近一段时间以来，医疗行业感染勒索病毒的消息屡见报端，我和我的同事这两年来直接或协助处理的医院用户就将近100家。

从2017年开始的永恒之蓝病毒开始，就有大面积的医院被攻击导致系统蓝屏，业务中断。当时我还专门写过一篇公众号文章《小心，一大波病毒来袭！！》。

之后，2018年春节过后从某省儿童医院文件被加密开始，越来的越多的医院数据开始被勒索，不管是gandcrab还是Globe Imposter，黑客要的赎金越来越高，勒索起来也越来越得心应手。《注意：新一轮勒索病毒攻击医院行业》

2019年初，Globe Imposter3.0的变种又一次席卷全国，某省互联互通平台上连接的几十家医院同时被加密。《关于近期医院感染勒索病毒情况的通报》

大家都在问同一个问题，为什么医疗行业会成为病毒攻击的重灾区呢？

（1）

为什么是医院？

其实仔细分析一下也不难理解，用一句话形容就是：

如幼儿抱赤金行于闹市

这里有三个关键字：

幼儿、赤金、闹市

一、数据如赤金——价值高

     医院的数据都是患者的就医信息，一旦出现问题，将会带来极其严重的后果，如果按照卫健委对医院安全的要求，其对数据的重要程度可以与银行相媲美，对数据和业务的实时性要求很高，用信息科的话说要达到：数据一点不能丢，业务一刻不能停。所以，一旦数据被加密，无论面对焦急等待就医的患者，还是面对上级部门的问责，都让医院压力倍增，不惜代价先把数据恢复再说，得手如此容易，也让黑客乐此不疲。

二、防护如幼童——防护差

然而，与这么高的要求相对应的却是很多医院的重视程度并不高。我说的不重视主要体现在以下几个方面：

1、信息科地位低。在很多医院里，信息科的工作就是修电脑的，一些医院的信息科还要隶属于办公室或者其他部门管理，一些医院的信息科只负责服务器，所有的PC都不归他们管，电脑的采购和维护都由设备科负责，而这些机器往往是问题最多的，最容易成为黑客攻击的跳板。

2、信息科技术人员缺乏。在一些医院，信息科往往是各领导安排亲属的首选，因为在他们看来，其他科室都要求有医学专业的要求，而信息科是最闲的一个科室，所以有什么亲戚啥的要进医院都会优先考虑信息科，因此，看似信息科人员编制不少，但真正能干活的没有几个人。专业的安全人员更少了。

3、不舍得投入资金。有一次去参加一个会议的时候，一个主管院长上台时就说：“以前的时候，医院要买医疗设备，几百万的设备我都不犹豫，因为我看到的都是收入，每拍一张片子就是多少钱，我能算出来。但如果让我在信息和安全方面投入，花几万块钱我都会考虑半天，这事不花钱能不能做下来。直到后来医院出了几次事我才意识到安全的重要性”。我想这个院长的话代表了很多领导的想法，在没有出事之前，很多领导都是抱着这个想法的。但这种事不出则已，一出都是大事啊，不管是数据损失还是业务停止，对医院来说都是不可承受之重。面对几乎同金融领域同等重要的数据，付出却是银行的N分之一，还想要达到同样的效果，这不是让巧妇难为无米之炊嘛。

4、采购时没有话语权。安全是一个相对专业的领域，不同产品的性能差别也很大，但很多医院采购时信息中心往往没有什么发言权，领导或者采购部门把价格做为唯一的标准（当然了，这个不是医院特有的），在领导看来，都叫杀毒软件，所以杀毒效果都是一样的，都叫存储，所以性能是没有区别的。一分价钱一分货这个浅显的道理在这里也是适用的，专业的产品肯定比不专业的贵，专业的服务肯定比不专业的服务收费高。就象医院一样，三甲医院和乡镇医院收费不一样，普通小病可能都可以看，但如果有了大病，区别也就出来了。

5、网络边界模糊。普通的网络基本也就是只有一个互联网出口，防范相对简单好多，而对于医院网络，虽然他们自称为内网，不连互联网，但实际上，很多医院都是内外互联的，有些信息中心或者领导的电脑都是可以同时上内网也可以上外网的。这些内外互联的电脑就很容易成为黑客进攻的跳板。除此之外，医院的网络还要连接卫健委、新农合、医保平台、远程医疗、微信（支付宝）平台等很多外部网络，这都导致网络被黑客和病毒攻击的风险大增。

6、网络安全策略不当。很多单位买的有不少的安全设备，但没有用好，比如，很多单位买的有防火墙，但里面几乎是透明模式，没有什么安全策略。有的单位买的有杀毒软件，但在服务器上不装，补丁也不打，说是应用厂商不让。或者买了不少设备，但密码却是类似12345678这样的弱口令，等等。

7、只强调外对内的攻击保护，没有对于来自内部攻击的检测和响应措施。默认外部都是危险的，内部都是安全的。所以黑客一旦进入内网之后恣意妄为，却没有什么预警的措施。目前很多单位采用的都是老三样中的防火墙和入侵检测设备，主要检测外部对内部发起的攻击，但对于网络内部的各种攻击行为并不能做到很好的检测和预警，这也目前存在的一个重要薄弱环节，很多攻击都是黑客通过控制内网的一台肉机从内网对网络进行扫描和攻击，而这种攻击网关处的安全设备是检测不到的。

三、外部如闹市——坏人多。

现在有些勒索病毒采用RAAS（勒索即服务）的模式运营。在暗网上也有人专门提供类似的服务。

       有完整的黑色产业链、暴利、使用比特币难以追踪，这些条件让越来越多的人挺而走险。

我个人估计，很未来很长一段时间内，勒索病毒依然会是威胁我们网络和数据安全的最大隐患之一。

（2）

中招了我该怎么办？

万一单位被攻击，我们应该如何处理呢？建议应急处理步骤如下：

1、隔离：快速将中毒机器从网络中隔离开，比如断开网线。如果不能断开网线就及时关闭各主机的445和3389端口。这里我要强调一下，关闭端口并不是要在防火墙或交换机上关闭就完了，要关闭每一台主机的相应端口，建议部署有防火墙功能 的终端安全软件，这样可以统一下发策略快速关闭。（《防黑必备技能之端口篇（3）》）

2、取证：中毒之后，因为着急恢复业务和数据，所以很多人选择格式化系统重新部署系统，我可以理解大家的心情，但建议大家在恢复之前一定要等应急响应人员去做完相关的取证工作之后再开始恢复工作。只有经过取证分析，才可以知道这次被感染的原因何在，才能做好防御措施避免下次被再次加密。如果分析时间较久，建议采用磁盘镜像软件（如acronis)对整盘做镜像，然后恢复到虚拟机中慢慢的进行取证分析。但千万不可以直接把系统格式化。

3、加固：检查其他还没有中毒的机器，对于没有打补丁的赶紧打补丁，没有安装杀毒软件的马上安装杀毒软件，有弱口令的赶紧改。

4、杀毒：安装专业杀毒软件对内网电脑（包括工作站和服务器）进行全网扫描，及时清除网内病毒。

5、恢复：利用之前的备份恢复业务或者联系厂商对业务系统进行重建。利用之前的备份或者联系黑客（不建议）对数据进行恢复。恢复后根据取证分析的结果对上次出现的漏洞进行防范和加固，避免被二次加密。

（3）

如何防范？

最重要的当然是尽力避免不被感染，那么应该如何做呢？其实之前我也写过不少的文章，比如《这是一篇价值几十万的文章！》，今天我们换个角度来说一下。

以前我们都是按照等保的要求，从静态的角度来看安全，从物理层、网络层、系统层、应用层、数据层等五个方面，部署相应的安全措施。今天我们从动态角度来看一下，还用我之前讲过的APPDRR模型（《常见网络安全模型（上篇）》《常见网络安全模型（下篇）》，简单来套一下：

一、A：分析

       通过分析，了解勒索病毒可能传播的途径和方法，比如通过漏洞 、口令爆破、互联网、农合医保等外部业务、第三方维护人员等。

二、P：策略

       了解了病毒可能感染的途径和手段，我们要分别针对以上问题做出相应的措施。如及时给系统打补丁、安装杀毒软件、增强口令强度、在所有可能的入口增加防范手段、加强对第三方维护人员的管理等。

三、P：阻止

     目前最常见的手段就是防火墙和杀毒软件了。

四、D：检测

     但仅有阻止是远远不够的，还需要有相应的检测手段，包括端点的检测和网络的检测。这里也涉及到最近比较火的一个概念EDR，所谓EDR就是端点检测与响应(Endpoint Detection and Response）。一般来说网络检测产品应能和端点产品进行联动，这样才可以进行有效及时的响应。

五、R：响应

       响应也包括两部分内容，一是检测到攻击之后和自己配套的EDR产品进行联动处理，二是人工的响应和取证服务。

六、R：恢复

       灾难恢复是安全的最后一道防线。前面所做的工作都是在防止灾难的发生，但无论再好的防御也不可能做到100%的安全，万一最终没有能防止灾难的发生，我们要确保的就是可以恢复到之前的状态。因此最后一步是我们必须要考虑的，也是我们安全工作的底线。备份是恢复的前提，恢复是备份的目的。这里的灾难恢复不是简单指数据的恢复，还包括业务系统的恢复。参见《等保中对灾难恢复的要求》。

目前根据各医院的情况来看：

对于从外到内的防范手段（如防火墙、入侵检测等）都比较重视，但对于内部的检测和响应手段有些欠缺；

对于数据库的备份和恢复相对比较重视，对于业务系统的备份和恢复比较欠缺。

如何增加对危险的检测和响应手段以及快速的灾难恢复能力也是下一步安全要考虑的重点。

关于EDR以及网络检测与响应产品，目前很多厂商也推出了相关的产品，比如卡巴斯基、checkpoint、天融信、深信服等都推出了自己的EDR产品。针对网络的检测与响应产品，目前有三类厂商：

一类是传统的防病毒厂商，在传统端点安全的基础上推出了EDR和网络检测与响应产品，如卡巴斯基的、赛门铁克和MCAFEE等，都有类似的产品推出。以达到网络检测与EDR联动响应的效果。

一类是新晋的以EDR为卖点的厂商，如crowdstrike、CARBONBLACK、CYLANCE、sentinelone ，这类大多自称为“下一代”产品，但其实更多的是一种具有机器学习功能的产品。

一类是传统的网络设备厂商，在其传统网络安全产品如第二代防火墙、UTM等设备的基础上，通过OEM专业安全厂商的防病毒引擎增加EDR的功能。如checkpoint、fireeye、天融信等。

关于这三类产品的具体差别，以及如何选择EDR产品，不是本文的重点，以后有时间再详细说吧。

*以上只是我个人的观点，欢迎探讨。