Course Code: iots
Duration: 21 hours
Prerequisites:
  • Podstawowa znajomość urządzeń, systemów elektronicznych i systemów danych
  • Podstawowa znajomość oprogramowania i systemów
  • Podstawowe zrozumienie Statistics (na Excel poziomach)
  • Zrozumienie Telecom pionów komunikacyjnych

Podsumowanie

  • Zaawansowany program szkoleniowy obejmujący aktualny stan bezpieczeństwa Internetu rzeczy.
  • Obejmuje wszystkie aspekty bezpieczeństwa oprogramowania układowego, oprogramowania pośredniczącego i protokołów komunikacyjnych IoT.
  • Kurs zapewnia 360-stopniowy widok wszystkich rodzajów inicjatyw bezpieczeństwa w domenie IoT dla tych, którzy nie są dogłębnie zaznajomieni ze standardami IoT, ewolucją i przyszłością
  • Głębsze badanie luk w zabezpieczeniach oprogramowania układowego, protokołów komunikacji bezprzewodowej, komunikacji między urządzeniami a chmurą.
  • Przekrój przez wiele domen technologicznych w celu rozwinięcia świadomości bezpieczeństwa w systemach IoT i ich komponentach.
  • Demonstracja na żywo niektórych aspektów bezpieczeństwa bram, czujników i chmur aplikacji IoT.
  • Kurs wyjaśnia również 30 głównych czynników ryzyka związanych z obecnymi i proponowanymi standardami NIST w zakresie bezpieczeństwa IoT.
  • Model OSWAP dla bezpieczeństwa IoT
  • Zawiera szczegółowe wytyczne dotyczące opracowywania standardów bezpieczeństwa IoT dla organizacji

Docelowi odbiorcy

Inżynierowie/menedżerowie/eksperci ds. bezpieczeństwa, którzy są przydzieleni do opracowywania projektów IoT lub audytu/przeglądu zagrożeń bezpieczeństwa.

Overview:

W ciągu ostatnich trzech lat w inżynierii IoT nastąpiły ogromne zmiany, napędzane głównie przez Microsoft, Google i Amazon. Te wielkie behemoty zainwestowały miliardy dolarów w rozwój platform IoT, które są łatwiejsze w zarządzaniu i zabezpieczają niektóre obwody danych. Również IoT edge zyskał dużą dynamikę zarówno w zakresie badań, jak i wdrożeń, jako jedyny sposób na praktyczne wdrożenie IoT. 5G obiecuje również przekształcenie biznesu IoT. Doprowadziło to do bezprecedensowego dużego pokosu nowych obszarów finansowania badań w IoT.

Jednak adaptacja IoT na dużą skalę jest powolna ze względu na obawy dotyczące bezpieczeństwa na różnych poziomach. Zabezpieczanie oprogramowania układowego i bram jest dalekie od ideału. Jednym z głównych problemów jest brak porozumienia między różnymi dużymi dostawcami IoT w kwestii bezpieczeństwa. Microsoft Azure, Amazon AWS wprowadził własne standardy bezpieczeństwa. Model 10 warstw bezpieczeństwa IoT OWASP wywarł pewien wpływ, ale ogólnie nie udało mu się zdobyć dużej popularności z powodu braku akceptacji ze strony głównych platform IoT, takich jak Azure lub Go ogle.

Drugim dużym obszarem zainteresowania jest bezpieczeństwo oprogramowania układowego. Przede wszystkim większość oprogramowania układowego jest nadal podatna na wszelkie poprawki, czy to przez OTA (over the top), czy lokalnie przez port sprzętowy.

Cel kursu

  1. Wprowadzenie wszystkich stosów technologii, modelu danych i podatności IoT
  2. Rysowanie warstw podatności na każdym stosie i między stosami
  3. Podatność na ataki ze strony dostawców i urządzeń innych firm
  4. Poznanie standardu NIST dotyczącego bezpieczeństwa IoT
Course Outline:

Sesja 1 i 2: Podstawowe i zaawansowane koncepcje architektury IoT z perspektywy bezpieczeństwa

  • Krótka historia ewolucji technologii IoT
  • Modele danych w systemie IoT - definicja i architektura czujników, elementów wykonawczych, urządzeń, bram, protokołów komunikacyjnych
  • Urządzenia firm trzecich i ryzyko związane z łańcuchem dostaw dostawców
  • Ekosystem technologiczny - dostawcy urządzeń, dostawcy bram, dostawcy usług analitycznych, dostawcy platform, integratorzy systemów - ryzyko związane ze wszystkimi dostawcami
  • Rozproszony IoT oparty na krawędziach a centralny IoT oparty na chmurze: ocena korzyści i ryzyka
  • Management Warstwy w systemie IoT - Zarządzanie flotą, zarządzanie aktywami, Onboarding/Deboarding czujników, Digital Twins. Ryzyko autoryzacji w warstwach zarządzania
  • Demo systemów zarządzania IoT - AWS, Microsoft Azure i inni menedżerowie floty
  • Wprowadzenie do popularnych protokołów komunikacyjnych IoT - Zigbee/NB-IoT/5G/LORA/Witespec - przegląd podatności w warstwach protokołów komunikacyjnych
  • Zrozumienie całego stosu technologii IoT wraz z przeglądem zarządzania ryzykiem

Sesja 3: Lista kontrolna wszystkich zagrożeń i kwestii bezpieczeństwa w IoT

  • Patchowanie oprogramowania układowego - miękki brzuch IoT
  • Szczegółowy przegląd bezpieczeństwa protokołów komunikacyjnych IoT - warstwy transportowe ( NB-IoT, 4G, 5G, LORA, Zigbee itp. ) oraz warstwy aplikacji - MQTT, Web Socket itp.
  • Podatność punktów końcowych API - lista wszystkich możliwych API w architekturze IoT
  • Podatność urządzeń i usług Gate Way
  • Podatność podłączonych czujników - komunikacja Gateway
  • Podatność bramy - komunikacja z serwerem
  • Podatność usług w chmurze Database w IoT
  • Podatność warstw aplikacji
  • Podatność usługi zarządzania bramą - lokalna i oparta na chmurze
  • Ryzyko zarządzania logami w architekturze brzegowej i nie brzegowej

Sesja 4: Model OSASP bezpieczeństwa IoT, 10 największych zagrożeń bezpieczeństwa

  • I1 Niezabezpieczony interfejs sieciowy
  • I2 Niewystarczające uwierzytelnianie/autoryzacja
  • I3 Niezabezpieczone usługi sieciowe
  • I4 Brak szyfrowania transportu
  • I5 Obawy o prywatność
  • I6 Niezabezpieczony interfejs chmury
  • I7 Niezabezpieczony interfejs mobilny
  • I8 Niewystarczająca konfigurowalność zabezpieczeń
  • I9 Niezabezpieczone oprogramowanie
  • I10 Słabe bezpieczeństwo fizyczne

Sesja 5: Przegląd i demonstracja AWS-IoT i Azure zasady bezpieczeństwa IoT

  • Microsoft Model zagrożeń - STRIDE
Szczegóły modelu STRIDE
  • Urządzenie zabezpieczające, brama i komunikacja z serwerem - Szyfrowanie asymetryczne
  • Certyfikacja X.509 dla dystrybucji klucza publicznego
  • Klucze SAS
  • Zagrożenia i techniki związane z masowym OTA
  • Bezpieczeństwo API dla portali aplikacji
  • Dezaktywacja i odłączenie nieuczciwego urządzenia od systemu
  • Podatność AWS/Azure Zasady bezpieczeństwa

Sesja 6: Przegląd rozwijających się standardów/zaleceń NIST dla IoT

Przegląd standardu NISTIR 8228 dla bezpieczeństwa IoT - 30-punktowy model analizy ryzyka
Integracja i identyfikacja urządzeń stron trzecich
  • Identyfikacja i śledzenie usług
  • Identyfikacja i śledzenie sprzętu
  • Identyfikacja sesji Communication
  • Identyfikacja i rejestrowanie transakcji Management
  • Zarządzanie i śledzenie dzienników

Sesja 7: Zabezpieczanie oprogramowania układowego/urządzenia

Zabezpieczanie trybu debugowania w oprogramowaniu układowym
Fizyczne bezpieczeństwo sprzętu
  • Kryptografia sprzętowa - PUF (Physically Unclonable Function) - zabezpieczenie pamięci EPROM
  • Publiczny PUF, PPUF
  • Nano PUF
  • Znana klasyfikacja złośliwego oprogramowania w oprogramowaniu układowym (18 rodzin zgodnie z regułą YARA)
  • Badanie niektórych popularnych złośliwych programów w oprogramowaniu układowym -MIRAI, BrickerBot, Go ScanSSH, Hydra itp.

Sesja 8: Studia przypadków ataków na IoT

  • 21 października 2016 r. przeprowadzono ogromny atak DDoS na serwery DNS firmy Dyn, który spowodował wyłączenie wielu usług internetowych, w tym Twittera. Hakerzy wykorzystali domyślne hasła i nazwy użytkowników kamer internetowych i innych urządzeń IoT oraz zainstalowali botnet Mirai na zaatakowanych urządzeniach IoT. Atak ten zostanie szczegółowo przeanalizowany
  • Kamery IP mogą zostać zhakowane poprzez ataki przepełnienia bufora
  • żarówki Philips Hue zostały zhakowane poprzez protokół łącza ZigBee
  • Ataki iniekcyjne SQL były skuteczne przeciwko urządzeniom IoT firmy Belkin.
  • Ataki cross-site scripting (XSS), które wykorzystywały aplikację Belkin WeMo i uzyskiwały dostęp do danych i zasobów, do których aplikacja może uzyskać dostęp.

Sesja 9: Zabezpieczanie rozproszonego IoT poprzez Distributer Ledger - BlockChain i DAG (IOTA) [3 godziny]

Technologia rozproszonej księgi - DAG Ledger, Hyper Ledger, BlockChain
PoW, PoS, Tangle - porównanie metod konsensusu
  • Różnica między Blockchain, DAG i Hyperledger - porównanie ich działania vs wydajność vs decentralizacja
  • Wydajność różnych systemów DLT w czasie rzeczywistym i offline
  • Sieć P2P, klucz prywatny i publiczny - podstawowe pojęcia
  • Jak system księgi jest wdrażany praktycznie - przegląd niektórych architektur badawczych
  • IOTA i Tangle - DLT dla IoT
  • Kilka praktycznych przykładów zastosowań z inteligentnego miasta, inteligentnych maszyn, inteligentnych samochodów

Sesja 10: Architektura najlepszych praktyk dla bezpieczeństwa IoT

  • Śledzenie i identyfikacja wszystkich usług w bramkach
  • Nigdy nie używaj adresu MAC - zamiast tego użyj identyfikatora pakietu
  • Używanie hierarchii identyfikacji dla urządzeń - ID płyty, ID urządzenia i ID pakietu.
  • Struktura poprawek oprogramowania układowego do obwodu i zgodność z identyfikatorem usługi
  • PUF dla pamięci EPROM
  • Zabezpiecz ryzyko portali/aplikacji do zarządzania IoT za pomocą dwóch warstw uwierzytelniania.
  • Zabezpiecz wszystkie API - Zdefiniuj testowanie API i zarządzanie API
  • Identyfikacja i integracja tych samych zasad bezpieczeństwa w logistycznym łańcuchu dostaw
  • Minimalizacja podatności protokołów komunikacyjnych IoT na ataki.

Sesja 11: Opracowanie polityki bezpieczeństwa IoT dla organizacji

  • Zdefiniowanie leksykonu bezpieczeństwa / napięć IoT
  • Zaproponowanie najlepszych praktyk w zakresie uwierzytelniania, identyfikacji i autoryzacji
  • Identyfikacja i ranking zasobów krytycznych
  • Identyfikacja granic i izolacji dla aplikacji
  • Polityka zabezpieczania krytycznych zasobów, krytycznych informacji i danych dotyczących prywatności
Sites Published:

United Arab Emirates - IoT Security

Qatar - IoT Security

Egypt - IoT Security

Saudi Arabia - IoT Security

South Africa - IoT Security

Brasil - IoT Security

Canada - IoT Security

中国 - IoT Security

香港 - IoT Security

澳門 - IoT Security

台灣 - IoT security

USA - IoT Security

Österreich - IoT Security

Schweiz - IoT Security

Deutschland - IoT Security

Czech Republic - IoT Security

Denmark - IoT Security

Estonia - IoT Security

Finland - IoT Security

Greece - IoT Security

Magyarország - IoT Security

Ireland - IoT Security

Luxembourg - IoT Security

Latvia - IoT Security

España - Seguridad de IoT

Italia - IoT Security

Lithuania - IoT Security

Nederland - IoT Security

Norway - IoT Security

Portugal - IoT Security

România - IoT Security

Sverige - IoT Security

Türkiye - IoT Security

Malta - IoT Security

Belgique - IoT Security

France - IoT Security

日本 - IoT Security

Australia - IoT Security

Malaysia - IoT Security

New Zealand - IoT Security

Philippines - IoT Security

Singapore - IoT Security

Thailand - IoT Security

Vietnam - IoT Security

India - IoT Security

Argentina - Seguridad de IoT

Chile - Seguridad de IoT

Costa Rica - Seguridad de IoT

Ecuador - Seguridad de IoT

Guatemala - Seguridad de IoT

Colombia - Seguridad de IoT

México - Seguridad de IoT

Panama - Seguridad de IoT

Peru - Seguridad de IoT

Uruguay - Seguridad de IoT

Venezuela - Seguridad de IoT

Polska - IoT Security

United Kingdom - IoT Security

South Korea - IoT Security

Pakistan - IoT Security

Sri Lanka - IoT Security

Bulgaria - IoT Security

Bolivia - Seguridad de IoT

Indonesia - IoT Security

Kazakhstan - IoT Security

Moldova - IoT Security

Morocco - IoT Security

Tunisia - IoT Security

Kuwait - IoT Security

Oman - IoT Security

Slovakia - IoT Security

Kenya - IoT Security

Nigeria - IoT Security

Botswana - IoT Security

Slovenia - IoT Security

Croatia - IoT Security

Serbia - IoT Security

Bhutan - IoT Security

Nepal - IoT Security

Uzbekistan - IoT Security