Vielen Dank für die Zusendung Ihrer Anfrage! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Vielen Dank, dass Sie Ihre Buchung abgeschickt haben! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Schulungsübersicht
Sitzung 1 & 2: Grundlegende und fortgeschrittene Konzepte der IoT-Architektur aus der Sicherheitsperspektive
- Eine kurze Geschichte der Entwicklung von IoT-Technologien
- Datenmodelle in IoT-Systemen - Definition und Architektur von Sensoren, Aktoren, Geräten, Gateways, Kommunikationsprotokollen
- Geräte von Drittanbietern und das mit der Lieferkette von Anbietern verbundene Risiko
- Technologie-Ökosystem - Anbieter von Geräten, Gateways, Analysegeräten, Plattformen, Systemintegratoren - Risiken im Zusammenhang mit allen Anbietern
- Edge-gesteuertes verteiltes IoT vs. Cloud-gesteuertes zentrales IoT: Vorteil vs. Risikobewertung
- Management Schichten im IoT-System - Flottenmanagement, Asset Management, Onboarding/Deboarding von Sensoren, Digitale Zwillinge. Risiko von Autorisierungen in Managementschichten
- Demo von IoT-Managementsystemen - AWS, Microsoft Azure und andere Flottenmanager
- Einführung in gängige IoT-Kommunikationsprotokolle - Zigbee/NB-IoT/5G/LORA/Witespec - Überprüfung von Schwachstellen in Kommunikationsprotokollschichten
- Verständnis des gesamten Technologie-Stacks des IoT mit einem Überblick über das Risikomanagement
Sitzung 3: Eine Checkliste aller Risiken und Sicherheitsprobleme im IoT
- Firmware-Patching - der weiche Bauch des IoT
- Detaillierte Überprüfung der Sicherheit von IoT-Kommunikationsprotokollen - Transportschichten ( NB-IoT, 4G, 5G, LORA, Zigbee usw.) und Anwendungsschichten - MQTT, Web Socket usw.
- Anfälligkeit von API-Endpunkten - Liste aller möglichen API in der IoT-Architektur
- Anfälligkeit von Gate-Way-Geräten und -Diensten
- Anfälligkeit der angeschlossenen Sensoren - Gateway-Kommunikation
- Schwachstelle der Gateway- Server Kommunikation
- Anfälligkeit von Cloud Database Diensten im IoT
- Anfälligkeit von Anwendungsschichten
- Schwachstelle des Gateway-Managementdienstes - lokal und Cloud-basiert
- Risiko der Protokollverwaltung in Edge- und Non-Edge-Architekturen
Sitzung 4: OSASP-Modell der IoT-Sicherheit, Top 10 Sicherheitsrisiken
- I1 Unsichere Webschnittstelle
- I2 Unzureichende Authentifizierung/Authorisierung
- I3 Unsichere Netzwerkdienste
- I4 Fehlende Transportverschlüsselung
- I5 Datenschutzbedenken
- I6 Unsichere Cloud-Schnittstelle
- I7 Unsichere mobile Schnittstelle
- I8 Unzureichende Sicherheitskonfigurierbarkeit
- I9 Unsichere Software/Firmware
- I10 Unzureichende physische Sicherheit
Sitzung 5: Überblick und Demo von AWS-IoT und Azure IoT-Sicherheitsprinzip
- Microsoft Bedrohungsmodell - STRIDE
Einzelheiten des STRIDE-Modells
- Sicherheit der Kommunikation zwischen Gerät, Gateway und Server - Asymmetrische Verschlüsselung
- X.509-Zertifizierung für die Verteilung öffentlicher Schlüssel
- SAS Schlüssel
- Bulk OTA Risiken und Techniken
- API-Sicherheit für Anwendungsportale
- Deaktivierung und Abkopplung von Schurkengeräten vom System
- Anfälligkeit von AWS/Azure Sicherheitsgrundsätze
Sitzung 6: Überprüfung der sich entwickelnden NIST-Standards/Empfehlungen für das IoT
Überprüfung des NISTIR 8228-Standards für IoT-Sicherheit - 30-Punkte-Risikobetrachtungsmodell
Integration und Identifizierung von Drittgeräten
- Identifizierung und Verfolgung von Diensten
- Hardware-Identifikation und -Verfolgung
- Communication Sitzungsidentifizierung
- Management Identifizierung und Protokollierung von Transaktionen
- Protokollverwaltung und -verfolgung
Sitzung 7: Absicherung von Firmware/Gerät
Absicherung des Debugging-Modus in einer Firmware
Physikalische Sicherheit von Hardware
- Hardware-Kryptographie - PUF (Physically Unclonable Function) - Absicherung von EPROM
- Öffentliche PUF, PPUF
- Nano-PUF
- Bekannte Klassifizierung von Malware in Firmware ( 18 Familien nach der YARA-Regel )
- Untersuchung einiger bekannter Firmware-Malware -MIRAI, BrickerBot, GoScanSSH, Hydra usw.
Sitzung 8: Fallstudien zu IoT-Angriffen
- Am 21. Oktober 2016 wurde ein riesiger DDoS-Angriff auf die DNS-Server von Dyn durchgeführt, der viele Webdienste, einschließlich Twitter, lahmlegte. Die Hacker nutzten die Standardpasswörter und Benutzernamen von Webcams und anderen IoT-Geräten aus und installierten das Mirai-Botnetz auf kompromittierten IoT-Geräten. Dieser Angriff wird im Detail untersucht
- IP-Kameras können durch Pufferüberlauf-Angriffe gehackt werden
- Philips Hue-Glühbirnen wurden über ihr ZigBee-Verbindungsprotokoll gehackt
- SQL Injektionsangriffe waren bei IoT-Geräten von Belkin wirksam
- Cross-Site-Scripting (XSS)-Angriffe, die die Belkin WeMo-App ausnutzen und auf Daten und Ressourcen zugreifen, auf die die App zugreifen kann
Sitzung 9: Absicherung des verteilten IoT über Distributer Ledger - BlockChain und DAG (IOTA) [3 Stunden]
Verteilte Ledger-Technologie - DAG Ledger, Hyper Ledger, BlockChain
PoW, PoS, Tangle - ein Vergleich der Konsensmethoden
- Unterschied zwischen Blockchain, DAG und Hyperledger - ein Vergleich ihrer Funktionsweise, Leistung und Dezentralisierung
- Echtzeit, Offline-Leistung der verschiedenen DLT-Systeme
- P2P-Netzwerk, privater und öffentlicher Schlüssel - grundlegende Konzepte
- Wie ein Ledger-System praktisch umgesetzt wird - Überblick über einige Forschungsarchitekturen
- IOTA und Tangle - DLT für IoT
- Einige praktische Anwendungsbeispiele aus den Bereichen Smart City, Smart Machines und Smart Cars
Sitzung 10: Die Best-Practice-Architektur für IoT-Sicherheit
- Verfolgung und Identifizierung aller Dienste in Gateways
- Niemals MAC-Adresse verwenden - stattdessen Paket-ID verwenden
- Verwenden Sie eine Identifikationshierarchie für Geräte - Board-ID, Geräte-ID und Paket-ID
- Strukturierung des Firmware-Patchings auf den Perimeter und Übereinstimmung mit der Service-ID
- PUF für EPROM
- Absicherung der Risiken von IoT-Verwaltungsportalen/-anwendungen durch zwei Authentifizierungsebenen
- Sicherung aller APIs - Definition von API-Tests und API-Management
- Identifizierung und Integration desselben Sicherheitsprinzips in der logistischen Lieferkette
- Minimierung der Patch-Anfälligkeit von IoT-Kommunikationsprotokollen
Sitzung 11: Ausarbeitung einer IoT-Sicherheitspolitik für Ihr Unternehmen
- Definieren Sie das Lexikon der IoT-Sicherheit / Spannungen
- Vorschlagen der besten Praxis für Authentifizierung, Identifizierung, Autorisierung
- Identifizierung und Einstufung von kritischen Assets
- Identifizierung von Perimetern und Isolierung für die Anwendung
- Richtlinie zur Sicherung kritischer Vermögenswerte, kritischer Informationen und Datenschutzdaten
Voraussetzungen
- Grundkenntnisse über Geräte, elektronische Systeme und Datensysteme
- Grundlegendes Verständnis von Software und Systemen
- Grundlegendes Verständnis von Statistics (in Excel Stufen)
- Verständnis von Telecommunication Verticals
Zusammenfassung
- Ein fortgeschrittenes Schulungsprogramm, das den aktuellen Stand der Technik im Bereich der Sicherheit des Internets der Dinge abdeckt
- Deckt alle Aspekte der Sicherheit von Firmware, Middleware und IoT-Kommunikationsprotokollen ab
- Der Kurs bietet einen 360-Grad-Blick auf alle Arten von Sicherheitsinitiativen im IoT-Bereich für diejenigen, die mit IoT-Standards, -Entwicklung und -Zukunft nicht vertraut sind
- Vertiefte Untersuchung von Sicherheitsschwachstellen in Firmware, drahtlosen Kommunikationsprotokollen und der Kommunikation zwischen Gerät und Cloud.
- Querschnitt durch mehrere Technologiebereiche, um ein Bewusstsein für die Sicherheit in IoT-Systemen und ihren Komponenten zu entwickeln
- Live-Demo einiger Sicherheitsaspekte von Gateways, Sensoren und IoT-Anwendungsclouds
- Der Kurs erklärt auch 30 grundsätzliche Risikoüberlegungen der aktuellen und vorgeschlagenen NIST-Standards für IoT-Sicherheit
- OSWAP-Modell für IoT-Sicherheit
- Bietet einen detaillierten Leitfaden für den Entwurf von IoT-Sicherheitsstandards für eine Organisation
Zielpublikum
Ingenieure/Manager/Sicherheitsexperten, die mit der Entwicklung von IoT-Projekten oder der Prüfung/Überprüfung von Sicherheitsrisiken beauftragt sind.
21 Stunden
Erfahrungsberichte (1)
How friendly the trainer was. The flexibility and answering my questions.
