# Casos de uso de segurança
<a name="dd-detect-security-use-cases"></a>

Esta seção descreve os diferentes tipos de ataques que ameaçam sua frota de dispositivos e as métricas recomendadas que podem ser utilizadas para monitorar esses ataques. Embora recomendemos o uso de métricas de anomalias como ponto de partida para investigar problemas de segurança, você não deve basear a determinação de todas as ameaças à segurança apenas nelas. 

Para investigar um alarme de anomalia, correlacione os detalhes do alarme com outras informações contextuais, como atributos do dispositivo, tendências de histórico da métrica do dispositivo, tendências de histórico da métrica do Perfil de segurança, métricas personalizadas e registros, para determinar se há uma ameaça à segurança.

## Casos de uso do lado da nuvem
<a name="Cloud-side-threats"></a>

O Device Defender pode monitorar os seguintes casos de uso no lado da nuvem da AWS IoT.

**Roubo de propriedade intelectual:**  
Envolve o roubo de propriedades intelectuais de uma pessoa ou empresa, incluindo segredos comerciais, hardware ou software. Isso geralmente ocorre durante a fase de fabricação dos dispositivos. O roubo de propriedade intelectual pode ocorrer na forma de pirataria, roubo de dispositivos ou roubo de certificados de dispositivos. O roubo de propriedade intelectual na nuvem pode ocorrer como resultado da presença de políticas que permitam o acesso não intencional aos recursos de IoT. Você deve revisar suas [políticas de IoT](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) e ativar as [Verificações de auditoria](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html) para identificar políticas excessivamente permissivas.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Exfiltração de dados baseada em MQTT:**  
A exfiltração de dados ocorre quando um agente mal-intencionado realiza uma transferência de dados não autorizada de uma implantação da IoT ou de um dispositivo. O invasor lança esse tipo de ataque por meio de MQTT, contra fontes de dados do lado da nuvem.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Personificação:**  
Um ataque de personificação ocorre quando os invasores se apresentam como entidades conhecidas ou confiáveis em um esforço para acessar serviços, aplicativos, dados de AWS IoT do lado da nuvem ou assumir o comando e o controle de dispositivos de IoT.     
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Abuso da infraestrutura de nuvem:**  
O abuso dos serviços de AWS IoT na nuvem ocorre ao publicar ou assinar tópicos com um alto volume de mensagens ou com mensagens em tamanhos grandes. Políticas excessivamente permissivas ou exploração de vulnerabilidades de comando e controle nos dispositivos também podem causar o abuso da infraestrutura de nuvem. Um dos principais objetivos desse ataque é aumentar sua fatura da AWS. Você deve revisar suas [políticas de IoT](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) e ativar as [Verificações de auditoria](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html) para identificar políticas excessivamente permissivas.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

## Casos de uso do lado do dispositivo
<a name="Device-side-threats"></a>

O Device Defender pode monitorar os seguintes casos de uso no lado do dispositivo.

**Ataque de negação de serviço:**  
Um ataque de negação de serviço (DoS) tem como objetivo desligar um dispositivo ou rede, tornando-os inacessíveis aos usuários que deveriam acessá-los. Os ataques de DoS bloqueiam o acesso inundando o alvo com tráfego ou enviando solicitações que iniciam um sistema com a lentidão ou fazem com que ele falhe. Seus dispositivos de IoT podem ser usados em ataques DoS.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Movimento lateral de ameaças:**  
Um movimento lateral de ameaças geralmente começa com o acesso de um invasor a um ponto de uma rede, por exemplo, um dispositivo conectado. O invasor então tenta aumentar o nível de privilégios dele ou o acesso a outros dispositivos, por meio de métodos como credenciais roubadas ou explorações de vulnerabilidade.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Exfiltração ou vigilância de dados:**  
A exfiltração de dados ocorre quando um malware ou agente mal-intencionado realiza uma transferência de dados não autorizada de um endpoint de um dispositivo ou uma rede. A exfiltração de dados normalmente serve a dois propósitos para o invasor: obter dados ou propriedade intelectual ou realizar o reconhecimento de uma rede. Nesse contexto, a vigilância aponta que códigos maliciosos são usados para monitorar as atividades do usuário com o objetivo de roubar credenciais e coletar informações. As métricas abaixo podem fornecer um ponto de partida para investigar qualquer tipo desses ataques.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Mineração de criptomoedas**  
Os invasores aproveitam a potência de processamento dos dispositivos para minerar criptomoedas. A mineração criptográfica é um processo computacionalmente intensivo, que normalmente exige comunicação de rede com outros pares e pools de mineração.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)

**Comando e controle, malware e ransomware**  
O malware ou ransomware restringe seu controle sobre os dispositivos e limita a funcionalidade deles. No caso de um ataque de ransomware, o acesso aos dados seria perdido devido à criptografia usada pelo ransomware.    
****Métricas relacionadas:****    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/iot-device-defender/latest/devguide/dd-detect-security-use-cases.html)