IoT 物联网安全事件的持续检测和监控解决方案

近几年来，随着物联网技术的不断成熟和相关国家政策的驱动，大量物联网行业创新应用得到了快速发展。从消费端智能家居、智能单品的爆发式增长，到企业端在智能制造、智慧交通、公共安全和医疗领域等不断创新，整个物联网的市场规模在迅速扩展。

然而，随之而来的问题便是越来越多的物联网信息安全事件不断频发。由于物联网设备的一些先天限制，比如要求设备低功耗、体积小、成本低，通常企业选择的物联网模组芯片安全性能不高，因此这些物联网设备都容易成为黑客的攻击对象。

常见的物联网设备异常行为如下：

DDOS 攻击。设备被控制并对服务器进行 DDOS 攻击，设备发送大量异常数据到服务器，结果导致设备本身无法正常工作以及服务器瘫痪。
设备身份入侵。设备证书泄露以及滥用、设备证书不唯一、设备证书共享导致的安全问题。另外 IoT 权限设置过于宽泛，黑客可以利用以上漏洞来控制设备并造成数据泄露。
设备离线问题。黑客通过扫描默认密码或者弱密码进入设备，删除设备防火墙或者磁盘分区，导致大量设备“变砖”，无法正常工作，造成企业和个人的生命财产安全损失。

AWS IoT Device Defender 是一项针对物联网设备的安全服务，客户可以借助此服务审核设备的安全配置，检测异常行为，从而降低安全风险；此外，亚马逊云还提供了常见的消息通知服务和日志分析监控服务帮助客户实现对云中安全事件的持续检测和监控。

AWS IoT Device Defender

AWS IoT Device Defender 推出 Audit (审计) 功能，它能够从设备和客户账户层面来审计相关的安全配置和权限是否满足安全规范。比如 Audit 能够帮助检查设备证书是否唯一、是否存在证书共享问题、IoT policy 权限是否设置过高、设备证书是否快过期等问题。您可以定期或者按要求来启动 Audit。

当前，IoT Device Defender Audit 配置了预先定义好的审计检查项，您可以通过启动 Audit 功能来完成对所有审计项的检查。具体审计列表请查看以下官方文档：

https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html

AWS IoT Device Defender 推出 Detect (探查) 功能帮助客户发现设备产生的异常行为。它通过检测设备行为来帮助客户发现设备是否存在被入侵的倾向。Detect 定义了 cloud-side metrics 和 device-side metrics 来帮助客户检测云中和设备端的异常现象，比如：

设备连接状态的异常
设备是否尝试连接未授权的端口
设备收到和发出的数据量大小异常

客户可以创建一个 security profiles 将需要检测的 metrics 包含其中，然后集成 AWS CloudWatch 和 AWS SNS 服务。这样，一旦设备有异常行为发生，相关的报警事件就可以第一时间通知到客户。详细说明请查看以下官方文档：

https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-detect.html

解决方案架构综述

此解决方案在设备侧利用 IoT SDK (亚马逊云提供 embedded C、C++、java、python 等 SDK) 将客户的物联网设备，比如传感器、机器、家电产品等连接到 AWS IoT Core 服务中，这样设备便能够连接上云。

接下来 IoT Device Defender 服务会对从设备产生的运行数据和日志进行审计和检测，并将结果发送到 AWS CloudWatch 中。客户可以在 CloudWatch 中查看到对应的审计日志并做初步分析，同时您还可以针对特定的 Metric 创建 Alarm，定义报警规则以及下一步的触发对象，比如 AWS SNS 服务。在 SNS 中，您可以配置 SNS 的通知对象为 lambda 函数，并在 lambda 中对数据进行预处理并将结果推送到 AWS OpenSearch 服务。

最终，我们通过 OpenSearch 服务来实时分析和可视化日志事件。当中，我们通过 AWS Secrets Manager 服务来存储 OpenSearch 服务相关的验证密钥。通过这样的方式，我们就可以对物联网设备产生的异常事件和安全配置问题进行持续检测和监控。