偵測
AWS IoT Device Defender Detect 可讓您識別不尋常的行為,其可能透過監控裝置的行為來表示遭入侵裝置。合併使用雲端的指標 (來自 AWS IoT) 和裝置端指標 (來自您在裝置上安裝的代理程式),您可以偵測:
-
連線樣式的變更。
-
與未經授權或無法辨識的端點通訊的裝置。
-
傳入和傳出裝置流量模式的變更。
您可以建立安全性描述檔,其中包含定義預期裝置行為,並將它們指派給一組裝置或套用到機群中的所有裝置。AWS IoT Device DefenderDetect 會使用這些安全性描述檔來偵測異常,並透過 Amazon CloudWatch 指標和 Amazon Simple Notification Service 通知傳送警示。
AWS IoT Device Defender Detect 可偵測連網裝置中常見的安全問題:
-
流量從裝置到已知惡意的 IP 地址或未經授權的端點,其表示潛在惡意命令和控制管道。
-
異常流量如傳出流量的峰值,其表示有某個裝置正遭受 DDoS 攻擊。
-
具遠端管理界面和可遠端存取連接埠的裝置。
-
傳送到您帳戶的訊息速率峰值 (例如,來自惡意裝置的訊息可導致每條訊息產生過量費用)。
使用案例:
- 測量攻擊表面
-
您可以使用 AWS IoT Device Defender Detect 測量您裝置的攻擊表面。例如,您可以透過服務連接埠識別裝置,其通常是攻擊活動的目標 (在連接埠 23/2323 上執行的 telnet 服務、在連接埠 22 上執行的 SSH 服務、在連接埠 80/443/8080/8081 上執行的 HTTP/S 服務)。雖然這些服務連接埠可能有使用於裝置的合法理由,它們通常也是對手攻擊表面的一部分,附帶關聯的風險。在 AWS IoT Device Defender Detect 警示您攻擊面後,您可以將攻擊面縮到最小 (排除未使用的網路服務),或執行額外的評定來識別安全弱點 (例如,設定常見、預設或弱密碼的 telnet)。
- 偵測裝置的異常行為的可能安全性根本原因
-
您可以使用 AWS IoT Device Defender Detect 警示您未預期的裝置行為指標 (開放連接埠的數目、連線數目、未預期的開放連接埠、未預期 IP 地址的連線),這可能表示安全漏洞。例如,比預期的 TCP 連線更高可能表示裝置正用於 DDoS 攻擊。在您預期以外的連接埠接聽的處理序可能表示安裝於裝置上進行遠端控制的後門。您可以使用 AWS IoT Device Defender Detect 探查裝置機群的運作狀態,並驗證您的安全假設 (例如,沒有裝置監聽連線埠 23 或 2323)。
您可以啟用機器學習 (ML) 型威脅偵測,以自動識別潛在的威脅。
- 偵測設定錯誤的裝置
-
從裝置到您的帳戶傳送的訊息數量或大小的峰值,可能表示設定錯誤的裝置。這類裝置可能增加每條訊息的費用。同樣地,多次授權失敗的裝置可能需要重新設定政策。
監控未註冊裝置的行為
對於未在 AWS IoT Device Defender 登錄檔中註冊的裝置,AWS IoT Detect 能夠識別異常行為。您可以針對下列其中一個目標類型,定義特有的安全性描述檔:
-
所有裝置
-
所有已註冊的裝置 (AWS IoT 登錄檔中的物件)
-
所有未註冊的裝置
-
物件群組中的裝置
安全性描述檔會為您帳戶中的裝置定義一組預期的行為,並指定偵測到異常時所要採取的動作。安全性描述檔應該附加到最特定的目標,讓您能夠精細控制目前根據該描述檔評估哪些裝置。
未註冊的裝置必須在裝置生命週期中提供一致的 MQTT 用戶端識別符或物件名稱 (適用於報告裝置指標的裝置),讓所有違規和指標歸屬於相同的裝置。
重要
如果物件名稱包含控制字元,或無誤名稱超過 128 個位元組的 UTF-8 編碼字元,則會拒絕裝置所回報的訊息。
