您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[奇安信]:2022医疗卫生行业网络安全分析报告 - 发现报告
当前位置:首页/行业研究/报告详情/

2022医疗卫生行业网络安全分析报告

医药生物2022-11-30奇安信九***
2022医疗卫生行业网络安全分析报告

https://www.qianxin.com 2022 医疗卫生行业 网络安全分析报告 THEREPORT 发布机构: 奇安信行业安全研究中心 补天漏洞响应平台 奇安信安全托管团队 奇安信安服团队 安全内参 主要观点 医疗卫生行业网络安全建设水平在近年来得到了快速提升。以补天平台收录的医疗卫生行业网站漏洞为例,网站漏洞修复率高达98.9%,显著高于平均水平97.8%,在所有行业中排名居前。同时,针对行业应急响应事件的分析也显示,96.4%的事件是医疗卫生行业机构自主发现的,这一水平也较前些年有显著提升。 弱口令问题仍是困扰医疗卫生行业网络安全建设的痛点和难点。行业网站漏洞中,弱口令占有13.4%;在运营风险事件中,弱口令事件占30.0%。同时,弱口令问题也是网络安全应急响应事件重要诱因。 数据安全已经成为医疗卫生行业网络安全建设不容忽视的重要一环。例如,在行业网站漏洞中,信息泄露漏洞占21.7%;在运营风险事件中,信息泄露事件占12.6%;在行业网络安全应急响应事件中,有7.1%的攻击者是为了窃取重要数据,最终导致数据丢失和数据被篡改等损失的事件占到了所有应急响应事件的近四成。 恶意程序和漏洞利用是医疗卫生行业面临的最主要的网络安全风险。这两种类型风险在所有运营风险事件中占比95.7%,在网络安全应急响应事件中占比76.2%,是攻击者最为青睐的攻击手段。一旦攻击成功,将会造成不可估量的损失,甚至威胁患者的生命安全:2021年,在美国就出现了首例因勒索软件攻击直接导致个人死亡的网络安全事件。 信息化设备的日常规范使用和管理应当引起医疗卫生行业的高度重视。在行业网络安全应急响应事件中,有16.7%并不是由网络攻击事件触发,而是由于机构内部运营故障、操作失误或管理疏失所造成的。这也表明,网络安全工作与业务运营密不可分的。文中第四章第二节,就是鲜活典型案例。 摘要 2021年全年,补天漏洞响应平台共收录全国医疗卫生行业相关网站的安全漏洞 2568个,占全年各类网站安全漏洞的1.8%。 医疗卫生行业网站漏洞中,通用型漏洞占比0.3%,事件型漏洞占比99.7%。 从网站的IP归属地(省级)来看,来自北京市的医疗卫生行业网站被报告漏洞数量最多,占比约为12.7%;其次是青海省,占比为9.4%;广东省排第三,占比9.1%。 医疗卫生行业网站漏洞中,高危漏洞占比38.4%;中危漏洞占比52.7%;低危漏洞占比8.9%。 医疗卫生行业网站漏洞中,信息泄露漏洞占比最高,达21.7%,其次是命令执行漏洞,占比21.0%,弱口令占比13.4%。 相较于夜间(20:00~08:00),医院在日间(08:00~20:00)更容易遭受网络攻击,日间发生的风险事件占风险事件总数的79.1%。 从一周情况来看,周四是一周中医疗卫生行业风险事件最为高发的一天,占比为22.2%,其次在周五和周一,分别占比18.9%和17.7%。 从医疗卫生行业风险事件持续时长来看,攻击时长持续不到一分钟的事件占比44.6%,其中时长在1秒以内的占总量的39.1%。 医疗卫生行业风险事件以漏洞利用和恶意程序为主。漏洞利用占比66.0%,恶意程序占比29.7%。,其他类型占比4.3%。 在医疗卫生行业漏洞利用类型的风险事件中,弱口令漏洞占比最高,达47.8%,信 息泄露漏洞占比12.6%,后门漏洞占比11.9%,未授权访问漏洞占比10.1%,暴力破解漏洞占比5.7%。 在医疗卫生行业恶意程序类型的风险事件中,远控木马类型占比41.0%,挖矿木马类型占比24.1%,勒索病毒类型占比12.0%。 2021年全年,奇安信安服团队共参与处置医疗卫生行业网络安全应急响应事件84起。其中,相关机构自行发现的网络安全事件占96.4%,16.7%是通过内部安全运营巡检的方式自主查出,79.7%是因为其网络系统已经出现了显著的入侵迹象,或者已遭到了攻击者的敲诈勒索。由监管机构、主管单位、第三方平台通报处置的网络安全事件占3.6%。 医疗卫生行业网络安全应急响应事件的影响范围中,业务专网设备占比81.0%,互联网设备占比19.0%。 从医疗卫生行业网络安全应急响应事件的攻击者意图来看,敲诈勒索和黑产活动占比最高,占比分别为51.2%和25.0%。同时,有7.1%是为了窃取重要数据,还有3.6%属于内部违规。 对2021年医疗卫生行业安全事件攻击类型进行分析,排名前三的类型分别是:恶意程序占比46.4%;漏洞利用占比29.8%;钓鱼邮件占比3.6%。在恶意程序中,木马攻击(非蠕虫病毒)占比51.3%,蠕虫病毒攻击占比48.7%。 在2021年的医疗卫生行业的网络安全应急响应事件中,有16.7%并非是由网络攻击事件触发的。 从医疗卫生行业被攻陷系统的损失来看,数据丢失占比最高,达29.8%;其次是系统/网络不可用,占比16.7%;生产效率低下排第三,占比11.9%。 关键词:医疗卫生行业、安全漏洞、风险事件、应急响应 C目ONT录ENTS 研究背景01 第一章医疗卫生行业安全漏洞分析03 第二章安全运营风险事件特征分析08 一、安全运营风险事件08 二、风险事件发生时间08 三、风险事件攻击手法11 第三章医疗卫生行业应急响应形势分析13 第四章医疗卫生行业应急响应典型案例17 一、某三甲医院部分内网设备被勒索加密17 二、某三级综合医院部分电脑C盘文件无端被删18 三、某专科医院内网大规模感染蠕虫病毒19 四、某三甲医院内网爆发永恒之蓝病毒20 五、某三甲医院内网服务器感染勒索病毒21 六、某三甲医院内网出现大量异常流量被网警通报23 附录一2021全球医疗卫生行业十大网络安全事件24 附录二作者简介29 20 22 网络安医全疗分卫析生报行告业 研究背景 2019年12月以来,新型冠状病毒感染肺炎疫情在全国蔓延。国家卫生健康委员会为贯彻落实党中央、国务院关于新型冠状病毒感染的肺炎疫情防控工作的总体部署,充分发挥信息化在辅助疫情研判、创新诊疗模式、提升服务效率等方面的支撑作用,在总结各地典型做法的基础上,制定出台了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》国卫办规划函〔2020〕100号,要求“加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。”随着我国新型冠状病毒感染肺炎疫情逐步得到控制,社会对医疗卫生行业的信息化建设所起到的成效有目共睹,同时也暴露出我国医疗体系中的一些短板。 “十三五”将医疗卫生信息化纳入其中作为网络安全和信息化建设的重点。2020年3月5日,《中共中央国务院关于深化医疗保障制度改革的意见》(以下简称《意见》)发布,提出我国未来5年—10年医疗改革的目标和任务。医疗信息化建设有望提速,《意见》出台的新意在于“高起点推进标准化和信息化建设”和“建立管用高效的医保支付机制”。《意见》提出,高起点推进标准化和信息化建设。统一医疗保障业务标准和技术标准,建立全国统一、高效、兼容、便捷、安全的医疗保障信息系统,实现全国医疗保障信息互联互通,加强数据有序共享。 随着疫情防控的需要、信息化的不断发展与国内居民在自身健康需求关注度的逐渐提升,医疗卫生行业为了提升我国居民医疗健康的管理与服务水平,通过信息化手段例如远程诊疗、移动诊疗、医疗物联网的方式拓展了各类医疗信息化的应用场景,互联网医院的开展也改变了传统线下就诊的服务模式,云计算、大数据的不断深化应用也让医疗信息化不再受传统IT服务架构的桎梏,医疗数据的 01 价值进一步得到提升。但是,在这背后也存在着亟待解决的一些安全风险与问题。 为了深入了解医疗卫生行业网络安全建设水平与运营现状,为医疗卫生行业各单位提升网络安全实战化保障能力提供参考依据,奇安信行业安全研究中心与医疗卫生行业一线运营团队联合编撰了《2022医疗卫生行业网络安全分析报告》。 报告从安全漏洞、运营风险、应急响应等多个维度出发,通过数据、案例等多种方式对医疗卫生行业网络安全现状展开全面分析。报告内容涉及医疗卫省行业网站2100个,应急响应事件84起,及百余起医疗卫生行业网络安全运营风险事件。 02 20 22 网络安医全疗分卫析生报行告业 医疗卫生行第业一安章全漏洞分析 网站是政府和企业重要的信息化平台。网站安全也是政企机构最为关注的网络安全问题之一。近年来,国内大中型政企机构的网站安全建设已然取得了巨大的进步,但安全隐患仍然普遍存在。 2021年1-12月,补天漏洞响应平台(以下简称:补天平台)共收录全国医疗卫生行业相关网站的安全漏洞2568个,占全年各类网站安全漏洞的1.8%,涉及国内医疗卫生行业网站2100个。其中,12月份收录的漏洞数量最多,为821个。 03 从漏洞属性分布来看,2021年全年补天平台收录的医疗卫生行业相关网站的安全漏洞中,通用型漏洞占比0.3%,事件型漏洞占比99.7%。 其中,通用型漏洞是指某一类系统共同存在的安全漏洞,具有一定的普适性,通常可以通过标准化方法进行检测。而事件型漏洞则是指某一个系统特有的安全漏洞,一般与系统的管理、配置不当或特殊开发过程等因素有关,一般需要通过人工挖掘来发现。 从网站的IP归属地(省级)来看,来自北京市的医疗卫生行业网站被报告漏洞数量最多,占比约为12.7%;其次是青海省,占比为9.4%;广东省排第三,占比9.1%。 05 20 22 网络安医全疗分卫析生报行告业 从漏洞的危险等级来看,高危漏洞占比为38.4%;中危漏洞占比为52.7%;低危漏洞占比为8.9%。 06 从漏洞的技术类型来看,信息泄露漏洞最多,占比为21.7%,其次是命令执行漏洞,占比为21.0%,弱口令漏洞,占比为13.4%。具体漏洞类型分布请见下图。 2021年全年,在补天平台收录的医疗卫生行业网站漏洞中,98.9%网站漏洞已经进行了修复,1.1%的网站漏洞未进行修复。这一修复比例,远高于补天平台平均漏洞修复率97.8%,在所有行业中,排名居前。 07 20 22 网络安医全疗分卫析生报行告业 安全运营风第险二事章件特征分析 一、安全运营风险事件 安全运营风险事件(以下简称“风险事件”)是指网络用户由于计算机系统或设备相关因素、用户自身安全意识薄弱或者遭到外部攻击入侵导致的,在网络使用过程中存在一定风险,容易造成用户损失的网络安全事件。 奇安信安全托管服务通过采集安全设备产生的网络流量、网络日志、安全日志、主机日志等数据信息,结合威胁预警情报分析发现客户侧的数据失窃密、非法连接与控制、系统破坏等行为,集合威胁情报库等信息,判定攻击来源组织、攻击工具、攻击技术、战术目标等,深度发现潜在的攻击行为和控制通道,为客户本地侧检测发现、追踪溯源、应急响应等提供技术支撑。本章内容基于奇安信安全托管服务团队数据,对2022年以来监测到的100余起典型风险事件进行了综合分析。 二、风险事件发生时间 下图给出了风险事件发生时间在1天24小时内的分布情况,统计显示, 08 09:00~10:00是风险事件最为高发的时段,在全天占比高达15.5%,其次是 10:00~11:00,风险事件的发生率占全天的11.8%。此外,在14:00~15: 00和16:00~17:00也是风险事件高发时段。总体来看,相较于夜间(20: 00~08:00),医院在日间(08:00~20:00)更容易遭受网络攻击,日间发生的风险事件占风险事件总数的79.1%。分析认为,日间是医院业务最为繁忙的时间,接入网络和运行的各类设备、系统也最多,因此也更容易遭受各种各样的网络攻击。 从一周情况来看,周四是一周中医疗卫生行业风险事件最为高发的一天,占比为22.2%,其次在周五和周一,分别占比18.9%和17.7%。医疗卫生行