安全使用案例
本節描述威脅裝置機群的不同類型攻擊,以及可用來監控這些攻擊的建議指標。我們建議您使用指標異常作為調查安全問題的起點,但是您不應僅根據指標異常判斷任何安全威脅。
若要調查異常警示,請將警示詳細資訊與其他內容資訊 (例如裝置屬性、裝置指標歷史趨勢、安全設定檔指標歷史趨勢、自訂指標以及日誌) 產生關聯,以判斷是否存在安全威脅。
雲端使用案例
Device Defender 可以在 AWS IoT 雲端監控下列使用案例。
- 智慧財產權盜竊:
智慧財產權盜竊涉及竊取個人或公司的智慧財產權,包括交易秘密、硬體或軟體。它通常發生在裝置的製造階段。智慧財產權盜竊可以是盜版、裝置盜竊或裝置憑證盜竊的形式。由於存在允許意外存取 IoT 資源的政策,因此雲端型智慧財產盜竊可能會發生。您應該檢閱 IoT 政策,然後開啟稽核過度寬鬆檢查來識別過度寬鬆的政策。
- MQTT 型資料外洩:
當惡意行為者從 IoT 部署或裝置實施未經授權的資料傳輸時,就會發生資料外洩。攻擊者透過 MQTT 針對雲端資料來源啟動這種類型的攻擊。
- 模擬:
模擬攻擊是指攻擊者假裝成已知或信任的實體,試圖存取 AWS IoT 雲端型服務、應用程式、資料,或參與 IoT 裝置的命令和控制。
- 雲端基礎設施濫用:
在發佈或訂閱具有高訊息量或具有大型訊息的主題時,會發生 AWS IoT 雲端服務的濫用。用於命令和控制的過度寬鬆政策或裝置漏洞利用,也可能導致雲端基礎設施濫用。此攻擊的其中一個主要目標是增加您的 AWS 帳單。您應該檢閱 IoT 政策,然後開啟稽核過度寬鬆檢查來識別過度寬鬆的政策。
裝置端使用案例
Device Defender 可以在您的裝置端監控下列使用案例。
- 阻斷服務攻擊:
阻斷服務 (DoS) 攻擊旨在關閉裝置或網路,使其預期的使用者無法存取裝置或網路。DoS 攻擊會讓目標充滿流量,或傳送啟動系統減速或導致系統失敗的請求來封鎖存取。您的 IoT 裝置可用於 DoS 攻擊。
指標
理由
封包輸出 DoS 攻擊通常涉及來自指定裝置的傳出通訊速率較高,而且根據 DoS 攻擊的類型,封包輸出數和位元組輸出數的任一個或兩者可能會增加。
位元組輸出 目標 IP 如果您定義裝置應與之通訊的 IP 地址/CIDR 範圍,則目標 IP 中的異常可能指出來自您裝置的 IP 通訊未獲授權。
DoS 攻擊通常需要更大的命令和控制基礎設施,其中安裝在您裝置上的惡意程式碼會接收有關攻擊者和攻擊時間的命令和資訊。因此,為了接收這類資訊,惡意軟體通常會在您裝置正常情況下不會使用的連接埠上偵聽。
偵聽 TCP 連接埠計數 偵聽 UDP 連接埠計數 - 橫向威脅升級:
-
橫向威脅升級通常是從攻擊者取得網路某個點的存取權開始,例如連線的裝置。然後,攻擊者會嘗試透過遭竊的憑證或漏洞利用之類方法,提高他們的權限等級或存取其他裝置的權限。
- 資料外洩或監控:
-
當惡意軟體或惡意行為者從裝置或網路端點實施未經授權的資料傳輸時,就會發生資料外洩。資料外洩通常為攻擊者提供兩個目的,即取得資料或知慧財產權,或進行網絡偵察。偵察表示惡意程式碼用來監控使用者活動,目的為偷取憑證和收集資訊。以下指標可提供調查任一類型攻擊的起點。
- 加密貨幣挖掘
-
攻擊者運用裝置的處理能力來挖掘加密貨幣。加密貨幣挖掘是一種運算密集程序,通常需要與其他採礦對等項目和集區進行網絡通信。
- 命令與控制、惡意軟體與勒索軟體
-
惡意軟體或勒索軟體會限制您對裝置的控制,並限制您的裝置功能。若發生勒索軟體攻擊,資料存取將會由於勒索軟體使用的加密而失去。
指標
理由
目標 IP 網路或遠端攻擊代表 IoT 裝置上的大部分攻擊。嚴格控制裝置應與其通訊的 IP 位地清單,有助於識別惡意軟體或勒索軟體攻擊所產生的異常目的地 IP 地址。
數個惡意軟體攻擊涉及啟動命令和控制伺服器,此伺服器會傳送要在裝置上執行的命令。這種類型的伺服器對於惡意軟體或勒索軟體作業至關重要,而且可透過嚴密監控開啟的 TCP/UDP 連接埠和連接埠計數來識別。
偵聽 TCP 連接埠計數 偵聽 UDP 連接埠計數