HIPAA Journal報導指出,光是在 2024 年,醫療照護外洩事件就暴露了超過 2.37 億筆病患記錄,其中像 Change Healthcare 攻擊事件就影響了 1.9 億人。最近,Episource和AMEOS的資料外洩事件也顯示,外洩的檔案和合作夥伴連線如何牽連整個網路。
我們的客戶是歐洲知名的區域醫療服務提供者,經營多家醫院與門診設施,擁有近 5,000 名員工。其營運體系每日需與數百家合作夥伴密切協作,包括診斷實驗室、藥品供應商、帳單公司及政府機構。在繁忙的日常運作中,該醫療服務提供者必須管理數以千計的檔案傳輸,內容涵蓋受保護健康資訊 (PHI)、個人識別資訊 (PII)、財務記錄及關鍵醫療檔案。對於該組織而言,「如何確保安全的檔案交換」是其醫療服務不中斷的核心基石。
對於這家歐洲醫療保健供應商而言,過去數以千計的每日傳輸都是透過老舊的 SFTP 和 SMB 共享協議,檢查機制極為有限。檔案在傳輸過程中已加密,但在進入系統時卻很少受到深度檢查,只能依賴單一的防毒掃描;無法偵測到進階或零時差攻擊,就會導致一個危險的盲點:只要一份來自可信夥伴的惡意檔案,就可能癱瘓整個敏感的病患資料庫與作業系統。
除了外部合作夥伴的上傳之外,另一個關鍵問題是該組織的核心醫療照護資訊系統 (HCIS)。每天必須大量的臨床和作業資料傳輸給合作夥伴,然而這些流程也缺乏自動化和安全控制,使其容易遭受相同的風險。
HIPAA 和 GDPR 的合規要求,也增加了另一層迫切性:每個未被發現的惡意檔案不僅代表著安全風險,也代表可能的合規性失敗。過去的情境中,檔案流在預設情況下是安全的,但實則暴露在先進的網路威脅之下。這個缺口讓病患記錄、財務資料和關鍵作業系統面臨風險,突顯出更深入的檔案層級檢測的迫切需要。
當MetaDefender Managed File Transfer (MFT) 在試點部署期間,該醫療機構將其連接到現有的 SFTP 和 SMB 資料夾。在概念驗證(POC)過程中,MetaDefender Managed File Transfer (MFT) 自動針對過去兩週儲存的檔案啟動了安全檔案傳輸與檢查工作流程。
當系統處理到前一天才上傳的檔案時,意外發生了。這份標示為「Accounting_Report_Q1.doc」的檔案,是由長期合作的可信供應商提交,先前已通過企業防毒系統的檢測,且並未觸發警報。然而當檔案經MFT的自動化工作流程處理,並在整合式Sandbox環境中進行動態分析後,其真正的惡意本質隨即暴露。
除了沙箱分析之外,Metascan™ Multiscanning(OPSWAT 招牌的多防毒引擎掃描技術,可將 30 多個防毒軟體引擎整合為單一強大的安全層)同時對檔案進行交叉檢查。它證實該檔案沒有已知的任何簽章,這更加確定這是一個真正的零時差惡意軟體,並繞過了所有靜態防禦機制。
- 初始行為追蹤
對使用者而言,該檔案看似正常,但其後台行為極不尋常。
- 混淆的JavaScript 直接在記憶體中解碼 shellcode
- 啟動可疑的程序鏈:winword.exe → cmd.exe → powershell.exe (Base64 指令)
- 檔案嘗試與不尋常的 IP 進行 HTTPS 向外連線
- 它下載了第二階段的有效載荷 (zz.ps1)
- 它嘗試紀錄系統詳細資料並寫入暫存目錄
- 隱藏的紅旗
傳統的靜態掃描遺漏了這一切。由於檔案沒有巨集、沒有已知的簽章、檔案結構中也沒有明顯的惡意成分,因此檔案沒有被辨識為威脅。然而,MetaDefender Sandbox™ 的適應性分析卻標出了明顯的紅旗:
- DLL 注入模式
- 程序掏空
- 指揮與控制信標行為
- 判決與自動回應
經過分析,我們判斷出這是一個高風險的零時差程式。MFT 隨即自動隔離檔案,阻斷與惡意 IP 的連線,並生成包含入侵指標 (IOC) 的完整報告提交至安全營運中心 (SOC),同時自動更新政策以阻絕未來類似威脅。
這項發現,揭露了惡意檔案已在共享資料夾中潛伏多日未被察覺,對於處理病患資料的環境而言,此風險難以被接受。該組織正式導入MFT解決方案後,所有合作夥伴的檔案傳輸,現均需經過多層次檢測:
- MetaDefender Sandbox™
MetaDefender Sandbox™ 使用惡意軟體分析管道,即時執行和觀察可疑檔案,標示繞過靜態防禦的零時差惡意軟體。
- MetaScanMultiscanning 多防毒引擎掃描
Metascan™Multiscanning 使用 30 多個引擎來偵測已知和新出現的威脅。
- 檔案型的漏洞評估 (File-Based Vulnerability Assessment)
在執行前識別安裝程式、韌體和套件中的缺陷。
- 主動防止威脅擴散
持續分析儲存的檔案,並使用最新的威脅情報資料庫,在可疑檔案擴散前加以偵測和隔離。
此外,MFT將所有檔案傳輸集中於單一政策驅動系統之下。每份檔案、使用者操作及傳輸任務皆被完整記錄,建立清晰的稽核軌跡,現在已經可以主動支援HIPAA與GDPR合規要求。並透過角色的存取控制(RBAC)與主管核准工作流程,嚴格限制敏感檔案的操作權限,這項由安全政策驅動的自動化機制,有效降低了人為操作負擔。
零時差警報成為該組織資安策略的轉捩點。傳統的單引擎掃描被OPSWAT的Multiscanning 多防毒引擎掃描堆疊取代,沙箱檢查成為所有協力廠商檔案傳輸的強制性程序,而且預設開啟了疫情預防功能。安全團隊擁有每次檔案交換的可視性,法規遵從人員能獲得完整、可審核的日誌,整個生態系統中的病患資料得到了更好的保護。
最重要的是,該組織汲取了重要的一課:「即使是善意的合作夥伴,也可能在不知情的情況下傳送危險的檔案。」透過在傳輸工作流程中直接嵌入沙箱和深度檔案檢查,該供應商從被動的安全防護轉變為主動的預防。
隨著Managed File Transfer (MFT)與Sandbox 構成檔案傳輸的防禦體系,該醫療機構正評估如何將此分層安全模型擴展至更多工作流程,包括網頁上傳與跨部門資料共享。此舉不僅旨在符合法規要求,更要確保每份檔案——無論來源為何——在進入臨床環境前皆經過驗證、無惡意程式且安全無虞。
該解決方案不僅加強了檔案交換的安全性,還使醫院能夠自動執行安全檔案傳輸的政策式路由,確保敏感資料即時、可靠地移動。
傳統工具只能保護傳輸通道,OPSWAT 則能同時保護檔案和流量。事實證明,這種決定性差異現在已成為供應商長期網路安全策略的核心。
原文連結:https://www.ithome.com.tw/pr/175902
