Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sicherheit im Internet-of-Things - Wie man das größte Botnetz der Welt absichert

247 views

Published on

Slides for the German presentation held at the "Enterprise Computing Conference 2020" on "IoT Security" in Cologne, Germany in March 2020.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Sicherheit im Internet-of-Things - Wie man das größte Botnetz der Welt absichert

  1. 1. Sicherheit im Internet-of-Things Wie man das größte Botnetz der Welt absichert André Nitze Ultra Tendency GmbH Enterprise Computing Conference 2020 https://www.cecmg.de 12.03. - 13.03.2020 | Köln, Deutschland
  2. 2. Pioneering the Future Die Vermessung der Welt 17.03.2020 2Bild: https://www.theregister.co.uk/2015/09/01/intel_nsf_tip_dollars_into_iot_security/ abgerufen am 08.12.2019
  3. 3. Pioneering the Future Schätzungen zur Anzahl der IoT-Geräte im Jahr 2020  Mozilla: 30 Mrd.  IDC: 28,1 Mrd.  ABI Research: 40,9 Mrd.  Gartner: 26 Mrd.  Frost & Sullivan: 5,1 / Person Die Angriffsfläche 17.03.2020 3 “[IoT is] a network of networks of uniquely identifiable endpoints (or "things") that communicate without human interaction using IP connectivity — be it "locally" or globally.“ Lund, Turner, MacGillivray, Morales, (IDC): Worldwide and Regional Internet of Things (IoT) 2014–2020 Forecast: A Virtuous Circle of Proven Value and Demand, 2014. Was zählt eigentlich als IoT-Gerät?
  4. 4. Pioneering the Future Unterschiede in den Nutzergruppen 17.03.2020 4Quelle: https://www.edn.com/building-the-iot-standards-and-hardware-needs/ ,abgerufen am 10.03.2020.
  5. 5. Pioneering the Future Standardisierung auf mehreren Ebenen  Hardware (Sensoren, Aktuatoren)  Software (Betriebssysteme, Protokolle)  Funk-Netzwerke (LoRa, Zigbee…)  IP-basierte Kommunikation Das Internetprotokoll (IP) als Fluch und Segen 17.03.2020 5Bilder: https://www.newgenapps.com/blog/raspberry-pi-vs-arduino-vs-beagle-board, https://ncd.io/iot-sensors/, abgerufen am 08.12.2019
  6. 6. Pioneering the Future Angriffe in Verbindung mit IoT-Geräten 17.03.2020 6 2018 https://www.darkreading.com/iot/intern et-connected-cctv-cameras- vulnerable-to-peekaboo-hack/d/d- id/1332841 2016 https://www.chip.de/news/Angriff-auf-900.000-Router-Wie- es-zum-massiven-Telekom-Ausfall-kam_104341602.html 2018 https://thehackernews.com /2018/11/usps-data- breach.html
  7. 7. Pioneering the Future Angriffe in Verbindung mit IoT-Geräten 17.03.2020 7 Mirai, 2016 DDoS-Angriff mit 620 Gbps https://dyn.com/blog/dyn-analysis-summary-of-friday-october-21-attack/ https://www.politico.eu/article/army-of-light-bulbs-cameras-attack-defenseless-eu-internet-of- things-security/
  8. 8. Pioneering the Future OWASP IoT Top 10 (2018)  I1 Weak Guessable, or Hardcoded Passwords  I2 Insecure Network Services (on the devices)  I3 Insecure Ecosystem Interfaces (Mobile, APIs, Cloud backend)  I4 Lack of Secure Update Mechanism  I5 Use of Insecure or Outdated Components  I6 Insufficient Privacy Protection  I7 Insecure Data Transfer and Storage  I8 Lack of Device Management  I9 Insecure Default Settings  I10 Lack of Physical Hardening IoT Grundschutz: OWASP 17.03.2020 8Quelle: https://www.owasp.org/images/1/1c/OWASP-IoT-Top-10-2018-final.pdf , abgerufen am 10.03.2020
  9. 9. Pioneering the Future Defense-in-Depth im Internet der Dinge 9 Server IoT Gateway IoT Sensor Funknetz Internet DMZ, Internal network Anwendung
  10. 10. Pioneering the Future Defense-in-Depth im Internet der Dinge 17.03.2020 10 Plattformen  On-Premise  Cloud-basiert Protokolle  Einsatzgebiet  Kompatibilität Technologien  Server  Datenbanken  Virtualisierung CoAP HTTP
  11. 11. Pioneering the Future IoT-spezifische Angriffsvektoren  Key Reinstallation Attack (KRACK)  IoT resource scanning  Command injection  Unerlaubter Zugriff  DDoS-Angriffe IoT Grundschutz: Secure Software Engineering 17.03.2020 11 Gegenmaßnahmen Software  Gehärtete Betriebssysteme  Sichere Anwendungsentwicklung  Isolation (Speicher, Container, Services)  API-Management Infrastruktur  (Customer) Identity and Access Management (CIAM)  Web Application Firewalls (WAF)  Load-Balancing + Rate Limiting  DDoS-Erkennung
  12. 12. Pioneering the Future Betrieb und Wartung von IoT-Infrastrukturen 17.03.2020 12 Betrieb der Infrastruktur  Zentrale Verwaltung aller Geräte (Registrierung, Aktivierung/Deaktivierung...)  Monitoring und Alerting  Skalierung  Backup & Wiederherstellung  … Wartung der Infrastruktur  Ersetzen von Geräten  Batteriewechsel  Neue Firmwares und Sicherheits-Updates  ... Bild: https://blog.lwolf.org/post/going-open-source-in-monitoring-part-ii-creating-the-first-dashboard-in-grafana/, abgerufen am 09.12.2019.
  13. 13. Pioneering the Future Kapitel aus ISO / IEC27001:  A.8: Asset management  A.9: Access controls and managing user access  A.10: Cryptography  A.11: Physical and environmental security  A.12: Operational security  A.13: Communications security  A.14: System acquisition, development and maintenance - A.14.2.1 Secure development policy - A.14.2.5 Secure system engineering principles - A.14.2.6 Secure development environment - A.14.2.8 System security testing IoT Grundschutz: Security Controls 17.03.2020 13
  14. 14. Pioneering the Future Fazit  IoT Security lässt sich erreichen über die durchgehende Anwendung herkömmlicher Security Controls (vgl. ISO/IEC 27001) mit Blick auf die häufigsten Probleme (OWASP, Common Criteria) Ausblick SDK + Gateway + Device Management + Message Broker + IAM “aus einem Guss”  Azure Sphere  Amazon IoT Core  Ubuntu Core (OS) IoT Security 17.03.2020 14
  15. 15. Pioneering the Future Alternativen: International Data Spaces (IDS) Quelle: Prof. Dr. Boris Otto
  16. 16. Pioneering the Future Alternativen: International Data Spaces (IDS) Quelle: Prof. Dr. Boris Otto
  17. 17. Dr.-Ing. André Nitze E-Mail: andre.nitze@ultratendency.com Web: http://www.andre-nitze.de Twitter: @Andre_Nitze 17.03.2020 Vielen Dank für Ihre Aufmersamkeit!

×