此時，客戶選擇不采取任何進一步的措施，因為他們認為一切都已恢復正常。這一選擇當時看來有情可原，因為系統(tǒng)在幾周內基本上處于“靜默”狀態(tài)，而且沒有顯示任何異常的物聯(lián)網(wǎng)設備活動。

然而，在兩周寂然不動之后，同一臺設備再次活躍，這次開始與互聯(lián)網(wǎng)上的數(shù)十個可疑域名進行通信。此時，客戶才意識到出現(xiàn)了問題，并決定主動聯(lián)系 Check Point 物聯(lián)網(wǎng)團隊以獲得進一步的支持。

調查

在調查的早期，Check Point 團隊確定該設備正在與一些高風險域名進行通信。對這些事件執(zhí)行進一步調查后得出的結論是，該設備正在與一個或多個命令與控制 (C&C) 服務器通信。

響應團隊確認這臺物聯(lián)網(wǎng)設備感染了 Mirai 和加密貨幣挖礦 Bot。進一步的日志分析不僅具體說明了設備是如何被感染的，而且還確定了感染的不同步驟，并能夠向客戶描述其在網(wǎng)絡殺傷鏈時間軸上的位置。

經(jīng)驗教訓

在這個案例的開頭，我們介紹了客戶如何安裝 Quantum 物聯(lián)網(wǎng)防護及其為何在僅檢測模式下運行。換句話說，客戶實際上沒有激活可以幫助他們保護其物聯(lián)網(wǎng)設備的防護措施。

客戶只是不想干擾或（可能）“破壞”設備的功能，此類選擇既普遍又可以理解。物聯(lián)網(wǎng)設備沒有提供詳細說明書，說明哪些連接應允許進行正常操作，以及默認情況下，哪些連接不應被允許或應受到阻止。Check Point 正通過 Quantum 物聯(lián)網(wǎng)防護解決方案解決這一問題。

Quantum 物聯(lián)網(wǎng)防護為客戶提供了即購即用的自主式零信任訪問策略，可自動保護物聯(lián)網(wǎng)設備，而不會干擾或破壞其正常功能。為了在不產(chǎn)生任何其他安全風險的情況下實現(xiàn)物聯(lián)網(wǎng)設備的真正優(yōu)勢，客戶可以安全地選擇在預防模式下部署 Quantum 物聯(lián)網(wǎng)防護解決方案。

Check Point的客戶案例畫上了一個圓滿的句號 — Quantum 物聯(lián)網(wǎng)防護阻止了受感染設備與 C&C 服務器的通信，并能夠清理受感染的設備，讓其恢復上線并投入生產(chǎn)。Check Point將一如既往地幫助更多用戶在享有物聯(lián)網(wǎng)設備便捷的同時，最大程度的規(guī)避風險、保護用戶核心數(shù)字資產(chǎn)的安全。

songjy