安全使用案例

本部分介绍威胁您设备机群的不同类型的攻击，以及可用于监控这些攻击的建议指标。我们建议使用指标异常作为调查安全问题的起始操作，但您不应仅仅根据指标异常来确定任何安全威胁。

要调查异常告警，请将告警详细信息与其它上下文信息（如设备属性、设备指标历史趋势、安全配置文件指标历史趋势、自定义指标和日志）相关联，以确定是否存在安全威胁。

云端使用案例

Device Defender 可以在 AWS IoT 云端监控以下用例。

知识产权盗窃：

知识产权盗窃涉及盗窃个人或公司的知识产权，包括商业秘密、硬件或软件。它经常发生在设备的制造阶段。知识产权盗窃可能以盗版、设备盗窃或设备证书盗窃的形式出现。由于存在允许意外访问 IoT 资源的策略，因此可能会发生基于云的知识产权盗窃。您应检视您的 IoT 策略并启用审计过于宽容的检查以确定过于宽容的策略。

指标	理由
源 IP	如果设备被盗，则其源 IP 地址将超出正常供应链中流通的设备的正常预期 IP 地址范围。
已收到消息的数量	由于攻击者可能会在基于云的 IP 窃取中使用设备，因此与从 AWS IoT 云发送至设备的消息计数或消息大小有关的指标可能会激增，这表明可能存在安全问题。
消息大小

基于 MQTT 的数据泄漏：

当恶意行为者从 IoT 部署或设备执行未经授权的数据传输时，就会发生数据泄露。攻击者通过 MQTT 对云端数据源发起此类攻击。

指标	理由
源 IP	如果设备被盗，则其源 IP 地址将超出标准供应链中流通设备的正常预期 IP 地址范围。
已收到消息的数量	由于攻击者可能会在基于 MQTT 的数据泄漏中使用设备，因此与从 AWS IoT 云发送至设备消息计数或消息大小有关的指标可能会激增，这表明可能存在安全问题。
消息大小

模拟：

模拟攻击是指攻击者装作已知或受信任的实体，试图访问 AWS IoT 云端服务、应用程序、数据或对 IoT 设备发布命令和加以控制。

指标	理由
授权失败	当攻击者使用被盗的身份装作受信任实体时，与连接相关的指标往往会激增，因为凭证可能不再有效，或者可能已经被信任设备使用。授权失败、连接尝试或断开连接中的异常行为通常指向潜在的模拟攻击情况。
连接尝试次数
断开连接

云基础设施滥用：

AWS IoT 云服务的滥用在发布或订阅消息量较大的主题或大型消息的主题时会发生。过度宽容的策略或设备漏洞攻击针对命令和控制，也可能导致云基础设施滥用。这次攻击的主要目标之一是增加您的AWS账单。您应检视您的 IoT 策略并启用审计过于宽容的检查以确定过于宽容的策略。

指标	理由
已收到消息的数量	这次攻击的目的是增加您的AWS账单，监控消息计数、收到的消息和消息大小等活动的指标将会激增。
已发送消息的数量
消息大小
源 IP	可能会出现可疑的源 IP 列表，攻击者将从中生成其消息收发量。

设备端使用案例

Device Defender 可以在您的设备端监控以下使用案例。

拒绝服务攻击：

拒绝服务 (DoS) 攻击旨在关闭设备或网络，使目标用户无法访问该设备或网络。DoS 攻击通过使目标流量泛滥，或发送请求以使系统启动速度减慢或导致系统失败来阻止访问。您的 IoT 设备可用于 DoS 攻击。

指标	理由
传出的数据包	DoS 攻击通常涉及来自给定设备较高的出站通信速率，而且根据 DoS 攻击的类型，输出数据包数和输出字节数可能会单独增加或同时增加。
传出的字节数
目的地 IP	如果您定义了设备应与之通信的 IP 地址 /CIDR 范围，则目标 IP 中的异常可能表示设备出现未经授权的 IP 通信。
侦听 TCP 端口	DoS 攻击通常需要更大的命令和控制基础设施，在此基础设施中，安装在设备上的恶意软件将接收有关攻击者和攻击时间的命令和信息。因此，为了接收此类信息，恶意软件通常会侦听一般不被设备使用的端口。
侦听 TCP 端口计数
侦听 UDP 端口
侦听 UDP 端口计数

横向威胁升级：

横向威胁升级通常从攻击者获得对网络中某个点（例如连网的设备）的访问权限开始。随后，攻击者会试图通过被盗凭证或漏洞利用等方法提高其权限级别或对其它设备的访问权限。

指标	理由
传出的数据包	在典型情况下，攻击者必须在局域网上运行扫描，以执行侦测并识别可用设备，从而缩小攻击目标的选择范围。这种扫描可能会导致字节激增和数据包输出计数。
传出的字节数
目的地 IP	如果设备将与一组已知的 IP 地址或 CIDR 通信，您可以确定它是否尝试与异常 IP 地址进行通信，在横向威胁升级的使用案例中，该 IP 地址通常是本地网络上的私有 IP 地址。
授权失败	当攻击者试图提高他们在 IoT 网络中的权限级别时，他们可能会使用被撤销或已过期的被盗凭证，从而导致更多的授权失败。

数据泄露或监控：

当恶意软件或恶意参与者从设备或网络端点进行未经授权的数据传输时，就会发生数据泄露。对于攻击者来说，数据泄露通常有两种目的：获取数据或知识产权，或者对网络进行侦测。监控意味着恶意代码被用于监控用户活动，其目的是窃取凭证和收集信息。以下指标可作为调查任一类型攻击的起点。

指标	理由
传出的数据包	当数据泄露或监控攻击发生时，攻击者通常会对从设备发送的数据进行镜像处理，而不是简单地重新导向数据，当防御程序看不到预期数据时，这些操作将被防御程序识别。此类镜像数据会显著增加从设备发送的数据总量，从而导致输出数据包和字节计数激增。
传出的字节数
目的地 IP	当攻击者使用设备进行数据泄露或监控攻击时，必须将数据发送到攻击者控制的异常 IP 地址。监控目标 IP 有助于识别此类攻击。

加密数字货币挖掘

攻击者利用设备的处理能力挖掘加密数字货币。加密挖掘是一个计算密集型过程，通常需要与其它采矿同行和池进行网络通信。

指标	理由
目的地 IP	加密挖掘过程中通常需要有网络通信。拥有一个严格控制的、设备应与之通信的 IP 地址列表可以帮助识别设备上的意外通信，如加密数字货币挖掘。
CPU 使用率自定义指标	加密数字货币挖掘需要依靠密集的计算，这会导致设备 CPU 出现高利用率。如果您选择收集和监控此指标，则高于正常的 CPU 使用率可能是加密挖掘活动的迹象。

命令和控制、恶意软件和勒索软件

恶意软件或勒索软件会限制您对设备的控制，并限制您的设备功能。在出现勒索软件攻击的情况下，数据访问将会因勒索软件使用的加密手段而丢失。

指标	理由
目的地 IP	网络或远程攻击占 IoT 设备攻击的很大一部分。严格控制的、设备应与之通信的 IP 地址列表有助于识别恶意软件或勒索软件攻击导致的异常目标 IP。
侦听 TCP 端口	多种恶意软件攻击涉及启动命令和控制服务器，该服务器将发送命令以在设备上执行。此类服务器对恶意软件或勒索软件操作至关重要，可通过严密监控打开的 TCP/UDP 端口和端口计数来加以识别。
侦听 TCP 端口计数
侦听 UDP 端口
侦听 UDP 端口计数