Con el aumento de los riesgos de seguridad contra los hogares inteligentes basados en IoT, se han comercializado muchos dispositivos de seguridad. Estos dispositivos o cajas afirman que protegen la red doméstica del malware, los ataques cibernéticos y preservan la privacidad de los datos del consumidor.
Hay una lista creciente de participantes en este espacio, incluidos F-Secure (SENSE) , BitDefender BOX y muchos otros.
Me gustaría saber cómo funcionan técnicamente estas cajas, ¿hay alguna fuente abierta entre ellas?
¿Simplemente funcionan como IDS / IPS / Firewall tradicionales, estoy seguro de que hay muchas diferencias y el 'soporte en la nube' es una de ellas, hay otras diferencias?
smart-home
security
BiG_TooTh
fuente
fuente
Respuestas:
Los cuadros son Sistemas de prevención de intrusiones (IPS) que funcionan mediante el monitoreo de "Indicadores de compromiso" (IoC). Esto sería tráfico de red inesperado en su entorno; tráfico de red que va a un mal destino conocido; o tráfico de red que contiene paquetes consistentes con malware.
Por lo general, estos cuadros vienen con una suscripción. La compañía que los vende envía actualizaciones frecuentes (diariamente o con mayor frecuencia) que actualizan la base de datos de IoC. Si descubren que algunos ransomware llegan a https://ransom.keyserver.evil.example.com , pueden agregar inmediatamente la dirección de red a la lista negra de IPS y publicarla en sus clientes lo antes posible. Si tiene un dispositivo en su red que intenta conectarse para obtener una clave de ransomware, su IPS interrumpirá la conexión para que no se infecte.
Algunos de estos cuadros también vienen con software que mantiene un inventario de sus dispositivos. Puede echar un vistazo a todas las pequeñas cosas de IoT en su red hoy y bendecirlas a todas. Mañana, si detecta que hay un nuevo nodo en su red, puede aparecer una advertencia en su teléfono móvil que dice "¿Se detectó algo nuevo en su red, autorizar (sí / no)?" Esto podría ayudarlo a bloquear a alguien que tome prestada su wifi o piratee su red.
No hay un reemplazo directo de código abierto para todas estas funciones; no porque la tecnología sea tan especial, sino porque la actualización constante de la base de datos de IoC requiere información constantemente recopilada por humanos que responden a nuevos incidentes, y pagar un montón de humanos es costoso. Puede lograr parte de esta funcionalidad con un sistema IPS de código abierto como Snort , pero la suscripción de la "comunidad" de Snort se actualiza 30 días después de su suscripción comercial. Eso es bastante lento cuando las amenazas comunes de hoy incluyen malware basado en 0 días.
fuente