Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kasus penggunaan keamanan
Bagian ini menjelaskan berbagai jenis serangan yang mengancam armada perangkat Anda dan metrik yang disarankan yang dapat Anda gunakan untuk memantau serangan ini. Sebaiknya gunakan anomali metrik sebagai titik awal untuk menyelidiki masalah keamanan, tetapi Anda tidak boleh mendasarkan penentuan ancaman keamanan apa pun hanya pada anomali metrik.
Untuk menyelidiki alarm anomali, korelasikan detail alarm dengan informasi kontekstual lainnya seperti atribut perangkat, tren historis metrik perangkat, tren historis metrik Profil Keamanan, metrik khusus, dan log untuk menentukan apakah ada ancaman keamanan.
Kasus penggunaan sisi cloud
Device Defender dapat memantau kasus penggunaan berikut di sisi AWS IoT cloud.
- Pencurian kekayaan intelektual:
Pencurian kekayaan intelektual melibatkan pencurian kekayaan intelektual seseorang atau perusahaan, termasuk rahasia dagang, perangkat keras, atau perangkat lunak. Ini sering terjadi selama tahap pembuatan perangkat. Pencurian kekayaan intelektual dapat datang dalam bentuk pembajakan, pencurian perangkat, atau pencurian sertifikat perangkat. Pencurian kekayaan intelektual berbasis cloud dapat terjadi karena adanya kebijakan yang mengizinkan akses yang tidak diinginkan ke sumber daya IoT. Anda harus meninjau kebijakan IoT Anda dan mengaktifkan pemeriksaan Audit yang terlalu permisif untuk mengidentifikasi kebijakan yang terlalu permisif.
Metrik
Alasan
Sumber IP Jika perangkat dicuri, maka alamat IP sumbernya akan berada di luar kisaran alamat IP yang biasanya diharapkan untuk perangkat yang beredar dalam rantai pasokan normal. Jumlah pesan yang diterima Karena penyerang dapat menggunakan perangkat dalam pencurian IP berbasis cloud, metrik yang terkait dengan jumlah pesan atau ukuran pesan yang dikirim ke perangkat dari AWS IoT cloud dapat meningkat, menunjukkan kemungkinan masalah keamanan.
Ukuran pesan - Eksfiltrasi data berbasis MQTT:
Eksfiltrasi data terjadi ketika aktor jahat melakukan transfer data yang tidak sah dari penyebaran IoT atau dari perangkat. Penyerang meluncurkan jenis serangan ini melalui MQTT terhadap sumber data sisi cloud.
Metrik
Alasan
Sumber IP Jika perangkat dicuri, maka alamat IP sumbernya akan berada di luar kisaran alamat IP yang biasanya diharapkan untuk perangkat yang beredar dalam rantai pasokan standar. Jumlah pesan yang diterima Karena penyerang dapat menggunakan perangkat dalam eksfiltrasi data berbasis MQTT, metrik yang terkait dengan jumlah pesan atau ukuran pesan yang dikirim ke perangkat dari AWS IoT cloud dapat meningkat, menunjukkan kemungkinan masalah keamanan.
Ukuran pesan - Peniruan identitas:
Serangan peniruan identitas adalah di mana penyerang berpose sebagai entitas yang dikenal atau tepercaya dalam upaya untuk mengakses layanan AWS IoT sisi cloud, aplikasi, data, atau terlibat dalam perintah dan kontrol perangkat IoT.
Metrik
Alasan
Kegagalan otorisasi Ketika penyerang berpose sebagai entitas tepercaya dengan menggunakan identitas curian, metrik terkait konektivitas sering melonjak, karena kredensialnya mungkin tidak lagi valid atau mungkin sudah digunakan oleh perangkat tepercaya. Perilaku anomali dalam kegagalan otorisasi, upaya koneksi, atau pemutusan hubungan menunjuk ke skenario peniruan identitas potensial. Upaya koneksi Terputus - Penyalahgunaan Infrastruktur Cloud:
Penyalahgunaan layanan AWS IoT cloud terjadi saat menerbitkan atau berlangganan topik dengan volume pesan tinggi atau dengan pesan dalam ukuran besar. Kebijakan yang terlalu permisif atau eksploitasi kerentanan perangkat untuk perintah dan kontrol juga dapat menyebabkan penyalahgunaan infrastruktur cloud. Salah satu tujuan utama serangan ini adalah untuk meningkatkan AWS tagihan Anda. Anda harus meninjau kebijakan IoT Anda dan mengaktifkan pemeriksaan Audit yang terlalu permisif untuk mengidentifikasi kebijakan yang terlalu permisif.
Metrik
Alasan
Jumlah pesan yang diterima Tujuan dari serangan ini adalah untuk meningkatkan AWS tagihan Anda, metrik yang memantau aktivitas seperti jumlah pesan, pesan yang diterima dan ukuran pesan akan meningkat. Jumlah pesan yang dikirim Ukuran pesan Sumber IP Daftar IP sumber mencurigakan mungkin muncul, dari mana penyerang menghasilkan volume pesan mereka.
Kasus penggunaan sisi perangkat
Device Defender dapat memantau kasus penggunaan berikut di sisi perangkat Anda.
- D enial-of-service serangan:
Serangan denial-of-service (DoS) ditujukan untuk mematikan perangkat atau jaringan, membuat perangkat atau jaringan tidak dapat diakses oleh pengguna yang dituju. Serangan DoS memblokir akses dengan membanjiri target dengan lalu lintas, atau mengirimkannya permintaan yang memulai sistem melambat atau menyebabkan sistem gagal. Perangkat IoT Anda dapat digunakan dalam serangan DoS.
Metrik
Alasan
Paket keluar Serangan DoS biasanya melibatkan tingkat komunikasi keluar yang lebih tinggi dari perangkat tertentu, dan tergantung pada jenis serangan DoS, mungkin ada peningkatan salah satu atau kedua jumlah paket keluar dan byte keluar.
Byte keluar IP Tujuan Jika Anda menentukan alamat IP/rentang CIDR yang harus berkomunikasi dengan perangkat Anda, maka anomali dalam IP tujuan dapat menunjukkan komunikasi IP yang tidak terotorisasi dari perangkat Anda.
Serangan DoS biasanya memerlukan infrastruktur perintah dan kontrol yang lebih besar di mana malware yang diinstal pada perangkat Anda menerima perintah dan informasi tentang siapa yang harus diserang dan kapan harus menyerang. Oleh karena itu, untuk menerima informasi tersebut, malware biasanya akan mendengarkan pada port yang biasanya tidak digunakan oleh perangkat Anda.
Mendengarkan jumlah port TCP Mendengarkan jumlah port UDP - Eskalasi ancaman lateral:
-
Eskalasi ancaman lateral biasanya dimulai dengan penyerang mendapatkan akses ke satu titik jaringan, misalnya perangkat yang terhubung. Penyerang kemudian mencoba untuk meningkatkan tingkat hak istimewa mereka, atau akses mereka ke perangkat lain melalui metode seperti kredensi curian atau eksploitasi kerentanan.
Metrik
Alasan
Paket keluar Dalam situasi yang khas, penyerang harus menjalankan pemindaian pada jaringan area lokal untuk melakukan pengintaian dan mengidentifikasi perangkat yang tersedia untuk mempersempit pemilihan target serangan mereka. Pemindaian semacam ini dapat menghasilkan lonjakan byte dan jumlah paket keluar.
Byte keluar IP Tujuan Jika perangkat seharusnya berkomunikasi dengan sekumpulan alamat IP atau CIDR yang diketahui, Anda dapat mengidentifikasi apakah perangkat tersebut mencoba berkomunikasi dengan alamat IP abnormal, yang seringkali merupakan alamat IP pribadi di jaringan lokal dalam kasus penggunaan eskalasi ancaman lateral.
Kegagalan otorisasi Ketika penyerang mencoba meningkatkan tingkat priviledge mereka di seluruh jaringan IoT, mereka dapat menggunakan kredensi curian yang telah dicabut atau telah kedaluwarsa, yang akan menyebabkan peningkatan kegagalan otorisasi.
- Eksfiltrasi atau pengawasan data:
-
Eksfiltrasi data terjadi ketika malware atau aktor jahat melakukan transfer data yang tidak sah dari perangkat atau titik akhir jaringan. Eksfiltrasi data biasanya melayani dua tujuan untuk penyerang, memperoleh data atau kekayaan intelektual, atau melakukan pengintaian jaringan. Surveillance berarti bahwa kode berbahaya digunakan untuk memantau aktivitas pengguna untuk tujuan mencuri kredensi dan mengumpulkan informasi. Metrik di bawah ini dapat memberikan titik awal untuk menyelidiki salah satu jenis serangan.
Metrik
Alasan
Paket keluar Ketika eksfiltrasi data atau serangan pengawasan terjadi, penyerang akan sering mencerminkan data yang dikirim dari perangkat daripada hanya mengarahkan data, yang akan diidentifikasi oleh pembela ketika mereka tidak melihat data yang dimaksudkan datang. Data cermin tersebut akan meningkatkan jumlah total data yang dikirim dari perangkat secara signifikan, menghasilkan lonjakan paket dan byte keluar hitungan.
Byte keluar IP Tujuan Ketika penyerang menggunakan perangkat dalam eksfiltrasi data atau serangan surveilance, data harus dikirim ke alamat IP abnormal yang dikendalikan oleh penyerang. Memantau IP tujuan dapat membantu mengidentifikasi serangan semacam itu.
- Penambangan Cryptocurrency
-
Penyerang memanfaatkan kekuatan pemrosesan dari perangkat untuk menambang cryptocurrency. Crypto-mining adalah proses komputasi intensif, biasanya membutuhkan komunikasi jaringan dengan rekan dan kolam penambangan lainnya.
Metrik
Alasan
IP Tujuan Komunikasi jaringan biasanya merupakan persyaratan selama cryptomining. Memiliki daftar alamat IP yang dikontrol ketat yang harus berkomunikasi dengan perangkat dapat membantu mengidentifikasi komunikasi yang tidak diinginkan pada perangkat, seperti penambangan cryptocurrency.
Metrik kustom penggunaan CPU
Penambangan Cryptocurrency membutuhkan komputasi intensif yang menghasilkan pemanfaatan CPU perangkat yang tinggi. Jika Anda memilih untuk mengumpulkan dan memantau metrik ini, penggunaan higher-than-normal CPU bisa menjadi indikator aktivitas penambangan kripto.
- Perintah dan kontrol, malware dan ransomware
-
Malware atau ransomware membatasi kontrol Anda atas perangkat Anda, dan membatasi fungsionalitas perangkat Anda. Dalam kasus serangan ransomware, akses data akan hilang karena enkripsi yang digunakan ransomware.
Metrik
Alasan
IP Tujuan Serangan jaringan atau jarak jauh mewakili sebagian besar serangan pada perangkat IoT. Daftar alamat IP yang dikontrol ketat yang harus berkomunikasi dengan perangkat dapat membantu mengidentifikasi IP tujuan abnormal yang dihasilkan dari serangan malware atau ransomware.
Beberapa serangan malware melibatkan memulai command-and-control server yang mengirimkan perintah untuk dijalankan pada perangkat. Jenis server ini sangat penting untuk operasi malware atau ransomware dan dapat diidentifikasi dengan memantau secara ketat port TCP/UDP terbuka dan jumlah port.
Mendengarkan jumlah port TCP Mendengarkan jumlah port UDP
