化被動為主動 彰基力推醫療產業情資共享

資安情資共享對於防範未知威脅有極大效益，彰化基督教醫院從分享惡意威脅資訊給衛福部H-ISAC做起，期盼吸引更多醫療院所加入分享資安情資的行列，藉此形成臺灣醫療產業特有的資安情資，達到提升臺灣醫療產業防護力的目的。

面對持續進化的駭客攻擊手法，整合多方情資、對抗駭客攻擊，已成為世界主流。如衛生福利部即著手成立H-ISAC（Hospital Information Sharing and Analysis Center，緊急醫療關鍵基礎設施資安資訊分享與分析中心），透過醫療院所的情資共享方式，提升臺灣醫療體系資通訊安全的防護力。而彰化基督教醫院在打造智慧聯防架構外，更採用化被動為主動的防護思維，在2021年11月駭客組織大舉攻擊臺灣醫療院所時，該醫院完全沒有受到任何影響，凸顯出彰化基督教醫院的主動資安防護思維，值得其他醫療產業借鏡。

彰化基督教醫院資安中心資安長粘良祁指出，我們運用Fortinet 新世代防火牆搭配其他資安設備形成的智慧聯防架構，此架構會自動更新資安情資並主動阻斷潛在威脅或攻擊行為。在2021年11月11日衛福部H-ISAC發佈有6家醫療院所遭到同一IP攻擊時，我們立即調查資安日誌紀錄，發現早在2021年11月5日，該IP就嘗試攻擊本院，但立即被我們所建置的智慧聯防架構攔截此波攻擊，而非是接到通知後才被動去封鎖此IP，從而避免遭受零日攻擊的發生，且類似的案例在2021年12也再發生過一次。從這些案例可發現情資分享、主動攔截攻擊等策略重要性，因此我們希望能夠藉此推動醫院都能分享各自的情資來擴大資安情資內容，並期盼最終能形成台灣自有的醫療產業情資，讓臺灣所有醫療院所都能共同對抗日益嚴峻的資安威脅。

以主動取代被動思維 資安風險大減

在中臺灣醫療領域扮演重要地位的彰化基督教醫院，致力以完整的醫療體系為基礎，以企業公民的身份，共同和臺灣土地上的人民共同為人類福祉努力。該醫院的醫療願景是建立堅強、完整、安全的健康照護體系，成為全人關懷的醫療宣教中心。在此基礎下，彰化基督教醫院除提供以病人為中心的服務，亦關懷社區與弱勢族群，並希望成為醫療從業人員教育訓練的標竿醫院，以先進醫療科技之醫學研究中心。

隨著資料價值攀升，近幾年駭客組織開始將攻擊目標拓展到醫療產業，竊取大量病患個資進行販售，又或者藉由癱瘓醫療資訊系統，以便向醫院勒索贖金。因應此類趨勢，許多臺灣醫院開始逐步強化資安防護機制，只是多半採取傳統被動防禦機制，難以達到預期的防護成效，而彰化基督教醫院則是採取化被動為主動的資安思維，透過資安設備的情資共享，建構智慧聯網防護架構，讓彰基的資安防護能力能夠大幅提升。

粘良祁指出，傳統被動防禦思維是當遭到惡意程式入侵後，才開始清除內部網路受到感染的端點設備、駭客攻擊入侵路徑，乃至於進行資安鑑識工作等。相較之下，我們採取的主動防禦思維，是當某資安設備偵測到可疑IP位址時，會告知用戶、阻斷端點設備的外網連線之外，也會同步將相關資訊傳給Fortinet 新世代防火牆，立即封鎖外部IP位址至少60天。正因如此，我們才能在2021年抵禦數次未知的資安攻擊，達成保護病患個資、維持醫院正常運作。

FortiSIEM整合多方情資分析、比對威脅來源

為落實主動防禦思維，彰化基督教醫院在2020年著手打造智慧聯防架構，首波應用範圍為資安風險較高的無線網路環境。在此智慧聯防架構中，由資安情資最豐富、檢測能力最強悍的Fortinet 新世代防火牆負責閘道端網路封包的檢測，在第一線阻擋各種惡意威脅入侵。

而在Fortinet 新世代防火牆背後，則是導入FortiSIEM新世代資安事件分析管理系統，不僅可以統整跨品牌設備日誌與資訊，內建的AI / ML 智能分析引擎，可自動學習建立維運常態基準線。彈性的資安/網路監看儀表板，對應 MITRE 資安新框架，針對進階持續性威脅或勒索病毒的攻擊，提供更好的可視性。當防火牆或無線網路控制存取系統監測到各種觸發威脅事件的連線之後，會立即送到FortiSIEM進行分析比對，一旦確認為惡意威脅事件，可透過API介面連動不同品牌的有線、無線與資安設備，達到資安事故協作聯防與自動化響應。

「當確認為惡意攻擊後，會標記遭到感染的端點設備之外，也會同步透過無線網路AP阻斷該設備的連線，避免惡意程式的感染擴大。」粘良祁解釋：「如同前述，FortiSIEM 資安事件分析系統同步將可疑的外部威脅IP位址資訊傳送到Fortinet 新世代防火牆，主動阻斷該外部IP位址的連線。」

帶動分享資安情資 盼醫療產業情資成形

扮演智慧聯防架構中資安事件智能分析與管理的 FortiSIEM，其情資來源除了有 FortiGuard Labs 雲端平台上的最新全球情資外，彰化基督教醫院也會匯入衛福部H-ISAC公布的最新資訊，透過多種情資之間的搭配，找出潛藏於內部網路中的未知威脅。由於2021年智慧聯防架構上線之後，多次順利阻擋各種惡意程式攻擊，所以資安中心將持續擴充分析情資來源，強化對抗駭客攻擊的能力。

粘良祁說，從彰化基督教醫院的資安防護機制來看，資安情資共享對於防範未知威脅有極大效益。所以從2021年底開始，我們也將收集到的惡意威脅資訊，主動分享給衛福部H-ISAC，期盼由彰化基督教醫院拋磚引玉的方式，藉此形成醫療產業情資架構，達到提升臺灣醫療產業防護力的目的。

在推動臺灣醫療產業情資架構之外，彰化基督教醫院也將進一步擴大智慧聯防的監控範圍，擴展到有線網路的使用者外，也同時將此防禦機制延伸到的各分院之中，讓彰化基督教醫院醫療體系的資安防護能力逐步改善，全力實踐安全健康照護體系的願景。