医院全流量安全分析 案例

1.安全挑战

医院各个部门对信息系统的依赖程度越来越高，医疗信息资源实行共享，在信息系统给人们带来便利的同时，它也面临遭受风险的威胁，医院系统的安全成为关注的焦点，其中网络安全尤为突出，因病毒的感染、黑客的入侵会造成全网瘫痪，影响全网业务，势必造成医院的巨大损失。网络安全对保障正常的医疗秩序、维护患者权益、保障医院数据安全具有重要的意义。

在这种背景下，国家即将出台的等级保护2.0也做了明确的规定,测评对象无论定级是二级系统还是三级系统都应有入侵保护系统,入侵检测系统,抗APT攻击,抗DDoS攻击以及具备网络回溯等系统或设备。

医疗机构无论是出于自身安全需要，还是合法合规的角度，都逐步构建了相对完善的网络安全防护体系，涵盖基本的防火墙，入侵检测、防病毒，也包括主流的WAF，上网行为管理，数据库审计，抗DDOS，以及沙箱等手段以对抗未知恶意代码的攻击。

然而，用户投入大量人力财力在网络安全防护之后，依然没有改变安全事件日益频发的事实，根据相关调研报告显示，几乎100%攻击者仅需要花数分钟的时间就能得手，然而被攻击者平均需要花费229天的时间才能发现，更为严重的是，超过87%的攻击事件并非被攻击者自身感知，而是被监管机构通报，甚至直接曝光在互联网上之后才被发现。

可见，网络安全面临的最大挑战，不是我们的防御能力不足，而是迟钝的安全感知能力。

1. 需求分析

打造完善的网络安全“防御能力”对于渭南市中心医院维护网络安全至关重要。但其核心是通过减少暴露面和最小授权等方法来提升被攻击的门槛，属于对“知道的已知威胁”进行防御。网络安全攻防归根结底是人与人之间的对抗，有了一种防护技术，就会出现针对性的攻击技术，这些新的攻击技术对于医疗机构就属于 “不知道的未知威胁”，传统的安全防御体系就却缺乏感知能力，因此当医疗机构面对这些“未知威胁”时，事前难以预防，事中很难被察觉，事后又缺乏取证的数据。

针对以上挑战，渭南市中心医院需要及时发现各类威胁，构建全面、纵深和动态的 “感知能力”。与此同时，应具备有力的“威胁分析能力”。具体来说包括以下几点：

1. 看见“已知威胁”：对具有明确特征的已知攻击行为进行实时检测与发现警报，包括DDOS攻击、僵木蠕活动、渗透扫描、漏洞利用、SQL注入、恶意劫持、跨站脚本攻击等；

2. 看见“未知威胁“：能够对绕过防御进入到内网的各类未知威胁进行发现和预警。

3. 回溯攻击历史：能够对感知到的威胁、可疑线索和已知安全事件进行追踪、溯源、取证。还原事件发生过程了解事件严重程度和影响范围，做出正确有力的响应，并采取防御措施。

2. 方案概述

2.1. 方案介绍

科来网络全流量安全分析系统（TSA），能够全面感知各类已知和未知安全威胁、实现完整攻击溯源取证。着力帮助组织机构提升“感知能力”和“响应能力”，与“防御能力”共同构成安全运维的闭环体系。

2.2. 方案形态

方案为网络全流量安全分析设备（TSA）,在此基础上提供安全服务。

2.2.1. 全流量安全分析系统（TSA）

网络全流量安全分析设备（TSA）通过镜像或TAP方式获取渭南市中心医院核心交换机的网络原始流量，实时对数据包完成捕获、规则匹配告警、提取元数据、存储等多种处理环节，将经过索引的网络全流量数据进行进行本地存储。

2.3. 方案拓扑

科来网络全流量安全分析设备（TSA）部署在渭南市中心医院核心交换机旁，如下图所示：

在网络出口，核心交换机旁路部署全流量安全分析设备（TSA），实现网络流量的捕获、规则匹配告警、提取元数据、存储等。

网络原始流量采集

科来网络全流量安全分析系统（TSA）支持7*24采集、索引网络原始流量，高级定向威胁在大规模网络流量中只会占到非常小的比例，因此如果无法在第一时间发现，往往需要通过事后的多线索关联和回溯分析后才能有效定性和取证，进而就必须对原始流量进行一段时间的完整保存以备事后的回溯分析。原始数据包保留了 “案发现场”所有可疑线索，能够帮助渭南市中心医院实现安全事件的回查、回溯、取证，做到有据可查、有据可依。

全流量存储系统

全流量存储由网络全流量安全分析设备（TSA）负责承载，是科来自研存储引擎，支持分布式，负责存储原始数据包数据，按照采集过程中建立的数据包索引，支持基于时间，IP，MAC，TCP/UDP会话的索引，能够实现快速的回溯查询分析，支持PB级数据秒级回溯。稳定性高，存储速度快，扩展性强。

网络元数据采集

科来网络全流量安全分析系统（TSA）支持200多种网络元数据字段的提取、封装。网络元数据是描述一次网络通信会话的数据，包含如通讯传输流信息即TCP/UDP会话的统计（主要字段有源目IP、源目端口、发送数据量、接收数据量、开始时间、结束时间、持续时间、平均包长等）、还有关键的元数据如HTTP主要66个关键字段，如user-agent、content-type、cookie、host、refer等等）、DNS协议22种DNS协议关键解码字段信息，以及SMTP/POP3/IMAP包头关键信息。这些会话元数据可以通过逻辑组合，支持“与或非”，正则表达式的方式描述各类异常行为，用于在海量数据中发现各类安全威胁。

特征匹配，发现已知威胁

基于科来网络全流量安全分析系统（TSA）强大的网络流量分析能力，通过掌握的多种特征库，对触发黑名单的网络行为，以及特定的网络攻击模式如DDOS攻击，异常扫描，渗透扫描、漏洞利用、SQL注入、恶意劫持、跨站脚本攻击、可疑域名访问等异常行为进行实时检测与发现警报。结合第三方安全设备的告警日志，实现全面的已知威胁感知。

异常行为建模，发现未知威胁

很多高级的未知攻击行为没有明显特征，通过传统检测技术难以发现，例如木马心跳、肉鸡与控制主机的C&C、木马激活、窃取信息发送等都难以直接通过特征码发现。科来全流量安全分析系统通过基于元数据建模的网络行为模型和协议合规性等高级技术发现网络中的高级攻击和未知威胁，超越传统IDS/IPS特征码匹配以及防火墙IP与端口过滤的感知能力，具体能够感知未知威胁包括：

l 成功的漏洞利用：传统网络风险管理手段通过定期的漏洞扫描和及时的补丁升级来实现漏洞风险最小化，但无法发现在漏洞0day阶段、打补丁之前是否有成功的入侵。如Apache Struts 2（S2-045）远程代码执行漏洞，基于元数据建模，定义HTTP协议“content-type”元数据字段=内容结合“HTTP 1.1 200 OK”返回字段，就能发现内网是否存在成功利用该漏洞的攻击存在，发现真正的安全威胁。

l 失陷主机通信：未知攻击能够成功绕过传统安全防御体系，如果存在这样的失陷主机，必定存在，控制主机的C&C、木马激活、窃取信息发送等行为，网络行为模型是对网络行为进行建模分析，通过包、流和流之间关系建立检测模型，不依赖payload，因此可检测各类高级攻击，包括木马心跳,定时规律的受控主机发送数据包到控制端;木马激活,受控主机接收控制端指令激活;证书分析,通过分析证书有效判断是否为可疑C&C等，平台内置多种分析模型可直接使用，并具备灵活的自定义规则配置。

l 未知数据窃密行为：高级攻击为更好隐蔽通讯行为，隐秘信道数据传输是一种常见方式，如利用HTTP和DNS发送C&C指令。平台能够对常见的TCP/UDP端口的协议合规性进行检测，包括TCP /UDP 的21（FTP）、22（SSH）、23（telnet）、25（SMTP）53（DNS）、80（HTTP）、110(POP3)、139（NetBIOS）、445（CIFS）等。

强大的回溯分析

科来网络全流量安全分析系统通过回溯分析技术，对感知到的事件进行进一步挖掘分析，整合全流量、网络元数据和安全告警日志，从多个维度分析和挖掘攻击线索，从“事件”钻取到“行为”，从“单一事件” 进行多维拓展，找出有价值线索，包括但不限于以下场景：

Ø 检查网内有多少资产受近期曝光的新的漏洞影响

Ø 检查网内是否曾经被一种特定的攻击方式入侵过

Ø ……

最终通过数据包级的精细分析和取证能力，还原完整的攻击事件威胁全貌，判定安全事件真实性和严重性，采取有针对性的响应措施，并清晰界定责任。

数据包级攻击回溯引擎

科来网络全流量安全分析系统实现警报关联数据包自动下载以及手动数据包下载，下载原始数据包文件后使用数据包分析软件打开即可进行取证与分析。使用场景包括：

1. 攻击告警验证：分析告警时间对应的数据包进行回溯取证。通过对告警事件进行数据包级别的验证，研判告警真实性和时间严重程度。

2. 发现高级定向攻击：高级定向威胁在大规模网络流量中只会占到非常小的比例，但也正是这少量的通讯流量对于攻击检测分析尤为关键和重要，因此需要对原始全流量进行一段时间的完整保存以备事后回溯分析针对这类高级定向攻击行为如无法在第一时间及时予以发现的情况，通过事后的数据包回溯分析后能有效定性和取证 。

（数据包分析）