Casos de uso en la nube Casos de uso del lado del dispositivo

Casos de uso de seguridad

En esta sección, se describen los diferentes tipos de ataques que amenazan su flota de dispositivos y las métricas recomendadas que puede utilizar para monitorizar estos ataques. Le recomendamos utilizar las anomalías métricas como punto de partida para investigar los problemas de seguridad, pero no debe basar la determinación de cualquier amenaza a la seguridad únicamente en una anomalía métrica.

Para investigar una alarma de anomalía, correlacione los detalles de la alarma con otra información contextual, como los atributos del dispositivo, las tendencias históricas de las métricas del dispositivo, las tendencias históricas de las métricas del perfil de seguridad, las métricas personalizadas y los registros, para determinar si existe una amenaza a la seguridad.

Casos de uso en la nube

Device Defender puede monitorizar los siguientes casos de uso desde la nube de AWS IoT.

Robo de propiedad intelectual:

El robo de propiedad intelectual implica el robo de la propiedad intelectual de una persona o empresa, incluidos los secretos comerciales, el hardware o el software. Suele ocurrir durante la fase de fabricación de los dispositivos. El robo de propiedad intelectual puede adoptar la forma de piratería, robo de dispositivos o robo de certificados de dispositivos. El robo de propiedad intelectual basado en la nube puede ocurrir debido a la presencia de políticas que permiten el acceso no deseado a los recursos de IoT. Debería revisar sus políticas de IoT y activar las comprobaciones de auditoría excesivamente permisivas para identificar las políticas demasiado permisivas.

Métrica	Justificación
IP de origen	Si se roba un dispositivo, su dirección IP de origen quedaría fuera del rango de direcciones IP normalmente esperado para los dispositivos que circulan en una cadena de suministro normal.
Número de mensajes recibidos	Como un atacante puede utilizar un dispositivo para robar una IP basada en la nube, las métricas relacionadas con el número o el tamaño de los mensajes enviados al dispositivo desde la nube de AWS IoT pueden aumentar, lo que indica un posible problema de seguridad.
Tamaño del mensaje

Exfiltración de datos basada en MQTT:

La exfiltración de datos se produce cuando un actor malintencionado lleva a cabo una transferencia de datos no autorizada desde una implementación de IoT o desde un dispositivo. El atacante lanza este tipo de ataques a través de MQTT contra orígenes de datos del lado de la nube.

Métrica	Justificación
IP de origen	Si se roba un dispositivo, su dirección IP de origen quedaría fuera del rango de direcciones IP normalmente esperado para los dispositivos que circulan en una cadena de suministro estándar.
Número de mensajes recibidos	Como un atacante puede utilizar un dispositivo de una exfiltración de datos basada en MQTT, las métricas relacionadas con el número o el tamaño de los mensajes enviados al dispositivo desde la nube de AWS IoT pueden aumentar, lo que indica un posible problema de seguridad.
Tamaño del mensaje

Suplantación de identidad:

Un ataque de suplantación de identidad se produce cuando los atacantes se hacen pasar por entidades conocidas o de confianza en un esfuerzo por acceder a servicios, aplicaciones o datos del lado de la nube de AWS IoT o ejercer el mando y el control de los dispositivos IoT.

Métrica	Justificación
Errores de autorización	Cuando los atacantes se hacen pasar por entidades de confianza utilizando identidades robadas, las métricas relacionadas con la conectividad suelen aumentar, ya que es posible que las credenciales ya no sean válidas o que ya las esté utilizando un dispositivo de confianza. Los comportamientos anómalos en los fallos de autorización, los intentos de conexión o las desconexiones apuntan a un posible escenario de suplantación de identidad.
Intentos de conexión
Desconectar

Abuso de la infraestructura de la nube:

El abuso de los servicios de AWS IoT en la nube se produce al publicar o suscribirse a temas con un gran volumen de mensajes o con mensajes de gran tamaño. Las políticas excesivamente permisivas o el aprovechamiento de las vulnerabilidades de los dispositivos con fines de mando y control también pueden provocar un abuso de la infraestructura de la nube. Uno de los principales objetivos de este ataque es aumentar su factura de AWS. Debería revisar sus políticas de IoT y activar las comprobaciones de auditoría excesivamente permisivas para identificar las políticas demasiado permisivas.

Métrica	Justificación
Número de mensajes recibidos	El objetivo de este ataque es aumentar su factura de AWS, y las métricas que monitorizan actividades como el recuento de mensajes, los mensajes recibidos y el tamaño de los mensajes aumentarán.
Número de mensajes enviados
Tamaño del mensaje
IP de origen	Pueden aparecer listas de direcciones IP de fuentes sospechosas, a partir de las cuales los atacantes generan su volumen de mensajes.

Casos de uso del lado del dispositivo

Device Defender puede monitorizar los siguientes casos de uso desde el dispositivo.

Ataque de denegación de servicio:

Un ataque de denegación de servicio (DoS) tiene como objetivo cerrar un dispositivo o una red, haciendo que el dispositivo o la red sean inaccesibles para los usuarios previstos. Los ataques DoS bloquean el acceso inundando el objetivo con tráfico o enviándole solicitudes que inician una ralentización del sistema o provocan un fallo del sistema. Sus dispositivos IoT se pueden utilizar en ataques de DoS.

Métrica	Justificación
Paquetes salientes	Los ataques de DoS suelen implicar tasas más altas de comunicación saliente desde un dispositivo determinado y, según el tipo de ataque de DoS, podría producirse un aumento en la cantidad de paquetes salientes y bytes salientes, o en ambas.
Bytes salientes
IP de destino	Si define los rangos de direcciones IP/CIDR con los que deben comunicarse sus dispositivos, una anomalía en la IP de destino puede indicar una comunicación IP no autorizada desde sus dispositivos.
Puertos TCP de escucha	Por lo general, un ataque DoS requiere una infraestructura de comando y control más grande en la que el malware instalado en los dispositivos reciba comandos e información sobre a quién atacar y cuándo atacar. Por lo tanto, para recibir esa información, el malware normalmente escucha en los puertos que los dispositivos no suelen utilizar.
Recuento de puertos TCP de escucha
Puertos UDP de escucha
Recuento de puertos UDP de escucha

Escalado lateral de amenazas:

Un escalado lateral de amenazas suele comenzar cuando un atacante accede a un punto de la red, por ejemplo, a un dispositivo conectado. A continuación, el atacante intenta aumentar su nivel de privilegios o su acceso a otros dispositivos mediante métodos como el robo de credenciales o la explotación de vulnerabilidades.

Métrica	Justificación
Paquetes salientes	En situaciones típicas, el atacante tendría que realizar un escaneo en la red de área local para realizar un reconocimiento e identificar los dispositivos disponibles con el fin de reducir su selección de objetivos de ataque. Este tipo de análisis podría provocar un aumento en el número de bytes y paquetes descartados.
Bytes salientes
IP de destino	Si se supone que un dispositivo debe comunicarse con un conjunto conocido de direcciones IP o CIDR, puede identificar si intenta comunicarse con una dirección IP anormal, que suele ser una dirección IP privada de la red local en un caso de aumento lateral de amenazas.
Errores de autorización	A medida que el atacante intenta aumentar su nivel de privilegios en una red de IoT, puede utilizar credenciales robadas que se han revocado o que han caducado, lo que provocaría un aumento de los errores de autorización.

Exfiltración de datos o vigilancia:

La exfiltración de datos se produce cuando un malware o un actor malicioso lleva a cabo una transferencia de datos no autorizada desde un dispositivo o un punto de conexión de la red. La exfiltración de datos normalmente tiene dos propósitos para el atacante: obtener datos o propiedad intelectual o realizar el reconocimiento de una red. La vigilancia significa que se utiliza código malicioso para monitorizar las actividades de los usuarios con el fin de robar credenciales y recopilar información. Las siguientes métricas pueden proporcionar un punto de partida para investigar cualquier tipo de ataque.

Métrica	Justificación
Paquetes salientes	Cuando se producen ataques de exfiltración de datos o de vigilancia, el atacante suele duplicar los datos que se envían desde el dispositivo en lugar de simplemente redirigirlos, que el defensor identificaría cuando no ve los datos previstos. Estos datos duplicados aumentarían considerablemente la cantidad total de datos enviados desde el dispositivo, lo que se traduciría en un aumento del número de paquetes y bytes descartados.
Bytes salientes
IP de destino	Cuando un atacante utiliza un dispositivo para realizar ataques de exfiltración o vigilancia de datos, los datos deberán enviarse a una dirección IP anormal controlada por el atacante. La monitorización de la IP de destino puede ayudar a identificar un ataque de este tipo.

Minería de criptomonedas

Los atacantes aprovechan la potencia de procesamiento de los dispositivos para extraer criptomonedas. La minería de criptomonedas es un proceso computacionalmente intensivo que, por lo general, requiere una comunicación de red con otros pares y grupos mineros.

Métrica	Justificación
IP de destino	La comunicación de red suele ser un requisito durante la minería de criptomonedas. Tener una lista estrictamente controlada de direcciones IP con las que debe comunicarse el dispositivo puede ayudar a identificar las comunicaciones no deseadas en un dispositivo, como la minería de criptomonedas.
Métrica personalizada de uso de la CPU	La minería de criptomonedas requiere una computación intensiva, lo que resulta en una alta utilización de la CPU del dispositivo. Si opta por recopilar y monitorizar esta métrica, un uso de la CPU superior al normal podría ser un indicador de las actividades de minería de criptomonedas.

Mando y control, malware y ransomware

El malware o el ransomware restringen el control sobre los dispositivos y limitan su funcionalidad. En el caso de un ataque de ransomware, se perdería el acceso a los datos debido al cifrado que utiliza el ransomware.

Métrica	Justificación
IP de destino	Los ataques de red o remotos representan una gran parte de los ataques a los dispositivos IoT. Una lista estrictamente controlada de direcciones IP con las que debe comunicarse el dispositivo puede ayudar a identificar direcciones IP de destino anormales provocadas por un ataque de malware o ransomware.
Puertos TCP de escucha	Varios ataques de malware implican iniciar un servidor de mando y control que envía comandos para ejecutarlos en un dispositivo. Este tipo de servidor es fundamental para una operación de malware o ransomware, y se puede identificar monitorizando rigurosamente los puertos TCP/UDP abiertos y el número de puertos.
Recuento de puertos TCP de escucha
Puertos UDP de escucha
Recuento de puertos UDP de escucha

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Detect

Conceptos