Seminar IoT-Sicherheit

Grundlegende und fortgeschrittene Konzepte der IoT-Architektur aus der Sicherheitsperspektive

• Eine kurze Geschichte der Entwicklung von IoT-Technologien
• Datenmodelle in IoT-Systemen - Definition und Architektur von Sensoren, Aktoren, Geräten, Gateways, Kommunikationsprotokollen
• Geräte von Drittanbietern und das Risiko, das mit der Lieferkette von Anbietern verbunden ist
• Technologie-Ökosystem - Anbieter von Geräten, Gateways, Analysegeräten, Plattformen, Systemintegratoren - Risiken in Verbindung mit allen Anbietern
• Edge-getriebenes verteiltes IoT vs. Cloud-getriebenes zentrales IoT: Vorteil vs. Risikobewertung
• Managementschichten im IoT-System - Flottenmanagement, Asset Management, Onboarding/Deboarding von Sensoren , Digitale Zwillinge. Risiko von Berechtigungen in Managementschichten
• Einführung in gängige IoT-Kommunikationsprotokolle - Zigbee/NB-IoT/5G/LORA/Witespec - Überprüfung von Schwachstellen in Kommunikationsprotokollschichten
• Verstehen des gesamten Technologie-Stacks von IoT mit einem Überblick über das Risikomanagement

Eine Checkliste aller Risiken und Sicherheitsprobleme im IoT

• Firmware-Patching - der weiche Bauch des IoT
• Detaillierte Überprüfung der Sicherheit von IoT-Kommunikationsprotokollen - Transportschichten ( NB-IoT, 4G, 5G, LORA, Zigbee usw. ) und Anwendungsschichten - MQTT, Web Socket usw.
• Verwundbarkeit von API-Endpunkten - Liste aller möglichen API in der IoT-Architektur
• Verwundbarkeit von Gate-Way-Geräten und Services
• Schwachstelle der angeschlossenen Sensoren -Gateway-Kommunikation
• Schwachstelle von Gateway- Server-Kommunikation
• Schwachstelle von Cloud-Datenbank-Diensten im IoT
• Verwundbarkeit von Anwendungsschichten
• Schwachstelle des Gateway-Management-Dienstes - lokal und Cloud-basiert
• Risiko des Log-Managements in Edge- und Non-Edge-Architektur

OSASP-Modell der IoT-Sicherheit , Top 10 Sicherheitsrisiken

• Unsicheres Web-Interface
• Unzureichende Authentifizierung/Authorisierung
• Unsichere Netzwerkdienste
• Fehlende Transportverschlüsselung
• Datenschutzbedenken
• Unsichere Cloud-Schnittstelle
• Unsichere mobile Schnittstelle
• Unzureichende Sicherheitskonfigurierbarkeit
• Unsichere Software/Firmware
• Unzureichende physische Sicherheit

Überprüfung und Demo von AWS-IoT und Azure IoT-Sicherheitsprinzip

• Microsoft Bedrohungsmodell - STRIDE
• Details zum STRIDE-Modell
• Sicherheitsgerät und Gateway und Serverkommunikation - Asymmetrische Verschlüsselung
• X.509-Zertifizierung für die Verteilung öffentlicher Schlüssel
• SAS-Schlüssel
• Bulk OTA Risiken und Techniken
• API-Sicherheit für Anwendungsportale
• Deaktivierung und Abkopplung von Rogue-Geräten vom System
• Anfälligkeit der AWS/Azure-Sicherheitsprinzipien

Überprüfung der sich entwickelnden NIST-Standards/Empfehlungen für das IoT

• Überprüfung des Standards NISTIR 8228 für IoT-Sicherheit - 30-Punkte-Risikobetrachtungsmodell
• Integration und Identifizierung von Drittanbietergeräten
• Service-Identifikation und -Verfolgung
• Hardware-Identifikation und -Verfolgung
• Identifizierung von Kommunikationssitzungen
• Identifizierung und Protokollierung von Management-Transaktionen
• Log-Verwaltung und -Verfolgung

Absicherung von Firmware/ Gerät

• Absicherung des Debugging-Modus in einer Firmware
• Physikalische Sicherheit von Hardware
• Hardware-Kryptographie - PUF ( Physically Unclonable Function) - Absicherung von EPROM
• Öffentliche PUF, PPUF
• Nano-PUF
• Bekannte Klassifizierung von Malwares in Firmware ( 18 Familien nach YARA-Regel )
• Untersuchung einiger bekannter Firmware-Malware -MIRAI, BrickerBot, GoScanSSH, Hydra etc.

Absicherung des verteilten IoT über Distributer Ledger - BlockChain und DAG (IOTA) 

• Verteilte Ledger-Technologie - DAG Ledger, Hyper Ledger, BlockChain
• PoW, PoS, Tangle - ein Vergleich der Konsensmethoden
• Unterschied zwischen Blockchain, DAG und Hyperledger - ein Vergleich ihrer Funktionsweise vs. Performance vs. Dezentralisierung
• Echtzeit, Offline-Leistung der verschiedenen DLT-Systeme
• P2P-Netzwerk, Private und Public Key - grundlegende Konzepte
• Wie ein Ledger-System praktisch implementiert wird - Überblick über einige Forschungsarchitekturen
• IOTA und Tangle- DLT für IoT

Die Best-Practice-Architektur für IoT-Sicherheit

• Nachverfolgung und Identifizierung aller Dienste in Gateways
• Niemals MAC-Adresse verwenden - stattdessen Paket-ID verwenden
• Identifikationshierarchie für Geräte verwenden - Board-ID, Geräte-ID und Paket-ID
• Strukturieren Sie das Firmware-Patching zum Perimeter und konform zur Service-ID
• PUF für EPROM
• Sichern Sie die Risiken von IoT-Management-Portalen/Applikationen durch zwei Authentifizierungsschichten ab
• Sichern Sie alle APIs - Definieren Sie API-Tests und API-Management
• Identifizierung und Integration des gleichen Sicherheitsprinzips in der logistischen Lieferkette
• Minimierung der Patch-Anfälligkeit von IoT-Kommunikationsprotokollen

Entwurf einer IoT-Sicherheitsrichtlinie für Ihr Unternehmen

• Definieren Sie das Lexikon der IoT-Sicherheit / Spannungen
• Vorschlagen der besten Praxis für Authentifizierung, Identifizierung, Autorisierung
• Identifizierung und Einstufung von kritischen Assets
• Identifikation von Perimetern und Isolation für die Anwendung
• Policy zur Sicherung von kritischen Assets, kritischen Informationen und Datenschutzdaten