彰化基督教醫院資安中心資安長粘良祁指出,今年6月發生主機連線異常事件後,立即擴大MDR安裝範圍,終於找出問題主機。主機負責人也立即重新安裝作業系統和服務。

圖片來源: 

攝影/王若樸

「未知才是最可怕的!」彰化基督教醫院資安中心資安長粘良祁指出,今年2月,他開始導入託管式偵測及回應(MDR)的POC驗證,先鎖定資安中心主機。結果6月時,發現院內主機連線異常、卻找不出原因。當時,他緊急擴大導入MDR,終於在3臺主機上找到同一來源的木馬病毒,也完成清除作業。這次經驗,讓他意識到醫療IT系統維護合約的重要,彰基也持續大力推動醫療聯防架構,從防毒、無線網路和防火牆著手。

2月開始導入資安服務POC驗證,也是之後揪出病毒的關鍵

談到資安工作,粘良祁認為,就算系統已完成更新、防毒軟體已經安裝,就連上網功能也已封鎖,還是不能掉以輕心。他以自家發生的事件為例,今年2月,彰基規畫導入MDR服務,開始與委外廠商在彰基資安中心數十臺主機進行POC驗證。

一切看似正常,但就在6月23日,卻突然收到主機異常連線的通知,「我們的DBA發了封Email給大家,詢問是誰嘗試連線資料庫但登入失敗;」這封Email中,還附上了7個可疑IP。奇怪的是,粘良祁檢查這7個IP,卻未發現任何問題。於是,他馬上找來資安廠商,緊急擴大MDR安裝範圍,要揪出問題所在。

隔天,他們在院內30幾臺主機安裝了MDR軟體,當下就發現其中3臺感染木馬病毒,「且三支病毒來自同個IP,」當天也立即啟動緊急處理作業。而這些中毒的主機,其中包含掛號主機,「由於它只單純啟動服務、不儲存任何重要資料,」因此,團隊在當天晚上就直接重新安裝、解決問題了。

然而,如果是儲存重要資料、屬於重要服務的系統,就得注意是否簽署維護合約。粘良祁指出,由於彰基有些系統未簽署維護合約,團隊得額外花時間向服務供應商請教,來驗證病毒是否清理完畢。所幸驗證完後,就沒發現病毒存在了。

除了在院內30多臺主機安裝MDR,後來也擴大到100臺,也未發現新感染的主機。

防患未然,持續推動體系內醫療資安聯防

「彰基伺服器上約有500多個IP,是否還暗藏木馬病毒?」他指出,防患未然的解法,就是目前正在推動的體系醫院資安聯防架構,可分為防毒、無線網路、防火牆等三大部分。粘良祁指出,防毒聯防架構又分為三部分,也就是客戶端電腦(Client)和進階持續性威脅(APT)、入侵防護(IPS)、安全傳輸協定加解密(SSL),「去年已完成第一部分,今年要完成IPS,明年則是SSL。」

至於無線網路聯防,則是要設計一個機制,來阻擋透過無線網路且未通過認證的使用者。最後的防火牆聯防,則是透過對內網的嚴格掌控,來避免臺灣醫界去年發生的電子病歷(EEC)勒索病毒事件。文◎王若樸

 

熱門新聞


Advertisement