Вопросы и ответы по AWS IoT Device Defender

AWS IoT Device Defender – это полностью управляемый сервис безопасности IoT, с помощью которого можно обеспечить постоянную безопасность IoT‑конфигураций. AWS IoT Device Defender предоставляет инструменты для обнаружения проблем безопасности и реагирования на них. AWS IoT Device Defender проверяет соответствие парка устройств рекомендациям по безопасности, непрерывно выполняет мониторинг устройств для выявления аномалий в их поведении, предупреждает о проблемах безопасности по мере их возникновения и обеспечивает встроенные средства для устранения этих проблем.

Audit AWS IoT Device Defender проверяет ресурсы, связанные с устройством (например, сертификаты X.509, политики Интернета вещей и идентификаторы клиентов), на соответствие рекомендациям AWS IoT по безопасности (например, принципу наименьших привилегий или уникального идентификатора для каждого устройства). AWS IoT Device Defender сообщает о конфигурациях, не соответствующих рекомендациям по безопасности, например об использовании одного идентификатора для нескольких устройств или о недостаточной строгости политик, которые, например, позволяют одному устройству считывать и изменять данные на многих других устройствах.

Rules Detect AWS IoT Device Defender обнаруживает необычное поведение устройства, которое может свидетельствовать о компрометации, постоянно отслеживая важные показатели безопасности устройства и AWS IoT Core (например, количество прослушиваемых TCP-портов на ваших устройствах или количество ошибок авторизации). Пользователи могут определить нормальное поведение для группы устройств, задав модели поведения (правила) для этих метрик. AWS IoT Device Defender выполняет мониторинг каждой точки данных, переданной для этих метрик, и определяет, соответствует ли она заданным моделям поведения (правилам). При обнаружении отклонений выдается предупреждение.

ML Detect AWS IoT Device Defender автоматически настраивает поведение устройств с помощью моделей машинного обучения (ML), используя данные устройств по шести облачным метрикам (например, количество ошибок авторизации, количество отправленных сообщений) и семи метрикам на стороне устройства (например, исходящие пакеты, количество прослушиваемых портов TCP) за последние 14 дней. Затем выполняется ежедневное повторное обучение модели (при условии, что для этого имеется достаточно данных) с целью обновить данные об ожидаемом поведении устройства на основе информации за последние 14 дней после создания первоначальных моделей. AWS IoT Device Defender отслеживает и определяет аномальные точки данных для этих метрик с помощью моделей машинного обучения и при обнаружении аномалии генерирует предупреждение. По сравнению с функцией обнаружения правил, основными преимуществами данной функции является автоматическое обнаружение аномалий в работе и безопасности на всех устройствах в парке без необходимости устанавливать пороговые значения их нормальной активности, а также постоянное обновление данных об ожидаемом поведении устройств на основе показателей в динамике, что позволяет уменьшить количество ложноположительных результатов.

Оповещение AWS IoT Device Defender публикует сигналы тревоги в консоли AWS IoT, Amazon CloudWatch и Amazon SNS.

AWS IoT Device Defender по смягчению последствий позволяет исследовать проблемы, предоставляя контекстную и историческую информацию об устройстве, такую как метаданные устройства, статистика устройства и исторические предупреждения об устройстве. Он также может использовать встроенные в AWS IoT Device Defender средства для нейтрализации угроз, вызвавших появление предупреждений аудита и обнаружения, например для добавления объектов в группу, замены версии политики по умолчанию и обновления сертификата устройства.

AWS IoT Core включает набор отдельных компонентов для безопасного подключения устройств к облаку и другим устройствам. Эти компоненты позволяют внедрить средства контроля безопасности разной степени строгости в зависимости от используемых конфигураций. К таким средствам относятся аутентификация, авторизация, ведение журнала аудита и сквозное шифрование. Согласно модели общей ответственности AWS, клиенты отвечают за поддержание необходимых конфигураций безопасности в соответствии с требованиями бизнеса. Однако в результате ошибок, связанных с человеческим фактором, и системных ошибок, а также злонамеренных действий авторизованных пользователей эффективность конфигураций безопасности может снизиться.  

С помощью AWS IoT Device Defender можно непрерывно контролировать соответствие конфигураций безопасности принятым рекомендациям и собственным политикам безопасности организации. Непрерывный контроль играет первостепенную роль, так как ошибки в конфигурации могут возникнуть в любой момент. Кроме того, эффективность конфигураций безопасности может снизиться со временем из-за того, что новые угрозы возникают постоянно. Например, развитие методов вычислений и криптоанализа может привести к тому, что криптографические алгоритмы, ранее позволявшие создавать надежные цифровые подписи для сертификатов устройств, станут менее эффективны.

AWS IoT Device Defender определяет, как наиболее эффективно использовать средства управления безопасностью AWS IoT. Однако если ошибки в конфигурации безопасности не устраняются или если новые направления атаки становятся общеизвестными до того, как на устройства будут установлены исправления, может возникнуть угроза взлома подключенных устройств. AWS IoT Device Defender дополняет возможности превентивных средств обеспечения безопасности AWS IoT, позволяя выявить уже взломанные устройства и принять меры по сдерживанию и устранению угроз.

Нет. Вы можете проверить конфигурации IoT и все метрики на стороне облака всего за пару щелчков мышью в консоли. Если вы также хотите следить за метриками на стороне устройства, потребуется внести некоторые изменения в код на уровне устройства, чтобы опубликовать эти метрики в AWS IoT Device Defender. Эталонную реализацию пробного агента можно найти здесь. AWS IoT Greengrass и FreeRTOS полностью интегрированы с AWS IoT Device Defender для работы с метриками как на стороне устройства, так и на стороне облака.

Если на платформе устройства предусмотрено специализированное оборудование, которое поддерживает среду доверенного выполнения, настоятельно рекомендуется реализовать запуск агента устройства в доверенной среде. Проконсультируйтесь с поставщиком аппаратного решения для обеспечения безопасности, чтобы получить рекомендации по реализации такого варианта.

Да, можно создавать собственные метрики для отслеживания с помощью Device Defender. Ознакомьтесь с документацией, чтобы узнать, как начать мониторинг определенных вами метрик на стороне устройства.

AWS IoT Device Defender позволяет планировать задачи аудита, осуществлять мониторинг работы устройства и получать уведомления при обнаружении проблем во время аудита, а также предупреждений об отклонении в поведении устройства.

При выполнении задач аудита оцениваются конфигурации AWS IoT. Задачи аудита могут выполняться по требованию или по расписанию. Для повышения точности аудита и уменьшения числа ложных срабатываний AWS IoT Device Defender учитывает контекст взаимодействия между устройствами и AWS IoT Core.

AWS IoT Device Defender принимает и анализирует ключевые метрики безопасности, поступающие от подключенных устройств и их взаимодействий с AWS IoT Core. Благодаря этому осуществляется непрерывный мониторинг работы устройств и выявляется их нетипичное поведение. При использовании функции обнаружения правил данные метрики постоянно сравниваются с заданными моделями поведения; при использовании функции ML-обнаружения данные метрики непрерывно анализируются автоматически построенными моделями машинного обучения для выявления аномалий. Сбор и передача метрик устройств не являются обязательными. Однако это настоятельно рекомендуется. AWS IoT Device Defender предоставляет эталонную реализацию и документацию для агентов устройств, отвечающих за сбор и передачу метрик на стороне устройства.

Результаты выполнения плановых задач аудита и все обнаруженные отклонения в работе устройств публикуются в консоли AWS IoT, API AWS IoT Device Defender. Доступ к ним можно получить с помощью Amazon CloudWatch. Кроме того, можно настроить AWS IoT Device Defender так, чтобы результаты отправлялись в темы Amazon SNS для включения в панели управления безопасностью или запуска рабочих процессов автоматического устранения проблем.

Для отслеживания и выявления аномальных точек данных в метриках поведения устройств функция ML-обнаружения в AWS IoT Device Defender использует модели машинного обучения. AWS IoT Device Defender требуется 14 дней и не менее 25 000 точек данных на метрику для построения первоначальной модели машинного обучения устройства. Впоследствии сервис обновляет данную модель ежедневно, если соблюдаются требование наличия не менее 25 000 точек данных на метрику. Если минимальные требования в отношении точек данных не соблюдены, AWS IoT Device Defender пытается обновить модель на следующий день. Такие попытки повторяются ежедневно в течение 30 дней, после чего обновление модели прекращается.

Мы разработали ряд мер для устранения проблемы ложных срабатываний в моделях машинного обучения при использовании функции ML-обнаружения AWS IoT Device Defender, которые основаны на потребностях вашего бизнеса и обеспечивает средства управления получаемыми предупреждениями:

1. Измените количество последовательных точек данных, необходимых для срабатывания сигнала тревоги: если вы часто получаете ложные срабатывания из-за резких скачков значений метрических данных, вы можете использовать эту настройку, чтобы несколько последовательных точек данных были аномальными, прежде чем будет получен сигнал тревоги.
2. Измените степень достоверности ML Detect: в случае хронических ложноположительных результатов вы можете просто настроить обнаружение на сигналы тревоги с большей степенью достоверности. Доступны следующие уровни достоверности: LOW, MEDIUM, HIGH. Значение HIGH означает низкую чувствительность / громкость предупреждения, MEDIUM – среднюю чувствительность / громкость предупреждения, LOW – высокую чувствительность / громкость предупреждения.
3. Подавление сигналов тревоги. В разовых случаях, когда вы знаете, что определенные действия с вашей стороны могут привести к ложным срабатываниям (например, задание OTA), вы можете обновить соответствующее поведение ML Detect, чтобы подавить сигналы тревоги. Кроме того, в настройках профиля безопасности функции ML-обнаружения AWS IoT Device Defender для предупреждений по умолчанию задано значение «игнорировать», которое будет использоваться, пока конфигурация по умолчанию не будет изменена.

Текущий список регионов, поддерживаемых AWS IoT Device Defender, см. в таблице регионов AWS.

При наличии доступа к одному из указанных выше регионов AWS использовать AWS IoT Device Defender можно независимо от своего местоположения.

Да. Дополнительные сведения см. на странице цен на AWS IoT Device Defender.

Возможности аудита, обнаружения правил или ML-обнаружения можно использовать независимо друг от друга, так как плата за них начисляется раздельно. Дополнительные сведения см. на странице цен на AWS IoT Device Defender.

Нет. Платить за сообщения, с помощью которых в AWS IoT Device Defender передаются метрики для возможности обнаружения, собираемые на стороне устройства, не нужно.

Да. Если подключение к AWS IoT Core осуществляется только с целью передачи в AWS IoT Device Defender метрик для возможности обнаружения, собираемых на стороне устройства, плата взимается. Дополнительные сведения см. на странице цен на AWS IoT Core.

При использовании функции обнаружения правил, сначала следует создать профиль безопасности с ограничениями на поведение (например, в виде низких пороговых значений) и закрепить его за группой вещей для типового набора устройств. AWS IoT Device Defender выдаст предупреждение, включающее в себя переданную устройством точку данных метрики, которая представляет собой отклонение от ожидаемого поведения. Затем пороговые значения для поведения устройства можно настроить более точно с учетом сценария использования с течением времени.

При использовании функции ML-обнаружения данная функция автоматически устанавливает поведение устройства с помощью алгоритмов машинного обучения с целью мониторинга работы устройства. Когда модель машинного обнаружит в точке данных аномалию, AWS IoT Device Defender выдаст предупреждение, включающее в себя переданную устройством точку данных метрики. Теперь не нужно определять точное поведение устройств и можно легче и быстрее приступить к мониторингу.