本文介紹通過IoT安全中心對物聯網設備進行持續性的安全檢測。
威脅
登錄產品控制臺,在左側菜單中選擇管理>安全檢測。
開啟:運行檢測任務,檢測到風險后在常規>風險頁面查看。
關閉:停止運行檢測任務。
根據資產接入方式不同,您可以管理的檢測項也有差異。詳情如下:
安全日志
通過阿里云物聯網平臺風控、導入安全日志的方式檢測,共支持22項。
檢測項 | 嚴重等級 | 說明 |
設備IP地址被標記為惡意IP | 嚴重 | 檢測連接到物聯網平臺的設備是否為惡意IP。 |
設備身份暴力破解檢測 | 嚴重 | 檢測是否存在成功暴力破解設備身份憑證的行為。 |
設備身份重復/泄露檢測 | 嚴重 | 檢測是否有多個物聯網設備使用相同的身份憑證上線。多個物聯網設備使用了相同的身份憑證,會造成設備不能穩定在線,并且存在設備數據泄露的風險。 |
刪除正在使用的CA證書 | 嚴重 | 檢測是否在物聯網平臺刪除正在使用的CA證書。 |
CA證書過期 | 嚴重 | 檢測物聯網平臺上的三方CA證書是否已經過期。 |
在物聯網平臺批量禁用設備 | 嚴重 | 檢測物聯網平臺上的設備是否被批量禁用。 |
在物聯網平臺批量刪除設備 | 嚴重 | 檢測物聯網平臺上的設備是否被批量刪除。 |
使用不安全的TLS協議 | 高危 | 檢測設備是否使用低版本TLS協議與物聯網平臺建立連接。(TLS v1.0、v1.1)存在可被利用的安全漏洞,可能會造成設備數據泄露等安全風險。 |
連接未加密檢測 | 高危 | 檢測設備與物聯網平臺間是否使用加密協議建立安全連接。 |
使用未加密的websocket協議 | 高危 | 檢測設備是否使用未加密websocket協議連接到物聯網平臺。 |
設備身份驗證失敗檢測 | 高危 | 檢測是否存在由于設備認證信息錯誤導致設備無法上線的情況。 |
設備身份信息泄露檢測(一型一密) | 高危 | 檢測多個物聯網設備是否使用了同一個身份信息。多個物聯網設備使用了同一個身份信息,會造成設備不能穩定在線,并且存在設備數據泄露的風險。 |
在物聯網平臺刪除設備 | 高危 | 檢測物聯網平臺上的設備是否被刪除。 |
在物聯網平臺禁用設備 | 高危 | 檢測物聯網平臺上的設備是否被禁用。 |
刪除設備證書 | 高危 | 檢測是否在物聯網平臺刪除設備證書。 |
添加CA證書 | 中危 | 檢測是否在物聯網平臺添加CA證書。 |
嘗試添加CA證書失敗 | 中危 | 檢測是否在物聯網平臺添加CA證書失敗。 |
遠程登錄設備 | 中危 | 檢測是否通過物聯網平臺設備運維功能遠程登錄設備。 |
設備建立安全隧道 | 中危 | 檢測設備是否與物聯網平臺建立安全隧道。 |
設備異地連接檢測 | 中危 | 檢測物聯網設備是否短期內在多個城市上線并且存在設備互踢的情況。多個設備使用相同設備身份憑證或者設備身份憑證泄露會導致這種情況的發生。設備身份重復或者泄露可能會導致設備數據泄露。 |
設備未接入安全Agent | 中危 | 檢測設備是否安裝了IoT安全運營中心的安全Agent。 |
使用設備密鑰認證方式 | 低危 | 檢測產品是否使用設備密鑰認證方式。 |
安全代理
在設備上安裝安全代理軟件才能實現安全檢測,共支持19項。
檢測項 | 嚴重等級 | 說明 |
惡意文件檢測 | 嚴重 | 檢測設備上是否存在惡意文件。 |
惡意IP檢測 | 嚴重 | 檢測設備是否連接惡意IP地址。 |
惡意域名檢測 | 嚴重 | 檢測設備是否連接惡意域名。 |
暴力破解登錄檢測 | 嚴重 | 檢測是否存在暴力破解登錄設備的行為。 |
非授權的多媒體文件 | 嚴重 | 檢測設備是否播放非授權的多媒體文件。 |
本地登錄檢測 | 高危 | 檢測是否存在本地登錄設備的行為。 |
DNS隧道檢測 | 高危 | 檢測設備上可能存在的DNS隧道,攻擊者可以通過DNS隧道控制設備或者竊取設備數據。 |
端口掃描檢測 | 高危 | 檢測可能的端口掃描行為。 |
高風險命令檢測 | 高危 | 檢測設備上是否執行了高風險命令。 |
添加用戶行為檢測 | 中危 | 檢測設備上是否存在添加用戶的行為。 |
異常上行流量檢測 | 中危 | 檢測物聯網設備上行流量是否存在異常,異常的上行流量會造成資損,服務中斷等風險。 |
異常下行流量檢測 | 中危 | 檢測物聯網設備下行流量是否存在異常,異常的下行流量會造成資損,服務中斷等風險。 |
中風險命令檢測 | 中危 | 檢測設備上是否執行了中風險命令。 |
可疑異地訪問檢測 | 低危 | 檢測是否存在可疑IP地址訪問了設備。 |
訪問不授信的網絡地址 | 低危 | 檢測設備是否訪問了不在網絡訪問控制白名單中的網絡地址。 |
刪除用戶行為檢測 | 低危 | 檢測設備上是否存在刪除用戶的行為。 |
修改用戶組行為檢測 | 低危 | 檢測設備上是否存在修改用戶組的行為。 |
罕見進程檢測 | 低危 | 檢測設備上運行的可疑進程。可疑進程只在少數設備上運行過,可能是惡意程序。 |
低風險命令檢測 | 低危 | 檢測設備上是否執行了低風險命令。 |
安全探針
在網絡中部署IoT安全管理一體機實現安全檢測,共支持3項。
檢測項 | 嚴重等級 | 說明 |
弱口令檢測 | 嚴重 | 檢測設備開放的服務是否存在弱口令。 |
風險端口檢測 | 低危 | 檢測設備是否開放了有安全風險的端口。 |
漏洞檢測 | —— | 檢測設備是否存在漏洞,提供漏洞詳情和修復建議。 |
非授權的多媒體文件,該檢測項處于BETA階段,需要單獨申請才可以使用。如果您需要使用BETA功能請聯系我們。
Linux基礎檢測
Linux基礎檢測僅對操作系統為Linux的設備有效。該功能必須在設備端安裝安全代理。
登錄IoT安全中心控制臺。
在左側導航欄選擇管理 > 安全檢測 > Linux基礎檢測,單擊立即檢測,對所有設備啟動Linux基礎檢測。檢測完成后生成最新的檢測結果。
說明最新的檢測結果會覆蓋歷史檢測結果。
單擊詳情查看不滿足檢測項要求的設備列表,并獲取修復建議。
等保合規
等保合規的檢測項基于《網絡安全等級保護基本要求》中通用、物聯網擴展對物聯網感知節點或網關節點的安全要求進行檢測。該功能必須在設備端安裝安全代理。
登錄產品控制臺。
選擇管理 > 安全檢測 > 等保合規,單擊立即檢測,對所有設備啟動等保合規自檢。
檢測完成后,生成最新的檢測結果。
說明最新的檢測結果會覆蓋歷史檢測結果。
對于不符合要求的檢測項,可以參照修復建議進行修復。
單擊檢測項對應的查看設備,獲取不符合檢測項的設備列表和原因。