Surveillance du comportement des appareils non enregistrés

Détection

AWS IoT Device Defender Detect surveille le comportement de vos appareils afin d'identifier un comportement inhabituel pouvant indiquer qu’un appareil est endommagé. À l'aide d'une combinaison de métriques côté cloud (issues d’AWS IoT) et côté appareil (provenant d'agents que vous installez sur vos appareils), vous pouvez détecter les événements suivants :

Changements dans les schémas de connexion.
Périphériques qui communiquent avec des points de terminaison non autorisés ou non reconnus.
Modifications des schémas de trafic entrant et sortant des appareils.

Vous créez des profils de sécurité qui contiennent des définitions de comportements d'appareils attendus et les affectent à un groupe d'appareils ou à tous les appareils de votre parc. AWS IoT Device Defender Detect utilise ces profils de sécurité pour détecter les anomalies et envoyer des alarmes via les métriques Amazon CloudWatch et les notifications Amazon Simple Notification Service.

AWS IoT Device Defender Detect peut détecter les problèmes de sécurité fréquemment rencontrés dans les appareils connectés :

Trafic d'un appareil vers une adresse IP malveillante connue ou un point de terminaison non autorisé qui indique un éventuel canal de contrôle et de commande malveillant.
Trafic anormal, tel qu'un pic de trafic sortant, qui indique qu'un appareil participe à une attaque DDoS.
Appareils dont les interfaces de gestion à distance et les ports sont accessibles à distance.
Un pic de fréquence des messages envoyés à votre compte. (par exemple, à partir d'un appareil intrus qui peut entraîner des frais par message excessifs).

Cas d'utilisation :

Mesurer la surface d'attaque

Vous pouvez utiliser AWS IoT Device Defender Detect pour mesurer la surface d'attaque de vos appareils. Par exemple, vous pouvez identifier les appareils munis de ports de service souvent la cible de campagnes d'attaque (service telnet s'exécutant sur les ports 23/2323, service SSH s'exécutant sur le port 22, services HTTP/S s'exécutant sur les ports 80/443/8080/8081). Bien que ces ports de service aient de bonnes raisons d'être utilisés sur les appareils, ils font généralement partie de la surface d'attaque des adversaires et comportent des risques associés. Lorsque AWS IoT Device Defender Detect vous alerte sur la surface d'attaque, vous pouvez choisir de la réduire (en éliminant les services réseau inutilisés) ou d'effectuer des évaluations supplémentaires pour identifier les failles de sécurité (par exemple, telnet configuré avec des mots de passe courants, par défaut ou vulnérables).

Détecter les anomalies de comportement des appareils dont la cause possible est la sécurité

Vous pouvez utiliser AWS IoT Device Defender Detect pour vous alerter des métriques de comportement des appareils (nombre de ports ouverts, nombre de connexions, port ouvert inattendu, connexions à des adresses IP inattendues) qui peuvent indiquer une faille de sécurité. Par exemple, un nombre plus élevé que prévu de connexions TCP peut indiquer qu'un appareil est utilisé pour une attaque DDoS. Une écoute de processus sur un port autre que celui attendu peut indiquer une backdoor installée sur un appareil pour un contrôle à distance. Vous pouvez utiliser AWS IoT Device Defender Detect pour tester l'état de vos flottes d'appareils et vérifier vos hypothèses de sécurité (par exemple, aucun appareil n'écoute sur le port 23 ou 2323).

Vous pouvez activer la détection des menaces basée sur le machine learning (ML) afin d’identifier automatiquement les menaces potentielles.

Détection d’un périphérique mal configuré

Un pic du nombre ou de la taille des messages envoyés d'un appareil vers votre compte peut indiquer un appareil mal configuré. Un tel appareil peut augmenter le montant de votre facture au message. De la même façon, un appareil présentant de nombreux échecs d'autorisation peut nécessiter une reconfiguration de sa stratégie.

Surveillance du comportement des appareils non enregistrés

AWS IoT Device Defender Detect permet d'identifier les comportements inhabituels pour les appareils qui ne sont pas enregistrés dans le registre d’AWS IoT. Vous pouvez définir des profils de sécurité spécifiques à un des types de cible suivants :

Tous les appareils
Tous les appareils enregistrés (objets dans le registre AWS IoT)
Tous les appareils non enregistrés
Les appareils appartenant à un groupe d’objets

Un profil de sécurité définit un ensemble de comportements attendus pour les appareils de votre compte et spécifie les actions à entreprendre lorsqu'une anomalie est détectée. Les profils de sécurité doivent être attachés aux cibles les plus spécifiques afin de vous donner un contrôle précis sur les appareils évalués par rapport à ce profil.

Les appareils non enregistrés doivent fournir un identifiant client ou un nom d'objet MQTT cohérent (pour les appareils qui notifient des métriques d’appareil) pendant la durée de vie de l’appareil afin de tous les violations et les métriques soient attribuées au même appareil.

Important

Les messages notifiés par les appareils sont rejetés si le nom d'objet contient des caractères de contrôle ou est composé de plus de 128 octets de caractères codés UTF-8.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppressions de résultat d'audit

Cas d'utilisation de sécurité