https://www.qianxin.com发布机构：奇安信行业安全研究中心补天漏洞响应平台奇安信安全托管团队奇安信安服团队安全内参2022医疗卫生行业网络安全分析报告THE REPORT 医疗卫生行业网络安全建设水平在近年来得到了快速提升。以补天平台收录的医疗卫生行业网站漏洞为例，网站漏洞修复率高达 98.9%，显著高于平均水平 97.8%，在所有行业中排名居前。同时，针对行业应急响应事件的分析也显示，96.4% 的事件是医疗卫生行业机构自主发现的，这一水平也较前些年有显著提升。弱口令问题仍是困扰医疗卫生行业网络安全建设的痛点和难点。行业网站漏洞中，弱口令占有 13.4%；在运营风险事件中，弱口令事件占 30.0%。同时，弱口令问题也是网络安全应急响应事件重要诱因。数据安全已经成为医疗卫生行业网络安全建设不容忽视的重要一环。例如，在行业网站漏洞中，信息泄露漏洞占 21.7%；在运营风险事件中，信息泄露事件占12.6%；在行业网络安全应急响应事件中，有 7.1% 的攻击者是为了窃取重要数据，最终导致数据丢失和数据被篡改等损失的事件占到了所有应急响应事件的近四成。恶意程序和漏洞利用是医疗卫生行业面临的最主要的网络安全风险。这两种类型风险在所有运营风险事件中占比 95.7%，在网络安全应急响应事件中占比 76.2%，是攻击者最为青睐的攻击手段。一旦攻击成功，将会造成不可估量的损失，甚至威胁患者的生命安全：2021 年，在美国就出现了首例因勒索软件攻击直接导致个人死亡的网络安全事件。信息化设备的日常规范使用和管理应当引起医疗卫生行业的高度重视。在行业网络安全应急响应事件中，有 16.7% 并不是由网络攻击事件触发，而是由于机构内部运营故障、操作失误或管理疏失所造成的。这也表明，网络安全工作与业务运营密不可分的。文中第四章第二节，就是鲜活典型案例。主要观点 摘 要2021 年全年，补天漏洞响应平台共收录全国医疗卫生行业相关网站的安全漏洞2568 个，占全年各类网站安全漏洞的 1.8%。医疗卫生行业网站漏洞中，通用型漏洞占比 0.3%，事件型漏洞占比 99.7%。从网站的 IP 归属地（省级）来看 , 来自北京市的医疗卫生行业网站被报告漏洞数量最多，占比约为 12.7%；其次是青海省，占比为 9.4%；广东省排第三，占比 9.1%。医疗卫生行业网站漏洞中，高危漏洞占比 38.4%；中危漏洞占比 52.7%；低危漏洞占比 8.9%。医疗卫生行业网站漏洞中，信息泄露漏洞占比最高，达 21.7%，其次是命令执行漏洞，占比 21.0%，弱口令占比 13.4%。相较于夜间（20：00~08：00），医院在日间（08：00~20：00）更容易遭受网络攻击，日间发生的风险事件占风险事件总数的 79.1%。从一周情况来看 , 周四是一周中医疗卫生行业风险事件最为高发的一天，占比为22.2%，其次在周五和周一，分别占比 18.9% 和 17.7%。从医疗卫生行业风险事件持续时长来看，攻击时长持续不到一分钟的事件占比44.6%，其中时长在 1 秒以内的占总量的 39.1%。医疗卫生行业风险事件以漏洞利用和恶意程序为主。漏洞利用占比 66.0%，恶意程序占比 29.7%。，其他类型占比 4.3%。在医疗卫生行业漏洞利用类型的风险事件中，弱口令漏洞占比最高，达 47.8%，信 息泄露漏洞占比 12.6%，后门漏洞占比 11.9%，未授权访问漏洞占比 10.1%，暴力破解漏洞占比 5.7%。在医疗卫生行业恶意程序类型的风险事件中，远控木马类型占比 41.0%，挖矿木马类型占比 24.1%，勒索病毒类型占比 12.0%。2021 年全年，奇安信安服团队共参与处置医疗卫生行业网络安全应急响应事件 84起。其中，相关机构自行发现的网络安全事件占 96.4%，16.7% 是通过内部安全运营巡检的方式自主查出，79.7% 是因为其网络系统已经出现了显著的入侵迹象，或者已遭到了攻击者的敲诈勒索。由监管机构、主管单位、第三方平台通报处置的网络安全事件占 3.6%。医疗卫生行业网络安全应急响应事件的影响范围中，业务专网设备占比 81.0%，互联网设备占比 19.0%。从医疗卫生行业网络安全应急响应事件的攻击者意图来看，敲诈勒索和黑产活动占比最高，占比分别为51.2%和25.0%。同时，有7.1%是为了窃取重要数据，还有3.6%属于内部违规。对 2021 年医疗卫生行业安全事件攻击类型进行分析，排名前三的类型分别是：恶意程序占比 46.4%；漏洞利用占比 29.8%；钓鱼邮件占比 3.6%。在恶意程序中，木马攻击（非蠕虫病毒）占比 51.3%，蠕虫病毒攻击占比 48.7%。在 2021 年的医疗卫生行业的网络安全应急响应事件中，有 16.7% 并非是由网络攻击事件触发的。从医疗卫生行业被攻陷系统的损失来看，数据丢失占比最高，达 29.8%；其次是系统 / 网络不可用，占比 16.7%；生产效率低下排第三，占比 11.9%。关键词：医疗卫生行业、安全漏洞、风险事件、应急响应 研究背景········································01··第一章·医疗卫生行业安全漏洞分析·····················03第二章·安全运营风险事件特征分析·····················08一、安全运营风险事件 ·····································08二、风险事件发生时间 ·····································08三、风险事件攻击手法 ·····································11第三章·医疗卫生行业应急响应形势分析··················13第四章·医疗卫生行业应急响应典型案例··················17一、某三甲医院部分内网设备被勒索加密 ·······················17二、某三级综合医院部分电脑 C 盘文件无端被删 ·················18三、某专科医院内网大规模感染蠕虫病毒 ·······················19四、某三甲医院内网爆发永恒之蓝病毒 ·························20五、某三甲医院内网服务器感染勒索病毒 ·······················21六、某三甲医院内网出现大量异常流量被网警通报 ················23附录一·2021 全球医疗卫生行业十大网络安全事件··········24附录二·作者简介· ·································29CONTENTS目录 医疗卫生行业网络安全分析报告0120222019 年 12 月以来，新型冠状病毒感染肺炎疫情在全国蔓延。国家卫生健康委员会为贯彻落实党中央、国务院关于新型冠状病毒感染的肺炎疫情防控工作的总体部署，充分发挥信息化在辅助疫情研判、创新诊疗模式、提升服务效率等方面的支撑作用，在总结各地典型做法的基础上，制定出台了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》国卫办规划函〔2020〕100 号，要求“加强网络信息安全工作，以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点，畅通信息收集发布渠道，保障数据规范使用，切实保护个人隐私安全，防范网络安全突发事件，为疫情防控工作提供可靠支撑。”随着我国新型冠状病毒感染肺炎疫情逐步得到控制，社会对医疗卫生行业的信息化建设所起到的成效有目共睹，同时也暴露出我国医疗体系中的一些短板。 “十三五”将医疗卫生信息化纳入其中作为网络安全和信息化建设的重点。2020 年 3 月 5 日，《中共中央国务院关于深化医疗保障制度改革的意见》（以下简称《意见》）发布，提出我国未来 5 年—10 年医疗改革的目标和任务。医疗信息化建设有望提速，《意见》出台的新意在于“高起点推进标准化和信息化建设”和“建立管用高效的医保支付机制”。《意见》提出，高起点推进标准化和信息化建设。统一医疗保障业务标准和技术标准，建立全国统一、高效、兼容、便捷、安全的医疗保障信息系统，实现全国医疗保障信息互联互通，加强数据有序共享。随着疫情防控的需要、信息化的不断发展与国内居民在自身健康需求关注度的逐渐提升，医疗卫生行业为了提升我国居民医疗健康的管理与服务水平，通过信息化手段例如远程诊疗、移动诊疗、医疗物联网的方式拓展了各类医疗信息化的应用场景，互联网医院的开展也改变了传统线下就诊的服务模式，云计算、大数据的不断深化应用也让医疗信息化不再受传统 IT 服务架构的桎梏，医疗数据的研究背景 02价值进一步得到提升。但是，在这背后也存在着亟待解决的一些安全风险与问题。为了深入了解医疗卫生行业网络安全建设水平与运营现状，为医疗卫生行业各单位提升网络安全实战化保障能力提供参考依据，奇安信行业安全研究中心与医疗卫生行业一线运营团队联合编撰了《2022 医疗卫生行业网络安全分析报告》。报告从安全漏洞、运营风险、应急响应等多个维度出发，通过数据、案例等多种方式对医疗卫生行业网络安全现状展开全面分析。报告内容涉及医疗卫省行业网站 2100 个，应急响应事件 84 起，及百余起医疗卫生行业网络安全运营风险事件。 医疗卫生行业网络安全分析报告032022网站是政府和企业重要的信息化平台。网站安全也是政企机构最为关注的网络安全问题之一。近年来，国内大中型政企机构的网站安全建设已然取得了巨大的进步，但安全隐患仍然普遍存在。2021 年 1-12 月，补天漏洞响应平台（以下简称：补天平台）共收录全国医疗卫生行业相关网站的安全漏洞 2568 个，占全年各类网站安全漏洞的 1.8%，涉及国内医疗卫生行业网站2100个。其中，12月份收录的漏洞数量最多，为821个。第一章医疗卫生行业安全漏洞分析 05从漏洞属性分布来看，2021 年全年补天平台收录的医疗卫生行业相关网站的安全漏洞中，通用型漏洞占比 0.3%，事件型漏洞占比 99.7%。其中，通用型漏洞是指某一类系统共同存在的安全漏洞，具有一定的普适性，通常可以通过标准化方法进行检测。而事件型漏洞则是指某一个系统特有的安全漏洞，一般与系统的管理、配置不当或特殊开发过程等因素有关，一般需要通过人工挖掘来发现。从网站的 IP 归属地（省级）来看 , 来自北京市的医疗卫生行业网站被报告漏洞数量最多，占比约为 12.7%；其次是青海省，占比为 9.4%；广东省排第三，占比 9.1%。 医疗卫生行业网络安全分析报告062022从漏洞的危险等级来看，高危漏洞占比为 38.4%；中危漏洞占比为 52.7%；低危漏洞占比为 8.9%。 07从漏洞的技术类型来看，信息泄露漏洞最多，占比为 21.7%，其次是命令执行漏洞，占比为21.0%，弱口令漏洞，占比为13.4%。具体漏洞类型分布请见下图。2021 年全年，在补天平台收录的医疗卫生行业网站漏洞中，98.9% 网站漏洞已经进行了修复，1.1% 的网站漏洞未进行修复。这一修复比例，远高于补天平台平均漏洞修复率 97.8%，在所有行业中，排名居前。 医疗卫生行业网络安全分析报告082022一、安全运营风险事件安全运营风险事件（以下简称“风险事件”）是指网络用户由于计算机系统或设备相关因素、用户自身安全意识薄弱或者遭到外部攻击入侵导致的，在网络使用过程中存在一定风险，容易造成用户损失的网络安全事件。奇安信安全托管服务通过采集安全设备产生的网络流量、网络日志、安全日志、主机日志等数据信息，结合威胁预警情报分析发现客户侧的数据失窃密、非法连接与控制、系统破坏等行为，集合威胁情报库等信息，判定攻击来源组织、攻击工具、攻击技术、战术目标等，深度发现潜在的攻击行为和控制通道，为客户本地侧检测发现、追踪溯源、应急响应等提供技术支撑。本章内容基于奇安信安全托管服务团队数据，对 2022 年以来监测到的 100 余起典型风险事件进行了综合分析。二、风险事件发生时间下图给出了风