本文介绍通过IoT安全中心对物联网设备进行持续性的安全检测。
威胁
登录产品控制台,在左侧菜单中选择管理>安全检测。
开启:运行检测任务,检测到风险后在常规>风险页面查看。
关闭:停止运行检测任务。
根据资产接入方式不同,您可以管理的检测项也有差异。详情如下:
安全日志
通过阿里云物联网平台风控、导入安全日志的方式检测,共支持22项。
检测项 | 严重等级 | 说明 |
设备IP地址被标记为恶意IP | 严重 | 检测连接到物联网平台的设备是否为恶意IP。 |
设备身份暴力破解检测 | 严重 | 检测是否存在成功暴力破解设备身份凭证的行为。 |
设备身份重复/泄露检测 | 严重 | 检测是否有多个物联网设备使用相同的身份凭证上线。多个物联网设备使用了相同的身份凭证,会造成设备不能稳定在线,并且存在设备数据泄露的风险。 |
删除正在使用的CA证书 | 严重 | 检测是否在物联网平台删除正在使用的CA证书。 |
CA证书过期 | 严重 | 检测物联网平台上的三方CA证书是否已经过期。 |
在物联网平台批量禁用设备 | 严重 | 检测物联网平台上的设备是否被批量禁用。 |
在物联网平台批量删除设备 | 严重 | 检测物联网平台上的设备是否被批量删除。 |
使用不安全的TLS协议 | 高危 | 检测设备是否使用低版本TLS协议与物联网平台建立连接。(TLS v1.0、v1.1)存在可被利用的安全漏洞,可能会造成设备数据泄露等安全风险。 |
连接未加密检测 | 高危 | 检测设备与物联网平台间是否使用加密协议建立安全连接。 |
使用未加密的websocket协议 | 高危 | 检测设备是否使用未加密websocket协议连接到物联网平台。 |
设备身份验证失败检测 | 高危 | 检测是否存在由于设备认证信息错误导致设备无法上线的情况。 |
设备身份信息泄露检测(一型一密) | 高危 | 检测多个物联网设备是否使用了同一个身份信息。多个物联网设备使用了同一个身份信息,会造成设备不能稳定在线,并且存在设备数据泄露的风险。 |
在物联网平台删除设备 | 高危 | 检测物联网平台上的设备是否被删除。 |
在物联网平台禁用设备 | 高危 | 检测物联网平台上的设备是否被禁用。 |
删除设备证书 | 高危 | 检测是否在物联网平台删除设备证书。 |
添加CA证书 | 中危 | 检测是否在物联网平台添加CA证书。 |
尝试添加CA证书失败 | 中危 | 检测是否在物联网平台添加CA证书失败。 |
远程登录设备 | 中危 | 检测是否通过物联网平台设备运维功能远程登录设备。 |
设备建立安全隧道 | 中危 | 检测设备是否与物联网平台建立安全隧道。 |
设备异地连接检测 | 中危 | 检测物联网设备是否短期内在多个城市上线并且存在设备互踢的情况。多个设备使用相同设备身份凭证或者设备身份凭证泄露会导致这种情况的发生。设备身份重复或者泄露可能会导致设备数据泄露。 |
设备未接入安全Agent | 中危 | 检测设备是否安装了IoT安全运营中心的安全Agent。 |
使用设备密钥认证方式 | 低危 | 检测产品是否使用设备密钥认证方式。 |
安全代理
在设备上安装安全代理软件才能实现安全检测,共支持19项。
检测项 | 严重等级 | 说明 |
恶意文件检测 | 严重 | 检测设备上是否存在恶意文件。 |
恶意IP检测 | 严重 | 检测设备是否连接恶意IP地址。 |
恶意域名检测 | 严重 | 检测设备是否连接恶意域名。 |
暴力破解登录检测 | 严重 | 检测是否存在暴力破解登录设备的行为。 |
非授权的多媒体文件 | 严重 | 检测设备是否播放非授权的多媒体文件。 |
本地登录检测 | 高危 | 检测是否存在本地登录设备的行为。 |
DNS隧道检测 | 高危 | 检测设备上可能存在的DNS隧道,攻击者可以通过DNS隧道控制设备或者窃取设备数据。 |
端口扫描检测 | 高危 | 检测可能的端口扫描行为。 |
高风险命令检测 | 高危 | 检测设备上是否执行了高风险命令。 |
添加用户行为检测 | 中危 | 检测设备上是否存在添加用户的行为。 |
异常上行流量检测 | 中危 | 检测物联网设备上行流量是否存在异常,异常的上行流量会造成资损,服务中断等风险。 |
异常下行流量检测 | 中危 | 检测物联网设备下行流量是否存在异常,异常的下行流量会造成资损,服务中断等风险。 |
中风险命令检测 | 中危 | 检测设备上是否执行了中风险命令。 |
可疑异地访问检测 | 低危 | 检测是否存在可疑IP地址访问了设备。 |
访问不授信的网络地址 | 低危 | 检测设备是否访问了不在网络访问控制白名单中的网络地址。 |
删除用户行为检测 | 低危 | 检测设备上是否存在删除用户的行为。 |
修改用户组行为检测 | 低危 | 检测设备上是否存在修改用户组的行为。 |
罕见进程检测 | 低危 | 检测设备上运行的可疑进程。可疑进程只在少数设备上运行过,可能是恶意程序。 |
低风险命令检测 | 低危 | 检测设备上是否执行了低风险命令。 |
安全探针
在网络中部署IoT安全管理一体机实现安全检测,共支持3项。
检测项 | 严重等级 | 说明 |
弱口令检测 | 严重 | 检测设备开放的服务是否存在弱口令。 |
风险端口检测 | 低危 | 检测设备是否开放了有安全风险的端口。 |
漏洞检测 | —— | 检测设备是否存在漏洞,提供漏洞详情和修复建议。 |
非授权的多媒体文件,该检测项处于BETA阶段,需要单独申请才可以使用。如果您需要使用BETA功能请联系我们。
Linux基础检测
Linux基础检测仅对操作系统为Linux的设备有效。该功能必须在设备端安装安全代理。
登录IoT安全中心控制台。
在左侧导航栏选择管理 > 安全检测 > Linux基础检测,单击立即检测,对所有设备启动Linux基础检测。检测完成后生成最新的检测结果。
说明最新的检测结果会覆盖历史检测结果。
单击详情查看不满足检测项要求的设备列表,并获取修复建议。
等保合规
等保合规的检测项基于《网络安全等级保护基本要求》中通用、物联网扩展对物联网感知节点或网关节点的安全要求进行检测。该功能必须在设备端安装安全代理。
登录产品控制台。
选择管理 > 安全检测 > 等保合规,单击立即检测,对所有设备启动等保合规自检。
检测完成后,生成最新的检测结果。
说明最新的检测结果会覆盖历史检测结果。
对于不符合要求的检测项,可以参照修复建议进行修复。
单击检测项对应的查看设备,获取不符合检测项的设备列表和原因。