医院系统高级威胁检测解决方案三甲医院

背景与需求

医院重要的业务系统都位于医院内网,业务系统与终端接入域缺少安全隔离措施,一旦某台主机失陷,业务系统可能会瘫痪,某个业务系统出现问题,轻则影响一个科室,重则整个医院内网瘫痪。医院内网外网通过网闸进行隔离,内外网数据传输方式大多数为转发代理的方式,这也是内网存在勒索病毒的原因之一;而透过防火墙连接外联域,也可能是外部威胁进入内网的另外一个原因。

其中安全需求为:
  1. 1、要求医院具有安全防护能力,避免核心数据资产被窃取;
  2. 2、具备特种木马或者变种木马的检测能力,避免遭受勒索软件、挖矿软件的攻击;
  3. 3、具备钓鱼邮件、网页挂马等高级恶意文件的检测能力;
  4. 4、医院自身的网络安全建设要满足“等保2.0”三级防护要求;
  5. 5、在HW或者红蓝对抗演练过程中,具备高级威胁检测能力,避免丢分。

解决方案

1、优化网络威胁分析与响应方案,补充和完善现有安全产品在应对已知安全威胁的检测和分析能力
  • 对网络内部业务系统及设备进行安全加固
  • 对现有安全产品进行规则库升级,检测更多的威胁事件
  • 完善现有安全产品体系,从检测、分析、溯源和响应形成业务闭环
2、部署检测新型攻击的检测设备,应对新型、未知的高级网络威胁
  • 在网络关键位置部署APT检测产品
  • 通过先进的沙箱文件检测技术,发现已知、未知恶意文件
  • 具有领先的检测技术应对变种木马、特种木马
  • 具有基于AI检测技术发现热点威胁行为,如勒索病毒、挖矿病毒等

方案功能

  1. 1、及时发现外网威胁,对于发现的攻击行为及时预警,同时定位网内失陷主机
  2. 2、对内网业务系统及资产进行重点监控,发现威胁及时联动处置,可结合终端杀软(如果有)完成安全闭环
  3. 3、在医院外联域出口重点监控监控外联域交换数据,避免网络攻击通过外联域进入内网

方案优势

1、核心资产重点监控
  • 对于医院内部的核心资产进行重点监控,避免由于网络攻击导致医疗系统瘫痪
2、及时发现网内被控主机
  • 可快速发现和定位网内已被攻陷的主机,及时清理
3、检测覆盖攻击链全过程
  • 基于网络攻击链各阶段进行多维度检测,覆盖面广,检出率高
4、快速识别钓鱼攻击等行为
  • 对于社工欺诈类的钓鱼邮件、网页挂马等高级恶意文件快速、准确检测识别
5、常见恶意攻击软件重点检测
  • 对常见的恶意攻击软件,包括勒索软件、挖矿软件等恶意攻击软件进行重点检测

方案价值

  1. 1、遵循网络安全态势感知建设指导,满足监管要求(网信办、卫健委)
  2. 2、整体提升医院应对网络威胁特别是APT类攻击的检测能力
  3. 3、保障医院信息系统中的核心资产安全,避免因勒索软件、挖矿软件等攻击行为造成的业务瘫痪、核心数据丢失以及其他财产损失
  4. 4、满足合规性要求,如等保2.0三级防护要求中对新型网络攻击的检测要求
  5. 5、在重保活动以及红蓝对抗演练过程中,可及时发现各类型攻击渗透行为,避免失分