P: O que é o AWS IoT Device Defender?
O AWS IoT Device Defender é um serviço de segurança de IoT gerenciado que permite proteger continuamente configurações de IoT. Com o AWS IoT Device Defender, você consegue as ferramentas para identificar e responder a problemas de segurança. O AWS IoT Device Defender realiza auditoria na sua frota para garantir o cumprimento das melhores práticas de segurança, monitora continuamente as frotas de dispositivos para detectar qualquer comportamento anormal de dispositivo, alerta sobre problemas de segurança assim que surgem e oferece ações de mitigação integradas para esses problemas de segurança.
P: Quais são os principais recursos do AWS IoT Device Defender?
Auditoria o AWS IoT Device Defender audita recursos relacionados a dispositivos (como certificados X.509, políticas de IoT e IDs de clientes) com base nas melhores práticas de segurança do AWS IoT (por exemplo, o princípio de menor privilégio ou identidade única por dispositivo). O AWS IoT Device Defender relata configurações que não estão em conformidade com as melhores práticas de segurança, como vários dispositivos usando a mesma identidade ou políticas de permissão exageradamente permissivas que podem permitir que um dispositivo leia e atualize dados de vários outros dispositivos.
Rules Detect o AWS IoT Device Defender detecta comportamentos incomuns de dispositivos que podem indicar um comprometimento, monitorando continuamente métricas de segurança de alto valor do dispositivo e do AWS IoT Core (por exemplo, o número de portas TCP na escuta nos dispositivos ou número de falhas de autorização). Você pode especificar o comportamento normal do dispositivo para um grupo de dispositivos que configura comportamentos (regras) para essas métricas. O AWS IoT Device Defender monitora e avalia cada ponto de dados relatado para essas métricas em relação a comportamentos definidos pelos usuários (regras) e alerta, caso uma anomalia seja detectada.
Detecção de ML O AWS IoT Device Defender define automaticamente os comportamentos do dispositivo para você com modelos de machine-learning (ML) usando dados do dispositivo em seis métricas do lado da nuvem (por exemplo, contagens de falha de autorização, contagens de mensagens enviadas) e sete métricas do lado do dispositivo (por exemplo, pacotes de saída, contagens de escuta de portas TCP) de um período de 14 dias. Em seguida, ele requalifica novamente os modelos a cada dia (desde que tenha dados suficientes para treinar o modelo) para atualizar os comportamentos esperados do dispositivo com base nos últimos 14 dias após os modelos iniciais serem criados. O AWS IoT Device Defender monitora e identifica pontos de dados anômalos para essas métricas com os modelos de ML e dispara um alarme se uma anomalia for detectada. Em comparação com o Rules Detect, os principais benefícios do recurso são: detecta automaticamente anomalias operacionais e de segurança em dispositivos da frota sem a necessidade de definir os limites normais de atividade do dispositivo e atualiza dinamicamente os comportamentos esperados do dispositivo com base em novas tendências de dados dos dispositivos para reduzir os falsos positivos.
Alertas o AWS IoT Device Defender publica alarmes para o console do AWS IoT, o Amazon CloudWatch e o Amazon SNS.
Mitigação o AWS IoT Device Defender permite investigar problemas, oferecendo informações contextuais e históricas sobre o dispositivo, como metadados, estatísticas e alertas históricos do dispositivo. Também é possível usar o AWS IoT Device Defender permite ações de mitigação integradas para executar etapas de mitigação em alarmes de auditoria e detecção, como adicionar coisas a um grupo de coisas, substituir a versão da política padrão e atualizar o certificado do dispositivo.
P: Como os clientes protegem atualmente os dispositivos usando o AWS IoT e como o AWS IoT Device Defender pode ajudar?
O AWS IoT Core fornece os blocos de criação de segurança para que você conecte de forma segura dispositivos à nuvem e a outros dispositivos. Os blocos de criação permitem aplicar controles de segurança, como autenticação, autorização, registro em logs de auditoria e criptografia completa com diversos níveis de rigor de acordo com as configurações. Nos termos do modelo de responsabilidade compartilhada da AWS, você é responsável pela definição regular de configurações básicas de segurança de acordo com os requisitos empresariais. No entanto, erros humanos ou sistêmicos e atores autorizados mal-intencionados podem introduzir configurações com impactos adversos na segurança.
O AWS IoT Device Defender ajuda a realizar auditorias continuamente nas configurações de segurança para verificar a conformidade com as melhores práticas de segurança e com suas próprias políticas de segurança organizacionais. A auditoria contínua é essencial, pois configurações indevidas podem ocorrer a qualquer momento. Além disso, configurações de segurança podem ser afetadas pela passagem do tempo e novas ameaças surgem constantemente. Por exemplo, algoritmos de segurança que antes ofereciam assinaturas digitais seguras para certificados de dispositivos podem ser enfraquecidos pela evolução dos métodos computacionais e de análise criptográfica.
O AWS IoT Device Defender identifica oportunidades para usar de forma eficaz os controles de segurança do AWS IoT. No entanto, se configurações indevidas de segurança não forem corrigidas, ou novos vetores de ataque forem divulgados publicamente antes da aplicação de patches aos dispositivos, a segurança dos dispositivos conectados poderá ser comprometida. O AWS IoT Device Defender complementa os controles de segurança preventiva do AWS IoT, ajudando a identificar dispositivos já comprometidos e acionando medidas corretivas e de contenção.
P: Preciso alterar o código do nível do dispositivo para usar o AWS IoT Device Defender?
Não. É possível realizar a auditoria nas suas configurações da IoT e monitorar as métricas da nuvem com apenas alguns cliques no console. Se desejar monitorar também as métricas de dispositivo, é necessário realizar algumas alterações no código do dispositivo para publicar as métricas de dispositivo para o AWS IoT Device Defender. Uma implementação de referência para um exemplo de agente pode ser encontrada na aqui. O AWS IoT Greengrass e o FreeRTOS estão totalmente integrados ao AWS IoT Device Defender para fins de métricas de dispositivo e da nuvem.
Se a plataforma do dispositivo contar com hardware especializado que possibilita um ambiente de execução confiável, recomendamos a implementação do agente do dispositivo em um ambiente confiável. Consulte o fornecedor da solução de segurança de hardware para obter orientações específicas sobre como implementar esse tipo de projeto.
P: Posso monitorar métricas fora do padrão que eu mesmo defini pelo AWS IoT Device Defender?
Sim, é possível criar suas próprias métricas personalizadas para monitorar com o Device Defender. Consulte a seção documentação para saber como começar a monitorar as métricas do dispositivo definidas.
P: Como funciona o AWS IoT Device Defender?
O AWS IoT Device Defender permite programar tarefas de auditoria, monitorar a atividade dos dispositivos e receber notificações sobre resultados de auditoria e alarmes de comportamentos incomuns nos dispositivos.
As tarefas de auditoria avaliam as configurações do AWS IoT. Você pode iniciar tarefas de auditoria sob demanda ou de forma programada. Para aumentar a precisão das verificações de auditoria e minimizar falsos positivos, o AWS IoT Device Defender incorpora o contexto das interações do dispositivo com o AWS IoT Core.
O AWS IoT Device Defender consome e analisa métricas de segurança de alto valor, coletadas de dispositivos conectados e de suas interações com o AWS IoT Core, para monitorar continuamente a atividade dos dispositivos e detectar comportamentos incomuns nesses dispositivos. Quando você usa o Rules Detect, os dados da métrica são avaliados de forma contínua em relação aos comportamentos definidos pelo usuário; quando você usa o ML Detect, os dados de métrica são avaliados de forma contínua por modelos de aprendizado de máquina criados automaticamente para identificar anomalias. A coleta e a emissão de métricas de dispositivo são opcionais. No entanto, são recomendadas. O AWS IoT Device Defender oferece uma implementação de referência e documentação para os agentes de dispositivo responsáveis pela coleta e pela emissão de métricas de dispositivo.
Os resultados das tarefas de auditoria agendadas e quaisquer anomalias de atividade do dispositivo detectadas são publicados no console do AWS IoT, na API do AWS IoT Device Defender e podem ser acessados por meio do Amazon CloudWatch. Além disso, você pode configurar o AWS IoT Device Defender para enviar resultados a tópicos do Amazon SNS para fins de integração com painéis de segurança ou acionamento de fluxos de trabalho de remediação automatizados.
P: Como funciona o treinamento do modelo AWS IoT Device Defender ML Detect?
O AWS IoT Device Defender usa modelos de aprendizado de máquina para monitorar e identificar pontos de dados anômalos para métricas de comportamento do dispositivo no ML Detect. Embora o AWS IoT Device Defender esteja criando seu modelo de ML inicial para seus dispositivos, é preciso 14 dias e um mínimo de 25.000 pontos de dados métricos por métrica para gerar o modelo. Depois disso, atualiza o modelo todos os dias, desde que o mínimo de 25.000 pontos de dados métricos por métrica sejam atendidos. Se o requisito mínimo de ponto de dados não for atendido, o AWS IoT Device Defender tentará atualizar o modelo no dia seguinte. Ele fará uma nova tentativa diariamente por 30 dias antes de suspender a atualização do modelo.
P: Como faço para resolver alarmes falsos positivos de modelos treinados ao usar o AWS IoT Device Defender ML Detect?
Foi criado um conjunto de medidas para lidar com alarmes falsos positivos de modelos de ML com base no caso de uso de negócios quando você usa o AWS IoT Device Defender ML Detect para que tenha ferramentas de controle dos alarmes recebidos:
- Alterar o número de pontos de dados consecutivos necessários para disparar o alarme: Se você costuma receber alarmes falsos devido a picos de dados métricos, é possível usar essa configuração para que vários pontos de dados consecutivos sejam anômalos antes de obter um alarme.
- Alterar a confiabilidade do ML Detect: Para casos crônicos de falso-positivo, você pode simplesmente ajustar a detecção de alarmes com maior confiança. Oferecemos níveis de confiança BAIXOS, MÉDIOS e ALTOS para sua escolha. A confiança ALTA representa a sensibilidade/volume do alarme baixo, a sensibilidade/volume do alarme médio de confiança MÉDIA e a sensibilidade/volume do alarme alto de confiança BAIXA.
- Suprima alarmes: para casos únicos em que você sabe que certas ações podem causar falsos positivos (por exemplo, trabalho OTA), é possível atualizar o comportamento da Detecção de ML relacionado para suprimir alarmes. Além disso, o AWS IoT Device Defender padroniza os alarmes como “suprimidos” na configuração do Perfil de segurança da Detecção de ML padrão, a menos que você opte por alterar a configuração padrão.
P: Em quais regiões da AWS o AWS IoT Device Defender está disponível?
Consulte a tabela de regiões da AWS para ver a lista atual de regiões compatíveis com o AWS IoT Device Defender.
Você pode usar o AWS IoT Device Defender independentemente da localização geográfica, desde que tenha acesso a uma das regiões da AWS acima.
P: O AWS IoT Defender está disponível no nível gratuito da AWS?
Sim. Acesse a página de definição de preço do AWS IoT Device Defender para obter mais informações.
P: Quanto custa o AWS IoT Device Defender?
Você tem a flexibilidade de usar a Auditoria, a Detecção de regras ou a Detecção de ML de maneira independente, pois cada uma é cobrada separadamente. Acesse a página de definição de preço do AWS IoT Device Defender para obter mais informações.
P: Ao trabalhar com o AWS IoT Device Defender, precisarei pagar pelas mensagens do AWS IoT Core para relatar métricas de detecção?
Não. Você não precisará pagar pelas mensagens usadas para relatar métricas de detecção do dispositivo para o AWS IoT Device Defender.
P: Ao trabalhar com o AWS IoT Device Defender, precisarei pagar pela conectividade do AWS IoT Core para relatar métricas de detecção?
Sim. Você terá de pagar pela conectividade caso se conecte ao AWS IoT Core unicamente para relatar métricas de detecção do dispositivo para o AWS IoT Device Defender. Acesse a página de definição de preço do AWS IoT Core para obter mais informações.
P: Como faço para saber os valores corretos a definir para obter o comportamento esperado dos dispositivos no AWS IoT Device Defender?
Ao usar a Detecção de regras, comece criando um perfil de segurança com comportamento restritivo esperado (por exemplo, limites baixos) e associe esse perfil a um grupo de coisas de um conjunto representativo de dispositivos. O AWS IoT Device Defender alertará você sobre o ponto de dados de métricas relatadas pelo dispositivo para o comportamento violado. É possível ajustar o limite de comportamento do dispositivo para corresponder ao seu caso de uso ao longo do tempo.
Depois de usar a Detecção de ML, o recurso define os comportamentos do dispositivo automaticamente com machine learning para monitorar as atividades do dispositivo. O AWS IoT Device Defender alertará você sobre os pontos de dados de métricas relatados pelo dispositivo quando o modelo ML indicar o ponto de dados como anômalo. Isso elimina a necessidade de definir comportamentos precisos de seus dispositivos e ajuda você a iniciar o monitoramento de forma mais rápida e fácil.
Descubra mais recursos do AWS IoT Device Defender