近年來，隨著IT技術(shù)不斷進(jìn)步，物聯(lián)網(wǎng)早已從最初的技術(shù)概念轉(zhuǎn)變?yōu)槿藗兩钪胁豢苫蛉钡纳a(chǎn)、生活主要工具之一。從大型制造設(shè)備到智能電燈、從可穿戴設(shè)備到智能家具電器，物聯(lián)網(wǎng)不僅為日常生活帶來極大便利，同時也為企業(yè)帶來了諸多好處，它支持員工提高工作效率，并有助于關(guān)鍵業(yè)務(wù)流程更順暢、直觀和高效地運行。正因如此，預(yù)計 2022 年物聯(lián)網(wǎng)收入將增長至 5490 億美元；到 2030 年，物聯(lián)網(wǎng)互聯(lián)設(shè)備的數(shù)量預(yù)計將達(dá)到 159 億。( CompTIA )

在我國，2021年工信部等八部門聯(lián)合印發(fā)了《物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)三年行動計劃(2021-2023年)》。計劃目標(biāo)指出：至2023年底，在國內(nèi)主要城市初步建成物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施，使社會現(xiàn)代化治理、產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型和民生消費升級的基礎(chǔ)更加穩(wěn)固。強(qiáng)調(diào)在行業(yè)標(biāo)準(zhǔn)體系、網(wǎng)絡(luò)數(shù)據(jù)安全、知識產(chǎn)權(quán)等方面不斷完善提高，支持物聯(lián)網(wǎng)健康發(fā)展。在這一利好消息下，我國物聯(lián)網(wǎng)市場勢必迎來一次井噴式發(fā)展。

然而，當(dāng)物聯(lián)網(wǎng)資產(chǎn)安全被忽視時，急于將物聯(lián)網(wǎng)技術(shù)推向市場也會增大企業(yè)與機(jī)構(gòu)的網(wǎng)絡(luò)受攻擊面。Gartner 報告稱，在所有針對企業(yè)的網(wǎng)絡(luò)攻擊中，超過 25% 將在某種程度上涉及物聯(lián)網(wǎng)。

作為網(wǎng)絡(luò)安全領(lǐng)域的長期領(lǐng)導(dǎo)者，Check Point將守衛(wèi)用戶數(shù)字資產(chǎn)視為己任。 近日，Check Point通過Quantum 物聯(lián)網(wǎng)防護(hù)解決方案幫助其用戶及時發(fā)現(xiàn)、并處理了一起物聯(lián)網(wǎng)攻擊事件，確保了這家企業(yè)免遭進(jìn)一步嚴(yán)重攻擊的后果。在分享本次事件的來龍去脈之前，Check Point的安全專家總結(jié)了物聯(lián)網(wǎng)設(shè)備容易收到攻擊的幾大特質(zhì)，希望所謂物聯(lián)網(wǎng)設(shè)備用戶能夠比對自查，從而規(guī)避物聯(lián)網(wǎng)攻擊風(fēng)險。物聯(lián)網(wǎng)設(shè)備在進(jìn)入市場時往往存在固有缺陷，致使其面臨安全風(fēng)險：

缺乏標(biāo)準(zhǔn)化造成設(shè)備混雜

弱安全方法，包括弱密碼或沒有密碼

過時且不可修補(bǔ)的硬件、固件或軟件

更多數(shù)量的設(shè)備擴(kuò)大了攻擊面

因此，黑客很容易獲得這些設(shè)備的訪問權(quán)限，要么對物聯(lián)網(wǎng)設(shè)備本身造成嚴(yán)重破壞，要么橫向移動以破壞關(guān)鍵任務(wù)系統(tǒng)，并竊取客戶或員工的個人身份信息 (PII)、知識產(chǎn)權(quán)或其他資產(chǎn)。

Check Point 如何為客戶提供幫助？

Quantum 物聯(lián)網(wǎng)防護(hù)方案支持客戶查看其網(wǎng)絡(luò)中的所有物聯(lián)網(wǎng)互聯(lián)設(shè)備，并跟蹤網(wǎng)絡(luò)內(nèi)部和互聯(lián)網(wǎng)外部的物聯(lián)網(wǎng)設(shè)備通信，這些均可通過一系列配置文件來實現(xiàn)。基于上述配置文件，該解決方案為客戶提供零信任訪問策略，僅允許進(jìn)行正常物聯(lián)網(wǎng)操作所需的通信，并檢測和阻止其他連接，例如連接到可疑互聯(lián)網(wǎng)目的地的嘗試將被阻止。

物聯(lián)網(wǎng)設(shè)備保衛(wèi)戰(zhàn)

（出于對客戶的尊重，我們將對客戶的名稱保密，下文稱為“客戶”）

本次事件的客戶已經(jīng)將Quantum 物聯(lián)網(wǎng)防護(hù)部署在其網(wǎng)絡(luò)中，并開始檢測和識別所有物聯(lián)網(wǎng)互聯(lián)設(shè)備。由于這是首次使用物聯(lián)網(wǎng)防護(hù)，因此客戶選擇在僅檢測模式下安裝安全策略，而非啟用該解決方案來主動攔截可疑流量。

數(shù)周來，沒有檢測到任何可疑活動或事件，直至客戶看到 Quantum 物聯(lián)網(wǎng)防護(hù)檢測到一臺物聯(lián)網(wǎng)設(shè)備在短時間內(nèi)與多個可疑域名進(jìn)行通信。然后，客戶注意到該設(shè)備已停止與可疑域名通信，因此他們決定繼續(xù)監(jiān)控其日志。

此時，客戶選擇不采取任何進(jìn)一步的措施，因為他們認(rèn)為一切都已恢復(fù)正常。這一選擇當(dāng)時看來有情可原，因為系統(tǒng)在幾周內(nèi)基本上處于“靜默”狀態(tài)，而且沒有顯示任何異常的物聯(lián)網(wǎng)設(shè)備活動。

然而，在兩周寂然不動之后，同一臺設(shè)備再次活躍，這次開始與互聯(lián)網(wǎng)上的數(shù)十個可疑域名進(jìn)行通信。此時，客戶才意識到出現(xiàn)了問題，并決定主動聯(lián)系 Check Point 物聯(lián)網(wǎng)團(tuán)隊以獲得進(jìn)一步的支持。

調(diào)查

在調(diào)查的早期，Check Point 團(tuán)隊確定該設(shè)備正在與一些高風(fēng)險域名進(jìn)行通信。對這些事件執(zhí)行進(jìn)一步調(diào)查后得出的結(jié)論是，該設(shè)備正在與一個或多個命令與控制 (C&C) 服務(wù)器通信。

響應(yīng)團(tuán)隊確認(rèn)這臺物聯(lián)網(wǎng)設(shè)備感染了 Mirai 和加密貨幣挖礦 Bot。進(jìn)一步的日志分析不僅具體說明了設(shè)備是如何被感染的，而且還確定了感染的不同步驟，并能夠向客戶描述其在網(wǎng)絡(luò)殺傷鏈時間軸上的位置。

經(jīng)驗教訓(xùn)

在這個案例的開頭，我們介紹了客戶如何安裝 Quantum 物聯(lián)網(wǎng)防護(hù)及其為何在僅檢測模式下運行。換句話說，客戶實際上沒有激活可以幫助他們保護(hù)其物聯(lián)網(wǎng)設(shè)備的防護(hù)措施。

客戶只是不想干擾或（可能）“破壞”設(shè)備的功能，此類選擇既普遍又可以理解。物聯(lián)網(wǎng)設(shè)備沒有提供詳細(xì)說明書，說明哪些連接應(yīng)允許進(jìn)行正常操作，以及默認(rèn)情況下，哪些連接不應(yīng)被允許或應(yīng)受到阻止。Check Point 正通過 Quantum 物聯(lián)網(wǎng)防護(hù)解決方案解決這一問題。

Quantum 物聯(lián)網(wǎng)防護(hù)為客戶提供了即購即用的自主式零信任訪問策略，可自動保護(hù)物聯(lián)網(wǎng)設(shè)備，而不會干擾或破壞其正常功能。為了在不產(chǎn)生任何其他安全風(fēng)險的情況下實現(xiàn)物聯(lián)網(wǎng)設(shè)備的真正優(yōu)勢，客戶可以安全地選擇在預(yù)防模式下部署 Quantum 物聯(lián)網(wǎng)防護(hù)解決方案。

Check Point的客戶案例畫上了一個圓滿的句號 — Quantum 物聯(lián)網(wǎng)防護(hù)阻止了受感染設(shè)備與 C&C 服務(wù)器的通信，并能夠清理受感染的設(shè)備，讓其恢復(fù)上線并投入生產(chǎn)。Check Point將一如既往地幫助更多用戶在享有物聯(lián)網(wǎng)設(shè)備便捷的同時，最大程度的規(guī)避風(fēng)險、保護(hù)用戶核心數(shù)字資產(chǎn)的安全。