IoT 物聯網安全事件的持續檢測和監控解決方案

作者：物聯網IoT技術 2023-09-13 10:52:56

AWS IoT Device Defender 是一項針對物聯網設備的安全服務，客戶可以借助此服務審核設備的安全配置，檢測異常行為，從而降低安全風險。

近幾年來，隨著物聯網技術的不斷成熟和相關國家政策的驅動，大量物聯網行業創新應用得到了快速發展。從消費端智能家居、智能單品的爆發式增長，到企業端在智能制造、智慧交通、公共安全和醫療領域等不斷創新，整個物聯網的市場規模在迅速擴展。

然而，隨之而來的問題便是越來越多的物聯網信息安全事件不斷頻發。由于物聯網設備的一些先天限制，比如要求設備低功耗、體積小、成本低，通常企業選擇的物聯網模組芯片安全性能不高，因此這些物聯網設備都容易成為黑客的攻擊對象。

常見的物聯網設備異常行為如下：

DDOS 攻擊。設備被控制并對服務器進行 DDOS 攻擊，設備發送大量異常數據到服務器，結果導致設備本身無法正常工作以及服務器癱瘓。
設備身份入侵。設備證書泄露以及濫用、設備證書不唯一、設備證書共享導致的安全問題。另外 IoT 權限設置過于寬泛，黑客可以利用以上漏洞來控制設備并造成數據泄露。
設備離線問題。黑客通過掃描默認密碼或者弱密碼進入設備，刪除設備防火墻或者磁盤分區，導致大量設備“變磚”，無法正常工作，造成企業和個人的生命財產安全損失。

AWS IoT Device Defender 是一項針對物聯網設備的安全服務，客戶可以借助此服務審核設備的安全配置，檢測異常行為，從而降低安全風險；此外，亞馬遜云還提供了常見的消息通知服務和日志分析監控服務幫助客戶實現對云中安全事件的持續檢測和監控。

AWS IoT Device Defender

AWS IoT Device Defender 推出 Audit (審計) 功能，它能夠從設備和客戶賬戶層面來審計相關的安全配置和權限是否滿足安全規范。比如 Audit 能夠幫助檢查設備證書是否唯一、是否存在證書共享問題、IoT policy 權限是否設置過高、設備證書是否快過期等問題。您可以定期或者按要求來啟動 Audit。

當前，IoT Device Defender Audit 配置了預先定義好的審計檢查項，您可以通過啟動 Audit 功能來完成對所有審計項的檢查。具體審計列表請查看以下官方文檔：

https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html

AWS IoT Device Defender 推出 Detect (探查) 功能幫助客戶發現設備產生的異常行為。它通過檢測設備行為來幫助客戶發現設備是否存在被入侵的傾向。Detect 定義了 cloud-side metrics 和 device-side metrics 來幫助客戶檢測云中和設備端的異常現象，比如：

設備連接狀態的異常
設備是否嘗試連接未授權的端口
設備收到和發出的數據量大小異常

客戶可以創建一個 security profiles 將需要檢測的 metrics 包含其中，然后集成 AWS CloudWatch 和 AWS SNS 服務。這樣，一旦設備有異常行為發生，相關的報警事件就可以第一時間通知到客戶。詳細說明請查看以下官方文檔：

https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-detect.html

解決方案架構綜述

此解決方案在設備側利用 IoT SDK (亞馬遜云提供 embedded C、C++、java、python 等 SDK) 將客戶的物聯網設備，比如傳感器、機器、家電產品等連接到 AWS IoT Core 服務中，這樣設備便能夠連接上云。

接下來 IoT Device Defender 服務會對從設備產生的運行數據和日志進行審計和檢測，并將結果發送到 AWS CloudWatch 中。客戶可以在 CloudWatch 中查看到對應的審計日志并做初步分析，同時您還可以針對特定的 Metric 創建 Alarm，定義報警規則以及下一步的觸發對象，比如 AWS SNS 服務。在 SNS 中，您可以配置 SNS 的通知對象為 lambda 函數，并在 lambda 中對數據進行預處理并將結果推送到 AWS OpenSearch 服務。

最終，我們通過 OpenSearch 服務來實時分析和可視化日志事件。當中，我們通過 AWS Secrets Manager 服務來存儲 OpenSearch 服務相關的驗證密鑰。通過這樣的方式，我們就可以對物聯網設備產生的異常事件和安全配置問題進行持續檢測和監控。