感謝您提交詢問!我們的一位團隊成員將在短時間內與您聯繫。
感謝您提交預訂!我們的一位團隊成員將在短時間內與您聯繫。
課程簡介
第1 & 2節:從安全角度介紹物聯網架構的基本和高級概念
- 物聯網技術演變的簡要歷史
- 物聯網系統中的數據模型——傳感器、執行器、設備、網關、通信協議的定義和架構
- 第三方設備及供應商供應鏈相關風險
- 技術生態系統——設備提供商、網關提供商、分析提供商、平臺提供商、系統集成商——與所有提供商相關的風險
- 邊緣驅動的分佈式物聯網與雲驅動的集中式物聯網:優勢與風險評估
- 物聯網系統中的管理層——設備管理、資產管理、傳感器上線/下線、數字孿生。管理層中的授權風險
- 演示物聯網管理系統AWS、Microsoft Azure和其他設備管理器
- 介紹流行的物聯網通信協議——Zigbee/NB-IoT/5G/LORA/Witespec——審查通信協議層的漏洞
- 理解物聯網的整個技術棧,並審查風險管理
第3節:物聯網中所有風險和安全問題的檢查清單
- 固件補丁——物聯網的軟肋
- 詳細審查物聯網通信協議的安全性——傳輸層(NB-IoT、4G、5G、LORA、Zigbee等)和應用層——MQTT、Web Socket等
- API端點的漏洞——物聯網架構中所有可能的API列表
- 網關設備和服務的漏洞
- 連接傳感器的漏洞——網關通信
- 網關服務器通信的漏洞
- 物聯網中雲數據庫服務的漏洞
- 應用層的漏洞
- 網關管理服務的漏洞——本地和基於雲的
- 邊緣和非邊緣架構中的日誌管理風險
第4節:OSASP物聯網安全模型,十大安全風險
- I1 不安全的Web接口
- I2 認證/授權不足
- I3 不安全的網絡服務
- I4 缺乏傳輸加密
- I5 隱私問題
- I6 不安全的雲接口
- I7 不安全的移動接口
- I8 安全配置不足
- I9 不安全的軟件/固件
- I10 物理安全性差
第5節:AWS物聯網和Azure物聯網安全原則的審查與演示
- 微軟威脅模型——STRIDE
STRIDE模型的詳細信息
- 安全設備、網關和服務器通信——非對稱加密
- X.509證書的公鑰分發
- SAS密鑰
- 批量OTA風險和技術
- 應用門戶的API安全性
- 從系統中停用和解除惡意設備的鏈接
- AWS/Azure安全原則的漏洞
第6節:NIST物聯網標準/建議的演變審查
審查NISTIR 8228物聯網安全標準——30點風險考慮模型
第三方設備集成和識別
- 服務識別與跟蹤
- 硬件識別與跟蹤
- 通信會話識別
- 管理事務識別與日誌記錄
- 日誌管理與跟蹤
第7節:保護固件/設備
保護固件中的調試模式
硬件的物理安全
- 硬件加密——PUF(物理不可克隆功能)——保護EPROM
- 公共PUF,PPUF
- 納米PUF
- 固件中的已知惡意軟件分類(根據YARA規則的18個家族)
- 研究一些流行的固件惡意軟件——MIRAI、BrickerBot、GoScanSSH、Hydra等
第8節:物聯網攻擊案例研究
- 2016年10月21日,針對Dyn DNS服務器的大規模DDoS攻擊導致包括Twitter在內的許多網絡服務中斷。黑客利用網絡攝像頭和其他物聯網設備的默認用戶名和密碼,在被入侵的物聯網設備上安裝了Mirai殭屍網絡。本次攻擊將進行詳細研究
- IP攝像頭可以通過緩衝區溢出攻擊被黑客入侵
- 飛利浦Hue燈泡通過其ZigBee鏈路協議被黑客入侵
- SQL注入攻擊對Belkin物聯網設備有效
- 跨站腳本(XSS)攻擊利用了Belkin WeMo應用,並訪問了該應用可以訪問的數據和資源
第9節:通過分佈式賬本保護分佈式物聯網——區塊鏈和DAG(IOTA)[3小時]
分佈式賬本技術——DAG賬本、Hyper Ledger、區塊鏈
PoW、PoS、Tangle——共識方法的比較
- 區塊鏈、DAG和Hyperledger的區別——工作方式、性能和去中心化的比較
- 不同DLT系統的即時、離線性能
- P2P網絡,公鑰和私鑰——基本概念
- 如何實際實現賬本系統——審查一些研究架構
- IOTA和TangleDLT在物聯網中的應用
- 來自智慧城市、智能機器、智能汽車的一些實際應用示例
第10節:物聯網安全的最佳實踐架構
- 跟蹤和識別網關中的所有服務
- 不要使用MAC地址,改用包ID
- 爲設備使用識別層次結構——板ID、設備ID和包ID
- 構建固件補丁以符合服務ID
- PUF用於EPROM
- 通過兩層認證保護物聯網管理門戶/應用的風險
- 保護所有API——定義API測試和API管理
- 識別並將相同的安全原則集成到物流供應鏈中
- 最小化物聯網通信協議的補丁漏洞
第11節:爲您的組織制定物聯網安全政策
- 定義物聯網安全/緊張的詞彙表
- 建議最佳實踐用於認證、識別、授權
- 識別和排名關鍵資產
- 識別邊界和應用程序的隔離
- 保護關鍵資產、關鍵信息和隱私數據的政策
最低要求
- 對設備、電子系統和數據系統有基本瞭解
- 對軟件和系統有基本理解
- 對統計學有基本瞭解(Excel水平)
- 瞭解通信垂直領域
總結
- 一個高級培訓項目,涵蓋當前物聯網安全的最新技術
- 涵蓋固件、中間件和物聯網通信協議的所有安全方面
- 本課程爲那些不熟悉物聯網標準、演變和未來的人提供了物聯網領域各種安全舉措的360度視角
- 深入探討固件、無線通信協議、設備到雲通信中的安全漏洞
- 跨越多個技術領域,提高對物聯網系統及其組件安全性的認識
- 演示網關、傳感器和物聯網應用雲的一些安全方面
- 本課程還解釋了當前和擬議的NIST物聯網安全標準的30個主要風險考慮
- OSWAP物聯網安全模型
- 提供製定組織物聯網安全標準的詳細指南
目標受衆
負責開發物聯網項目或審計/審查安全風險的工程師/經理/安全專家。
21 時間:
客戶評論 (1)
How friendly the trainer was. The flexibility and answering my questions.
