春節(jié)剛過(guò)，年輕的住院部醫(yī)生張楠第一天上班，她突然發(fā)現(xiàn)，自己的電腦竟然出現(xiàn)了淘寶廣告彈窗，真是新年新氣象，按理來(lái)說(shuō)，它只能連內(nèi)網(wǎng)，上不了外網(wǎng)的。沒(méi)容她多想，忽然走廊里傳來(lái)藥劑科同事的“哀嚎”，他的電腦系統(tǒng)癱瘓，錄入其中的藥價(jià)等數(shù)據(jù)不見(jiàn)了。幾乎同一時(shí)間，對(duì)面診室的主治醫(yī)生袁朗眼睜睜的看著電腦中的病例瞬間消失……

10分鐘后，醫(yī)院緊急通知，系統(tǒng)可能受到了新型勒索病毒的攻擊，各部門(mén)啟用應(yīng)急預(yù)案。

不到半個(gè)小時(shí)，醫(yī)院的住院部大廳內(nèi)就人滿(mǎn)為患，陷入混亂，一些想掛急診號(hào)的家屬開(kāi)始變得焦躁。

而這，并不是個(gè)例，第二天相隔不遠(yuǎn)的另一家兒童醫(yī)院也遭遇了類(lèi)似的黑客攻擊，致使許多病患無(wú)法及時(shí)就診。

其實(shí)，雷鋒網(wǎng)發(fā)現(xiàn)，自去年WannaCry爆發(fā)以來(lái)，這些以前只在科幻大片中出現(xiàn)的場(chǎng)景，正越來(lái)越多的出現(xiàn)在現(xiàn)實(shí)生活中。比如，英國(guó)國(guó)立醫(yī)療服務(wù)（NHS）系統(tǒng)就曾成為重災(zāi)區(qū)，旗下248個(gè)醫(yī)療機(jī)構(gòu)中共就曾有48個(gè)受到攻擊，許多醫(yī)院正常的治療活動(dòng)也受到影響，部分病人被迫轉(zhuǎn)院。

之前更多針對(duì)個(gè)人的勒索病毒，近來(lái)頻頻瞄向醫(yī)院等機(jī)構(gòu)，比如這次的 GlobeImposter ，這也成為勒索病毒發(fā)展的“新趨勢(shì)”。

為何救死扶傷的醫(yī)院正越來(lái)越多的成為黑客攻擊的靶子？這些本就配備安全團(tuán)隊(duì)的機(jī)構(gòu)，為何系統(tǒng)屢屢被攻破？血的教訓(xùn)下，又該如何防范？

對(duì)機(jī)構(gòu)進(jìn)行勒索，成本低，來(lái)錢(qián)快

來(lái)自騰訊企業(yè)安全的技術(shù)專(zhuān)家饒帥，曾對(duì)多家醫(yī)院有過(guò)防護(hù)和應(yīng)急處理經(jīng)驗(yàn)，他告訴雷鋒網(wǎng)，相比于個(gè)人，黑客對(duì)機(jī)構(gòu)進(jìn)行勒索，更容易來(lái)錢(qián)。

之所以說(shuō)是成本低，是因?yàn)閷?duì)于一般的攻擊來(lái)說(shuō)，備好攻擊“原料”并不難，有時(shí)甚至都不需要自己來(lái)開(kāi)發(fā)，在網(wǎng)上就可找到已經(jīng)發(fā)布的各類(lèi)工具組合成攻擊包。當(dāng)然特殊的APT攻擊也有，但比較少。

與其他機(jī)構(gòu)相比，醫(yī)院的信息系統(tǒng)也比較有特殊性，如其中的醫(yī)學(xué)記錄、數(shù)據(jù)、病患資料以及預(yù)約信息等，都屬于需要緊急使用的信息，被加密后，會(huì)造成比較大的影響，所以勢(shì)必會(huì)想盡辦法以最快速度恢復(fù)數(shù)據(jù)，比如，馬上交贖金。

這并非是向惡勢(shì)力低頭，而是，還有什么比生命更重要？

自從去年體會(huì)過(guò)勒索病毒對(duì)眾多資料撕票的“血淚史”，不少人已經(jīng)成為了及時(shí)升級(jí)、不隨便點(diǎn)釣魚(yú)網(wǎng)址的“機(jī)智”網(wǎng)民，各路殺軟也會(huì)經(jīng)常秀一把輕松碾壓勒索病毒的肌肉。但對(duì)于服務(wù)器來(lái)說(shuō)，可就沒(méi)那么簡(jiǎn)單了，因?yàn)樾枰雷o(hù)的點(diǎn)實(shí)在太多，不像個(gè)人PC 下載一個(gè)靠譜的殺軟就萬(wàn)事大吉。

俗話說(shuō)，蒼蠅不叮無(wú)縫的蛋，而服務(wù)器，正好是那個(gè)“縫”比較多的蛋。

對(duì)于服務(wù)器來(lái)說(shuō)，可訪問(wèn)外網(wǎng)的終端，外接u盤(pán)，對(duì)外的web服務(wù)，內(nèi)部設(shè)備直接的訪問(wèn)控制，關(guān)鍵服務(wù)器防滲透、爆破，各種系統(tǒng)軟件、第三方軟件漏洞等都可能讓攻擊者趁虛而入。

在饒帥的實(shí)際工作中，一般醫(yī)院對(duì)于勒索病毒之類(lèi)的緊急事件都會(huì)有應(yīng)急預(yù)案，目前他所知道的還沒(méi)有因此而造成生命危險(xiǎn)的案例，不過(guò)在前文中所提到的NHS所遭遇到的勒索病毒，有一些病人被迫進(jìn)行了轉(zhuǎn)院。

在他看來(lái)，情況也許并沒(méi)有到達(dá)某些媒體所渲染的“非常嚴(yán)重”的境地，就目前的勒索而言，黑客往往是批量去嘗試找機(jī)會(huì)，廣撒網(wǎng)，可能攻擊了100家，其實(shí)可能只有1家的被攻擊成功，而我們看到的都是被攻擊成功的。

勒索分這兩步

對(duì)于醫(yī)院的電腦，很多人應(yīng)該有這樣的感受，醫(yī)生無(wú)非也就是開(kāi)個(gè)藥，查詢(xún)一下你的歷史病例，看起來(lái)是個(gè)內(nèi)網(wǎng)的操作流程，醫(yī)生天天忙得團(tuán)團(tuán)轉(zhuǎn)，又不會(huì)去發(fā)郵件逛淘寶點(diǎn)釣魚(yú)網(wǎng)址，為啥會(huì)中招？

雷鋒網(wǎng)發(fā)現(xiàn)，對(duì)黑客來(lái)說(shuō)，把大象放進(jìn)冰箱需要兩步。

第一步，打入對(duì)方內(nèi)部。

第二步，對(duì)其成員進(jìn)行大規(guī)模策反。

具體來(lái)說(shuō)，第一步需要突破邊界，從外網(wǎng)進(jìn)入內(nèi)網(wǎng)，在這個(gè)過(guò)程中往往是利用服務(wù)器的系統(tǒng)漏洞，或者是暴力破解遠(yuǎn)程桌面服務(wù)密碼，此時(shí)可成功打入敵方內(nèi)部。而第二步則是橫向擴(kuò)散，利用內(nèi)網(wǎng)互相傳播，進(jìn)一步擴(kuò)散感染面。

在整個(gè)破解過(guò)程中，黑客往往會(huì)先在系統(tǒng)上安裝遠(yuǎn)程控制木馬，以此遠(yuǎn)程控制中毒機(jī)器執(zhí)行任意操作，比如下發(fā)勒索者木馬，甚至可以卸載安全軟件。接著使用的手段就花樣就比較多了，比如感染共享目錄，抓取windows密碼后嘗試登錄其它機(jī)器（不同服務(wù)器使用同樣帳號(hào)密碼會(huì)中招），遠(yuǎn)程桌面密碼暴力破解，瀏覽器密碼查看嘗試等。

在饒帥和團(tuán)隊(duì)所接觸到的被攻破的案例中，一般打補(bǔ)丁完成度比較高，但關(guān)閉文件共享、端口服務(wù)等就會(huì)有很多醫(yī)院做不到，而不使用通用服務(wù)器帳號(hào)密碼，密碼定時(shí)更換，能做到這些的就更少了。

換句話說(shuō)，你被勒索并不是對(duì)方有多高明，有時(shí)是自己漏出的破綻太多。

血淚教訓(xùn)后，如何防御？

血淚教訓(xùn)過(guò)后，到底該怎么應(yīng)對(duì)“喪盡天良”的黑客？

騰訊企業(yè)安全團(tuán)隊(duì)給出了以下幾點(diǎn)建議。

1.目前在省級(jí)及其以上級(jí)別的醫(yī)院，都會(huì)配備安全人員或者有相關(guān)的預(yù)算（外包安全服務(wù)），可以定期做安全測(cè)試，相當(dāng)于人每年要體檢，知道問(wèn)題在哪里后，根據(jù)情況配備安全產(chǎn)品或者自己來(lái)部署安全防護(hù)。

2.采用高強(qiáng)度密碼，千萬(wàn)不要使用簡(jiǎn)單的弱密碼、弱密碼、弱密碼……（恩，有人會(huì)說(shuō)這是廢話，但就是說(shuō)上100遍，也還是有人會(huì)用，這點(diǎn)真的很重要）服務(wù)器密碼使用高強(qiáng)度且無(wú)規(guī)律的密碼，并且強(qiáng)制要求每臺(tái)服務(wù)器使用不同的密碼管理。

3.設(shè)置內(nèi)部訪問(wèn)控制，對(duì)沒(méi)有互聯(lián)需求的服務(wù)器、工作站，內(nèi)部訪問(wèn)需設(shè)置相應(yīng)控制，避免可連外網(wǎng)的服務(wù)器被攻擊后，被作為跳板進(jìn)一步攻擊企業(yè)服務(wù)器。

4.部署安全專(zhuān)業(yè)的云服務(wù)，在終端、服務(wù)器不熟專(zhuān)業(yè)安全的防護(hù)軟件，服務(wù)器可考慮不熟騰訊云等具備專(zhuān)業(yè)安全防護(hù)能力的云服務(wù)。

除了對(duì)于安全人員的要求，普通的醫(yī)生和后勤人員也要有安全意識(shí)。

1.不要讓電腦裸奔，個(gè)人電腦安裝靠譜的殺軟。

2.保護(hù)好自己的文檔，勒索病毒最想加密的就是你的重要文檔，或者備份，或者加密。

3. 關(guān)閉不必要的端口，默認(rèn)情況下，Windows 有很多端口是開(kāi)放的，不法黑客可通過(guò)這些端口連上你的電腦。盡量關(guān)閉 445、135、139 等不必要開(kāi)啟的端口，對(duì) 3389 端口則可以進(jìn)行白名單配置，只允許白名單內(nèi)的ip 連接登錄。

4.關(guān)閉不必要的文件共享，文件共享也存在隱患，如有需要，請(qǐng)使用 ACL 和強(qiáng)密碼保護(hù)來(lái)限制訪問(wèn)權(quán)限，禁用對(duì)共享文件夾的匿名訪問(wèn)。

5.養(yǎng)成良好的上網(wǎng)習(xí)慣，切記不要隨意點(diǎn)擊來(lái)源不明的郵件附件。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。