DNS:nCompass为医疗行业信息安全穿上“铠甲”

一、行业警示

新医改背景下,国家从战略高度将信息化建设定义为深化医药卫生体制改革的“四梁八柱”之一,不断出台推动医院信息化发展的政策和举措,为医院信息化建设注入强劲动力。

医院数据涉及个人健康隐私,利益面广泛,往往是黑客觊觎的“大金库”。近年来国内外新闻上不乏某医院系统被植入升级版勒索病后瘫痪;某信息系统遭受黑客攻击,导致系统大面积瘫痪、院内诊疗流程无法正常运转的新闻。随着国家及行业层面对信息安全重视程度越来越高,医院防患于未然的意识和能力均得到了大幅度提升,但仍然会出现因为信息管理人员的疏忽或者安全意识缺乏,导致医院信息系统“中招”。

2020年10月3日,美国阿拉巴马州一名9个月大的女婴意外死亡后,孩子的母亲对婴儿出生的医院提起诉讼,声称医院没有披露其网络系统被攻击导致护理调配异常,最终造成了婴儿死亡的后果。这一事件再次表明,网络攻击的影响后果不仅仅是数据、财产、声誉的损失,甚至会造成生命的损失。

2020年4月29日,北京一家医疗机构的新冠病检测相关数据被黑客以4比特币的价格公开售卖,被出售的数据包括150MB的实验室研究成果以及检测技术源代码等。

Web3公司Bictory Finance将在Concordium主网推出域名服务CNS:9月21日消息,Web3公司Bictory Finance宣布将在Concordium主网上推出域名服务“Concordium Name Service”,用户可以使用.ccd后缀的域名作为去中心化网站名并替代长字符串钱包地址,旨在简化交易和 Dapp 交互,据悉,CNS域名注册服务将收取订阅费和网络费两笔费用,但Bictory Finance允许域名持有者从域名二级销售中获得版税收入。(CrowdFund insider)[2022/9/21 7:10:31]

2022年4月28日北京健康宝遭遇Rippr黑客团伙攻击。

以上事件说明,医疗行业的数据安全已不容小视,须引起医疗信息行业高度重视。

二、行业痛点

1、稳定性及故障预警要求高

医院信息系统,尤其是核心系统,都是7x24小时全年不能停机的,最大的维护时间窗只有半小时左右,否则就会影响患者排队就医。业务的特殊性决定了对网络连续性的要求以及对网络安全的保障程度要求较高。

2、现有安全产品瓶颈与不足防火墙

防火墙作为边缘安全设备,医院部署的防火墙,域内存在大量不合理及宽泛的安全策略,近年来国家对防火墙宽泛策略有明确等保要求,需要快速找出不合理策略,收敛宽泛、无效策略,但是人工梳理难度大,且无法验证对现有业务影响,开启对应策略的日志又会严重消耗性能且不够灵活。运维团队面对防火墙策略现状束手无策,策略维护加重了运维负担。另外,医院需要对防火墙进行配置变更时,人工配置容易失误,比如产生防火墙原端口映射配置未删除及策略下发错误严重影响医院就诊的问题。安全事件发生后,院方希望第一时间自动过滤出事件相关的防火墙策略,然而策略配置还是防火墙自身问题所导致,由于缺乏数据支持难以判断。

SushiSwap下降的锁仓量被转移至Bancor:金色财经报道,据Debank数据显示,流动性挖矿项目SushiSwap的锁仓量在过去一日下降近40%,达约6.5亿美元,按锁仓量计算排名回落至第八位。而据金色观察,SushiSwap下降的锁仓量转移到了bancor。[2020/11/24 21:55:51]

3、日志管理及审计设备

医院的数据中心运营着大量医疗系统,日常运维监控需要对医疗系统和信息审计进行日志收集,部分医院有自己的日志管理平台,但展示效果不灵活,对分布的WAF节点和众多的安全事件,也难以做到统一便捷的展示,不能结合异常期间的流量数据做到根因定位,无法对高频攻击做到统计分析,不利于医院做后续针对性的防护。

4、安全代理设备

基于医院业务性能扩展及安全考虑,医院的大量负载设备采用的全代理模式通常会对客户端地址进行源地址转换,因此存在转换前后通讯进行关联的难题,另外,医疗系统与调度平台之间的映射关系难以梳理,对攻击路径溯源和人工排查造成较大阻碍。

5、泛洪攻击流量难以回溯和定位

当医院网络面临DDoS类攻击时,如果查看该网卡的发包数在快速增加,导致损耗大量的网络带宽,引起网络堵塞,就会造成广播风暴。传统的NPM由于广播攻击流量和包数巨大难以做到正常的解析和回溯。

Encode Club创始人:因存在重复计算 DeFi真实总锁仓价值或只有35亿美元:8月17日,Encode Club创始人Damir Bandalo在推特上表示,其统计了前15个DeFi 协议,实际DeFi总锁仓价值或只有35亿美元。

因为DeFi的可组合特性,难以统计其真实锁仓价值。比如,ETH存入MakerDAO,然后铸成DAI。DAI可以去Curve.Finance,放入ycurve中。这样锁仓价值就被计算了多次。具体而言,ETH存入MakerDAO计算了一次;DAI存入ycurve又计算了一次;当进入ycurve后,其使用的ytokens来自iearn.finance,这是第三次;目前ytokens并没有真正的转换收益率,而是将其存入Aave,这是第四次;如果再将ycrv放入Uniswap,这就是第五次。[2020/8/17]

6、DNS安全缺乏防护手段

医院业务系统大部分采用域名方式对外提供服务,因此容易遭受基于主机耗尽型的DNS攻击,攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名,被攻击的DNS服务器在接收到域名解析请求时首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定数量就会造成DNS服务器解析域名超时,影响正常的域名业务访问。由于缺乏防护和异常访问统计手段,导致这类问题的事后处理被动,效率较低。

动态 | Ravencoin抗Asic升级已完成 算力下降6倍:Ravencoin(RVN)定于北京时间10月2日升级已完成,去Asic化已完成。此前报道,Ravencoin(RVN)此次升级将算法更改为X16R的升级版X16Rv2。改变算法的目的是为了阻止乌鸦币网络上ASIC矿机继续挖矿。升级后RVN算力已从原来的30T下降到5T左右,之前大约有83%到算力是ASIC矿机。[2019/10/2]

三、智维数据解决方案

智维数据基于多年智能分析领域和医疗行业运维服务的经验积累,对上述医疗行业安全痛点有如下实现方案:

1、流量分析0影响

通过网络旁路镜像的方式,7*24小时实时采集数据中心关键网络节点及防火墙前后的网络流量。对现有网络、应用不产生任何影响的前提下对流量进行精细化分析检查。

2、防火墙性能0影响

支持多种方式定时获取防火墙策略,如FTP、API、文件上传等,无需开启防火墙会话日志,通过获取流量+配置,实现流量与配置关联,在不影响性防火墙性能的情况下,为策略提供流量支撑。

动态 | 纽交所上市公司VMware推出区块链项目Concord:据zdnet消息,本周在拉斯维加斯举办的VMworld大会上,VMware(纽交所代码:VMW)宣布了它的区块链项目Concord。Concord被宣称为一个开源、可伸缩、节能的分散信任基础设施,用于数字共识和智能合同执行。据悉,VMware是一家虚拟化和云计算基础架构提供商。[2018/8/30]

3、多源数据统一接入管理

智维数据基于自身平台化灵活架构支持多源数据接入,包括各类医疗系统日志和审计日志的集中收集和解析,可灵活精确地实现多个平台联动和对接,通过主动获取与被动接收两种方式来对接各平台数据的数据,并接入到平台内置数据库,可实现日志的统一展示和管理。

4、异常业务路径画像

智维数据可基于负载设备的API接口获取设备配置信息,基于配置信息+流量数据,动态、可视化展现完整的业务系统网络路径。基于业务访问日志对于部分异步的业务进行数据流缝合,实现访问关系的溯源。

5、智能化分析

智维数据产品内置多种智能算法及200多种场景的智能分析知识库,当指标出现异常时,系统自动进行根因分析帮助运维人员更快的感知故障、分析故障,同时赋能运维人员数据预测、变化分析等能力。

四、使用场景

1、防火墙策略优化&故障早发现

防火墙是一种特殊编程的路由器,它作为医院网络的第一道防线,维护大量冗余策略,会占用自身性能,另外,也需要满足等保2.0要求。智维数据基于防火墙前后端流量和配置信息,通过配置梳理和流量验证,快速有效地进行策略收敛,不影响防火墙性能,满足合规检查要求,快速消除防火墙策略隐患。

同时,智维数据支持对医院内的流量数据自动定期智能化巡检。通过异常数据和特征值,发现域内存在的安全隐患,包括:高危端口扫描、冰蝎、挂马、弱口令等明显存在安全隐患特征值的数据。

2、封堵验证及监控

如何验证下发的安全策略是否存在漏洞或者真实生效往往是医院头疼的问题。智维数据基于真实流量旁路采集的方式,监控实时数据,支持对已经封禁的IP和业务进行真实效果验证,若数据表格中出现有流量封禁名单中的IP即可主动发出告警,并支持根因定位分析,可明确问题导致的原因,如策略配置问题或安全设备异常等。

3、DNS攻击溯源及处置

智维数据支持对DNS设备进行深度监测,可针对医院DNS服务器和53端口对院内DNS服务器全面解析和监控,可及时监测到DNS当前访问量及响应时间是否异常,并根据异常响应码和访问成功率进行根因定位。基于告警和可视化,快速定位异常DNS攻击来源及异常请求,通知医院安全人员进行处置。

4、异常安全事件完全回溯定位

智维数据全流量分析平台可以获取全网流量,包括医院出口及内网。平台的业务画像功能可基于历史行为基线,发现新增的异常访问。与CMDB数据相结合,可针对内网出现的新增访问进行二次的检测,对异常访问实现主动监控。

智维数据支持基于流量特征及负载设备日志两种方案对异步的业务进行灵活自动关联数据流缝合,实现访问关系的溯源,可针对攻击经过的负载设备进行回溯分析。同时智维数据基于防火墙前后端流量和配置信息,可通过AI算法智能化检测经过防火墙的业务流量。实时感知业务异常并定位与事件相关的IP和策略。快速判断异常Deny行为及攻击入口,并给出安全风险提示。

基于日志和流量数据,对攻击源、地理位置、攻击类型、攻击方法等多种维度进行统计分析,将终端日志与流量路径进行关联,并针对防御策略制定提供数据支撑。

从流量、代理映射、资产、配置、日志、设备状态等多层面全方位智能分析,实现安全异常事件精准发现。

5、ARP广播风暴攻击

从实际经验来看,90%以上的网络广播风暴是病所致。智维数据拥有专门针对广播风暴攻击的高性能探针,通过Trunk口方式收集数据,只接收广播、组播、单播泛洪的流量。并且由于产品的采集口使用混杂模式,还可避免接口环路的风险。能快速处理分析当前广播域的ARP攻击来源及产生告警,并且支持将告警数据推送至第三方处置平台实现故障自愈。

6、无专家值守

智维数据基于多年的IT运维经验,将常见故障的分析思路通过Python脚本预制在系统中,当出现告警事件、隐患事件或人工需要分析时,系统可自动获取事件相关数据,并进行智能分析,输出分析报告,简洁易懂。

支持Syslog、邮件、短信、微信等告警通知形式。

总结

安全是医疗行业信息化部门极其重视的部分,本文为智维数据在安全层面的技术方案分享,除文中展示的场景外,智维数据还支持基于流量及安全事件特征进行定制化的数据溯源、分析和展示。

更多医疗行业运维场景及其他行业安全管控案例敬请垂询。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

SANDANTS:奇特的民族独特的币

今天咱们来讲一个我国古代的奇特民族,以及这个民族所建立的国家和它所使用过的独特钱币。 这个民族来源不明,号称戎狄,又叫白狄,据说是不同于中原人长相的白种人,早在春秋时代,就有关于白狄生活在今天陕.

[0:15ms0-1:64ms