1. 白十三的码路首页
  2. 安全

破题医疗在线化业务安全挑战

AI加持态势感知

据弗若斯特沙利文调查报告显示,中国互联网医疗健康行业将急速扩张,2016年市场规模达109亿元,预计2026年将增加至1980亿元。在互联网+医疗的大背景下,医疗数据的有形安全壁垒正在消失。医疗在线化带来便利的同时,也使医疗机构面临数据“裸奔”、爬虫防不胜防、安全运维效率低、问题排查困难等业务安全挑战。与此同时,白山云科技发现用户身份数据、就诊信息、疾病信息、医院号源等医疗数据在黑市越来越炙手可热。

2017年6月,网络安全法正式施行,等保2.0标准将云计算、物联网、大数据中心、工业控制系统等都纳入到等保安全合规审核中,并首次将态势感知纳入标准。面对越来越急迫的医疗机构数据安全需求,白山云科技ATD团队一直在探索最佳解决之道。

一、安全挑战

医疗机构现有安全保障体系尚处于初步建设阶段,还不足以应对当前网络安全威胁,行业整体网络安全保障水平亟需提升。目前医疗在线化面临的数据安全挑战主要集中在网络黄牛、数据恶意爬取、撞库泄露医患信息等方面。

套路1:网络黄牛

破题医疗在线化业务安全挑战
(黄牛抢号架构图)

网络黄牛事先注册批量账号,通过猫池、代理池运行号源监测程序,注册程序与接码平台在医院放号后自动注册账号、抢占号源;与患者联系后,后台使用抢号/退号程序,将号源转让给患者,赚取中间巨额利润。

大量的网络黄牛采用死循环的方式运行程序,占用医院带宽资源,将导致其服务不稳定。而患者不仅需要支付高额的服务费,还存在身份认证信息、就诊信息等个人隐私数据的泄露与被滥用的风险。

套路2:数据爬取

破题医疗在线化业务安全挑战
(数据爬虫架构图)

爬虫团伙采用多源低频的方式,利用接码平台与人机交互,不断爬取医疗机构信息,其主要目的在于获取号源、爬取竞争对手信息制定定价策略、扫描注册用户并针对其进行精准营销。但爬虫团伙多采用大量真实IP地址,以低于10次/小时的超低频率爬取信息,传统安全系统难以有效拦截。

套路3:撞库泄露医患信息

破题医疗在线化业务安全挑战
(撞库架构图)

部分患者安全意识薄弱,在多个平台使用相同密码,或使用简单密码,为勒索团伙提供了便利。勒索团伙一旦获取患者的就诊信息,将信息贩卖给广告公司或进行敲诈勒索,将为患者带来严重损失。

二、下一代安全趋势

目前部分医疗机构虽已经建设了完整的安全体系但仍面临以下问题:不了解安全产品效果缺少最后一道防线、过度依赖情报中心导致误报率高、依赖设备指纹识别无法解决误判问题、完全依靠规则无法发现未知威胁、安全设备采用串行/嵌入模式中断将影响正常业务、硬件部署无法弹性扩容等。

破题医疗在线化业务安全挑战
(下一代安全)

综合以上问题,我们勾勒出下一代安全产品包括以下特征:

▪️人工智能:充分应用人工智能技术,基于用户行为分析,不依靠人工配置安全策略,实时发现未知威胁

▪️旁路工作模式:实现安全产品服务中断时对业务零影响

▪️软件云化部署:支持弹性扩容

▪️大数据分析平台:作为最后一道防线,利用大数据分析平台分析访问日志,检测威胁

作为最后一道防线,SIEM(态势感知)被广泛应用。很多安全团队也在SIEM平台中引入了人工智能,但更多是将AI算法作为附属插件集成到安全平台中,利用异常检测、线性预测等算法分析自身数据,使用SIEM时反而需要基于大量已标注的数据,花费大量时间、精力、人力配置和使用AI工具。

三、ATD:下一代基于AI的SIEM平台

针对以上痛点,白山ATD基于服务数十家客户的实战经验,构建下一代基于AI的SIEM平台,通过无监督学习算法,从海量数据流信息中发掘威胁事件,并采用旁路工作模式与软件部署方式,保障业务零影响以及企业的弹性扩容需求。

1.个群对比

ATD基于实时个群对比原理进行异常行为识别,先对用户行为进行行为建模,构建数学空间模型,然后再进行空间特征泛化,最后进行个群对比分析,识别异于正常用户的攻击者,如:深层次异常行为、团伙异常行为、低频异常行为、代理池异常行为等。

以多源低频的爬虫场景为例,传统安全方式难以精准识别攻击行为。而利用AI,我们首先按六元组模型将用户访问行为聚类,爬虫的访问路径与聚类行为不同,从而放大攻击特征。

2.用户行为建模

除识别已知攻击外,ATD通过学习历史行为内在规律计算概率模型,可以准确识别未知异常行为。利用构建的业务逻辑模型,基于模型构建集成学习分类算法,通过对比单个用户访问行为,ATD能够识别与业务逻辑具有较大差异的异常行为。

3.系统再学习

ATD的主动进化引擎利用Active Learning算法,允许安全专家对系统识别出的异常行为进行有限标注,通过CNN(卷积神经元网络)训练少量样本模型,修正原有算法分析结果,最终提升算法准确率,使系统越来越聪明。

除精准识别攻击数据外,ATD针对安全运维效率低、问题排查困难等安全痛点,打造安全运维一体化平台。以ATD为中心打通企业所有数据,对流量数据、内网数据、外网数据、设备数据、数据库数据,进行根因分析、关联,并在平台中全方位展示,实现安全运维一体化,节省安全运维人力成本,实现安全问题快速定位。

破题医疗在线化业务安全挑战
(ATD平台全方位展示安全数据)

ATD目前已服务数十家行业领先客户,并不断根据客户需求,并结合最前沿的安全技术,打造下一代基于AI的SIEM平台。以某客户为例,其场景具有如下特点:

▪️业务数据敏感度高,不使用公有云安全产品(证书原因)

▪️自身服务资源不多,架构改造阶段,服务承载能力不强

▪️经常有恶意刷单行为,导致服务器资源被耗光

▪️部门组织结构分散(业务、安全、运维),不能承担更改网络架构的风险

▪️使用过传统安全硬件,只访问频率保护无法满足其需求

ATD团队根据业务特点,制定安全解决方案,部署服务器采集负载均衡设备数据,针对uid定制逻辑。经客户反馈,使用ATD后安全运维人员报警短信数量降低80%;某接口遭恶意刷单攻击时,502/504比例由30%降低至0.1%

此外,随着互联网+的大范围普及,企业将越来越疲于应付大量安全警报。市场研究机构Gartner 2017年提出了SOAR概念(安全编排、自动化与响应,Security Orchestration and Automation Response),即可供企业收集不同来源的安全威胁数据和警报,运用人机结合的方法进行事件分析与分类,根据标准流程辅助定义、排序和驱动标准化事件响应行为。ATD支持企业在事件编排中心上通过编码实现任意的威胁处理逻辑,自动化处理安全警报,降低安全人力投入,助力企业进一步提升安全运维效率。

通过白山云科技ATD平台,各行业客户可以构建自己的完整安全防护体系,守护业务安全。基于AI的SIEM正在重新定义下一代安全产品。

原创文章,作者:白山码路长,如若转载,请注明出处:http://blog.baishan.com/cloud-security/potiyiliaozaixianhuayewuanquantiaozhan

发表评论

登录后才能评论