AWS IoT Device Defender – Häufig gestellte Fragen

AWS IoT Device Defender ist ein vollständig verwalteter IoT-Sicherheitsservice, mit dem Sie Ihre IoT-Konfigurationen fortlaufend sichern können. Mit AWS IoT Device Defender erhalten Sie Tools, um Sicherheitsprobleme zu erkennen und darauf zu reagieren. AWS IoT Device Defender überprüft Ihre Flotte, um sicherzustellen, dass diese die bewährten Methoden für Sicherheit einhält, überwacht kontinuierlich Ihre Geräteflotte auf ungewöhnliches Geräteverhalten, sendet bei Sicherheitsproblemen eine Alarmmeldung und bietet integrierte Maßnahmen, um diese Probleme zu beheben.

Überprüfung AWS IoT Device Defender gleicht die mit Ihren Geräten verknüpften Ressourcen (wie X.509-Zertifikate, IoT-Richtlinien und Client-IDs) mit bewährten Methoden für AWS IoT-Sicherheit ab (z. B. dem Prinzip der geringsten Rechte oder eindeutige Identität pro Gerät). AWS IoT Device Defender meldet Konfigurationen, die von den bewährten Methoden für Sicherheit abweichen, wie mehrere Geräte mit derselben Identität oder Richtlinien mit zu weitreichenden Berechtigungen, die es einem Gerät ermöglichen, Daten für viele andere Geräte zu lesen und zu aktualisieren.

Rules Detect AWS IoT Device Defender erkennt Anomalien im Geräteverhalten, die auf ein beeinträchtigtes Gerät hindeuten, indem wichtige Sicherheitsmetriken aus dem Gerät und AWS IoT Core (wie die Anzahl von Listening-TCP-Ports in den Geräten oder Autorisierungsfehlerzähler) kontinuierlich überwacht werden. Sie können ein normales Geräteverhalten für eine Gruppe von Geräten durch das Einrichten der Verhalten (Regeln) für diese Metriken festlegen. AWS IoT Device Defender überwacht und bewertet jeden für diese Metriken gemeldeten Datenpunkt anhand benutzerdefinierter Verhalten (Regeln) und sendet beim Erkennen von Anomalien eine Alarmmeldung.

ML Detect AWS IoT Device Defender richtet automatisch für Sie Geräteverhalten mit Machine Learning (ML)-Modellen ein und verwendet dafür Gerätedaten aus sechs Cloud-seitigen Metriken (zum Beispiel Anzahl der Autorisierungsfehlschläge, Anzahl der gesendeten Nachrichten) und sieben Metriken von Geräteseite (z. B. ausgehende Pakete, Anzahl empfangender TCP Ports), die aus den vergangenen 14 Tagen stammen. Dann trainiert es die Modelle täglich neu (bis es über ausreichend Daten für Training des Modells verfügt), um die erwarteten Geräteverhaltensweisen basierend auf den aktuellen vergangenen 14 Tagen zu aktualisieren, nachdem die ersten Modelle erstellt wurden. AWS IoT Device Defender überwacht und identifiziert ungewöhnliche Datenpunkte für diese Metriken mit ML-Modellen und löst einen Alarm aus, wenn eine Anomalie erkannt wird. Im Vergleich zu Rules Detect sind die Hauptvorteile der Funktion: sie erkennt automatisch operative und Sicherheitsanomalien in Flottengeräten, ohne dass Sie normale Geräteaktivitätsschwellenwerte definieren müssen. Sie aktualisiert dann erwartete Geräteverhaltensweisen auf dynamische Weise basierend auf neuen Datentrends von Ihren Geräten, damit es zu weniger falsch positiven Ergebnissen kommt.

Alarmauslösung AWS IoT Device Defender sendet Alarmmeldungen an die AWS IoT Console, Amazon CloudWatch und Amazon SNS.

Vorbeugung AWS IoT Device Defender ermöglicht die Untersuchung von Problemen durch die Bereitstellung von kontextbezogenen und historischen Informationen über das Gerät wie Gerätemetaden, Gerätestatistik und historische Alarmmeldungen für das Gerät. Sie können auch AWS IoT Device Defender integrierte Eindämmungsmaßnahmen nutzen, um Eindämmungsschritte für Audit- und Detect-Alarmen durchzuführen, wie das Hinzufügen eines Thing zu einer Thing-Gruppe, der Ersatz einer Standard-Richtlinienversion und das Aktualisieren eines Gerätezertifikats.

AWS IoT Core stellt die Sicherheitsbausteine zum sicheren Verbinden von Geräten mit der Cloud und anderen Geräten bereit. Die Bausteine ermöglichen die Durchsetzung von Sicherheitskontrollen wie Authentifizierung, Autorisierung, Audit-Protokollierung und durchgängige Verschlüsselung nach Kriterien unterschiedlicher Strenge auf Grundlage Ihrer Konfigurationen. Nach dem AWS-Modell der geteilten Zuständigkeiten besitzen Sie regulär Baselining-Sicherheitskonfigurationen entsprechend den Geschäftsanforderungen. Allerdings können durch menschliche oder systemische Fehler und autorisierte Akteure mit bösen Absichten Konfigurationen mit negativen Auswirkungen auf die Sicherheit eingeführt werden.  

Mit AWS IoT Device Defender können Sie kontinuierlich Sicherheitskonfigurationen auf die Einhaltung von bewährten Methoden für die Sicherheit und der eigenen Sicherheitsrichtlinien im Unternehmen überprüfen. Die kontinuierliche Überprüfung ist wesentlich, da Fehlkonfigurationen jederzeit auftreten können. Zusätzlich können Sicherheitskonfigurationen durch Zeitablauf beeinträchtigt werden und ständig neue Bedrohungen entstehen. So können beispielsweise kryptografische Algorithmen, die sichere digitale Signaturen für Gerätezertifikate bereitgestellt haben, durch Fortschritte bei den Datenverarbeitungs- und Kryptoanalysemethoden gefährdet werden.

AWS IoT Device Defender identifiziert Möglichkeiten zur effektiven Verwendung von AWS IoT-Sicherheitskontrollen. Wenn jedoch Sicherheitsfehlkonfigurationen nicht korrigiert oder neue Angriffsvektoren offengelegt werden, bevor Geräte gepatcht werden, kann die Sicherheit verbundener Geräte beeinträchtigt werden. AWS IoT Device Defender ergänzt präventive Sicherheitskontrollen in AWS IoT durch die Unterstützung beim Erkennen bereits beeinträchtigter Geräte und das Initiieren von Eindämmungs- und Korrekturmaßnahmen.

Nein. Sie könnenmit nur wenigen Klicks in der Konsole Ihre IoT-Konfigurationen überprüfen und alle Cloud-seitigen Metriken überwachen. Wenn Sie ebenfalls geräteseitige Metriken überwachen möchten, müssen Sie einige Änderungen am Gerätecode vornehmen, um geräteseitige Metriken zu AWS IoT Device Defender zu pushen. Eine Referenzimplementierung für einen Beispielagent finden Sie hier. AWS IoT Greengrass und FreeRTOS sind in AWS IoT Device Defender für Metriken auf Geräte- und Cloud-Seite vollständig integriert.

Wenn auf Ihrer Geräteplattform spezielle Hardware verfügbar ist, die eine vertrauenswürdige Ausführungsumgebung ermöglicht, empfehlen wir Ihnen dringend, den Geräteagent zur Ausführung in einer vertrauenswürdigen Umgebung zu implementieren. Wenden Sie sich an Ihren Anbieter für Hardwaresicherheitslösungen, um spezifische Anleitungen zum Implementieren dieser Art von Design zu erhalten.

Ja, Sie können Ihre eigenen benutzerdefinierten Metriken erstellen, um mit Device Defender zu überwachen. In der Dokumentation erfahren Sie, wie Sie beginnen können, von Ihnen definierte geräteseitige Metriken zu überwachen.

AWS IoT Device Defender ermöglicht die Planung von Überprüfungsaufgaben, die Überwachung von Geräteaktivitäten und den Empfang von Benachrichtigungen bei Ergebnissen und abnormalem Geräteverhalten-Alarmen.

Die Überprüfungsaufgaben führen Tests der AWS IoT-Konfigurationen durch. Überprüfungsaufgaben können bedarfsabhängig oder nach Zeitplan gestartet werden. Zum Erhöhen der Genauigkeit von Überprüfungen und zum Minimieren von Falsch-Positiv-Fehlern schließt AWS IoT Device Defender den Kontext von Geräteinteraktionen mit AWS IoT Core ein.

AWS IoT Device Defender erfasst und analysiert wichtige Sicherheitsmetriken aus verbundenen Geräten und deren Interaktionen mit AWS IoT Core zur kontinuierlichen Überwachung von Geräteaktivitäten und Erkennung von abnormalem Geräteverhalten. Wenn Sie Rules Detect verwenden, werden die Metrikdaten laufend in Bezug auf benutzerdefinierte Verhaltensweisen beurteilt; wenn Sie ML Detect verwenden, werden die Metrikdaten laufend von automatisch errichteten Machine Learning-Modellen beurteilt, um Anomalien zu identifizieren. Die Erfassung und Ausgabe von Gerätemetriken ist optional. Sie wird jedoch dringend empfohlen. AWS IoT Device Defender bietet eine Referenzimplementierung und Dokumentation für Geräteagenten, die die Metriken auf Geräteseite erfassen und ausgeben.

Die Ergebnisse geplanter Überprüfungsaufgaben und festgestellte Anomalien von Geräteaktivitäten werden an die AWS IoT Console, AWS IoT Device Defender API gesendet und sind über Amazon CloudWatch zugänglich. Zusätzlich kann AWS IoT Device Defender so konfiguriert werden, dass Ergebnisse an Amazon SNS-Themen zur Integration in Sicherheits-Dashboards oder zum Auslösen von automatischen Abhilfe-Workflows gesendet werden.

AWS IoT Device Defender verwendet Machine Learning-Modelle, um ungewöhnliche Datenpunkte in Geräteverhaltensmetriken in ML Detect zu überwachen und zu identifizieren. Während AWS IoT Device Defender sein erstes ML-Modell für Ihre Geräte aufbaut, benötigt es 14 Tage und mindestens 25.000 Metrik-Datenpunkte pro Metrik, um das Modell zu erstellen. Anschließend aktualisiert es das Modell täglich, solange mindestens 25.000 Metrik-Datenpunkte pro Metrik erfüllt werden. Wenn die Datenpunkt-Mindestanforderung nicht erfüllt wird, wird AWS IoT Device Defender versuchen, das Modell am nächsten Tag zu aktualisieren. Es wird das 30 Tage lang täglich versuchen, bevor es die Modellaktualisierung einstellt.

Wir haben eine Reihe von Maßnahmen ausgearbeitet, um je nach Ihrem Geschäftsanwendungsfall falsch positive Alarme von ML-Modellen zu beheben, wenn Sie AWS IoT Device Defender ML Detect verwenden. Somit stehen Ihnen Tools zur Verfügung, um zu kontrollieren, welche Alarme Sie erhalten:

1. Die Anzahl an aufeinanderfolgenden Datenpunkten ändern, die für das Auslösen eines Alarms erforderlich sind: Wenn Sie häufig falsche Alarme aufgrund von Metrikdatenspitzen erhalten, können Sie mit dieser Einstellung festlegen, dass mehrere aufeinanderfolgende Datenpunkte ungewöhnlich sein müssen, bevor Sie einen Alarm erhalten.
2. ML Detect-Vertraulichkeitsstufe ändern: Im Falle von chronischen falsch positiven Ergebnissen, können Sie die Alarmerkennung einfach auf eine höhere Vertraulichkeitsstufe einstellen. Sie können aus den Vertraulichkeitsstufen LOW, MEDIUM und HIGH wählen. Die Vertraulichkeitsstufe HIGH steht für niedrige Alarmempfindlichkeit/-umfang, MEDIUM für mittlere Alarmempfindlichkeit/-umfang und LOW für hohe Alarmempfindlichkeit/-umfang.
3. Alarmunterdrückung: In Einzelfällen, in denen Sie wissen, dass bestimmte Aktionen zu falsch positiven Alarmen führen können (beispielsweise ein OTA-Job), können Sie das verbundene ML Detect-Verhalten so einstellen, dass Alarme unterdrückt werden. Darüber hinaus stellt AWS IoT Device Defender Alarme im ML Detect Standard-Sicherheitsprofil standardmäßig auf „unterdrückt“ ein, solange Sie die Standardkonfiguration nicht ändern.

Eine aktuelle Liste der unterstützten Regionen für AWS IoT Device Defender entnehmen Sie der Tabelle der AWS-Regionen.

Sie können AWS IoT Device Defender unabhängig von Ihrem geografischen Standort nutzen, sofern Sie Zugriff auf eine der obigen AWS-Regionen haben.

Ja. Weitere Informationen erhalten Sie auf der Seite AWS IoT Device Defender – Preise.

Sie können flexibel Audit, Rules Detect oder ML Detect unabhängig voneinander nutzen, da sie separat berechnet werden. Weitere Informationen erhalten Sie auf der Seite AWS IoT Device Defender – Preise.

Nein, Sie müssen nicht für Nachrichten zahlen, die zum Melden von Erkennungsmetriken auf Geräteseite an AWS IoT Device Defender verwendet werden.

Ja, Sie müssen für Verbindungen zahlen, wenn Sie mit AWS IoT Core nur eine Verbindung herstellen, um Erkennungsmetriken auf Geräteseite an AWS IoT Device Defender zu melden. Weitere Informationen erhalten Sie auf der Seite mit den Preisen für AWS IoT Core.

Wenn Sie Rules Detect verwenden, erstellen Sie zunächst ein Sicherheitsprofil mit erwarteten einschränkendem Verhalten (z. B. niedrige Grenzwerte) und ordnen Sie es einer ThingGroup für eine repräsentative Gruppe von Geräten zu. AWS IoT Device Defender sendet Ihnen eine Alarmmeldung mit dem Metrik-Datenpunkt, der vom Gerät für die abweichenden Verhalten gemeldet wird. Sie können den Grenzwert für das Geräteverhalten im Laufe der Zeit auf Ihren Anwendungsfall anpassen.

Wenn Sie ML Detect nutzen, richtet die Funktion automatisch Geräteverhaltensweisen ein und lässt maschinelles Lernen Geräteaktivitäten überwachen. AWS IoT Device Defender sendet Ihnen eine Alarmmeldung mit dem Metrik-Datenpunkt, der vom Gerät gemeldet wird, wenn ein ML-Modell den Datenpunkt als ungewöhnlich kennzeichnet. Dadurch müssen Sie keine genauen Verhaltensweisen für Ihre Geräte definieren und können schnell und einfach mit der Überwachung beginnen.