1年1.6億次攻擊如何擋？三總從實戰練出7措施11方法打造更強防禦

三總是全臺最大軍醫院，也屢屢成為資安攻擊的標靶，曾經1年遭受過上億次攻擊。在這些經驗中，三總先是以切割DMZ、分割網段等7個措施，再進一步用11個方法來圍堵缺口，最後收緊USB的使用，才維持每個季度病毒量在200、300以下。三總總結醫療資安3心法：可視監控、隔離管制、關鍵保護，未來還要建置自動化資安應變系統。

醫療資安事件頻傳，2019年國家級資安事件讓醫院加碼重視

三總是國防部所屬14家國軍醫院之一，不僅是北部醫院中心，也是全臺最大的軍醫院。三總醫療資訊組系統工程組組長林靖指出，近年醫療資安事件頻傳，像是新加坡醫療系統遭駭外洩150萬筆個資，或是德國醫院因勒索病毒發生病患死亡事件，甚至像在臺灣，2019年勒索軟體侵襲全臺30多家醫院，造成了國家級醫療資安事件。

2019年那次攻擊之所以影響多家醫院，是因為駭客入侵健保VPN網路，再從衛福部電子病歷交換中心的EEC閘道器，蔓延到多家醫院。林靖解釋，攻擊者透過遠端桌面連線和暴力破解，入侵了健保申報主機，再橫向擴散到不同的EEC閘道器，也就是醫院與衛福部交換電子病歷的平臺。

駭客等於是攻進了健保內網，在醫院與健保署共用的內部網路擴散，才導致30多家醫院受到攻擊。這次事件後，全臺醫院更加注重資安，紛紛投入資安防護建設，衛福部也開始改善EEC內網安全。

身為全臺最大軍醫院成為攻擊標靶，AD都曾遭駭變成散播跳板

但對三總來說，「資安攻擊司空見慣。」林靖指出，早從2004年開始，三總就不斷受到攻擊，尤其在2018年，全臺軍醫院頻頻遭受攻擊，甚至，「一年共有1.6億次攻擊，大多針對三總。」

不過，他認為，最嚴重的攻擊發生在2013年，中國網軍透過社交工程，把醫院最重要的網域主控站（AD）「打掛了」。駭客取得AD控制權後，在內部網路環境部署多個控制管道來擴散。

林靖分析，那次災情只因一封電子郵件而起。收信者開啟信中檔案，後門程式順勢觸發，駭客便透過中繼站操控受害電腦，來下載破解密碼的惡意程式，對AD展開攻擊。

當駭客掌握AD控制權後，也就取得醫院網域內所有帳號密碼資訊，開始在內網橫向擴散，攻擊其他電腦和伺服器。不只如此，駭客還透過跳板程式來操控這些電腦、上傳資料。

三總第一次調整，用7招防護措施來改善

2013年事件發生前，三總原有資安架構是，外部設置一套入侵防護系統（IPS），來管理對外網路區域（DMZ），包括了AD、網路、郵件主機和網域名稱伺服器DNS。IPS下還建置了外部防火牆和網頁內容過濾器，對內則有2套不同型號的內部防火牆搭配，來保護三總不同院區（包括臺北門診中心、松山院區、北投院區、澎湖院區）以及國防醫學院的資訊安全。

內部防火牆之後設有閘道器，除了一端連接到健保VPN外，還有一端連接到緊急醫療網與伺服器運算農場（Server Farm），其下有內部的AD、交換主機、急診系統等。三總還有另一個閘道器來連結汀州院區、行政網、醫療網和資管室網段。

林靖解釋，採用不同型號防火牆的原因，是為了預防一款遭攻陷，還有另一款可防護。即使做到了如此的防禦縱深，但那起事件中，駭客還是能入侵，三總認為，這代表當時的架構不夠強韌。因此找來資安業者討論，用了幾個方法來更進一步來精進資安架構。

第1個方法是將DMZ按業務特性和風險程度細分，再切割成多個DMZ區，比如將提供外部服務的網路掛號等主機，移到外部DMZ區，或是將伺服器農場再分割，比如分為行政網DMZ區、內部網路DMZ區等。

再來，三總也隔離了外部郵件，不讓外部信件進入醫院內部。

第3，為確保分院和總院安全，各院區（包括汀州院區、國防醫學院、臺北門診中心、松山院區、北投院區、澎湖院區）改由總院單一閘道連線至網路。同時，各院區專線應經過防火牆把關，而且要在防火牆內限定可存取的指定資源。

接下來，則是在網段間設置存取控制清單（ACL），包括醫療網、行政網、資管處網段、緊急醫療網和伺服器農場等。第5個方法則是在伺服器農場中，將醫療系統和資料獨立出一個網段，安裝防火牆來限定可存取來源和協定。不只如此，三總對外也採取更嚴格的措施，比如院外連線需透過VPN，而且還要雙因數認證。

此外，三總也逐年改善資安防護措施，比如在DMZ區前增加防護、在後端也增設APT防火牆等更多系統來防護。

「加了這麼多層的縱深防禦架構，就夠了嗎?」林靖表示，三總在2017年再次遭到攻擊，當時攻擊者雖然嘗試攻擊伺服器主機，但在攻擊發起階段，就被院內部署的區域聯防機制偵測到了，於是三總立即啟動防堵應變程序，化解了攻擊行動。這次的經驗也開啟了三總進行二次防禦架構調整。

三總第二次調整，11措施全面防堵醫院資安缺口

這起事件發生後，國防部緊急要求三總再次盤點所有資安缺口。林靖指出，醫院端使用網路的單位包括了臨床醫療、教學部、研究部，其中「教學和研究部，與國防醫學院完全分不開，」因為國防醫學院每年都派實習生到醫院受訓，而三總主治醫師，也經常要到國防醫學院教課，雙方需要資訊可共享的網路服務。

三總原本就將醫院內網封閉、只開放虛擬桌面VDI連接，但卻未將國防醫學院的路徑隔離在外，因此造成缺口，才釀成了這起攻擊事件，駭客入侵後便橫向擴散到醫院其他主機。

三總盤點缺口後，開始進行防堵，要建造完善的醫療資安防禦網。他們採取11項措施，首先是網系隔離，這次將國防醫學院學術網實體隔離，徹底與三總分割。再來是網路管理方面，醫療網電腦對外連線，只開放給白名單上醫療業務所需的IP，其他對外連線一律禁止。如果需使用網路資源，只能透過虛擬桌面方式上網，並進行黑名單管制，甚至使用完立即中斷連線。

第3個措施是，全院管控行動儲存設備，比如隨身碟。三總管控之嚴，連醫師用隨身碟都必須先註冊，來掌握每一個使用者。

再來是安裝檔案加解密系統。安裝系統後，資料攜出三總時會經過加密，讀取者需要解密才行，林靖指出，若連這麽做都發生資料外洩，那就表示有人刻意為之，這也是三總想要杜絕的事。

除此之外，三總也全面建構端點防護作為，不只在使用者端，全面安裝防毒軟體，來防範已知病毒，也安裝資安監控軟體，透過滲透行為鑑識，來辨識未知的攻擊行為。

其他措施還包括禁止非必要性軟體安裝（如Line）、管制高危連接埠和指令碼（如網路芳齡139和445、PowerShell）、定期資安健檢和醫護人員資安訓練等。另外，由於當時資訊工程師只有4位，人力不足，因此委外資安廠商來建置SOC機制。

另一個措施是定期更新作業系統修補檔。「我相信許多醫療院所都對這點很頭痛，」林靖解釋，因為一般PC有更新程式可修補，但醫療電腦連接了大型醫療裝備，這類電腦的作業系統多半為Windows XP，「根本更換不了，」除非連醫療裝備一起汰換。即便如此，三總還是找到方法來解決，也計畫採購IoT資安閘道器來應對。

三總用內部偵測到的病毒程式量，來觀察資安架構對外的防護強度，數量越少，代表多數病毒程式被層層攔截了。三總統計後發現，2013年第三季，內部監測到的病毒數量高達4,500支，資安架構經過第一次調整後，每季度的病毒量下降至500支以下，而2017年第二次調整後，每季度病毒量也微幅下降。最近在2020年的第三次調整，三總更決定全院封鎖外部USB，只保留一個簡易站電腦，需使用USB的醫護人員，得將自帶USB的檔案先拷貝到這臺電腦，再用公發USB來存取，才能到內部使用，來降低惡意程式的攻擊。此時，每季內部偵測到的病毒量已經小於200支。

醫療資安3大心法：可視監控、隔離管制、關鍵保護

「因為嚴格的防護措施，2019年勒索軟體攻擊全臺醫院事件中，三總反而沒有受到影響。」三總經過多次攻擊、久病成良醫，林靖也分享醫療資安的3大心法，也就是可視監控、隔離管制、關鍵保護。

可視監控的第一步，「網路是駭客攻擊的第一目標，因此要建立網路可視化系統，來監控異常流量。」他提醒，傳統網路流量監控的設備，無法監控SSDL加密資料，因此，三總也採購了進階的加密資料監控設備，能解開加密式內容，來加強監控。

再者，三總也鎖定醫療裝備等物聯網設備，要採購IoT資安閘道器，來掃描IoT設備狀況，進而實現可視監控。再來，三總也建立SIEM平臺，來彙整上述兩種資料，來進行即時性分析，未來還要導入AI大數據分析，來自動找出異常活動，降低人力負荷。

而第2個心法「隔離管制」則要做到4個要件，也就是邊界防護（防火牆）、網路區段隔離，比如分行政網、醫療網等，再來是實體隔離和單機隔離，像三總就將國防醫學院的網路直接切割，進行實體隔離。

至於關鍵保護，首先在程式面，三總要建立零信任監控，針對PC、伺服器等，建立應用程式白名單，來有效避免惡意程式。再來是帳號權限管控，因為，三總經歷過AD遭控制、帳號密碼權限全失的事件，因此借助不同資安軟體來管控帳號。

林靖推薦各家醫療院所，參考衛福部去年8月發布的「基層醫療院所資安防護參考指引」，「醫院只要做到指引中的措施，就能大幅提高資安層級，」他指出。指引給的建議有醫療和醫務單位須有專屬設備、電腦安裝防毒軟體並隨時更新作業系統，再來是強化內部基層和管理人員資安意識、加強委外廠商管理、落實網路隔離、強化IoT設備管理、落實設備預設帳密和加強密碼強度、設備報廢或再利用的管制，以及導入資安雲端訂閱服務，完善進階資安防護。

與攻擊共存，把資安當作一種管理流程

他也坦言，不管任何產業，都沒有絕對安全的系統，因此，「學習接受可接受的風險，與攻擊共存，」當遇到駭客發動攻擊時，有能力儘早找出問題點，解決問題。

在他看來，資安就是一種管理流程，包括預防、偵測、控制、復原、修正。預防要做到的是，避免未授權而獲取資料或資源；偵測則是找出資訊系統內的不法案件；控制是要啟動安全措施，遏止不法事件發生；而復原則是要建立資安事件後的復原能力，最後的修正，則是加強管理工作，一有缺失就立即更正。如此，醫院才能盡情發展智慧醫療應用。

未來，三總還要建立自動化資安應變系統，透過大數據分析來快速掌握資安情資，此外還要透過微分割和SDN機制，來即時響應告警，快速阻止有線和無線網路中的威脅。