Domande frequenti su AWS IoT Device Defender

AWS IoT Device Defender è un servizio di sicurezza IoT completamente gestito che permette di proteggere le configurazioni IoT in modo continuo. AWS IoT Device Defender fornisce strumenti di identificazione e risposta ai problemi di sicurezza. AWS IoT Device Defender esegue l'audit del parco dispositivi per garantire che siano tutti conformi alle best practice sulla sicurezza, li monitora in modo continuo per rilevare eventuali comportamenti sospetti, invia avvisi in caso di potenziali problemi e fornisce azioni di mitigazione integrate.

Audit AWS IoT Device Defender verifica le risorse relative ai dispositivi (come certificati X.509, policy IoT e ID client) rispetto alle best practice di sicurezza di AWS IoT (ad esempio, il principio del privilegio minimo o dell'identità univoca per dispositivo). AWS IoT Device Defender informa delle configurazioni non conformi alle best practice sulla sicurezza, ad esempio dispositivi che adottano la stessa identità o policy troppo permissive che permettono a un dispositivo di leggere e aggiornare i dati in molti altri dispositivi.

Rules Detect AWS IoT Device Defender rileva comportamenti insoliti del dispositivo che possono essere indicativi di una compromissione monitorando continuamente le metriche di sicurezza di alto valore del dispositivo e di AWS IoT Core (ad esempio, il numero di porte TCP in ascolto sui dispositivi o il numero di errori di autorizzazione). È possibile specificare il comportamento previsto per un gruppo di dispositivi impostando regole per tali parametri. AWS IoT Device Defender monitorerà i data point e ne confronterà i parametri con le regole di comportamento impostate, inviando avvisi quando sono rilevate anomalie.

ML Detect AWS IoT Device Defender imposta automaticamente i comportamenti dei dispositivi con modelli di apprendimento automatico (ML) utilizzando i dati dei dispositivi in base a sei metriche sul cloud (ad esempio, conteggio degli errori di autorizzazione, conteggio dei messaggi inviati) e sette metriche lato dispositivo (ad esempio, pacchetti in uscita, conteggio delle porte TCP in ascolto) per un periodo finale di 14 giorni. Successivamente, riaddestra i modelli ogni giorno (a condizione che disponga di dati sufficienti per addestrare il modello) in modo da aggiornare i comportamenti del dispositivo previsti in base agli ultimi 14 giorni dalla creazione dei modelli iniziali. AWS IoT Device Defender monitora e identifica con i modelli ML i data point anomali per questi parametri e attiva un allarme se viene rilevata un'anomalia. Rispetto al Rilevamento regole, i principali vantaggi della funzione sono che rileva automaticamente le anomalie operative e di sicurezza sui dispositivi del parco istanze senza che sia necessario definire le normali soglie di attività del dispositivo e aggiorna dinamicamente i comportamenti dei dispositivi previsti in base alle nuove tendenze dei dati dai dispositivi per ridurre i falsi positivi.

Alerting AWS IoT Device Defender pubblica allarmi sulla console AWS IoT, Amazon CloudWatch e Amazon SNS.

Mitigazione AWS IoT Device Defender consente di analizzare i problemi fornendo informazioni contestuali e cronologiche sul dispositivo, ad esempio metadati del dispositivo, statistiche del dispositivo e avvisi cronologici per il dispositivo. Puoi utilizzare le azioni di mitigazione integrate di AWS IoT Device Defender anche per eseguire operazioni di mitigazione su allarmi di audit e rilevamento come nel caso dell’aggiunta di oggetti a un gruppo di oggetti, la sostituzione di una versione della policy predefinita e l’aggiornamento del certificato del dispositivo.

AWS IoT Core fornisce la base per connettere in modo sicuro i dispositivi al cloud o ad altri dispositivi. Permette infatti di applicare controlli di sicurezza quali autenticazione, autorizzazione, registrazione dei log di audit e crittografia completa su vari livelli, in base al livello di rigore richiesto dalla configurazione. Secondo il modello di responsabilità condivisa di AWS, il livello di sicurezza base può essere configurato a seconda dei requisiti aziendali. Tuttavia, errori umani o di sistema e utenti malintenzionati che dispongono delle giuste autorizzazioni possono introdurre modifiche con ripercussioni sulla sicurezza.  

AWS IoT Device Defender aiuta a mantenere la conformità delle configurazioni di sicurezza rispetto a best practice e policy aziendali di sicurezza. L'auditing continuo è estremamente importante, perché gli errori di configurazione possono verificarsi in qualsiasi momento. Inoltre, le configurazioni di sicurezza possono perdere efficacia nel corso del tempo, in particolare quando emergono nuove minacce. Ad esempio, alcuni algoritmi di crittografia che in passato erano considerati perfettamente sicuri per i certificati dei dispositivi possono risultare indeboliti in seguito all'avanzamento della potenza di elaborazione e dei metodi di crittoanalisi.

AWS IoT Device Defender identifica le opportunità per utilizzare i controlli di sicurezza di AWS IoT in modo efficace. Tuttavia, se gli errori di configurazione non sono risolti, oppure se sopraggiungono nuovi vettori di attacco prima di un aggiornamento correttivo, la sicurezza dei dispositivi potrebbe risultare compromessa. AWS IoT Device Defender è complementare ai controlli di sicurezza preventiva presenti in AWS IoT, perché aiuta a identificare i dispositivi già compromessi e ad avviare operazioni di contenimento e correzione.

No. È possibile eseguire l’audit delle configurazioni IoT, oltre a monitorare tutti i parametri lato cloud con soli pochi clic nella console. Se si desidera monitorare anche i parametri lato dispositivo, è necessario apportare alcune modifiche al codice del dispositivo per pubblicare questi parametri in AWS IoT Device Defender. L'implementazione di riferimento per un agente di esempio è disponibile qui. AWS IoT Greengrass e FreeRTOS si integrano in modo completo con AWS IoT Device Defender per parametri sia lato dispositivo sia lato cloud.

Se la piattaforma dei dispositivi offre hardware specializzato che fornisce un ambiente di esecuzione attendibile, consigliamo di utilizzarlo per implementarvi l'agente di dispositivo. Consulta il fornitore della soluzione di sicurezza hardware per avere linee guida specifiche su come implementare questo tipo di progettazione.

Sì, puoi creare i tuoi parametri personalizzati per eseguire il monitoraggio con Device Defender. Consulta la documentazione per scoprire come iniziare a monitorare le metriche lato dispositivo che hai definito.

AWS IoT Device Defender permette di programmare le attività di auditing, monitorare le attività dei dispositivi e ricevere notifiche di eventuali risultati o comportamenti sospetti.

Le attività di audit conducono valutazioni delle configurazioni di AWS IoT. Un'attività di audit può essere avviata on demand o programmata. Per migliorarne l'accuratezza e ridurre al minimo i falsi positivi, AWS IoT Device Defender incorpora il contesto delle interazioni dei dispositivi con AWS IoT Core.

AWS IoT Device Defender acquisisce e analizza parametri di sicurezza raccolti dai dispositivi connessi e dalle relative interazioni con AWS IoT Core per monitorarne in modo continuo le attività e rilevare comportamenti anomali. Quando si utilizza Rilevamento regole, i dati dei parametri vengono continuamente valutati rispetto ai comportamenti definiti dall'utente; quando si utilizza invece Rilevamento ML, i dati dei parametri vengono valutati da modelli di machine learning creati automaticamente per identificare le anomalie. La raccolta e l'emissione dei parametri è opzionale. Tuttavia, è caldamente consigliata. AWS IoT Device Defender fornisce implementazione e documentazione di riferimento per gli agenti dei dispositivi responsabili della raccolta e dell'emissione delle metriche lato dispositivo.

I risultati di un'attività di auditing programmata e le anomalie rilevate sui dispositivi vengono pubblicati nella console di AWS IoT, AWS IoT Device Defender API e sono accessibili tramite Amazon CloudWatch. Inoltre, è possibile configurare AWS IoT Device Defender per inviare risultati agli argomenti di Amazon SNS per l'integrazione con pannelli di controllo di sicurezza o l'attivazione di flussi di lavoro di correzione automatizzati.

AWS IoT Device Defender utilizza i modelli di machine learning per monitorare e identificare i data point anomali per i parametri di comportamento dei dispositivi in Rilevamento ML. La generazione del modello ML iniziale di AWS IoT Device Defender per i dispositivi richiede 14 giorni e almeno 25.000 data point di parametri per parametro. Successivamente, aggiorna il modello ogni giorno purché siano soddisfatti i 25.000 data point di parametro per parametro. Se il requisito minimo dei data point non viene soddisfatto, AWS IoT Device Defender proverà ad aggiornare il modello il giorno successivo. Proverà ogni giorno per 30 giorni, dopodiché non utilizzerà più il modello.

Abbiamo progettato una serie di misure per affrontare gli allarmi falsi positivi dei modelli ML in base al tuo caso d'uso aziendale quando utilizzi Rilevamento ML di AWS IoT Device Defender in modo da disporre di strumenti per controllare gli allarmi ricevuti:

1. Modifica il numero di punti dati consecutivi necessari per attivare l'allarme: se ricevi spesso falsi allarmi dovuti a picchi di dati metrici, puoi utilizzare questa impostazione per richiedere che più datapoint consecutivi siano anomali prima di ricevere un allarme.
2. Modificare la confidenza di ML Detect: per i casi cronici di falsi positivi, è sufficiente regolare il rilevamento degli allarmi con maggiore confidenza. Puoi scegliere tra i livelli di affidabilità BASSO, MEDIO, ALTO. Un’affidabilità di livello ALTO rappresenta un rapporto sensibilità/volume allarme basso, il livello MEDIO rappresenta un rapporto sensibilità/volume allarme medio mentre il livello BASSO rappresenta un rapporto sensibilità/volume allarme alto.
3. Elimina allarmi: per i casi una tantum in cui sai che determinate azioni da parte tua potrebbero causare falsi positivi (ad esempio, un job OTA), puoi aggiornare il relativo comportamento ML Detect per eliminare gli allarmi. Inoltre, AWS IoT Device Defender imposta automaticamente gli allarmi su "eliminati" nella configurazione predefinita del profilo di sicurezza di Rilevamento ML, a meno che tu non scelga di modificare la configurazione predefinita.

Consulta la tabella delle regioni AWS per l'elenco attuale delle regioni supportate da AWS IoT Device Defender.

Puoi utilizzare AWS IoT Device Defender indipendentemente dalla tua posizione geografica, purché tu abbia accesso a una delle regioni AWS sopra elencate.

Sì. Visita la pagina dei prezzi di AWS IoT Device Defender per ulteriori informazioni.

I servizi di Audit, Rilevamento regole o Rilevamento ML possono essere utilizzati in modo flessibile, perché vengono fatturati separatamente. Visita la pagina dei prezzi di AWS IoT Device Defender per ulteriori informazioni.

No, non sarà addebitato alcun costo per i messaggi utilizzati per riportare parametri di rilevamento lato dispositivo ad AWS IoT Device Defender.

Sì, saranno addebitati i costi di connessione con AWS IoT Core per la comunicazione dei parametri della funzione di rilevamento lato dispositivo ad AWS IoT Device Defender. Visita la pagina dei prezzi di AWS IoT Core per ulteriori informazioni.

Se utilizzi Rilevamento regole, inizia creando un profilo di sicurezza con un comportamento restrittivo previsto (ad esempio, soglie minime) e collegalo a un gruppo di oggetti per una determinata serie di dispositivi. AWS IoT Device Defender invierà avvisi con i data point dei parametri emessi dal dispositivo per il comportamento che è stato violato. Le soglie di invio delle notifiche possono essere ottimizzate in base al caso d'uso nel tempo.

Se utilizzi Rilevamento ML, la funzionalità imposta automaticamente i comportamenti del dispositivo con il machine learning per monitorare le attività del dispositivo. AWS IoT Device Defender invierà avvisi con i data point dei parametri emessi dal dispositivo quando un modello ML contrassegna il data point come anomalo. In questo modo, non dovrai definire comportamenti accurati dei dispositivi e potrai iniziare il monitoraggio in maniera semplice e veloce.