【臺灣資安大會直擊】從一次主機連線異常事件的反思，彰基：做好體系醫院聯防架構才能有效預防

「未知才是最可怕的！」彰化基督教醫院資安中心資安長粘良祁指出，今年2月，他開始導入託管式偵測及回應（MDR）的POC驗證，先鎖定資安中心主機。結果6月時，發現院內主機連線異常、卻找不出原因。當時，他緊急擴大導入MDR，終於在3臺主機上找到同一來源的木馬病毒，也完成清除作業。這次經驗，讓他意識到醫療IT系統維護合約的重要，彰基也持續大力推動醫療聯防架構，從防毒、無線網路和防火牆著手。

2月開始導入資安服務POC驗證，也是之後揪出病毒的關鍵

談到資安工作，粘良祁認為，就算系統已完成更新、防毒軟體已經安裝，就連上網功能也已封鎖，還是不能掉以輕心。他以自家發生的事件為例，今年2月，彰基規畫導入MDR服務，開始與委外廠商在彰基資安中心數十臺主機進行POC驗證。

一切看似正常，但就在6月23日，卻突然收到主機異常連線的通知，「我們的DBA發了封Email給大家，詢問是誰嘗試連線資料庫但登入失敗；」這封Email中，還附上了7個可疑IP。奇怪的是，粘良祁檢查這7個IP，卻未發現任何問題。於是，他馬上找來資安廠商，緊急擴大MDR安裝範圍，要揪出問題所在。

隔天，他們在院內30幾臺主機安裝了MDR軟體，當下就發現其中3臺感染木馬病毒，「且三支病毒來自同個IP，」當天也立即啟動緊急處理作業。而這些中毒的主機，其中包含掛號主機，「由於它只單純啟動服務、不儲存任何重要資料，」因此，團隊在當天晚上就直接重新安裝、解決問題了。

然而，如果是儲存重要資料、屬於重要服務的系統，就得注意是否簽署維護合約。粘良祁指出，由於彰基有些系統未簽署維護合約，團隊得額外花時間向服務供應商請教，來驗證病毒是否清理完畢。所幸驗證完後，就沒發現病毒存在了。

除了在院內30多臺主機安裝MDR，後來也擴大到100臺，也未發現新感染的主機。

防患未然，持續推動體系內醫療資安聯防

「彰基伺服器上約有500多個IP，是否還暗藏木馬病毒？」他指出，防患未然的解法，就是目前正在推動的體系醫院資安聯防架構，可分為防毒、無線網路、防火牆等三大部分。粘良祁指出，防毒聯防架構又分為三部分，也就是客戶端電腦（Client）和進階持續性威脅（APT）、入侵防護（IPS）、安全傳輸協定加解密（SSL），「去年已完成第一部分，今年要完成IPS，明年則是SSL。」

至於無線網路聯防，則是要設計一個機制，來阻擋透過無線網路且未通過認證的使用者。最後的防火牆聯防，則是透過對內網的嚴格掌控，來避免臺灣醫界去年發生的電子病歷（EEC）勒索病毒事件。文◎王若樸