三軍總醫院採取多元防護策略 全力縮短偵測異常事件時間

在攻擊手法進化、入侵管道多元下，邊界防禦難以全方位杜絕威脅入侵。三軍總醫院採取多元防護機制並進的策略，擴大整體資安防護縱深，搭配建立SIEM方式，即時分析異常網路行為，全力實踐降低資安事件衝擊、保護病患隱私的目標。

在提供病患更佳醫療服務的前提下，運用多種創新科技打造智慧醫療環境，已成為世界各國醫療產業的共通目標。不過，當原本封閉醫療環境結合資通訊產品之後，若沒有同步強化資安防護機制，將給予駭客更多可趁之機。在保護病患隱私、符合國防部資安政策的前提下，三軍總醫院在積極發展智慧醫療之外，也採取資安縱深防禦的策略，運用Fortinet FortiSIEM打造SIEM平台，整合醫院內部各種資安設備產生的資料，主動挖掘可能的潛在資安威脅，全力杜絕資料外洩事件發生。

三軍總醫院醫療資訊組系統工程組組長林靖説，擁有大量病患就醫資料的醫院，向來是駭客鎖定的主要攻擊目標之一。在現今攻擊手法多變下、入侵管道多元下，不可能僅仰賴單一品牌、單一種防禦機制，即達成保護重要醫療資料安全的目的。我們採取多品牌資安產品相互搭配的策略，而Fortinet FortiSIEM可整合各品牌資安設備的資料，同時進行歸納與分類的工作，讓資安團隊能快速掌握院內最新資安現況，並針對威脅採取最合適的因應策略，對於提升整體防護力帶來極大幫助。

惡意程式進化快速 建立SIEM平台刻不容緩

成立至今已有65年歷史的三軍總醫院，是獲得衛福部評定之醫學中心級教學醫院，負有臨床醫療、教學與研究之責，醫療服務對象為現役軍人、軍眷及一般民眾。該院平時除提供民眾醫療服務及國防醫學院學生臨床教學與實習外，戰時還負有動員支援及整合管制醫療資源的任務，且配合國家政策陸續接收澎湖、基隆、松山、北投、臺北門診中心等五個分院，持續提供軍民最優質的醫療服務。

三軍總醫院在編制上屬國防醫學院之教學醫院，平時對資訊安全就非常重視，加上屬於國家關鍵基礎設施等級中的A級單位，因此資安防護策略上比其他醫院更為嚴謹。如在邊界防護上，採取多品牌相互搭配的機制，以強化偵測異常網路事件、惡意軟體的能力。另外，針對擁有大量機敏資料的醫療院區，採取實體網路隔離的機制，阻斷所有設備的連外網路，若同仁有存取外部資源需求時，都必須透過特定公用電腦或虛擬桌面執行。

林靖指出，在資安防護策略中，同仁也不能直接讀取院外的隨身碟。外部隨身碟必須先經過專屬資安電腦檢測後，再將資料複製資安電腦上，最後轉存到院內專屬的隨身碟後，才能在院內電腦上使用。儘管透過前述多種政策搭配，已經將惡意軟體入侵機率降到最低，但是我們認為仍然需要一套可監控醫院內部網路安全的機制，才能及時回應無孔不入的資安威脅。因此，2019年我們開始規劃建置SIEM平台，而經過完整的POC測試之後，最終決定引進Fortinet FortiSIEM平台。

多種部署模式 兼顧資安與隱私

誠如前述，在配合資安防護政策下，三軍總醫院的基礎網路架構非常特殊，同時存在可連網環境、內部醫療網路及實體隔離環境，所以在選擇合適 SIEM 平台的過程也相對繁瑣。首先，SIEM平台必須可串連院內所有的資安設備，以便彙整大量資安訊息，並傳到外部資安業者的平台上，由SOC團隊進行即時分析與解讀。此外，針對內部醫療網路與實體網路隔離的環境，該SIEM平台也需具備落地安裝版本，方便公司內部資安團隊進行監控。而在市面上眾多SIEM平台中，僅有Fortinet FortiSIEM平台在性價比上符合三軍總醫院的要求。

Fortinet FortiSIEM平台支援超過 400 種設備，可收集跨品牌資安與網路設備各種資訊與記錄，包括日誌、效能指標、SNMP Traps、資安告警、組態變更等資訊，且會解析、處理轉換為相同格式的事件，方便SOC團隊進行監看、即時搜尋、自動關聯規則。除分析與管理所有的資安事件與記錄外，資安團隊也可透過此平台，即時監看掌握網路與設備效能資訊與可用性。

「對於採取實體隔離環境的醫療院區，我們不可能為將資安資料送到外部合作夥伴，而開通特定的網路埠。若真採取此種做法，就失去實體網路隔離的目的，也額外增加需要防護的通道。」林靖解釋：「藉由Fortinet FortiSIEM平台協助下，現今資安團隊可即時進行監控，能在察覺異常網路行為的第一時間，立即採取因對措施外，將資安事件影響程度降到最低。」

降低團隊工作負擔 規劃引進SOAR方案

透過採取實體網路隔離機制，結合禁止存取外部隨身碟的作法，理論上可以防堵威脅入侵，但是在惡意程式自我隱藏能力進步下，難保不會有漏網之魚出現。因為，專屬資安電腦檢測外部隨身碟是採取特徵碼比對方式，若惡意程式剛問世不久，確實有可能躲過此階段的檢測。不過即便入侵醫療院區的網路環境，也因為採取實體網路隔離政策，惡意程式也因失去對外聯繫、傳送的管道，無法將資料送到外部中繼站。此時，借重Fortinet FortiSIEM平台收集與歸納資安設備產出的訊息，SOC團隊便可揪出內部環境中的惡意程式。

林靖指出，雖然惡意程式沒辦法將資料傳送到外部，但若能儘早發現內部潛在威脅，自然能減少設備被感染的數量，讓醫院內部資訊安全狀態更為健康。藉由Fortinet FortiSIEM平台，我們也能掌握整體資安防護上的弱點，作為後續改善與強化的方向。

目前三軍總醫院有已經有4位專職資安人員，不過要監控與維運總院、分院的資安狀況，仍然是非常吃重的工作。所以在未來規劃中，希望能夠進一步引進Fortinet SOAR Security Orchestration, Automation and Response)，運用該產品融合 AI、ML 技術的智慧分析與精準告警，建立一套自動化回應資安事故的機制，加快回應異常事件的能力，讓寶貴人力能發揮最大效益。