Check Point Quantum保护用户物联网免遭攻击

近年来,随着IT技术不断进步,物联网早已从最初的技术概念转变为人们生活中不可或缺的生产、生活主要工具之一。从大型制造设备到智能电灯、从可穿戴设备到智能家具电器,物联网不仅为日常生活带来极大便利,同时也为企业带来了诸多好处,它支持员工提高工作效率,并有助于关键业务流程更顺畅、直观和高效地运行。正因如此,预计 2022 年物联网收入将增长至 5490 亿美元;到 2030 年,物联网互联设备的数量预计将达到 159 亿。

在我国,2021年工信部等八部门联合印发了《物联网新型基础设施建设三年行动计划(2021-2023年)》。计划目标指出:至2023年底,在国内主要城市初步建成物联网新型基础设施,使社会现代化治理、产业数字化转型和民生消费升级的基础更加稳固。强调在行业标准体系、网络数据安全、知识产权等方面不断完善提高,支持物联网健康发展。在这一利好消息下,我国物联网市场势必迎来一次井喷式发展。

然而,当物联网资产安全被忽视时,急于将物联网技术推向市场也会增大企业与机构的网络受攻击面。Gartner 报告称,在所有针对企业的网络攻击中,超过 25% 将在某种程度上涉及物联网。

作为网络安全领域的长期领导者,Check Point将守卫用户数字资产视为己任。 近日,Check Point通过Quantum 物联网防护解决方案帮助其用户及时发现、并处理了一起物联网攻击事件,确保了这家企业免遭进一步严重攻击的后果。在分享本次事件的来龙去脉之前,Check Point的安全专家总结了物联网设备容易收到攻击的几大特质,希望所谓物联网设备用户能够比对自查,从而规避物联网攻击风险。物联网设备在进入市场时往往存在固有缺陷,致使其面临安全风险:

  • 缺乏标准化造成设备混杂
  • 弱安全方法,包括弱密码或没有密码
  • 过时且不可修补的硬件、固件或软件
  • 更多数量的设备扩大了攻击面

因此,黑客很容易获得这些设备的访问权限,要么对物联网设备本身造成严重破坏,要么横向移动以破坏关键任务系统,并窃取客户或员工的个人身份信息 (PII)、知识产权或其他资产。

Check Point 如何为客户提供帮助?

Quantum 物联网防护方案支持客户查看其网络中的所有物联网互联设备,并跟踪网络内部和互联网外部的物联网设备通信,这些均可通过一系列配置文件来实现。基于上述配置文件,该解决方案为客户提供零信任访问策略,仅允许进行正常物联网操作所需的通信,并检测和阻止其他连接,例如连接到可疑互联网目的地的尝试将被阻止。

物联网设备保卫战

(出于对客户的尊重,我们将对客户的名称保密,下文称为“客户”)

本次事件的客户已经将Quantum 物联网防护部署在其网络中,并开始检测和识别所有物联网互联设备。由于这是首次使用物联网防护,因此客户选择在仅检测模式下安装安全策略,而非启用该解决方案来主动拦截可疑流量。

数周来,没有检测到任何可疑活动或事件,直至客户看到 Quantum 物联网防护检测到一台物联网设备在短时间内与多个可疑域名进行通信。然后,客户注意到该设备已停止与可疑域名通信,因此他们决定继续监控其日志。

此时,客户选择不采取任何进一步的措施,因为他们认为一切都已恢复正常。这一选择当时看来有情可原,因为系统在几周内基本上处于“静默”状态,而且没有显示任何异常的物联网设备活动。

然而,在两周寂然不动之后,同一台设备再次活跃,这次开始与互联网上的数十个可疑域名进行通信。此时,客户才意识到出现了问题,并决定主动联系 Check Point 物联网团队以获得进一步的支持。

调查

在调查的早期,Check Point 团队确定该设备正在与一些高风险域名进行通信。对这些事件执行进一步调查后得出的结论是,该设备正在与一个或多个命令与控制 (C&C) 服务器通信。

响应团队确认这台物联网设备感染了 Mirai 和加密货币挖矿 Bot。进一步的日志分析不仅具体说明了设备是如何被感染的,而且还确定了感染的不同步骤,并能够向客户描述其在网络杀伤链时间轴上的位置。

经验教训

在这个案例的开头,我们介绍了客户如何安装 Quantum 物联网防护及其为何在仅检测模式下运行。换句话说,客户实际上没有激活可以帮助他们保护其物联网设备的防护措施。

客户只是不想干扰或(可能)“破坏”设备的功能,此类选择既普遍又可以理解。物联网设备没有提供详细说明书,说明哪些连接应允许进行正常操作,以及默认情况下,哪些连接不应被允许或应受到阻止。Check Point 正通过 Quantum 物联网防护解决方案解决这一问题。

Quantum 物联网防护为客户提供了即购即用的自主式零信任访问策略,可自动保护物联网设备,而不会干扰或破坏其正常功能。为了在不产生任何其他安全风险的情况下实现物联网设备的真正优势,客户可以安全地选择在预防模式下部署 Quantum 物联网防护解决方案。

Check Point的客户案例画上了一个圆满的句号 — Quantum 物联网防护阻止了受感染设备与 C&C 服务器的通信,并能够清理受感染的设备,让其恢复上线并投入生产。Check Point将一如既往地帮助更多用户在享有物联网设备便捷的同时,最大程度的规避风险、保护用户核心数字资产的安全。