近年来,随着IT技术的不断进步,物联网已经从最初的技术概念成为人们生活中不可缺少的生产生活的主要工具之一。从大型制造设备到智能灯具,从可穿戴设备到智能家具家电,物联网不仅为日常生活带来了极大的便利,还为企业带来了许多好处,包括提高员工生产力,帮助关键业务流程更顺畅、更直观、更高效地运行。因此,到2022年,物联网收入预计将增长到549亿美元。到2030年,物联网连接设备的数量预计将达到159亿。在中国,2021年工业和信息化部等8个部门联合发布了《物联网新型基础设施建设三年行动计划(2021-2023年)》。规划目标指出,到2023年底,中国主要城市将建设新的物联网基础设施,为社会现代化治理、产业数字化转型、人民生活消费升级奠定更坚实的基础。强调行业标准体系、网络数据安全和知识产权的不断完善,支持物联网的健康发展。在这一利好消息下,中国物联网市场将迎来爆发式发展。然而,如果物联网资产的安全性被忽视,将物联网技术推向市场可能会增加企业和机构的网络攻击面。Gartner报告称,超过25%的针对企业的网络攻击都涉及某种形式的物联网。作为网络安全领域的长期领导者,Check Point的使命是保护用户的数字资产。 Check Point使用其量子物联网保护解决方案来帮助其及时检测和应对物联网攻击,并保护其组织免受进一步严重攻击。在分享这起事件的背景之前,Check Point的安全专家总结了物联网设备容易受到攻击的几个特征,希望所谓的物联网设备用户能够进行自我检查,从而避免物联网攻击的风险。物联网设备进入市场时往往具有固有的缺陷,这使他们面临安全风险。弱密码或弱密码(由于缺乏标准化而导致设备混杂在一起)等安全方法(过时且无法修补的硬件、固件和软件)设备数量的增加会扩大攻击面。因此,黑客可以更容易地访问这些设备。它们可以对物联网设备本身造成严重破坏,横向移动以破坏关键任务系统,窃取客户和员工的个人身份信息(PII),知识产权和其他资产。Check Point如何帮助我们的客户?Quantum IoT Protection解决方案使客户能够查看其网络中的所有物联网连接设备,并通过一系列配置文件跟踪其网络内外的物联网设备通信。基于上述配置文件,该解决方案为客户提供了零信任访问策略,仅允许正常物联网操作所需的通信,并检测和阻止其他连接,例如与可疑互联网目的地的连接。物联网设备防御战(出于对客户的尊重,我们对客户的姓名保密)以下简称“客户”)本次活动的客户已在其网络上部署了Quantum IoT Guard,并已开始检测和识别所有与IoT相连的设备。由于物联网保护将首次被使用,客户选择在仅检测模式下安装安全策略,而不是通过启用解决方案来主动阻止可疑流量。几周来,客户没有检测到可疑活动或事件,直到Quantum IoT Protection检测到物联网设备在短时间内与多个可疑域名进行通信。然后,客户意识到他们的设备已经停止了与可疑域的通信,并决定继续监控他们的日志。
在这一点上,客户选择不采取任何进一步行动,因为他们认为一切都恢复正常。这一选择在当时似乎是有利的,因为该系统基本上是“沉默的”几周,并且没有显示出异常的物联网设备活动。然而,在沉默了两周之后,该设备再次激活,这一次开始与互联网上的数十个可疑域名进行通信。在这一点上,客户意识到他们遇到了问题,并决定联系Check Point物联网团队以获得进一步的支持。在调查的早期阶段,Check Point团队确认该设备与多个高风险域进行了通信。在对这些事件进行进一步调查后,我们得出结论,这些设备正在与一个或多个命令和控制(C&C)服务器进行通信。响应团队证实,物联网设备感染了Mirai和加密货币挖矿机器人。进一步的日志分析不仅可以确定设备是如何被感染的,还可以确定感染的不同步骤,并向客户解释设备在网络杀伤链时间线上的位置。
在本案例的开头,我们解释了客户如何安装Quantum IoT Guard,以及为什么它在仅检测模式下运行。换句话说,客户实际上并没有启用任何保护措施来帮助他们保护物联网设备。客户只是不想干扰或(可能)“破坏”设备的功能,这样的选择是常见的和可以理解的。物联网设备没有详细说明应该允许哪些连接正常运行,以及默认情况下应该允许或阻止哪些连接。Check Point通过其量子物联网保护解决方案解决了这一问题。Quantum IoT Guard为客户提供了一种开箱即用、自动化、零信任访问策略,可自动保护物联网设备的正常功能,而不会干扰或中断。为了在不产生额外安全风险的情况下实现物联网设备的真正优势,客户可以安全地选择在预防模式下部署量子物联网防御解决方案。Quantum IoT Protection可防止受感染的设备与C&C服务器进行通信,并可清理受感染的设备,使其恢复在线并返回生产环境。Check Point致力于帮助更多用户享受物联网设备的便利性,同时最大限度地降低风险并保护其核心数字资产。