Děkujeme za vaši dotaz! Jeden z našich pracovníků vás brzy kontaktuje.
Děkujeme za rezervaci! Jeden z našich pracovníků vás brzy kontaktuje.
Návrh Školení
Seznam 1 a 2: Základní a pokročilé koncepty architektury IoT z hlediska bezpečnosti
- Stručný přehled evoluce technologií IoT
- Datové modely v systému IoT – definice a architektura senzorů, aktuatorů, zařízení, brány, komunikačních protokolů
- Zařízení třetích stran a rizik spojených s dodavatelskou řetězcí výrobců
- Technologická ekosystémy – poskytovatelé zařízení, brány, analýzy, platformy, systémoví integrátoři – rizik spojených se všemi poskytovateli
- Rozdělený IoT na hranici vs. centrální IoT řízená clouzem: přehled výhod a hodnocení rizik
- Správní vrstvy v systému IoT – správa flotily, správa aktiv, registrace/zrušení registrace senzorů, digitální vlčata. Rizika autorizací ve správních vrstvách
- Ukázka systémů správy IoTAWS, Microsoft Azure a další správci flotil
- Úvod do populárních komunikačních protokolů IoT – Zigbee/NB-IoT/5G/LORA/Witespec – revize zranitelností v vrstvách komunikačních protokolů
- Pochopení celé technologické zásobníku IoT s revizí řízení rizik
Seznam 3: Kontrolní seznam všech rizik a bezpečnostních problémů IoT
- Firmware Patching – slabinou IoT
- Podrobná revize bezpečnosti komunikačních protokolů IoTVrstvy přenosu (NB-IoT, 4G, 5G, LORA, Zigbee atd.) a aplikační vrstvy – MQTT, Web Socket atd.
- Zranitelnost koncových bodů API – seznam všech možných API v architektuře IoT
- Zranitelnost branných zařízení a služeb
- Zranitelnost připojených senzorů – komunikace s branou
- Zranitelnost komunikace branného zařízení a serveru
- Zranitelnost cloudových databázových služeb IoT
- Zranitelnost aplikačních vrstev
- Zranitelnost správy branného zařízení – místní a cloudový založený
- Rizika správy logů v architektuře s hranicemi a bez hranic
Seznam 4: Model OSASP pro bezpečnost IoT, Top 10 bezpečnostních rizik
- I1 Nebezpečný webové rozhraní
- I2 Nedostatečné ověřování identity/autorizace
- I3 Nebezpečné sítové služby
- I4 Chybí šifrování přenosu
- I5 Soukromí uživatelů
- I6 Nebezpečné cloudové rozhraní
- I7 Nebezpečný mobilní rozhraní
- I8 Nedostatečná konfigurace bezpečnosti
- I9 Nezabezpečené softwarové/firmware
- I10 Chudá fyzická bezpečnost
Seznam 5: Revize a demo principů bezpečnosti AWS-IoT a Azure IoT
- Microsoft Threat Model – STRIDE
Detaily modelu STRIDE
- Bezpečná komunikace zařízení, brány a serveru – asymetrické šifrování
- X.509 certifikát pro distribuci veřejného klíče
- SAS klíče
- Rizika a techniky hromadných OTA oprav
- Bezpečnost API pro aplikační portály
- Deaktivace a odpojení podezřelého zařízení ze systému
- Zranitelnost principů bezpečnosti AWS/Azure
Seznam 6: Revize evolučních norm NIST/doporučení pro IoT
Revize normy NISTIR 8228 pro bezpečnost IoT – model s 30 rizikovými faktory
Integrace a identifikace zařízení třetích stran
- Identifikace a sledování služeb
- Identifikace a sledování hardwaru
- Identifikace relací komunikace
- Identifikace a záznam transakcí správy
- Správa a sledování logů
Seznam 7: Bezpečnění firmware/zařízení
Bezpečnění režimu ladění v firmware
Fyzická bezpečnost hardwaru
- Hardwarové šifrování – PUF (Fyzicky nekopírující funkce) – zabezpečení EPROM
- Veřejné PUF, PPUF
- Nano PUF
- Známé klasifikace malwaru v firmware (18 rodin podle pravidla YARA)
- Studie některých populárních malware v firmware – MIRAI, BrickerBot, GoScanSSH, Hydra atd.
Seznam 8: Případové studie útoků na IoT
- 21. října 2016, byl nasazen velký útok DDoS proti serverům Dyn DNS a zablokoval mnoho webových služeb včetně Twitteru. Hackerové využili výchozí hesla a uživatelská jména webkamer a dalších zařízení IoT a nainstalovali botnet Mirai na kompromitovaná zařízení IoT. Tento útok bude podrobně studován.
- IP kamery lze hacknout prostřednictvím útoku přetečení vyrovnávací paměti
- Philips Hue svítidla byla hacknuta skrze jejich protokol ZigBee
- Útoky SQL injection byly účinné proti zařízením IoT firmy Belkin
- Útoky cross-site scripting (XSS), které využily aplikaci Belkin WeMo a přistupovaly k datům a zdrojům, ke kterým měla aplikace přístup
Seznam 9: Zabezpečení rozděleného IoT prostřednictvím distribuovaného ledgers – BlockChain a DAG (IOTA) [3 hodiny]
Distribuovaná technologie ledgeru– DAG Ledger, Hyper Ledger, BlockChain
PoW, PoS, Tangle – srovnání metod konsenzu
- Rozdíly mezi Blockchainem, DAG a Hyperledgem – srovnání jejich fungování vs. výkon vs. decentralizace
- Reálné časové, offline výkon různých systémů DLT
- P2P síť, soukromý a veřejný klíč – základní koncepty
- Jak je systém ledgeru prakticky implementován – přehled některých výzkumných architektur
- IOTA a Tangle – DLT pro IoT
- Některé praktické příklady z chytrého města, chytrých strojů, chytrých aut
Seznam 10: Nejlepší praktiky architektury pro bezpečnost IoT
- Sledování a identifikace všech služeb ve branách
- Nikdy nevyužívejte MAC adresy – použijte ID balíčku místo toho
- Použití hierarchie identifikace zařízení – board ID, Device ID a package ID
- Strukturovat opravy firmware na hranici a konformní s ID služby
- PUF pro EPROM
- Zabezpečení rizik portálů/aplikací správy IoT dvěma vrstvami ověřování identity
- Zabezpečit všechna API – definovat testování a správu API
- Identifikace a integrace stejných zásad bezpečnosti ve logistické dodavatelské řetězci
- Minimalizovat zranitelnost oprav komunikačních protokolů IoT
Seznam 11: Tvorba bezpečnostní politiky pro IoT ve vaší organizaci
- Definování terminologie bezpečnosti IoT / napětí
- Doporučení nejlepší praxe pro ověřování identity, identifikaci a autorizaci
- Identifikace a hodnocení kritických aktiv
- Identifikace hranic a izolace pro aplikace
- Politika zabezpečení kritických aktiv, informací a dat o soukromí
Požadavky
- Základní znalosti zařízení, elektronických systémů a datových systémů
- Základní pochopení softwaru a systému
- Základní znalosti statistiky (na úrovni Excel)
- Pochopení telekomunikačních vertikálů
Souhrn
- Pokročilý tréninkový program pokrývající aktuální stav umění v oblasti bezpečnosti Internet of Things
- Přehled všech aspektů bezpečnosti firmware, middleware a komunikačních protokolů IoT
- Kurz poskytuje 360° pohled na všechny druhy iniciativ v oblasti bezpečnosti domény IoT pro ty, kteří nejsou hluboce obeznámeni s normami IoT, jejich evolucí a budoucností
- Podrobnější analýza bezpečnostních zranitelností v firmware, bezdrátových komunikačních protokolech a komunikaci zařízení s clouzem.
- Propojení různých technologických domén pro rozvoj povědomí o bezpečnosti v systémech IoT a jejich součástech
- Živá ukázka některých aspektů bezpečnosti branových zařízení, senzorů a cloudu pro aplikace IoT
- Kurz také vysvětluje 30 hlavních rizikových faktorů současných a navrhovaných norm NIST pro bezpečnost IoT
- Model OWASP pro bezpečnost IoT
- Poskytuje detailní pokyny k vypracování norm bezpečnosti IoT pro organizaci
Cílová skupina
Inženýři/manažeři/bezpečnostní odborníci, kteří jsou pověřeni vývojem projektů IoT nebo auditem/ohodnocováním bezpečnostních rizik.
21 Hodiny
Reference (1)
Jak přívětivý byl instruktor. Flexibilita a odpovídání na moje otázky.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Kurz - IoT Security
Přeloženo strojem
