Cas d'utilisation côté cloud Cas d'utilisation côté appareil

Cas d'utilisation de sécurité

Cette section décrit les différents types d'attaques qui menacent votre flotte d'appareils et les mesures recommandées que vous pouvez utiliser pour surveiller ces attaques. Nous vous recommandons d'utiliser les anomalies métriques comme point de départ pour étudier les problèmes de sécurité, mais vous ne devez pas baser votre détermination des menaces de sécurité uniquement sur une anomalie métrique.

Pour enquêter sur une alarme d'anomalie, corrélez les détails de l'alarme avec d'autres informations contextuelles telles que les attributs de l'appareil, les tendances historiques des métriques de l'appareil, les tendances historiques des métriques du profil de sécurité, les métriques personnalisées et les journaux pour déterminer si une menace de sécurité est présente.

Cas d'utilisation côté cloud

Device Defender peut surveiller les cas d'utilisation suivants du côté du AWS IoT cloud.

Vol de propriété intellectuelle :

Le vol de propriété intellectuelle consiste à voler les propriétés intellectuelles d'une personne ou d'une entreprise, notamment des secrets commerciaux, du matériel ou des logiciels. Cela se produit souvent au cours de la phase de fabrication des appareils. Le vol de propriété intellectuelle peut prendre la forme d'un piratage, d'un vol d'appareil ou d'un vol de certificat d'appareil. Le vol de propriété intellectuelle basé sur le cloud peut se produire en raison de l'existence de politiques autorisant un accès involontaire aux ressources de l'IoT. Vous devez revoir vos politiques en matière d'IoT et activer les contrôles d'audit trop permissifs pour identifier les politiques trop permissives.

Métrique	Justification
IP Source	Si un appareil est volé, son adresse IP source se situera en dehors de la plage d’adresses IP normalement attendue pour les appareils circulant dans une chaîne d’approvisionnement normale.
Nombre de messages reçus	Étant donné qu'un pirate peut utiliser un appareil pour voler des adresses IP dans le cloud, les statistiques relatives au nombre de messages ou à la taille des messages envoyés à l'appareil depuis le AWS IoT cloud peuvent augmenter, ce qui indique un éventuel problème de sécurité.
Message size (Taille de message)

MQTT-based data exfiltration: (Exfiltration de données basée sur MQTT)

L'exfiltration de données se produit lorsqu'un acteur malveillant effectue un transfert de données non autorisé depuis un déploiement IoT ou depuis un appareil. Le pirate lance ce type d'attaques via MQTT contre des sources de données situées dans le cloud.

Métrique	Justification
IP Source	Si un appareil est volé, son adresse IP source se situera en dehors de la plage d’adresses IP normalement attendue pour les appareils circulant dans une chaîne d’approvisionnement standard.
Nombre de messages reçus	Étant donné qu'un pirate peut utiliser un appareil dans une exfiltration de données basée sur MQTT, les métriques liées au nombre de messages ou à la taille des messages envoyés à l'appareil depuis le cloud AWS IoT peuvent augmenter, indiquant un possible problème de sécurité.
Message size (Taille de message)

Impersonation: (Usurpation d'identité)

Dans le cadre d'une attaque par usurpation d'identité, les pirates se font passer pour des entités connues ou fiables dans le but d'accéder à des services AWS IoT, à des applications ou à des données situés dans le cloud, ou de prendre le contrôle d'appareils IoT.

Métrique	Justification
Authorization failures (Échecs d'autorisation)	Lorsque les pirates se font passer pour des entités de confiance en utilisant des identités volées, les indicateurs liés à la connectivité augmentent souvent, car les informations d'identification ne sont peut-être plus valides ou peuvent déjà être utilisées par un appareil fiable. Les comportements anormaux liés aux échecs d'autorisation, aux tentatives de connexion ou aux déconnexions indiquent un scénario d'usurpation d'identité potentiel.
Connection attempts (Tentatives de connexion)
Disconnects (Se déconnecte)

Cloud Infrastructure abuse: (Utilisation abusive de l'infrastructure cloud)

L'utilisation abusive des services AWS IoT cloud se produit lors de la publication ou de l'abonnement à des rubriques contenant un volume de messages élevé ou contenant des messages de grande taille. Des politiques trop permissives ou l'exploitation des vulnérabilités des appareils à des fins de commande et de contrôle peuvent également entraîner une utilisation abusive de l'infrastructure cloud. L'un des principaux objectifs de cette attaque est d'augmenter votre facture AWS. Vous devez revoir vos politiques en matière d'IoT et activer les contrôles d'audit trop permissifs pour identifier les politiques trop permissives.

Métrique	Justification
Nombre de messages reçus	L'objectif de cette attaque étant d'augmenter votre facture AWS, les indicateurs qui surveillent les activités telles que le nombre de messages, les messages reçus et la taille des messages augmenteront.
Nombre de messages envoyés
Message size (Taille de message)
IP Source	Des listes d'adresses IP sources suspectes peuvent apparaître, à partir desquelles les pirates génèrent leur volume de messages.

Cas d'utilisation côté appareil

Device Defender peut surveiller les cas d’utilisation suivants du côté de votre appareil.

Denial-of-service attack: (Attaque par déni de service)

Une attaque par déni de service (DoS) vise à arrêter un appareil ou un réseau, le rendant ainsi inaccessible aux utilisateurs auxquels il est destiné. Les attaques DoS bloquent l'accès en inondant la cible de trafic ou en lui envoyant des demandes qui ralentissent le système ou provoquent une défaillance du système. Vos appareils IoT peuvent être utilisés dans le cadre d'attaques DoS.

Métrique	Justification
Paquets sortis	Les attaques DoS impliquent généralement des taux plus élevés de communications sortantes à partir d'un appareil donné, et selon le type d'attaque DoS, il peut y avoir une augmentation du nombre de paquets sortants et d'octets sortants ou des deux.
Bytes out
IP de destination	Si vous définissez les adresses IP/plages CIDR avec lesquelles vos appareils doivent communiquer, une anomalie dans l'adresse IP de destination peut indiquer une communication IP non autorisée depuis vos appareils.
Ports TCP d’écoute)	Une attaque DoS nécessite généralement une infrastructure de commande et de contrôle plus importante dans laquelle les logiciels malveillants installés sur vos appareils reçoivent des commandes et des informations sur les personnes à attaquer et à quel moment. Par conséquent, pour recevoir de telles informations, le logiciel malveillant écoute généralement des ports qui ne sont normalement pas utilisés par vos appareils.
Listening TCP port count (Nombre de ports TCP d'écoute)
Ports UDP d’écoute
Listening UDP port count (Nombre de ports UDP d'écoute)

Lateral threat escalation: (Escalade latérale de la menace)

L'escalade latérale des menaces commence généralement par l'accès d'un pirate à un point du réseau, par exemple un appareil connecté. Le pirate essaie ensuite d'augmenter son niveau de privilèges ou son accès à d'autres appareils par le biais de méthodes telles que le vol d'informations d'identification ou l'exploitation de vulnérabilités.

Métrique	Justification
Paquets sortis	Dans des situations typiques, le pirate doit exécuter un scan sur le réseau local afin d'effectuer une reconnaissance et d'identifier les appareils disponibles afin d'affiner sa sélection de cibles d'attaque. Ce type d'analyse peut entraîner une augmentation du nombre d'octets et de paquets sortants.
Bytes out
IP de destination	Si un appareil est censé communiquer avec un ensemble connu d'adresses IP ou de CIDR, vous pouvez déterminer s'il tente de communiquer avec une adresse IP anormale, qui serait souvent une adresse IP privée sur le réseau local dans le cas d'une escalade latérale des menaces.
Authorization failures (Échecs d'autorisation)	Lorsque le pirate tente d'augmenter son niveau de privilèges sur un réseau IoT, il peut utiliser des informations d'identification volées qui ont été révoquées ou ont expiré, ce qui augmenterait le nombre d'échecs d'autorisation.

Data exfiltration or surveillance: (Exfiltration ou surveillance de données)

L'exfiltration de données se produit lorsqu'un logiciel malveillant ou un acteur malveillant effectue un transfert de données non autorisé à partir d'un appareil ou d'un point de terminaison du réseau. L'exfiltration de données a généralement deux objectifs pour le pirate : obtenir des données ou de la propriété intellectuelle, ou effectuer la reconnaissance d'un réseau. La surveillance signifie qu'un code malveillant est utilisé pour surveiller les activités des utilisateurs dans le but de voler des informations d'identification et de recueillir des informations. Les indicateurs ci-dessous peuvent fournir un point de départ pour étudier l'un ou l'autre type d'attaque.

Métrique	Justification
Paquets sortis	En cas d'exfiltration de données ou d'attaques de surveillance, le pirate reflète souvent les données envoyées depuis l'appareil au lieu de simplement les rediriger, qui sont identifiées par le défenseur lorsqu'il ne voit pas les données prévues arriver. Ces données mises en miroir augmenteraient considérablement la quantité totale de données envoyées par l'appareil, ce qui entraînerait une augmentation du nombre de paquets et d'octets sortants.
Bytes out
IP de destination	Lorsqu'un pirate utilise un appareil dans le cadre d'exfiltration de données ou d'attaques de surveillance, les données doivent être envoyées à une adresse IP anormale contrôlée par le pirate. La surveillance de l'adresse IP de destination peut aider à identifier une telle attaque.

Cryptocurrency mining (Minage de crypto-monnaies)

Les pirates exploitent la puissance de traitement des appareils pour exploiter les cryptomonnaies. Le minage de cryptomonnaies est un processus de calcul intensif, qui nécessite généralement une communication réseau avec d'autres pairs et pools de minage.

Métrique	Justification
IP de destination	La communication réseau est généralement requise lors du minage de cryptomonnaies. Le fait de disposer d'une liste étroitement contrôlée d'adresses IP avec lesquelles l'appareil doit communiquer peut aider à identifier les communications imprévues sur un appareil, comme le minage de cryptomonnaies.
CPU usage custom metric (Métrique personnalisée d'utilisation du processeur)	Le minage de cryptomonnaies nécessite des calculs intensifs, ce qui entraîne une utilisation élevée du processeur de l'appareil. Si vous choisissez de collecter et de surveiller cette métrique, une utilisation du processeur supérieure à la normale pourrait être un indicateur d’activités de crypto-minage.

Commande et contrôle, logiciels malveillants et rançongiciels

Les logiciels malveillants ou les rançongiciels limitent le contrôle que vous avez sur vos appareils et limitent leurs fonctionnalités. Dans le cas d'une attaque par rançongiciel, l'accès aux données serait perdu en raison du chiffrement utilisé par le rançongiciel.

Métrique	Justification
IP de destination	Les attaques sur le réseau ou à distance représentent une grande partie des attaques contre les appareils IoT. Une liste étroitement contrôlée d'adresses IP avec lesquelles l'appareil doit communiquer peut aider à identifier les adresses IP de destination anormales résultant d'une attaque de malware ou de rançongiciel.
Ports TCP d’écoute)	Plusieurs attaques de logiciels malveillants impliquent le démarrage d'un serveur de commande et de contrôle qui envoie des commandes à exécuter sur un appareil. Ce type de serveur est essentiel à une opération de programme malveillant ou de rançongiciel et peut être identifié en surveillant étroitement les ports TCP/UDP ouverts et le nombre de ports.
Listening TCP port count (Nombre de ports TCP d'écoute)
Ports UDP d’écoute
Listening UDP port count (Nombre de ports UDP d'écoute)

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Détection

Concepts