Casos de uso do lado da nuvem Casos de uso do lado do dispositivo

Casos de uso de segurança

Esta seção descreve os diferentes tipos de ataques que ameaçam sua frota de dispositivos e as métricas recomendadas que podem ser utilizadas para monitorar esses ataques. Embora recomendemos o uso de métricas de anomalias como ponto de partida para investigar problemas de segurança, você não deve basear a determinação de todas as ameaças à segurança apenas nelas.

Para investigar um alarme de anomalia, correlacione os detalhes do alarme com outras informações contextuais, como atributos do dispositivo, tendências de histórico da métrica do dispositivo, tendências de histórico da métrica do Perfil de segurança, métricas personalizadas e registros, para determinar se há uma ameaça à segurança.

Casos de uso do lado da nuvem

O Device Defender pode monitorar os seguintes casos de uso no lado da nuvem da AWS IoT.

Roubo de propriedade intelectual:

Envolve o roubo de propriedades intelectuais de uma pessoa ou empresa, incluindo segredos comerciais, hardware ou software. Isso geralmente ocorre durante a fase de fabricação dos dispositivos. O roubo de propriedade intelectual pode ocorrer na forma de pirataria, roubo de dispositivos ou roubo de certificados de dispositivos. O roubo de propriedade intelectual na nuvem pode ocorrer como resultado da presença de políticas que permitam o acesso não intencional aos recursos de IoT. Você deve revisar suas políticas de IoT e ativar as Verificações de auditoria para identificar políticas excessivamente permissivas.

Métrica	Lógica
IP de origem	Se o dispositivo for roubado, o endereço IP de origem dele ficará fora do intervalo de endereços IP normalmente esperado para dispositivos que circulam em uma cadeia de suprimentos normal.
Número de mensagens recebidas	Como um invasor pode usar um dispositivo no caso de um roubo de IP na nuvem, métricas relacionadas à contagem ou tamanho das mensagens enviadas para o dispositivo pela nuvem da AWS IoT podem aumentar, indicando um possível problema de segurança.
Tamanho da mensagem

Exfiltração de dados baseada em MQTT:

A exfiltração de dados ocorre quando um agente mal-intencionado realiza uma transferência de dados não autorizada de uma implantação da IoT ou de um dispositivo. O invasor lança esse tipo de ataque por meio de MQTT, contra fontes de dados do lado da nuvem.

Métrica	Lógica
IP de origem	Se um dispositivo for roubado, o endereço IP de origem dele ficará fora do intervalo de endereços IP normalmente esperado para dispositivos que circulam em uma cadeia de suprimentos padrão.
Número de mensagens recebidas	Como um invasor pode usar um dispositivo no caso de uma exfiltração de dados baseada em MQTT, métricas relacionadas à contagem ou tamanho das mensagens enviadas para o dispositivo pela nuvem da AWS IoT podem aumentar, indicando um possível problema de segurança.
Tamanho da mensagem

Personificação:

Um ataque de personificação ocorre quando os invasores se apresentam como entidades conhecidas ou confiáveis em um esforço para acessar serviços, aplicativos, dados de AWS IoT do lado da nuvem ou assumir o comando e o controle de dispositivos de IoT.

Métrica	Lógica
Falhas de autorização	Quando os invasores se apresentam como entidades confiáveis usando identidades roubadas, métricas relacionadas à conectividade geralmente aumentam, já que as credenciais podem deixar de válidas ou podem já estar em uso com um dispositivo confiável. Comportamentos anômalos em falhas de autorização, tentativas de conexão ou desconexões apontam para um possível cenário de personificação.
Tentativas de conexão
Desconexões

Abuso da infraestrutura de nuvem:

O abuso dos serviços de AWS IoT na nuvem ocorre ao publicar ou assinar tópicos com um alto volume de mensagens ou com mensagens em tamanhos grandes. Políticas excessivamente permissivas ou exploração de vulnerabilidades de comando e controle nos dispositivos também podem causar o abuso da infraestrutura de nuvem. Um dos principais objetivos desse ataque é aumentar sua fatura da AWS. Você deve revisar suas políticas de IoT e ativar as Verificações de auditoria para identificar políticas excessivamente permissivas.

Métrica	Lógica
Número de mensagens recebidas	O objetivo desse ataque é aumentar sua fatura da AWS. Métricas que monitoram atividades, como contagem de mensagens, mensagens recebidas e tamanho das mensagens, aumentarão.
Número de mensagens enviadas
Tamanho da mensagem
IP de origem	Podem aparecer listas de IP de origem suspeitas, a partir das quais os invasores geram o volume de mensagens deles.

Casos de uso do lado do dispositivo

O Device Defender pode monitorar os seguintes casos de uso no lado do dispositivo.

Ataque de negação de serviço:

Um ataque de negação de serviço (DoS) tem como objetivo desligar um dispositivo ou rede, tornando-os inacessíveis aos usuários que deveriam acessá-los. Os ataques de DoS bloqueiam o acesso inundando o alvo com tráfego ou enviando solicitações que iniciam um sistema com a lentidão ou fazem com que ele falhe. Seus dispositivos de IoT podem ser usados em ataques DoS.

Métrica	Lógica
Saída de pacotes	Os ataques de DoS geralmente implicam taxas mais altas de comunicação de saída de um determinado dispositivo e, dependendo do tipo de ataque de DoS, pode haver um aumento tanto no número de pacotes quanto no de bytes de saída, ou em ambos.
Bytes de saída
IP de destino	Se você definir os endereços IP/intervalos de CIDR com os quais seus dispositivos devem se comunicar, uma anomalia no IP de destino pode indicar uma comunicação IP não autorizada de seus dispositivos.
Portas TCP de escuta	Um ataque de DoS geralmente requer uma infraestrutura maior de comando e controle, onde o malware instalado em seus dispositivos recebe comandos e informações sobre quem e quando atacar. Portanto, para receber essas informações, o malware costuma fazer a escuta das portas que normalmente não são usadas por seus dispositivos.
Contagem de porta TCP de escuta
Portas UDP de escuta
Contagem de porta UDP de escuta

Movimento lateral de ameaças:

Um movimento lateral de ameaças geralmente começa com o acesso de um invasor a um ponto de uma rede, por exemplo, um dispositivo conectado. O invasor então tenta aumentar o nível de privilégios dele ou o acesso a outros dispositivos, por meio de métodos como credenciais roubadas ou explorações de vulnerabilidade.

Métrica	Lógica
Saída de pacotes	Em situações típicas, o invasor teria que executar uma varredura na rede local para realizar o reconhecimento e identificar os dispositivos disponíveis, para restringir a seleção de um alvo para o ataque. Esse tipo de varredura pode causa um pico de bytes e na contagem de pacotes de saídas.
Bytes de saída
IP de destino	Se você espera que um dispositivo se comunique com um conjunto conhecido de endereços IP ou CIDRs, é possível identificar se ele tentará se comunicar com um endereço IP anormal, que geralmente seria um endereço IP privado na rede local, no caso de uso de um movimento lateral de ameaças.
Falhas de autorização	À medida que o invasor tenta aumentar o nível de privilégios dele em uma rede de IoT, existe a possibilidade de usar credenciais roubadas que foram revogadas ou expiraram, o que causaria um aumento nas falhas de autorização.

Exfiltração ou vigilância de dados:

A exfiltração de dados ocorre quando um malware ou agente mal-intencionado realiza uma transferência de dados não autorizada de um endpoint de um dispositivo ou uma rede. A exfiltração de dados normalmente serve a dois propósitos para o invasor: obter dados ou propriedade intelectual ou realizar o reconhecimento de uma rede. Nesse contexto, a vigilância aponta que códigos maliciosos são usados para monitorar as atividades do usuário com o objetivo de roubar credenciais e coletar informações. As métricas abaixo podem fornecer um ponto de partida para investigar qualquer tipo desses ataques.

Métrica	Lógica
Saída de pacotes	Quando ocorrem ataques de exfiltração ou vigilância de dados, o invasor geralmente espelha os dados enviados do dispositivo, em vez de simplesmente redirecioná-los, o que seria identificado pelo agente de defesa, quando não identificasse a chegada dos dados pretendidos. Esses dados espelhados aumentam significativamente a quantidade total de dados enviados do dispositivo, resultando em um aumento na contagem de pacotes e bytes de saída.
Bytes de saída
IP de destino	Quando um invasor usa um dispositivo em ataques de exfiltração ou vigilância de dados, os dados precisam ser enviados para um endereço IP anormal controlado pelo invasor. O monitoramento do IP de destino pode ajudar a identificar esse tipo de ataque.

Mineração de criptomoedas

Os invasores aproveitam a potência de processamento dos dispositivos para minerar criptomoedas. A mineração criptográfica é um processo computacionalmente intensivo, que normalmente exige comunicação de rede com outros pares e pools de mineração.

Métrica	Lógica
IP de destino	A comunicação de rede geralmente é uma exigência em uma mineração de criptomoedas. Ter uma lista rigorosamente controlada de endereços IP com os quais o dispositivo deve se comunicar pode ajudar a identificar comunicações não intencionais em um dispositivo, como as de mineração de criptomoedas.
Métrica personalizada de uso da CPU	A mineração de criptomoedas exige computação intensiva, resultando em uma alta taxa de utilização da CPU do dispositivo. Se você optar por coletar e monitorar essa métrica, um uso da CPU acima do normal pode ser um indicador de atividades envolvendo a mineração de criptomoedas.

Comando e controle, malware e ransomware

O malware ou ransomware restringe seu controle sobre os dispositivos e limita a funcionalidade deles. No caso de um ataque de ransomware, o acesso aos dados seria perdido devido à criptografia usada pelo ransomware.

Métrica	Lógica
IP de destino	Os ataques remotos ou de rede representam uma grande parte dos ataques a dispositivos de IoT. Uma lista rigorosamente controlada de endereços IP com os quais o dispositivo deve se comunicar pode ajudar a identificar IPs de destino anormais resultantes de um ataque de malware ou ransomware.
Portas TCP de escuta	Vários ataques de malware envolvem a inicialização de um servidor de comando e controle que envia comandos para execução em um dispositivo. Esse tipo de servidor é essencial para a operação de um malware ou ransomware, que pode ser identificado com o monitoramento rigoroso das portas TCP/UDP abertas e a contagem de portas.
Contagem de porta TCP de escuta
Portas UDP de escuta
Contagem de porta UDP de escuta

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Detectar

Conceitos