Schulungsübersicht

Sitzung 1 & 2: Grundlegende und fortgeschrittene Konzepte der IoT-Architektur aus der Sicherheitsperspektive

  • Eine kurze Geschichte der Entwicklung von IoT-Technologien
  • Datenmodelle in IoT-Systemen - Definition und Architektur von Sensoren, Aktoren, Geräten, Gateways, Kommunikationsprotokollen
  • Geräte von Drittanbietern und das mit der Lieferkette von Anbietern verbundene Risiko
  • Technologie-Ökosystem - Anbieter von Geräten, Gateways, Analysegeräten, Plattformen, Systemintegratoren - Risiken im Zusammenhang mit allen Anbietern
  • Edge-gesteuertes verteiltes IoT vs. Cloud-gesteuertes zentrales IoT: Vorteil vs. Risikobewertung
  • Management Schichten im IoT-System - Flottenmanagement, Asset Management, Onboarding/Deboarding von Sensoren, Digitale Zwillinge. Risiko von Autorisierungen in Managementschichten
  • Demo von IoT-Managementsystemen - AWS, Microsoft Azure und andere Flottenmanager
  • Einführung in gängige IoT-Kommunikationsprotokolle - Zigbee/NB-IoT/5G/LORA/Witespec - Überprüfung von Schwachstellen in Kommunikationsprotokollschichten
  • Verständnis des gesamten Technologie-Stacks des IoT mit einem Überblick über das Risikomanagement

Sitzung 3: Eine Checkliste aller Risiken und Sicherheitsprobleme im IoT

  • Firmware-Patching - der weiche Bauch des IoT
  • Detaillierte Überprüfung der Sicherheit von IoT-Kommunikationsprotokollen - Transportschichten ( NB-IoT, 4G, 5G, LORA, Zigbee usw.) und Anwendungsschichten - MQTT, Web Socket usw.
  • Anfälligkeit von API-Endpunkten - Liste aller möglichen API in der IoT-Architektur
  • Anfälligkeit von Gate-Way-Geräten und -Diensten
  • Anfälligkeit der angeschlossenen Sensoren - Gateway-Kommunikation
  • Schwachstelle der Gateway- Server Kommunikation
  • Anfälligkeit von Cloud Database Diensten im IoT
  • Anfälligkeit von Anwendungsschichten
  • Schwachstelle des Gateway-Managementdienstes - lokal und Cloud-basiert
  • Risiko der Protokollverwaltung in Edge- und Non-Edge-Architekturen

Sitzung 4: OSASP-Modell der IoT-Sicherheit, Top 10 Sicherheitsrisiken

  • I1 Unsichere Webschnittstelle
  • I2 Unzureichende Authentifizierung/Authorisierung
  • I3 Unsichere Netzwerkdienste
  • I4 Fehlende Transportverschlüsselung
  • I5 Datenschutzbedenken
  • I6 Unsichere Cloud-Schnittstelle
  • I7 Unsichere mobile Schnittstelle
  • I8 Unzureichende Sicherheitskonfigurierbarkeit
  • I9 Unsichere Software/Firmware
  • I10 Unzureichende physische Sicherheit

Sitzung 5: Überblick und Demo von AWS-IoT und Azure IoT-Sicherheitsprinzip

  • Microsoft Bedrohungsmodell - STRIDE
  • Einzelheiten des STRIDE-Modells
  • Sicherheit der Kommunikation zwischen Gerät, Gateway und Server - Asymmetrische Verschlüsselung
  • X.509-Zertifizierung für die Verteilung öffentlicher Schlüssel
  • SAS Schlüssel
  • Bulk OTA Risiken und Techniken
  • API-Sicherheit für Anwendungsportale
  • Deaktivierung und Abkopplung von Schurkengeräten vom System
  • Anfälligkeit von AWS/Azure Sicherheitsgrundsätze

Sitzung 6: Überprüfung der sich entwickelnden NIST-Standards/Empfehlungen für das IoT

  • Überprüfung des NISTIR 8228-Standards für IoT-Sicherheit - 30-Punkte-Risikobetrachtungsmodell
  • Integration und Identifizierung von Drittgeräten
  • Identifizierung und Verfolgung von Diensten
  • Hardware-Identifikation und -Verfolgung
  • Communication Sitzungsidentifizierung
  • Management Identifizierung und Protokollierung von Transaktionen
  • Protokollverwaltung und -verfolgung

Sitzung 7: Absicherung von Firmware/Gerät

  • Absicherung des Debugging-Modus in einer Firmware
  • Physikalische Sicherheit von Hardware
  • Hardware-Kryptographie - PUF (Physically Unclonable Function) - Absicherung von EPROM
  • Öffentliche PUF, PPUF
  • Nano-PUF
  • Bekannte Klassifizierung von Malware in Firmware ( 18 Familien nach der YARA-Regel )
  • Untersuchung einiger bekannter Firmware-Malware -MIRAI, BrickerBot, GoScanSSH, Hydra usw.

Sitzung 8: Fallstudien zu IoT-Angriffen

  • Am 21. Oktober 2016 wurde ein riesiger DDoS-Angriff auf die DNS-Server von Dyn durchgeführt, der viele Webdienste, darunter Twitter, lahmlegte. Die Hacker nutzten die Standardpasswörter und Benutzernamen von Webcams und anderen IoT-Geräten aus und installierten das Mirai-Botnetz auf kompromittierten IoT-Geräten. Dieser Angriff wird im Detail untersucht
  • IP-Kameras können durch Pufferüberlauf-Angriffe gehackt werden
  • Philips Hue-Glühbirnen wurden über ihr ZigBee-Verbindungsprotokoll gehackt
  • SQL Injektionsangriffe waren bei IoT-Geräten von Belkin wirksam
  • Cross-Site-Scripting (XSS)-Angriffe, die die Belkin WeMo-App ausnutzen und auf Daten und Ressourcen zugreifen, auf die die App zugreifen kann

Sitzung 9: Absicherung des verteilten IoT über Distributer Ledger - BlockChain und DAG (IOTA) [3 Stunden]

  • Verteilte Ledger-Technologie - DAG Ledger, Hyper Ledger, BlockChain
  • PoW, PoS, Tangle - ein Vergleich der Konsensmethoden
  • Unterschied zwischen Blockchain, DAG und Hyperledger - ein Vergleich ihrer Funktionsweise, Leistung und Dezentralisierung
  • Echtzeit, Offline-Leistung der verschiedenen DLT-Systeme
  • P2P-Netzwerk, privater und öffentlicher Schlüssel - grundlegende Konzepte
  • Wie ein Ledger-System praktisch umgesetzt wird - Überblick über einige Forschungsarchitekturen
  • IOTA und Tangle - DLT für IoT
  • Einige praktische Anwendungsbeispiele aus den Bereichen Smart City, Smart Machines und Smart Cars

Sitzung 10: Die Best-Practice-Architektur für IoT-Sicherheit

  • Verfolgung und Identifizierung aller Dienste in Gateways
  • Niemals MAC-Adresse verwenden - stattdessen Paket-ID verwenden
  • Verwenden Sie eine Identifikationshierarchie für Geräte - Board-ID, Geräte-ID und Paket-ID
  • Strukturierung des Firmware-Patchings auf den Perimeter und Übereinstimmung mit der Service-ID
  • PUF für EPROM
  • Absicherung der Risiken von IoT-Verwaltungsportalen/-anwendungen durch zwei Authentifizierungsebenen
  • Sicherung aller APIs - Definition von API-Tests und API-Management
  • Identifizierung und Integration desselben Sicherheitsprinzips in der logistischen Lieferkette
  • Minimierung der Patch-Anfälligkeit von IoT-Kommunikationsprotokollen

Sitzung 11: Ausarbeitung einer IoT-Sicherheitspolitik für Ihr Unternehmen

  • Definieren Sie das Lexikon der IoT-Sicherheit / Spannungen
  • Vorschlagen der besten Praxis für Authentifizierung, Identifizierung, Autorisierung
  • Identifizierung und Einstufung von kritischen Assets
  • Identifizierung von Perimetern und Isolierung für die Anwendung
  • Richtlinie zur Sicherung kritischer Vermögenswerte, kritischer Informationen und Datenschutzdaten

Voraussetzungen

  • Grundkenntnisse Geräte, elektronische Systeme und Datensysteme
  • Grundlegende Kenntnisse von Software und Systemen
  • Grundkenntnisse in Statistik (auf Excel-Ebene)
  • Verständnis von Telecommunication Verticals

Zusammenfassung

  • Ein fortgeschrittenes Trainingsprogramm, das den aktuellen Stand der Technik in Sachen Sicherheit im Internet der Dinge abdeckt
  • Der Kurs deckt alle Aspekte der Sicherheit von Firmware, Middleware und IoT-Kommunikationsprotokollen ab
  • Der Kurs bietet einen 360-Grad-Blick auf alle Arten von Sicherheitsinitiativen im IoT-Bereich für diejenigen, die mit IoT-Standards, -Entwicklung und -Zukunft nicht so vertraut sind
  • Tiefgreifende Untersuchung von Sicherheitsschwachstellen in Firmware, drahtlosen Kommunikationsprotokollen und der Kommunikation zwischen Gerät und Cloud
  • .
  • Mehrere Technologiebereiche durchdringen, um ein Bewusstsein für die Sicherheit von IoT-Systemen und deren Komponenten zu entwickeln
  • Live-Demo einiger Sicherheitsaspekte von Gateways, Sensoren und IoT-Anwendungsclouds
  • Der Kurs erklärt auch 30 grundsätzliche Risikoüberlegungen von  aktuellen und vorgeschlagenen NIST-Standards für IoT-Sicherheit
  • OSWAP-Modell für IoT-Sicherheit
  • Bietet einen detaillierten Leitfaden für den Entwurf von IoT-Sicherheitsstandards für eine Organisation

 

Zielpublikum 

Ingenieure/Manager/Sicherheitsexperten, die mit der Entwicklung von IoT-Projekten oder der Prüfung/Überprüfung von Sicherheitsrisiken beauftragt sind.

  21 Stunden
 

Teilnehmerzahl


Beginnt

Endet


Die Termine sind abhängig von der Verfügbarkeit und finden zwischen 09:30 und 16:30 statt.
Offene Schulungskurse erfordern mindestens 5 Teilnehmer.

Erfahrungsberichte (1)

Kombinierte Kurse

IoT ( Internet of Things) for Entrepreneurs, Managers and Investors

  21 Stunden

Big Data Business Intelligence for Govt. Agencies

  35 Stunden

Industrial IoT (Internet of Things) for Manufacturing Professionals

  21 Stunden

IoT Security

  21 Stunden

Verwandte Kategorien