Comment fonctionnent les Smart Home Security Boxes?

8

Avec les risques de sécurité accrus contre les maisons intelligentes basées sur l'IoT, de nombreux appareils de sécurité ont été commercialisés. Ces appareils ou boîtiers prétendent protéger le réseau domestique contre les logiciels malveillants, les cyberattaques et préserver la confidentialité des données des consommateurs.

Il y a une liste croissante d'entrants dans cet espace, y compris F-Secure (SENSE) , BitDefender BOX et bien d'autres.

Je voudrais savoir comment ces boites fonctionnent techniquement, y a-t-il une open source parmi elles?

Fonctionnent-ils simplement comme des IDS / IPS / pare-feu traditionnels, je suis sûr qu'il existe de nombreuses différences et que le «support cloud» en fait partie, y a-t-il d'autres différences?

BiG_TooTh
la source
Je ne suis pas sûr que ce soit vraiment une question IoT. Il serait probablement mieux adapté à l'un des groupes spécifiques au réseau
hardillb
4
merci @hardillb, mais je crois que cette question est très spécifique à l'IoT, car les particularités des réseaux IoT ont motivé les chercheurs en sécurité à repenser et reconstruire de nouvelles solutions de sécurité de périmètre plus intelligentes
BiG_TooTh
de toute façon .. si je n'ai pas de réponse ici, comment faire? existe-t-il un moyen de lier cette question directement au groupe «Sécurité de l'information», ou je la pose à nouveau là-bas .. puis-je le faire?
BiG_TooTh
Les modérateurs peuvent le déplacer s'ils pensent que cela convient ou ils le supprimeront simplement et vous pouvez le demander sur le bon site. Je pense toujours que c'est hors sujet parce que vous demandez comment ces systèmes IDS fonctionnent, ce qui est très spécifiquement une question de mise en réseau.
hardillb
1
De nombreuses questions sont valables sur plusieurs sites à la fois - je pense que c'est bien ici comme fourre-tout général pour ce type de produit (en fait une définition) plutôt que les détails opérationnels approfondis qui pourraient être couverts sur la sécurité de l'information ..
Sean Houlihane

Réponses:

7

Les boîtes sont des systèmes de prévention des intrusions (IPS) qui fonctionnent en surveillant les «indicateurs de compromis» (IoC). Ce serait du trafic réseau inattendu dans votre environnement; le trafic réseau qui va vers une mauvaise destination connue; ou le trafic réseau qui contient des paquets compatibles avec les logiciels malveillants.

En règle générale, ces boîtes sont livrées avec un abonnement. L'entreprise qui les vend envoie des mises à jour fréquentes (quotidiennement ou plus souvent) qui actualisent la base de données IoC. S'ils découvrent que certains ransomwares atteignent https://ransom.keyserver.evil.example.com , ils peuvent immédiatement ajouter l'adresse réseau à la liste noire IPS et la publier auprès de leurs clients dès qu'ils le peuvent. Si vous avez un appareil sur votre réseau qui essaie de se connecter pour obtenir une clé de rançongiciel, leur IPS interrompra la connexion afin que vous ne soyez pas infecté.

Certains de ces boîtiers sont également livrés avec un logiciel qui maintient un inventaire de vos appareils. Vous pouvez jeter un œil à toutes les petites choses IoT sur votre réseau aujourd'hui et les bénir toutes. Demain, s'il détecte qu'il y a un nouveau nœud sur votre réseau, il peut faire apparaître un avertissement sur votre téléphone mobile qui dit "Nouvelle chose détectée sur votre réseau, autoriser (oui / non)?" Cela pourrait vous aider à bloquer quelqu'un empruntant votre wifi ou piratant votre réseau.

Il n'y a pas de remplacement open source direct pour toutes ces fonctions; non pas parce que la technologie est si spéciale, mais parce que la mise à jour constante de la base de données IoC nécessite des informations constamment collectées par des humains répondant à de nouveaux incidents, et payer un tas d'humains coûte cher. Vous pouvez obtenir certaines de ces fonctionnalités avec un système IPS open source comme Snort , mais l'abonnement Snort "communauté" est mis à jour 30 jours après leur abonnement commercial. C'est assez lent lorsque les menaces courantes d'aujourd'hui incluent les logiciels malveillants basés sur 0 jour.

John Deters
la source