Thank you for sending your enquiry! One of our team members will contact you shortly.
Thank you for sending your booking! One of our team members will contact you shortly.
Plan Szkolenia
Sesja 1 i 2: Podstawowe i zaawansowane koncepcje architektury IoT z perspektywy bezpieczeństwa
- Krótka historia ewolucji technologii IoT
- Modele danych w systemie IoT - definicja i architektura czujników, elementów wykonawczych, urządzeń, bram, protokołów komunikacyjnych
- Urządzenia firm trzecich i ryzyko związane z łańcuchem dostaw dostawców
- Ekosystem technologiczny - dostawcy urządzeń, dostawcy bram, dostawcy usług analitycznych, dostawcy platform, integratorzy systemów - ryzyko związane ze wszystkimi dostawcami
- Rozproszony IoT oparty na krawędziach a centralny IoT oparty na chmurze: ocena korzyści i ryzyka
- Management Warstwy w systemie IoT - Zarządzanie flotą, zarządzanie aktywami, Onboarding/Deboarding czujników, Digital Twins. Ryzyko autoryzacji w warstwach zarządzania
- Demo systemów zarządzania IoT - AWS, Microsoft Azure i inni menedżerowie floty
- Wprowadzenie do popularnych protokołów komunikacyjnych IoT - Zigbee/NB-IoT/5G/LORA/Witespec - przegląd podatności w warstwach protokołów komunikacyjnych
- Zrozumienie całego stosu technologii IoT wraz z przeglądem zarządzania ryzykiem
Sesja 3: Lista kontrolna wszystkich zagrożeń i kwestii bezpieczeństwa w IoT
- Patchowanie oprogramowania układowego - miękki brzuch IoT
- Szczegółowy przegląd bezpieczeństwa protokołów komunikacyjnych IoT - warstwy transportowe ( NB-IoT, 4G, 5G, LORA, Zigbee itp. ) oraz warstwy aplikacji - MQTT, Web Socket itp.
- Podatność punktów końcowych API - lista wszystkich możliwych API w architekturze IoT
- Podatność urządzeń i usług Gate Way
- Podatność podłączonych czujników - komunikacja Gateway
- Podatność bramy - komunikacja z serwerem
- Podatność usług w chmurze Database w IoT
- Podatność warstw aplikacji
- Podatność usługi zarządzania bramą - lokalna i oparta na chmurze
- Ryzyko zarządzania logami w architekturze brzegowej i nie brzegowej
Sesja 4: Model OSASP bezpieczeństwa IoT, 10 największych zagrożeń bezpieczeństwa
- I1 Niezabezpieczony interfejs sieciowy
- I2 Niewystarczające uwierzytelnianie/autoryzacja
- I3 Niezabezpieczone usługi sieciowe
- I4 Brak szyfrowania transportu
- I5 Obawy o prywatność
- I6 Niezabezpieczony interfejs chmury
- I7 Niezabezpieczony interfejs mobilny
- I8 Niewystarczająca konfigurowalność zabezpieczeń
- I9 Niezabezpieczone oprogramowanie
- I10 Słabe bezpieczeństwo fizyczne
Sesja 5: Przegląd i demonstracja AWS-IoT i Azure zasady bezpieczeństwa IoT
- Microsoft Model zagrożeń - STRIDE
Szczegóły modelu STRIDE
- Urządzenie zabezpieczające, brama i komunikacja z serwerem - Szyfrowanie asymetryczne
- Certyfikacja X.509 dla dystrybucji klucza publicznego
- Klucze SAS
- Zagrożenia i techniki związane z masowym OTA
- Bezpieczeństwo API dla portali aplikacji
- Dezaktywacja i odłączenie nieuczciwego urządzenia od systemu
- Podatność AWS/Azure Zasady bezpieczeństwa
Sesja 6: Przegląd rozwijających się standardów/zaleceń NIST dla IoT
Przegląd standardu NISTIR 8228 dla bezpieczeństwa IoT - 30-punktowy model analizy ryzyka
Integracja i identyfikacja urządzeń stron trzecich
- Identyfikacja i śledzenie usług
- Identyfikacja i śledzenie sprzętu
- Identyfikacja sesji Communication
- Identyfikacja i rejestrowanie transakcji Management
- Zarządzanie i śledzenie dzienników
Sesja 7: Zabezpieczanie oprogramowania układowego/urządzenia
Zabezpieczanie trybu debugowania w oprogramowaniu układowym
Fizyczne bezpieczeństwo sprzętu
- Kryptografia sprzętowa - PUF (Physically Unclonable Function) - zabezpieczenie pamięci EPROM
- Publiczny PUF, PPUF
- Nano PUF
- Znana klasyfikacja złośliwego oprogramowania w oprogramowaniu układowym (18 rodzin zgodnie z regułą YARA)
- Badanie niektórych popularnych złośliwych programów w oprogramowaniu układowym -MIRAI, BrickerBot, Go ScanSSH, Hydra itp.
Sesja 8: Studia przypadków ataków na IoT
- 21 października 2016 r. przeprowadzono ogromny atak DDoS na serwery DNS firmy Dyn, który spowodował wyłączenie wielu usług internetowych, w tym Twittera. Hakerzy wykorzystali domyślne hasła i nazwy użytkowników kamer internetowych i innych urządzeń IoT oraz zainstalowali botnet Mirai na zaatakowanych urządzeniach IoT. Atak ten zostanie szczegółowo przeanalizowany
- Kamery IP mogą zostać zhakowane poprzez ataki przepełnienia bufora
- żarówki Philips Hue zostały zhakowane poprzez protokół łącza ZigBee
- Ataki iniekcyjne SQL były skuteczne przeciwko urządzeniom IoT firmy Belkin.
- Ataki cross-site scripting (XSS), które wykorzystywały aplikację Belkin WeMo i uzyskiwały dostęp do danych i zasobów, do których aplikacja może uzyskać dostęp.
Sesja 9: Zabezpieczanie rozproszonego IoT poprzez Distributer Ledger - BlockChain i DAG (IOTA) [3 godziny]
Technologia rozproszonej księgi - DAG Ledger, Hyper Ledger, BlockChain
PoW, PoS, Tangle - porównanie metod konsensusu
- Różnica między Blockchain, DAG i Hyperledger - porównanie ich działania vs wydajność vs decentralizacja
- Wydajność różnych systemów DLT w czasie rzeczywistym i offline
- Sieć P2P, klucz prywatny i publiczny - podstawowe pojęcia
- Jak system księgi jest wdrażany praktycznie - przegląd niektórych architektur badawczych
- IOTA i Tangle - DLT dla IoT
- Kilka praktycznych przykładów zastosowań z inteligentnego miasta, inteligentnych maszyn, inteligentnych samochodów
Sesja 10: Architektura najlepszych praktyk dla bezpieczeństwa IoT
- Śledzenie i identyfikacja wszystkich usług w bramkach
- Nigdy nie używaj adresu MAC - zamiast tego użyj identyfikatora pakietu
- Używanie hierarchii identyfikacji dla urządzeń - ID płyty, ID urządzenia i ID pakietu.
- Struktura poprawek oprogramowania układowego do obwodu i zgodność z identyfikatorem usługi
- PUF dla pamięci EPROM
- Zabezpiecz ryzyko portali/aplikacji do zarządzania IoT za pomocą dwóch warstw uwierzytelniania.
- Zabezpiecz wszystkie API - Zdefiniuj testowanie API i zarządzanie API
- Identyfikacja i integracja tych samych zasad bezpieczeństwa w logistycznym łańcuchu dostaw
- Minimalizacja podatności protokołów komunikacyjnych IoT na ataki.
Sesja 11: Opracowanie polityki bezpieczeństwa IoT dla organizacji
- Zdefiniowanie leksykonu bezpieczeństwa / napięć IoT
- Zaproponowanie najlepszych praktyk w zakresie uwierzytelniania, identyfikacji i autoryzacji
- Identyfikacja i ranking zasobów krytycznych
- Identyfikacja granic i izolacji dla aplikacji
- Polityka zabezpieczania krytycznych zasobów, krytycznych informacji i danych dotyczących prywatności
Wymagania
- Podstawowa znajomość urządzeń, systemów elektronicznych i systemów danych
- Podstawowa znajomość oprogramowania i systemów
- Podstawowe zrozumienie Statistics (na Excel poziomach)
- Zrozumienie Telecom pionów komunikacyjnych
Podsumowanie
- Zaawansowany program szkoleniowy obejmujący aktualny stan bezpieczeństwa Internetu rzeczy.
- Obejmuje wszystkie aspekty bezpieczeństwa oprogramowania układowego, oprogramowania pośredniczącego i protokołów komunikacyjnych IoT.
- Kurs zapewnia 360-stopniowy widok wszystkich rodzajów inicjatyw bezpieczeństwa w domenie IoT dla tych, którzy nie są dogłębnie zaznajomieni ze standardami IoT, ewolucją i przyszłością
- Głębsze badanie luk w zabezpieczeniach oprogramowania układowego, protokołów komunikacji bezprzewodowej, komunikacji między urządzeniami a chmurą.
- Przekrój przez wiele domen technologicznych w celu rozwinięcia świadomości bezpieczeństwa w systemach IoT i ich komponentach.
- Demonstracja na żywo niektórych aspektów bezpieczeństwa bram, czujników i chmur aplikacji IoT.
- Kurs wyjaśnia również 30 głównych czynników ryzyka związanych z obecnymi i proponowanymi standardami NIST w zakresie bezpieczeństwa IoT.
- Model OSWAP dla bezpieczeństwa IoT
- Zawiera szczegółowe wytyczne dotyczące opracowywania standardów bezpieczeństwa IoT dla organizacji
Docelowi odbiorcy
Inżynierowie/menedżerowie/eksperci ds. bezpieczeństwa, którzy są przydzieleni do opracowywania projektów IoT lub audytu/przeglądu zagrożeń bezpieczeństwa.
21 godzin
Opinie uczestników (1)
Jak przyjazny był trener. Elastyczność oraz odpowiedź na moje pytania.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Szkolenie - IoT Security
Przetłumaczone przez sztuczną inteligencję
