Monitoraggio del comportamento dei dispositivi non registrati

Rilevamento

AWS IoT Device Defender Detect consente di identificare un comportamento insolito che può indicare un dispositivo compromesso monitorando il comportamento dei dispositivi. Utilizzando una combinazione di parametri sul lato cloud (da AWS IoT) e metriche sul lato dispositivo (dagli agenti installati sui dispositivi) è possibile rilevare:

Cambiamenti nei modelli di connessione.
Dispositivi che comunicano a endpoint non autorizzati o non riconosciuti.
Modifiche nei modelli di traffico del dispositivo in entrata e in uscita.

È possibile creare profili di sicurezza, che contengono definizioni dei comportamenti dei dispositivi previsti, e assegnarli a un gruppo di dispositivi o a tutti i dispositivi del parco istanze. AWS IoT Device Defender Detect utilizza questi profili di sicurezza per rilevare le anomalie e inviare allarmi tramite i parametri di Amazon CloudWatch e le notifiche di Amazon Simple Notification Service.

AWS IoT Device Defender Detect può rilevare problemi di sicurezza riscontrati frequentemente nei dispositivi connessi:

Traffico da un dispositivo verso un indirizzo IP dannoso noto o verso un endpoint non autorizzato, che indica un canale di controllo e un comando potenzialmente dannosi.
Traffico anomalo, ad esempio un picco del traffico in uscita, che indica che un dispositivo sta prendendo parte a un attacco DDoS.
Dispositivi con interfacce di gestione remote e porte accessibili in remoto.
Un picco nella frequenza dei messaggi inviati all'account, ad esempio da un dispositivo non autorizzato, che può comportare spese eccessive legate ai messaggi.

Casi d'uso:

Misurazione della superficie di attacco

Puoi usare AWS IoT Device Defender Detect per misurare la superficie di attacco dei dispositivi. Puoi ad esempio identificare i dispositivi con porte di servizio che sono spesso l'obiettivo di campagne di attacchi (servizio telnet in esecuzione sulle porte 23/2323, servizio SSH in esecuzione sulla porta 22, servizi HTTP/S in esecuzione sulle porte 80/443/8080/8081). Sebbene ci possano essere motivi legittimi per usare queste porte di servizio nei dispositivi, spesso tali porte fanno parte della superficie di attacco per gli avversari e comportano rischi. Quando AWS IoT Device Defender Detect segnala una superficie di attacco, puoi scegliere di ridurla al minimo (eliminando i servizi di rete inutilizzati) oppure, puoi scegliere di eseguire ulteriori valutazioni per identificare le vulnerabilità della sicurezza (ad esempio, telnet configurato con password comuni, predefinite o poco sicure).

Rilevamento di anomalie nel comportamento dei dispositivi con le possibili cause principali legate alla sicurezza

Puoi usare AWS IoT Device Defender Detect per ricevere avvisi in caso di metriche impreviste relativi al comportamento dei dispositivi (numero di porte aperte, numero di connessioni, presenza di una porta aperta non prevista, connessioni a indirizzi IP non previsti) che potrebbero indicare una violazione della sicurezza. Un numero di connessioni TCP maggiore del previsto può ad esempio indicare un dispositivo usato per un attacco DDoS. Un processo in ascolto su una porta diversa da quella prevista può indicare una backdoor installata in un dispositivo per il controllo remoto. Puoi usare AWS IoT Device Defender Detect per esaminare lo stato del parco istanze di dispositivi e verificare i presupposti di sicurezza (ad esempio, nessun dispositivo deve essere in ascolto sulla porta 23 o 2323).

È possibile abilitare il rilevamento delle minacce basato su machine learning (ML) per identificare automaticamente le potenziali minacce.

Rileva un dispositivo non configurato correttamente

Un picco nel numero o nelle dimensioni dei messaggi inviati da un dispositivo all'account può indicare un'errata configurazione del dispositivo. Tale dispositivo potrebbe causare un aumento dei costi per i messaggi. Analogamente, un dispositivo con numerosi errori di autorizzazione potrebbe richiedere una nuova configurazione della policy.

Monitoraggio del comportamento dei dispositivi non registrati

AWS IoT Device Defender Detect consente di identificare comportamenti insoliti per i dispositivi che non vengono registrati nel registro AWS IoT. È possibile definire i profili di sicurezza specifici per uno dei seguenti tipi di destinazione:

Tutti i dispositivi
Tutti i dispositivi registrati (oggetti nel registro AWS IoT)
Tutti i dispositivi non registrati
Dispositivi in un gruppo di oggetti

Un profilo di sicurezza definisce una serie di comportamenti attesi per i dispositivi nel tuo account e specifica le azioni da eseguire quando viene rilevata un'anomalia. I profili di sicurezza devono essere collegati ai target più specifici per conferirti il controllo granulare su quali dispositivi sono valutati rispetto a tale profilo.

I dispositivi non registrati devono fornire un identificatore client MQTT coerente o un nome oggetto (per dispositivi che segnalano i parametri di dispositivo) per la durata di vita del dispositivo, in modo che tutte le violazioni e i parametri siano attribuiti allo stesso dispositivo.

Importante

I messaggi riportati dai dispositivi sono rifiutati se il nome dell’oggetto contiene caratteri di controllo oppure se il nome dell’oggetto è più lungo di 128 byte di caratteri di codifica UTF-8.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Soppressioni della ricerca di audit

Casi d'uso della sicurezza