網(wǎng)絡安全攻防實戰(zhàn)技術與效果分析

馬曉亮

(重慶醫(yī)科大學附屬第一醫(yī)院 重慶 400016)

隨著互聯(lián)網(wǎng)與傳統(tǒng)醫(yī)療行業(yè)結(jié)合，形成了互聯(lián)網(wǎng)+醫(yī)療的新型服務模式，醫(yī)療行業(yè)網(wǎng)絡平臺的復雜性、開放性和應用環(huán)境多樣性等原因?qū)е箩t(yī)療行業(yè)面臨的網(wǎng)絡安全風險更加復雜，專門針對醫(yī)療行業(yè)的勒索病毒和APT攻擊也較一般行業(yè)更加激烈[1].

平國樓等人[2]對常見的網(wǎng)絡攻擊模型進行了分析和比對，從攻擊者視角對傳統(tǒng)攻擊模型和現(xiàn)代攻擊模型進行介紹，利用攻擊指標、概率框架、賦值方法和求解方法對網(wǎng)絡攻擊模型進行分析；王松等人[3]通過問卷調(diào)查等統(tǒng)計方法，對2016—2018年的二級以上的39家醫(yī)療機構(gòu)進行網(wǎng)絡安全現(xiàn)狀調(diào)查和分析，調(diào)查出醫(yī)療機構(gòu)面臨的網(wǎng)絡安全風險和原因；羅森林等人[4]對4種常見對抗演練模式進行問題總結(jié)和分析，提出雙角色多級別模型及演練策略和方法.

本文通過對網(wǎng)絡攻擊殺傷鏈模型、MITRE ATT&CK和免費開源安全技術進行研究，以醫(yī)療機構(gòu)網(wǎng)絡安全攻防實戰(zhàn)為應用場景，利用免費開源軟件對網(wǎng)絡攻擊的各階段進行分析和防護，利用開源和免費的網(wǎng)絡安全技術構(gòu)建醫(yī)療機構(gòu)網(wǎng)絡安全體系，提升網(wǎng)絡系統(tǒng)的安全防護能力和防護水平，對于提高醫(yī)療機構(gòu)的網(wǎng)絡安全性具有現(xiàn)實意義.

1 網(wǎng)絡威脅模型分析

網(wǎng)絡威脅模式是根據(jù)已經(jīng)發(fā)現(xiàn)的網(wǎng)絡攻擊案例，在總結(jié)攻擊所采用的技術基礎上，將攻擊階段進行抽象劃分，并將各階段所采用的技術手段進行總結(jié)，形成通用的知識庫和攻擊模型.

1.1 網(wǎng)絡攻擊殺傷鏈模型

如圖1所示，網(wǎng)絡殺傷鏈(cyber-kill-chain)是由美國洛克希德-馬丁公司提出的用于描述網(wǎng)絡攻擊全流程周期的模型[5]，“殺傷鏈”這個概念源自軍事領域，目的是為了描述攻擊環(huán)節(jié)的“發(fā)現(xiàn)目標、定位目標、跟蹤目標、瞄準目標、打擊目標和達成目標”6個階段模型[6].

網(wǎng)絡攻擊殺傷鏈模型將網(wǎng)絡滲透分解為7個階段[7]，如表1所示，在網(wǎng)絡攻擊殺傷鏈模型的每個階段有對應的特征用于識別攻擊，所以該模型可以被用來識別和防御網(wǎng)絡攻擊.

圖1 網(wǎng)絡殺傷鏈攻擊模型

表1 網(wǎng)絡殺傷鏈各階段分解

1.2 MITRE ATT&CK框架

ATT&CK(adversarial tactics, techniques, and common knowledge)框架是由MITRE提出的網(wǎng)絡攻擊策略和技術模型，通過攻擊者視角觀察真實世界的網(wǎng)絡攻擊技術[8]，ATT&CK模型是在洛克希德-馬丁公司提出的Kill Chain模型的基礎上，發(fā)展起來的一套更加詳細攻擊行為知識庫和模型，列舉了攻擊各階段的12種策略：初始訪問、程序執(zhí)行、持續(xù)化、權(quán)限提升、防御規(guī)避、訪問憑證、信息發(fā)現(xiàn)、橫向移動、信息收集、命令控制、信息滲出和影響，每項策略對應該階段和策略所需要的技術，策略對應的技術隨著網(wǎng)絡攻擊形式的發(fā)展和變化不斷增加，對應知識的內(nèi)容也會隨著顯示攻擊技術的發(fā)展而更新.

1.3 行業(yè)典型網(wǎng)絡攻擊類型

根據(jù)中國信息通信研究院《2019年健康醫(yī)療行業(yè)網(wǎng)絡安全觀測報告》顯示，由于資金投入不足和缺乏安全建設經(jīng)驗，導致健康醫(yī)療行業(yè)主要面臨勒索病毒和數(shù)據(jù)泄露的風險，根據(jù)本次觀測，發(fā)現(xiàn)1 029家單位存在僵尸網(wǎng)絡和蠕蟲病毒等惡意軟件，136家單位受到勒索病毒的影響，在嚴峻的網(wǎng)絡威脅現(xiàn)實和國家法律法規(guī)的強制要求下，整個行業(yè)的網(wǎng)絡安全保障水平亟需提高[1].

1) 信息泄露

在2019年，新加坡衛(wèi)生部門的艾滋病登記處的14 000多名HIV病毒感染者的登記信息被泄露；黑客通過非授權(quán)訪問UConn的員工電子郵件賬號，獲取了326 000名患者的敏感信息；印度的一家政府醫(yī)療機構(gòu)服務器泄露了1 250萬份相關孕婦的記錄；美國醫(yī)療收集機構(gòu)(AMCA)由于數(shù)據(jù)庫授權(quán)訪問漏洞，導致未經(jīng)授權(quán)訪問數(shù)據(jù)庫泄露約2 000萬人醫(yī)療數(shù)據(jù)；新西蘭的一個醫(yī)療機構(gòu)Compass Health發(fā)生100萬人的個人數(shù)據(jù)泄露，包括姓名、出生日期、種族和地址[9].根據(jù)卡巴斯基實驗室的研究人員發(fā)現(xiàn)，越來越多的高級可持續(xù)威脅組織開始將注意力和攻擊方向轉(zhuǎn)到醫(yī)療行業(yè)，竊取藥物配方、商業(yè)信息和統(tǒng)方信息.2019年，公安機關破獲多起醫(yī)藥代表通過筆記本電腦連接自助機網(wǎng)線或無線網(wǎng)絡等近源攻擊方式入侵醫(yī)院服務器、從醫(yī)院盜取大量“統(tǒng)方”數(shù)據(jù)的案件.

2) 勒索病毒

根據(jù)美國電信巨頭Verzion的2019年度數(shù)據(jù)泄露報告顯示，醫(yī)療行業(yè)是勒索病毒威脅的主要目標，獲取經(jīng)濟利益是對醫(yī)療行業(yè)入侵的主要目的，有高達75%的入侵是為了獲取財富而進行的，病案和藥物成為數(shù)據(jù)泄露的核心內(nèi)容，病案和藥物占泄露數(shù)據(jù)量的79%[10]，勒索病毒和挖礦病毒成為2019年的主流威脅[11].

3) 醫(yī)療設備攻擊

在2014年,安全研究人員Billy Rios發(fā)現(xiàn)Hospira出售的LifeCare PCA藥物輸液泵有多處安全漏洞，在RSA2018大會上，黑客在醫(yī)生毫不知情地情況下控制醫(yī)療泵系統(tǒng)；2018年3月13日，美國國土安全部發(fā)布美國通用電氣醫(yī)療公司的醫(yī)療造影產(chǎn)品存在安全漏洞，可能允許攻擊者獲取設備訪問權(quán)和篡改數(shù)據(jù)；2019年，以色列本·古里安大學和索卡大學的研究人員發(fā)現(xiàn)黑客可以修改CT等醫(yī)療影響設備的掃描結(jié)果.研究人員通過安全漏洞控制醫(yī)院輸液泵和麻醉劑等設備，控制輸液和藥物的分配量，對醫(yī)療設備的攻擊可能嚴重危害患者生命安全.

4) APT高級可持續(xù)攻擊

高級可持續(xù)攻擊(advanced persistent threat, APT)是一種針對特定目標進行有計劃和組織地長期持久攻擊方式，如圖2所示，高級可持續(xù)攻擊至少具備以下4個特點：

① 攻擊有嚴密的組織；

② 特定目標和清晰的目的；

③ 采用各種手段反復滲透的行動；

④ 掌握高超的隱藏和逃逸技術.

圖2 高級可持續(xù)攻擊流程

5) 行業(yè)網(wǎng)絡管理存在安全風險

缺少完善的醫(yī)療行業(yè)網(wǎng)絡安全標準，在金融行業(yè)有專門支付卡行業(yè)(PCI)數(shù)據(jù)安全標準(簡稱PCI-DSS)和支付應用程序(PA)數(shù)據(jù)安全標準(簡稱PA-DSS)等行業(yè)標準[12]；缺乏統(tǒng)一的網(wǎng)絡接入規(guī)范，網(wǎng)絡接入部門多、結(jié)構(gòu)復雜、邊界模糊等問題，導致網(wǎng)絡邊界防護與數(shù)據(jù)交互存在風險；網(wǎng)絡安全管理和網(wǎng)絡安全技術人員匱乏；網(wǎng)絡安全理念和防護手段落后；網(wǎng)絡安全培訓和應急響應機制不完善.

2 免費開源軟件的技術優(yōu)勢

針對醫(yī)療行業(yè)面臨的大量風險和網(wǎng)絡安全政策強制要求背景下，充分利用開源軟件可以有效地解決醫(yī)療機構(gòu)在網(wǎng)絡安全建設和運行過程遇到的大量困難，在不大幅度增加資金投入的情況下，使用國內(nèi)外免費開源安全軟件和威脅情報系統(tǒng)，可以與現(xiàn)有的網(wǎng)絡安全設備形成互補，也可以彌補因資金和政策等原因無法采購的網(wǎng)絡安全產(chǎn)品，在使用開源系統(tǒng)過程中，也可以培養(yǎng)和鍛煉本單位的網(wǎng)絡安全隊伍.

國內(nèi)外的開源安全軟件幾乎涵蓋商業(yè)網(wǎng)絡安全軟件的各個種類，開源安全軟件還包括大量的漏洞利用程序，但因為開源軟件多為英語界面或命令行工具，在安裝、配置和使用上對技術人員的要求較高，一直被網(wǎng)絡安全專業(yè)人員和黑客所使用，很少被行業(yè)用戶所掌握和使用.盡管免費開源軟件有使用門檻高、功能少和缺少技術支持等諸多缺點，但應用開源軟件也有很多優(yōu)勢：

1) 免費開源安全軟件常被攻擊者使用，由于武器的不均等常常導致攻防失衡，充分利用免費開源安全軟件，可以基本實現(xiàn)攻守裝備的平衡.

2) 避免使用盜版軟件帶來的法律風險，符合國家軟件正版化政策.

3) 研究開源安全軟件不但可以彌補單位現(xiàn)有商業(yè)安全設備的不足，優(yōu)化網(wǎng)絡安全產(chǎn)品的規(guī)劃和布局，將有限的資金用在“刀刃”上，購買性價比最高、單位最需要和效果最好的設備，從而提高單位網(wǎng)絡安全防御能力.

4) 通過對軟件源代碼和特征庫的研究，深入理解網(wǎng)絡安全的設計思想及攻擊思路，有助于提高單位網(wǎng)絡安全專業(yè)人才隊伍的攻防能力，對現(xiàn)有開源軟件的二次開發(fā)或自定義插件實現(xiàn)商業(yè)網(wǎng)絡安全產(chǎn)品無法達的目的.

5) 免費開源安全軟件常被用于網(wǎng)絡攻擊、蠕蟲病毒或勒索病毒的傳播，合理地運用免費開源安全軟件可以模擬黑客攻擊和病毒攻擊，相當于定期進行風險評估和漏洞緩解[13].

3 安全防護體系設計

中國古代兵法有云：“知己知彼,百戰(zhàn)不殆”，網(wǎng)絡防御體系也是一場網(wǎng)絡空間的戰(zhàn)爭，通過ATT&CK模型描述的攻擊技術達到知彼，我們運用開源技術進行滲透測試，模擬網(wǎng)絡攻擊全面掌握網(wǎng)絡信息系統(tǒng)的漏洞和弱點達到知己的目的，然后根據(jù)尋找攻擊和防守的差距，在攻擊的各階段進行防御工作，有針對性地開展漏洞修復、配置優(yōu)化和系統(tǒng)加固，設置誘導信息將攻擊者引導到錯誤方向.如圖3所示，反殺傷鏈分為6個階段：探測防護、網(wǎng)絡防御、入侵檢測、主機防御、主機檢測和威脅情報.

圖3 基于攻擊模型的分階段防御體系

4 免費開源安全防護體系實現(xiàn)

網(wǎng)絡安全建設符合《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)《中華人民共和國密碼法》和《網(wǎng)絡安全等級保護條例》等國家法律法規(guī)，網(wǎng)絡的安全防護系統(tǒng)能夠有效地抵御各種攻擊系統(tǒng)，各項安全防護策略可以有效地保護系統(tǒng)和數(shù)據(jù)的安全.

4.1 探測防護

對目標進行偵察是網(wǎng)絡攻擊前的準備工作，如表2所示，攻擊者對特定IP地址主機或某一段范圍的主機進行掃描，發(fā)現(xiàn)存活主機、開放端口、軟件版本信息和存在安全漏洞，根據(jù)網(wǎng)絡偵察階段發(fā)現(xiàn)的可利用信息，有針對性地對開放的端口和安全漏洞進行攻擊.2019年12月2日至2020年1月30日，安恒信息風暴中心對全國醫(yī)療衛(wèi)生行業(yè)1 500余個網(wǎng)站進行實時監(jiān)測分析，發(fā)現(xiàn)存在網(wǎng)絡安全風險漏洞的網(wǎng)站占比約10%，150家網(wǎng)站中存在高危漏洞，占比約67.94%.作為網(wǎng)絡安全防守方的醫(yī)療機構(gòu)網(wǎng)絡安全人員，應該在網(wǎng)絡信息系統(tǒng)的建設、測試、運行和維護過程中，及時發(fā)現(xiàn)系統(tǒng)信息泄露、開放的端口和安全漏洞，通過關閉不需要端口、控制必要開放端口訪問范圍、修改軟件旗標和版本信息等方式，達到欺騙攻擊者或?qū)⒐粽吖舴较蛞蚱缤緦崿F(xiàn)對主機的偵察防護的目的[14].

表2 免費開源漏洞檢測軟件

1) 綜合漏洞管理

綜合漏洞管理系統(tǒng)具有豐富主機發(fā)現(xiàn)、漏洞掃描、基線核查和漏洞管理等企業(yè)級功能，可以對網(wǎng)絡安全漏洞進行全生命周期的安全管理，在控制面板上可以顯示網(wǎng)絡整體的風險指數(shù)和排行榜，管理人員可以通過控制面板和評估報告直觀地掌握風險情況.

2) 應用程序掃描

Arachni，W3af，Taipan，OWASP ZAP是4款比較典型的開源Web應用漏洞掃描程序，其中OWASP ZAP和W3af帶有GUI界面，Taipan是基于命令行操作的，Arachni是基于B/S結(jié)構(gòu)通過瀏覽器進行訪問.

3) 端口服務掃描

網(wǎng)絡探測和安全審計命令行工具，可以發(fā)現(xiàn)一個網(wǎng)段中存活的主機、開放的端口和運行的網(wǎng)絡服務信息，可以通過網(wǎng)絡數(shù)據(jù)包中的特征值分析對應服務的版本信息和各種防火墻信息.

4) 滲透測試軟件

滲透測試軟件是集成化的漏洞驗證和模擬黑客攻擊系統(tǒng)，常被用來進行滲透測試工作，我們可以使用它內(nèi)置的軟件驗證漏洞掃描發(fā)現(xiàn)的漏洞是否存在及危害程度.

4.2 網(wǎng)絡防御

如表3所示，網(wǎng)絡防御是通過攔截攻擊、通信隔離、流量過濾、端口防護和限制訪問等方式在網(wǎng)絡層面上進行防御，對非授權(quán)訪問和惡意網(wǎng)絡流量進行攔截，實現(xiàn)按需求開放和訪問的安全域的劃分，減少端口、服務、資源和數(shù)據(jù)對訪問端的直接暴露機會，確保將網(wǎng)絡安全風險降到最低點.

表3 免費開源網(wǎng)絡防御軟件

1) 網(wǎng)絡隔離和流量過濾

利用交換機和路由器等網(wǎng)絡設備劃分VLAN，根據(jù)不同的業(yè)務需要和安全等級要求劃分安全域、建立DMZ等方式對服務器進行隔離，設置交換機MAC與IP地址綁定，可以大大降低非法終端利用自助機和門診部等對外部位網(wǎng)絡非法接入的風險，網(wǎng)絡設備中的訪問控制列表可以限制非授權(quán)終端訪問網(wǎng)絡，降低接觸式的近源攻擊可能性.

2) Web應用防火墻

Web應用防火墻(Web application firewall, WAF)是一種工作在應用層對Web應用系統(tǒng)進行防護的應用防火墻系統(tǒng).WAF可以有效防護SQL注入、XSS攻擊、CSRF攻擊、命令注入、信息泄露和文件上傳等攻擊進行防護，還提供了網(wǎng)站靜態(tài)網(wǎng)頁的緩存等功能，用于優(yōu)化和加快網(wǎng)站的訪問速度，向用戶提供詳盡的日志信息和豐富的報表功能，日志信息中詳細記錄了設備的管理日志，以及對Web服務器的訪問日志、攻擊日志和篡改日志，一旦服務器日志因攻擊被破壞，WAF中的日志可以完整分析用戶訪問和攻擊流程.

3) 數(shù)據(jù)庫防火墻

數(shù)據(jù)庫防火墻是用來對數(shù)據(jù)庫管理系統(tǒng)進行防護的安全系統(tǒng)，能夠攔截非授權(quán)訪問，抵御SQL注入等針對數(shù)據(jù)庫的攻擊，一般情況下部署在靠近數(shù)據(jù)庫服務器一側(cè)或直接部署在數(shù)據(jù)庫服務器上，根據(jù)配置策略實現(xiàn)IP地址、端口和時間等條件進行訪問控制.MySQL等數(shù)據(jù)庫管理系統(tǒng)內(nèi)置權(quán)限管理命令可以配置完成IP地址、用戶賬號和數(shù)據(jù)表等訪問授權(quán)，非授權(quán)訪問的IP將被攔截.

4.3 入侵檢測

入侵檢測是邊界網(wǎng)絡防御體系后的第2道防線，相當于內(nèi)部網(wǎng)絡的一個監(jiān)控記錄系統(tǒng)，如表4所示，能夠根據(jù)網(wǎng)絡流量、行為和日志分析出入侵行為，可以根據(jù)預警信息及時發(fā)現(xiàn)和阻斷網(wǎng)絡攻擊，通過日志和記錄還原網(wǎng)絡攻擊完整過程，可以作為分析網(wǎng)絡攻擊和事后取證的依據(jù).

1) 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(intrusion detection system)是由傳感器、事件分析器、響應單元和事件數(shù)據(jù)庫組成，傳感器是入侵檢測的事件發(fā)生器，負責采集網(wǎng)絡流量數(shù)據(jù)并傳送事件分析器，事件分析器將網(wǎng)絡流量數(shù)據(jù)進行分析得到分析結(jié)果，響應單元根據(jù)分析結(jié)果進行報警、切斷網(wǎng)絡連接和定位攻擊者等響應行為，將整個過程記錄在事件數(shù)據(jù)庫[15].

2) 運維審計系統(tǒng)

運維審計系統(tǒng)(俗稱堡壘機)實現(xiàn)了遠程管理的單點登錄，簡化了遠程管理賬號和權(quán)限管理的工作，提供了遠程運維管理所需要的單點登錄、集中賬號管理、集中身份認證、集中資源訪問授權(quán)、集中訪問管理和集中操作審計，建立集中和主動的安全管控模式，降低了賬號泄露、數(shù)據(jù)非法下載和網(wǎng)絡攻擊風險.

3) 日志分析系統(tǒng)

操作系統(tǒng)、應用軟件、數(shù)據(jù)庫管理系統(tǒng)、中間件、網(wǎng)絡設備和安全設備等軟硬件系統(tǒng)會在運行時產(chǎn)生大量的日志數(shù)據(jù)，按照《網(wǎng)絡安全法》要求日志至少要保留6個月以上，但是目前的部分路由器、交換機和網(wǎng)絡安全設備受到存儲空間的限制，往往達不到要求，更不具備日志審計分析功能，通過搭建Syslog日志收集服務器，將大量分散設備的異構(gòu)日志進行高效采集、統(tǒng)一管理和集中存儲，可以滿足等保合規(guī)性要求，為安全事件事后取證、攻擊朔源和漏洞修復提供依據(jù).通過開源系統(tǒng)實現(xiàn)日志采集、分析和存儲功能，對日志進行全維度、跨設備、細粒度的關聯(lián)分析，對日志數(shù)據(jù)進行數(shù)據(jù)挖掘分析，發(fā)現(xiàn)日志和事件間的潛在關聯(lián)關系，形成可視化的日志報表，可以為醫(yī)療機構(gòu)管理人員提供全局的網(wǎng)絡安全視角.

4) 蜜罐

蜜罐是一種專門部署在網(wǎng)絡中用來欺騙攻擊者的系統(tǒng)，引誘攻擊者或計算機病毒向系統(tǒng)發(fā)起攻擊，可以對攻擊行為、攻擊代碼進行捕獲和分析.通過蜜罐可以掌握攻擊者采用的攻擊手段和漏洞，蜜罐系統(tǒng)內(nèi)置的控制臺和日志系統(tǒng)能夠完整詳細地記錄攻擊過程，及時發(fā)現(xiàn)內(nèi)網(wǎng)的威脅和存在的安全隱患.

表4 免費入侵檢測軟件

4.4 主機防御

如表5所示，主機防御是對攻擊者進入核心信息系統(tǒng)的最后一道防線，攻擊者通過跳板或者使用其他手段繞過網(wǎng)絡防御手段，將攻擊負載投送到主機上運行，執(zhí)行SQL語句、Shellcode、Downloader、JS文件和系統(tǒng)命令等操作，能夠成功檢測到攻擊代碼、阻止代碼執(zhí)行和攔截惡意行為是防御的關鍵.

1) 系統(tǒng)防火墻

根據(jù)主機開放業(yè)務的需求，添加開放的端口、端口類型和IP地址范圍等防火墻規(guī)則，可以有效地控制服務器開放的端口數(shù)量和開放范圍，對于無訪問權(quán)限的主機相當于服務器在網(wǎng)絡中隱身，大大提高了服務器的安全性.

2) 終端安全響應系統(tǒng)

終端安全響應系統(tǒng)(endpoint detection and response, EDR)是一種基于主機的安全事件偵測和防護響應系統(tǒng)，針對終端服務器的攻擊進行威脅檢測和響應，安裝在主機的Web應用防護可以通過主動防御和行為檢測對WAF起到很好的補充作用.中小網(wǎng)站防護系統(tǒng)還提供云WAF功能，能夠通過修改DNS解析的CNAME隱藏服務器真實IP地址，利用云WAF過濾網(wǎng)絡流量后發(fā)送到回源IP，實現(xiàn)對Web應用系統(tǒng)的云WAF防護.

3) 主機入侵防御系統(tǒng)

主機入侵防御系統(tǒng)(host intrusion prevent system, HIPS)是一種不完全依賴特征庫的主機防御系統(tǒng)，通過主動防御機制對系統(tǒng)關鍵的監(jiān)控和防護，根據(jù)程序的行為分析判斷是否為惡意軟件，可以提供至少3種類型的防御：應用程序防御體系(application defend)、注冊表防御體系(registry defend)和文件防御體系(file defend).

表5 免費開源漏洞檢測軟件

4.5 主機檢測

如表6所示，主機檢測是在服務器上利用安全檢測軟件對主機上的WebShell、后門和網(wǎng)頁掛馬等惡意代碼進行檢測，一般分為定期日常檢測、關鍵時期檢測和異常事后檢測，定期日常檢測和關鍵時期檢測主要是為了定期對主機的安全性進行評估的工作，異常事后檢測是發(fā)生網(wǎng)絡攻擊后的一種調(diào)查取證和惡意代碼消除過程.

1) WebShell專殺檢測

WebShell是使用ASP，ASPX，PHP，JSP等Web開發(fā)語言編寫的Web網(wǎng)頁后門程序，單獨存放在Web文件目錄中或嵌入到其他網(wǎng)頁文件中，通過瀏覽器或客戶端程序連接Web服務端口訪問WebShell文件URL地址，可以在服務器端執(zhí)行命令、上傳文件和文件訪問等遠程操作，由于WebShell不需要單獨開放端口，直接通過開放的服務端口訪問，很難通過防火墻等邊界防護設備發(fā)現(xiàn)和攔截通信[16].

2) ARK分析工具

ARK(Anti-RootKit)是反RootKit工具的簡稱，主要用來分析系統(tǒng)的RootKit、后門和病毒等惡意代碼的工具，提供系統(tǒng)內(nèi)核級分析功能，能夠?qū)ο到y(tǒng)中的端口、進程、自啟動項、內(nèi)核信息、各類鉤子和主引導記錄等內(nèi)容進行細致深入的行為判斷及特征分析，通過數(shù)字簽名驗證及云檢測判定文件的可信任度，可以在虛擬機中運行可疑程序，通過ARK工具的監(jiān)測功能詳細分析程序執(zhí)行過程中的危險行為、調(diào)用的函數(shù)、訪問的文件、建立的網(wǎng)絡連接和下載的文件等動態(tài)行為過程.

3) 逆向分析工具

對于捕獲的攻擊代碼、病毒、RootKit和后門等惡意程序往往進行了免殺處理，常規(guī)的殺毒軟件無法檢測到，我們可以通過逆向分析方法進行惡意代碼分析，判斷可疑程序是否為惡意代碼、惡意代碼具體的執(zhí)行流程和攻擊目的，通常采用動態(tài)行為分析、動態(tài)代碼調(diào)試和靜態(tài)代碼分析3種，分析目標程序編寫語言、加殼種類、編譯器信息.FireEye發(fā)布的FLARE VM是集成化的逆向工具箱，可以用來惡意軟件分析、逆向工程、事件響應和取證調(diào)查，集成了反匯編器、調(diào)試器、反編譯器、靜態(tài)分析工具、動態(tài)分析工具、開發(fā)工具、漏洞評估和網(wǎng)絡分析工具等.能夠通過調(diào)試和靜態(tài)代碼分析解除惡意代碼的保護外殼，分析惡意代碼的執(zhí)行流程、傳播機制和破壞行為等惡意行為，有助于消除安全隱患、修復系統(tǒng)和清除殘留的釋放文件.

4.6 威脅分析和情報系統(tǒng)

威脅分析和情報系統(tǒng)通過介紹網(wǎng)絡安全人員日常工作中經(jīng)常使用的在線文件分析和威脅情報系統(tǒng)，如表7所示，列舉了常用的威脅分析和情報系統(tǒng)，運用沙箱、大數(shù)據(jù)技術和威脅情報網(wǎng)絡等新技術，解決文件鑒定和情報研判問題.通過沙箱系統(tǒng)觀察程序運行結(jié)果和具體惡意行為，威脅情報系統(tǒng)可以查詢到APT、網(wǎng)絡威脅和僵尸網(wǎng)絡等網(wǎng)絡攻擊相關情報內(nèi)容.

表7 免費威脅分析和情報系統(tǒng)

5 結(jié)束語

本文從醫(yī)療機構(gòu)面臨的安全風險和網(wǎng)絡安全建設困境出發(fā)，結(jié)合網(wǎng)絡安全攻擊策略和技術知識庫，基于大量的開源和免費軟件技術，探討如何構(gòu)建一整套的開源網(wǎng)絡安全防護體系和開源技術實現(xiàn)方案，表8為攻防技術在各攻擊與防御階段的對抗效果分析，通過站在攻擊者視角觀察網(wǎng)絡安全漏洞和防護弱點，從攻擊者攻擊思路出發(fā)，逆向分析和封堵網(wǎng)絡安全防護盲區(qū)，以“授人以漁”的思路，提供整體網(wǎng)絡安全防御策略和各策略所使用到實現(xiàn)技術的軟件，將常用的免費開源網(wǎng)絡安全軟件作了簡單介紹，確保醫(yī)療機構(gòu)的網(wǎng)絡安全建設達到合規(guī)、有效和安全的目的，應用開源解決方案全面提升醫(yī)療行業(yè)網(wǎng)絡安全水平，降低醫(yī)療機構(gòu)面臨和遭受的網(wǎng)絡安全風險.

表8 開源軟件在安全體系中的應用效果分析