此時(shí)，客戶選擇不采取任何進(jìn)一步的措施，因?yàn)樗麄冋J(rèn)為一切都已恢復(fù)正常。這一選擇當(dāng)時(shí)看來有情可原，因?yàn)橄到y(tǒng)在幾周內(nèi)基本上處于“靜默”狀態(tài)，而且沒有顯示任何異常的物聯(lián)網(wǎng)設(shè)備活動(dòng)。

然而，在兩周寂然不動(dòng)之后，同一臺(tái)設(shè)備再次活躍，這次開始與互聯(lián)網(wǎng)上的數(shù)十個(gè)可疑域名進(jìn)行通信。此時(shí)，客戶才意識(shí)到出現(xiàn)了問題，并決定主動(dòng)聯(lián)系 Check Point 物聯(lián)網(wǎng)團(tuán)隊(duì)以獲得進(jìn)一步的支持。

調(diào)查

在調(diào)查的早期，Check Point 團(tuán)隊(duì)確定該設(shè)備正在與一些高風(fēng)險(xiǎn)域名進(jìn)行通信。對(duì)這些事件執(zhí)行進(jìn)一步調(diào)查后得出的結(jié)論是，該設(shè)備正在與一個(gè)或多個(gè)命令與控制 (C&C) 服務(wù)器通信。

響應(yīng)團(tuán)隊(duì)確認(rèn)這臺(tái)物聯(lián)網(wǎng)設(shè)備感染了 Mirai 和加密貨幣挖礦 Bot。進(jìn)一步的日志分析不僅具體說明了設(shè)備是如何被感染的，而且還確定了感染的不同步驟，并能夠向客戶描述其在網(wǎng)絡(luò)殺傷鏈時(shí)間軸上的位置。

經(jīng)驗(yàn)教訓(xùn)

在這個(gè)案例的開頭，我們介紹了客戶如何安裝 Quantum 物聯(lián)網(wǎng)防護(hù)及其為何在僅檢測(cè)模式下運(yùn)行。換句話說，客戶實(shí)際上沒有激活可以幫助他們保護(hù)其物聯(lián)網(wǎng)設(shè)備的防護(hù)措施。

客戶只是不想干擾或（可能）“破壞”設(shè)備的功能，此類選擇既普遍又可以理解。物聯(lián)網(wǎng)設(shè)備沒有提供詳細(xì)說明書，說明哪些連接應(yīng)允許進(jìn)行正常操作，以及默認(rèn)情況下，哪些連接不應(yīng)被允許或應(yīng)受到阻止。Check Point 正通過 Quantum 物聯(lián)網(wǎng)防護(hù)解決方案解決這一問題。

Quantum 物聯(lián)網(wǎng)防護(hù)為客戶提供了即購即用的自主式零信任訪問策略，可自動(dòng)保護(hù)物聯(lián)網(wǎng)設(shè)備，而不會(huì)干擾或破壞其正常功能。為了在不產(chǎn)生任何其他安全風(fēng)險(xiǎn)的情況下實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備的真正優(yōu)勢(shì)，客戶可以安全地選擇在預(yù)防模式下部署 Quantum 物聯(lián)網(wǎng)防護(hù)解決方案。

Check Point的客戶案例畫上了一個(gè)圓滿的句號(hào) — Quantum 物聯(lián)網(wǎng)防護(hù)阻止了受感染設(shè)備與 C&C 服務(wù)器的通信，并能夠清理受感染的設(shè)備，讓其恢復(fù)上線并投入生產(chǎn)。Check Point將一如既往地幫助更多用戶在享有物聯(lián)網(wǎng)設(shè)備便捷的同時(shí)，最大程度的規(guī)避風(fēng)險(xiǎn)、保護(hù)用戶核心數(shù)字資產(chǎn)的安全。

songjy