FAQ AWS IoT Device Defender

AWS IoT Device Defender est un service de sécurité IoT entièrement géré qui vous permet de sécuriser vos configurations IoT sur une base continue. AWS IoT Device Defender vous offre des outils pour identifier et résoudre les problèmes de sécurité. AWS IoT Device Defender vérifie que votre flotte respecte les bonnes pratiques de sécurité, surveille en permanence les flottes de vos appareils pour détecter tout comportement anormal, vous avertit d’éventuels problèmes de sécurité et recommande des actions d'atténuation intégrées.

Audit : AWS IoT Device Defender audite les ressources associées à votre appareil telles que les certificats X.509, les politiques IoT et les identifiants clients, et les compare aux bonnes pratiques de sécurité AWS IoT (par exemple, le principe du moindre privilège ou de l’identité unique pour chaque appareil). AWS IoT Device Defender signale des configurations n'étant pas conformes avec les meilleures pratiques de sécurité, comme plusieurs périphériques utilisant la même identité, ou des stratégies trop permissives qui permettent à un périphérique de lire et de mettre à jour les données de nombreux autres périphériques.

Rules Detect : AWS IoT Device Defender détecte les comportements inhabituels des appareils (pouvant indiquer une corruption) en surveillant en permanence les métriques de sécurité à valeur élevée provenant de l’appareil et d’AWS IoT Core. Ces métriques peuvent être par exemple le nombre de ports TCP en écoute sur vos appareils ou le nombre d’échecs d’autorisation. Vous pouvez spécifier un comportement d'appareil normal pour un groupe d'appareils en définissant des comportements (règles) pour ces métriques. AWS IoT Device Defender surveille et évalue chaque point de données signalé par rapport à ces mesures et aux comportements définis par l'utilisateur (règles) et vous alerte en cas d'anomalie.

ML Detect AWS IoT Device Defender définit automatiquement pour vous les comportements des appareils à l'aide de modèles de machine learning (ML) qui utilisent les données des appareils sur six métriques côté cloud (par exemple, le nombre d'échecs d'autorisation, le nombre de messages envoyés), et sept métriques côté appareil (par exemple, le nombre de paquets sortants, de ports TCP à l'écoute) sur la période des 14 derniers jours. Ensuite, les modèles sont entraînés chaque jour (tant qu'il y a suffisamment de données pour le faire) de manière à actualiser les comportements attendus des appareils en fonction des résultats obtenus dans les 14 jours suivant la création des premiers modèles. AWS IoT Device Defender surveille et identifie à l’aide des modèles de machine learning (ML) les points de données anormaux pour ces mesures, puis déclenche une alarme en cas de détection d’anomalie. Par rapport à Rules Detect, cette fonctionnalité présente l’avantage majeur de détecter automatiquement les anomalies de fonctionnement et de sécurité des appareils de la flotte sans que vous ayez à définir des seuils d'activité normaux, et de mettre à jour de façon dynamique les comportements attendus des appareils en fonction des nouvelles tendances des données provenant de vos appareils, de manière à réduire les faux positifs.

Alerte : AWS IoT Device Defender diffuse des alertes sur AWS IoT Console, Amazon CloudWatch et Amazon SNS.

Atténuation : AWS IoT Device Defender vous permet d’étudier les problèmes en fournissant des informations contextuelles et historiques sur l’appareil, telles que les métadonnées, les statistiques et l’historique des alertes de l’appareil. Vous pouvez également effectuer des étapes d'atténuation sur les alarmes Audit et Détection à l’aide des actions d'atténuation intégrées d’AWS IoT Device Defender. Ces étapes peuvent être l'ajout d’objets à un groupe d’objets, le remplacement de la version par défaut de la stratégie ou la mise à jour du certificat du dispositif.

AWS IoT Core fournit les modules de service de sécurité nécessaires à la connexion sécurisée de vos appareils au cloud et à d'autres appareils. Les modules de service permettent d’imposer des contrôles de sécurité tels que l’authentification, l’autorisation, la journalisation des audits et le chiffrement de bout en bout à différents niveaux de rigueur en fonction de vos configurations. Suivant le modèle de responsabilité partagée AWS, vous possédez régulièrement des configurations de sécurité de référence selon les besoins de votre entreprise. Cependant, des erreurs humaines ou systémiques et des acteurs autorisés ayant de mauvaises intentions pourraient introduire des configurations ayant des impacts négatifs sur la sécurité.  

AWS IoT Device Defender vous permet d'effectuer des audits des configurations de sécurité de façon continue pour vérifier leur conformité aux bonnes pratiques de sécurité et à vos propres politiques de sécurité organisationnelles. L’audit en continu est essentiel, car des erreurs de configuration peuvent survenir à tout moment. De plus, les configurations de sécurité peuvent être affectées par le temps qui passe, et de nouvelles menaces apparaissent chaque jour. Par exemple, les algorithmes cryptographiques qui fournissent des signatures numériques sécurisées pour les certificats de périphériques pourraient être affaiblis par les progrès de méthodes de calcul et de cryptanalyse.

AWS IoT Device Defender identifie les possibilités d'utilisation efficace des contrôles de sécurité AWS IoT. Cependant, si les erreurs de configuration de sécurité ne sont pas résolues ou si de nouveaux vecteurs d'attaque sont divulgués publiquement avant que les appareils ne soient corrigés, la sécurité des appareils connectés peut être mise en péril. AWS IoT Device Defender complète les contrôles de sécurité préventifs dans AWS IoT en vous aidant à identifier les périphériques déjà en péril et à initier des actions de confinement et de correction.

Non. Vous pouvez auditer vos configurations IoT et surveiller toutes vos métriques côté cloud en seulement quelques clics sur la console. Si vous souhaitez surveiller les métriques côté appareil, vous devez légèrement modifier votre code d'appareil afin de diffuser les métriques côté appareil sur AWS IoT Device Defender. Vous trouverez l’implémentation de référence d’un exemple d’agent ici . AWS IoT Greengrass et FreeRTOS sont entièrement intégrés à AWS IoT Device Defender, à la fois pour les métriques côté appareil et les métriques côté cloud.

Si la plateforme de votre appareil dispose d'un matériel spécialisé permettant d'activer un environnement d'exécution sécurisé, nous vous recommandons fortement d'implémenter l'agent de votre appareil. Consultez votre fournisseur de solutions de sécurité matérielle pour obtenir des conseils spécifiques sur la mise en œuvre de ce type de design.

Oui, vous pouvez définir à l’aide de Device Defender vos propres mesures à surveiller. Consultez la documentation pour savoir comment surveiller les métriques côté appareil que vous avez définies.

AWS IoT Device Defender vous permet de planifier des tâches d’audit, de surveiller l’activité des appareils, et de recevoir des notifications de résultats d’audit et de comportement anormal d’un appareil.

Les tâches d’audit effectuent la vérification de vos configurations AWS IoT. Vous pouvez lancer des tâches d’audit sur demande ou sur une base planifiée. Pour accroître la précision des vérifications et minimiser les faux positifs, AWS IoT Device Defender intègre le contexte des interactions des périphériques avec AWS IoT Core.

AWS IoT Device Defender ingère et analyse les métriques de sécurité de grande valeur collectées sur des appareils connectés et leurs interactions avec AWS IoT Core pour surveiller en continu les activités des appareils et détecter les comportements anormaux. Lorsque vous utilisez Rules Detect, les données de métriques sont continuellement évaluées par rapport aux comportements définis par l'utilisateur. Avec ML Detect, les données de métriques sont continuellement évaluées par les modèles de machine learning créés automatiquement afin d'identifier les anomalies. La collecte et l'émission des mesures d’appareils sont facultatives. Cependant, elles sont fortement recommandées. AWS IoT Device Defender fournit une implémentation de référence et la documentation pour les agents d’appareils effectuant la collecte et l’émission des métriques côté appareil.

Les résultats des tâches d'audit planifiées et toute anomalie d'activité d'appareil détectée sont publiés sur AWS IoT Console, l'API AWS IoT Device Defender et sont accessibles via Amazon CloudWatch. En outre, vous pouvez configurer AWS IoT Device Defender pour envoyer des résultats aux rubriques Amazon SNS en vue d'une intégration avec des tableaux de bord de sécurité ou pour déclencher des flux de travail de correction automatisés.

AWS IoT Device Defender utilise des modèles de machine learning pour surveiller et identifier les points de données anormaux pour les métriques de comportement des appareils dans ML Detect. Il faut 14 jours et un minimum de 25 000 points de données par métrique pour que AWS IoT Device Defender crée le modèle ML initial pour vos appareils. Ensuite, il met à jour le modèle chaque jour tant que le minimum de 25 000 points de données métriques par mètre est respecté. Si le point de données minimum requis n'est pas atteint, AWS IoT Device Defender tentera de mettre à jour le modèle le jour suivant. Des essais quotidiens seront effectués pendant 30 jours avant de mettre fin au modèle.

Nous avons conçu un ensemble de mesures pour traiter les fausses alarmes des modèles ML en fonction de votre cas d'utilisation commerciale lorsque vous utilisez AWS IoT Device Defender ML Detect, afin que vous disposiez d'outils pour contrôler les alarmes que vous recevez :

1. Modifier le nombre de points de données consécutifs requis pour déclencher l'alarme : si vous recevez fréquemment de fausses alarmes dues à des pics de données métriques, vous pouvez utiliser ce paramètre pour exiger que plusieurs points de données consécutifs soient anormaux pour déclencher une alarme.
2. Modifier le niveau de confiance de ML Detect : pour les cas de faux positifs chroniques, vous pouvez simplement régler la détection des alarmes à un niveau de confiance plus élevé. Nous vous proposons différents choix de niveaux de confiance, FAIBLE, MOYEN et ÉLEVÉ. Une confiance ÉLEVÉE indique une sensibilité/un volume d'alarme faible, une confiance MOYENNE une sensibilité/un volume d'alarme moyen, et une confiance FAIBLE une sensibilité/un volume d'alarme élevé.
3. Suppression des alarmes : pour les cas ponctuels où vous savez que certaines de vos actions pourraient causer des faux positifs (par exemple, une tâche OTA), vous pourriez configurer le comportement de ML Detect de façon à supprimer les alarmes. En outre, AWS IoT Device Defender règle par défaut les alarmes sur « supprimées » dans la configuration par défaut du profil de sécurité ML Detect, à moins que vous ne choisissiez de modifier la configuration par défaut.

Voir le tableau des Régions AWS pour connaître la liste actuelle des régions prises en charge par AWS IoT Device Defender.

Vous pouvez utiliser AWS IoT Device Defender où que vous vous trouviez, tant que vous avez accès à l'une des régions AWS indiquées ci-dessus.

Oui. Consultez la page de tarification d’AWS IoT Device Defender pour en savoir plus.

Vous pouvez utiliser Audit, Rules Detect ou ML Detect indépendamment puisqu'ils sont facturés séparément. Consultez la page de tarification d’AWS IoT Device Defender pour en savoir plus.

Non, vous n'avez pas besoin de payer pour les messages utilisés pour signaler les mesures de détection du côté périphérique à AWS IoT Device Defender.

Oui, vous devrez payer pour la connectivité si vous vous connectez à AWS IoT Core uniquement pour signaler les métriques de détection côté appareil à AWS IoT Device Defender. Consultez la page de tarification d’AWS IoT Core pour en savoir plus.

Lorsque vous utilisez Rules Detect, commencez par créer un profil de sécurité avec un comportement restrictif attendu (par exemple des seuils bas) et associez-le à un groupe d’objets pour un ensemble représentatif d'appareils. AWS IoT Device Defender vous alertera à l'aide de points de données de métriques signalés par l’appareil pour les comportements enfreints. Avec le temps, vous pouvez affiner les seuils de comportements de l'appareil pour les adapter à votre cas d'utilisation.

Lorsque vous utilisez ML Detect, la fonctionnalité définit automatiquement les comportements de l'appareil, le machine learning à surveiller les activités de l'appareil. AWS IoT Device Defender vous alertera avec le point de données de mesure signalé par l'appareil lorsqu'un modèle ML signale un point de données anormal. Vous n'avez donc plus besoin de définir les comportements précis de vos appareils, et vous pouvez commencer la surveillance plus rapidement et en toute simplicité.