Tack för att du skickade din fråga! En av våra teammedlemmar kontaktar dig snart.
Tack för att du skickade din bokning! En av våra teammedlemmar kontaktar dig snart.
Kursplan
Session 1 & 2: Grundläggande och avancerade koncept inom IoT-arkitektur från en säkerhetssynvinkel
- En kort historia om utvecklingen av IoT-teknik.
- Datamodeller i IoT-system – definition och arkitektur för sensorer, aktuatorer, enheter, gateways, kommunikationsprotokoll.
- Tredjepartsenheter och risker som är kopplade till leverantörsförsörjningen.
- Teknologiekosystem – enhetsleverantörer, gatewayleverantörer, analytikleverantörer, plattformsl everantörer, systemintegratörer – risker som är kopplade till alla leverantörer.
- Edge-driven distribuerad IoT vs molndrivet centraliserad IoT: Fördelar vs riskbedömning.
- Hanteringslag inom IoT-system – flotthantering, tillgångshantering, registrering/avregistrering av sensorer, digitala dubbelobjekt. Autentiseringsrisk i hanteringslag.
- Demo av IoT-hanterningssystem: AWS, Microsoft Azure och andra flottledare.
- Introduktion till populära IoT-kommunikationsprotokoll – Zigbee/NB-IoT/5G/LORA/Witespec – granskning av sårbarheter i kommunikationsprotokollslag.
- Förstå hela teknologistacken för IoT med en granskning av riskhantering.
Session 3: En checklista över alla risker och säkerhetsproblem inom IoT
- Firmware-uppdatering – den mjuka magen i IoT.
- detaljerad granskning av säkerheten för IoT-kommunikationsprotokoll: transportlag (NB-IoT, 4G, 5G, LORA, Zigbee etc.) och applikationsslag – MQTT, Web Socket etc.
- Sårbarhet av API-slutpunkter – lista över alla möjliga API i IoT-arkitekturen.
- Sårbarhet av gateway-enheter och tjänster.
- Sårbarhet av anslutna sensorer – gateway-kommunikation.
- Sårbarhet av gateway-serverkommunikation.
- Sårbarhet av molndatabastjänster i IoT.
- Sårbarhet av applikationslag.
- Sårbarhet av gatewayhanteringstjänster – lokalt och molnbaserat.
- Risker med logghantering i edge- och icke-edge-arkitektur.
Session 4: OWASP-modellen för IoT-säkerhet, de tio största säkerhetsriskerna
- I1 Säker webbgränssnitt.
- I2 Otillräcklig autentisering/autorisering.
- I3 Osäkra nätverksdienster.
- I4 Manglade transportkryptering.
- I5 Integritetsfrågor.
- I6 Osäkert molngränssnitt.
- I7 Osäkt mobilgränssnitt.
- I8 Manglade säkerhetskonfigurerbarhet.
- I9 Osäker programvara/firmware.
- I10 Dålig fysisk säkerhet.
Session 5: Granskning och demo av AWS-IoT och Azure IoT-säkerhetsprinciper
- Microsoft Threat Model – STRIDE.
Detaljer om STRIDE-modellen.
- Säker kommunikation mellan enheter, gateway och server – asymmetrisk kryptering.
- X.509-certifikat för offentlig nyckeldistribution.
- SAS-nycklar.
- Massuppdateringsrisker och tekniker.
- API-säkerhet för applikationsportaler.
- Avaktivering och avkoppling av osunda enheter från systemet.
- Sårbarheter i AWS/Azure-säkerhetsprinciper.
Session 6: Granskning av utvecklande NIST-standarder/rekommendationer för IoT
Granskning av NISTIR 8228 standard för IoT-säkerhet – 30 punkters riskövervägande modell.
Tredjepartsenhetsintegrering och identifiering.
- Serviceidentifiering & spårning.
- Hårdvaruidentifiering & spårning.
- Kommunikationssessionsidentifiering.
- Transaktionshantering och loggning i hanteringslag.
- Logghantering och spårning.
Session 7: Skydda firmware/enheter
Skydda felsökningsläge i en firmware.
Fysisk säkerhet för hårdvara.
- Hårdvarukryptering – PUF (Physically Unclonable Function) – skydda EPROM.
- Offentlig PUF, PPUF.
- Nano PUF.
- Kända malware-familjer i firmware (18 familjer enligt YARA-regel).
- Studie av vissa populära firmware-malwares – MIRAI, BrickerBot, GoScanSSH, Hydra etc.
Session 8: Fallstudier av IoT-attacker
- Den 21 oktober 2016, en stor DDoS-attack mot Dyn DNS-servrar stängde ner många webbtjänster inklusive Twitter. Hackerar exploaterade standardlösenord och användarnamn för webbkameror och andra IoT-enheter, och installerade Mirai-botneten på komprometterade IoT-enheter. Denna attack kommer att studeras detaljerat.
- IP-kameror kan hackas genom buffer overflow-attacker.
- Philips Hue-lampor hackades via deras ZigBee-protokoll.
- SQL-injection attacker var effektiva mot Belkin IoT-enheter.
- Cross-site scripting (XSS) attacks som exploaterade Belkin WeMo-appen och åtkomst till data och resurser som appen kan nå.
Session 9: Skydda distribuerad IoT via distribuerat ledger – BlockChain och DAG (IOTA) [3 timmar]
Distribuerat ledgerteknologi – DAG Ledger, Hyper Ledger, BlockChain.
PoW, PoS, Tangle – en jämförelse av konsensusmetoder.
- Skillnader mellan Blockchain, DAG och Hyperledger – en jämförelse av deras funktionalitet vs prestanda vs decentralisering.
- Real-time, offline-prestanda för olika DLT-system.
- P2P-nätverk, privata och offentliga nycklar – grundläggande koncept.
- Hur ledgersystem implementeras praktiskt – granskning av vissa forskningsarkitekturer.
- IOTA och Tangle – DLT för IoT.
- Några praktiska tillämpningsexempel från smarta städer, smarta maskiner, smarta bilar.
Session 10: Bästa praxisarkitektur för IoT-säkerhet
- Spåra och identifiera alla tjänster i gateways.
- Använd aldrig MAC-adresser – använd paket-ID istället.
- Använd en hierarki för identifiering av enheter – board ID, enhets-ID och paket-ID.
- Strukturera firmware-uppdateringar till periferi och anpassa dem till tjänst-ID.
- PUF för EPROM.
- Skydda risker med IoT-hanteringsportaler/applikationer genom tvålagars autentisering.
- Skydda alla API – definiera API-testning och API-hantering.
- Identifiering och integrering av samma säkerhetsprinciper i logistikförsörjningen.
- Minimera uppdateringsårighet för IoT-kommunikationsprotokoll.
Session 11: Utformning av IoT-säkerhetspolicy för din organisation
- Definiera lexikonet för IoT-säkerhet/spänningar.
- Föreslå bästa praxis för autentisering, identifiering och auktorisering.
- Identifiera och ranka kritiska tillgångar.
- Identifiera periferier och isolation för applikationer.
- Policy för skydd av kritiska tillgångar, kritisk information och personuppgifter.
Krav
- Grundläggande kunskap om enheter, elektroniksystem och datasystem.
- Grundläggande förståelse för programvara och system.
- Grundläggande förståelse av statistik (på Excel-nivå).
- Förståelse av telekommunikationssektorn.
Sammanfattning
- Ett avancerat utbildningsprogram som täcker de nuvarande främsta säkerhetsaspekterna för Internet of Things.
- Täcker alla aspekter av firmware-säkerhet, middleware och IoT-kommunikationsprotokoll.
- Kursen ger en 360-grads vy över alla typer av säkerhetsinitiativ inom IoT-domänen för de som inte är djupt bekanta med IoT-standarder, utveckling och framtida riktningar.
- Djupgående analys av säkerhetssårbarheter i firmware, trådlös kommunikation, enhet-till-molnkommunikation.
- Översikt över flera teknologiområden för att utveckla medvetenhet om säkerhet inom IoT-system och dess komponenter.
- Live-demo av vissa säkerhetsaspekter för gateways, sensorer och IoT-applikationsmoln.
- Kursen förklarar också 30 principiella risköverväganden för de nuvarande och föreslagna NIST-standarderna för IoT-säkerhet.
- OSWAP-modellen för IoT-säkerhet.
- Ger detaljerade riktlinjer för utformning av IoT-säkerhetsstandarder för en organisation.
Målgrupp
Ingenjörer/chefer/säkerhets experter som tilldelats att utveckla IoT-projekt eller granska/övervaka säkerhetsrisker.
21 timmar
Vittnesmål (1)
Hur vänlig utbildaren var. Flexibiliteten och svar på mina frågor.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Kurs - IoT Security
Maskintolkat
