最近一个月的时间,我们屡屡收到医院用户被攻击导致电脑大规模蓝屏或者无法连接到服务的情况出现。
我们的技术工程师在现在处理后,发现都是来自同一个攻击Intrusion.W32.MS17-010,我也专门写过一篇文章:《小心,一大波病毒来袭!!》,很多人问我一个问题,为什么受感染的都是医院,而在其他单位却很少听到有这样的报告呢?
包括医院的信息中心的人也在问我,我们都是内网,为什么会受到这样的攻击?我只能简单的解释,内网使用U盘、内外网互联都有可能会受到病毒感染,但是为什么同时有这么多的医院同时感染,我也说不清楚。
因为受感染的这些单位都不是我们的客户,都是出现问题后我们才去安装杀毒软件,所以也无法从病毒报告中发现病毒来源。
今天,我们的技术人员去一家省级医院巡检,这是我们一个老客户,这次虽然没有出现蓝屏等问题,但工程师还是在卡巴斯基的病毒报告中还是发现了问题。从1月初开始,客户的一台通过VPN连接到国家农合平台的服务器开始大规模被攻击,攻击方法就是Intrusion.W32.MS17-010。
难道这就是这次医院行业被大规模攻击的原因??
我大胆的假设一下,农合服务器感染了Shadow Brokers病毒,并向外发起攻击,一些跟他相连的医院的服务器,因为没有相应的保护措施,则很容易就被攻破,并以此为跳板迅速攻击本医院内其他的电脑,导致全网病毒大规模爆发。这个从我们之前在一家医院发现的攻击脚本中也能发现一点端倪。
当然,这只是我的个人猜测,到底这个锅是不是应该由农合平台来背还不能确定,但还是希望大家注意加强防范,尤其是对于和外界连接的服务器,一定要小心。
医院行业易被攻击的原因分析:
1、网络环境复杂。医院的网络虽说都做了内外网的隔离,但还要跟省医保、市医保、农合、铁路医保等多处连接,并不是纯粹的内网,网络环境复杂。使用的操作系统不统一,一些专门设备上(如DR、CT)还在使用XP和2003等老的操作系统。
2、相关人员安全意识淡薄。很多人认为他们的是内网,不跟互联网连接,因此不会被病毒感染,也没有意识去做一些安全措施。尤其是一些专业软件的厂商比如HIS、PACS、CT、DR等应用软件厂商,也不让用户安装杀毒软件,甚至也不让用户打补丁,导致攻击被迅速蔓延。
3、管理问题。普遍存在内外网互联和对U盘的管理不严。一些大型医院还好些,一些县级医院问题比较突出,对U盘没有相应的管控措施,内外网没有做物理隔断,普通用户可以随意接入U盘等移动存储介质和上网,这样很容易带来安全隐患。
4、技术问题。一些基层医院,IT投入不足,单位没有采购专业的企业版杀毒软件,而是采用免费的个人版产品,对于这种大规模的攻击完全无能为力。而且人员技术力量薄弱,出现这样的问题只是从网络设备和电脑本身去找原因,没有考虑到病毒的问题,导致问题迟迟得不到解决。
在医院处理问题的时候我亲身感受到因为电脑故障导致无法交费无法拍片时大家的焦急,或许也是人命关天的大事。
希望通过这次的病毒事件,也能让大家的安全意识能有一个迅速的提升,意识到病毒对于网络影响的重要性。及时从意识、人员、设备等多方面加强防护,毕竟医院不是普通单位,一旦受攻击,影响的可是广大人民群众的就医问题。
本文转自大兵说安全,原文链接:http://mp.weixin.qq.com/s/oN3WU95QccyC1EkskrgYXQ