彰化基督教醫院資安中心資安長粘良祁 (攝影/洪政偉)

一談起醫療資安,彰基資安長粘良祁坦言:「我們人手一直不足。」2年前資安法上路,加強對重點醫院的資安規範,彰基也隨即成立資安中心,找來原本負責IT網管業務的粘良祁,拔擢任命為資安長。

彰基是臺灣極少數設有資安中心和資安長的醫學中心,按資安法規定,A級單位的彰基,資安中心編制得有4名資安人員。但是,「招募近2年,一直找不到合適人才,」他無奈的說。

資安中心依舊只靠一人作業,還得同時兼顧全體系多家醫院的網路。不只內部資安人手不足,在中部的另一個挑戰是,資安廠商的數量遠不如北部,想靠委外來分攤資安工作,選擇也有限。

粘良祁等於是校長兼撞鐘,既要訂定整體資安策略,又要負責總院和各分院和資安管理,甚至得執行資安技術面的導入。就算IT部門派出少數人力兼職支援資安工作,但粘良祁還是一直苦於專職資安人手不足的問題,就如同臺灣大多數醫院一樣。

彰基近年來積極朝醫療體系集團化的發展,除了1千4百多床的彰化南郭總院,旗下還有初創時的中華路院區,五家地區醫院和一家兒童醫院,分散在彰化、雲林、臺中和南投,員工超過8千人,總病床數超過3,600床。

只有1個人,他要如何管理擁有數千床病床規模的彰基資安呢?

善用自動化技術實現內網可視化五心法

「人力不足,就要靠自動化技術來補足。」粘良祁用一句話點出精髓。因為絕大多數駭客攻擊都從網路發動,但是,「網路摸不著、看不到,被攻擊了也不知道,」網管背景出身的粘良祁,相當清楚,想要阻斷攻擊,得先看得到在企業內部網路上發生的攻擊跡象才行,否則難以防禦。而這正是IT技術可以發揮的地方。

他認為,在人手不足的情況下,更需要借助自動化技術來監控網路活動,甚至要達到自動攔截、自動通報的境界才可以。

為了發現那些「看不到的網路攻擊行為」,粘良祁兩年下來,歸納出了一套內網可視化心法,要靠五大步驟,來實現5項目的,來推動實資安自動化防護的願景,先從總院做起,再逐漸擴大到各分院。

用一句話來介紹彰基內網可視化心法想要達到的效果,就是「能看到、能分辨、能判斷、能阻擋、能通報」,這5大目地也正涵蓋了從內網監測到攻擊阻絕的5個執行過程,而對應的作法就是流量監控、流量分析、自動判斷攻擊行為、自動攔截惡意行為流量(SOAR),以及搭配SOC平臺自動通報。

進一步來看這套心法的設計,彰基希望首先做到「能看到(Visualization)」,也就是掌握所有網路流量的記錄,再來才是「能分辨(Analysis)」,從流量Log記錄中,找出用量暴增或異常的區域,鎖定來源IP、暴增時間、服務通訊埠等,來尋找「兇手或受害者。」

接著第三步是「能判斷(Detection)」,要進一步做到從異常流量中,自動判斷攻擊行為。下一步則是「能阻擋(Prevention)」,透過預先寫好的腳本或聯防機制,來自動判斷攻擊行為,自動攔截惡意行為流量、將攻擊隔絕在外。

最後一步則是「能通報(Notification)」,搭配院內SIEM資安監控平臺,來將事件情資自動通報至衛福部H-SOC平臺。

粘良祁比喻,內網可視化就像是配有警衛、監視器的社區大門,不管進出人員是否為住戶,都會監視所有進出活動。要是出現行為怪異人員,比如半夜3點進入社區且鬼鬼祟祟的非住戶者,警衛就會攔截檢查,「內網可視化的道理就是如此。」

去年,一場PoC專案經驗,更讓粘良祁加速實現內網可視化的迫切感。彰基資安中心當時展開了一項IT機房監控PoC專案,在短短一周內,發現了多起資安攻擊痕跡。粘良祁原以為彰基資安做得還不錯,但是,這個發現讓他當下難以接受。透過監控分析發現,大多數攻擊IP來自國外,資安中心也緊急限縮彰基IT服務的對外存取權,改為只有臺灣IP才能使用。

這個經驗更凸顯出,要做好資安,得先掌握網路流量,而且要能分辨異常,才能阻絕攻擊。粘良祁指出,彰基目前已經彰基已完成第三階段,建置了防火牆聯防、防毒聯防、無線網路聯防機制,能自動從流量中判斷攻擊行為,正努力往第四階段自動攔截能力來邁進。今年也會繼續強化網路監控,增加SSL加解密能力等。

不管是進行到哪一個階段,還有一項重要原則,貫穿了彰基內網可視化5大心法,那就是「聯防」設計的思考。這不是讓總院與7個分院各自管理內網的資安, 而是要重新建立一套跨所有院區的聯防架構。

彰基如何將聯防和內網可視化結合在一起?

要砍掉舊架構重練,靠中控平臺集中檢視分院資安政策

以防火牆聯防為例,過去彰基的防護策略是「擋外不擋內,」,不阻攔內部網路的資訊流通,因此,可以由彰基總院及7家分院各自管理防火牆,只要做好內外網控管就好。但粘良祁發現,這個策略反而造成破口,有時一支勒索病毒竄進分院,就會在內網擴散,影響其他分院。

於是,他要將原有架構打掉重練,移除舊有防火牆的部署方式,改將防火牆重新部署在所有內外網路的進出口,並且將防火牆政策集中管理。此外,他也採購了APT 進階資安防禦軟體,來協助監控、分析網路行為。

他引進的中控平臺機制尤為重要,統一納管了所有分院的資安政策。由於彰基缺乏資安和網管人力,不可能派人一家一家檢查,因此改借助中控平臺,總院可以集中檢視每家分院的資安規則,先行把關。

比如,若有分院資訊人員訂定規則時,為了省事,開放所有人都能存取某臺主機,資安中心看到時就會退回。不只如此,彰基會直接在中控平臺訂定整體性的規則,自動找出不符合條件的政策,加速揪出不良政策。

中控平臺集中管理的資料不只有政策規則,還包括各分院的各種Log日誌記錄和SIEM平臺的情資。未來,彰基希望可以進一步做到,讓網管就能從中控平臺搜尋所有IP紀錄,來檢視駭客是否入侵過其他分院。這也是粘良祁規畫中的未來方向。

防火牆聯防架構,未來彰基還計畫進一步整合到端點防毒上。彰基早在2019年時,就建置完成了一套APT防毒軟體聯防機制,採購了趨勢科技惡意程式快速偵測產品DDI,採取集中式中控平臺的監控架構,來和防毒主機搭配。

彰基利用這套產品監控所有網路連結埠和通訊協定,追蹤任何人從網路下載的檔案,送到這套產品內建沙盒環境,檢查是否埋藏惡意程式或惡意連結。一旦發現有可疑連結的情資,都統一集中到中控平臺,再同步更新到每一臺防毒主機上,來避免其他使用者或電腦,再次接觸到這些惡意程式。

粘良祁認為,這樣的作法還能更好。因為,「現有機制下,第一臺接收到可疑檔案的電腦,還是有可能遭惡意程式入侵、潛伏,」因此,他計畫在電腦上網的進出口端,加設可以連動到DDI的防火牆設備。

如此,當使用者點擊惡意連結時,DDI就能先行通知防火牆,來阻擋攻擊。如此一來,就能將端點防毒聯防機制,進一步和防火牆聯防機制串聯,透過防毒聯防取得的情資,來強化內網可視化的自動攔截能力。

資安政策要由上而下規畫,由下而上執行,才能避免重複投資。── 彰基資安中心資安長 粘良祁 (攝影/洪政偉)

無線網路聯防不只隔離異常,還要兼顧使用者體驗

內網可視化管理上,還有一個挑戰,就是讓使用者或裝置自由移動來連線的無線網路。彰基在Wi-Fi無線網路聯防上,更進一步搭配身分驗證機制來強化。它的設計是,先由一臺認證主機確認使用者身分,將使用者資訊傳送到SIEM平臺。當使用者連上網路時,防火牆會隨時監測,一旦發現異常,例如點擊了惡意連結,就先通報中控平臺,再轉達認證主機,直接將這個裝置斷網隔離,一段時間後再自動開通。

彰基會特別考量到這個管制機制在使用者端的體驗影響,不只是將斷網資訊透過 Line及時通知管理者,說明斷網原因與隔離措施。這樣還不夠,「還要通知使用者才行!」粘良祁指出,使用者再次上網時,系統會跳出警示視窗,說明裝置因為中毒而遭斷網,減少使用者的抱怨。

「資安的概念是控管,但人性不想被控管,」粘良祁認為,好的資安策略得在控管與自由之間取得平衡,既不會讓使用者不方便、也不用親自到資安中心申請重新上網,這就是一個平衡點,既不強行永久阻斷、系統也有自動開通的機會。

防火牆聯防不只串聯到無線網路聯防,彰基還準備整合到有線網路的連網設備管理上。先前就已透過MAC位址控管,來管理對有線網路的電腦或連網設備。粘良祁同樣用打造了一套入口網站,讓使用者自助搭配自動化開通機制,來取代過去靠Excel表格搭配人工手動開通權限的作法,減少對人力的需求。後來又進一步結合了審查機制,讓開通流程管理更細緻。今年,粘良祁還準備購置新型網路交換器,要將有線網路也納入網路聯防。

至此,已完成內網可視化三階段的彰基,接下來要進一步實現惡意行為自動攔截。但是,「即便做到內網可視化五步驟,也不代表能高枕無憂。」粘良祁指出,這五階段只是資安入門,還得搭配不同層面的手段,才能強化整體資安體質。

資安政策要由上而下規畫、由下而上執行

除了技術面,彰基強化資安體質的另一個重要手段,就是從政策面下手。比如, 為把關採購的設備資安,粘良祁也設計一套資安規範評量表,讓廠商先自評,方便醫院採購部門判斷,是否要轉交資安中心進行資安審查後,再進一步招商。

粘良祁認為,做好資安的精髓,在於「由上而下規畫、由下而上執行。」舉例來說,2019年時,有些單位原本添購40臺網路交換器,但他考慮到2021年有線網路資安聯防計畫,需具備控管能力的新型交換器而退回採購計畫。如果當時購買舊型交換器,就得再次汰換才能實施新聯防計畫,形成浪費。

「先規畫、再執行,」才不會重複投資。粘良祁指出,網路交換器可用5到10年,IT設備則約3至6年,醫療設備(OT)則是10多年。考量這些設備未來資安要求,他強調,一開始投資時就得仔細規畫,才能減少後續問題。

這個想法,也呼應了近幾年越受重視的OT資安議題。粘良祁坦言, OT一直是個挑戰,為了提高相關單位對這類資安的重視程度,他不只經常花時間到處溝通,更自己寫了一套資安規範的介紹,以白話解釋資安法規,要讓更多同仁理解硬梆梆的資安規定,也舉辦各種院內資安演講,來提高整體員工的資安意識。他希望從技術面和政策面,雙管旗下,能更鞏固彰基的資安防禦能力。

 CISO小檔案 

粘良祁

彰化基督教醫院資安中心資安長

學歷:大葉大學資管系碩士畢業

經歷:1998年擔任彰基電腦工程師,2年後轉任網路工程師,於2007年升任為網路管理組組長,10年後成為彰基資訊室資安課課長,2019年時升任為彰基資安長

 醫院檔案 

彰化基督教醫院

● 地址:彰化市南校街135號

● 成立時間:1896年11月29日

● 主要業務:提供醫療服務

● 員工數:約5,000人

● 董事長:陳信良

● 院長:陳穆寬

● 網址:www.cch.org.tw

 資安部門檔案 

● 直屬主管:粘良祁

● 資安中心名稱:彰基資安中心

● 資安中心人數:1人/4人

 大事紀 

● 2019年:完成防毒軟體聯防機制

● 2020年:輔導OT導入ISO27001

● 2021年:採購端資安控管流程上線


熱門新聞

Advertisement