P: ¿Qué es AWS IoT Device Defender?
AWS IoT Device Defender es un servicio de seguridad de IoT totalmente administrado que le permite proteger las configuraciones de su IoT de forma continua. Con AWS IoT Device Defender, obtiene herramientas para identificar y responder a problemas de seguridad. AWS IoT Device Defender audita su flota para asegurarse de que cumpla con las prácticas recomendadas de seguridad, monitorea continuamente las flotas de dispositivos para detectar cualquier comportamiento anormal, alerta sobre problemas de seguridad a medida que surgen y proporciona medidas de mitigación incorporadas para estos problemas de seguridad.
P: ¿Cuáles son las capacidades clave de AWS IoT Device Defender?
Auditoría: AWS IoT Device Defender audita los recursos relacionados con el dispositivo (como los certificados X.509, las políticas de IoT y los ID de clientes) con respecto a las prácticas recomendadas de seguridad de AWS IoT (por ejemplo, el principio de privilegios mínimos o identidad única por dispositivo). AWS IoT Device Defender informa sobre configuraciones que no cumplen con las prácticas recomendadas de seguridad, como cuando múltiples dispositivos usan la misma identidad, o políticas excesivamente permisivas que autorizan que un dispositivo lea y actualice datos en muchos otros dispositivos.
Detección de reglas: AWS IoT Device Defender detecta comportamientos inusuales de los dispositivos que pueden poner en peligro el monitoreo continuo de las métricas de seguridad de alto valor del dispositivo y de AWS IoT Core (por ejemplo, la cantidad de puertos TCP de escucha en sus dispositivos o los recuentos de errores de autorización). Puede especificar el comportamiento normal de un dispositivo de un grupo de dispositivos estableciendo comportamientos (reglas) para estas métricas. AWS IoT Device Defender monitorea y evalúa cada punto de datos informado de estas métricas con respecto a los comportamientos definidos por el usuario (reglas) y le avisa si se detecta una anomalía.
Detección de machine learning: AWS IoT Device Defender establece automáticamente el comportamiento de los dispositivos con modelos de machine learning (ML) mediante el uso de datos de los dispositivos en seis métricas del lado de la nube (por ejemplo, recuentos de fallos de autorización, recuentos de mensajes enviados) y siete métricas del lado del dispositivo (por ejemplo, paquetes salientes, recuentos de puertos TCP de escucha) de un periodo inferior a 14 días. Posteriormente, entrena de nuevo los modelos diariamente (siempre que tenga suficientes datos para hacerlo) para actualizar los comportamientos esperados de los dispositivos en base a los últimos 14 días posteriores a la creación de los modelos iniciales. AWS IoT Device Defender monitorea e identifica puntos de datos anómalos de estas métricas con los modelos de aprendizaje automático y activa una alarma si se detecta una anomalía. En comparación con la Detección de reglas, los principales beneficios de esta función son: detecta automáticamente las anomalías operativas y de seguridad en los dispositivos de la flota sin necesidad de definir los umbrales de actividad normal de los dispositivos y actualiza dinámicamente los comportamientos esperados de estos en función de las nuevas tendencias de datos de los dispositivos para reducir los falsos positivos.
Alerta: AWS IoT Device Defender publica alarmas en la consola de AWS IoT, Amazon CloudWatch y Amazon SNS.
Mitigación: AWS IoT Device Defender le permite investigar problemas ofreciéndole información contextual e histórica sobre el dispositivo, como los metadatos, las estadísticas y las alertas históricas del dispositivo. También puede utilizar las acciones de mitigación incorporadas en AWS IoT Device Defender para llevar a cabo pasos de mitigación en las alarmas de auditoría y detección, como agregar elementos a un grupo de elementos, reemplazar la versión de política predeterminada y actualizar el certificado del dispositivo.
P: ¿Cómo pueden los clientes proteger los dispositivos hoy con AWS IoT y cómo ayuda AWS IoT Device Defender en esta tarea?
AWS IoT Core proporciona las bases de la seguridad para que pueda conectar dispositivos de forma segura con la nube y con otros dispositivos. Estas bases permiten aplicar controles de seguridad, tales como la autenticación, la autorización, los registros de auditoría y el cifrado completo en diferentes niveles de rigor, según sus configuraciones. De acuerdo con el modelo de responsabilidad compartida de AWS, usted tiene configuraciones de seguridad de referencia, conforme a los requisitos del negocio. Sin embargo, los errores humanos o del sistema y las personas autorizadas con malas intenciones pueden introducir configuraciones que afecten negativamente a la seguridad.
AWS IoT Device Defender le ayuda a auditar continuamente las configuraciones de seguridad para verificar el cumplimiento de las prácticas recomendadas al respecto y de las políticas de seguridad en su organización. La auditoría continua es esencial ya que en cualquier momento se pueden realizar configuraciones incorrectas. Además, las configuraciones de seguridad pueden verse afectadas por el paso del tiempo y surgen constantemente nuevas amenazas. Por ejemplo, los algoritmos criptográficos que solían proporcionar firmas digitales seguras para los certificados de los dispositivos pueden ver reducida su eficacia por los avances en los métodos informáticos y de criptoanálisis.
AWS IoT Device Defender identifica oportunidades para usar los controles de seguridad de AWS IoT de manera efectiva. Sin embargo, si no se solucionan las configuraciones incorrectas de seguridad o se divulgan públicamente nuevos vectores de ataques antes de que se le apliquen parches a los dispositivos, la seguridad de los dispositivos conectados puede verse vulnerada. AWS IoT Device Defender complementa los controles de seguridad preventivos en AWS IoT ayudándolo a identificar los dispositivos que ya se han visto vulnerados e iniciar acciones de contención y correctivas.
P: ¿Necesito cambiar el código a nivel del dispositivo para usar AWS IoT Device Defender?
No. Puede auditar las configuraciones de IoT, además de monitorizar todas las métricas de la nube, con tan solo algunos clics en la consola. Si también desea monitorear las métricas del dispositivo, deberá realizar algunos cambios en el código del dispositivo para publicar las métricas del dispositivo en AWS IoT Device Defender. Puede encontrar la implementación de referencia para un agente de muestra aquí. AWS IoT Greengrass y FreeRTOS están completamente integrados a AWS IoT Device Defender para proporcionar métricas del dispositivo y de la nube.
Si la plataforma de su dispositivo tiene hardware especializado disponible que habilita un entorno de ejecución fiable, le recomendamos implementar su agente de dispositivo para que se ejecute en un entorno fiable. Solicite a su proveedor de soluciones de seguridad para hardware que lo oriente en detalle sobre cómo implementar este tipo de diseño.
P: ¿Puedo monitorear las métricas no estándar que he definido mediante AWS IoT Device Defender?
Sí, puede crear sus propias métricas personalizadas para monitorear mediante Device Defender. Consulte la documentación para saber cómo empezar a controlar las métricas de los dispositivos que ha definido.
P: ¿Cómo funciona AWS IoT Device Defender?
AWS IoT Device Defender permite programar tareas de auditoría, monitorear las actividades del dispositivo y recibir notificaciones de hallazgos de auditoría y alarmas de comportamiento anormal del dispositivo.
Las tareas de auditoría evalúan las configuraciones de AWS IoT. Puede iniciar tareas de auditoría bajo demanda o de forma programada. Para aumentar la precisión de las comprobaciones de auditoría y minimizar los falsos positivos, AWS IoT Device Defender incorpora el contexto de las interacciones de los dispositivos con AWS IoT Core.
AWS IoT Device Defender asimila y analiza las métricas de seguridad de alto valor que recopila de los dispositivos conectados y sus interacciones con AWS IoT Core para monitorear continuamente las actividades de los dispositivos y detectar comportamientos anormales. Cuando utiliza la Detección de reglas, los datos de métricas se evalúan continuamente con respecto a los comportamientos definidos por el usuario. Cuando utiliza la Detección de aprendizaje automático, los modelos de aprendizaje automático evalúan continuamente los datos de métricas para identificar anomalías. La recopilación y la emisión de métricas del dispositivo son opcionales. Sin embargo, es una acción muy recomendable. AWS IoT Device Defender ofrece implementación y documentación de referencia para los agentes de dispositivo responsables de recopilar y emitir las métricas del dispositivo.
Los resultados de las tareas programadas de auditoría y cualquier anomalía detectada en la actividad del dispositivo se publican en la consola de AWS IoT, la API de AWS IoT Device Defender y se puede acceder a ellos a través de Amazon CloudWatch. Además, puede configurar AWS IoT Device Defender para que envíe los resultados a los temas de Amazon SNS a fin de integrarlos con paneles de seguridad o activar los flujos de trabajo de corrección automatizados.
P: ¿Cómo funciona la capacitación del modelo de Detección de aprendizaje automático de AWS IoT Device Defender?
AWS IoT Device Defender utiliza modelos de aprendizaje automático para monitorear e identificar puntos de datos anómalos de las métricas de comportamiento del dispositivo en la Detección de aprendizaje automático. Aunque AWS IoT Device Defender crea su modelo inicial de aprendizaje automático para sus dispositivos, la generación del modelo requiere 14 días y un mínimo de 25 000 puntos de datos métricos por métrica. Después, actualiza el modelo diariamente siempre y cuando se cumplan los 25 000 puntos de datos métricos mínimos por métrica. Si no se cumple el requisito de puntos de datos mínimo, AWS IoT Device Defender intentará actualizar el modelo al día siguiente. Volverá a intentarlo diariamente durante 30 días antes de interrumpir la actualización del modelo.
P: ¿Cómo resuelvo las alarmas de falsos positivos de los modelos capacitados cuando utilizo Detección de aprendizaje automático de AWS IoT Device Defender?
Diseñamos un conjunto de medidas para resolver las alarmas de falsos positivos de los modelos de aprendizaje automático basados en su caso de uso comercial cuando utiliza la Detección de aprendizaje automático de AWS IoT Device Defender, de modo que tenga herramientas para controlar las alarmas que recibe:
- Cambiar el número de puntos de datos consecutivos necesarios para activar la alarma: si con frecuencia se producen falsas alarmas debido a picos de datos de métricas, puede utilizar este ajuste para solicitar que varios puntos de datos consecutivos sean anómalos antes de que se produzca una alarma.
- Cambiar la confianza de la Detección de aprendizaje automático: para los casos crónicos de falsos positivos, simplemente establezca una mayor confianza para la detección de alarmas. Le ofrecemos niveles de confianza BAJOS, MEDIOS y ALTOS para que elija. La confianza ALTA representa capacidad de reacción o volumen de alarma bajo, la confianza MEDIA representa capacidad de reacción o volumen de alarma medio y la confianza BAJA representa capacidad de reacción o volumen de alarma alto.
- Suprimir las alarmas: para casos puntuales en los que ciertas acciones que haga puedan causar falsos positivos (por ejemplo, trabajo de OTA), puede actualizar el comportamiento relacionado con la Detección de machine learning a fin de suprimir las alarmas. Además, AWS IoT Device Defender hace que las alarmas se “eliminen” en la configuración predeterminada del perfil de seguridad de la Detección de machine learning, a menos que opte por cambiar la configuración predeterminada.
P: ¿En qué regiones de AWS está disponible AWS IoT Device Defender?
Consulte la tabla de regiones de AWS para ver la lista actualizada de regiones que se admiten para AWS IoT Device Defender.
Puede usar AWS IoT Device Defender independientemente de la ubicación geográfica en la que se encuentre, siempre y cuando tenga acceso a una de las regiones de AWS anteriores.
P: ¿AWS IoT Defender se encuentra disponible en la capa gratuita de AWS?
Sí. Consulte la página de precios de AWS IoT Device Defender para obtener más información.
P: ¿Cuánto cuesta AWS IoT Device Defender?
Tiene la flexibilidad de utilizar las funciones de Auditoría, Detección de reglas o Detección de machine learning en forma independiente, ya que cada una se cobra por separado. Consulte la página de precios de AWS IoT Device Defender para obtener más información.
P: Cuando trabaje con AWS IoT Device Defender, ¿tendré que pagar los mensajes de AWS IoT Core para informar las métricas de detección?
No, no tendrá que pagar los mensajes utilizados para informar las métricas de detección del dispositivo a AWS IoT Device Defender.
P: Cuando trabaje con AWS IoT Device Defender, ¿tendré que pagar la conectividad de AWS IoT Core para informar las métricas de detección?
Sí, deberá pagar la conectividad si se conecta con AWS IoT Core únicamente para informar las métricas de detección por parte del dispositivo a AWS IoT Device Defender. Consulte la página de precios de AWS IoT Core para obtener más información.
P: ¿Cómo sé cuáles son los valores correctos para configurar el comportamiento esperado de mis dispositivos en AWS IoT Device Defender?
Cuando utilice la Detección de reglas, comience por crear un perfil de seguridad con un comportamiento restrictivo esperado (por ejemplo, umbrales bajos) y asócielo a un grupo de elementos de un conjunto representativo de dispositivos. AWS IoT Device Defender lo alertará con los puntos de datos de las métricas que reporta el dispositivo en casos de que se infrinja el comportamiento. Puede ajustar el umbral de comportamiento del dispositivo para que coincida con su caso de uso a lo largo del tiempo.
Cuando utiliza la Detección de machine learning, la función establece automáticamente el comportamiento del dispositivo con el machine learning del equipo para monitorear las actividades de este. AWS IoT Device Defender lo alertará con los puntos de datos de las métricas que reporta el dispositivo cuando un modelo de ML marque el punto de datos como anómalo. Esto elimina la necesidad de definir comportamientos precisos de sus dispositivos y lo ayuda a comenzar con el monitoreo de manera más rápida y fácil.
Conozca más características de AWS IoT Device Defender