Domande frequenti su AWS IoT Device Defender

AWS IoT Device Defender è un servizio di sicurezza IoT completamente gestito che permette di proteggere le configurazioni IoT in modo continuo. AWS IoT Device Defender fornisce strumenti di identificazione e risposta ai problemi di sicurezza. AWS IoT Device Defender esegue l'audit del parco dispositivi per garantire che siano tutti conformi alle best practice sulla sicurezza, li monitora in modo continuo per rilevare eventuali comportamenti sospetti, invia avvisi in caso di potenziali problemi e fornisce azioni di mitigazione integrate.

Audit AWS IoT Device Defender esegue l'auditing delle risorse correlate ai dispositivi (ad es. certificati X.509, policy di IoT e ID client) per garantirne la conformità alle best practice sulla sicurezza di AWS IoT (ad esempio, il principio del privilegio minimo o le identità univoche per ciascun dispositivo). AWS IoT Device Defender restituisce le configurazioni che non sono conformi alle best practice sulla sicurezza, ad esempio dispositivi che adottano la stessa identità o policy troppo permissive che permettono a un dispositivo di leggere e aggiornare i dati in molti altri dispositivi.

Rilevamento regole Grazie al monitoraggio continuo di parametri di sicurezza da dispositivi e AWS IoT Core (ad esempio, il numero di porte TCP in ascolto sui dispositivi o il numero di errori di autorizzazione), AWS IoT Device Defender rileva comportamenti inusuali da parte dei dispositivi che potrebbero indicarne la compromissione. È possibile specificare il comportamento previsto per un gruppo di dispositivi impostando regole per tali parametri. AWS IoT Device Defender monitorerà i data point e ne confronterà i parametri con le regole di comportamento impostate, inviando avvisi quando sono rilevate anomalie.

Rilevamento ML AWS IoT Device Defender imposta automaticamente i comportamenti del dispositivo con modelli di machine learning (ML) utilizzando i dati del dispositivo su sei parametri lato cloud (ad esempio conteggi degli errori di autorizzazione, conteggi dei messaggi inviati) e sette parametri lato dispositivo (ad esempio, pacchetti in uscita, numero di porte TCP) presi dai 14 giorni precedenti. Successivamente, riaddestra i modelli ogni giorno (a condizione che disponga di dati sufficienti per addestrare il modello) in modo da aggiornare i comportamenti del dispositivo previsti in base agli ultimi 14 giorni dalla creazione dei modelli iniziali. AWS IoT Device Defender monitora e identifica con i modelli ML i data point anomali per questi parametri e attiva un allarme se viene rilevata un'anomalia. Rispetto al Rilevamento regole, i principali vantaggi della funzione sono che rileva automaticamente le anomalie operative e di sicurezza sui dispositivi del parco istanze senza che sia necessario definire le normali soglie di attività del dispositivo e aggiorna dinamicamente i comportamenti dei dispositivi previsti in base alle nuove tendenze dei dati dai dispositivi per ridurre i falsi positivi.

Avvisi AWS IoT Device Defender pubblica avvisi nella console di AWS IoT, in Amazon CloudWatch e in Amazon SNS.

Mitigazione AWS IoT Device Defender permette di analizzare i problemi fornendo dati storici e contestuali sul dispositivo e informazioni a esso relative, tra cui metadati, statistiche e storico degli avvisi. Puoi utilizzare le azioni di mitigazione integrate di AWS IoT Device Defender anche per eseguire operazioni di mitigazione su allarmi di audit e rilevamento come nel caso dell’aggiunta di oggetti a un gruppo di oggetti, la sostituzione di una versione della policy predefinita e l’aggiornamento del certificato del dispositivo.

AWS IoT Core fornisce la base per connettere in modo sicuro i dispositivi al cloud o ad altri dispositivi. Permette infatti di applicare controlli di sicurezza quali autenticazione, autorizzazione, registrazione dei log di audit e crittografia completa su vari livelli, in base al livello di rigore richiesto dalla configurazione. Secondo il modello di responsabilità condivisa di AWS, il livello di sicurezza base può essere configurato a seconda dei requisiti aziendali. Tuttavia, errori umani o di sistema e utenti malintenzionati che dispongono delle giuste autorizzazioni possono introdurre modifiche con ripercussioni sulla sicurezza.  

AWS IoT Device Defender aiuta a mantenere la conformità delle configurazioni di sicurezza rispetto a best practice e policy aziendali di sicurezza. L'auditing continuo è estremamente importante, perché gli errori di configurazione possono verificarsi in qualsiasi momento. Inoltre, le configurazioni di sicurezza possono perdere efficacia nel corso del tempo, in particolare quando emergono nuove minacce. Ad esempio, alcuni algoritmi di crittografia che in passato erano considerati perfettamente sicuri per i certificati dei dispositivi possono risultare indeboliti in seguito all'avanzamento della potenza di elaborazione e dei metodi di crittoanalisi.

AWS IoT Device Defender identifica le opportunità per utilizzare i controlli di sicurezza di AWS IoT in modo efficace. Tuttavia, se gli errori di configurazione non sono risolti, oppure se sopraggiungono nuovi vettori di attacco prima di un aggiornamento correttivo, la sicurezza dei dispositivi potrebbe risultare compromessa. AWS IoT Device Defender è complementare ai controlli di sicurezza preventiva presenti in AWS IoT, perché aiuta a identificare i dispositivi già compromessi e ad avviare operazioni di contenimento e correzione.

No. È possibile eseguire l’audit delle configurazioni IoT, oltre a monitorare tutti i parametri lato cloud con soli pochi clic nella console. Se si desidera monitorare anche i parametri lato dispositivo, è necessario apportare alcune modifiche al codice del dispositivo per pubblicare questi parametri in AWS IoT Device Defender. In questa pagina è disponibile un'implementazione di riferimento per un agente di esempio qui. AWS IoT Greengrass e FreeRTOS si integrano in modo completo con AWS IoT Device Defender per parametri sia lato dispositivo sia lato cloud.

Se la piattaforma dei dispositivi offre hardware specializzato che fornisce un ambiente di esecuzione attendibile, consigliamo di utilizzarlo per implementarvi l'agente di dispositivo. Consulta il fornitore della soluzione di sicurezza hardware per linee guida specifiche su come implementare questo tipo di ambiente.

Sì, puoi creare i tuoi parametri personalizzati per eseguire il monitoraggio con Device Defender. Per informazioni su come iniziare il monitoraggio dei parametri lato dispositivo definiti, consulta la documentazione.

AWS IoT Device Defender permette di programmare le attività di auditing, monitorare le attività dei dispositivi e ricevere notifiche di eventuali risultati o comportamenti sospetti.

Le attività di audit conducono valutazioni delle configurazioni di AWS IoT. Un'attività di audit può essere avviata on demand o programmata. Per migliorarne l'accuratezza e ridurre al minimo i falsi positivi, AWS IoT Device Defender incorpora il contesto delle interazioni dei dispositivi con AWS IoT Core.

AWS IoT Device Defender acquisisce e analizza parametri di sicurezza raccolti dai dispositivi connessi e dalle relative interazioni con AWS IoT Core per monitorarne in modo continuo le attività e rilevare comportamenti anomali. Quando si utilizza Rilevamento regole, i dati dei parametri vengono continuamente valutati rispetto ai comportamenti definiti dall'utente; quando si utilizza invece Rilevamento ML, i dati dei parametri vengono valutati da modelli di machine learning creati automaticamente per identificare le anomalie. La raccolta e l'emissione dei parametri è opzionale. Tuttavia, è caldamente consigliata. AWS IoT Device Defender fornisce l'implementazione e la documentazione di riferimento per gli operatori responsabili della raccolta e dell'emissione di parametri lato dispositivo.

I risultati di un'attività di auditing programmata e le anomalie rilevate sui dispositivi vengono pubblicati nella console di AWS IoT, AWS IoT Device Defender API e sono accessibili tramite Amazon CloudWatch. Inoltre, è possibile configurare il servizio in modo che invii i risultati in argomenti Amazon SNS per l'integrazione con pannelli di controllo di sicurezza o l'attivazione di flussi di remediation automatizzati.

AWS IoT Device Defender utilizza i modelli di machine learning per monitorare e identificare i data point anomali per i parametri di comportamento dei dispositivi in Rilevamento ML. La generazione del modello ML iniziale di AWS IoT Device Defender per i dispositivi richiede 14 giorni e almeno 25.000 data point di parametri per parametro. Successivamente, aggiorna il modello ogni giorno purché siano soddisfatti i 25.000 data point di parametro per parametro. Se il requisito minimo dei data point non viene soddisfatto, AWS IoT Device Defender proverà ad aggiornare il modello il giorno successivo. Proverà ogni giorno per 30 giorni, dopodiché non utilizzerà più il modello.

Abbiamo progettato una serie di misure per affrontare gli allarmi falsi positivi dei modelli ML in base al tuo caso d'uso aziendale quando utilizzi Rilevamento ML di AWS IoT Device Defender in modo da disporre di strumenti per controllare gli allarmi ricevuti:

1. Modifica il numero di data point consecutivi necessari per attivare l'allarme: se ottieni frequentemente falsi allarmi a causa di picchi di dati dei parametri, puoi utilizzare questa impostazione per aumentare il numero di data point anomali consecutivi prima di ricevere un allarme.
2. Modifica l’affidabilità di Rilevamento ML: per i casi di falsi positivi cronici, puoi semplicemente regolare il rilevamento per gli allarmi in modo che abbia una maggiore affidabilità. Puoi scegliere tra i livelli di affidabilità BASSO, MEDIO, ALTO. Un’affidabilità di livello ALTO rappresenta un rapporto sensibilità/volume allarme basso, il livello MEDIO rappresenta un rapporto sensibilità/volume allarme medio mentre il livello BASSO rappresenta un rapporto sensibilità/volume allarme alto.
3. Possibilità di eliminare gli allarmi: per i casi una tantum in cui sai che determinate azioni da parte tua potrebbero causare falsi positivi (ad esempio, un processo OTA), puoi aggiornare il relativo comportamento di Rilevamento ML in modo da eliminare gli allarmi. Inoltre, AWS IoT Device Defender imposta automaticamente gli allarmi su "eliminati" nella configurazione predefinita del profilo di sicurezza di Rilevamento ML, a meno che tu non scelga di modificare la configurazione predefinita.

Consulta la Tabella delle Regioni AWS per l'elenco aggiornato delle regioni supportate da AWS IoT Device Defender.

Puoi utilizzare AWS IoT Device Defender indipendentemente dalla tua posizione geografica, purché tu abbia accesso a una delle regioni AWS sopra elencate.

Sì. Consulta la pagina dei prezzi di AWS IoT Device Defender per ulteriori informazioni.

I servizi di Audit, Rilevamento regole o Rilevamento ML possono essere utilizzati in modo flessibile, perché vengono fatturati separatamente. Consulta la pagina dei prezzi di AWS IoT Device Defender per ulteriori informazioni.

No, non sarà addebitato alcun costo per i messaggi utilizzati per riportare parametri di rilevamento lato dispositivo in AWS IoT Device Defender.

Sì, saranno addebitati i costi di connessione con AWS IoT Core per la comunicazione dei parametri della funzione di rilevamento lato dispositivo ad AWS IoT Device Defender. Consulta la pagina dei prezzi di AWS IoT Core per ulteriori informazioni.

Se utilizzi Rilevamento regole, inizia creando un profilo di sicurezza con un comportamento restrittivo previsto (ad esempio, soglie minime) e collegalo a un gruppo di oggetti per una determinata serie di dispositivi. AWS IoT Device Defender invierà avvisi con i data point dei parametri emessi dal dispositivo per il comportamento che è stato violato. Le soglie di invio delle notifiche possono essere ottimizzate in base al caso d'uso nel tempo.

Se utilizzi Rilevamento ML, la funzionalità imposta automaticamente i comportamenti del dispositivo con il machine learning per monitorare le attività del dispositivo. AWS IoT Device Defender invierà avvisi con i data point dei parametri emessi dal dispositivo quando un modello ML contrassegna il data point come anomalo. In questo modo, non dovrai definire comportamenti accurati dei dispositivi e potrai iniziare il monitoraggio in maniera semplice e veloce.