Вопросы и ответы по AWS IoT Device Defender

Вопрос. Что представляет собой AWS IoT Device Defender?

AWS IoT Device Defender – это полностью управляемый сервис безопасности IoT, с помощью которого можно обеспечить постоянную безопасность IoT‑конфигураций. AWS IoT Device Defender предоставляет инструменты для обнаружения проблем безопасности и реагирования на них. AWS IoT Device Defender проверяет соответствие парка устройств рекомендациям по безопасности, непрерывно выполняет мониторинг устройств для выявления аномалий в их поведении, предупреждает о проблемах безопасности по мере их возникновения и обеспечивает встроенные средства для устранения этих проблем.

Вопрос. Какими основными возможностями обладает AWS IoT Device Defender?

Аудит AWS IoT Device Defender IoT проверяет, соответствуют ли связанные с устройствами ресурсы (такие как сертификаты X.509, политики IoT и идентификаторы клиентов) рекомендациям по безопасности AWS IoT (например, принципу минимальных привилегий или правилу, согласно которому каждое устройство должно иметь уникальный идентификатор). AWS IoT Device Defender сообщает о конфигурациях, не соответствующих рекомендациям по безопасности, например об использовании одного идентификатора для нескольких устройств или о недостаточной строгости политик, которые, например, позволяют одному устройству считывать и изменять данные на многих других устройствах.

Обнаружение правил AWS IoT Device Defender выявляет необычное поведение устройства, которое может быть признаком взлома, путем непрерывного мониторинга ключевых метрик безопасности на устройстве и в сервисе AWS IoT Core. К таким метрикам относится, например, количество TCP‑портов для входящих соединений на устройствах или число сбоев авторизации. Пользователи могут определить нормальное поведение для группы устройств, задав модели поведения (правила) для этих метрик. AWS IoT Device Defender выполняет мониторинг каждой точки данных, переданной для этих метрик, и определяет, соответствует ли она заданным моделям поведения (правилам). При обнаружении отклонений выдается предупреждение.

ML-обнаружение AWS IoT Device Defender автоматически задает поведение устройства с помощью моделей машинного обучения (ML), используя данные устройства по шести метрикам на стороне облака (например, количество сбоев авторизации, количество отправленных сообщений) и семи метрикам на стороне устройства (например, отправка пакетов, отслеживание количества TCP-портов) за последние 14 дней. Затем выполняется ежедневное повторное обучение модели (при условии, что для этого имеется достаточно данных) с целью обновить данные об ожидаемом поведении устройства на основе информации за последние 14 дней после создания первоначальных моделей. AWS IoT Device Defender отслеживает и определяет аномальные точки данных для этих метрик с помощью моделей машинного обучения и при обнаружении аномалии генерирует предупреждение. По сравнению с функцией обнаружения правил, основными преимуществами данной функции является автоматическое обнаружение аномалий в работе и безопасности на всех устройствах в парке без необходимости устанавливать пороговые значения их нормальной активности, а также постоянное обновление данных об ожидаемом поведении устройств на основе показателей в динамике, что позволяет уменьшить количество ложноположительных результатов.

Выдача предупреждений AWS IoT Device Defender публикует предупреждения в консоль AWS IoT, Amazon CloudWatch и Amazon SNS.

Устранение проблем AWS IoT Device Defender позволяет расследовать проблемы с помощью контекстуальных и исторических данных об устройстве. Пользователь получает доступ к метаданным устройства, статистике и архиву предупреждений, относящихся к устройству. Он также может использовать встроенные в AWS IoT Device Defender средства для нейтрализации угроз, вызвавших появление предупреждений аудита и обнаружения, например для добавления объектов в группу, замены версии политики по умолчанию и обновления сертификата устройства.

Вопрос. Каким образом можно обеспечить безопасность устройств с помощью AWS IoT и какую роль в этом играет AWS IoT Device Defender?

AWS IoT Core включает набор отдельных компонентов для безопасного подключения устройств к облаку и другим устройствам. Эти компоненты позволяют внедрить средства контроля безопасности разной степени строгости в зависимости от используемых конфигураций. К таким средствам относятся аутентификация, авторизация, ведение журнала аудита и сквозное шифрование. Согласно модели общей ответственности AWS, клиенты отвечают за поддержание необходимых конфигураций безопасности в соответствии с требованиями бизнеса. Однако в результате ошибок, связанных с человеческим фактором, и системных ошибок, а также злонамеренных действий авторизованных пользователей эффективность конфигураций безопасности может снизиться.  

С помощью AWS IoT Device Defender можно непрерывно контролировать соответствие конфигураций безопасности принятым рекомендациям и собственным политикам безопасности организации. Непрерывный контроль играет первостепенную роль, так как ошибки в конфигурации могут возникнуть в любой момент. Кроме того, эффективность конфигураций безопасности может снизиться со временем из-за того, что новые угрозы возникают постоянно. Например, развитие методов вычислений и криптоанализа может привести к тому, что криптографические алгоритмы, ранее позволявшие создавать надежные цифровые подписи для сертификатов устройств, станут менее эффективны.

AWS IoT Device Defender определяет, как наиболее эффективно использовать средства управления безопасностью AWS IoT. Однако если ошибки в конфигурации безопасности не устраняются или если новые направления атаки становятся общеизвестными до того, как на устройства будут установлены исправления, может возникнуть угроза взлома подключенных устройств. AWS IoT Device Defender дополняет возможности превентивных средств обеспечения безопасности AWS IoT, позволяя выявить уже взломанные устройства и принять меры по сдерживанию и устранению угроз.

Вопрос. Нужно ли изменять код на уровне устройства для использования AWS IoT Device Defender?

Нет. Вы можете проверить конфигурации IoT и все метрики на стороне облака всего за пару щелчков мышью в консоли. Если вы также хотите следить за метриками на стороне устройства, потребуется внести некоторые изменения в код на уровне устройства, чтобы опубликовать эти метрики в AWS IoT Device Defender. Эталонную реализацию образца агента см. здесь. AWS IoT Greengrass и FreeRTOS полностью интегрированы с AWS IoT Device Defender для работы с метриками как на стороне устройства, так и на стороне облака.

Если на платформе устройства предусмотрено специализированное оборудование, которое поддерживает среду доверенного выполнения, настоятельно рекомендуется реализовать запуск агента устройства в доверенной среде. Проконсультируйтесь с поставщиком аппаратного решения для обеспечения безопасности, чтобы получить рекомендации по реализации такого варианта.

Вопрос. Можно ли отслеживать нестандартные метрики, заданные пользователем, с помощью AWS IoT Device Defender?

Да, можно создавать собственные метрики для отслеживания с помощью Device Defender. Чтобы узнать, как начать отслеживание заданных пользователем метрик на стороне устройства, см. документацию.

Вопрос. Как работает AWS IoT Device Defender?

AWS IoT Device Defender позволяет планировать задачи аудита, осуществлять мониторинг работы устройства и получать уведомления при обнаружении проблем во время аудита, а также предупреждений об отклонении в поведении устройства.

При выполнении задач аудита оцениваются конфигурации AWS IoT. Задачи аудита могут выполняться по требованию или по расписанию. Для повышения точности аудита и уменьшения числа ложных срабатываний AWS IoT Device Defender учитывает контекст взаимодействия между устройствами и AWS IoT Core.

AWS IoT Device Defender принимает и анализирует ключевые метрики безопасности, поступающие от подключенных устройств и их взаимодействий с AWS IoT Core. Благодаря этому осуществляется непрерывный мониторинг работы устройств и выявляется их нетипичное поведение. При использовании функции обнаружения правил данные метрики постоянно сравниваются с заданными моделями поведения; при использовании функции ML-обнаружения данные метрики непрерывно анализируются автоматически построенными моделями машинного обучения для выявления аномалий. Сбор и передача метрик устройств не являются обязательными. Однако это настоятельно рекомендуется. В AWS IoT Device Defender доступна эталонная реализация агентов устройств, предназначенных для сбора метрик на стороне устройства и их передачи, а также соответствующая документация.

Результаты выполнения плановых задач аудита и все обнаруженные отклонения в работе устройств публикуются в консоли AWS IoT, API AWS IoT Device Defender. Доступ к ним можно получить с помощью Amazon CloudWatch. Кроме того, можно настроить AWS IoT Device Defender так, чтобы результаты отправлялись в темы Amazon SNS для включения в панели управления безопасностью или запуска рабочих процессов автоматического устранения проблем.

Вопрос. Как происходит обучение модели ML-обнаружения в AWS IoT Device Defender?

Для отслеживания и выявления аномальных точек данных в метриках поведения устройств функция ML-обнаружения в AWS IoT Device Defender использует модели машинного обучения. AWS IoT Device Defender требуется 14 дней и не менее 25 000 точек данных на метрику для построения первоначальной модели машинного обучения устройства. Впоследствии сервис обновляет данную модель ежедневно, если соблюдаются требование наличия не менее 25 000 точек данных на метрику. Если минимальные требования в отношении точек данных не соблюдены, AWS IoT Device Defender пытается обновить модель на следующий день. Такие попытки повторяются ежедневно в течение 30 дней, после чего обновление модели прекращается.

Вопрос. Как избежать ложноположительных срабатываний обученных моделей при использовании функции ML-обнаружения AWS IoT Device Defender?

Мы разработали ряд мер для устранения проблемы ложных срабатываний в моделях машинного обучения при использовании функции ML-обнаружения AWS IoT Device Defender, которые основаны на потребностях вашего бизнеса и обеспечивает средства управления получаемыми предупреждениями:

1. Изменить количество последовательных точек данных, необходимых для запуска предупреждения: если из-за наличия пиков в метриках ложные срабатывания происходят часто, вы можете использовать этот параметр, чтобы установить количество последовательных точек данных, которые могут быть аномальными, прежде чем запускать предупреждение.
2. Изменить достоверность функции ML-обнаружения: при постоянных ложноположительных срабатываниях вы можете легко задать достоверность обнаружения. Доступны следующие уровни достоверности: LOW, MEDIUM, HIGH. Значение HIGH означает низкую чувствительность / громкость предупреждения, MEDIUM – среднюю чувствительность / громкость предупреждения, LOW – высокую чувствительность / громкость предупреждения.
3. Игнорирование предупреждений: в единичных случаях, когда известно, что определенные действия на вашей стороне могут вызывать ложные срабатывания (например, задание OTA), для игнорирования таких предупреждений можно обновить соответствующее поведение функции ML-обнаружения. Кроме того, в настройках профиля безопасности функции ML-обнаружения AWS IoT Device Defender для предупреждений по умолчанию задано значение «игнорировать», которое будет использоваться, пока конфигурация по умолчанию не будет изменена.

Вопрос. В каких регионах AWS доступен сервис AWS IoT Device Defender?

Актуальный перечень регионов, поддерживаемых AWS IoT Device Defender, приведен в Таблице регионов AWS.

При наличии доступа к одному из указанных выше регионов AWS использовать AWS IoT Device Defender можно независимо от своего местоположения.

Вопрос. Доступен ли сервис AWS IoT Device Defender на уровне бесплатного пользования AWS?

Да. Подробности см. на странице цен на AWS IoT Device Defender.

Вопрос. Сколько стоит использование сервиса AWS IoT Device Defender?

Возможности аудита, обнаружения правил или ML-обнаружения можно использовать независимо друг от друга, так как плата за них начисляется раздельно. Подробности см. на странице цен на AWS IoT Device Defender.

Вопрос. Нужно ли при работе с AWS IoT Device Defender платить за сообщения AWS IoT Core, в которых передаются метрики для возможности обнаружения?

Нет. Платить за сообщения, с помощью которых в AWS IoT Device Defender передаются метрики для возможности обнаружения, собираемые на стороне устройства, не нужно.

Вопрос. Нужно ли при работе с AWS IoT Device Defender платить за подключение к AWS IoT Core с целью передачи метрик для возможности обнаружения?

Да. Если подключение к AWS IoT Core осуществляется только с целью передачи в AWS IoT Device Defender метрик для возможности обнаружения, собираемых на стороне устройства, плата взимается. Подробности см. на странице цен на AWS IoT Core.

Вопрос. Как определить значения для описания ожидаемого поведения устройств в AWS IoT Device Defender?

При использовании функции обнаружения правил, сначала следует создать профиль безопасности с ограничениями на поведение (например, в виде низких пороговых значений) и закрепить его за группой вещей для типового набора устройств. AWS IoT Device Defender выдаст предупреждение, включающее в себя переданную устройством точку данных метрики, которая представляет собой отклонение от ожидаемого поведения. Затем пороговые значения для поведения устройства можно настроить более точно с учетом сценария использования с течением времени.

При использовании функции ML-обнаружения данная функция автоматически устанавливает поведение устройства с помощью алгоритмов машинного обучения с целью мониторинга работы устройства. Когда модель машинного обнаружит в точке данных аномалию, AWS IoT Device Defender выдаст предупреждение, включающее в себя переданную устройством точку данных метрики. Теперь не нужно определять точное поведение устройств и можно легче и быстрее приступить к мониторингу.