検出 - AWS IoT Device Defender
未登録のデバイスの動作をモニタリングする

検出

AWS IoT Device Defender Detect を使用すると、デバイスの動作を監視することにより、侵害されたデバイスを示す可能性がある異常な動作を特定できます。クラウド側のメトリクス (AWS IoT から取得) とデバイス側のメトリクス (デバイスにインストールしたエージェントから取得) を組み合わせて使用すると、次のことを検出できます。

  • 接続パターンの変更。

  • 認証されていないエンドポイントまたは認識されていないエンドポイントと通信するデバイス。

  • インバウンドおよびアウトバウンドのデバイストラフィックパターンの変更。

予期されるデバイス動作の定義が含まれるセキュリティプロファイルを作成し、フリート内のデバイスのグループまたはすべてのデバイスに割り当てます。AWS IoT Device DefenderDetect は、これらのセキュリティプロファイルを使用して異常を検出し、Amazon CloudWatch メトリクスと Amazon Simple Notification Service 通知を介してアラームを送信します。

AWS IoT Device Defender Detect は、接続されたデバイスで頻繁に見られるセキュリティ上の問題を検出できます。

  • 潜在的な悪意のあるコマンドおよびコントロールチャネルを示す、既知の悪意のある IP アドレスまたは許可されていないエンドポイントへのデバイスからのトラフィック。

  • デバイスが DDoS 攻撃に関与していることを示す、アウトバウンドトラフィックのスパイクなど、変則的なトラフィック。

  • リモートでアクセスできるリモート管理インターフェイスとポートを持つデバイス。

  • アカウントに送信されるメッセージ量のスパイク (たとえば、メッセージあたりの料金が過剰になる可能性のある非認証デバイスから)。

ユースケース:
攻撃領域を測定する

AWS IoT Device Defender Detect を使用すると、デバイスの攻撃領域を測定できます。たとえば、攻撃キャンペーンの対象となりやすいサービスポートを持つデバイスを特定できます (ポート 23/2323 で実行される telnet サービス、ポート 22 で実行される SSH サービス、ポート 80/443/8080/8081 で実行される HTTP/S サービス)。デバイスでこれらのサービスポートを使用する正当な理由がある場合もありますが、攻撃者やキャリア関連のリスクによって攻撃領域の一部ともよくなります。AWS IoT Device Defender Detect によって攻撃領域のアラートが生成されたら、攻撃領域を最小限に抑えるか (未使用のネットワークサービスをなくすことにより)、追加の評価を実行してセキュリティの脆弱性を特定する (たとえば、よくあるパスワード、デフォルトのパスワード、弱いパスワードで構成された telnet など) ことができます。

セキュリティの根本原因を使用したデバイス動作の異常の検出

AWS IoT Device Defender Detect を使用すると、セキュリティ侵害を示す可能性がある予期しないデバイス動作メトリクス (開いているポートの数、接続の数、予期せず開いているポート、予期しない IP アドレスへの接続) についてのアラームを生成できます。たとえば、TCP 接続の数が予想より多くなった場合、デバイスが DDoS 攻撃に使用されていることを示している可能性があります。予期されるポート以外のポートでリッスンしているプロセスは、リモート制御のためにバックドアがデバイスにインストールされていることを示している可能性があります。AWS IoT Device Defender Detect を使用すると、デバイスフリートの正常性を調べ、セキュリティ上の前提を確認できます (たとえば、ポート 23 または 2323 でリッスンしているデバイスがないこと)。

機械学習 (ML) ベースの脅威検出を有効にして、潜在的な脅威を自動的に識別できます。

正しく設定されていないデバイスを検出する

デバイスからアカウントに送信されるメッセージの数またはサイズのスパイクは、正しく設定されていないデバイスを示している可能性があります。そのようなデバイスがあると、メッセージ単位の料金が上昇する可能性があります。同様に、認証エラーの多いデバイスには、再設定されたポリシーが必要になる可能性があります。

未登録のデバイスの動作をモニタリングする

AWS IoT Device Defender Detect では、AWS IoT レジストリに登録されていないデバイスの異常な動作を識別することができます。以下のいずれかのターゲットタイプに固有のセキュリティプロファイルを定義することができます。

  • すべてのデバイス

  • 登録済みのすべてのデバイス (AWS IoT レジストリ内のモノ)

  • 未登録のすべてのデバイス

  • モノグループ内のデバイス

セキュリティプロファイルは、アカウントの予期されるデバイスの動作を定義し、異常が検出されたときに実行するアクションを指定します。セキュリティプロファイルは、そのプロファイルに対して評価するデバイスをきめ細かく制御できるように、最も合ったターゲットにアタッチする必要があります。

未登録のデバイスの場合は、すべての違反やメトリクスが同じデバイスとして扱われるように、デバイスの有効期間にわたって一貫した MQTT クライアント識別子またはモノの名前 (デバイスメトリクスをレポートするデバイス用) を指定する必要があります。

重要

モノ名に制御文字が含まれている場合、またはモノ名が 128 バイトの UTF-8 エンコード文字より長い場合、デバイスによって報告されたメッセージは拒否されます。