近年來,隨著IT技術(shù)不斷進(jìn)步,物聯(lián)網(wǎng)早已從最初的技術(shù)概念轉(zhuǎn)變?yōu)槿藗兩�活中不可或缺的生產(chǎn)、生活主要工具之一。從大型制造設(shè)備到智能電燈、從可穿戴設(shè)備到智能家具電器,物聯(lián)網(wǎng)不僅為日常生活帶來極大便利,同時(shí)也為企業(yè)帶來了諸多好處,它支持員工提高工作效率,并有助于關(guān)鍵業(yè)務(wù)流程更順暢、直觀和高效地運(yùn)行。正因如此,預(yù)計(jì) 2022 年物聯(lián)網(wǎng)收入將增長(zhǎng)至 5490 億美元;到 2030 年,物聯(lián)網(wǎng)互聯(lián)設(shè)備的數(shù)量預(yù)計(jì)將達(dá)到 159 億。( CompTIA )

在我國,2021年工信部等八部門聯(lián)合印發(fā)了《物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)三年行動(dòng)計(jì)劃(2021-2023年)》。計(jì)劃目標(biāo)指出:至2023年底,在國內(nèi)主要城市初步建成物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施,使社會(huì)現(xiàn)代化治理、產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型和民生消費(fèi)升級(jí)的基礎(chǔ)更加穩(wěn)固。強(qiáng)調(diào)在行業(yè)標(biāo)準(zhǔn)體系、網(wǎng)絡(luò)數(shù)據(jù)安全、知識(shí)產(chǎn)權(quán)等方面不斷完善提高,支持物聯(lián)網(wǎng)健康發(fā)展。在這一利好消息下,我國物聯(lián)網(wǎng)市場(chǎng)勢(shì)必迎來一次井噴式發(fā)展。

然而,當(dāng)物聯(lián)網(wǎng)資產(chǎn)安全被忽視時(shí),急于將物聯(lián)網(wǎng)技術(shù)推向市場(chǎng)也會(huì)增大企業(yè)與機(jī)構(gòu)的網(wǎng)絡(luò)受攻擊面。Gartner 報(bào)告稱,在所有針對(duì)企業(yè)的網(wǎng)絡(luò)攻擊中,超過 25% 將在某種程度上涉及物聯(lián)網(wǎng)。

作為網(wǎng)絡(luò)安全領(lǐng)域的長(zhǎng)期領(lǐng)導(dǎo)者,Check Point將守衛(wèi)用戶數(shù)字資產(chǎn)視為己任。 近日,Check Point通過Quantum 物聯(lián)網(wǎng)防護(hù)解決方案幫助其用戶及時(shí)發(fā)現(xiàn)、并處理了一起物聯(lián)網(wǎng)攻擊事件,確保了這家企業(yè)免遭進(jìn)一步嚴(yán)重攻擊的后果。在分享本次事件的來龍去脈之前,Check Point的安全專家總結(jié)了物聯(lián)網(wǎng)設(shè)備容易收到攻擊的幾大特質(zhì),希望所謂物聯(lián)網(wǎng)設(shè)備用戶能夠比對(duì)自查,從而規(guī)避物聯(lián)網(wǎng)攻擊風(fēng)險(xiǎn)。物聯(lián)網(wǎng)設(shè)備在進(jìn)入市場(chǎng)時(shí)往往存在固有缺陷,致使其面臨安全風(fēng)險(xiǎn):

· 缺乏標(biāo)準(zhǔn)化造成設(shè)備混雜

· 弱安全方法,包括弱密碼或沒有密碼

· 過時(shí)且不可修補(bǔ)的硬件、固件或軟件

· 更多數(shù)量的設(shè)備擴(kuò)大了攻擊面

因此,黑客很容易獲得這些設(shè)備的訪問權(quán)限,要么對(duì)物聯(lián)網(wǎng)設(shè)備本身造成嚴(yán)重破壞,要么橫向移動(dòng)以破壞關(guān)鍵任務(wù)系統(tǒng),并竊取客戶或員工的個(gè)人身份信息 (PII)、知識(shí)產(chǎn)權(quán)或其他資產(chǎn)。

Check Point 如何為客戶提供幫助?

Quantum 物聯(lián)網(wǎng)防護(hù)方案支持客戶查看其網(wǎng)絡(luò)中的所有物聯(lián)網(wǎng)互聯(lián)設(shè)備,并跟蹤網(wǎng)絡(luò)內(nèi)部和互聯(lián)網(wǎng)外部的物聯(lián)網(wǎng)設(shè)備通信,這些均可通過一系列配置文件來實(shí)現(xiàn)�；�于上述配置文件,該解決方案為客戶提供零信任訪問策略,僅允許進(jìn)行正常物聯(lián)網(wǎng)操作所需的通信,并檢測(cè)和阻止其他連接,例如連接到可疑互聯(lián)網(wǎng)目的地的嘗試將被阻止。

物聯(lián)網(wǎng)設(shè)備保衛(wèi)戰(zhàn)

(出于對(duì)客戶的尊重,我們將對(duì)客戶的名稱保密,下文稱為“客戶”)

本次事件的客戶已經(jīng)將Quantum 物聯(lián)網(wǎng)防護(hù)部署在其網(wǎng)絡(luò)中,并開始檢測(cè)和識(shí)別所有物聯(lián)網(wǎng)互聯(lián)設(shè)備。由于這是首次使用物聯(lián)網(wǎng)防護(hù),因此客戶選擇在僅檢測(cè)模式下安裝安全策略,而非啟用該解決方案來主動(dòng)攔截可疑流量。

數(shù)周來,沒有檢測(cè)到任何可疑活動(dòng)或事件,直至客戶看到 Quantum 物聯(lián)網(wǎng)防護(hù)檢測(cè)到一臺(tái)物聯(lián)網(wǎng)設(shè)備在短時(shí)間內(nèi)與多個(gè)可疑域名進(jìn)行通信。然后,客戶注意到該設(shè)備已停止與可疑域名通信,因此他們決定繼續(xù)監(jiān)控其日志。

此時(shí),客戶選擇不采取任何進(jìn)一步的措施,因?yàn)樗麄冋J(rèn)為一切都已恢復(fù)正常。這一選擇當(dāng)時(shí)看來有情可原,因?yàn)橄到y(tǒng)在幾周內(nèi)基本上處于“靜默”狀態(tài),而且沒有顯示任何異常的物聯(lián)網(wǎng)設(shè)備活動(dòng)。

然而,在兩周寂然不動(dòng)之后,同一臺(tái)設(shè)備再次活躍,這次開始與互聯(lián)網(wǎng)上的數(shù)十個(gè)可疑域名進(jìn)行通信。此時(shí),客戶才意識(shí)到出現(xiàn)了問題,并決定主動(dòng)聯(lián)系 Check Point 物聯(lián)網(wǎng)團(tuán)隊(duì)以獲得進(jìn)一步的支持。

調(diào)查

在調(diào)查的早期,Check Point 團(tuán)隊(duì)確定該設(shè)備正在與一些高風(fēng)險(xiǎn)域名進(jìn)行通信。對(duì)這些事件執(zhí)行進(jìn)一步調(diào)查后得出的結(jié)論是,該設(shè)備正在與一個(gè)或多個(gè)命令與控制 (C&C) 服務(wù)器通信。

響應(yīng)團(tuán)隊(duì)確認(rèn)這臺(tái)物聯(lián)網(wǎng)設(shè)備感染了 Mirai 和加密貨幣挖礦 Bot。進(jìn)一步的日志分析不僅具體說明了設(shè)備是如何被感染的,而且還確定了感染的不同步驟,并能夠向客戶描述其在網(wǎng)絡(luò)殺傷鏈時(shí)間軸上的位置。

經(jīng)驗(yàn)教訓(xùn)

在這個(gè)案例的開頭,我們介紹了客戶如何安裝 Quantum 物聯(lián)網(wǎng)防護(hù)及其為何在僅檢測(cè)模式下運(yùn)行。換句話說,客戶實(shí)際上沒有激活可以幫助他們保護(hù)其物聯(lián)網(wǎng)設(shè)備的防護(hù)措施。

客戶只是不想干擾或(可能)“破壞”設(shè)備的功能,此類選擇既普遍又可以理解。物聯(lián)網(wǎng)設(shè)備沒有提供詳細(xì)說明書,說明哪些連接應(yīng)允許進(jìn)行正常操作,以及默認(rèn)情況下,哪些連接不應(yīng)被允許或應(yīng)受到阻止。Check Point 正通過 Quantum 物聯(lián)網(wǎng)防護(hù)解決方案解決這一問題。

Quantum 物聯(lián)網(wǎng)防護(hù)為客戶提供了即購即用的自主式零信任訪問策略,可自動(dòng)保護(hù)物聯(lián)網(wǎng)設(shè)備,而不會(huì)干擾或破壞其正常功能。為了在不產(chǎn)生任何其他安全風(fēng)險(xiǎn)的情況下實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備的真正優(yōu)勢(shì),客戶可以安全地選擇在預(yù)防模式下部署 Quantum 物聯(lián)網(wǎng)防護(hù)解決方案。

Check Point的客戶案例畫上了一個(gè)圓滿的句號(hào) — Quantum 物聯(lián)網(wǎng)防護(hù)阻止了受感染設(shè)備與 C&C 服務(wù)器的通信,并能夠清理受感染的設(shè)備,讓其恢復(fù)上線并投入生產(chǎn)。Check Point將一如既往地幫助更多用戶在享有物聯(lián)網(wǎng)設(shè)備便捷的同時(shí),最大程度的規(guī)避風(fēng)險(xiǎn)、保護(hù)用戶核心數(shù)字資產(chǎn)的安全。