近幾年來，隨著物聯(lián)網(wǎng)技術的不斷成熟和相關國家政策的驅動，大量物聯(lián)網(wǎng)行業(yè)創(chuàng)新應用得到了快速發(fā)展。從消費端智能家居、智能單品的爆發(fā)式增長，到企業(yè)端在智能制造、智慧交通、公共安全和醫(yī)療領域等不斷創(chuàng)新，整個物聯(lián)網(wǎng)的市場規(guī)模在迅速擴展。

然而，隨之而來的問題便是越來越多的物聯(lián)網(wǎng)信息安全事件不斷頻發(fā)。由于物聯(lián)網(wǎng)設備的一些先天限制，比如要求設備低功耗、體積小、成本低，通常企業(yè)選擇的物聯(lián)網(wǎng)模組芯片安全性能不高，因此這些物聯(lián)網(wǎng)設備都容易成為黑客的攻擊對象。

常見的物聯(lián)網(wǎng)設備異常行為如下：

• DDOS 攻擊。設備被控制并對服務器進行 DDOS 攻擊，設備發(fā)送大量異常數(shù)據(jù)到服務器，結果導致設備本身無法正常工作以及服務器癱瘓。
• 設備身份入侵。設備證書泄露以及濫用、設備證書不唯一、設備證書共享導致的安全問題。另外 IoT 權限設置過于寬泛，黑客可以利用以上漏洞來控制設備并造成數(shù)據(jù)泄露。
• 設備離線問題。黑客通過掃描默認密碼或者弱密碼進入設備，刪除設備防火墻或者磁盤分區(qū)，導致大量設備“變磚”，無法正常工作，造成企業(yè)和個人的生命財產(chǎn)安全損失。

AWS IoT Device Defender 是一項針對物聯(lián)網(wǎng)設備的安全服務，客戶可以借助此服務審核設備的安全配置，檢測異常行為，從而降低安全風險；此外，亞馬遜云還提供了常見的消息通知服務和日志分析監(jiān)控服務幫助客戶實現(xiàn)對云中安全事件的持續(xù)檢測和監(jiān)控。

AWS IoT Device Defender

AWS IoT Device Defender 推出 Audit (審計) 功能，它能夠從設備和客戶賬戶層面來審計相關的安全配置和權限是否滿足安全規(guī)范。比如 Audit 能夠幫助檢查設備證書是否唯一、是否存在證書共享問題、IoT policy 權限是否設置過高、設備證書是否快過期等問題。您可以定期或者按要求來啟動 Audit。

當前，IoT Device Defender Audit 配置了預先定義好的審計檢查項，您可以通過啟動 Audit 功能來完成對所有審計項的檢查。具體審計列表請查看以下官方文檔：

https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html

AWS IoT Device Defender 推出 Detect (探查) 功能幫助客戶發(fā)現(xiàn)設備產(chǎn)生的異常行為。它通過檢測設備行為來幫助客戶發(fā)現(xiàn)設備是否存在被入侵的傾向。Detect 定義了 cloud-side metrics 和 device-side metrics 來幫助客戶檢測云中和設備端的異?，F(xiàn)象，比如：

• 設備連接狀態(tài)的異常
• 設備是否嘗試連接未授權的端口
• 設備收到和發(fā)出的數(shù)據(jù)量大小異常

客戶可以創(chuàng)建一個 security profiles 將需要檢測的 metrics 包含其中，然后集成 AWS CloudWatch 和 AWS SNS 服務。這樣，一旦設備有異常行為發(fā)生，相關的報警事件就可以第一時間通知到客戶。詳細說明請查看以下官方文檔：

https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-detect.html

解決方案架構綜述

此解決方案在設備側利用 IoT SDK (亞馬遜云提供 embedded C、C++、java、python 等 SDK) 將客戶的物聯(lián)網(wǎng)設備，比如傳感器、機器、家電產(chǎn)品等連接到 AWS IoT Core 服務中，這樣設備便能夠連接上云。

接下來 IoT Device Defender 服務會對從設備產(chǎn)生的運行數(shù)據(jù)和日志進行審計和檢測，并將結果發(fā)送到 AWS CloudWatch 中?？蛻艨梢栽?CloudWatch 中查看到對應的審計日志并做初步分析，同時您還可以針對特定的 Metric 創(chuàng)建 Alarm，定義報警規(guī)則以及下一步的觸發(fā)對象，比如 AWS SNS 服務。在 SNS 中，您可以配置 SNS 的通知對象為 lambda 函數(shù)，并在 lambda 中對數(shù)據(jù)進行預處理并將結果推送到 AWS OpenSearch 服務。

最終，我們通過 OpenSearch 服務來實時分析和可視化日志事件。當中，我們通過 AWS Secrets Manager 服務來存儲 OpenSearch 服務相關的驗證密鑰。通過這樣的方式，我們就可以對物聯(lián)網(wǎng)設備產(chǎn)生的異常事件和安全配置問題進行持續(xù)檢測和監(jiān)控。

IoT設備安全防護操作步驟

創(chuàng)建 AWS IoT Core 和 Device Defender 相關資源，完成對物聯(lián)網(wǎng)設備的審計和異常行為檢測。包括 DDOS 攻擊，設備證書安全相關事件和生命周期事件。

創(chuàng)建 AWS SNS、AWS CloudWatch、AWS Lambda 相關資源，從而建立對設備安全事件的持續(xù)監(jiān)控和響應。

創(chuàng)建 AWS OpenSearch 等相關資源，完成對設備安全事件的實時分析和可視化監(jiān)控。