Dziękujemy za wysłanie zapytania! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Dziękujemy za wysłanie rezerwacji! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Plan Szkolenia
Sesja 1 & 2: Podstawowe i zaawansowane koncepcje architektury IoT z perspektywy bezpieczeństwa
- Krótka historia ewolucji technologii IoT
- Modele danych w systemie IoT – definicja i architektura czujników, aktywatorów, urządzeń, bram, protokołów komunikacyjnych
- Urządzenia stron trzecich i ryzyko związane z łańcuchem dostaw dostawców
- Ekosystem technologiczny – dostawcy urządzeń, dostawcy bram, dostawcy analityki, dostawcy platform, integratorzy systemów – ryzyko związane ze wszystkimi dostawcami
- Rozproszone IoT oparte na edge vs centralne IoT oparte na chmurze: ocena korzyści vs ryzyka
- Warstwy zarządzania w systemie IoT – zarządzanie flotą, zarządzanie zasobami, onboardowanie/deboardowanie czujników, Digital Twins. Ryzyko autoryzacji w warstwach zarządzania
- Pokaz systemów zarządzania IoT – AWS, Microsoft Azure i inne menedżery flot
- Wprowadzenie do popularnych protokołów komunikacyjnych IoT – Zigbee/NB-IoT/5G/LORA/Witespec – przegląd podatności w warstwach protokołów komunikacyjnych
- Zrozumienie całego stosu technologicznego IoT z przeglądem zarządzania ryzykiem
Sesja 3: Lista kontrolna wszystkich ryzyk i problemów związanych z bezpieczeństwem w IoT
- Łatanie firmware – słaby punkt IoT
- Szczegółowy przegląd bezpieczeństwa protokołów komunikacyjnych IoT – warstwy transportowe (NB-IoT, 4G, 5G, LORA, Zigbee itp.) i warstwy aplikacyjne – MQTT, Web Socket itp.
- Podatność punktów końcowych API – lista wszystkich możliwych API w architekturze IoT
- Podatność urządzeń bramowych i usług
- Podatność komunikacji między czujnikami a bramą
- Podatność komunikacji między bramą a serwerem
- Podatność usług bazodanowych w chmurze w IoT
- Podatność warstw aplikacyjnych
- Podatność usług zarządzania bramami – lokalnych i opartych na chmurze
- Ryzyko związane z zarządzaniem logami w architekturze edge i nie-edge
Sesja 4: Model OSASP bezpieczeństwa IoT, 10 najważniejszych ryzyk związanych z bezpieczeństwem
- I1 Niezabezpieczony interfejs internetowy
- I2 Niewystarczająca autentykacja/autoryzacja
- I3 Niezabezpieczone usługi sieciowe
- I4 Brak szyfrowania transportu
- I5 Problemy z prywatnością
- I6 Niezabezpieczony interfejs chmurowy
- I7 Niezabezpieczony interfejs mobilny
- I8 Niewystarczająca konfigurowalność bezpieczeństwa
- I9 Niezabezpieczone oprogramowanie/firmware
- I10 Słabe zabezpieczenia fizyczne
Sesja 5: Przegląd i demonstracja zasad bezpieczeństwa AWS-IoT i Azure IoT
- Model zagrożeń Microsoft – STRIDE
Szczegóły modelu STRIDE
- Bezpieczeństwo komunikacji między urządzeniem, bramą a serwerem – szyfrowanie asymetryczne
- Certyfikat X.509 dla dystrybucji kluczy publicznych
- Klucze SAS
- Ryzyka i techniki związane z masowym OTA
- Bezpieczeństwo API dla portali aplikacyjnych
- Dezaktywacja i odłączenie niepożądanych urządzeń z systemu
- Podatność zasad bezpieczeństwa AWS/Azure
Sesja 6: Przegląd ewoluujących standardów/zaleceń NIST dla IoT
Przegląd standardu NISTIR 8228 dla bezpieczeństwa IoT – 30-punktowy model oceny ryzyka
Integracja i identyfikacja urządzeń stron trzecich
- Identyfikacja i śledzenie usług
- Identyfikacja i śledzenie sprzętu
- Identyfikacja sesji komunikacyjnych
- Identyfikacja i logowanie transakcji zarządzania
- Zarządzanie i śledzenie logów
Sesja 7: Zabezpieczanie firmware/urządzeń
Zabezpieczanie trybu debugowania w firmware
Bezpieczeństwo fizyczne sprzętu
- Kryptografia sprzętowa – PUF (Physically Unclonable Function) – zabezpieczanie EPROM
- Public PUF, PPUF
- Nano PUF
- Znane klasyfikacje złośliwego oprogramowania w firmware (18 rodzin według reguł YARA)
- Badanie niektórych popularnych złośliwych oprogramowań w firmware – MIRAI, BrickerBot, GoScanSSH, Hydra itp.
Sesja 8: Studia przypadków ataków IoT
- 21 października 2016 roku miało miejsce ogromne atak DDoS na serwery DNS Dyn, który wyłączył wiele usług internetowych, w tym Twitter. Hakerzy wykorzystali domyślne hasła i nazwy użytkowników kamer internetowych i innych urządzeń IoT, instalując botnet Mirai na skompromitowanych urządzeniach IoT. Ten atak zostanie szczegółowo przeanalizowany
- Kamery IP mogą zostać zhakowane poprzez ataki przepełnienia bufora
- Żarówki Philips Hue zostały zhakowane poprzez protokół ZigBee
- Ataki SQL injection były skuteczne przeciwko urządzeniom IoT firmy Belkin
- Ataki typu cross-site scripting (XSS), które wykorzystywały aplikację Belkin WeMo i uzyskiwały dostęp do danych i zasobów, do których aplikacja ma dostęp
Sesja 9: Zabezpieczanie rozproszonego IoT za pomocą technologii rozproszonej księgi – BlockChain i DAG (IOTA) [3 godziny]
Technologia rozproszonej księgi – DAG Ledger, Hyper Ledger, BlockChain
PoW, PoS, Tangle – porównanie metod konsensusu
- Różnica między Blockchain, DAG i Hyperledger – porównanie ich działania vs wydajność vs decentralizacja
- Wydajność w czasie rzeczywistym i offline różnych systemów DLT
- Sieć P2P, klucze prywatne i publiczne – podstawowe koncepcje
- Jak system księgi jest wdrażany w praktyce – przegląd niektórych architektur badawczych
- IOTA i Tangle DLT dla IoT
- Niektóre praktyczne przykłady zastosowań z obszarów smart city, inteligentnych maszyn, inteligentnych samochodów
Sesja 10: Najlepsze praktyki architektoniczne dotyczące bezpieczeństwa IoT
- Śledzenie i identyfikacja wszystkich usług w bramach
- Nigdy nie używaj adresu MAC – zamiast tego użyj identyfikatora pakietu
- Używaj hierarchii identyfikatorów dla urządzeń – identyfikator płyty, identyfikator urządzenia i identyfikator pakietu
- Strukturyzuj łatanie firmware zgodnie z obszarami i identyfikatorami usług
- PUF dla EPROM
- Zabezpiecz ryzyka portali/aplikacji zarządzania IoT poprzez dwie warstwy autentykacji
- Zabezpiecz wszystkie API – zdefiniuj testowanie API i zarządzanie API
- Identyfikacja i integracja tych samych zasad bezpieczeństwa w łańcuchu dostaw logistycznych
- Minimalizacja podatności na łatanie protokołów komunikacyjnych IoT
Sesja 11: Tworzenie polityki bezpieczeństwa IoT dla Twojej organizacji
- Zdefiniuj słownictwo bezpieczeństwa IoT/napięcia
- Zaproponuj najlepsze praktyki dotyczące autentykacji, identyfikacji, autoryzacji
- Identyfikacja i ranking krytycznych aktywów
- Identyfikacja obszarów i izolacja dla aplikacji
- Polityka zabezpieczania krytycznych aktywów, krytycznych informacji i danych prywatnych
Wymagania
- Podstawowa wiedza na temat urządzeń, systemów elektronicznych i systemów danych
- Podstawowa znajomość oprogramowania i systemów
- Podstawowa znajomość statystyki (na poziomie Excela)
- Zrozumienie pionów telekomunikacyjnych
Podsumowanie
- Zaawansowany program szkoleniowy obejmujący aktualny stan bezpieczeństwa Internetu Rzeczy
- Obejmuje wszystkie aspekty bezpieczeństwa firmware, middleware i protokołów komunikacyjnych IoT
- Kurs zapewnia kompleksowy przegląd wszelkich inicjatyw związanych z bezpieczeństwem w dziedzinie IoT dla osób, które nie są głęboko zaznajomione ze standardami, ewolucją i przyszłością IoT
- Dogłębna analiza podatności na zagrożenia w firmware, protokołach komunikacji bezprzewodowej, komunikacji między urządzeniem a chmurą
- Przekrojowe podejście do wielu dziedzin technologicznych w celu zwiększenia świadomości bezpieczeństwa w systemach IoT i ich komponentach
- Pokaz na żywo niektórych aspektów bezpieczeństwa bram, czujników i chmur aplikacji IoT
- Kurs wyjaśnia również 30 zasadniczych kwestii ryzyka związanych z obecnymi i proponowanymi standardami bezpieczeństwa IoT według NIST
- Model OSWAP dla bezpieczeństwa IoT
- Zapewnia szczegółowe wytyczne dotyczące opracowania standardów bezpieczeństwa IoT dla organizacji
Grupa docelowa
Inżynierowie/menedżerowie/eksperci ds. bezpieczeństwa, którzy są odpowiedzialni za rozwój projektów IoT lub audyt/przegląd ryzyk związanych z bezpieczeństwem.
21 godzin
Opinie uczestników (1)
Jak przyjazny był trener. Elastyczność i odpowiadanie na moje pytania.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Szkolenie - IoT Security
Przetłumaczone przez sztuczną inteligencję
