Comment fonctionnent les Smart Home Security Boxes?

Avec les risques de sécurité accrus contre les maisons intelligentes basées sur l'IoT, de nombreux appareils de sécurité ont été commercialisés. Ces appareils ou boîtiers prétendent protéger le réseau domestique contre les logiciels malveillants, les cyberattaques et préserver la confidentialité des données des consommateurs.

Il y a une liste croissante d'entrants dans cet espace, y compris F-Secure (SENSE) , BitDefender BOX et bien d'autres.

Je voudrais savoir comment ces boites fonctionnent techniquement, y a-t-il une open source parmi elles?

Fonctionnent-ils simplement comme des IDS / IPS / pare-feu traditionnels, je suis sûr qu'il existe de nombreuses différences et que le «support cloud» en fait partie, y a-t-il d'autres différences?

Les boîtes sont des systèmes de prévention des intrusions (IPS) qui fonctionnent en surveillant les «indicateurs de compromis» (IoC). Ce serait du trafic réseau inattendu dans votre environnement; le trafic réseau qui va vers une mauvaise destination connue; ou le trafic réseau qui contient des paquets compatibles avec les logiciels malveillants.

En règle générale, ces boîtes sont livrées avec un abonnement. L'entreprise qui les vend envoie des mises à jour fréquentes (quotidiennement ou plus souvent) qui actualisent la base de données IoC. S'ils découvrent que certains ransomwares atteignent https://ransom.keyserver.evil.example.com , ils peuvent immédiatement ajouter l'adresse réseau à la liste noire IPS et la publier auprès de leurs clients dès qu'ils le peuvent. Si vous avez un appareil sur votre réseau qui essaie de se connecter pour obtenir une clé de rançongiciel, leur IPS interrompra la connexion afin que vous ne soyez pas infecté.

Certains de ces boîtiers sont également livrés avec un logiciel qui maintient un inventaire de vos appareils. Vous pouvez jeter un œil à toutes les petites choses IoT sur votre réseau aujourd'hui et les bénir toutes. Demain, s'il détecte qu'il y a un nouveau nœud sur votre réseau, il peut faire apparaître un avertissement sur votre téléphone mobile qui dit "Nouvelle chose détectée sur votre réseau, autoriser (oui / non)?" Cela pourrait vous aider à bloquer quelqu'un empruntant votre wifi ou piratant votre réseau.

Il n'y a pas de remplacement open source direct pour toutes ces fonctions; non pas parce que la technologie est si spéciale, mais parce que la mise à jour constante de la base de données IoC nécessite des informations constamment collectées par des humains répondant à de nouveaux incidents, et payer un tas d'humains coûte cher. Vous pouvez obtenir certaines de ces fonctionnalités avec un système IPS open source comme Snort , mais l'abonnement Snort "communauté" est mis à jour 30 jours après leur abonnement commercial. C'est assez lent lorsque les menaces courantes d'aujourd'hui incluent les logiciels malveillants basés sur 0 jour.