감지 - AWS IoT Device Defender
등록되지 않은 디바이스의 동작 모니터링

감지

AWS IoT Device Defender Detect를 사용하면 디바이스의 동작을 모니터링하여 손상된 디바이스를 나타낼 수 있는 비정상적인 동작을 식별할 수 있습니다. 클라우드 측 지표(AWS IoT)와 디바이스 측 지표(디바이스에 설치한 에이전트)를 조합하여 사용하면 다음을 감지할 수 있습니다.

  • 연결 패턴의 변경 사항.

  • 권한이 없거나 인식할 수 없는 엔드포인트와 통신하는 디바이스입니다.

  • 인바운드 및 아웃바운드 디바이스 트래픽 패턴의 변경 사항.

예상된 디바이스 동작의 정의가 포함된 보안 프로파일을 생성하고 이 프로파일을 디바이스 그룹이나 플릿의 모든 디바이스에 할당합니다. AWS IoT Device Defender Detect는 이러한 보안 프로파일을 사용하여 변칙을 감지하고 Amazon CloudWatch 지표 및 Amazon Simple Notification Service 알림을 통해 경보를 전송합니다.

AWS IoT Device Defender Detect를 통해 연결된 디바이스에서 자주 발견되는 보안 문제를 감지할 수 있습니다.

  • 디바이스에서 잠재적인 악성 명령과 제어 채널을 나타내는 권한 없는 엔드포인트 또는 알려진 악의적인 IP 주소로의 트래픽

  • 아웃바운드 트래픽의 급증과 같이 디바이스가 DDoS에 동원되고 있음을 나타내는 변칙적 트래픽

  • 원격으로 액세스할 수 있는 원격 관리 인터페이스와 포트가 있는 디바이스

  • 계정에 전송된 메시지 속도의 급증(예: 메시지당 요금이 과도하게 부과될 수 있는 악성 디바이스의 메시지인 경우).

사용 사례:
공격 대상 영역 측정

AWS IoT Device Defender Detect를 사용하여 디바이스의 공격 대상 영역을 측정할 수 있습니다. 예를 들어, 종종 공격 캠페인의 대상이 되는 서비스 포트가 있는 디바이스를 식별할 수 있습니다(포트 23/2323에서 실행되는 telnet 서비스, 포트 22에서 실행되는 SSH 서비스, 포트 80/443/8080/8081에서 실행되는 HTTP/S 서비스). 이러한 서비스 포트가 디바이스에서 사용될 합법적인 이유가 있는 경우에도 해당 포트는 또한 일반적으로 공격자가 공격 대상으로 하는 영역의 일부이며 관련된 위험을 수반하기도 합니다. AWS IoT Device Defender Detect에서 공격 대상 영역을 알려준 경우 해당 영역을 최소화(미사용 네트워크 서비스 제거)하거나, 추가 평가를 실행하여 보안 취약점(예: 일반, 기본 또는 약한 암호로 구성된 telnet)을 식별합니다.

디바이스 동작의 변칙 감지 및 가능한 보안 근본 원인 파악

AWS IoT Device Defender Detect를 사용하여 보안 위반을 나타낼 수도 있는 예상치 못한 디바이스 동작 지표(개방된 포트의 수, 연결 수, 예상치 못한 개방 포트, 예상치 못한 IP 주소로의 연결)에 대한 경보를 받을 수 있습니다. 예를 들어, 예상 TCP 연결 수보다 더 높은 수는 디바이스가 DDoS 공격에 사용되고 있음을 나타낼 수 있습니다. 예상한 포트 이외의 포트에서 수신하는 프로세스는 원격 제어를 위해 디바이스에 설치된 백도어를 나타낼 수 있습니다. AWS IoT Device Defender Detect를 사용하여 디바이스 플릿의 상태를 프로브하고 보안 추정(예: 포트 23 또는 2323에서 수신하는 디바이스 없음)을 확인합니다.

기계 학습(ML) 기반 위협 감지를 활성화하여 잠재적인 위협을 자동으로 식별할 수 있습니다.

잘못 구성된 디바이스 감지

디바이스에서 계정으로 전송된 메시지의 수 또는 크기가 급증하는 것은 잘못 구성된 디바이스를 나타낼 수 있습니다. 이러한 디바이스는 메시지당 요금을 증가시킬 수 있습니다. 마찬가지로, 권한 부여가 여러 번 실패한 디바이스에는 재구성된 정책이 필요할 수 있습니다.

등록되지 않은 디바이스의 동작 모니터링

AWS IoT Device Defender Detect를 사용하면 AWS IoT 레지스트리에 등록되지 않은 디바이스의 비정상적인 동작을 식별할 수 있습니다. 다음 대상 유형 중 하나와 관련된 보안 프로파일을 정의할 수 있습니다.

  • 모든 디바이스

  • 등록된 모든 디바이스(AWS IoT 레지스트리의 사물)

  • 등록되지 않은 모든 디바이스

  • 사물 그룹에 속한 디바이스

보안 프로파일은 계정의 디바이스에 대해 예상한 동작을 정의하고, 변칙이 감지된 경우 취하는 조치를 지정합니다. 보안 프로파일은 해당 프로파일과 비교하여 평가되는 디바이스를 세부적으로 제어할 수 있도록 가장 구체적인 대상에 연결해야 합니다.

등록되지 않은 디바이스는 디바이스 수명 동안 일관된 MQTT 클라이언트 식별자 또는 사물 이름(디바이스 지표를 보고하는 디바이스의 경우)을 제공하여 모든 위반 및 지표가 동일한 디바이스에 기인하도록 해야 합니다.

중요

사물 이름에 제어 문자가 포함되어 있거나 사물 이름이 UTF-8로 인코딩된 문자 128바이트보다 긴 경우 디바이스에서 보고된 메시지는 거부됩니다.