感谢您的预订!我们的团队成员将会尽快与您取得联系。
感谢您的预订!我们的团队成员将会尽快与您取得联系。
课程大纲
第 1 节和第 2 节: 从安全角度看物联网架构的基本和高级概念
- 物联网技术演进简史
- 物联网系统中的数据模型 – 传感器、执行器、设备、网关、通信协议的定义和架构
- 与供应商供应链相关的第三方设备和风险
- 技术生态系统 – 设备提供商、网关提供商、分析提供商、平台提供商、系统集成商 - 与所有提供商相关的风险
- 边缘驱动的分布式物联网与云驱动的中央物联网:优势与风险评估
- 物联网系统中的管理层——车队管理、资产管理、传感器的入职/下装、数字孪生。管理层中的授权风险
- 物联网管理系统演示 - AWS,Microsoft Azure和其他车队经理
- 流行的物联网通信协议简介 – Zigbee/NB-IoT/5G/LORA/Witespec – 审查通信协议层中的漏洞
- 通过回顾风险管理了解物联网的整个技术堆栈
第 3 节: 物联网中所有风险和安全问题的清单
- 固件补丁 - 物联网的软肋
- 详细审查物联网通信协议的安全性 - 传输层(NB-IoT,4G,5G,LORA,Zigbee等)和应用层 - MQTT,Web Socket等。
- API 端点的漏洞 - IoT 架构中所有可能的 API 列表
- 门路设备和服务的漏洞
- 连接传感器的漏洞 - 网关通信
- 网关-服务器通信漏洞
- 物联网云数据库服务漏洞
- 应用层的脆弱性
- 网关管理服务的漏洞 - 本地和基于云的
- 边缘和非边缘架构中的日志管理风险
分论坛4: 物联网安全的OSASP模型,十大 安全风险
- I1 不安全的 Web 界面
- I2 身份验证/授权不足
- I3 不安全的网络服务
- I4 缺少传输加密
- I5 隐私问题
- I6 不安全的云接口
- i7 不安全的移动界面
- i8 安全可配置性不足
- I9 不安全的软件/固件
- I10 物理安全性差
第 5 部分: 回顾和演示 AWS-IoT 和 Azure IoT 安全原则
- Microsoft 威胁模型 – STRIDE
- STRIDE模型的详细信息
- 安全设备、网关和服务器通信 – 非对称加密
- X.509 公钥分发认证
- SAS 按键
- 批量 OTA 风险和技术
- 应用程序门户的 API 安全性
- 停用恶意设备并将其与系统断开链接
- AWS/Azure 安全原则的漏洞
第 6 部分: 回顾不断发展的 NIST 物联网标准/建议
- NISTIR 8228 物联网安全标准回顾 -30 点风险考虑模型
- 第三方设备集成和识别
- 服务识别和跟踪
- 硬件识别和跟踪
- 通信会话识别
- Management 交易识别和日志记录
- 日志管理和跟踪
第 7 课: 保护固件/设备
- 在固件中保护调试模式
- 硬件的物理安全
- 硬件加密 – PUF(物理不可克隆功能) - 保护EPROM
- 公共PUF、PPUF
- 纳米PUF
- 固件中恶意软件的已知分类(根据 YARA 规则的 18 个系列)
- 研究一些流行的固件恶意软件 - MIRAI、BrickerBot、GoScanSSH、Hydra 等。
分论坛8: 物联网攻击案例分析
- 2016 年 10 月 21 日,针对 Dyn DNS 服务器部署了大规模的 DDoS 攻击,并关闭了包括 Twitter 在内的许多 Web 服务。黑客利用网络摄像头和其他物联网设备的默认密码和用户名,并在受感染的物联网设备上安装了 Mirai 僵尸网络。 将详细研究这种攻击
- IP 摄像机可以通过缓冲区溢出攻击被黑客入侵
- 飞利浦 Hue 灯泡通过其 ZigBee 链路协议遭到黑客攻击
- SQL 注入攻击对贝尔金物联网设备有效
- 利用 Belkin WeMo 应用程序并访问应用程序可以访问的数据和资源的跨站点脚本 (XSS) 攻击
第 9 节: 通过 Distributer Ledger 保护分布式物联网 – BlockChain 和 DAG (IOTA) [3 小时]
- 分布式账本技术– DAG Ledger、Hyper Ledger、BlockChain
- PoW、PoS、Tangle——共识方法的比较
- 区块链、DAG 和 Hyperledger 之间的区别——它们的工作、性能与去中心化的比较
- 不同DLT系统的实时离线性能
- P2P网络,私钥和公钥 - 基本概念
- 账本系统是如何实际实现的——对一些研究架构的回顾
- IOTA和Tangle-用于物联网的DLT
- 智慧城市、智能机器、智能汽车等一些实际应用实例
第 10 课: 物联网安全的最佳实践架构
- 跟踪和识别网关中的所有服务
- 永远不要使用 MAC 地址 - 改用包 ID
- 对设备使用标识层次结构 - 主板 ID、设备 ID 和封装 ID
- 将固件修补结构化到外围并符合服务 ID
- 用于EPROM的PUF
- 通过两层身份验证保护 IoT 管理门户/应用程序的风险
- 保护所有 API - 定义 API 测试和 API 管理
- 物流供应链中相同安全原则的识别和整合
- 最小化物联网通信协议的补丁漏洞
第 11 课: 为您的组织起草 IoT 安全策略
- 定义物联网安全/紧张局势的词典
- 建议身份验证、识别和授权的最佳实践
- 关键资产的识别和排序
- 识别周边并隔离应用
- 保护关键资产、关键信息和隐私数据的政策
要求
- 设备、电子系统和数据系统的基本知识
- 对软件和系统有基本的了解
- 对统计学有基本的了解(在Excel级别中)
- 了解 Telecom通信垂直领域
总结
- 涵盖物联网安全最新技术的高级培训计划
- 涵盖固件、中间件和物联网通信协议 的所有安全方面
- 该课程为那些不太熟悉物联网标准、演变和未来的人提供了物联网领域各种安全计划的 360 度视图
- 更深入地探究固件、无线通信协议、 设备到云通信中的安全漏洞。
- 跨越多个技术领域,培养物联网系统及其组件的安全 意识
- 网关、传感器和物联网应用云的一些安全方面的现场演示
- 该课程还解释了当前和拟议的 NIST 物联网安全标准的 30 个主要风险考虑因素
- 用于物联网安全的 OSWAP 模型
- 为组织起草物联网安全标准提供详细指南
目标受众
被指派开发物联网项目或审计/审查安全风险的工程师/经理/安全专家。
21 小时
客户评论 (1)
How friendly the trainer was. The flexibility and answering my questions.