Το IoT είναι παντού. Από τους έξυπνους λαμπτήρες μέχρι τις κάμερες IP, τα wearables, ακόμη και τις έξυπνες συσκευές κουζίνας, το IoT παρέχει οφέλη για κάθε οργανισμό, καθώς επιτρέπει στους εργαζόμενους να είναι πιο παραγωγικοί και στις κρίσιμες επιχειρηματικές διαδικασίες να λειτουργούν πιο ομαλά, διαισθητικά και αποτελεσματικά. Παντού σε τέτοιο βαθμό, που τα έσοδα από αυτό αναμένεται να αυξηθούν στα 549 δισεκατομμύρια δολάρια το 2022 και ο αριθμός των συνδεδεμένων συσκευών IoT αναμένεται να φτάσει τα 15,9 δισεκατομμύρια δολάρια μέχρι το 2030. (CompTIA)
Ωστόσο, η βιασύνη για την προώθηση αυτής της τεχνολογίας IoT στην αγορά αυξάνει επίσης το πεδίο των επιθέσεων στον κυβερνοχώρο για τους οργανισμούς, όταν παραβλέπεται η ασφάλεια αυτών των περιουσιακών στοιχείων. Σύμφωνα με την Gartner, πάνω από το 25% όλων των κυβερνοεπιθέσεων κατά επιχειρήσεων θα αφορούν με κάποιο τρόπο το IoT.
Οι καινοτόμοι προμηθευτές ασφάλειας που σκέφτονται πάντα προς το μέλλον, όπως η Check Point, είναι αποφασισμένοι να προστατεύουν τους χρήστες με κάθε κόστος.
Αυτό το άρθρο διερευνά μια πραγματική περίπτωση χρήσης στην οποία η λύση Quantum IoT Protect της Check Point εντόπισε μια επικίνδυνη συσκευή και προστάτευσε τον οργανισμό από μια καταστροφική κυβερνοεπίθεση. Αλλά πρώτα ας ανακεφαλαιώσουμε γρήγορα γιατί αυτές οι συσκευές είναι ευάλωτες εκ κατασκευής. Συνοψίζοντας ένα προηγούμενο blog που δημοσιεύσαμε για το IoT πριν από μερικούς μήνες: Οι συσκευές IoT, συχνά, έρχονται στην αγορά με εγγενή ελαττώματα που τις καθιστούν κίνδυνο για την ασφάλεια:
– Η έλλειψη τυποποίησης δημιουργεί ένα συνονθύλευμα συσκευών
– Αδύναμη προσέγγιση ασφάλειας, συμπεριλαμβανομένων αδύναμων ή ανύπαρκτων κωδικών πρόσβασης
– Ξεπερασμένο και μη επιδιορθώσιμο υλικό, υλικολογισμικό ή λογισμικό
– Μεγαλύτερος αριθμός συσκευών που διευρύνει την επιφάνεια επίθεσης
Ως αποτέλεσμα, είναι πολύ εύκολο για τους χάκερς να αποκτήσουν πρόσβαση σε αυτές τις συσκευές και είτε να προκαλέσουν καταστροφές στις ίδιες τις συσκευές IoT είτε να κινηθούν πλευρικά για να βλάψουν συστήματα κρίσιμης σημασίας και να κλέψουν πληροφορίες προσωπικής ταυτοποίησης (PII) πελατών ή εργαζομένων, πνευματική ιδιοκτησία ή άλλα περιουσιακά στοιχεία. Οι χάκερ ενδέχεται επίσης να αποκτήσουν τον έλεγχο του δικτύου και να το κρατήσουν για λύτρα. Και το τελευταίο τους κόλπο; Συνδυάζουν αυτές τις στρατηγικές σε διπλές επιθέσεις εκβιασμού που υπόσχονται ακόμη πιο προσοδοφόρα ανταλλάγματα.
Table of Contents
Πώς βοηθάει η Check Point;
Το Quantum IoT Protect επιτρέπει στους πελάτες να βλέπουν όλες τις συνδεδεμένες συσκευές IoT στο δίκτυό τους και παρακολουθεί τις επικοινωνίες των συσκευών IoT, εντός του δικτύου και εξωτερικά στο διαδίκτυο. Αυτό επιτυγχάνεται με προφίλ που μαθαίνονται από την κατανόηση της αναμενόμενης συμπεριφοράς των συσκευών IoT. Με βάση αυτά τα προφίλ, παρέχονται στους πελάτες πολιτικές πρόσβασης μηδενικής εμπιστοσύνης που επιτρέπουν μόνο τις επικοινωνίες που απαιτούνται για τις κανονικές λειτουργίες IoT. Άλλες συνδέσεις ανιχνεύονται και μπλοκάρονται, για παράδειγμα, μια προσπάθεια σύνδεσης σε έναν ύποπτο προορισμό στο Διαδίκτυο θα μπλοκαριστεί.
Έτσι, τώρα που έχουμε μια βασική κατανόηση του πώς και του γιατί, ιδού τι συνέβη σε αυτή τη συγκεκριμένη περίπτωση χρήσης.
Τι συνέβη;
(Από σεβασμό προς τον πελάτη, θα κρατήσουμε το όνομα του πελάτη ανώνυμο και θα τον αναφέρουμε ως “πελάτη”)
Το Quantum IoT Protect αναπτύχθηκε σε ένα δίκτυο πελάτη και άρχισε να ανιχνεύει και να αναγνωρίζει όλες τις συνδεδεμένες συσκευές IoT. Επειδή αυτή ήταν η πρώτη εμπειρία του πελάτη με το IoT Protect, ο πελάτης επέλεξε να εγκαταστήσει τις πολιτικές ασφαλείας σε λειτουργία μόνο ανίχνευσης, σε αντίθεση με την ενεργοποίηση της λύσης για τον ενεργό αποκλεισμό της ύποπτης κυκλοφορίας.
Για αρκετές εβδομάδες, δεν εντοπίστηκαν ύποπτες δραστηριότητες ή περιστατικά, μέχρι που ο πελάτης είδε το Quantum IoT Protect να εντοπίζει ότι μια συσκευή IoT επικοινωνούσε με δύο ύποπτους τομείς για σύντομο χρονικό διάστημα. Στη συνέχεια, ο πελάτης παρατήρησε ότι η συσκευή είχε σταματήσει να επικοινωνεί με τους ύποπτους τομείς και έτσι αποφάσισε να συνεχίσει να παρακολουθεί τα αρχεία καταγραφής της.
Σε αυτό το σημείο, ο πελάτης επέλεξε να μην προβεί σε περαιτέρω ενέργειες, καθώς πίστευε ότι όλα είχαν επανέλθει στο φυσιολογικό. Αυτή ήταν μια κατανοητή ενέργεια, καθώς το σύστημα ήταν ουσιαστικά “σιωπηλό” για μερικές εβδομάδες και δεν έδειχνε καμία ανώμαλη δραστηριότητα συσκευής IoT.
Ωστόσο, μετά από δύο εβδομάδες απραξίας, η ίδια συσκευή εμφανίστηκε ξανά και αυτή τη φορά άρχισε να επικοινωνεί με δεκάδες ύποπτους τομείς στο Διαδίκτυο. Σε αυτό το σημείο ο πελάτης κατάλαβε ότι κάτι δεν πήγαινε καλά και αποφάσισε να επικοινωνήσει προληπτικά με την ομάδα Check Point IoT για περαιτέρω υποστήριξη.
Η έρευνα
Στην αρχή της έρευνας, η ομάδα της Check Point διαπίστωσε ότι η συσκευή επικοινωνούσε με μερικούς τομείς που είχαν φήμη υψηλού κινδύνου. Η περαιτέρω διερεύνηση αυτών των γεγονότων οδήγησε στο συμπέρασμα ότι η συσκευή επικοινωνούσε με έναν ή περισσότερους διακομιστές Command & Control (C&C).
Η ομάδα αντιμετώπισης επιβεβαίωσε ότι αυτή η συσκευή IoT ήταν μολυσμένη με Mirai και crypto mining bots. Περαιτέρω ανάλυση των αρχείων καταγραφής έδειξε ακριβώς πώς μολύνθηκε η συσκευή και προσδιόρισε τα διάφορα στάδια της μόλυνσης και ήταν σε θέση να περιγράψει στον πελάτη πού βρισκόταν στο χρονοδιάγραμμα Cyber Kill Chain.
Τι Μάθαμε
Στην αρχή αυτής της ιστορίας, περιγράψαμε τον τρόπο με τον οποίο ο πελάτης εγκατέστησε το Quantum IoT Protect και γιατί έτρεξε σε λειτουργία μόνο ανίχνευσης. Με άλλα λόγια, ο πελάτης ουσιαστικά δεν είχε ενεργοποιήσει τις προστασίες που θα του επέτρεπαν να ασφαλίσει τις συσκευές IoT.
Ο πελάτης απλώς δεν ήθελε να διαταράξει ή ενδεχομένως να “σπάσει” τη λειτουργικότητα της συσκευής. Αυτή είναι μια πολύ συνηθισμένη ανησυχία και είναι κατανοητή. Οι συσκευές IoT απλώς δεν συνοδεύονται από καλά περιγραφόμενες οδηγίες που να αναφέρουν ποιες συνδέσεις πρέπει να επιτρέπονται για κανονικές λειτουργίες και, εξ ορισμού, ποιες δεν πρέπει να επιτρέπονται ή απλώς να μπλοκάρονται. Η Check Point αντιμετωπίζει αυτή την εύλογη ανησυχία με τη λύση Quantum IoT Protect.
Το Quantum IoT Protect παρέχει στους πελάτες αυτόνομες πολιτικές πρόσβασης μηδενικής εμπιστοσύνης out-of-the-box που ασφαλίζουν αυτόματα τις συσκευές IoT χωρίς να διαταράσσουν ή να διακόπτουν την κανονική τους λειτουργία. Για να αξιοποιήσουν τα πραγματικά οφέλη των συσκευών IoT χωρίς να αναλάβουν πρόσθετους κινδύνους ασφαλείας, οι πελάτες μπορούν με ασφάλεια να επιλέξουν να αναπτύξουν τη λύση Quantum IoT Protect σε προληπτική λειτουργία.
Η ιστορία του πελάτη μας έχει καλό τέλος – το Quantum IoT Protect εμπόδισε τη μολυσμένη συσκευή να επικοινωνήσει με τους διακομιστές C&C και μπόρεσε να καθαρίσει τη μολυσμένη συσκευή και να την επαναφέρει σε λειτουργία, στην παραγωγή.
Για περισσότερες πληροφορίες σχετικά με το πώς μπορείτε να αρχίσετε να προστατεύετε τον οργανισμό σας από απειλές στον κυβερνοχώρο, επισκεφθείτε τον ιστότοπο Quantum IoT Protect και προγραμματίστε ένα IoT Security Checkup.