Dziękujemy za wysłanie zapytania! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Dziękujemy za wysłanie rezerwacji! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Plan Szkolenia
Sesja 1 i 2: Podstawowe i zaawansowane koncepcje architektury IoT z perspektywy bezpieczeństwa
- Krótka historia ewolucji technologii IoT
- Modele danych w systemie IoT - definicja i architektura czujników, elementów wykonawczych, urządzeń, bram, protokołów komunikacyjnych
- Urządzenia firm trzecich i ryzyko związane z łańcuchem dostaw dostawców
- Ekosystem technologiczny - dostawcy urządzeń, dostawcy bram, dostawcy usług analitycznych, dostawcy platform, integratorzy systemów - ryzyko związane ze wszystkimi dostawcami
- Rozproszony IoT oparty na krawędziach a centralny IoT oparty na chmurze: ocena korzyści i ryzyka
- Management Warstwy w systemie IoT - Zarządzanie flotą, zarządzanie aktywami, Onboarding/Deboarding czujników, Digital Twins. Ryzyko autoryzacji w warstwach zarządzania
- Demo systemów zarządzania IoT - AWS, Microsoft Azure i inni menedżerowie floty
- Wprowadzenie do popularnych protokołów komunikacyjnych IoT - Zigbee/NB-IoT/5G/LORA/Witespec - przegląd podatności w warstwach protokołów komunikacyjnych
- Zrozumienie całego stosu technologii IoT wraz z przeglądem zarządzania ryzykiem
Sesja 3: Lista kontrolna wszystkich zagrożeń i kwestii bezpieczeństwa w IoT
- Patchowanie oprogramowania układowego - miękki brzuch IoT
- Szczegółowy przegląd bezpieczeństwa protokołów komunikacyjnych IoT - warstwy transportowe ( NB-IoT, 4G, 5G, LORA, Zigbee itp. ) oraz warstwy aplikacji - MQTT, Web Socket itp.
- Podatność punktów końcowych API - lista wszystkich możliwych API w architekturze IoT
- Podatność urządzeń i usług Gate Way
- Podatność podłączonych czujników - komunikacja Gateway
- Podatność bramy - komunikacja z serwerem
- Podatność usług w chmurze Database w IoT
- Podatność warstw aplikacji
- Podatność usługi zarządzania bramą - lokalna i oparta na chmurze
- Ryzyko zarządzania logami w architekturze brzegowej i nie brzegowej
Sesja 4: Model OSASP bezpieczeństwa IoT, 10 największych zagrożeń bezpieczeństwa
- I1 Niezabezpieczony interfejs sieciowy
- I2 Niewystarczające uwierzytelnianie/autoryzacja
- I3 Niezabezpieczone usługi sieciowe
- I4 Brak szyfrowania transportu
- I5 Obawy o prywatność
- I6 Niezabezpieczony interfejs chmury
- I7 Niezabezpieczony interfejs mobilny
- I8 Niewystarczająca konfigurowalność zabezpieczeń
- I9 Niezabezpieczone oprogramowanie
- I10 Słabe bezpieczeństwo fizyczne
Sesja 5: Przegląd i demonstracja AWS-IoT i Azure zasady bezpieczeństwa IoT
- Microsoft Model zagrożeń - STRIDE
Szczegóły modelu STRIDE
- Urządzenie zabezpieczające, brama i komunikacja z serwerem - Szyfrowanie asymetryczne
- Certyfikacja X.509 dla dystrybucji klucza publicznego
- Klucze SAS
- Zagrożenia i techniki związane z masowym OTA
- Bezpieczeństwo API dla portali aplikacji
- Dezaktywacja i odłączenie nieuczciwego urządzenia od systemu
- Podatność AWS/Azure Zasady bezpieczeństwa
Sesja 6: Przegląd rozwijających się standardów/zaleceń NIST dla IoT
Przegląd standardu NISTIR 8228 dla bezpieczeństwa IoT - 30-punktowy model analizy ryzyka
Integracja i identyfikacja urządzeń stron trzecich
- Identyfikacja i śledzenie usług
- Identyfikacja i śledzenie sprzętu
- Identyfikacja sesji Communication
- Identyfikacja i rejestrowanie transakcji Management
- Zarządzanie i śledzenie dzienników
Sesja 7: Zabezpieczanie oprogramowania układowego/urządzenia
Zabezpieczanie trybu debugowania w oprogramowaniu układowym
Fizyczne bezpieczeństwo sprzętu
- Kryptografia sprzętowa - PUF (Physically Unclonable Function) - zabezpieczenie pamięci EPROM
- Publiczny PUF, PPUF
- Nano PUF
- Znana klasyfikacja złośliwego oprogramowania w oprogramowaniu układowym (18 rodzin zgodnie z regułą YARA)
- Badanie niektórych popularnych złośliwych programów w oprogramowaniu układowym -MIRAI, BrickerBot, Go ScanSSH, Hydra itp.
Sesja 8: Studia przypadków ataków na IoT
- 21 października 2016 r. przeprowadzono ogromny atak DDoS na serwery DNS firmy Dyn, który spowodował wyłączenie wielu usług internetowych, w tym Twittera. Hakerzy wykorzystali domyślne hasła i nazwy użytkowników kamer internetowych i innych urządzeń IoT oraz zainstalowali botnet Mirai na zaatakowanych urządzeniach IoT. Atak ten zostanie szczegółowo przeanalizowany
- Kamery IP mogą zostać zhakowane poprzez ataki przepełnienia bufora
- żarówki Philips Hue zostały zhakowane poprzez protokół łącza ZigBee
- Ataki iniekcyjne SQL były skuteczne przeciwko urządzeniom IoT firmy Belkin.
- Ataki cross-site scripting (XSS), które wykorzystywały aplikację Belkin WeMo i uzyskiwały dostęp do danych i zasobów, do których aplikacja może uzyskać dostęp.
Sesja 9: Zabezpieczanie rozproszonego IoT poprzez Distributer Ledger - BlockChain i DAG (IOTA) [3 godziny]
Technologia rozproszonej księgi - DAG Ledger, Hyper Ledger, BlockChain
PoW, PoS, Tangle - porównanie metod konsensusu
- Różnica między Blockchain, DAG i Hyperledger - porównanie ich działania vs wydajność vs decentralizacja
- Wydajność różnych systemów DLT w czasie rzeczywistym i offline
- Sieć P2P, klucz prywatny i publiczny - podstawowe pojęcia
- Jak system księgi jest wdrażany praktycznie - przegląd niektórych architektur badawczych
- IOTA i Tangle - DLT dla IoT
- Kilka praktycznych przykładów zastosowań z inteligentnego miasta, inteligentnych maszyn, inteligentnych samochodów
Sesja 10: Architektura najlepszych praktyk dla bezpieczeństwa IoT
- Śledzenie i identyfikacja wszystkich usług w bramkach
- Nigdy nie używaj adresu MAC - zamiast tego użyj identyfikatora pakietu
- Używanie hierarchii identyfikacji dla urządzeń - ID płyty, ID urządzenia i ID pakietu.
- Struktura poprawek oprogramowania układowego do obwodu i zgodność z identyfikatorem usługi
- PUF dla pamięci EPROM
- Zabezpiecz ryzyko portali/aplikacji do zarządzania IoT za pomocą dwóch warstw uwierzytelniania.
- Zabezpiecz wszystkie API - Zdefiniuj testowanie API i zarządzanie API
- Identyfikacja i integracja tych samych zasad bezpieczeństwa w logistycznym łańcuchu dostaw
- Minimalizacja podatności protokołów komunikacyjnych IoT na ataki.
Sesja 11: Opracowanie polityki bezpieczeństwa IoT dla organizacji
- Zdefiniowanie leksykonu bezpieczeństwa / napięć IoT
- Zaproponowanie najlepszych praktyk w zakresie uwierzytelniania, identyfikacji i autoryzacji
- Identyfikacja i ranking zasobów krytycznych
- Identyfikacja granic i izolacji dla aplikacji
- Polityka zabezpieczania krytycznych zasobów, krytycznych informacji i danych dotyczących prywatności
Wymagania
- Podstawowa znajomość urządzeń, systemów elektronicznych i systemów danych
- Podstawowa znajomość oprogramowania i systemów
- Podstawowe zrozumienie Statistics (na Excel poziomach)
- Zrozumienie Telecom pionów komunikacyjnych
Podsumowanie
- Zaawansowany program szkoleniowy obejmujący aktualny stan bezpieczeństwa Internetu rzeczy.
- Obejmuje wszystkie aspekty bezpieczeństwa oprogramowania układowego, oprogramowania pośredniczącego i protokołów komunikacyjnych IoT.
- Kurs zapewnia 360-stopniowy widok wszystkich rodzajów inicjatyw bezpieczeństwa w domenie IoT dla tych, którzy nie są dogłębnie zaznajomieni ze standardami IoT, ewolucją i przyszłością
- Głębsze badanie luk w zabezpieczeniach oprogramowania układowego, protokołów komunikacji bezprzewodowej, komunikacji między urządzeniami a chmurą.
- Przekrój przez wiele domen technologicznych w celu rozwinięcia świadomości bezpieczeństwa w systemach IoT i ich komponentach.
- Demonstracja na żywo niektórych aspektów bezpieczeństwa bram, czujników i chmur aplikacji IoT.
- Kurs wyjaśnia również 30 głównych czynników ryzyka związanych z obecnymi i proponowanymi standardami NIST w zakresie bezpieczeństwa IoT.
- Model OSWAP dla bezpieczeństwa IoT
- Zawiera szczegółowe wytyczne dotyczące opracowywania standardów bezpieczeństwa IoT dla organizacji
Docelowi odbiorcy
Inżynierowie/menedżerowie/eksperci ds. bezpieczeństwa, którzy są przydzieleni do opracowywania projektów IoT lub audytu/przeglądu zagrożeń bezpieczeństwa.
21 godzin
Opinie uczestników (1)
Jak przyjazny był trener. Elastyczność oraz odpowiedź na moje pytania.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Szkolenie - IoT Security
Przetłumaczone przez sztuczną inteligencję