恶意程序感染风险加剧。
从恶意程序类型来看,64.05%的App受到具有流氓行为的恶意程序感染。这类恶意程序会在用户未授权的情况下,任意弹出广告窗口,影响用户体验的同时,可能因误触点击导致隐私安全风险。另外,存在16.01%的App受到具有资费消耗行为的恶意程序感染,这类恶意程序会在用户不知情或未授权情况下,通过频繁连接网络等方式导致用户资费损失,具有资费消耗属性。
3.使用第三方SDK引入的安全隐患升高SDK是SoftwareDevelopmentKit的缩写,即“软件开发工具包”,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。开发者在开发过程中,为了提升效率、降低成本,往往会嵌入第三方SDK。
但是,第三方SDK存在安全漏洞、恶意程序、隐蔽收集个人信息等安全问题,嵌入第三方SDK往往会给App带来安全隐患。本次检测发现,共有9,636款健康医疗行业App嵌入了第三方SDK,占检测总数的44.11%,平均每款APP嵌入2.37个,嵌入5个及以上SDK的App占比9.88%。对比来看,2019年健康医疗行业App被嵌入第三方SDK的比例仅25.58%,可见,在健康医疗行业App中第三方SDK使用更为普遍,而SDK应用带来的安全隐患也在持续升高。4.App加固不足造成源代码暴露问题恶化基于Java编写的安卓App容易被破解暴露App源代码,进而带来App盗版、二次打包、注入等安全问题。
“安全加固”是维护App安全的重要防护手段,它能够有效阻止对App的反汇编分析。经过安全加固的App,不仅其系统稳定性得到提升,还拥有能力规避一定程度的安全风险。本次检测发现,健康医疗行业App加固比例降低至18.04%(2019年其加固比例为24.83%),有超过80%的App未进行过安全加固,安卓App源代码暴露风险进一步恶化。
疫情期间新型医疗设备应用风险分析1.疫情推动医疗设备行业创新发展在疫情防控过程中,在政府政策的推动下,行业诸多科研人才投入到了攻关创新型医疗设备中,各类结合AI技术、机器人技术的新型医疗设备逐步应用推广。例如搭载AI的专用CT机设备,能够快速识别新冠肺炎影像,大幅度降低医生阅片工作量;各类提供消毒、送餐、配药、测温、问诊、护理、陪伴、运输、超声等服务的机器人医疗设备冲上防御一线;基于5G技术的远程诊疗视频设备、超声设备、手术设备等,支撑了疫情期间的远程医疗协同、会诊、手术的高效应用。新型医疗设备在新冠肺炎疫情的推动下快速走向市场和实践。
与此同时,疫情也刺激了医疗设备市场的快速发展,据亿邦动力统计,自2020年1月1日至2月7日,全国超过3,000家企业经营范围新增了“医疗器械”业务。2.医疗设备行业安全体系亟待完善在各类新型医疗设备应用推广的同时,我们需要警惕新型医疗设备应用带来的网络安全风险。由于医疗设备的特殊性,一旦发生网络安全问题,可能直接危及患者的生命健康,造成极其严重的后果。当前,我国针对医疗设备上市后的监管主要是通过不良事件报告及召回的方式,但由于医疗设备生产企业对不良事件和其他安全问题上报不及时,导致使用单位或使用者面临巨大损失的情况时有发生。
据国家药品监督管理局在2019年10月发布的《国家医疗器械不良事件监测年度报告(2018年)》,全国医疗器械不良事件监测信息系统在2018年接收到可疑医疗器械不良事件监测报告达到40余万份。随着各类新型医疗设备的落地应用,医疗设备网络安全将面临巨大的挑战。我国针对医疗设备的网络安全监管仍处于建设期,各类医疗设备网络安全监管标准体系和机制手段需要进一步健全和完善。
疫情期间医疗网络安全攻击特征总结1.疫情相关题材网络钓鱼成为主要攻击手段新冠肺炎疫情暴发后,利用新冠肺炎相关题材的网络钓鱼攻击事件频发,成为疫情期间最为主要的网络攻击手段。研究团队基于观测数据发现,此次借助新冠肺炎疫情开展网络钓鱼的病毒木马恶意程序以文件夹病毒、蠕虫病毒、后门远控木马、后门程序木马等类型为主,并冠以“武汉肺炎”、“新型肺炎”、“冠状病毒”、“疫情动态”、“口罩厂家名单”等涉及疫情的关键字。黑产团队通过修改病毒样本名称,伪装后诱导受害者下载运行,实现窃取数据、控制用户设备等目的。以此手段开展网络钓鱼攻击的组织涉及APT组织、黑客以及黑产团伙,受攻击地域涉及中国、美国、日本等多个国家。
另外,研究团队整理网络钓鱼攻击的6个典型样本——“新型冠状病毒配方.com”、“open新型冠状病毒资料.exe”、“5名医务人员感染新型冠状病毒!!.com”、“新型冠状病毒培训班.exe”、“疫情杂物.exe”、“疫情重要事项报告.exe”,可用于全网布控和防护。2.医疗服务认证暴力破解攻击态势持续严峻春节假期是企业“封网”的休息时期,企业安全策略更新时效性相比平时较差,本身容易吸引黑客在此时期发动攻击。新冠肺炎疫情暴发后,为避免人员聚集产生的交叉传染风险,大量企事业单位延迟复工或远程办公。
企业为了员工远程办公便利,往往对外开放远程服务,直通敏感信息系统甚至办公内网。在这种情况下,认证暴力破解成为黑客最常使用的手法。
在1月31日(正月初七,即往年开工首日),黑客对医疗行业的暴力破解攻击达到了单日80万次的高峰。其中,Windows生态中的远程桌面服务RDP和数据库服务SQLServer成为受到攻击的重灾区。
注:图为医疗行业被暴力破解攻击态势从攻击源分布上看,针对腾讯云上医疗行业客户的认证暴力破解攻击超过70%来自境外125个国家。由于美国区域机房管控趋严,使得美国成为攻击源的“冷门片区”,而来自印度、俄罗斯的国家的攻击跃居前列。疫情期间网络安全工作思路建议1.强化安全标准,规范行业发展随着物联网、5G等新技术在数字医疗领域的深度应用,新型医疗设备和医疗应用不断涌现,亟需健全完善的健康医疗行业网络安全标准化体系建设。应充分利用ICT领域新技术安全应用实践经验,支撑和构建新型医疗设备和医疗应用等领域的安全标准体系,推动数字医疗与ICT融合领域安全发展。
2.持续动态监测,建立反馈闭环网络安全风险具有长期性和动态变化的特点,且不同行业的网络安全风险特点不同。因此,建立健康医疗行业维度的网络安全风险观测机制和平台十分重要。
同时,风险动态监测需要与风险反馈处置形成闭环,将监测到的安全风险尽快反馈到存在风险的医疗机构,修复相关安全漏洞或升级相关服务版本,从而有效控制和降低健康医疗行业整体的安全风险。3.加强安全培训,提高安全意识实际上,在安全观测中发现的数据服务暴露、组件版本过低以及高危端口开放等安全隐患,都直接或间接与人员网络安全意识不足存在关联。因此,应推动和加强健康医疗行业从业人员网络安全相关培训,建立健全医疗机构内部网络安全管理规章制度,从医疗信息系统安全设计研发维护、医疗设备安全操作运维管理、医疗数据安全采集存储共享等多方面、全视角规范内部安全操作流程,切实提升相关人员的网络安全意识,落实网络安全责任。
4.突出能力建设,形成长效机制健康医疗行业相关机构应提升自身网络数据安全综合防护能力,加强在网络数据安全领域的投入,建立系统化的安全保障体系,构建安全长效机制:加快推进网络安全等级保护测评工作,定位安全问题,排除安全隐患。定期开展网络安全风险评估工作,评估医疗设备、医疗信息系统安全状况,发现潜在的安全风险。
协同国家专业安全机构,建立新型医疗设备和技术的安全融合应用机制,保障数字医疗新技术的安全发展。注:文章配图均截取自《2020数字医疗:疫情防控期间网络安全风险研究报告》。
本文关键词:全面,揭秘,疫情,威九国际,下,医疗,网络安全,风险,超,80%
本文来源:威九国际-www.reynoldsandrowe.com