感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
第1节和第2节: 从安全角度看物联网架构的基本和高级概念
- 物联网技术演进简史
- 物联网系统中的数据模型 – 感测器、执行器、设备、闸道、通信协定的定义和架构
- 与供应商供应链相关的第三方设备和风险
- 技术生态系统 – 设备供应商、闸道供应商、分析供应商、平台供应商、系统整合商 - 与所有供应商相关的风险
- 边缘驱动的分散式物联网与云驱动的中央物联网:优势与风险评估
- Management 物联网系统中的层 – 车队管理、资产管理、感测器的入职/下属、数字孪生。管理层中的授权风险
- 物联网管理系统演示 - AWS、Microsoft Azure 和其他车队经理
- 流行的物联网通信协议介绍 – Zigbee/NB-IoT/5G/LORA/Witespec – 通信协定层中的漏洞回顾
- 了解物联网的整个技术堆叠,并回顾风险管理
第3节: 物联网中所有风险和安全问题的清单
- 固件补丁 - 物联网的软肋
- 物联网通信协定安全性的详细回顾 - 传输层 ( NB-IoT, 4G, 5G, LORA, Zigbee 等 ) 和应用层 – MQTT、Web Socket 等。
- API端点的漏洞-物联网架构中所有可能的API清单
- Gate way 设备和服务的漏洞
- 连接感测器的脆弱性 -闸道通信
- 闸道-伺服器通信的漏洞
- 物联网中云Database服务的漏洞
- 应用层的脆弱性
- 闸道管理服务的漏洞 - 本地和基于云端的
- 边缘和非边缘架构中的日志管理风险
分论坛4: 物联网安全的OSASP模型,十大 安全风险
- I1 不安全的Web介面
- I2 身份验证/授权不足
- I3 不安全的网路服务
- I4 缺少传输加密
- I5 隐私问题
- I6 不安全的云介面
- I7 不安全的行动介面
- i8 安全可配置性不足
- I9 不安全的软体/固件
- I10 物理安全性差
第 5 课: 回顾和演示 AWS-IoT 和 Azure IoT 安全原则
- Microsoft 威胁模型 - STRIDE
STRIDE模型的详细资讯
- 安全设备、闸道和伺服器通信 – 非对称加密
- X.509 公钥分发认证
- SAS 键
- 批量 OTA 风险和技术
- 应用程式门户的 API 安全性
- 停用恶意设备并从系统中断开连结
- AWS的漏洞/Azure 安全原则
第 6 节: 回顾不断发展的 NIST 物联网标准/建议
NISTIR 8228 物联网安全标准回顾 -30 点风险考虑模型
第三方设备集成和识别
- 服务识别和跟踪
- 硬体识别和跟踪
- Communication 会话识别
- Management 事务识别和日志记录
- 日志管理和跟踪
第 7 课: 保护固件/设备
保护韧体中的调试模式
硬体的物理安全性
- 硬体加密 – PUF(物理不可克隆功能) - 保护 EPROM
- 公共PUF、PPUF
- 纳米PUF
- 韧体中恶意软体的已知分类(根据 YARA 规则的 18 个系列)
- 研究一些流行的固件恶意软体 -MIRAI、BrickerBot、GoScanSSH、Hydra 等。
第 8 节: 物联网攻击案例研究
- 2016 年 10 月 21 日,针对 Dyn DNS 伺服器部署了大规模的 DDoS 攻击,并关闭了包括 Twitter 在内的许多 Web 服务。骇客利用网路摄像头和其他物联网设备的默认密码和使用者名,并在受感染的物联网设备上安装了 Mirai 僵尸网路 。 将对这种攻击进行详细研究
- IP摄像头可以通过缓冲区溢出攻击被骇客入侵
- 飞利浦 Hue 灯泡通过其 ZigBee 连结协定遭到骇客攻击
- SQL 注入攻击对贝尔金物联网设备有效
- 利用 Belkin WeMo 应用并存取该应用程式可以存取的数据和资源的跨站脚本 (XSS) 攻击
第 9 节: 通过分散式账本保护分散式物联网 – 区块链和 DAG (IOTA) [3 小时]
分散式账本技术– DAG Ledger、Hyper Ledger、BlockChain
PoW、PoS、Tangle——共识方法的比较
- Blockchain、DAG 和 Hyperledger 之间的区别——它们的工作、性能与去中心化的比较
- 不同DLT系统的即时离线性能
- P2P网路,私钥和公钥 - 基本概念
- 帐簿系统是如何实际实施的——对一些研究架构的回顾
- IOTA 和 Tangle- 用于物联网的 DLT
- 来自智慧城市、智慧机器、智慧汽车的一些实际应用范例
第 10 课: 物联网安全的最佳实践架构
- 跟踪和识别闸道中的所有服务
- 从不使用 MAC 位址 - 改用包 ID
- 对设备使用标识层次结构 - 板 ID、设备 ID 和包 ID
- 将固件修补构建到周边并符合服务ID
- EPROM的PUF
- 通过两层身份验证保护IoT管理门户/应用程式的风险
- 保护所有 API - 定义 API 测试和 API 管理
- 物流供应链中同一安全原则的识别与整合
- 最小化物联网通信协定的补丁漏洞
第 11 课: 为您的组织起草 IoT 安全策略
- 定义物联网安全/紧张局势的词典
- 建议身份验证、识别和授权的最佳实践
- 关键资产的识别和排序
- 周边识别和应用隔离
- 保护关键资产、关键资讯和隐私数据 的政策
要求
- 设备、电子系统和数据系统的基本知识
- 对软体和系统有基本的了解
- 对 Statistics 的基本理解(在 Excel 级别中)
- 了解 Telecom垂直行业
总结
- 涵盖物联网当前安全技术的高级培训计划
- 涵盖韧体、中间件和物联网通讯协定 的所有安全方面
- 该课程为那些不熟悉物联网标准、发展和未来的人提供了物联网领域各种安全计划的 360 度视图
- 更深入地探究固件、无线通信协定、 设备到云通讯中的安全漏洞。
- 跨越多个技术领域,提高物联网系统及其元件的安全 意识
- 闸道、感测器和物联网应用云的一些安全方面的现场演示
- 该课程还解释了当前和拟议的 NIST 物联网安全标准的 30 个主要风险考虑因素
- 用于物联网安全的OSWAP模型
- 为组织起草IoT安全标准提供详细的指南
目标受众
被指派开发物联网专案或审计/审查安全风险的工程师/经理/安全专家。
21 小时
客户评论 (1)
How friendly the trainer was. The flexibility and answering my questions.
