Monitorar o comportamento de dispositivos não registrados

Detectar

O AWS IoT Device Defender Detect permite identificar comportamento anormal que pode indicar um dispositivo comprometido ao monitorar o comportamento dos dispositivos. Usando uma combinação de métricas da nuvem (da AWS IoT) e métricas do dispositivo (de atendentes instalados em seus dispositivos), você pode detectar:

Mudanças nos padrões de conexão.
Dispositivos que se comunicam com endpoints não autorizados ou não reconhecidos.
Alterações nos padrões de tráfego de dispositivos de entrada e saída.

Crie perfis de segurança, que contêm definições de comportamentos esperados do dispositivo, e os atribua a um grupo de dispositivos ou a todos os dispositivos da frota. O AWS IoT Device Defender Detect usa esses perfis de segurança para detectar anomalias e enviar alarmes por meio de métricas do Amazon CloudWatch e notificações do Amazon Simple Notification Service.

O AWS IoT Device Defender Detect pode detectar problemas de segurança encontrados frequentemente em dispositivos conectados:

O tráfego de um dispositivo para um endereço IP mal-intencionado conhecido ou para um endpoint não autorizado que indica um possível comando mal-intencionado e canal de controle.
Tráfego anormal, como um pico no tráfego de saída, que indica que um dispositivo está participando de um DDoS.
Dispositivos com interfaces de gerenciamento remoto e portas com acesso remoto.
Um pico na taxa de mensagens enviadas à sua conta (por exemplo, de um dispositivo invasor que pode resultar em um número excessivo de cobranças por mensagem).

Casos de uso:

Medir a superfície de ataque

Use o AWS IoT Device Defender Detect para avaliar a superfície de ataque dos dispositivos. Por exemplo, você pode identificar dispositivos com portas de serviço que muitas vezes são o alvo de ataques (serviço telnet em execução nas portas 23/2323, serviço SSH em execução na porta 22, serviços HTTP/S em execução nas portas 80/443/8080/8081). Enquanto essas portas de serviço podem ter motivos legítimos para serem usadas nos dispositivos, elas também geralmente fazem parte da superfície de ataque para adversários e carregam os riscos associados. Depois que o AWS IoT Device Defender Detect alertar sobre a superfície de ataque, você poderá decidir minimizá-la (eliminando os serviços de rede não utilizados) ou executar avaliações adicionais para identificar vulnerabilidades de segurança (por exemplo, telnet configurado com senhas comuns, padrões ou fracas).

Detectar anomalias comportamentais de dispositivos com possíveis causas raiz de segurança

Você pode usar o AWS IoT Device Defender Detect para alertá-lo sobre métricas comportamentais inesperadas de dispositivos (o número de portas abertas, o número de conexões, uma porta inesperada aberta, conexões com endereços IP inesperados) que podem indicar uma violação da segurança. Por exemplo, um número de conexões TCP maior que o esperado pode indicar que um dispositivo está sendo usado para um ataque DDoS. Uma escuta de processamento em uma porta diferente da esperada pode indicar um backdoor instalado em um dispositivo para controle remoto. Use o AWS IoT Device Defender Detect para verificar a integridade das frotas de dispositivos e verificar os pressupostos de segurança (por exemplo, nenhum dispositivo está em escuta na porta 23 ou 2323).

Você pode habilitar a detecção de ameaças baseada em machine learning (ML) para identificar automaticamente possíveis ameaças.

Detectar um dispositivo configurado incorretamente

Um pico no número ou tamanho de mensagens enviadas de um dispositivo para a sua conta pode indicar um dispositivo configurado incorretamente. Tal dispositivo pode aumentar as cobranças por mensagem. Da mesma forma, um dispositivo com muitas falhas de autorização pode exigir uma política reconfigurada.

Monitorar o comportamento de dispositivos não registrados

O AWS IoT Device Defender Detect permite identificar comportamentos incomuns de dispositivos não registrados na AWS IoT. Você pode definir os perfis de segurança que são específicos para um dos seguintes tipos de destino:

Todos os dispositivos
Todos os dispositivos registrados (objetos no registro da AWS IoT)
Todos os dispositivos não registrados
Os dispositivos em um grupo de objetos

Um perfil de segurança define um conjunto de comportamentos esperado para dispositivos em sua conta e especifica as ações a serem tomadas quando uma anomalia é detectada. Perfis de segurança devem ser anexados aos destinos mais específicos para oferecer controle granular sobre quais dispositivos estão sendo avaliados com relação a esse perfil.

Os dispositivos não registrados devem fornecer um identificador de cliente ou um nome de objeto MQTT consistente (para dispositivos que relatam métricas de dispositivo) durante a vida útil do dispositivo, de modo que todas as violações e métricas sejam atribuídas ao mesmo dispositivo.

Importante

As mensagens relatadas por dispositivos são rejeitadas se o nome do objeto contiver caracteres de controle ou se o nome do objeto tiver mais de 128 bytes de caracteres codificados em UTF-8.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Supressões de descobertas de auditoria

Casos de uso de segurança