課程簡介

第1節和第2節: 從安全角度看物聯網架構的基本和高級概念

  • 物聯網技術演進簡史
  • 物聯網系統中的數據模型 – 感測器、執行器、設備、閘道、通信協定的定義和架構
  • 與供應商供應鏈相關的第三方設備和風險
  • 技術生態系統 – 設備供應商、閘道供應商、分析供應商、平臺供應商、系統整合商 - 與所有供應商相關的風險
  • 邊緣驅動的分散式物聯網與雲驅動的中央物聯網:優勢與風險評估
  • 物聯網系統中的管理層——車隊管理、資產管理、感測器的入職/下裝、數位孿生。管理層中的授權風險
  • 物聯網管理系統演示 - AWS,Microsoft Azure和其他車隊經理
  • 流行的物聯網通信協議簡介 – Zigbee/NB-IoT/5G/LORA/Witespec – 審查通信協定層中的漏洞
  • 通過回顧風險管理瞭解物聯網的整個技術堆疊

第3節: 物聯網中所有風險和安全問題的清單

  • 固件補丁 - 物聯網的軟肋
  • 詳細審查物聯網通信協議的安全性 - 傳輸層(NB-IoT,4G,5G,LORA,Zigbee等)和應用層 - MQTT,Web Socket等。
  • API 端點的漏洞 - IoT 架構中所有可能的 API 清單
  • 門路設備和服務的漏洞
  • 連接感測器的漏洞 - 閘道通信
  • 閘道-伺服器通信漏洞
  • 物聯網雲資料庫服務漏洞
  • 應用層的脆弱性
  • 閘道管理服務的漏洞 - 本地和基於雲端的
  • 邊緣和非邊緣架構中的日誌管理風險

分論壇4: 物聯網安全的OSASP模型,十大 安全風險

  • I1 不安全的Web介面
  • I2 身份驗證/授權不足
  • I3 不安全的網路服務
  • I4 缺少傳輸加密
  • I5 隱私問題
  • I6 不安全的雲介面
  • i7 不安全的行動介面
  • i8 安全可配置性不足
  • I9 不安全的軟體/固件
  • I10 物理安全性差

第 5 部分: 回顧和演示 AWS-IoT 和 Azure IoT 安全原則

  • Microsoft 威脅模型 – STRIDE
  • STRIDE模型的詳細資訊
  • 安全設備、閘道和伺服器通信 – 非對稱加密
  • X.509 公鑰分發認證
  • SAS 按鍵
  • 批量 OTA 風險和技術
  • 應用程式門戶的 API 安全性
  • 停用惡意設備並將其與系統斷開連結
  • AWS/Azure 安全原則的漏洞

第 6 部分: 回顧不斷發展的 NIST 物聯網標準/建議

  • NISTIR 8228 物聯網安全標準回顧 -30 點風險考慮模型
  • 第三方設備集成和識別
  • 服務識別和跟蹤
  • 硬體識別和跟蹤
  • 通信會話識別
  • Management 交易識別和日誌記錄
  • 日誌管理和跟蹤

第 7 課: 保護固件/設備

  • 在韌體中保護調試模式
  • 硬體的物理安全
  • 硬體加密 – PUF(物理不可克隆功能) - 保護EPROM
  • 公共PUF、PPUF
  • 納米PUF
  • 韌體中惡意軟體的已知分類(根據 YARA 規則的 18 個系列)
  • 研究一些流行的固件惡意軟體 - MIRAI、BrickerBot、GoScanSSH、Hydra 等。

分論壇8: 物聯網攻擊案例分析

  • 2016 年 10 月 21 日,針對 Dyn DNS 伺服器部署了大規模的 DDoS 攻擊,並關閉了包括 Twitter 在內的許多 Web 服務。駭客利用網路攝像頭和其他物聯網設備的默認密碼和使用者名,並在受感染的物聯網設備上安裝了 Mirai 殭屍網路。 將詳細研究這種攻擊
  • IP 攝像機可以通過緩衝區溢出攻擊被駭客入侵
  • 飛利浦 Hue 燈泡通過其 ZigBee 鏈路協定遭到駭客攻擊
  • SQL 注入攻擊對貝爾金物聯網設備有效
  • 利用 Belkin WeMo 應用程式並存取應用程式可以存取的數據和資源的跨網站腳稿 (XSS) 攻擊

第 9 節: 通過 Distributer Ledger 保護分散式物聯網 – BlockChain 和 DAG (IOTA) [3 小時]

  • 分散式賬本技術– DAG Ledger、Hyper Ledger、BlockChain
  • PoW、PoS、Tangle——共識方法的比較
  • 區塊鏈、DAG 和 Hyperledger 之間的區別——它們的工作、性能與去中心化的比較
  • 不同DLT系統的即時離線性能
  • P2P網路,私鑰和公鑰 - 基本概念
  • 帳本系統是如何實際實現的——對一些研究架構的回顧
  • IOTA和Tangle-用於物聯網的DLT
  • 智慧城市、智慧機器、智慧汽車等一些實際應用實例

第 10 課: 物聯網安全的最佳實踐架構

  • 跟蹤和識別閘道中的所有服務
  • 永遠不要使用 MAC 位址 - 改用包 ID
  • 對設備使用標識層次結構 - 主機板 ID、設備 ID 和封裝 ID
  • 將固件修補結構化到週邊並符合服務ID
  • 用於EPROM的PUF
  • 通過兩層身份驗證保護IoT管理門戶/應用程式的風險
  • 保護所有 API - 定義 API 測試和 API 管理
  • 物流供應鏈中相同安全原則的識別和整合
  • 最小化物聯網通信協定的補丁漏洞

第 11 課: 為您的組織起草 IoT 安全策略

  • 定義物聯網安全/緊張局勢的詞典
  • 建議身份驗證、識別和授權的最佳實踐
  • 關鍵資產的識別和排序
  • 識別周邊並隔離應用
  • 保護關鍵資產、關鍵資訊和隱私數據的政策

 

最低要求

  • 設備、電子系統和數據系統的基本知識
  • 對軟體和系統有基本的瞭解
  • 對統計學有基本的瞭解(在Excel級別中)
  • 瞭解 Telecom通信垂直領域

總結

  • 涵蓋物聯網安全最新技術的高級培訓計劃
  • 涵蓋韌體、中間件和物聯網通訊協定 的所有安全方面 
  • 該課程為那些不太熟悉物聯網標準、演變和未來的人提供了物聯網領域各種安全計劃的 360 度檢視
  • 更深入地探究固件、無線通信協定、 設備到雲通訊中的安全漏洞。
  • 跨越多個技術領域,培養物聯網系統及其元件的安全 意識
  • 閘道、感測器和物聯網應用雲的一些安全方面的現場演示
  • 該課程還解釋了當前和擬議的 NIST 物聯網安全標準的 30 個主要風險考慮因素  
  • 用於物聯網安全的OSWAP模型
  • 為組織起草物聯網安全標準提供詳細指南

 

目標受眾 

被指派開發物聯網專案或審計/審查安全風險的工程師/經理/安全專家。

  21 時間:

人數



每位參與者的報價

客戶評論 (1)

相關課程

IoT ( Internet of Things) for Entrepreneurs, Managers and Investors

  21 時間:

Big Data Business Intelligence for Govt. Agencies

  35 時間:

Industrial IoT (Internet of Things) for Manufacturing Professionals

  21 時間:

IoT security

  21 時間:

課程分類