WannaCry的大规模爆发迫使英国国家医疗服务系统(简称NHS)全面调整自身危机应对计划,制定新的措施,旨在避免未来可能出现的其它网络攻击侵扰。

2017年5月,英国卫生与社会关怀部于WannaCry事件爆发后发布研究结果,除重申此前英国政府得出的调查结论外,亦提到此次攻击事件本可以得到成功预防。此外,其还向NHS方面提出一系列问题。

这项名为《WannaCry勒索软件攻击引发的经验教训》调查给出结论,称其发生原因在于相关方未能在Windows系统上应用可用的修复程序,加之开放互联网上存在漏洞的服务未得到有效隔离。正因为如此,英国NHS Trusts机构当中有三分之一或多或少受到此次恶意软件爆发的影响。

不过卫生服务人员在应对此次恶意软件爆发中的工作受到了赞扬,其积极推动全面事件应对计划的制定,亦努力保护医院免受未来网络攻击的影响。

这份42页的报告共向英国NHS提出22项建议,其中一部分已经被落实到位。报告中还包含一份《网络手册》,专门为NHS England、NHS Digital以及NHS Improvement在应对可能影响到公众卫生服务的网络攻击活动时,提供方法与行动指导。

报告明确指出,“一刀切”的处理方式并不适用于卫生与社会关怀类工作。举例来说,大型医院需要采取其它不同方式以实现高于小型护理机构或全科医生诊治的安全水平。

此份《网络手册》并没有详尽描述本地网络响应举措,亦未提及与本地网络响应方法相配合的其它测试性活动,包括如何测试其它更广泛的系统以及同当地CIO间进行沟通。

截至目前,NHS Trusts已经进行了190次独立的现场网络评估。虽然其中仍存在不足之处,且需要通过更为广泛的网络安全计划加以解决,但现有评估工作初步证明,大多数NHS Trusts机构有必要对其基础设施中的薄弱环节加以强化——包括升级防火墙以实现网络保护、改善网络弹性及分区以降低医疗风险、更换设备以提高设备安全性水平、补丁管理自动化以及提高反病毒保护。

为CareCERT分配更多资金

还有部分回应提及增加信息安全支出。举例来说,2017/18年度又确定2500万英镑资金,旨在支持那些在自我评估当中未能符合高严重性CareCert警报的组织,从而加强整个体制内的硬件与软件安全性。数字化交付委员会(〈个性化健康与护理2020〉计划的执行方)亦重新确定了2100万英镑资金,用于解决Major Trauma Centres and Ambulance Trusts中的关键性漏洞——此项计划中共有32个组织获得资助以提高网络筹备水平。

与此同时,NHS IT资产组合亦在进行重新排序,旨在确定2018/19年以及2020/21年期间的额外网络投资数额。报告指出:“作为计划中的一部分,目前已经确定了最初的1亿5千万英镑资金,并将主要用于继续对地方基础设施以及国家系统及服务提供投资,从而改善其监测、恢复以及应对能力。”

此项研究还强调了一项新的事实:关于新的网络攻击,其问题在于何时发生,而非是否发生。

“我们的挑战在于确保国家、区域以及本地卫生忹护理系统能够有效抵御并应对网络攻击,从而最大程度降低服务中断可能性。更重要的是,防止网络攻击对我们的患者产生影响。”

此外,文化层面的变更也势在必行。

不过新的规程可能仍然无法解决技术难题

告认为,未来的网络安全问题可能非常激烈、难以解决,这些因素将需要大量人力资源。

报告解释称,“重大安全事件的一大传统特性在于,其要么强度极高但会在几个小时内结束(例如重大交通事故或者恐怖袭击),要么持续时间很长但行动缓慢(例如罢工行动)。网络攻击则有可能引发长时间、高强度的事件。NHS England需要确保自身有能力对事件协调中心以及高层领导者进行轮换,从而高效管理事件应对措施。”

此项研究详细介绍了勒索软件对英国各卫生服务机构——此次全球攻击活动中后果最为严重的组织之一——产生的影响。

NHS方面很好地回应了这一前所未有的事件,报告称并无病患受到伤害,亦无病人数据受损或失窃。此次总计有1%的NHS活动直接受到WannaCry攻击的影响。

此次攻击导致英国三分之一的医院受到影响。NHS England的数据显示,总计236个机构当中至少有80个受到影响,其中34个遭遇感染并被封锁(其中27家为紧急信托机构),另有46家未受到感染但同样发生业务中断。WannaCry还导致603家低级医疗卫生及其它NHS机构受到感染,其中8%为全科诊疗机构(全部7454家机构中的595家)。

此次审查由英国卫生怀社会关怀部卫生怀社会关怀系统首席信息官William Smart负责整理,其中整合了NHS内部评估报告与两份国家级审查报告(分别为国家审计办公室调查报告与国家网络安全中心调查报告)的主要结论,同时亦参考了来自当地各机构的上报资讯。

病患护理机构业务中断这一事实“再次证明,NHS对于信息技术拥有极高的依赖性,因此需要在整个服务体系之内提升安全性水平。”

报告指出,高级NHS Trust经理与委员会成员今后将被追究网络安全责任。

报告指出,“地方各机构必须确保对其技术基础设施、系统及服务加以有效管理,包括充分修复设备与系统,同时负责保障网络安全并替换不再具备技术支持的软件方案。”

微软……又是微软

而且不可避免地,“在全国范围内,与微软间的新协议已经于8月签署完成,其中包含为所有当前运行XP系统的Windows设备提供补丁。”

根据媒体报道,此前发布的国家报告曾经指出,未及时安装补丁的Windows 7系统(而非早已不受技术支持的Windows XP设备,此类设备会崩溃而不会进一步传输该病毒)才是WannaCry肆虐的基础。对Win XP系统的依赖性虽然仍是个问题,但情况已经有所好转。

NHS所使用的大部分受感染设备使用拥有微软技术支持、但并未及时安装补丁的微软Windows 7操作系统不再受到支持的设备(XP设备)在受感染设备中仅占少数。在过去18个月中,Windows XP设备的占比已经由18%下降至2018年1月的1.8%。

受WannaCry勒索软件感染的80家NHS机构中,无一应用了由NHS Digital CareCERT在2017年4月24日收到BT威胁情报后,于次日公告中提到的相关微软更新补丁。

无论各机构是否对其系统安装补丁,迅速采取行动以提升面向N3网络的防火墙的安全性水平,都能够有效保护其免受感染影响。

病毒是如何传播的

最初的感染状况很可能源自某个暴露至互联网且存在安全漏洞的服务器消息块(简称SMB)端口30——而非最初假设的钓鱼电子邮件。全球众多组织机构(包括中国的大学、西班牙电信、俄罗斯内政部与联邦快递、日产、雷诺等多家全球性企业)也受到WannaCry的影响。不过在此之中,英国NHS受到的冲击尤为严重。

作为此次事件响应工作的一部分,NHS在国内部分地区发布了“互助”程序。这意味着若某个急诊室无法继续为病人提供治疗服务,则附近的急诊室将以加紧方式接受这些病人。在此次事件中,来自五家医院的部分病人享受到了快于正常情况的紧急救治服务。去年5月12日至18日期间,NHS England着手处理WannaCry以及相关善后事宜,有1.2%或者6912例预约诊疗被撤销。

NHS England的EPRR审查工作确定,自5月12日至18日之间,至少有139名因可能患有癌症而入院的患者接受了紧急诊疗,约占总体紧急癌症转诊中的0.4%。报告同时补充称:“二级治疗服务的中断也给初级治疗造成影响,例如获取检测结果等。此次事件中亦出现了大量受到影响的第三方系统,例如DocMan——其影响到由二级治疗到初级治疗服务间的临床信息数据流交付。”

WannaCry总计影响到1220台(占比1%)诊断设备。报告补充称:“这一数字不包括为了防止进一步感染而关闭的诊断设备。因此,测试处理与诊断结果交流方面发生了延误。”

备注

尽管此份报告中并未明确提及,但目前正在美国等待关于其曾身为黑客罪犯指控相关判决结果的网络研究员Marcus Hutchins,据信发现了能够限制WannaCry传播的“杀戮开关”。

报告指出,“某网络安全研究人员于5月12日星期五晚启动了‘杀戮开关’,结果阻止了WannaCry感染更多设备。如果没有进行这一干预,WannaCry对各服务机构产生的影响有可能将更为严重。”

本文翻译自theRegister,报告下载地址

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。