Casi d'uso lato cloud Casi d'uso lato dispositivo

Casi d'uso della sicurezza

In questa sezione vengono descritti i diversi tipi di attacchi che minacciano il parco istanze del tuo dispositivo e i parametri consigliati che è possibile utilizzare per monitorare tali attacchi. Ti consigliamo di utilizzare le anomalie dei parametri come punto di partenza per analizzare i problemi di sicurezza, ma non devi basare la tua determinazione di eventuali minacce alla sicurezza esclusivamente su un'anomalia metrica.

Per analizzare un allarme di anomalia, correla i dettagli dell'allarme con altre informazioni contestuali, ad esempio attributi del dispositivo, tendenze cronologiche dei parametri del dispositivo, tendenze cronologiche dei parametri del profilo di sicurezza, parametri personalizzati e registri per determinare se è presente una minaccia per la sicurezza.

Casi d'uso lato cloud

Device Defender è in grado di monitorare i seguenti casi d'uso nel lato cloud di AWS IoT.

Furto di proprietà intellettuale:

Il furto di proprietà intellettuale comporta il furto delle proprietà intellettuali di una persona o azienda, tra cui segreti commerciali, hardware o software. Spesso si verifica durante la fase di produzione dei dispositivi. Il furto di proprietà intellettuale può presentarsi sotto forma di pirateria, furto di dispositivi o furto di certificati di dispositivo. Il furto della proprietà intellettuale basata sul cloud può verificarsi a causa della presenza di policy che consentono l'accesso non intenzionale alle risorse IoT. È necessario rivedere le Policy IoT e attivare Audit eccessivamente permissivi per identificare policy eccessivamente permissive.

Parametro	Rationale
IP di origine	Se il dispositivo viene rubato, il suo indirizzo IP di origine non rientrerebbe nell'intervallo di indirizzi IP normalmente previsto per i dispositivi circolati in una normale catena di fornitura.
Numero di messaggi ricevuti	Poiché un utente malintenzionato può utilizzare un dispositivo rubato basato su IP cloud, le metriche relative al conteggio dei messaggi o alle dimensioni dei messaggi inviati al dispositivo da AWS IoT cloud possono aumentare, indicando un possibile problema di sicurezza.
Dimensione dei messaggi

Esfiltrazione dei dati basata su MQTT:

L'esfiltrazione dei dati avviene quando un utente malintenzionato effettua un trasferimento di dati non autorizzato da una distribuzione IoT o da un dispositivo. L'aggressore lancia questo tipo di attacchi tramite MQTT contro origini dati sul cloud.

Parametro	Rationale
IP di origine	Se un dispositivo viene rubato, l'indirizzo IP di origine non rientra nell'intervallo di indirizzi IP normalmente previsto per i dispositivi circolati in una catena di fornitura standard.
Numero di messaggi ricevuti	Poiché un utente malintenzionato può utilizzare un dispositivo rubato basato su IP cloud, i parametri relativi al conteggio dei messaggi o alle dimensioni dei messaggi inviati al dispositivo da AWS IoT cloud possono aumentare, indicando un possibile problema di sicurezza.
Dimensione dei messaggi

Rappresentazione:

Un attacco di rappresentazione è il luogo in cui gli attaccanti si pongono come entità note o attendibili nel tentativo di accedere ai servizi AWS IoT sul cloud, applicazioni, dati o impegnarsi nel comando e nel controllo dei dispositivi IoT.

Parametro	Rationale
Errori di autorizzazione	Quando gli utenti malintenzionati si pongono come entità attendibili utilizzando identità rubate, i parametri relativi alla connettività spesso aumentano, poiché le credenziali potrebbero non essere più valide o potrebbero essere già utilizzate da un dispositivo attendibile. I comportamenti anomali in caso di errori di autorizzazione, tentativi di connessione o disconnessione, indicano un potenziale scenario di rappresentazione.
Tentativi di connessione
Disconnessioni

Uso illecito dell'infrastruttura cloud:

Un abuso dei servizi AWS IoT cloud si verifica quando si pubblicano o si sottoscrivono argomenti con un volume elevato di messaggi o con messaggi di grandi dimensioni. Anche criteri eccessivamente permissivi o exploit di vulnerabilità dei dispositivi per comando e controllo possono causare abusi dell'infrastruttura cloud. Uno degli obiettivi principali di questo attacco è quello di aumentare il tuo conto dei servizi AWS. È necessario rivedere le Policy IoT e attivare Controlli eccessivamente permissivi per identificare policy eccessivamente permissive.

Parametro	Rationale
Numero di messaggi ricevuti	L'obiettivo di questo attacco è quello di aumentare il tuo conto dei servizi AWS. Le metriche che monitorano attività come il conteggio dei messaggi, i messaggi ricevuti e le dimensioni dei messaggi verranno aumentate.
Numero di messaggi inviati
Dimensione dei messaggi
IP di origine	Possono essere visualizzati elenchi IP di origine sospetta, da cui gli utenti malintenzionati generano il loro volume di messaggistica.

Casi d'uso lato dispositivo

Device Defender è in grado di monitorare i seguenti casi d'uso su lato dispositivo.

Denial-of-Service attack (Attacco Denial of Service (DoS)):

Un attacco DoS (Denial of Service) mira ad arrestare un dispositivo o una rete, rendendo il dispositivo o la rete inaccessibile agli utenti previsti. Gli attacchi DoS bloccano l'accesso inondando la destinazione di traffico, o inviando richieste che avviano un sistema e rallentano o provocano un guasto del sistema. I dispositivi IoT possono essere sfruttati durante gli attacchi DoS.

Parametro	Rationale
Pacchetti in uscita	Gli attacchi DoS in genere comportano tassi più elevati di comunicazione in uscita da un determinato dispositivo e, a seconda del tipo di attacco DoS, potrebbe esserci un aumento di uno o entrambi i numeri di pacchetti e byte in uscita.
Byte in uscita
IP di destinazione	Se si definiscono gli indirizzi IP/intervalli CIDR con cui i dispositivi devono comunicare, un'anomalia nell'IP di destinazione può indicare una comunicazione IP non autorizzata dai dispositivi.
Porte TCP in ascolto	Un attacco DoS richiede solitamente un'infrastruttura di comando e controllo più ampia, in cui il malware installato sui dispositivi riceve comandi e informazioni su chi attaccare e quando attaccare. Pertanto, per ricevere tali informazioni, il malware in genere ascolta su porte che normalmente non vengono utilizzate dai dispositivi.
Conteggio porte TCP in ascolto
Porte UDP in ascolto
Conteggio porte UDP in ascolto

Escalation delle minacce laterali:

L'escalation delle minacce laterali di solito inizia con un utente malintenzionato che accede a un punto di una rete, ad esempio un dispositivo connesso. L'utente malintenzionato tenta quindi di aumentare il proprio livello di privilegi, o l'accesso ad altri dispositivi, attraverso metodi come un furto di credenziali o exploit di vulnerabilità.

Parametro	Rationale
Pacchetti in uscita	In situazioni tipiche, l'utente malintenzionato dovrebbe eseguire una scansione sulla rete locale al fine di eseguire la ricognizione e identificare i dispositivi disponibili al fine di restringere la selezione del bersaglio di attacco. Questo tipo di scansione potrebbe comportare un picco nei conteggi di byte e di pacchetti in uscita.
Byte in uscita
IP di destinazione	Se supponiamo che un dispositivo comunichi con un insieme noto di indirizzi IP o CIDR, sarà possibile identificare i tentativi di comunicazione con un indirizzo IP anomalo, solitamente rappresentato da un indirizzo IP privato sulla rete locale in un caso d'uso di escalation di minacce laterali.
Errori di autorizzazione	Poiché l'utente malintenzionato tenta di aumentare il proprio livello di privilegi su una rete IoT, può utilizzare credenziali rubate che sono state revocate o scadute, provocando un incremento degli errori di autorizzazione.

Esfiltrazione o sorveglianza dei dati:

L'esfiltrazione dei dati avviene quando malware o un attore malintenzionato effettua un trasferimento di dati non autorizzato da un dispositivo o da un endpoint di rete. L'esfiltrazione dei dati serve normalmente a due scopi per l'autore dell'attacco: ottenere dati o proprietà intellettuale o condurre la ricognizione di una rete. Per sorveglianza si intende l'utilizzo di un codice dannoso per monitorare le attività degli utenti, allo scopo di rubare credenziali e raccogliere informazioni. I parametri riportate di seguito possono fornire un punto di partenza per indagare su entrambi i tipi di attacchi.

Parametro	Rationale
Pacchetti in uscita	Quando si verificano attacchi di esfiltrazione dei dati o sorveglianza, l'utente malintenzionato spesso rispecchia i dati inviati dal dispositivo piuttosto che semplicemente reindirizzarli, in modo da non essere identificato dal difensore quando non vede arrivare i dati previsti. Questo mirroring dei dati aumenterebbe significativamente la quantità totale di dati inviati dal dispositivo, con conseguente picco nei conteggi di pacchetti e byte in uscita.
Byte in uscita
IP di destinazione	Quando un utente malintenzionato utilizza un dispositivo per attacchi di esfiltrazione o sorveglianza, i dati devono essere inviati a un indirizzo IP anormale controllato dall'utente malintenzionato. Il monitoraggio dell'IP di destinazione può aiutare a identificare tale attacco.

Mining di criptovalute

Gli aggressori sfruttano la potenza di elaborazione dei dispositivi per estrarre criptovaluta. Il crypto-mining è un processo computazionale intensivo, che richiede in genere una comunicazione di rete con altri peer e pool mining.

Parametro	Rationale
IP di destinazione	La comunicazione di rete è in genere un requisito necessario per il cryptomining. Avere un elenco strettamente controllato di indirizzi IP con cui il dispositivo deve comunicare può aiutare a identificare le comunicazioni non intenzionali su un dispositivo, come nel caso del mining di criptovalute.
Utilizzo CPU Parametri personalizzati	Il mining delle criptovalute richiede un calcolo intensivo con conseguente utilizzo elevato della CPU del dispositivo. Se si sceglie di raccogliere e monitorare questo parametro, un utilizzo della CPU superiore al normale potrebbe essere un indicatore delle attività di crypto-mining.

Comando e controllo, malware e ransomware

Il malware o il ransomware limitano il controllo dell'utente sui dispositivi e limitano le funzionalità del dispositivo. Nel caso di un attacco ransomware, l'utente perderebbe l'accesso ai dati andrebbe a causa della crittografia utilizzata dal ransomware.

Parametro	Rationale
IP di destinazione	Gli attacchi di rete o remoti rappresentano una gran parte degli attacchi sui dispositivi IoT. Un elenco strettamente controllato di indirizzi IP con cui il dispositivo deve comunicare può aiutare a identificare IP di destinazione anomali derivanti da un attacco malware o ransomware.
Porte TCP in ascolto	Diversi attacchi malware prevedono l'avvio di un server di comando e controllo, che invia una serie di comandi da eseguire su un dispositivo. Questo tipo di server è fondamentale per un'operazione di malware o ransomware, e può essere identificato monitorando strettamente le porte TCP/UDP aperte e il conteggio delle porte.
Conteggio porte TCP in ascolto
Porte UDP in ascolto
Conteggio porte UDP in ascolto

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Rilevamento

Concetti