Vielen Dank für die Zusendung Ihrer Anfrage! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Vielen Dank, dass Sie Ihre Buchung abgeschickt haben! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Schulungsübersicht
Sitzung 1 & 2: Grundlegende und fortgeschrittene Konzepte der IoT-Architektur aus sicherheitstechnischer Perspektive
- Eine kurze Geschichte der Entwicklung von IoT-Technologien
- Datenmodelle in IoT-Systemen – Definition und Architektur von Sensoren, Aktuatoren, Geräten, Gateway, Kommunikationsprotokollen
- Drittanbieter-Geräte und Risiken im Zusammenhang mit der Lieferkette des Herstellers
- Technologie-Ökosystem – Geräteanbieter, Gateway-Anbieter, Analyseanbieter, Plattformanbieter, Systemintegratoren – Risiken im Zusammenhang mit allen Anbietern
- Kantengetriebene verteiltes IoT vs. Cloud-getriebenes zentrales IoT: Vorteile vs. Risikobewertung
- Management-Ebenen in IoT-Systemen – Flottenmanagement, Vermögenswirtschaftsmanagement, Hinzufügen/Entfernen von Sensoren, Digitale Zwillinge. Autorisierungsrisiken in den Managementebenen
- Demo von IoT-Management-Systemen – AWS, Microsoft Azure und andere Flottenmanager
- Einführung in gängige IoT-Kommunikationsprotokolle – Zigbee/NB-IoT/5G/LORA/Witespec – Überprüfung der Schwachstellen in den Kommunikationsschichten
- Verständnis des gesamten Technologie-Stacks von IoT mit einer Überprüfung der Risikomanagement
Sitzung 3: Checkliste aller Risiken und Sicherheitsprobleme in IoT
- Firmware-Patching – die weiche Unterseite von IoT
- Detaillierte Überprüfung der Sicherheit von IoT-Kommunikationsprotokollen – Transportlayer (NB-IoT, 4G, 5G, LORA, Zigbee usw.) und Anwendungsschichten – MQTT, Web Socket usw.
- Schwachstellen von API-Endpunkten – Liste aller möglichen APIs in der IoT-Architektur
- Schwachstellen von Gateway-Geräten und -Diensten
- Schwachstellen verbundener Sensoren – Gateway-Kommunikation
- Schwachstellen der Gateway-Server-Kommunikation
- Schwachstellen von Cloud-Datenbankdiensten in IoT
- Schwachstellen der Anwendungsschichten
- Schwachstellen des Gateway-Management-Dienstes – lokal und cloudbasiert
- Risiken der Logverwaltung in Kanten- und nicht-kantengebundener Architektur
Sitzung 4: OSASP-Modell der IoT-Sicherheit, Top 10 Sicherheitsrisiken
- I1 Unsichere Web-Oberfläche
- I2 Unzureichende Authentifizierung/Autorisierung
- I3 Unsichere Netzwerkdienste
- I4 Fehlendes Transportverschlüsselung
- I5 Datenschutzbedenken
- I6 Unsichere Cloud-Oberfläche
- I7 Unsichere Mobile-Oberfläche
- I8 Unzureichende Sicherheitseinstellungen
- I9 Unsichere Software/Firmware
- I10 Mangelnde physische Sicherheit
Sitzung 5: Überprüfung und Demo von AWS-IoT und Azure IoT-Sicherheitsprinzipien
- Microsoft Bedrohungsmodell – STRIDE
Details des STRIDE-Modells
- Sicherheit der Kommunikation zwischen Gerät, Gateway und Server – asymmetrische Verschlüsselung
- X.509-Zertifizierung für die öffentliche Schlüsselverteilung
- SAS-Schlüssel
- Risiken und Techniken der Massen-OTA-Patching
- API-Sicherheit für Anwendungsportale
- Deaktivierung und Entkoppelung von böswilligen Geräten aus dem System
- Schwachstellen der AWS-/Azure-Sicherheitsprinzipien
Sitzung 6: Überprüfung der sich entwickelnden NIST-Standards/Empfehlungen für IoT
Überprüfung des NISTIR 8228-Standard für IoT-Sicherheit – 30-Punkt-Risikobetrachtungsmodell
Integration und Identifizierung von Drittanbieter-Geräten
- Dienstidentifikation & -verfolgung
- Hardware-Identifikation & -verfolgung
- Kommunikationssitzungsidentifizierung
- Identifikation und Protokollierung von Management-Transaktionen
- Logverwaltung und -verfolgung
Sitzung 7: Sicherung von Firmware/Gerät
Sicherung des Debugging-Modus in der Firmware
Physische Sicherheit der Hardware
- Hardware-Kryptografie – PUF (Physically Unclonable Function) – sichere EPROMs
- Öffentliche PUF, PPUF
- Nano-PUF
- Bekannte Klassifizierung von Malware in Firmware (18 Familien gemäß YARA-Regel)
- Studie einiger bekannter Firmware-Malware – MIRAI, BrickerBot, GoScanSSH, Hydra usw.
Sitzung 8: Fallstudien zu IoT-Angriffen
- Am 21. Oktober 2016 wurde ein großer DDoS-Angriff gegen die Dyn DNS-Server durchgeführt und viele Webdienste, einschließlich Twitter, abgeschaltet. Hacker nutzten Standard-Passwörter und Benutzernamen von Webcams und anderen IoT-Geräten aus und installierten das Mirai-Botnet auf kompromittierten IoT-Geräten. Dieser Angriff wird detailliert untersucht.
- IP-Kameras können durch Pufferüberlaufangriffe gehackt werden
- Philips Hue-Lampen wurden über ihr ZigBee-Link-Protokoll gehackt
- SQL-Injektionsangriffe waren effektiv gegen Belkin IoT-Geräte
- Cross-Site Scripting (XSS)-Angriffe, die die Belkin WeMo-App und Daten und Ressourcen ausnutzten, auf die die App zugreifen kann
Sitzung 9: Sicherung verteilter IoT über verteilte Ledger – Blockchain und DAG (IOTA) [3 Stunden]
Verteilte Ledger-Technologie – DAG-Ledger, Hyper Ledger, Blockchain
PoW, PoS, Tangle – Vergleich der Konsensmethoden
- Unterschiede zwischen Blockchain, DAG und Hyperledger – Vergleich ihrer Funktionsweise vs. Leistung vs. Dezentralisierung
- Reale, offline-Funktion der verschiedenen DLT-Systeme
- P2P-Netzwerk, Private und Public Key – Grundlagen
- Praktische Umsetzung des Ledger-Systems – Überblick über einige Forschungsarchitekturen
- IOTA und Tangle – DLT für IoT
- Einige praktische Anwendungsfälle aus Smart City, Smart Machines, Smart Cars
Sitzung 10: Beste Praktiken für IoT-Sicherheitsarchitektur
- Verfolgung und Identifizierung aller Dienste in Gateways
- MAC-Adresse nicht verwenden – stattdessen Paket-ID verwenden
- Verwenden einer Identifikationshierarchie für Geräte – Board-ID, Geräte-ID und Paket-ID
- Strukturieren des Firmware-Patchings an die Peripherie und Angleichung an die Dienst-ID
- PUF für EPROMs
- Sichern der Risiken von IoT-Management-Portalen/Anwendungen durch zweischichtige Authentifizierung
- Sicherung aller APIs – Definieren von API-Tests und -Verwaltung
- Identifikation und Integration der gleichen Sicherheitsprinzipien in die Logistik-Kette
- Minimierung der Patch-Schwachstellen von IoT-Kommunikationsprotokollen
Sitzung 11: Erstellung einer IoT-Sicherheitsrichtlinie für Ihre Organisation
- Definieren des Wortschatzes der IoT-Sicherheit/Spannungsfelder
- Empfehlen von besten Praktiken für Authentifizierung, Identifikation und Autorisierung
- Identifizieren und Rangfolge der kritischen Anlagen
- Identifizieren von Perimetern und Isolierung für Anwendungen
- Richtlinien zur Sicherung kritischer Anlagen, kritischer Informationen und Datenschutzdaten
Voraussetzungen
- Grundkenntnisse über Geräte, Elektroniksysteme und Datensysteme
- Grundverständnis von Software und Systemen
- Grundverständnis von Statistik (auf Excel-Niveau)
- Verständnis von Telekommunikationsbereichen
Zusammenfassung
- Ein fortgeschrittenes Schulungsprogramm, das den aktuellen Stand der Sicherheit von Internet of Things abdeckt
- Abdeckt alle Aspekte der Firmware-, Middleware- und IoT-Kommunikationsprotokoll-Sicherheit
- Der Kurs bietet eine 360-Grad-Ansicht aller Arten von Sicherheitsinitiativen im IoT-Bereich für Personen, die nicht tief in IoT-Standards, Entwicklung und Zukunft verankert sind
- Tiefgründige Analyse der Sicherheitsschwachstellen in Firmware, drahtlosen Kommunikationsprotokollen und Geräte-zu-Cloud-Kommunikation.
- Umgang mit mehreren Technologiebereichen zur Entwicklung des Bewusstseins für Sicherheit in IoT-Systemen und deren Komponenten
- Live-Demo einiger Sicherheitsaspekte von Gateways, Sensoren und IoT-Anwendungswolken
- Der Kurs erläutert auch 30 prinzipielle Risikobetrachtungen der aktuellen und vorgeschlagenen NIST- Standards für IoT-Sicherheit
- OSWAP-Modell für IoT-Sicherheit
- Bereitstellung detaillierter Leitlinien zur Erarbeitung von IoT-Sicherheitsstandards für eine Organisation
Zielgruppe
Ingenieure/Manager/Sicherheitsexperten, die mit der Entwicklung von IoT-Projekten oder der Überprüfung von Sicherheitsrisiken beauftragt sind.
21 Stunden
Erfahrungsberichte (1)
Wie freundlich der Trainer war. Die Flexibilität und das Beantworten meiner Fragen.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Kurs - IoT Security
Maschinelle Übersetzung
