Anwendungsfälle auf der Cloud-Seite Geräteseitige Anwendungsfälle

Anwendungsfälle für Sicherheit

In diesem Abschnitt werden die verschiedenen Arten von Angriffen beschrieben, die Ihre Geräteflotte bedrohen, sowie die empfohlenen Metriken, mit denen Sie diese Angriffe überwachen können. Wir empfehlen, metrische Anomalien als Ausgangspunkt für die Untersuchung von Sicherheitsproblemen zu verwenden. Sie sollten Ihre Einschätzung von Sicherheitsbedrohungen jedoch nicht ausschließlich auf eine metrische Anomalie stützen.

Um einen Anomaliealarm zu untersuchen, korrelieren Sie die Alarmdetails mit anderen Kontextinformationen wie Geräteattributen, historischen Trends bei Gerätemetriken, historischen Trends der Sicherheitsprofilmetrik, benutzerdefinierten Metriken und Protokollen, um festzustellen, ob eine Sicherheitsbedrohung vorliegt.

Anwendungsfälle auf der Cloud-Seite

Device Defender kann die folgenden Anwendungsfälle auf der AWS IoT-Cloud-Seite überwachen.

Diebstahl geistigen Eigentums:

Beim Diebstahl geistigen Eigentums wird das geistige Eigentum einer Person oder eines Unternehmens gestohlen, einschließlich Geschäftsgeheimnissen, Hardware oder Software. Er tritt häufig während der Herstellungsphase von Geräten auf. Der Diebstahl geistigen Eigentums kann in Form von Piraterie, Gerätediebstahl oder Diebstahl von Gerätezertifikaten erfolgen. Cloud-basierter Diebstahl von geistigem Eigentum kann aufgrund von Richtlinien erfolgen, die einen unbeabsichtigten Zugriff auf IoT-Ressourcen ermöglichen. Sie sollten Ihre IoT-Richtlinien überprüfen und die Option Übermäßig freizügige Berechtigungen prüfen aktivieren, um zu tolerante Richtlinien zu identifizieren.

Metrik	Begründung
Quell-IP	Wenn ein Gerät gestohlen wird, würde seine Quell-IP-Adresse außerhalb des normalerweise zu erwartenden IP-Adressbereichs für Geräte liegen, die in einer normalen Lieferkette im Umlauf sind.
Anzahl der empfangenen Nachrichten	Da ein Angreifer ein Gerät für Cloud-basierten IP-Diebstahl verwenden kann, können die Metriken in Bezug auf die Anzahl der Nachrichten oder die Nachrichtengröße, die aus der AWS IoT-Cloud an das Gerät gesendet werden, stark ansteigen. Das deutet auf ein mögliches Sicherheitsproblem hin.
Nachrichtengröße

MQTT-basierte Datenexfiltration:

Datenexfiltration tritt auf, wenn ein böswilliger Akteur eine unbefugte Datenübertragung von einer IoT-Bereitstellung oder von einem Gerät aus durchführt. Der Angreifer startet diese Art von Angriffen über MQTT gegen cloud-seitige Datenquellen.

Metrik	Begründung
Quell-IP	Wenn ein Gerät gestohlen wird, würde seine Quell-IP-Adresse außerhalb des normalerweise zu erwartenden IP-Adressbereichs für Geräte liegen, die in einer Standardlieferkette im Umlauf sind.
Anzahl der empfangenen Nachrichten	Da ein Angreifer ein Gerät in einer MQTT-basierten Datenexfiltration verwenden kann, können die Metriken in Bezug auf die Anzahl der Nachrichten oder die Nachrichtengröße, die aus der AWS IoT-Cloud an das Gerät gesendet werden, stark ansteigen. Das deutet auf ein mögliches Sicherheitsproblem hin.
Nachrichtengröße

Identitätswechsel:

Bei einem Identitätsmissbrauch geben sich Angreifer als bekannte oder vertrauenswürdige Entitäten aus, um auf cloud-seitige AWS IoT-Services, -Anwendungen und -Daten zuzugreifen oder IoT-Geräte zu steuern und zu kontrollieren.

Metrik	Begründung
Autorisierungsfehler	Wenn sich Angreifer mit gestohlenen Identitäten als vertrauenswürdige Entitäten ausgeben, steigen die Verbindungsmetriken häufig an, da die Anmeldeinformationen möglicherweise nicht mehr gültig sind oder bereits von einem vertrauenswürdigen Gerät verwendet werden. Anormales Verhalten bei Autorisierungsfehlern, Verbindungsversuchen oder Verbindungsabbrüchen deutet auf ein potenzielles Identitätsmissbrauchsszenario hin.
Verbindungsversuche
Verbindungsabbrüche

Missbrauch der Cloud-Infrastruktur:

Ein Missbrauch von AWS IoT-Cloud-Services liegt vor, wenn Themen mit einem hohen Nachrichtenvolumen oder mit Nachrichten in großem Umfang veröffentlicht oder abonniert werden. Übermäßig freizügige Richtlinien oder die Ausnutzung von Geräteschwachstellen zur Steuerung und Kontrolle können ebenfalls zu einem Missbrauch der Cloud-Infrastruktur führen. Eines der Hauptziele dieses Angriffs besteht darin, Ihre AWS-Rechnung zu erhöhen. Sie sollten Ihre IoT-Richtlinien überprüfen und die Option Übermäßig freizügige Berechtigungen prüfen aktivieren, um zu tolerante Richtlinien zu identifizieren.

Metrik	Begründung
Anzahl der empfangenen Nachrichten	Ziel dieses Angriffs ist es, Ihre AWS-Rechnung in die Höhe zu treiben. Metriken, mit denen Aktivitäten wie die Anzahl der Nachrichten, die empfangenen Nachrichten und die Nachrichtengröße überwacht werden, werden in die Höhe schnellen.
Anzahl der gesendeten Nachrichten
Nachrichtengröße
Quell-IP	Es können verdächtige Quell-IP-Listen vorkommen, aus denen Angreifer ihr Nachrichtenvolumen generieren.

Geräteseitige Anwendungsfälle

Device Defender kann die folgenden Anwendungsfälle auf Ihrer Geräteseite überwachen.

Denial-of-Service-Angriff:

Ein Denial-of-Service (DoS)-Angriff zielt darauf ab, ein Gerät oder Netzwerk herunterzufahren, sodass das Gerät oder Netzwerk für die vorgesehenen Benutzer unzugänglich wird. DoS-Angriffe blockieren den Zugriff, indem sie das Ziel mit Datenverkehr überfluten oder Anfragen senden, die das System verlangsamen oder zum Ausfall des Systems führen. Ihre IoT-Geräte können bei DoS-Angriffen verwendet werden.

Metrik	Begründung
Ausgegangene Pakete	DoS-Angriffe beinhalten in der Regel höhere Raten ausgehender Kommunikation von einem bestimmten Gerät aus, und je nach Art des DoS-Angriffs kann es zu einem Anstieg der Anzahl der ausgegangenen Pakete und der ausgehenden Bytes kommen.
Ausgehende Bytes
Ziel-IP	Wenn Sie die IP-Adressen/CIDR-Bereiche definieren, mit denen Ihre Geräte kommunizieren sollen, kann eine Anomalie in der Ziel-IP auf eine unautorisierte IP-Kommunikation von Ihren Geräten hinweisen.
TCP-Überwachungsports	Ein DoS-Angriff erfordert in der Regel eine größere Befehls- und Kontrollinfrastruktur, in der auf Ihren Geräten installierte Malware Befehle und Informationen darüber erhält, wer und wann angegriffen werden soll. Um solche Informationen zu erhalten, überwacht die Malware daher in der Regel Ports, die normalerweise nicht von Ihren Geräten verwendet werden.
Anzahl der TCP-Überwachungsports
UDP-Überwachungsports
Anzahl der UDP-Überwachungsports

Seitliche Bedrohungseskalation:

Seitliche Bedrohungseskalation beginnt in der Regel damit, dass sich ein Angreifer Zugriff auf einen Punkt im Netzwerk verschafft, z. B. auf ein verbundenes Gerät. Der Angreifer versucht dann, seine Rechte oder seinen Zugriff auf andere Geräte durch Methoden wie gestohlene Anmeldeinformationen oder das Ausnutzen von Schwachstellen zu erhöhen.

Metrik	Begründung
Ausgegangene Pakete	In typischen Situationen müsste der Angreifer einen Scan im lokalen Netzwerk durchführen, um die verfügbaren Geräte ausfindig zu machen und die Auswahl seiner Angriffsziele einzugrenzen. Diese Art von Scan könnte zu einem Anstieg der Anzahl von ausgehenden Bytes und ausgegangenen Paketen führen.
Ausgehende Bytes
Ziel-IP	Wenn ein Gerät mit einem bekannten Satz von IP-Adressen oder CIDRs kommunizieren soll, können Sie feststellen, ob es versucht, mit einer abnormalen IP-Adresse zu kommunizieren, bei der es sich bei einer seitlichen Bedrohungseskalation häufig um eine private IP-Adresse im lokalen Netzwerk handelt.
Autorisierungsfehler	Wenn der Angreifer versucht, seine Rechte in einem IoT-Netzwerk zu erhöhen, verwendet er möglicherweise gestohlene Anmeldeinformationen, die gesperrt wurden oder abgelaufen sind, was zu vermehrten Autorisierungsfehlern führen würde.

Datenexfiltration oder -überwachung:

Datenexfiltration tritt auf, wenn Malware oder ein böswilliger Akteur eine unbefugte Datenübertragung von einem Gerät oder einem Netzwerkendpunkt aus durchführt. Eine Datenexfiltration dient dem Angreifer in der Regel zwei Zwecken: der Beschaffung von Daten oder geistigem Eigentum oder der Erkundung eines Netzwerks. Überwachung bedeutet, dass bösartiger Code verwendet wird, um Benutzeraktivitäten zu überwachen, um Anmeldeinformationen zu stehlen und Informationen zu sammeln. Die folgenden Metriken können als Ausgangspunkt für die Untersuchung beider Arten von Angriffen dienen.

Metrik	Begründung
Ausgegangene Pakete	Bei Angriffen durch Datenexfiltration oder -überwachung spiegelt der Angreifer häufig die vom Gerät gesendeten Daten wider, anstatt die Daten einfach umzuleiten, was der Defender erkennen würde, wenn er die beabsichtigten Daten nicht sieht. Solche gespiegelten Daten würden die Gesamtmenge der vom Gerät gesendeten Daten erheblich erhöhen, was zu einem Anstieg der Anzahl von ausgegangenen Paketen und ausgehenden Bytes führen würde.
Ausgehende Bytes
Ziel-IP	Wenn ein Angreifer ein Gerät für Angriffe mit Datenexfiltration oder -überwachung verwendet, müssten die Daten an eine abnormale IP-Adresse gesendet werden, die vom Angreifer kontrolliert wird. Die Überwachung der Ziel-IP kann helfen, einen solchen Angriff zu identifizieren.

Mining von Kryptowährungen

Angreifer nutzen die Rechenleistung von Geräten zum Mining von Kryptowährungen. Krypto-Mining ist ein rechenintensiver Prozess, der in der Regel eine Netzwerkkommunikation mit anderen Mining-Peers und -Pools erfordert.

Metrik	Begründung
Ziel-IP	Netzwerkkommunikation ist in der Regel eine Anforderung beim Krypto-Mining. Eine streng kontrollierte Liste von IP-Adressen, mit denen das Gerät kommunizieren soll, kann dabei helfen, unbeabsichtigte Kommunikation auf einem Gerät zu identifizieren, z. B. beim Mining von Kryptowährungen.
Benutzerdefinierte Metrik zur CPU-Auslastung	Das Mining von Kryptowährungen erfordert intensive Berechnungen, was zu einer hohen Auslastung der Geräte-CPU führt. Wenn Sie sich dafür entscheiden, diese Metrik zu erfassen und zu überwachen, könnte eine höhere CPU-Auslastung als im Normalfall ein Indikator für Krypto-Mining-Aktivitäten sein.

Steuerung und Kontrolle, Malware und Ransomware

Malware oder Ransomware schränkt Ihre Kontrolle über Ihre Geräte ein und beschränkt die Funktionalität Ihrer Geräte. Im Falle eines Ransomware-Angriffs würde der Datenzugriff aufgrund der von der Ransomware verwendeten Verschlüsselung verloren gehen.

Metrik	Begründung
Ziel-IP	Netzwerk- oder Remoteangriffe machen einen großen Teil der Angriffe auf IoT-Geräte aus. Eine streng kontrollierte Liste von IP-Adressen, mit denen das Gerät kommunizieren soll, kann dabei helfen, abnormale Ziel-IPs zu identifizieren, die auf einen Malware- oder Ransomware-Angriff zurückzuführen sind.
TCP-Überwachungsports	Bei mehreren Malware-Angriffen wird ein Command-and-Control-Server gestartet, der Befehle zur Ausführung auf ein Gerät sendet. Dieser Servertyp ist für einen Malware- oder Ransomware-Vorgang von entscheidender Bedeutung und kann identifiziert werden, indem die offenen TCP/UDP-Ports und die Anzahl der Ports genau überwacht werden.
Anzahl der TCP-Überwachungsports
UDP-Überwachungsports
Anzahl der UDP-Überwachungsports

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Detect

Konzepte