AWS IoT Device Defender – Häufig gestellte Fragen

AWS IoT Device Defender ist ein vollständig verwalteter IoT-Sicherheitsservice, mit dem Sie Ihre IoT-Konfigurationen fortlaufend sichern können. Mit AWS IoT Device Defender erhalten Sie Tools, um Sicherheitsprobleme zu erkennen und darauf zu reagieren. AWS IoT Device Defender überprüft Ihre Flotte, um sicherzustellen, dass diese die bewährten Methoden für Sicherheit einhält, überwacht kontinuierlich Ihre Geräteflotte auf ungewöhnliches Geräteverhalten, sendet bei Sicherheitsproblemen eine Alarmmeldung und bietet integrierte Maßnahmen, um diese Probleme zu beheben.

Audit AWS IoT Device Defender überprüft Ihre gerätebezogenen Ressourcen (wie X.509-Zertifikate, IoT-Richtlinien und Client-IDs) anhand der bewährten AWS-IoT-Sicherheitspraktiken (z. B. dem Prinzip der geringsten Privilegien oder der eindeutigen Identität pro Gerät). AWS IoT Device Defender meldet Konfigurationen, die von den bewährten Methoden für Sicherheit abweichen, wie mehrere Geräte mit derselben Identität oder Richtlinien mit zu weitreichenden Berechtigungen, die es einem Gerät ermöglichen, Daten für viele andere Geräte zu lesen und zu aktualisieren.

Regeln erkennen AWS IoT Device Defender erkennt ungewöhnliches Geräteverhalten, das auf eine Gefährdung hindeuten könnte, indem es kontinuierlich wichtige Sicherheitsmetriken des Geräts und von AWS IoT Core überwacht (z. B. die Anzahl der abhörenden TCP-Ports auf Ihren Geräten oder die Anzahl der Autorisierungsfehler). Sie können ein normales Geräteverhalten für eine Gruppe von Geräten durch das Einrichten der Verhalten (Regeln) für diese Metriken festlegen. AWS IoT Device Defender überwacht und bewertet jeden für diese Metriken gemeldeten Datenpunkt anhand benutzerdefinierter Verhalten (Regeln) und sendet beim Erkennen von Anomalien eine Alarmmeldung.

ML Detect AWS IoT Device Defender legt mithilfe von Modellen für maschinelles Lernen (ML) automatisch das Geräteverhalten für Sie fest. Dabei werden Gerätedaten aus sechs cloudseitigen Metriken (z. B. Anzahl von Autorisierungsfehlern, Anzahl gesendeter Nachrichten) und sieben geräteseitigen Metriken (z. B. ausgehende Pakete, Anzahl der abhörenden TCP-Ports) aus den letzten 14 Tagen verwendet. Dann trainiert es die Modelle täglich neu (bis es über ausreichend Daten für Training des Modells verfügt), um die erwarteten Geräteverhaltensweisen basierend auf den aktuellen vergangenen 14 Tagen zu aktualisieren, nachdem die ersten Modelle erstellt wurden. AWS IoT Device Defender überwacht und identifiziert ungewöhnliche Datenpunkte für diese Metriken mit ML-Modellen und löst einen Alarm aus, wenn eine Anomalie erkannt wird. Im Vergleich zu Rules Detect sind die Hauptvorteile der Funktion: sie erkennt automatisch operative und Sicherheitsanomalien in Flottengeräten, ohne dass Sie normale Geräteaktivitätsschwellenwerte definieren müssen. Sie aktualisiert dann erwartete Geräteverhaltensweisen auf dynamische Weise basierend auf neuen Datentrends von Ihren Geräten, damit es zu weniger falsch positiven Ergebnissen kommt.

Alerting AWS IoT Device Defender veröffentlicht Alarme an die AWS IoT Console, Amazon CloudWatch und Amazon SNS.

Abwehr Mit AWS IoT Device Defender können Sie Probleme untersuchen, indem kontextuelle und historische Informationen über das Gerät bereitgestellt werden, wie z. B. Gerätemetadaten, Gerätestatistiken und historische Warnungen für das Gerät. Sie können auch AWS IoT Device Defender integrierte Eindämmungsmaßnahmen nutzen, um Eindämmungsschritte für Audit- und Detect-Alarmen durchzuführen, wie das Hinzufügen eines Thing zu einer Thing-Gruppe, der Ersatz einer Standard-Richtlinienversion und das Aktualisieren eines Gerätezertifikats.

AWS IoT Core stellt die Sicherheitsbausteine zum sicheren Verbinden von Geräten mit der Cloud und anderen Geräten bereit. Die Bausteine ermöglichen die Durchsetzung von Sicherheitskontrollen wie Authentifizierung, Autorisierung, Audit-Protokollierung und durchgängige Verschlüsselung nach Kriterien unterschiedlicher Strenge auf Grundlage Ihrer Konfigurationen. Nach dem AWS-Modell der geteilten Zuständigkeiten besitzen Sie regulär Baselining-Sicherheitskonfigurationen entsprechend den Geschäftsanforderungen. Allerdings können durch menschliche oder systemische Fehler und autorisierte Akteure mit bösen Absichten Konfigurationen mit negativen Auswirkungen auf die Sicherheit eingeführt werden.  

Mit AWS IoT Device Defender können Sie kontinuierlich Sicherheitskonfigurationen auf die Einhaltung von bewährten Methoden für die Sicherheit und der eigenen Sicherheitsrichtlinien im Unternehmen überprüfen. Die kontinuierliche Überprüfung ist wesentlich, da Fehlkonfigurationen jederzeit auftreten können. Zusätzlich können Sicherheitskonfigurationen durch Zeitablauf beeinträchtigt werden und ständig neue Bedrohungen entstehen. So können beispielsweise kryptografische Algorithmen, die sichere digitale Signaturen für Gerätezertifikate bereitgestellt haben, durch Fortschritte bei den Datenverarbeitungs- und Kryptoanalysemethoden gefährdet werden.

AWS IoT Device Defender identifiziert Möglichkeiten zur effektiven Verwendung von AWS IoT-Sicherheitskontrollen. Wenn jedoch Sicherheitsfehlkonfigurationen nicht korrigiert oder neue Angriffsvektoren offengelegt werden, bevor Geräte gepatcht werden, kann die Sicherheit verbundener Geräte beeinträchtigt werden. AWS IoT Device Defender ergänzt präventive Sicherheitskontrollen in AWS IoT durch die Unterstützung beim Erkennen bereits beeinträchtigter Geräte und das Initiieren von Eindämmungs- und Korrekturmaßnahmen.

Nein. Sie könnenmit nur wenigen Klicks in der Konsole Ihre IoT-Konfigurationen überprüfen und alle Cloud-seitigen Metriken überwachen. Wenn Sie ebenfalls geräteseitige Metriken überwachen möchten, müssen Sie einige Änderungen am Gerätecode vornehmen, um geräteseitige Metriken zu AWS IoT Device Defender zu pushen. Die Referenzimplementierung für einen Probenagenten finden Sie hier. AWS IoT Greengrass und FreeRTOS sind in AWS IoT Device Defender für Metriken auf Geräte- und Cloud-Seite vollständig integriert.

Wenn auf Ihrer Geräteplattform spezielle Hardware verfügbar ist, die eine vertrauenswürdige Ausführungsumgebung ermöglicht, empfehlen wir Ihnen dringend, den Geräteagent zur Ausführung in einer vertrauenswürdigen Umgebung zu implementieren. Wenden Sie sich an Ihren Anbieter für Hardwaresicherheitslösungen, um spezifische Anleitungen zum Implementieren dieser Art von Design zu erhalten.

Ja, Sie können Ihre eigenen benutzerdefinierten Metriken erstellen, um mit Device Defender zu überwachen. In der Dokumentation erfahren Sie, wie Sie mit der Überwachung der von Ihnen definierten geräteseitigen Metriken beginnen.

AWS IoT Device Defender ermöglicht die Planung von Überprüfungsaufgaben, die Überwachung von Geräteaktivitäten und den Empfang von Benachrichtigungen bei Ergebnissen und abnormalem Geräteverhalten-Alarmen.

Die Überprüfungsaufgaben führen Tests der AWS IoT-Konfigurationen durch. Überprüfungsaufgaben können bedarfsabhängig oder nach Zeitplan gestartet werden. Zum Erhöhen der Genauigkeit von Überprüfungen und zum Minimieren von Falsch-Positiv-Fehlern schließt AWS IoT Device Defender den Kontext von Geräteinteraktionen mit AWS IoT Core ein.

AWS IoT Device Defender erfasst und analysiert wichtige Sicherheitsmetriken aus verbundenen Geräten und deren Interaktionen mit AWS IoT Core zur kontinuierlichen Überwachung von Geräteaktivitäten und Erkennung von abnormalem Geräteverhalten. Wenn Sie Rules Detect verwenden, werden die Metrikdaten laufend in Bezug auf benutzerdefinierte Verhaltensweisen beurteilt; wenn Sie ML Detect verwenden, werden die Metrikdaten laufend von automatisch errichteten Machine Learning-Modellen beurteilt, um Anomalien zu identifizieren. Die Erfassung und Ausgabe von Gerätemetriken ist optional. Sie wird jedoch dringend empfohlen. AWS IoT Device Defender bietet Referenzimplementierung und Dokumentation für Geräteagenten, die für die Erfassung und Ausgabe der geräteseitigen Metriken verantwortlich sind.

Die Ergebnisse geplanter Überprüfungsaufgaben und festgestellte Anomalien von Geräteaktivitäten werden an die AWS IoT Console, AWS IoT Device Defender API gesendet und sind über Amazon CloudWatch zugänglich. Zusätzlich kann AWS IoT Device Defender so konfiguriert werden, dass Ergebnisse an Amazon SNS-Themen zur Integration in Sicherheits-Dashboards oder zum Auslösen von automatischen Abhilfe-Workflows gesendet werden.

AWS IoT Device Defender verwendet Machine Learning-Modelle, um ungewöhnliche Datenpunkte in Geräteverhaltensmetriken in ML Detect zu überwachen und zu identifizieren. Während AWS IoT Device Defender sein erstes ML-Modell für Ihre Geräte aufbaut, benötigt es 14 Tage und mindestens 25.000 Metrik-Datenpunkte pro Metrik, um das Modell zu erstellen. Anschließend aktualisiert es das Modell täglich, solange mindestens 25.000 Metrik-Datenpunkte pro Metrik erfüllt werden. Wenn die Datenpunkt-Mindestanforderung nicht erfüllt wird, wird AWS IoT Device Defender versuchen, das Modell am nächsten Tag zu aktualisieren. Es wird das 30 Tage lang täglich versuchen, bevor es die Modellaktualisierung einstellt.

Wir haben eine Reihe von Maßnahmen ausgearbeitet, um je nach Ihrem Geschäftsanwendungsfall falsch positive Alarme von ML-Modellen zu beheben, wenn Sie AWS IoT Device Defender ML Detect verwenden. Somit stehen Ihnen Tools zur Verfügung, um zu kontrollieren, welche Alarme Sie erhalten:

1. Ändern Sie die Anzahl aufeinanderfolgender Datenpunkte, die erforderlich sind, um einen Alarm auszulösen: Wenn Sie aufgrund von Messwertspitzen häufig Fehlalarme erhalten, können Sie diese Einstellung verwenden, um zu verlangen, dass mehrere aufeinanderfolgende Datenpunkte anomal sind, bevor ein Alarm ausgelöst wird.
2. Ändern Sie die ML Detect-Zuverlässigkeit: Bei chronisch falsch positiven Fällen können Sie die Erkennung einfach auf Alarme mit höherer Zuverlässigkeit abstimmen. Sie können aus den Vertraulichkeitsstufen LOW, MEDIUM und HIGH wählen. Die Vertraulichkeitsstufe HIGH steht für niedrige Alarmempfindlichkeit/-umfang, MEDIUM für mittlere Alarmempfindlichkeit/-umfang und LOW für hohe Alarmempfindlichkeit/-umfang.
3. Alarme unterdrücken: In einmaligen Fällen, in denen Sie wissen, dass bestimmte Aktionen auf Ihrer Seite zu Fehlalarmen führen können (z. B. ein OTA-Job), können Sie das zugehörige ML Detect-Verhalten aktualisieren, um Alarme zu unterdrücken. Darüber hinaus stellt AWS IoT Device Defender Alarme im ML Detect Standard-Sicherheitsprofil standardmäßig auf „unterdrückt“ ein, solange Sie die Standardkonfiguration nicht ändern.

In der AWS-Regionentabelle finden Sie die aktuelle Liste der Regionen, die von AWS IoT Device Defender unterstützt werden.

Sie können AWS IoT Device Defender unabhängig von Ihrem geografischen Standort nutzen, sofern Sie Zugriff auf eine der obigen AWS-Regionen haben.

Ja. Weitere Informationen finden Sie auf der Preisseite für AWS IoT Device Defender.

Sie können flexibel Audit, Rules Detect oder ML Detect unabhängig voneinander nutzen, da sie separat berechnet werden. Weitere Informationen finden Sie auf der Preisseite für AWS IoT Device Defender.

Nein, Sie müssen nicht für Nachrichten zahlen, die zum Melden von Erkennungsmetriken auf Geräteseite an AWS IoT Device Defender verwendet werden.

Ja, Sie müssen für Verbindungen zahlen, wenn Sie mit AWS IoT Core nur eine Verbindung herstellen, um Erkennungsmetriken auf Geräteseite an AWS IoT Device Defender zu melden. Weitere Informationen finden Sie auf der Preisseite für AWS IoT Core.

Wenn Sie Rules Detect verwenden, erstellen Sie zunächst ein Sicherheitsprofil mit erwarteten einschränkendem Verhalten (z. B. niedrige Grenzwerte) und ordnen Sie es einer ThingGroup für eine repräsentative Gruppe von Geräten zu. AWS IoT Device Defender sendet Ihnen eine Alarmmeldung mit dem Metrik-Datenpunkt, der vom Gerät für die abweichenden Verhalten gemeldet wird. Sie können den Grenzwert für das Geräteverhalten im Laufe der Zeit auf Ihren Anwendungsfall anpassen.

Wenn Sie ML Detect nutzen, richtet die Funktion automatisch Geräteverhaltensweisen ein und lässt maschinelles Lernen Geräteaktivitäten überwachen. AWS IoT Device Defender sendet Ihnen eine Alarmmeldung mit dem Metrik-Datenpunkt, der vom Gerät gemeldet wird, wenn ein ML-Modell den Datenpunkt als ungewöhnlich kennzeichnet. Dadurch müssen Sie keine genauen Verhaltensweisen für Ihre Geräte definieren und können schnell und einfach mit der Überwachung beginnen.