此時(shí),客戶選擇不采取任何進(jìn)一步的措施,因?yàn)樗麄冋J(rèn)為一切都已恢復(fù)正常。這一選擇當(dāng)時(shí)看來有情可原,因?yàn)橄到y(tǒng)在幾周內(nèi)基本上處于“靜默”狀態(tài),而且沒有顯示任何異常的物聯(lián)網(wǎng)設(shè)備活動(dòng)。
然而,在兩周寂然不動(dòng)之后,同一臺(tái)設(shè)備再次活躍,這次開始與互聯(lián)網(wǎng)上的數(shù)十個(gè)可疑域名進(jìn)行通信。此時(shí),客戶才意識(shí)到出現(xiàn)了問題,并決定主動(dòng)聯(lián)系 Check Point 物聯(lián)網(wǎng)團(tuán)隊(duì)以獲得進(jìn)一步的支持。
調(diào)查
在調(diào)查的早期,Check Point 團(tuán)隊(duì)確定該設(shè)備正在與一些高風(fēng)險(xiǎn)域名進(jìn)行通信。對(duì)這些事件執(zhí)行進(jìn)一步調(diào)查后得出的結(jié)論是,該設(shè)備正在與一個(gè)或多個(gè)命令與控制 (C&C) 服務(wù)器通信。
響應(yīng)團(tuán)隊(duì)確認(rèn)這臺(tái)物聯(lián)網(wǎng)設(shè)備感染了 Mirai 和加密貨幣挖礦 Bot。進(jìn)一步的日志分析不僅具體說明了設(shè)備是如何被感染的,而且還確定了感染的不同步驟,并能夠向客戶描述其在網(wǎng)絡(luò)殺傷鏈時(shí)間軸上的位置。
經(jīng)驗(yàn)教訓(xùn)
在這個(gè)案例的開頭,我們介紹了客戶如何安裝 Quantum 物聯(lián)網(wǎng)防護(hù)及其為何在僅檢測(cè)模式下運(yùn)行。換句話說,客戶實(shí)際上沒有激活可以幫助他們保護(hù)其物聯(lián)網(wǎng)設(shè)備的防護(hù)措施。
客戶只是不想干擾或(可能)“破壞”設(shè)備的功能,此類選擇既普遍又可以理解。物聯(lián)網(wǎng)設(shè)備沒有提供詳細(xì)說明書,說明哪些連接應(yīng)允許進(jìn)行正常操作,以及默認(rèn)情況下,哪些連接不應(yīng)被允許或應(yīng)受到阻止。Check Point 正通過 Quantum 物聯(lián)網(wǎng)防護(hù)解決方案解決這一問題。
Quantum 物聯(lián)網(wǎng)防護(hù)為客戶提供了即購即用的自主式零信任訪問策略,可自動(dòng)保護(hù)物聯(lián)網(wǎng)設(shè)備,而不會(huì)干擾或破壞其正常功能。為了在不產(chǎn)生任何其他安全風(fēng)險(xiǎn)的情況下實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備的真正優(yōu)勢(shì),客戶可以安全地選擇在預(yù)防模式下部署 Quantum 物聯(lián)網(wǎng)防護(hù)解決方案。
Check Point的客戶案例畫上了一個(gè)圓滿的句號(hào) — Quantum 物聯(lián)網(wǎng)防護(hù)阻止了受感染設(shè)備與 C&C 服務(wù)器的通信,并能夠清理受感染的設(shè)備,讓其恢復(fù)上線并投入生產(chǎn)。Check Point將一如既往地幫助更多用戶在享有物聯(lián)網(wǎng)設(shè)備便捷的同時(shí),最大程度的規(guī)避風(fēng)險(xiǎn)、保護(hù)用戶核心數(shù)字資產(chǎn)的安全。