防勒索攻擊EDR是基本　多維度建立防禦架構

鑑於醫療保健領域的網路攻擊日益嚴重，近期，網路實體系統（CPS）業者Claroty的Team82深入分析了351間醫療機構中超過225萬台IoMT裝置與64.7萬台OT裝置，調查發現，幾近百分之百（99%）的受調組織內部均存在已知被利用的漏洞（KEV）；89%的醫療機構都存在與勒索軟體相關的KEVs，且這些設備多數直接連接至網際網路。

從影像系統到診療和手術設備、臨床實驗室與臨床物聯網，這些與病患照護直接相關的IoMT設備，正面臨著極大的風險，尤其是那些運行在舊版Windows和Linux作業系統上的設備，這些系統可能不再支援安全性或功能更新。 智慧資安事業發展部副總經理李文謙指出，「缺乏設備的可視性是目前常見的挑戰之一，」醫療院所確實有為數不少的設備，包含數位資產與醫療器材等等，而且這些設備也都連網，然而缺乏數位工具來協助管理與監測的結果，就是連有沒有人連線使用、是不是醫院的使用者等等，都很難完全掌握。

他提到，資安在近幾年發展下來，已有許多方法論與核心概念，但不見得能完全符合醫院場域的特殊現況，舉例而言，醫療院所現行運行的環境中，仍有不少老舊設備，就資安概念上來說，只要一個有風險的設備存在於環境中，很容易就成為破口，導致瞬間被攻破而成為攻擊的跳板的可能，理論上應該要適時地更換。然而這些老舊設備卻可能是醫療服務中必要存在，一旦缺少日常醫療可能就無法運作。而且即使強制汰換，也並不是幾萬元或幾十萬元台幣就可能解決，極有可能要整批汰換，最終可能要投入非常驚人的成本。「在此情況下，設備的可視性就非常重要，有了可視性，資訊部門才能知道弱點或是風險在何處，而醫院也比較容易有相對應的策略來補強漏洞。」

多重資安挑戰 EDR須配合其他方案

勒索攻擊已成醫療院所的頭號大敵，繼國內兩家醫院遭勒索攻擊後，近期又傳出位於桃園中壢的長慎醫院也傳出遭駭客入侵、800G病歷資料遭到外洩，目前衛福部已協助處理。事實上，為了讓醫療院所易於應變，衛福部也已訂定《醫院面對勒索軟體攻擊的應變指南》，在第三階段的「恢復與重建」中提到，在清理與恢復系統時，應使用端點偵測及回應（EDR）工具持續監控，以確認系統處於安全狀態。而這也意謂著EDR於端點防護上的重要性。 

智慧資安事業發展部產品經理黃漢璽指出，在醫療院所中，端點可略分為兩大部分，一為HIS系統，可視為傳統的端點，另一則為醫療設備，像是行動醫療車等等。「在過去幾次的概念性驗證（POC）中，不少行動醫療車也都被警示出韌體太老舊的問題，存在一些漏洞，由此也不難想見端點安全的重要性。」

不過，他也提醒，EDR解決方案目前存在一些侷限性，例如設備裝置不能太老舊，否則無法運行，另一就是已經EOS的作業系統，原廠可能不支援。如果要支援，就必須支付額外的費用。「這些限制將會影響到覆蓋率，因此建議還需要搭配其他監控或是偵測的方案來做到更完整的防護，例如在網路層用監控模式再做一層覆蓋等等。」另外，由於EDR會即時地持續監控所有活動，追蹤並搜尋任何可能的威脅，相對複雜。醫療院所如果沒有足夠的經驗，也會面臨不小的挑戰，建議可以委外請專業團隊協助，來提高反應能力。

「但是除了醫療設備與數位資產的可視性不足之外，醫療機構其實還面臨了其他多重的資安挑戰。」黃漢璽舉例，像是特權存取帳號的管理不善，由於醫院環境中涉及醫護人員、行政人員、技術支援和外部供應鏈等多方角色，若特權帳號未妥善管理，攻擊者可能獲取關鍵系統權限；在網路隔離與微分段能力也較為不足，醫療網路環境普遍缺乏有效的微隔離能力，一旦攻擊者進入網路，也可能很輕易地橫向移動至更多系統；此外，很多攻擊始於釣魚郵件，如果郵件安全與社交工程防護薄弱，風險將會大幅攀升；最後是即時事件監控與應變能力不足，許多醫院都缺乏SOC量能，威脅偵測與應變服務（MDR）／網路偵測和回應（NDR）服務可彌補這方面的不足。

從多維度因應資安挑戰

為了提供醫院完整的資安防護，智慧資安（uniXecure）也整合代理產品線提供全方位的醫療資安防護方案，例如Claroty提供的曝險管理解決方案，能夠識別和管理網路中的潛在風險，確保在面對威脅時具備快速應對能力，更有xDome for Healthcare專注於保護醫療物聯網設備，確保醫療環境的安全運行。

OPSWAT則可提供檔案消毒與多重防毒引擎，利用特徵碼及啟發式偵測技術找出已知及未知的威脅。Delinea則提供了高安全性密碼／金鑰保護，也內建90多種系統／設備納管機制與2FA認證機制，可確保特權帳號安全。AuthenTrend則是FIDO2無密碼登入解決方案，藉由無密碼生物識別技術強化身分驗證，排除密碼被盜風險。

此外，還有能提供零信任微隔離平台、確保網路區域間的安全性的Illumio，防止釣魚郵件與勒索軟體透過電子郵件傳播Cellopoint郵件解決方案，以及可提供MDR/EDR服務、監控端點異常行為的NEITHNET主動式資安防禦方案。

黃漢璽最後建議，醫療院所的環境其實相對封閉，應該從多維度建立防禦架構，包含建立醫療設備與IoMT的全面可視性、落實特權帳號管理與零信任架構、強化惡意軟體防護與郵件安全、持續弱點管理與滲透測試以及建立即時監控與應變能力。