感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
第1&2节:从安全角度介绍物联网架构的基本和高级概念
- 物联网技术演变的简要历史
- 物联网系统中的数据模型——传感器、执行器、设备、网关、通信协议的定义和架构
- 第三方设备及与供应商供应链相关的风险
- 技术生态系统——设备提供商、网关提供商、分析提供商、平台提供商、系统集成商——所有提供商的相关风险
- 边缘驱动的分布式物联网与云驱动的集中式物联网:优势与风险评估
- 物联网系统中的管理层——车队管理、资产管理、传感器的上/下线、数字孪生。管理层中的授权风险
- 演示物联网管理系统AWS、微软Azure和其他车队管理器
- 介绍流行的物联网通信协议——Zigbee/NB-IoT/5G/LORA/Witespec——通信协议层的漏洞回顾
- 理解物联网的整个技术栈并进行风险管理回顾
第3节:物联网中所有风险和安全问题的检查表
- 固件补丁——物联网的软肋
- 详细回顾物联网通信协议的安全性——传输层(NB-IoT、4G、5G、LORA、Zigbee等)和应用层——MQTT、Web Socket等
- API端点的漏洞——物联网架构中所有可能的API列表
- 网关设备和服务的漏洞
- 连接传感器的漏洞——网关通信
- 网关与服务器通信的漏洞
- 物联网中云数据库服务的漏洞
- 应用层的漏洞
- 网关管理服务的漏洞——本地和基于云的
- 边缘和非边缘架构中的日志管理风险
第4节:OSASP物联网安全模型,十大安全风险
- I1 不安全的Web界面
- I2 认证/授权不足
- I3 不安全的网络服务
- I4 缺乏传输加密
- I5 隐私问题
- I6 不安全的云界面
- I7 不安全的移动界面
- I8 安全配置不足
- I9 不安全的软件/固件
- I10 物理安全薄弱
第5节:AWS物联网和Azure物联网安全原则的回顾与演示
- 微软威胁模型——STRIDE
STRIDE模型的详细信息
- 安全设备与网关和服务器通信——非对称加密
- 用于公钥分发的X.509证书
- SAS密钥
- 批量OTA风险和技术
- 应用门户的API安全
- 从系统中停用和断开恶意设备
- AWS/Azure安全原则的漏洞
第6节:NIST物联网标准的演变与建议回顾
回顾NISTIR 8228物联网安全标准——30点风险考虑模型
第三方设备集成与识别
- 服务识别与跟踪
- 硬件识别与跟踪
- 通信会话识别
- 管理事务识别与日志记录
- 日志管理与跟踪
第7节:固件/设备安全
固件中调试模式的安全
硬件的物理安全
- 硬件加密——PUF(物理不可克隆功能)——保护EPROM
- 公共PUF,PPUF
- 纳米PUF
- 固件中已知的恶意软件分类(根据YARA规则的18个家族)
- 研究一些流行的固件恶意软件——MIRAI、BrickerBot、GoScanSSH、Hydra等
第8节:物联网攻击案例分析
- 2016年10月21日,针对Dyn DNS服务器的大规模DDoS攻击导致包括Twitter在内的许多网络服务瘫痪。黑客利用网络摄像头和其他物联网设备的默认用户名和密码,在被入侵的物联网设备上安装了Mirai僵尸网络。将详细研究这次攻击
- IP摄像头可以通过缓冲区溢出攻击被黑客入侵
- 飞利浦Hue灯泡通过其ZigBee链路协议被黑客入侵
- SQL注入攻击对Belkin物联网设备有效
- 跨站脚本(XSS)攻击利用Belkin WeMo应用程序访问数据及其可访问的资源
第9节:通过分布式账本技术保护分布式物联网——区块链和DAG(IOTA)[3小时]
分布式账本技术——DAG账本、超级账本、区块链
PoW、PoS、Tangle——共识方法的比较
- 区块链、DAG和超级账本的区别——工作方式、性能与去中心化的比较
- 不同DLT系统的实时和离线性能
- P2P网络、公钥和私钥的基本概念
- 账本系统如何实际实施——回顾一些研究架构
- IOTA和Tangle DLT在物联网中的应用
- 来自智慧城市、智能机器、智能汽车的一些实际应用示例
第10节:物联网安全的最佳实践架构
- 跟踪和识别网关中的所有服务
- 不要使用MAC地址,改用包ID
- 为设备使用识别层次结构——板ID、设备ID和包ID
- 将固件补丁结构化到边界并符合服务ID
- EPROM的PUF
- 通过两层认证保护物联网管理门户/应用程序的风险
- 保护所有API——定义API测试和API管理
- 在物流供应链中识别并集成相同的安全原则
- 最小化物联网通信协议的补丁漏洞
第11节:为组织起草物联网安全政策
- 定义物联网安全/紧张关系的词汇表
- 建议最佳认证、识别、授权实践
- 关键资产的识别与排名
- 边界的识别与应用的隔离
- 保护关键资产、关键信息和隐私数据的政策
要求
- 对设备、电子系统和数据系统有基本了解
- 对软件和系统有基本理解
- 对统计学有基本了解(Excel水平)
- 理解通信垂直领域
总结
- 一个高级培训课程,涵盖物联网当前的最先进安全技术
- 涵盖固件、中间件和物联网通信协议的所有安全方面
- 该课程为那些不熟悉物联网标准、发展和未来的人提供了物联网安全领域的全方位视角
- 深入探讨固件、无线通信协议、设备到云通信中的安全漏洞
- 跨越多个技术领域,提高对物联网系统及其组件安全性的认识
- 演示网关、传感器和物联网应用云的部分安全特性
- 该课程还解释了当前和拟议的NIST物联网安全标准的30个主要风险考虑因素
- OSWAP物联网安全模型
- 提供制定组织物联网安全标准的详细指南
目标受众
工程师/经理/安全专家,负责开发物联网项目或审核/评估安全风险。
21 小时
客户评论 (1)
讲师非常友好。 灵活性高,回答了我的问题。
Saed El-kayed - International Committee of the Red Cross (ICRC)
课程 - IoT Security
机器翻译
