「資安沒有 100%,唯有不斷墊高駭客攻擊的成本,才能獲 得相對性的安全」三軍總醫院資訊組系統工程組組長 林靖

三軍總醫院創立於 1946 年,是衛福部評定的醫學中心級教學醫院,長年在國家醫療上扮演重要角色,平時提供民眾醫療服務、及國防醫學院學生臨床教學與實習,戰時肩負動員支援與整合管制醫療資源之重任。

值得一提,近年三總對新科技的採納顯得積極務實,成立人工智慧暨物聯網發展中心、致力發展醫療 AIoT 與 5G 應用,盼能減輕或取代高重複性、易疲勞的人工作業,促進醫療照護轉型,提供軍人、軍眷和民眾更優質醫療服務。但在擁抱新科技的同時,三總也勤加佈局資安防護,避免因數位化而衍生破口、侵擾醫療系統的運行。

在此前提下,三總部署縝密的資安防線,包括全面封鎖外網,從裡到外佈建多達三層不同品牌防火牆,也委託外部 SOC 機構執行資安監控。

儘管做得再多,三總仍堅信不可能達到 100% 安全,所以在 2020 年導入「託管式偵測及回應」服務(MDR)、採用中芯數據提供的「意圖威脅即時鑑識服務」(IPaaS),期望藉由行為模式的偵測,及早挖掘一些經由合法管道穿透的潛在威脅。

 

判斷精準且不影響醫療系統,因而雀屏中選

三軍總醫院資訊組系統工程組組長林靖表示,有人問道既然有了 SOC 監控機制,為何費心引進MDR?此乃因為,SOC 根據防火牆、IPS、WAF 等資安設備的日誌(Log)探索蛛絲馬跡,不足以反映所有滲透入內的威脅,例如隨著郵件潛進的木馬程式,更麻煩的是,此類威脅往往先沈睡、經過一段期間才動作,不僅不會顯示於資安設備的 Log,就連沙箱也難以檢測,此時唯有藉助常駐於電腦的 MDR,才能在惡意程式觸發行動的當下,捕捉到可疑現象,以利用戶即時應變處理。另外三總編制上屬國防醫學院的教學醫院,所以不只要顧好院內的資安,亦需守護國防醫學院的資安,而學校講求學術自由,無法如三總一樣限制使用者連接 Internet,感染惡意程式的機率更高,亟需透過 MDR 嚴加防範。

林靖指出,多年前三總便已測試端點偵測及回應工具的防護成效;但三總資訊組考量近年惡意程式日益詭譎難辨,認為唯有引進 MDR,才能更進一步爭取時效、加速挖掘所有潛在威脅,於是決定在今年引進MDR 服務。

「我們不想漏掉任何一個威脅,更不想因為資安部署而干擾醫護作業,所以必須選用強效、低耗的優質 MDR」林靖表示 MDR 的導入過程,資訊組系統工程組同仁進行嚴謹測試,把曾經遭遇到的一些棘手攻擊現象當做測試腳本,以考驗眾家 MDR 產品的能耐;事實證明,中芯數據IPaaS 不僅順利通過層層試鍊,且與 HIS 和 PACS等醫療系統之間未曾出現衝突,加上對電腦資源的耗用程度極低,完全不影響醫護同仁的日常工作,更在關鍵資安事件當下,能夠第一時間提供人員分析資訊並可進行即時刪除。基於這些關鍵優勢,讓三總不僅是導入 MDR 服務成效彰顯,更猶如擁有一支資安團隊,使得中芯數據脫穎而出,獲得青睞採用。

2020 年,資訊組將 IPaaS 導入於三總院內 50 台伺服器,及國防醫學院的 600 台個人電腦,明年將繼續擴大適用範圍,一舉涵蓋醫院的 2,400 台個人電腦。針對醫院部份,三總運用資產管理系統的軟體派送機制,將 IPaaS Agent 一次植入所有納管設備,針對學校,則利用 Active Directory 執行相同派送任務,其間不論傳檔或下達 Command Line 的速度都非常快,所以在很短時間內,就完成全體納管設備的報到程序。

 

透過自動清除模式,有效根絕潛在威脅

前面提到,三總向來採取零信任原則、全面封鎖外網,因此不允許MDR 利用網際網路將蒐集到的資訊傳送至後台;為此中芯數據設計Collector 機制,可部

署於用戶端 DMZ 區,負責集中彙整所有資訊,再後送到中芯數據 CoreCloud 資安團隊執行後續分析,藉此符合三總的要求。

CoreCloud 一旦篩選出異常徵兆,即進一步深入分析,假使確認為攻擊事件,便正式開立Ticket 單,即時對三總資安人員發送告警,再執行後續刪除動作。有關清除模式分為兩種,一是「一鍵清除」、須由用戶自己發動執行,另一是「自動清除」,全權交由 IPaaS 清理;上線初期三總為求慎重,先採取一鍵清除模式,證實其間未發現任何誤判,至此贏得資安人員充份信賴,遂於兩週後轉為自動清除模式。

林靖說明,以三總為例,較常見的感染途徑為USB 隨身碟,但畢竟 USB 並非一直插在電腦上,故不見得能透過一鍵清除來剷除毒害根源,惟改採自動清除模式後,當有害的 USB 插入電腦,不論何時都能立即清理,讓資安人員為之安心。

由於 IPaaS 判斷精準,且完整揭露惡意行為軌跡,使三總資安人員不必再像從前一樣,在察覺資安事件後,需急忙從各系統調閱大量記錄、並藉由網管系統對照 IP,花一天時間還不見得處理完成一個事件,這些繁重負荷,如今可因 IPaaS 而大幅減輕。平均來說,IPaaS 每月為三總檢測出 4~5 件確切資安事件,資安人員可根據這些跡證,一方面發動現場鑑識、還原事件真相,二方面將相關樣本送交防毒軟體公司深入檢測、產出對應病毒碼,將未知威脅變成已知威脅,堪稱成效卓著。正因如此,三總不排除在日後擴大 MDR實施範疇,讓松山、北投、基隆、澎湖等四個分院一併納入保護。


Advertisement

更多 iThome相關內容