보안 사용 사례
이 단원에서는 디바이스 집합을 위협하는 다양한 유형의 공격과 이러한 공격을 모니터링하는 데 사용할 수 있는 권장 지표에 대해 설명합니다. 보안 문제를 조사하기 위한 시작점으로 지표 이상(metric anomaly)을 사용하는 것이 좋지만 지표 이상만을 기준으로 보안 위협을 판단해서는 안 됩니다.
이상 경보를 조사하려면 경보 세부 정보를 디바이스 특성, 디바이스 지표 기록 추세, 보안 프로파일 지표 기록 추세, 사용자 지정 지표 및 로그 등의 다른 컨텍스트 정보와 연관시켜 보안 위협이 있는지 확인합니다.
클라우드 측 사용 사례
Device Defender는 AWS IoT 클라우드 측에서 다음 사용 사례를 모니터링할 수 있습니다.
- 지적 재산권 도용:
지적 재산권 도용에는 영업 비밀, 하드웨어 또는 소프트웨어를 포함한 개인 또는 회사의 지적 재산권 도용이 포함됩니다. 이것은 종종 디바이스의 제조 단계에서 발생합니다. 지적 재산권 도용은 불법 복제, 디바이스 도용 또는 디바이스 인증서 도용의 형태로 이루어질 수 있습니다. 클라우드 기반 지적 재산권 도용은 IoT 리소스에 의도하지 않은 액세스를 허용하는 정책이 있기 때문에 발생할 수 있습니다. IoT 정책을 검토하고 과도하게 허용적인 검사 감사를 사용하여 지나치게 허용적인 정책을 식별할 수 있습니다.
- MQTT 기반 데이터 유출:
데이터 유출은 악의적인 공격자가 IoT 배포 또는 디바이스에서 무단 데이터 전송을 수행할 때 발생합니다. 공격자는 클라우드 측 데이터 소스에 대해 MQTT를 통해 이러한 유형의 공격을 시작합니다.
- 사칭:
사칭 공격은 공격자가 AWS IoT 클라우드 측 서비스, 애플리케이션, 데이터에 액세스하거나 IoT 디바이스의 명령 및 제어에 참여하기 위해 알려진 엔터티 또는 신뢰할 수 있는 엔터티로 가장하여 공격하는 것입니다.
- 클라우드 인프라 남용:
AWS IoT 클라우드 서비스 남용은 메시지 볼륨이 높거나 큰 크기의 메시지로 주제를 게시하거나 구독할 때 발생합니다. 명령 및 제어에 대한 과도하게 허용된 정책 또는 디바이스 취약성 악용은 클라우드 인프라 남용을 유발할 수도 있습니다. 이 공격의 주요 목표 중 하나는 AWS 청구서를 증가시키는 것입니다. IoT 정책을 검토하고 과도하게 허용적인 검사 감사를 사용하여 지나치게 허용적인 정책을 식별할 수 있습니다.
디바이스 측 사용 사례
Device Defender는 디바이스 측에서 다음 사용 사례를 모니터링할 수 있습니다.
- 서비스 거부 공격:
DoS(서비스 거부) 공격은 디바이스 또는 네트워크를 종료하여 의도한 사용자가 디바이스 또는 네트워크에 액세스할 수 없도록 하는 것을 목표로 합니다. DoS 공격은 대상에 트래픽이 넘치거나 시스템 속도가 느려지거나 시스템 실패를 유발하는 요청을 전송하여 액세스를 차단합니다. IoT 디바이스는 DoS 공격에 사용될 수 있습니다.
지표
이론적 근거
전송된 패킷 DoS 공격은 일반적으로 주어진 디바이스에서 더 높은 아웃바운드 통신율을 포함하며 DoS 공격 유형에 따라 전송된 패킷 및 바이트 수가 모두 증가할 수 있습니다.
전송된 바이트 목적지 IP 디바이스가 통신해야 하는 IP 주소/CIDR 범위를 정의하면 대상 IP의 이상 현상이 디바이스에서 인증되지 않은 IP 통신을 나타낼 수 있습니다.
DoS 공격은 일반적으로 디바이스에 설치된 맬웨어가 공격 대상 및 공격 시기에 대한 명령과 정보를 수신하는 더 큰 명령 및 제어 인프라가 필요합니다. 따라서 이러한 정보를 수신하기 위해 맬웨어는 디바이스에서 일반적으로 사용하지 않는 포트에서 수신 대기합니다.
수신 TCP 포트 수 수신 UDP 포트 수 - 측면 위협 에스컬레이션:
-
측면 위협 에스컬레이션은 일반적으로 공격자가 네트워크의 한 지점(예: 연결된 디바이스)에 액세스하는 것으로 시작됩니다. 그런 다음 공격자는 도용된 자격 증명 또는 취약점 악용 등의 방법을 통해 자신의 권한 수준 또는 다른 디바이스에 대한 액세스를 높이려고 시도합니다.
지표
이론적 근거
전송된 패킷 일반적인 상황에서 공격자는 정찰(reconnaissance)을 수행하고 공격 대상 선택 범위를 좁힐 수 있도록 사용 가능한 디바이스를 식별하기 위해 근거리 통신망에서 스캔을 실행해야 합니다. 이러한 종류의 스캔으로 인해 전송된 바이트 및 패킷 수가 급증할 수 있습니다.
전송된 바이트 목적지 IP 디바이스가 알려진 IP 주소 또는 CIDR 집합과 통신해야 하는 경우 비정상적인 IP 주소와 통신하려고 하는지 식별할 수 있습니다. 이 주소는 측면 위협 에스컬레이션 사용 사례에서 로컬 네트워크의 프라이빗 IP 주소일 수 있습니다.
권한 부여 실패 공격자는 IoT 네트워크에서 권한 수준을 높이려고 할 때 해지되었거나 만료된 도난된 자격 증명을 사용하여 권한 부여 실패를 증가시킬 수 있습니다.
- 데이터 유출 또는 감시:
-
데이터 유출은 멀웨어 또는 악의적인 공격자가 디바이스 또는 네트워크 엔드포인트에서 무단 데이터 전송을 수행할 때 발생합니다. 데이터 유출은 일반적으로 공격자가 데이터 또는 지적 재산권을 얻거나 네트워크의 정찰(reconnaissance)을 수행하기 위한 두 가지 목적을 제공합니다. 정찰이란 자격 증명을 도용하고 정보를 수집하기 위해 사용자 활동을 모니터링하는 데 악성 코드가 사용됨을 의미합니다. 아래 지표는 두 유형의 공격을 조사하는 시작 지점을 제공할 수 있습니다.
지표
이론적 근거
전송된 패킷 데이터 유출이나 감시 공격이 발생하면 공격자는 데이터를 단순히 리디렉션하지 않고 디바이스에서 전송되는 데이터를 미러링하는 경우가 많으며, 이 데이터는 의도된 데이터가 들어오는 것을 보지 못할 때 디펜더에 의해 식별됩니다. 이러한 미러링된 데이터는 디바이스에서 전송되는 총 데이터 양을 크게 증가시켜 전송되는 패킷 및 바이트 수가 급증합니다.
전송된 바이트 목적지 IP 공격자가 데이터 유출 또는 감시 공격에 디바이스를 사용하는 경우 공격자가 제어하는 비정상적인 IP 주소로 데이터를 전송해야 합니다. 대상 IP를 모니터링하면 이러한 공격을 식별하는 데 도움이 될 수 있습니다.
- 암호화폐 채굴
-
공격자는 암호화폐 채굴을 위해 디바이스의 처리 능력을 활용합니다. 암호화폐 채굴은 컴퓨팅 집약적인 프로세스이며 일반적으로 다른 채굴 피어 및 풀과의 네트워크 통신이 필요합니다.
- 명령 및 제어, 멀웨어 및 랜섬웨어
-
맬웨어 또는 랜섬웨어는 디바이스에 대한 제어를 제한하고 디바이스 기능을 제한합니다. 랜섬웨어 공격의 경우 랜섬웨어가 사용하는 암호화로 인해 데이터 액세스가 손실됩니다.
지표
이론적 근거
목적지 IP 네트워크 또는 원격 공격은 IoT 디바이스에 대한 공격의 상당 부분을 나타냅니다. 디바이스와 통신해야 하는 IP 주소 목록을 엄격하게 제어하면 멀웨어 또는 랜섬웨어 공격으로 인한 비정상적인 대상 IP를 식별할 수 있습니다.
여러 맬웨어 공격에는 디바이스에서 실행할 명령을 전송하는 명령 및 제어 서버를 시작하는 작업이 포함됩니다. 이러한 유형의 서버는 맬웨어 또는 랜섬웨어 작업에 매우 중요하며 열린 TCP/UDP 포트와 포트 수를 면밀히 모니터링하여 식별할 수 있습니다.
수신 TCP 포트 수 수신 UDP 포트 수
