三軍總醫院藉助中芯數據，精準挖掘難 被察覺的威脅

三軍總醫院創立於 1946 年，是衛福部評定的醫學中心級教學醫院，長年在國家醫療上扮演重要角色，平時提供民眾醫療服務、及國防醫學院學生臨床教學與實習，戰時肩負動員支援與整合管制醫療資源之重任。

值得一提，近年三總對新科技的採納顯得積極務實，成立人工智慧暨物聯網發展中心、致力發展醫療 AIoT 與 5G 應用，盼能減輕或取代高重複性、易疲勞的人工作業，促進醫療照護轉型，提供軍人、軍眷和民眾更優質醫療服務。但在擁抱新科技的同時，三總也勤加佈局資安防護，避免因數位化而衍生破口、侵擾醫療系統的運行。

在此前提下，三總部署縝密的資安防線，包括全面封鎖外網，從裡到外佈建多達三層不同品牌防火牆，也委託外部 SOC 機構執行資安監控。

儘管做得再多，三總仍堅信不可能達到 100% 安全，所以在 2020 年導入「託管式偵測及回應」服務（MDR）、採用中芯數據提供的「意圖威脅即時鑑識服務」（IPaaS），期望藉由行為模式的偵測，及早挖掘一些經由合法管道穿透的潛在威脅。

判斷精準且不影響醫療系統，因而雀屏中選

三軍總醫院資訊組系統工程組組長林靖表示，有人問道既然有了 SOC 監控機制，為何費心引進MDR？此乃因為，SOC 根據防火牆、IPS、WAF 等資安設備的日誌（Log）探索蛛絲馬跡，不足以反映所有滲透入內的威脅，例如隨著郵件潛進的木馬程式，更麻煩的是，此類威脅往往先沈睡、經過一段期間才動作，不僅不會顯示於資安設備的 Log，就連沙箱也難以檢測，此時唯有藉助常駐於電腦的 MDR，才能在惡意程式觸發行動的當下，捕捉到可疑現象，以利用戶即時應變處理。另外三總編制上屬國防醫學院的教學醫院，所以不只要顧好院內的資安，亦需守護國防醫學院的資安，而學校講求學術自由，無法如三總一樣限制使用者連接 Internet，感染惡意程式的機率更高，亟需透過 MDR 嚴加防範。

林靖指出，多年前三總便已測試端點偵測及回應工具的防護成效；但三總資訊組考量近年惡意程式日益詭譎難辨，認為唯有引進 MDR，才能更進一步爭取時效、加速挖掘所有潛在威脅，於是決定在今年引進MDR 服務。

「我們不想漏掉任何一個威脅，更不想因為資安部署而干擾醫護作業，所以必須選用強效、低耗的優質 MDR」林靖表示 MDR 的導入過程，資訊組系統工程組同仁進行嚴謹測試，把曾經遭遇到的一些棘手攻擊現象當做測試腳本，以考驗眾家 MDR 產品的能耐；事實證明，中芯數據IPaaS 不僅順利通過層層試鍊，且與 HIS 和 PACS等醫療系統之間未曾出現衝突，加上對電腦資源的耗用程度極低，完全不影響醫護同仁的日常工作，更在關鍵資安事件當下，能夠第一時間提供人員分析資訊並可進行即時刪除。基於這些關鍵優勢，讓三總不僅是導入 MDR 服務成效彰顯，更猶如擁有一支資安團隊，使得中芯數據脫穎而出，獲得青睞採用。

2020 年，資訊組將 IPaaS 導入於三總院內 50 台伺服器，及國防醫學院的 600 台個人電腦，明年將繼續擴大適用範圍，一舉涵蓋醫院的 2,400 台個人電腦。針對醫院部份，三總運用資產管理系統的軟體派送機制，將 IPaaS Agent 一次植入所有納管設備，針對學校，則利用 Active Directory 執行相同派送任務，其間不論傳檔或下達 Command Line 的速度都非常快，所以在很短時間內，就完成全體納管設備的報到程序。

透過自動清除模式，有效根絕潛在威脅

前面提到，三總向來採取零信任原則、全面封鎖外網，因此不允許MDR 利用網際網路將蒐集到的資訊傳送至後台；為此中芯數據設計Collector 機制，可部

署於用戶端 DMZ 區，負責集中彙整所有資訊，再後送到中芯數據 CoreCloud 資安團隊執行後續分析，藉此符合三總的要求。

CoreCloud 一旦篩選出異常徵兆，即進一步深入分析，假使確認為攻擊事件，便正式開立Ticket 單，即時對三總資安人員發送告警，再執行後續刪除動作。有關清除模式分為兩種，一是「一鍵清除」、須由用戶自己發動執行，另一是「自動清除」，全權交由 IPaaS 清理；上線初期三總為求慎重，先採取一鍵清除模式，證實其間未發現任何誤判，至此贏得資安人員充份信賴，遂於兩週後轉為自動清除模式。

林靖說明，以三總為例，較常見的感染途徑為USB 隨身碟，但畢竟 USB 並非一直插在電腦上，故不見得能透過一鍵清除來剷除毒害根源，惟改採自動清除模式後，當有害的 USB 插入電腦，不論何時都能立即清理，讓資安人員為之安心。

由於 IPaaS 判斷精準，且完整揭露惡意行為軌跡，使三總資安人員不必再像從前一樣，在察覺資安事件後，需急忙從各系統調閱大量記錄、並藉由網管系統對照 IP，花一天時間還不見得處理完成一個事件，這些繁重負荷，如今可因 IPaaS 而大幅減輕。平均來說，IPaaS 每月為三總檢測出 4~5 件確切資安事件，資安人員可根據這些跡證，一方面發動現場鑑識、還原事件真相，二方面將相關樣本送交防毒軟體公司深入檢測、產出對應病毒碼，將未知威脅變成已知威脅，堪稱成效卓著。正因如此，三總不排除在日後擴大 MDR實施範疇，讓松山、北投、基隆、澎湖等四個分院一併納入保護。