安全使用案例

本節描述威脅裝置機群的不同類型攻擊，以及可用來監控這些攻擊的建議指標。我們建議您使用指標異常作為調查安全問題的起點，但是您不應僅根據指標異常判斷任何安全威脅。

若要調查異常警示，請將警示詳細資訊與其他內容資訊 (例如裝置屬性、裝置指標歷史趨勢、安全設定檔指標歷史趨勢、自訂指標以及日誌) 產生關聯，以判斷是否存在安全威脅。

雲端使用案例

Device Defender 可以在 AWS IoT 雲端監控下列使用案例。

智慧財產權盜竊：

智慧財產權盜竊涉及竊取個人或公司的智慧財產權，包括交易秘密、硬體或軟體。它通常發生在裝置的製造階段。智慧財產權盜竊可以是盜版、裝置盜竊或裝置憑證盜竊的形式。由於存在允許意外存取 IoT 資源的政策，因此雲端型智慧財產盜竊可能會發生。您應該檢閱 IoT 政策，然後開啟稽核過度寬鬆檢查來識別過度寬鬆的政策。

指標	理由
來源 IP	如果裝置遭竊，則其來源 IP 地址會落在正常供應鏈中流通裝置的通常預期 IP 地址範圍外。
接收的訊息數量	由於攻擊者可能會在雲端型 IP 盜竊中使用裝置，因此與從 AWS IoT 雲端傳送至裝置的訊息計數或訊息大小相關的指標可能會爆增，表示可能發生安全問題。
訊息大小

MQTT 型資料外洩：

當惡意行為者從 IoT 部署或裝置實施未經授權的資料傳輸時，就會發生資料外洩。攻擊者透過 MQTT 針對雲端資料來源啟動這種類型的攻擊。

指標	理由
來源 IP	如果裝置遭竊，則其來源 IP 地址會落在標準供應鏈中流通裝置的通常預期 IP 地址範圍外。
接收的訊息數量	由於攻擊者可能會在 MQTT 型資料外洩中使用裝置，因此與從 AWS IoT 雲端傳送至裝置的訊息計數或訊息大小相關的指標可能會爆增，表示可能發生安全問題。
訊息大小

模擬：

模擬攻擊是指攻擊者假裝成已知或信任的實體，試圖存取 AWS IoT 雲端型服務、應用程式、資料，或參與 IoT 裝置的命令和控制。

指標	理由
授權失敗	當攻擊者使用遭竊的身分假裝為信任的實體時，連線相關指標通常會爆增，因為憑證可能不再有效或已由信任的裝置使用。授權失敗、連線嘗試或中斷連線中的異常行為會指向潛在的模擬案例。
連線嘗試
中斷連線

雲端基礎設施濫用：

在發佈或訂閱具有高訊息量或具有大型訊息的主題時，會發生 AWS IoT 雲端服務的濫用。用於命令和控制的過度寬鬆政策或裝置漏洞利用，也可能導致雲端基礎設施濫用。此攻擊的其中一個主要目標是增加您的 AWS 帳單。您應該檢閱 IoT 政策，然後開啟稽核過度寬鬆檢查來識別過度寬鬆的政策。

指標	理由
接收的訊息數量	此攻擊的目標是增加您的 AWS 帳單。監控訊息計數、接收的訊息和訊息大小之類活動的指標將會爆增。
傳送的訊息數量
訊息大小
來源 IP	可能會出現可疑的來源 IP 清單，攻擊者從中產生其簡訊量。

裝置端使用案例

Device Defender 可以在您的裝置端監控下列使用案例。

阻斷服務攻擊：

阻斷服務 (DoS) 攻擊旨在關閉裝置或網路，使其預期的使用者無法存取裝置或網路。DoS 攻擊會讓目標充滿流量，或傳送啟動系統減速或導致系統失敗的請求來封鎖存取。您的 IoT 裝置可用於 DoS 攻擊。

指標	理由
封包輸出	DoS 攻擊通常涉及來自指定裝置的傳出通訊速率較高，而且根據 DoS 攻擊的類型，封包輸出數和位元組輸出數的任一個或兩者可能會增加。
位元組輸出
目標 IP	如果您定義裝置應與之通訊的 IP 地址/CIDR 範圍，則目標 IP 中的異常可能指出來自您裝置的 IP 通訊未獲授權。
偵聽 TCP 連接埠	DoS 攻擊通常需要更大的命令和控制基礎設施，其中安裝在您裝置上的惡意程式碼會接收有關攻擊者和攻擊時間的命令和資訊。因此，為了接收這類資訊，惡意軟體通常會在您裝置正常情況下不會使用的連接埠上偵聽。
偵聽 TCP 連接埠計數
偵聽 UDP 連接埠
偵聽 UDP 連接埠計數

橫向威脅升級：

橫向威脅升級通常是從攻擊者取得網路某個點的存取權開始，例如連線的裝置。然後，攻擊者會嘗試透過遭竊的憑證或漏洞利用之類方法，提高他們的權限等級或存取其他裝置的權限。

指標	理由
封包輸出	在一般情況下，攻擊者必須在區域網路上執行掃描，才能執行偵察並識別可用的裝置，以縮小其攻擊目標選擇範圍。這種掃描可能會導致位元組和封包輸出計數爆增。
位元組輸出
目標 IP	如果裝置應該與一組已知的 IP 地址或 CIDR 進行通訊，您可以識別該裝置是否嘗試與異常 IP 地址進行通訊，這通常是橫向威脅升級使用案例中本機網路上的私有 IP 地址。
授權失敗	當攻擊者嘗試跨 IoT 網路增加其權限層級時，他們可能會使用已撤銷或已過期的被偷憑證，這將導致授權失敗增加。

資料外洩或監控：

當惡意軟體或惡意行為者從裝置或網路端點實施未經授權的資料傳輸時，就會發生資料外洩。資料外洩通常為攻擊者提供兩個目的，即取得資料或知慧財產權，或進行網絡偵察。偵察表示惡意程式碼用來監控使用者活動，目的為偷取憑證和收集資訊。以下指標可提供調查任一類型攻擊的起點。

指標	理由
封包輸出	當資料外洩或監控攻擊發生時，攻擊者通常會鏡射從裝置傳送的資料，而不是簡單地重新導向資料，如此在防禦者看不到預期的資料進入時，就會識別這些資料。這類鏡射資料會大幅增加從裝置傳送的資料總量，導致封包和位元組輸出計數爆增。
位元組輸出
目標 IP	當攻擊者將裝置用於資料外洩或監控攻擊時，資料必須傳送至攻擊者所控制的異常 IP 地址。監控目的地 IP 有助於識別此類攻擊。

加密貨幣挖掘

攻擊者運用裝置的處理能力來挖掘加密貨幣。加密貨幣挖掘是一種運算密集程序，通常需要與其他採礦對等項目和集區進行網絡通信。

指標	理由
目標 IP	網路通信通常是加密貨幣挖掘期間的一個需求。嚴格控制裝置應該與其通訊的 IP 位地清單，可協助識別裝置上的意外通訊，例如加密貨幣挖掘。
CPU 用量自訂指標	加密貨幣挖掘需要密集的計算，導致裝置 CPU 的高使用率。如果您選擇收集並監控此指標，則高於一般 CPU 使用率可能是加密貨幣挖掘活動的指標。

命令與控制、惡意軟體與勒索軟體

惡意軟體或勒索軟體會限制您對裝置的控制，並限制您的裝置功能。若發生勒索軟體攻擊，資料存取將會由於勒索軟體使用的加密而失去。

指標	理由
目標 IP	網路或遠端攻擊代表 IoT 裝置上的大部分攻擊。嚴格控制裝置應與其通訊的 IP 位地清單，有助於識別惡意軟體或勒索軟體攻擊所產生的異常目的地 IP 地址。
偵聽 TCP 連接埠	數個惡意軟體攻擊涉及啟動命令和控制伺服器，此伺服器會傳送要在裝置上執行的命令。這種類型的伺服器對於惡意軟體或勒索軟體作業至關重要，而且可透過嚴密監控開啟的 TCP/UDP 連接埠和連接埠計數來識別。
偵聽 TCP 連接埠計數
偵聽 UDP 連接埠
偵聽 UDP 連接埠計數