保护医疗保健系统免受勒索软件的威胁.PDFVIP

解决方案简介 保护医疗保健系统 免受勒索软件的威胁 勒索软件是一种恶意软件，这种恶意软件通常利用非对称加密来劫持受害者的 信息作为人质。非对称（公钥-私钥）加密是一种使用一对密钥来加密和解密 文件的加密技术。这个公钥-私钥对是由攻击者专门针对受害者生成的，私钥 用于解密存储在攻击者服务器上的文件。仅当受害者支付赎金之后，攻击者才 让受害者拿到私钥，但情况并非总是如此，比如最近发生的勒索软件活动。在 无权访问私钥的情况下，几乎不可能解密被劫持以进行勒索的文件。 在过去几年中，勒索软件是每位安全专家关注的头号问题。不幸的是，勒索软件是一种简单、有效并且 赚钱又轻松的网络攻击工具。去年，我们看到攻击目标从个人转向企业，因为后者可以支付更高的赎金。 最近，医疗机构成为勒索软件作者的抢手货。在《McAfee Labs 威胁报告：2016 年9 月》中，我们还 分析了2016 年第1/2 季度针对医疗机构的勒索软件攻击，发现这些攻击尽管相对不太复杂，但这些攻 击都获得成功，并且有相关性和针对性。我们还讨论了勒索软件对医疗机构造成的挑战，包括安全性不 强的旧版系统和医疗设备以及立即访问信息的生死攸关需求。 防御勒索软件的策略和步骤 保护系统免遭宏勒索软件攻击的最重要一步是要了解问题及其传播方式。要最大程度降低勒索软件攻击 的成功率，医疗机构应遵循下面几条策略和规程： ■ 计划好在发生攻击的情况下要采取的操作。知道关键数据的所在位置并且了解是否有方法渗 透。与医疗机构紧急情况管理团队一起执行业务连续性和灾难恢复演练，以验证恢复点和时 间目标。这些练习揭示对医疗机构运作的隐藏影响力，这是在正常备份测试中无法显现出来 的。大部分医疗机构支付赎金是因为他们没有应急计划！ 解决方案简介 ■ 保证系统补丁处于最新状态。通常，很多被勒索软件滥用的漏洞都是可修复的。请保证操 作系统、Java 、Adobe Reader 、Flash 和应用程序的补丁处于最新状态。请执行修补程序， 并验证补丁是否已成功应用。 ■ 对于无法修补的陈旧医疗机构系统和医疗设备，请使用应用程序白名单来降低风险，白名 单可锁定系统并防止未批准的程序执行。使用防火墙或入侵检测系统将这些系统和设备与 网络中的其他部分隔离。禁用这些系统上的不必要服务或端口以减少可能的感染入口点的 暴露。 ■ 保护终端。请使用终端保护及其高级功能。在很多情况下，安装客户端时只会启用默认功 能。通过实施某些高级功能（例如，“阻止 Temp 文件夹中的可执行文件运行”），可以检测 到并阻止更多的恶意软件。 ■ 如果可能，阻止用户将敏感数据存储在本地磁盘上。要求用户将数据存储在安全的网络驱 动器上。这会使停机仅限于一段时间，因为只需要对受感染的系统重新制作映像即可。 ■ 采取反垃圾邮件措施。大多数勒索软件活动都始于含有链接或某类附件的网络钓鱼电子邮 件。对于将勒索软件封装在 .scr 文件或一些其他非常见文件格式中的网络钓鱼活动，可以轻 松通过设置垃圾邮件规则来阻止这些附件。如果允许 .zip 文件通过，请对 .zip 文件至少执行 两个级别的扫描，以识别可能存在的恶意内容。 ■ 阻止有害或不必要的程序和流量。如果不需要使用 Tor ，请在网络上阻止该应用程序及其流 量。通常，阻止 Tor 就能阻止勒索软件从控制服务器获取 RSA 公钥，进而阻止勒索软件加密 进程。 ■ 添加网段以用于患者护理所需关键设备。 ■“空隙”备份。确保备份系统、存储和磁带所在的位置不能由生产网络中的系统普遍访问。 如果勒索软件攻击中的有效内容横向蔓延，则可能会影响备份的数据。 ■ 针对与生产网络中其余部分完全隔离的关键电子医疗记录系统，利用虚拟基础设施。 ■ 请持续开展用户意识教育。因为大多数的勒索软件攻击都始于网络钓鱼电子邮件，所以用 户意识显得尤为重要。统计数据显示，攻击者发送的每十封电子邮件中至少会有一封成功。 请不要打开来自未经验证或未知发件人的电子邮件或附件。 保护医疗保健系统免受勒索软件的威胁 2 解决方案简介 Intel Security 技术如何帮助防御勒索软件 McAfee VirusScan Enterprise 和 McAfee Endpoint Security 10 ■ 借助McAfee VirusScan Ente