Neues Zertifizierungsprogramm schult Cyber-Profis in Cloud, IoT und anderen neuen Technologien

Cyber Security News

Ein Besucher betrachtet ein IoT & 5G Motherboard am Stand von STMicroelectronics während der Electronica China 2021 im Shanghai New International Expo Centre am 14. April 2021 in Shanghai, China. (Foto: VCG/VCG via Getty Images)

Cybersecurity- und IT-Governance-Profis, die sich in ihrem Kernbereich auskennen, aber vielleicht unsicher sind, wie sie ihre Fähigkeiten am besten auf KI, Blockchain, Cloud und IoT anwenden können, haben jetzt einen neuen Zertifizierungskurs, der ihnen die Grundlagen dieser aufstrebenden Tech-Bereiche vermitteln kann.

ISACA hat heute den Start des Programms Certified in Emerging Technologies (CET) bekannt gegeben, das es den Teilnehmern ermöglicht, einzelne Zertifikate in einem der vier oben genannten Kompetenzbereiche zu erwerben und dann alle vier für ein vollwertiges Programmzertifikat zu sammeln.

“Es hängt wirklich davon ab, was Ihre Ziele sind und wohin Sie Ihre Karriere führen soll”, sagte Dustin Brewer, Senior Director of Emerging Technologies and Innovation bei ISACA. Einige Karrierewege, wie z. B. Cloud Computing, könnten Kenntnisse in allen vier Disziplinen erfordern, bemerkte er, weil es “eine dieser Technologien ist, die all diese anderen Technologien ermöglicht.”

Dieser neue Kurs ist eine Reaktion auf die steigende Nachfrage nach Schulungen, die es Fachleuten ermöglichen, sich in wichtigen aufstrebenden Technologiebereichen weiterzubilden und ihnen neue Karrierewege zu eröffnen. Das gilt insbesondere für die Cloud-Schulung, so Brewer. “Es macht Sinn, dass sie sich in diese Richtung orientieren wollen. Seit der COVID-19-Pandemie ist die Nachfrage nur noch gestiegen, denn “wir haben gesehen, dass die Cloud-Akzeptanz geradezu explodiert ist”, fährt er fort.

Das Ziel des Zertifizierungsprogramms, so Brewer, ist, dass die Kandidaten ein “grundlegendes Verständnis für die Technologie selbst” erlangen. Mit diesem grundlegenden Verständnis der Technologie, ihrer Anwendungen und ihrer inhärenten Risiken können die Teilnehmer dann weitere Schritte in ihrer Ausbildung unternehmen, um zu lernen, wie man sie besser absichert.

Der Kurs umfasst ein selbstgesteuertes Training mit Hilfe eines Studienleitfadens, ein virtuelles Training unter Anleitung, Prüfungen und Online-Labore, “wo wir Sie in eine Live-Umgebung werfen, wo Sie tatsächlich mit einigen KI-Tools interagieren oder Sie tatsächlich mit IoT-Geräten in einem Netzwerk interagieren”, sagte Brewer.

Jede der vier Disziplinen erfordert ihre eigenen einzigartigen Fähigkeiten und Kenntnisse, die helfen können, einen Lebenslauf zu untermauern.

Wolke

“Einfach ausgedrückt, ist die Cloud zum dominierenden IT-System geworden und die Pandemie hat den Zeitplan für Cloud-Übergangsprojekte beschleunigt”, sagt Jim Reavis, CEO der Cloud Security Alliance, die gemeinsam mit ISACA ein separates Schulungs- und Prüfungsprogramm für das Certificate of Cloud Auditing Knowledge (CCAK) entwickelt hat, das Fachleuten helfen soll, ihre Kompetenz bei der Prüfung der Sicherheit von Cloud-Systemen nachzuweisen. “Manager und Führungskräfte sagen uns, dass sie mehr Mitarbeiter suchen, die sowohl technische Cloud-Sicherheit als auch Cloud-Assurance-Kenntnisse haben.”

Aber Wissen ist oft Mangelware, und das hat einen Grund: “Die Ausbildung neigt dazu, der Innovation hinterherzuhinken, was zu einer unvermeidlichen Wissenslücke bei neuen Technologien führt”, erklärt Reavis. “Ein Teil des Problems mit der Cybersecurity-Expertise im Zusammenhang mit Cloud Computing ist der Umfang. Praktisch alle Unternehmen stellen Cloud-Services bereit oder nutzen sie. Viele Technologieexperten verstehen jedoch nicht die Sicherheitsverantwortung, die den Kunden der Cloud zukommt.”

Glücklicherweise wird das CET-Programm ISACA-Kunden mit begrenzter Cloud-Erfahrung wichtige Lektionen vermitteln, die die Vorteile und Herausforderungen beim Betrieb einer Cloud-basierten Infrastruktur aufzeigen. Auf der einen Seite reduzieren Sie Kosten und übertragen einen Teil Ihres Risikos auf einen Dritten. Auf der anderen Seite lassen Drittanbieter von Cloud-Infrastrukturen Sie oft nicht so einfach ihre digitalen Assets bewerten und prüfen, wie Sie Ihre eigene interne Organisation prüfen würden.

“Was bedeutet das für die IT-Audit-Community, weil Sie Infrastruktur oder Software auf dem Server eines anderen Unternehmens nutzen, zu dem Sie keinen physischen Zugang haben?”, beschreibt Brewer die wichtigsten Erkenntnisse aus dem Kurs. “Was bedeutet das für Ihre Cybersecurity- und Audit-Abteilungen innerhalb Ihrer Organisation? Wie können sie auf diese Geräte zugreifen? Steht das in den Service Level Agreements mit dem Cloud-Anbieter?

Darüber hinaus werden vier Hauptkategorien von Cloud-basierten Diensten besprochen: Software-as-a-Service, Infrastructure-as-a-Service, Platform-as-a-Service und Security-as-a-Service. Außerdem wird das Thema Cloud-Konfigurationsmanagement behandelt, einschließlich der Bedeutung einer verantwortungsvollen Sicherung von online gespeicherten Daten.

IoT

John Moor, Geschäftsführer der IoT Security Foundation, sagte gegenüber SC Media, dass die IoT-Produktindustrie unter einem Mangel an Cybersecurity-Know-how leidet, “und dies wird durch die Anzahl der IoT-Schlagzeilen in der Presse bestätigt, die ein Spektrum von Problemen aufzeigen, das von schlecht konzipierten Systemen ohne grundlegende Sicherheitsfunktionen bis hin zu fortgeschritteneren Schwachstellen wie Seitenkanalangriffen reicht.”

Die Welt des IoT ist für Infosec-Praktiker sehr umfangreich, aber letztlich läuft es darauf hinaus, sie als winzige Computer zu sehen, so Brewer. “Einige von ihnen haben veraltete Software, einige von ihnen haben veraltete Treiber, weshalb wir dieses Cybersicherheitsproblem haben, mit dem wir uns gerade alle beschäftigen”, sagte er.

Vor diesem Hintergrund zielt der CET-Kurs darauf ab, verschiedene IoT-Geräte in ihre Schlüsselkomponenten zu zerlegen, einschließlich ihrer Hardware und Prozessoren IoT-Geräte, ihre Kommunikationsprotokolle und ihre Software, Middleware und Treiber.

“Wenn Sie ein IoT-Gerät aufschlüsseln, was wir tun, sind dies alle möglichen Angriffsvektoren für jemanden”, sagte Brewer. “Wenn es ein physischer Angriff ist, dann reden wir darüber, was mit dem Chipsatz passiert, oder was mit dem proximalen Zugriff oder dem physischen Zugriff auf das Gerät passiert. Wenn es ein Fernzugriff ist, wie verbindet es sich mit dem Internet? Ist es über 5G, ist es über Wi-Fi?”

Außerdem: “Wir gehen darauf ein, wie es wie [IoT] mit der Cloud integriert wird und wie es mit Big Data und all den Datensätzen aus dem IoT integriert wird – die verschiedenen Aktoren und Sensoren, die Sie in ein IoT-Gerät eingebaut haben, damit es das tun kann, was es in der realen Welt tun muss, während es gleichzeitig auch die reale Welt überwacht”, so Brewer.

Künstliche Intelligenz

In der Zwischenzeit wird das KI-Angebot des CET-Kurses die Fähigkeit untersuchen, eine Maschine zu trainieren, Muster zu erkennen und Entscheidungen zu treffen, nachdem sie mit großen Datensätzen gefüttert wurde.

“Wir werden niemanden dazu bringen, da reinzugehen und einen KI-Algorithmus zu bauen, weil wir über mehrere Semester College reden”, stellte Brewer klar. “Aber … wenn jemand das hier nimmt und dann einen College-Kurs dazu belegt, um tatsächlich einen eigenen Algorithmus zu bauen, wäre er viel besser darauf vorbereitet, weil er viel mehr von dem Vokabular kennt und viel mehr von den Grundlagen dahinter versteht.”

Sie werden auch besser über die Auswirkungen von KI auf die Cybersicherheit und den Datenschutz informiert sein. Erstens “gibt es die Bedenken, die mit dem Einsatz von KI einhergehen, wenn es um Kundendaten oder Ähnliches geht. Ist die Nutzung ethisch vertretbar?”, so Brewer. “Und dann gibt es den Teil, in dem wir KI nutzen, um Cybersicherheitsoperationen durchzuführen. Sie nutzen also KI, um heuristische Anomalien in einem Netzwerk zu erkennen, Sie nutzen KI, um sicherzustellen, dass es sich nicht um einen Fehlalarm Ihres IDS handelt.”

Blockchain

Schließlich lehren die CET-Blockchain-Schulungsinhalte Fachleute über die wachsende Palette von Geschäftsanwendungen der Technologie, die über reine Kryptowährungstransaktionen hinausgehen.

“Wir haben es in der physischen Lieferkette gesehen, und wir haben es in einigen anderen Fallstudien gesehen, wo Unternehmen tatsächlich Blockchain nutzen, um Patienten zu verfolgen, oder um Lieferungen zu verfolgen oder um verschiedene Arten von Informationen zu verfolgen, nicht nur finanzielle Transaktionen”, sagte Brewer.

“Eines der Dinge, die uns darauf aufmerksam gemacht haben, war einfach die Tatsache, dass es all diese Art von Unternehmen mit großem Namen gab. [and government agencies]… die mit der Idee spielten, Blockchain in ihre aktuelle Infrastruktur zu implementieren”, so Brewer weiter.

Aus der Perspektive der Cybersicherheit hat Blockchain das Potenzial, die immerwährende Herausforderung der Erhaltung der Datenintegrität zu lösen, denn “wir haben diese Idee einer dezentralen Autorität, bei der die Daten verifiziert werden und niemals verändert werden können – sie sind unveränderbar”, erklärte Brewer. Gleichzeitig haben Cyberkriminelle jedoch versucht, öffentliche und private Blockchains anzugreifen, denn “auch wenn wir diese großartige neue Fähigkeit oder dieses neue System innerhalb unserer aktuellen Infrastruktur betreiben, nutzt es immer noch unsere alte Infrastruktur”, und das setzt die Benutzer potenziellen Schwachstellen aus.

Letzten Monat kündigte ISACA außerdem ein weiteres Zertifizierungsprogramm an, bei dem Studenten, Hochschulabsolventen und IT-Anfänger die Zertifizierung zum Information Technology Certified Associate (ITCA) erwerben können, indem sie modulare Zertifikate durch Lektionen in fünf verschiedenen grundlegenden Bereichen erwerben: Computing, Netzwerke und Infrastruktur, Cybersicherheit, Softwareentwicklung und Data Science.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com