课程大纲

第 1 节和第 2 节: 从安全角度看物联网架构的基本和高级概念

  • 物联网技术演进简史
  • 物联网系统中的数据模型 – 传感器、执行器、设备、网关、通信协议的定义和架构
  • 与供应商供应链相关的第三方设备和风险
  • 技术生态系统 – 设备提供商、网关提供商、分析提供商、平台提供商、系统集成商 - 与所有提供商相关的风险
  • 边缘驱动的分布式物联网与云驱动的中央物联网:优势与风险评估
  • 物联网系统中的管理层——车队管理、资产管理、传感器的入职/下装、数字孪生。管理层中的授权风险
  • 物联网管理系统演示 - AWS,Microsoft Azure和其他车队经理
  • 流行的物联网通信协议简介 – Zigbee/NB-IoT/5G/LORA/Witespec – 审查通信协议层中的漏洞
  • 通过回顾风险管理了解物联网的整个技术堆栈

第 3 节: 物联网中所有风险和安全问题的清单

  • 固件补丁 - 物联网的软肋
  • 详细审查物联网通信协议的安全性 - 传输层(NB-IoT,4G,5G,LORA,Zigbee等)和应用层 - MQTT,Web Socket等。
  • API 端点的漏洞 - IoT 架构中所有可能的 API 列表
  • 门路设备和服务的漏洞
  • 连接传感器的漏洞 - 网关通信
  • 网关-服务器通信漏洞
  • 物联网云数据库服务漏洞
  • 应用层的脆弱性
  • 网关管理服务的漏洞 - 本地和基于云的
  • 边缘和非边缘架构中的日志管理风险

分论坛4: 物联网安全的OSASP模型,十大 安全风险

  • I1 不安全的 Web 界面
  • I2 身份验证/授权不足
  • I3 不安全的网络服务
  • I4 缺少传输加密
  • I5 隐私问题
  • I6 不安全的云接口
  • i7 不安全的移动界面
  • i8 安全可配置性不足
  • I9 不安全的软件/固件
  • I10 物理安全性差

第 5 部分: 回顾和演示 AWS-IoT 和 Azure IoT 安全原则

  • Microsoft 威胁模型 – STRIDE
  • STRIDE模型的详细信息
  • 安全设备、网关和服务器通信 – 非对称加密
  • X.509 公钥分发认证
  • SAS 按键
  • 批量 OTA 风险和技术
  • 应用程序门户的 API 安全性
  • 停用恶意设备并将其与系统断开链接
  • AWS/Azure 安全原则的漏洞

第 6 部分: 回顾不断发展的 NIST 物联网标准/建议

  • NISTIR 8228 物联网安全标准回顾 -30 点风险考虑模型
  • 第三方设备集成和识别
  • 服务识别和跟踪
  • 硬件识别和跟踪
  • 通信会话识别
  • Management 交易识别和日志记录
  • 日志管理和跟踪

第 7 课: 保护固件/设备

  • 在固件中保护调试模式
  • 硬件的物理安全
  • 硬件加密 – PUF(物理不可克隆功能) - 保护EPROM
  • 公共PUF、PPUF
  • 纳米PUF
  • 固件中恶意软件的已知分类(根据 YARA 规则的 18 个系列)
  • 研究一些流行的固件恶意软件 - MIRAI、BrickerBot、GoScanSSH、Hydra 等。

分论坛8: 物联网攻击案例分析

  • 2016 年 10 月 21 日,针对 Dyn DNS 服务器部署了大规模的 DDoS 攻击,并关闭了包括 Twitter 在内的许多 Web 服务。黑客利用网络摄像头和其他物联网设备的默认密码和用户名,并在受感染的物联网设备上安装了 Mirai 僵尸网络。 将详细研究这种攻击
  • IP 摄像机可以通过缓冲区溢出攻击被黑客入侵
  • 飞利浦 Hue 灯泡通过其 ZigBee 链路协议遭到黑客攻击
  • SQL 注入攻击对贝尔金物联网设备有效
  • 利用 Belkin WeMo 应用程序并访问应用程序可以访问的数据和资源的跨站点脚本 (XSS) 攻击

第 9 节: 通过 Distributer Ledger 保护分布式物联网 – BlockChain 和 DAG (IOTA) [3 小时]

  • 分布式账本技术– DAG Ledger、Hyper Ledger、BlockChain
  • PoW、PoS、Tangle——共识方法的比较
  • 区块链、DAG 和 Hyperledger 之间的区别——它们的工作、性能与去中心化的比较
  • 不同DLT系统的实时离线性能
  • P2P网络,私钥和公钥 - 基本概念
  • 账本系统是如何实际实现的——对一些研究架构的回顾
  • IOTA和Tangle-用于物联网的DLT
  • 智慧城市、智能机器、智能汽车等一些实际应用实例

第 10 课: 物联网安全的最佳实践架构

  • 跟踪和识别网关中的所有服务
  • 永远不要使用 MAC 地址 - 改用包 ID
  • 对设备使用标识层次结构 - 主板 ID、设备 ID 和封装 ID
  • 将固件修补结构化到外围并符合服务 ID
  • 用于EPROM的PUF
  • 通过两层身份验证保护 IoT 管理门户/应用程序的风险
  • 保护所有 API - 定义 API 测试和 API 管理
  • 物流供应链中相同安全原则的识别和整合
  • 最小化物联网通信协议的补丁漏洞

第 11 课: 为您的组织起草 IoT 安全策略

  • 定义物联网安全/紧张局势的词典
  • 建议身份验证、识别和授权的最佳实践
  • 关键资产的识别和排序
  • 识别周边并隔离应用
  • 保护关键资产、关键信息和隐私数据的政策

 

要求

  • 设备、电子系统和数据系统的基本知识
  • 对软件和系统有基本的了解
  • 对统计学有基本的了解(在Excel级别中)
  • 了解 Telecom通信垂直领域

总结

  • 涵盖物联网安全最新技术的高级培训计划
  • 涵盖固件、中间件和物联网通信协议 的所有安全方面 
  • 该课程为那些不太熟悉物联网标准、演变和未来的人提供了物联网领域各种安全计划的 360 度视图
  • 更深入地探究固件、无线通信协议、 设备到云通信中的安全漏洞。
  • 跨越多个技术领域,培养物联网系统及其组件的安全 意识
  • 网关、传感器和物联网应用云的一些安全方面的现场演示
  • 该课程还解释了当前和拟议的 NIST 物联网安全标准的 30 个主要风险考虑因素  
  • 用于物联网安全的 OSWAP 模型
  • 为组织起草物联网安全标准提供详细指南

 

目标受众 

被指派开发物联网项目或审计/审查安全风险的工程师/经理/安全专家。

  21 小时
 

人数


开始

完结


Dates are subject to availability and take place between 09:30 and 16:30.
Open Training Courses require 5+ participants.

客户评论 (1)

相关课程

IoT ( Internet of Things) for Entrepreneurs, Managers and Investors

  21 小时

Big Data Business Intelligence for Govt. Agencies

  35 小时

Industrial IoT (Internet of Things) for Manufacturing Professionals

  21 小时

IoT Security

  21 小时

课程分类