Dziękujemy za wysłanie zapytania! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Dziękujemy za wysłanie rezerwacji! Jeden z członków naszego zespołu skontaktuje się z Państwem wkrótce.
Plan Szkolenia
Sesja 1 & 2: Podstawowe i zaawansowane koncepcje architektury IoT z perspektywy bezpieczeństwa
- Krótka historia ewolucji technologii IoT
- Modele danych w systemach IoT – definicja i architektura czujników, akuatorów, urządzeń, bramek, protokołów komunikacyjnych
- Urządzenia trzecich stron i związane z nimi ryzyko łańcucha dostaw od producentów
- Ekosystem technologiczny – dostawcy urządzeń, bramek, analizy, platform, integratorów systemowych -ryzyko związane z wszystkimi dostawcami
- Rozproszony IoT sterowany przez brzeg vs centralny IoT sterowany przez chmurę: zalety i ocena ryzyka
- Warstwy zarządzania w systemach IoT – Zarządzanie flotą, aktywami, dołączanie/odłączanie czujników, Cyfrowe bliźniacze modele. Ryzyko uprawnień w warstwach zarządzania
- Demo systemów zarządzania IoTAWS, Microsoft Azure i inne menedżery floty
- Wprowadzenie do popularnych protokołów komunikacji IoT – Zigbee/NB-IoT/5G/LORA/Witespec – przegląd podatności w warstwach protokołów komunikacyjnych
- Zrozumienie całego stosu technologicznego IoT z przeglądem zarządzania ryzykiem
Sesja 3: Lista wszystkich ryzyk i problemów bezpieczeństwa w IoT
- Aktualizacje oprogramowania układowego – najbardziej podatny punkt IoT
- Szczegółowy przegląd bezpieczeństwa protokołów komunikacji IoTWarstwy transportowe (NB-IoT, 4G, 5G, LORA, Zigbee itp.) i Warstwy aplikacyjne – MQTT, WebSocket itp.
- Podatność punktów końcowych API - lista wszystkich możliwych API w architekturze IoT
- Podatność urządzeń i usług bramowych
- Podatność połączonych czujników – komunikacja z bramkami
- Podatność komunikacji bramka-serwer
- Podatność usług bazy danych w chmurze IoT
- Podatność warstw aplikacyjnych
- Podatność usługi zarządzania bramkami – lokalna i oparta na chmurze
- Ryzyko zarządzania logami w architekturach krawędziowych i nie-krawędziowych
Sesja 4: Model OWASP bezpieczeństwa IoT, Top 10 ryzyk bezpieczeństwa
- I1 Niewystarczająca interfejs sieciowy
- I2 Niewystarczające uwierzytelnianie/autoryzacja
- I3 Nies Bezpieczne usługi sieciowe
- I4 Brak szyfrowania transportu
- I5 Troski o prywatność
- I6 Niewystarczająca interfejs chmurowy
- I7 Niewystarczająca interfejs mobilny
- I8 Niewystarczalna konfigurowalność bezpieczeństwa
- I9 Niewystarczające oprogramowanie/układy układowe
- I10 Słabe zabezpieczenia fizyczne
Sesja 5: Przegląd i prezentacja zasad bezpieczeństwa AWS-IoT i Azure IoT
- Model zagrożeń Microsoft – STRIDE
Szczegóły modelu STRIDE
- Bezpieczeństwo komunikacji urządzenia, bramki i serwera – asymetryczne szyfrowanie
- Certyfikaty X.509 dla dystrybucji kluczy publicznych
- Klucze SAS
- Ryzyko i techniki masowych aktualizacji OTA
- Bezpieczeństwo API dla portalów aplikacyjnych
- Deaktywacja i odłączenie nieautoryzowanych urządzeń z systemu
- Podatność zasad bezpieczeństwa AWS/Azure
Sesja 6: Przegląd ewoluujących standardów NIST dla IoT
Przegląd standardu NISTIR 8228 dla bezpieczeństwa IoT – model z 30 punktami rozważań dotyczących ryzyka
Integracja i identyfikacja urządzeń trzecich stron
- Identyfikacja i śledzenie usług
- Identyfikacja i śledzenie sprzętu
- Identyfikacja sesji komunikacyjnych
- Identyfikacja i logowanie transakcji zarządzania
- Zarządzanie i śledzenie logów
Sesja 7: Bezpieczeństwo oprogramowania układowego/urządzeń
Bezpieczeństwo trybu debugowania w oprogramowaniu układowym
Fizyczne zabezpieczenia sprzętu
- Kryptografia sprzętowa – PUF (Funkcja fizycznie niezakłócalna) – zabezpieczanie EPROM
- Publiczny PUF, PPUF
- Nano PUF
- Znane klasyfikacje wirusów w oprogramowaniu układowym (18 rodzin według reguły YARA)
- Studium niektórych popularnych wirusów oprogramowania układowego – MIRAI, BrickerBot, GoScanSSH, Hydra itp.
Sesja 8: Studia przypadków ataków na IoT
- 21 października 2016, wielki atak DDoS został skierowany przeciwko serwerom DNS Dyn i zablokował wiele usług internetowych, w tym Twitter. Wzrobowcy wykorzystali domyślne hasła i nazwy użytkowników kamerek internetowych i innych urządzeń IoT, instalując botnet Mirai na skompromitowanych urządzeniach IoT. Ten atak zostanie szczegółowo przeanalizowany.
- IP kamery mogą być hakowane za pomocą ataków przepływu bufora
- Lampy Philips Hue zostały hakowane poprzez protokół ZigBee
- Ataki przez SQL injection były skuteczne w przypadku urządzeń IoT Belkin
- Ataki XSS (Cross-site scripting) wykorzystujące aplikację Belkin WeMo i dostęp do danych oraz zasobów, które aplikacja może dostępować
Sesja 9: Bezpieczeństwo rozproszonego IoT za pomocą rozproszonej księgi – Blockchain i DAG (IOTA) [3 godziny]
Technologia rozproszonej księgi – Ledger DAG, Hyper Ledger, Blockchain
PoW, PoS, Tangle – porównanie metod konsensusu
- Różnice między Blockchain, DAG i Hyperledger – porównanie działania, wydajności i dezcentralizacji
- Wydajność w czasie rzeczywistym i offline różnych systemów DLT
- Sieć P2P, Klucz prywatny i publiczny – podstawowe koncepcje
- Jak implementowane są systemy księgowo-prezentacja niektórych architektur badawczych
- IOTA i Tangle – DLT dla IoT
- Niektóre praktyczne przykłady z miast inteligentnych, maszyn inteligentnych, samochodów inteligentnych
Sesja 10: Najlepsza architektura do zabezpieczania IoT
- Śledzenie i identyfikowanie wszystkich usług w bramkach
- Nie korzystaj z adresów MAC – używaj zamiast tego identyfikatora pakietu
- Używaj hierarchii identyfikacji dla urządzeń – identyfikator płytki, identyfikator urządzenia i identyfikator pakietu
- Strukturyzuj aktualizacje oprogramowania układowego w celu zabezpieczenia przeciwności i dopasowania do identyfikatora usługi
- PUF dla EPROM
- Zabezpiecz ryzyko portali/aplikacji zarządzania IoT za pomocą dwuwarstwowego uwierzytelniania
- Bezpieczeństwo wszystkich API – zdefiniuj testowanie i zarządzanie API
- Identyfikacja i integracja tych samych zasad bezpieczeństwa w łańcuchu dostaw logistycznych
- Minimalizacja podatności na aktualizacje protokołów komunikacji IoT
Sesja 11: Opracowanie polityki bezpieczeństwa IoT dla Twojej organizacji
- Zdefiniuj słownik zabezpieczeń IoT i naprężeń
- Zasugeruj najlepsze praktyki w zakresie uwierzytelniania, identyfikacji i autoryzacji
- Identyfikacja i rangowanie krytycznych zasobów
- Identyfikacja perymetrów i izolacja dla aplikacji
- Polityka zabezpieczania krytycznych zasobów, informacji i danych osobowych
Wymagania
- Podstawowa znajomość urządzeń, systemów elektronicznych i danych
- Podstawowe zrozumienie oprogramowania i systemów
- Podstawowe zrozumienie statystyki (na poziomie Excela)
- Zrozumienie pionów telekomunikacyjnych
Podsumowanie
- Zaawansowany program szkoleniowy obejmujący najnowocześniejsze standardy bezpieczeństwa Internet of Things
- Obejmuje wszystkie aspekty bezpieczeństwa oprogramowania układowego, pośredniczących i protokołów komunikacji IoT
- Kurs oferuje 360 stopniowy widok na wszystkie rodzaje inicjatyw bezpieczeństwa w dziedzinie IoT dla osób nieznających standardów, ewolucji i przyszłości IoT
- Głębsza analiza podatności oprogramowania układowego, protokołów komunikacji bezprzewodowej, komunikacji urządzeń z chmurą.
- Przekraczanie wielu dziedzin technologicznych w celu rozwijania świadomości bezpieczeństwa w systemach IoT i ich składnikach
- Na żywo prezentacja niektórych aspektów bezpieczeństwa bramek, czujników i chmur aplikacji IoT
- Kurs wyjaśnia 30 kluczowych rozważań dotyczące ryzyka w bieżących i proponowanych standardach NIST dla bezpieczeństwa IoT
- Model OWASP dla bezpieczeństwa IoT
- Podaje szczegółowe wytyczne dotyczące opracowania standardów bezpieczeństwa IoT w organizacji
Grupa docelowa
Inżynierowie/menedżerowie/eksperci ds. bezpieczeństwa, którzy są powołani do opracowywania projektów IoT lub audytu/oceny ryzyka bezpieczeństwa.
21 godzin
Opinie uczestników (1)
Jak przyjazny był trener. Elastyczność i odpowiadanie na moje pytania.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Szkolenie - IoT Security
Przetłumaczone przez sztuczną inteligencję
