Preguntas frecuentes sobre AWS IoT Device Defender

AWS IoT Device Defender es un servicio de seguridad de IoT totalmente administrado que le permite proteger las configuraciones de su IoT de forma continua. Con AWS IoT Device Defender, obtiene herramientas para identificar y responder a problemas de seguridad. AWS IoT Device Defender audita su flota para asegurarse de que cumpla con las prácticas recomendadas de seguridad, monitorea continuamente las flotas de dispositivos para detectar cualquier comportamiento anormal, alerta sobre problemas de seguridad a medida que surgen y proporciona medidas de mitigación incorporadas para estos problemas de seguridad.

Auditoría AWS IoT Device Defender audita los recursos relacionados con los dispositivos (como los certificados X.509, las políticas de IoT y los ID de cliente) según las prácticas recomendadas de seguridad de AWS IoT (por ejemplo, el principio de privilegios mínimos o identidad única por dispositivo). AWS IoT Device Defender informa sobre configuraciones que no cumplen con las prácticas recomendadas de seguridad, como cuando múltiples dispositivos usan la misma identidad, o políticas excesivamente permisivas que autorizan que un dispositivo lea y actualice datos en muchos otros dispositivos.

Rules Detect AWS IoT Device Defender detecta el comportamiento inusual de los dispositivos que puede ser indicativo de un riesgo mediante la supervisión continua de las métricas de seguridad de alto valor del dispositivo y de AWS IoT Core (por ejemplo, el número de puertos TCP de escucha en sus dispositivos o el recuento de fallos de autorización). Puede especificar el comportamiento normal de un dispositivo de un grupo de dispositivos estableciendo comportamientos (reglas) para estas métricas. AWS IoT Device Defender monitorea y evalúa cada punto de datos informado de estas métricas con respecto a los comportamientos definidos por el usuario (reglas) y le avisa si se detecta una anomalía.

ML Detect AWS IoT Device Defender establece automáticamente los comportamientos de los dispositivos con modelos de aprendizaje automático (ML) que utilizan datos de los dispositivos en seis métricas del lado de la nube (por ejemplo, recuentos de errores de autorización, recuentos de mensajes enviados) y siete métricas del lado del dispositivo (por ejemplo, paquetes enviados, recuentos de puertos TCP de escucha) de un período de 14 días. Posteriormente, entrena de nuevo los modelos diariamente (siempre que tenga suficientes datos para hacerlo) para actualizar los comportamientos esperados de los dispositivos en base a los últimos 14 días posteriores a la creación de los modelos iniciales. AWS IoT Device Defender monitorea e identifica puntos de datos anómalos de estas métricas con los modelos de aprendizaje automático y activa una alarma si se detecta una anomalía. En comparación con la Detección de reglas, los principales beneficios de esta función son: detecta automáticamente las anomalías operativas y de seguridad en los dispositivos de la flota sin necesidad de definir los umbrales de actividad normal de los dispositivos y actualiza dinámicamente los comportamientos esperados de estos en función de las nuevas tendencias de datos de los dispositivos para reducir los falsos positivos.

Alertas: AWS IoT Device Defender publica alarmas en la consola de AWS IoT, Amazon CloudWatch y Amazon SNS.

Mitigación AWS IoT Device Defender le permite investigar los problemas al proporcionar información contextual e histórica sobre el dispositivo, como los metadatos del dispositivo, las estadísticas del dispositivo y las alertas históricas del dispositivo. También puede utilizar las acciones de mitigación incorporadas en AWS IoT Device Defender para llevar a cabo pasos de mitigación en las alarmas de auditoría y detección, como agregar elementos a un grupo de elementos, reemplazar la versión de política predeterminada y actualizar el certificado del dispositivo.

AWS IoT Core proporciona las bases de la seguridad para que pueda conectar dispositivos de forma segura con la nube y con otros dispositivos. Estas bases permiten aplicar controles de seguridad, tales como la autenticación, la autorización, los registros de auditoría y el cifrado completo en diferentes niveles de rigor, según sus configuraciones. De acuerdo con el modelo de responsabilidad compartida de AWS, usted tiene configuraciones de seguridad de referencia, conforme a los requisitos del negocio. Sin embargo, los errores humanos o del sistema y las personas autorizadas con malas intenciones pueden introducir configuraciones que afecten negativamente a la seguridad.  

AWS IoT Device Defender le ayuda a auditar continuamente las configuraciones de seguridad para verificar el cumplimiento de las prácticas recomendadas al respecto y de las políticas de seguridad en su organización. La auditoría continua es esencial ya que en cualquier momento se pueden realizar configuraciones incorrectas. Además, las configuraciones de seguridad pueden verse afectadas por el paso del tiempo y surgen constantemente nuevas amenazas. Por ejemplo, los algoritmos criptográficos que solían proporcionar firmas digitales seguras para los certificados de los dispositivos pueden ver reducida su eficacia por los avances en los métodos informáticos y de criptoanálisis.

AWS IoT Device Defender identifica oportunidades para usar los controles de seguridad de AWS IoT de manera efectiva. Sin embargo, si no se solucionan las configuraciones incorrectas de seguridad o se divulgan públicamente nuevos vectores de ataques antes de que se le apliquen parches a los dispositivos, la seguridad de los dispositivos conectados puede verse vulnerada. AWS IoT Device Defender complementa los controles de seguridad preventivos en AWS IoT ayudándolo a identificar los dispositivos que ya se han visto vulnerados e iniciar acciones de contención y correctivas.

No. Puede auditar las configuraciones de IoT, además de monitorizar todas las métricas de la nube, con tan solo algunos clics en la consola. Si también desea monitorear las métricas del dispositivo, deberá realizar algunos cambios en el código del dispositivo para publicar las métricas del dispositivo en AWS IoT Device Defender. La implementación de referencia para un agente de muestra se puede encontrar aquí. AWS IoT Greengrass y FreeRTOS están completamente integrados a AWS IoT Device Defender para proporcionar métricas del dispositivo y de la nube.

Si la plataforma de su dispositivo tiene hardware especializado disponible que habilita un entorno de ejecución fiable, le recomendamos implementar su agente de dispositivo para que se ejecute en un entorno fiable. Solicite a su proveedor de soluciones de seguridad para hardware que lo oriente en detalle sobre cómo implementar este tipo de diseño.

Sí, puede crear sus propias métricas personalizadas para monitorear mediante Device Defender. Consulta la documentación para saber cómo empezar a supervisar las métricas del dispositivo que has definido.

AWS IoT Device Defender permite programar tareas de auditoría, monitorear las actividades del dispositivo y recibir notificaciones de hallazgos de auditoría y alarmas de comportamiento anormal del dispositivo.

Las tareas de auditoría evalúan las configuraciones de AWS IoT. Puede iniciar tareas de auditoría bajo demanda o de forma programada. Para aumentar la precisión de las comprobaciones de auditoría y minimizar los falsos positivos, AWS IoT Device Defender incorpora el contexto de las interacciones de los dispositivos con AWS IoT Core.

AWS IoT Device Defender asimila y analiza las métricas de seguridad de alto valor que recopila de los dispositivos conectados y sus interacciones con AWS IoT Core para monitorear continuamente las actividades de los dispositivos y detectar comportamientos anormales. Cuando utiliza la Detección de reglas, los datos de métricas se evalúan continuamente con respecto a los comportamientos definidos por el usuario. Cuando utiliza la Detección de aprendizaje automático, los modelos de aprendizaje automático evalúan continuamente los datos de métricas para identificar anomalías. La recopilación y la emisión de métricas del dispositivo son opcionales. Sin embargo, es una acción muy recomendable. AWS IoT Device Defender proporciona documentación e implementación de referencia para los agentes de dispositivos responsables de recopilar y emitir las métricas del lado del dispositivo.

Los resultados de las tareas programadas de auditoría y cualquier anomalía detectada en la actividad del dispositivo se publican en la consola de AWS IoT, la API de AWS IoT Device Defender y se puede acceder a ellos a través de Amazon CloudWatch. Además, puede configurar AWS IoT Device Defender para que envíe los resultados a los temas de Amazon SNS a fin de integrarlos con paneles de seguridad o activar los flujos de trabajo de corrección automatizados.

AWS IoT Device Defender utiliza modelos de aprendizaje automático para monitorear e identificar puntos de datos anómalos de las métricas de comportamiento del dispositivo en la Detección de aprendizaje automático. Aunque AWS IoT Device Defender crea su modelo inicial de aprendizaje automático para sus dispositivos, la generación del modelo requiere 14 días y un mínimo de 25 000 puntos de datos métricos por métrica. Después, actualiza el modelo diariamente siempre y cuando se cumplan los 25 000 puntos de datos métricos mínimos por métrica. Si no se cumple el requisito de puntos de datos mínimo, AWS IoT Device Defender intentará actualizar el modelo al día siguiente. Volverá a intentarlo diariamente durante 30 días antes de interrumpir la actualización del modelo.

Diseñamos un conjunto de medidas para resolver las alarmas de falsos positivos de los modelos de aprendizaje automático basados en su caso de uso comercial cuando utiliza la Detección de aprendizaje automático de AWS IoT Device Defender, de modo que tenga herramientas para controlar las alarmas que recibe:

1. Cambie la cantidad de puntos de datos consecutivos necesarios para activar la alarma: si recibe falsas alarmas con frecuencia debido a los picos de datos métricos, puede usar esta configuración para exigir que varios puntos de datos consecutivos sean anómalos antes de recibir una alarma.
2. Cambie la confianza de ML Detect: en los casos crónicos de falsos positivos, puede simplemente ajustar la detección de las alarmas con mayor confianza. Le ofrecemos niveles de confianza BAJOS, MEDIOS y ALTOS para que elija. La confianza ALTA representa capacidad de reacción o volumen de alarma bajo, la confianza MEDIA representa capacidad de reacción o volumen de alarma medio y la confianza BAJA representa capacidad de reacción o volumen de alarma alto.
3. Suprimir las alarmas: en los casos puntuales en los que sepa que ciertas acciones por su parte pueden provocar falsos positivos (por ejemplo, un trabajo de OTA), puede actualizar el comportamiento de detección de aprendizaje automático relacionado para suprimir las alarmas. Además, AWS IoT Device Defender hace que las alarmas se “eliminen” en la configuración predeterminada del perfil de seguridad de la Detección de machine learning, a menos que opte por cambiar la configuración predeterminada.

Consulte la tabla de regiones de AWS para ver la lista actual de regiones compatibles con AWS IoT Device Defender.

Puede usar AWS IoT Device Defender independientemente de la ubicación geográfica en la que se encuentre, siempre y cuando tenga acceso a una de las regiones de AWS anteriores.

Sí. Visite la página de precios de AWS IoT Device Defender para obtener más información.

Tiene la flexibilidad de utilizar las funciones de Auditoría, Detección de reglas o Detección de machine learning en forma independiente, ya que cada una se cobra por separado. Visite la página de precios de AWS IoT Device Defender para obtener más información.

No, no tendrá que pagar los mensajes utilizados para informar las métricas de detección del dispositivo a AWS IoT Device Defender.

Sí, deberá pagar la conectividad si se conecta con AWS IoT Core únicamente para informar las métricas de detección por parte del dispositivo a AWS IoT Device Defender. Visite la página de precios de AWS IoT Core para obtener más información.

Cuando utilice la Detección de reglas, comience por crear un perfil de seguridad con un comportamiento restrictivo esperado (por ejemplo, umbrales bajos) y asócielo a un grupo de elementos de un conjunto representativo de dispositivos. AWS IoT Device Defender lo alertará con los puntos de datos de las métricas que reporta el dispositivo en casos de que se infrinja el comportamiento. Puede ajustar el umbral de comportamiento del dispositivo para que coincida con su caso de uso a lo largo del tiempo.

Cuando utiliza la Detección de machine learning, la función establece automáticamente el comportamiento del dispositivo con el machine learning del equipo para monitorear las actividades de este. AWS IoT Device Defender lo alertará con los puntos de datos de las métricas que reporta el dispositivo cuando un modelo de ML marque el punto de datos como anómalo. Esto elimina la necesidad de definir comportamientos precisos de sus dispositivos y lo ayuda a comenzar con el monitoreo de manera más rápida y fácil.