2016年第一季度全國(guó)重點(diǎn)醫(yī)院網(wǎng)絡(luò)安全報(bào)告

責(zé)任編輯:editor007

作者:李輝

2016-06-13 22:51:53

摘自:IT經(jīng)理網(wǎng)

安全值行業(yè)報(bào)告是基于威脅情報(bào)數(shù)據(jù),利用大數(shù)據(jù)的分析方法對(duì)行業(yè)整體安全狀態(tài)進(jìn)行評(píng)價(jià)和分析,本次對(duì)全國(guó)204家三甲醫(yī)院進(jìn)行數(shù)據(jù)采集

報(bào)告概述

安全值行業(yè)報(bào)告是基于威脅情報(bào)數(shù)據(jù),利用大數(shù)據(jù)的分析方法對(duì)行業(yè)整體安全狀態(tài)進(jìn)行評(píng)價(jià)和分析,本次對(duì)全國(guó)204家三甲醫(yī)院進(jìn)行數(shù)據(jù)采集,并進(jìn)行安全評(píng)價(jià)和量化風(fēng)險(xiǎn)分析,包括業(yè)務(wù)安全、隱私安全、應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全、環(huán)境安全6個(gè)維度。

通過安全值對(duì)第一季度的數(shù)據(jù)分析發(fā)現(xiàn):

根據(jù)2016-5-31安全值數(shù)據(jù),重點(diǎn)醫(yī)院的安全值為861,整體評(píng)價(jià)為 “一般”,共204家,其中101家(49%)評(píng)價(jià)為“良好”;97家(48%)評(píng)價(jià)為“一般”;6家(4%)評(píng)價(jià)為“較差”。

過去3個(gè)月內(nèi)共發(fā)現(xiàn)101家醫(yī)院(48%)存在僵尸網(wǎng)絡(luò)風(fēng)險(xiǎn)。對(duì)2016-3-8至2016-6-8(近3個(gè)月)的數(shù)據(jù)進(jìn)行詳細(xì)分析,發(fā)現(xiàn)70家醫(yī)院76個(gè)IP資產(chǎn)被曝僵尸網(wǎng)絡(luò),2405次僵尸網(wǎng)絡(luò)報(bào)警。其中近3個(gè)月告警次數(shù)最多的IP告警次數(shù)為726次,超過50次告警的IP數(shù)為11個(gè)。其中5個(gè)為疑似共享IP資產(chǎn),存在高風(fēng)險(xiǎn)。

一. 行業(yè)總體概況

6401

根據(jù)2016-6-8安全值數(shù)據(jù),重點(diǎn)醫(yī)院的安全值為861,整體評(píng)價(jià)為 “一般”,共204家三甲醫(yī)院,其中101家(49%)評(píng)價(jià)為“良好”;97家(48%)評(píng)價(jià)為“一般”;6家(3%)評(píng)價(jià)為“較差”。

評(píng)價(jià)得分范圍數(shù)量占比
良好 901-1000 101 49%
一般 601-900 97 48%
較差 400-600 6 3%

1.1. 總體安全值分布

640

從安全值的分布情況來看,其中116家三甲醫(yī)院得分高于或等于平均值861,88家得分低于平均值,最低分?jǐn)?shù)為515分。

1.2. 互聯(lián)網(wǎng)資產(chǎn)統(tǒng)計(jì)

安全值對(duì)互聯(lián)網(wǎng)資產(chǎn)進(jìn)行分析統(tǒng)計(jì),包括各機(jī)構(gòu)注冊(cè)的域名、面向互聯(lián)網(wǎng)開放的主機(jī)服務(wù)(不僅限于Web服務(wù)的網(wǎng)站)和公網(wǎng)IP地址。

本次采集的數(shù)據(jù)中域名共有213個(gè),公網(wǎng)主機(jī)1490個(gè),公網(wǎng)IP地址877個(gè),平均每個(gè)機(jī)構(gòu)有13個(gè)互聯(lián)網(wǎng)資產(chǎn)。

二. 風(fēng)險(xiǎn)分布及量化評(píng)估

2.1. 風(fēng)險(xiǎn)量化評(píng)估

640-3

根據(jù)業(yè)內(nèi)的信息安全風(fēng)險(xiǎn)管理最佳實(shí)踐,結(jié)合風(fēng)險(xiǎn)等級(jí)、影響范圍、頻率、數(shù)量、時(shí)間各方面要素建立量化風(fēng)險(xiǎn)的計(jì)算模型,對(duì)整體情況的6個(gè)風(fēng)險(xiǎn)域(業(yè)務(wù)安全、應(yīng)用安全、隱私安全、主機(jī)安全、網(wǎng)絡(luò)安全和環(huán)境安全)進(jìn)行量化評(píng)價(jià)。

2.2. 存在風(fēng)險(xiǎn)的機(jī)構(gòu)數(shù)量

總數(shù)業(yè)務(wù)
安全應(yīng)用
安全隱私
安全主機(jī)
安全網(wǎng)絡(luò)
安全環(huán)境
安全
機(jī)構(gòu)數(shù)量 204 65 28 137 110 30 0

應(yīng)用安全和主機(jī)安全較為嚴(yán)重,有137家醫(yī)院存在隱私安全風(fēng)險(xiǎn),110家存在主機(jī)安全問題,報(bào)告第4章對(duì)僵尸網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行了詳細(xì)分析。

三. 風(fēng)險(xiǎn)指標(biāo)分析

安全值整體基于12個(gè)風(fēng)險(xiǎn)指標(biāo)支撐6個(gè)維度的安全評(píng)價(jià),分別對(duì)各項(xiàng)風(fēng)險(xiǎn)指標(biāo)影響的機(jī)構(gòu)數(shù)量進(jìn)行統(tǒng)計(jì)便于找出較集中的問題。

四. “僵尸網(wǎng)絡(luò)”風(fēng)險(xiǎn)詳細(xì)分析

指標(biāo)說明:反映出網(wǎng)絡(luò)內(nèi)的服務(wù)器或者終端已經(jīng)被植入木馬、后門,被非法控制成為“肉雞”,對(duì)外發(fā)起了掃描或者攻擊的行為。

640-6

過去12個(gè)月內(nèi)共發(fā)現(xiàn)101家醫(yī)院(49%)存在僵尸網(wǎng)絡(luò)風(fēng)險(xiǎn)。對(duì)2016-3-8至2016-6-8(近3個(gè)月)的數(shù)據(jù)進(jìn)行詳細(xì)分析,發(fā)現(xiàn)70家醫(yī)院76個(gè)IP資產(chǎn)被曝僵尸網(wǎng)絡(luò),2405次僵尸網(wǎng)絡(luò)報(bào)警。

640-5

類型 C&C攻擊 混合攻擊 Nginx攻擊 SQL注入攻擊 暴力破解攻擊
次數(shù) 565 63 22 13 33
類型 TCP半鏈接攻擊 掃描嗅探 訪問后門 上傳木馬 其它攻擊
次數(shù) 648 724 51 100 1885

其中近3個(gè)月告警次數(shù)最多的IP告警次數(shù)為726次,超過50次告警的IP數(shù)為11個(gè)。其中5個(gè)(標(biāo)記為黃色底色)為疑似共享IP資產(chǎn)(*),存在高風(fēng)險(xiǎn)。

IP資產(chǎn)開始時(shí)間結(jié)束時(shí)間告警次數(shù)
42.***.***.78 3/29/16 00:00 6/7/16 00:00 726
114.**.***.211 4/24/16 00:00 6/8/16 12:29 315
124.***.**.133 5/1/16 00:00 6/8/16 14:12 208
58.**.***.216 5/2/16 00:00 5/29/16 00:00 132
220.***.***.123 4/29/16 21:07 6/8/16 13:10 109
103.***.***.133 3/14/16 00:00 6/8/16 00:00 87
221.***.***.6 3/9/16 00:00 6/7/16 00:00 75
61.***.***.3 3/9/16 00:00 6/7/16 00:00 75
219.***.***.21 5/27/16 08:05 6/6/16 10:40 58
219.***.***.34 5/28/16 00:40 6/6/16 11:15 54
58.**.**.202 5/27/16 07:50 6/1/16 13:00 54

注:

共享IP資產(chǎn):共享IP資產(chǎn)為多家不同機(jī)構(gòu)的域名共用同一個(gè)IP資產(chǎn)。一般是委托第三方管理網(wǎng)站或者租賃虛擬網(wǎng)站等時(shí)會(huì)使用共享IP資產(chǎn)。

針對(duì)上述5個(gè)共享IP資產(chǎn)近一個(gè)月被域名劫持個(gè)數(shù)為:

IP資產(chǎn)近一個(gè)月被域名解析個(gè)數(shù)
42.***3.***.78 10個(gè)域名
58.**.***.216 81個(gè)域名
220.***.***.123 8個(gè)域名
220.***.***.123 6個(gè)域名
103.***.***.133 60個(gè)域名

搜集了2016年3月8日到2016年6月8日攻擊數(shù)據(jù),其中5月27日到6月1日非法外連行為最多。

640-8

  從24小時(shí)的分布情況來看,僵尸網(wǎng)絡(luò)行為主要集中在00:00-00:59。

640-9

  處置建議:

1.針對(duì)共享IP資產(chǎn),盡量不要使用。因?yàn)楣蚕鞩P資產(chǎn)引起的攻擊行為會(huì)影響該企業(yè)的聲譽(yù);

2. 行業(yè)機(jī)構(gòu)應(yīng)該加強(qiáng)網(wǎng)絡(luò)行為的監(jiān)控能力,結(jié)合內(nèi)外部的數(shù)據(jù)對(duì)IP網(wǎng)絡(luò)進(jìn)行排查,對(duì)照日志排查被入侵的主機(jī),及時(shí)清楚木馬后門,對(duì)服務(wù)器和辦公網(wǎng)絡(luò)出口的外連行為進(jìn)行審計(jì);

3. 建議加強(qiáng)終端安全管理要求,根據(jù)實(shí)際情況不熟上網(wǎng)行為管理進(jìn)行控制。

風(fēng)險(xiǎn)指標(biāo)說明

安全值根據(jù)外部大數(shù)據(jù)和威脅情報(bào)數(shù)據(jù)進(jìn)行挖掘,建立并持續(xù)更新指標(biāo)體系,當(dāng)前由12項(xiàng)安全風(fēng)險(xiǎn)指標(biāo)支撐安全評(píng)價(jià)和分析。

域名劫持:域名解析異常,部分用戶數(shù)據(jù)可能被非法劫持;域名被封:域名被判定為不可信任的域名,部分用戶可能無法訪問;郵箱被封:郵件地址被認(rèn)為垃圾郵件域,發(fā)出的郵件可能被認(rèn)為垃圾郵件;IP被封:IP被判定為惡意地址,可能影響網(wǎng)絡(luò)正常通訊;漏洞披露:在互聯(lián)網(wǎng)安全社區(qū)上披露了系統(tǒng)的安全漏洞;Web攻擊:在線Web系統(tǒng)遭受了黑客的Web攻擊或掃描;域名信息泄露:域名未做隱私保護(hù),域名管理員可能會(huì)遭受釣魚攻擊;帳號(hào)信息泄露:企業(yè)的員工帳號(hào)在第三方數(shù)據(jù)庫中被泄露,可能包括密碼等敏感信息;惡意代碼:信息系統(tǒng)上發(fā)現(xiàn)后門、病毒、木馬等惡意代碼;僵尸網(wǎng)絡(luò):網(wǎng)絡(luò)內(nèi)的主機(jī)可能已經(jīng)被入侵,并植入木馬、后門程序;異常流量:在線系統(tǒng)或網(wǎng)絡(luò)遭受DDOS拒絕服務(wù)攻擊;公有云風(fēng)險(xiǎn):您正在與惡意網(wǎng)站共用同一個(gè)云服務(wù)資源。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)