三軍總醫院醫療資訊組系統工程組組長 林靖

在攻擊手法進化、入侵管道多元下,邊界防禦難以全方位杜絕威脅入侵。三軍總醫院採取多元防護機制並進的策略,擴大整體資安防護縱深,搭配建立SIEM方式,即時分析異常網路行為,全力實踐降低資安事件衝擊、保護病患隱私的目標。

在提供病患更佳醫療服務的前提下,運用多種創新科技打造智慧醫療環境,已成為世界各國醫療產業的共通目標。不過,當原本封閉醫療環境結合資通訊產品之後,若沒有同步強化資安防護機制,將給予駭客更多可趁之機。在保護病患隱私、符合國防部資安政策的前提下,三軍總醫院在積極發展智慧醫療之外,也採取資安縱深防禦的策略,運用Fortinet FortiSIEM打造SIEM平台,整合醫院內部各種資安設備產生的資料,主動挖掘可能的潛在資安威脅,全力杜絕資料外洩事件發生。

三軍總醫院醫療資訊組系統工程組組長林靖説,擁有大量病患就醫資料的醫院,向來是駭客鎖定的主要攻擊目標之一。在現今攻擊手法多變下、入侵管道多元下,不可能僅仰賴單一品牌、單一種防禦機制,即達成保護重要醫療資料安全的目的。我們採取多品牌資安產品相互搭配的策略,而Fortinet FortiSIEM可整合各品牌資安設備的資料,同時進行歸納與分類的工作,讓資安團隊能快速掌握院內最新資安現況,並針對威脅採取最合適的因應策略,對於提升整體防護力帶來極大幫助。

惡意程式進化快速 建立SIEM平台刻不容緩

成立至今已有65年歷史的三軍總醫院,是獲得衛福部評定之醫學中心級教學醫院,負有臨床醫療、教學與研究之責,醫療服務對象為現役軍人、軍眷及一般民眾。該院平時除提供民眾醫療服務及國防醫學院學生臨床教學與實習外,戰時還負有動員支援及整合管制醫療資源的任務,且配合國家政策陸續接收澎湖、基隆、松山、北投、臺北門診中心等五個分院,持續提供軍民最優質的醫療服務。

三軍總醫院在編制上屬國防醫學院之教學醫院,平時對資訊安全就非常重視,加上屬於國家關鍵基礎設施等級中的A級單位,因此資安防護策略上比其他醫院更為嚴謹。如在邊界防護上,採取多品牌相互搭配的機制,以強化偵測異常網路事件、惡意軟體的能力。另外,針對擁有大量機敏資料的醫療院區,採取實體網路隔離的機制,阻斷所有設備的連外網路,若同仁有存取外部資源需求時,都必須透過特定公用電腦或虛擬桌面執行。

林靖指出,在資安防護策略中,同仁也不能直接讀取院外的隨身碟。外部隨身碟必須先經過專屬資安電腦檢測後,再將資料複製資安電腦上,最後轉存到院內專屬的隨身碟後,才能在院內電腦上使用。儘管透過前述多種政策搭配,已經將惡意軟體入侵機率降到最低,但是我們認為仍然需要一套可監控醫院內部網路安全的機制,才能及時回應無孔不入的資安威脅。因此,2019年我們開始規劃建置SIEM平台,而經過完整的POC測試之後,最終決定引進Fortinet FortiSIEM平台。

多種部署模式 兼顧資安與隱私

誠如前述,在配合資安防護政策下,三軍總醫院的基礎網路架構非常特殊,同時存在可連網環境、內部醫療網路及實體隔離環境,所以在選擇合適 SIEM 平台的過程也相對繁瑣。首先,SIEM平台必須可串連院內所有的資安設備,以便彙整大量資安訊息,並傳到外部資安業者的平台上,由SOC團隊進行即時分析與解讀。此外,針對內部醫療網路與實體網路隔離的環境,該SIEM平台也需具備落地安裝版本,方便公司內部資安團隊進行監控。而在市面上眾多SIEM平台中,僅有Fortinet FortiSIEM平台在性價比上符合三軍總醫院的要求。

Fortinet FortiSIEM平台支援超過 400 種設備,可收集跨品牌資安與網路設備各種資訊與記錄,包括日誌、效能指標、SNMP Traps、資安告警、組態變更等資訊,且會解析、處理轉換為相同格式的事件,方便SOC團隊進行監看、即時搜尋、自動關聯規則。除分析與管理所有的資安事件與記錄外,資安團隊也可透過此平台,即時監看掌握網路與設備效能資訊與可用性。

「對於採取實體隔離環境的醫療院區,我們不可能為將資安資料送到外部合作夥伴,而開通特定的網路埠。若真採取此種做法,就失去實體網路隔離的目的,也額外增加需要防護的通道。」林靖解釋:「藉由Fortinet FortiSIEM平台協助下,現今資安團隊可即時進行監控,能在察覺異常網路行為的第一時間,立即採取因對措施外,將資安事件影響程度降到最低。」

降低團隊工作負擔 規劃引進SOAR方案

透過採取實體網路隔離機制,結合禁止存取外部隨身碟的作法,理論上可以防堵威脅入侵,但是在惡意程式自我隱藏能力進步下,難保不會有漏網之魚出現。因為,專屬資安電腦檢測外部隨身碟是採取特徵碼比對方式,若惡意程式剛問世不久,確實有可能躲過此階段的檢測。不過即便入侵醫療院區的網路環境,也因為採取實體網路隔離政策,惡意程式也因失去對外聯繫、傳送的管道,無法將資料送到外部中繼站。此時,借重Fortinet FortiSIEM平台收集與歸納資安設備產出的訊息,SOC團隊便可揪出內部環境中的惡意程式。

林靖指出,雖然惡意程式沒辦法將資料傳送到外部,但若能儘早發現內部潛在威脅,自然能減少設備被感染的數量,讓醫院內部資訊安全狀態更為健康。藉由Fortinet FortiSIEM平台,我們也能掌握整體資安防護上的弱點,作為後續改善與強化的方向。

目前三軍總醫院有已經有4位專職資安人員,不過要監控與維運總院、分院的資安狀況,仍然是非常吃重的工作。所以在未來規劃中,希望能夠進一步引進Fortinet SOAR Security Orchestration, Automation and Response),運用該產品融合 AI、ML 技術的智慧分析與精準告警,建立一套自動化回應資安事故的機制,加快回應異常事件的能力,讓寶貴人力能發揮最大效益。


熱門新聞

Advertisement