感謝您提交詢問!我們的一位團隊成員將在短時間內與您聯繫。
感謝您提交預訂!我們的一位團隊成員將在短時間內與您聯繫。
課程簡介
第1&2節:從安全角度介紹物聯網架構的基本和高級概念
- 物聯網技術演變的簡要歷史
- 物聯網系統中的數據模型——傳感器、執行器、設備、網關、通信協議的定義和架構
- 第三方設備及與供應商供應鏈相關的風險
- 技術生態系統——設備提供商、網關提供商、分析提供商、平臺提供商、系統集成商——所有提供商的相關風險
- 邊緣驅動的分佈式物聯網與雲驅動的集中式物聯網:優勢與風險評估
- 物聯網系統中的管理層——車隊管理、資產管理、傳感器的上/下線、數字孿生。管理層中的授權風險
- 演示物聯網管理系統AWS、微軟Azure和其他車隊管理器
- 介紹流行的物聯網通信協議——Zigbee/NB-IoT/5G/LORA/Witespec——通信協議層的漏洞回顧
- 理解物聯網的整個技術棧並進行風險管理回顧
第3節:物聯網中所有風險和安全問題的檢查表
- 固件補丁——物聯網的軟肋
- 詳細回顧物聯網通信協議的安全性——傳輸層(NB-IoT、4G、5G、LORA、Zigbee等)和應用層——MQTT、Web Socket等
- API端點的漏洞——物聯網架構中所有可能的API列表
- 網關設備和服務的漏洞
- 連接傳感器的漏洞——網關通信
- 網關與服務器通信的漏洞
- 物聯網中雲數據庫服務的漏洞
- 應用層的漏洞
- 網關管理服務的漏洞——本地和基於雲的
- 邊緣和非邊緣架構中的日誌管理風險
第4節:OSASP物聯網安全模型,十大安全風險
- I1 不安全的Web界面
- I2 認證/授權不足
- I3 不安全的網絡服務
- I4 缺乏傳輸加密
- I5 隱私問題
- I6 不安全的雲界面
- I7 不安全的移動界面
- I8 安全配置不足
- I9 不安全的軟件/固件
- I10 物理安全薄弱
第5節:AWS物聯網和Azure物聯網安全原則的回顧與演示
- 微軟威脅模型——STRIDE
STRIDE模型的詳細信息
- 安全設備與網關和服務器通信——非對稱加密
- 用於公鑰分發的X.509證書
- SAS密鑰
- 批量OTA風險和技術
- 應用門戶的API安全
- 從系統中停用和斷開惡意設備
- AWS/Azure安全原則的漏洞
第6節:NIST物聯網標準的演變與建議回顧
回顧NISTIR 8228物聯網安全標準——30點風險考慮模型
第三方設備集成與識別
- 服務識別與跟蹤
- 硬件識別與跟蹤
- 通信會話識別
- 管理事務識別與日誌記錄
- 日誌管理與跟蹤
第7節:固件/設備安全
固件中調試模式的安全
硬件的物理安全
- 硬件加密——PUF(物理不可克隆功能)——保護EPROM
- 公共PUF,PPUF
- 納米PUF
- 固件中已知的惡意軟件分類(根據YARA規則的18個家族)
- 研究一些流行的固件惡意軟件——MIRAI、BrickerBot、GoScanSSH、Hydra等
第8節:物聯網攻擊案例分析
- 2016年10月21日,針對Dyn DNS服務器的大規模DDoS攻擊導致包括Twitter在內的許多網絡服務癱瘓。黑客利用網絡攝像頭和其他物聯網設備的默認用戶名和密碼,在被入侵的物聯網設備上安裝了Mirai殭屍網絡。將詳細研究這次攻擊
- IP攝像頭可以通過緩衝區溢出攻擊被黑客入侵
- 飛利浦Hue燈泡通過其ZigBee鏈路協議被黑客入侵
- SQL注入攻擊對Belkin物聯網設備有效
- 跨站腳本(XSS)攻擊利用Belkin WeMo應用程序訪問數據及其可訪問的資源
第9節:通過分佈式賬本技術保護分佈式物聯網——區塊鏈和DAG(IOTA)[3小時]
分佈式賬本技術——DAG賬本、超級賬本、區塊鏈
PoW、PoS、Tangle——共識方法的比較
- 區塊鏈、DAG和超級賬本的區別——工作方式、性能與去中心化的比較
- 不同DLT系統的即時和離線性能
- P2P網絡、公鑰和私鑰的基本概念
- 賬本系統如何實際實施——回顧一些研究架構
- IOTA和Tangle DLT在物聯網中的應用
- 來自智慧城市、智能機器、智能汽車的一些實際應用示例
第10節:物聯網安全的最佳實踐架構
- 跟蹤和識別網關中的所有服務
- 不要使用MAC地址,改用包ID
- 爲設備使用識別層次結構——板ID、設備ID和包ID
- 將固件補丁結構化到邊界並符合服務ID
- EPROM的PUF
- 通過兩層認證保護物聯網管理門戶/應用程序的風險
- 保護所有API——定義API測試和API管理
- 在物流供應鏈中識別並集成相同的安全原則
- 最小化物聯網通信協議的補丁漏洞
第11節:爲組織起草物聯網安全政策
- 定義物聯網安全/緊張關係的詞彙表
- 建議最佳認證、識別、授權實踐
- 關鍵資產的識別與排名
- 邊界的識別與應用的隔離
- 保護關鍵資產、關鍵信息和隱私數據的政策
最低要求
- 對設備、電子系統和數據系統有基本瞭解
- 對軟件和系統有基本理解
- 對統計學有基本瞭解(Excel水平)
- 理解通信垂直領域
總結
- 一個高級培訓課程,涵蓋物聯網當前的最先進安全技術
- 涵蓋固件、中間件和物聯網通信協議的所有安全方面
- 該課程爲那些不熟悉物聯網標準、發展和未來的人提供了物聯網安全領域的全方位視角
- 深入探討固件、無線通信協議、設備到雲通信中的安全漏洞
- 跨越多個技術領域,提高對物聯網系統及其組件安全性的認識
- 演示網關、傳感器和物聯網應用雲的部分安全特性
- 該課程還解釋了當前和擬議的NIST物聯網安全標準的30個主要風險考慮因素
- OSWAP物聯網安全模型
- 提供製定組織物聯網安全標準的詳細指南
目標受衆
工程師/經理/安全專家,負責開發物聯網項目或審覈/評估安全風險。
21 時間:
客戶評論 (1)
講師非常友好。 靈活性高,回答了我的問題。
Saed El-kayed - International Committee of the Red Cross (ICRC)
課程 - IoT Security
機器翻譯
