近年來,隨著IT技術不斷進步,物聯網早已從最初的技術概念轉變?yōu)槿藗兩�活中不可或缺的生產、生活主要工具之一。從大型制造設備到智能電燈、從可穿戴設備到智能家具電器,物聯網不僅為日常生活帶來極大便利,同時也為企業(yè)帶來了諸多好處,它支持員工提高工作效率,并有助于關鍵業(yè)務流程更順暢、直觀和高效地運行。正因如此,預計 2022 年物聯網收入將增長至 5490 億美元;到 2030 年,物聯網互聯設備的數量預計將達到 159 億。( CompTIA )

在我國,2021年工信部等八部門聯合印發(fā)了《物聯網新型基礎設施建設三年行動計劃(2021-2023年)》。計劃目標指出:至2023年底,在國內主要城市初步建成物聯網新型基礎設施,使社會現代化治理、產業(yè)數字化轉型和民生消費升級的基礎更加穩(wěn)固。強調在行業(yè)標準體系、網絡數據安全、知識產權等方面不斷完善提高,支持物聯網健康發(fā)展。在這一利好消息下,我國物聯網市場勢必迎來一次井噴式發(fā)展。

然而,當物聯網資產安全被忽視時,急于將物聯網技術推向市場也會增大企業(yè)與機構的網絡受攻擊面。Gartner 報告稱,在所有針對企業(yè)的網絡攻擊中,超過 25% 將在某種程度上涉及物聯網。

作為網絡安全領域的長期領導者,Check Point將守衛(wèi)用戶數字資產視為己任。 近日,Check Point通過Quantum 物聯網防護解決方案幫助其用戶及時發(fā)現、并處理了一起物聯網攻擊事件,確保了這家企業(yè)免遭進一步嚴重攻擊的后果。在分享本次事件的來龍去脈之前,Check Point的安全專家總結了物聯網設備容易收到攻擊的幾大特質,希望所謂物聯網設備用戶能夠比對自查,從而規(guī)避物聯網攻擊風險。物聯網設備在進入市場時往往存在固有缺陷,致使其面臨安全風險:

· 缺乏標準化造成設備混雜

· 弱安全方法,包括弱密碼或沒有密碼

· 過時且不可修補的硬件、固件或軟件

· 更多數量的設備擴大了攻擊面

因此,黑客很容易獲得這些設備的訪問權限,要么對物聯網設備本身造成嚴重破壞,要么橫向移動以破壞關鍵任務系統,并竊取客戶或員工的個人身份信息 (PII)、知識產權或其他資產。

Check Point 如何為客戶提供幫助?

Quantum 物聯網防護方案支持客戶查看其網絡中的所有物聯網互聯設備,并跟蹤網絡內部和互聯網外部的物聯網設備通信,這些均可通過一系列配置文件來實現�；�于上述配置文件,該解決方案為客戶提供零信任訪問策略,僅允許進行正常物聯網操作所需的通信,并檢測和阻止其他連接,例如連接到可疑互聯網目的地的嘗試將被阻止。

物聯網設備保衛(wèi)戰(zhàn)

(出于對客戶的尊重,我們將對客戶的名稱保密,下文稱為“客戶”)

本次事件的客戶已經將Quantum 物聯網防護部署在其網絡中,并開始檢測和識別所有物聯網互聯設備。由于這是首次使用物聯網防護,因此客戶選擇在僅檢測模式下安裝安全策略,而非啟用該解決方案來主動攔截可疑流量。

數周來,沒有檢測到任何可疑活動或事件,直至客戶看到 Quantum 物聯網防護檢測到一臺物聯網設備在短時間內與多個可疑域名進行通信。然后,客戶注意到該設備已停止與可疑域名通信,因此他們決定繼續(xù)監(jiān)控其日志。

此時,客戶選擇不采取任何進一步的措施,因為他們認為一切都已恢復正常。這一選擇當時看來有情可原,因為系統在幾周內基本上處于“靜默”狀態(tài),而且沒有顯示任何異常的物聯網設備活動。

然而,在兩周寂然不動之后,同一臺設備再次活躍,這次開始與互聯網上的數十個可疑域名進行通信。此時,客戶才意識到出現了問題,并決定主動聯系 Check Point 物聯網團隊以獲得進一步的支持。

調查

在調查的早期,Check Point 團隊確定該設備正在與一些高風險域名進行通信。對這些事件執(zhí)行進一步調查后得出的結論是,該設備正在與一個或多個命令與控制 (C&C) 服務器通信。

響應團隊確認這臺物聯網設備感染了 Mirai 和加密貨幣挖礦 Bot。進一步的日志分析不僅具體說明了設備是如何被感染的,而且還確定了感染的不同步驟,并能夠向客戶描述其在網絡殺傷鏈時間軸上的位置。

經驗教訓

在這個案例的開頭,我們介紹了客戶如何安裝 Quantum 物聯網防護及其為何在僅檢測模式下運行。換句話說,客戶實際上沒有激活可以幫助他們保護其物聯網設備的防護措施。

客戶只是不想干擾或(可能)“破壞”設備的功能,此類選擇既普遍又可以理解。物聯網設備沒有提供詳細說明書,說明哪些連接應允許進行正常操作,以及默認情況下,哪些連接不應被允許或應受到阻止。Check Point 正通過 Quantum 物聯網防護解決方案解決這一問題。

Quantum 物聯網防護為客戶提供了即購即用的自主式零信任訪問策略,可自動保護物聯網設備,而不會干擾或破壞其正常功能。為了在不產生任何其他安全風險的情況下實現物聯網設備的真正優(yōu)勢,客戶可以安全地選擇在預防模式下部署 Quantum 物聯網防護解決方案。

Check Point的客戶案例畫上了一個圓滿的句號 — Quantum 物聯網防護阻止了受感染設備與 C&C 服務器的通信,并能夠清理受感染的設備,讓其恢復上線并投入生產。Check Point將一如既往地幫助更多用戶在享有物聯網設備便捷的同時,最大程度的規(guī)避風險、保護用戶核心數字資產的安全。