Detect
借助 AWS IoT Device Defender Detect,您可以监控设备的行为,以识别可能表明设备遭到危害的异常行为。使用云端指标(来自 AWS IoT)和设备端指标(来自您在设备上安装的代理)的组合,您可以检测到:
-
连接模式的变化。
-
与未经授权或无法识别的终端节点通信的设备。
-
入站和出站设备流量模式的变化。
您可以创建安全配置文件(其中包含设备预期行为的定义),并将它们分配到实例集中的一组设备或所有设备。AWS IoT Device Defender Detect 使用这些安全配置文件来检测异常,并通过 Amazon CloudWatch 指标和 Amazon Simple Notification Service 通知发送提醒。
AWS IoT Device Defender Detect 能够检测相连设备中频繁出现的安全问题:
-
从设备到已知恶意 IP 地址,或表示潜在恶意命令和控制渠道的未经授权终端节点的流量。
-
表明设备正在参与 DDoS 攻击的恶意流量,例如出站流量高峰。
-
其远程管理接口和端口支持远程访问的设备。
-
发送到您账户的消息速率激增 (例如,来自可能导致过量按每条消息收费的流氓设备)。
使用案例:
- 评估攻击面
-
可以使用 AWS IoT Device Defender Detect 评估设备的攻击面。例如,可以识别服务端口通常成为攻击活动目标的设备(在端口 23/2323 上运行的 telnet 服务,在端口 22 上运行的 SSH 服务,在端口 80/443/8080/8081 上运行的 HTTP/S 服务)。虽然在设备上使用这些服务端口可能有合法的原因,但是它们也通常是敌人攻击面的一部分,并且具有相关风险。在 AWS IoT Device Defender Detect 向您发出攻击面告警后,您可以将攻击面降至最低(通过消除未使用的网络服务),或运行其它评估来识别安全漏洞(例如,使用常见、默认或弱密码配置的 telnet)。
- 检测设备行为异常以及可能的安全根本原因
-
您可以使用 AWS IoT Device Defender Detect 提醒您可能表明安全违规的意外设备行为指标(开放端口数量、连接数量、意外开放端口、与意外 IP 地址的连接)。例如,TCP 连接数量高于预期,可能表明设备正被用于 DDoS 攻击。侦听的端口不是预计的端口,可能表明设备上安装了用以进行远程控制的后门。您可以使用 AWS IoT Device Defender Detect 探测设备实例集的运行状况,并验证安全假设(例如,没有设备在侦听端口 23 或 2323)。
您可以启用基于机器学习 (ML) 的威胁检测,以自动识别潜在威胁。
- 检测配置错误的设备
-
从设备发送到账户的信息数量或大小激增,可能表明设备配置错误。此类设备可能会增加每条消息的费用。同样,如果设备多次授权失败,则可能要求重新配置策略。
监控未注册设备的行为
AWS IoT Device Defender Detect 使得识别未在 AWS IoT 注册表中注册的设备的异常行为成为可能。您可以定义特定于以下目标类型之一的安全配置文件:
-
所有设备
-
所有已注册的设备(AWS IoT 注册表中的事物)
-
所有未注册的设备
-
事物组中的设备
安全配置文件为账户中的设备定义一组预期行为,并指定在检测到异常时要执行的操作。安全配置文件应附加到最具体的目标,以便您精细控制要针对该配置文件评估哪些设备。
未注册的设备在整个设备生命周期内必须提供一致的 MQTT 客户端标识符或事物名称(对于报告设备指标的设备),以便所有违规和指标都归属到相同设备。
重要
如果事物名称包含控制字符,或事物名称的长度超过 128 字节的 UTF-8 编码字符,则将拒绝设备报告的消息。
