Obrigado por enviar sua consulta! Um dos membros da nossa equipe entrará em contato com você em breve.
Obrigado por enviar sua reserva! Um dos membros da nossa equipe entrará em contato com você em breve.
Programa do Curso
Sessões 1 e 2: Conceitos básicos e avançados da arquitetura IoT na perspetiva da segurança
- Um breve historial da evolução das tecnologias IoT
- Modelos de dados no sistema IoT - definição e arquitetura de sensores, actuadores, dispositivos, gateway, protocolos de comunicação
- Dispositivos de terceiros e risco associado à cadeia de abastecimento dos fornecedores
- Ecossistema tecnológico - fornecedores de dispositivos, fornecedores de gateways, fornecedores de análises, fornecedores de plataformas, integradores de sistemas - risco associado a todos os fornecedores
- IoT distribuída orientada para a periferia vs IoT central orientada para a nuvem: avaliação das vantagens vs. riscos
- Management Camadas no sistema IoT - Gestão de frotas, gestão de activos, integração de sensores, gémeos digitais. Risco de autorizações nas camadas de gestão
- Demonstração de sistemas de gestão IoT - AWS, Microsoft Azure e outros gestores de frotas
- Introdução aos protocolos de comunicação populares da IoT - Zigbee/NB-IoT/5G/LORA/Witespec - análise da vulnerabilidade nas camadas do protocolo de comunicação
- Compreensão de toda a pilha tecnológica da IoT com uma análise da gestão do risco
Sessão 3: Uma lista de controlo de todos os riscos e questões de segurança na IdC
- Correção de firmware - o ponto fraco da IoT
- Análise pormenorizada da segurança dos protocolos de comunicação da IdC - camadas de transporte ( NB-IoT, 4G, 5G, LORA, Zigbee, etc.) e camadas de aplicação - MQTT, Web Socket, etc.
- Vulnerabilidade dos pontos finais da API - lista de todas as API possíveis na arquitetura IoT
- Vulnerabilidade dos dispositivos e serviços de passagem
- Vulnerabilidade dos sensores ligados - comunicação de gateway
- Vulnerabilidade da comunicação Gateway-Servidor
- Vulnerabilidade dos serviços de nuvem Database na IdC
- Vulnerabilidade das camadas de aplicação
- Vulnerabilidade do serviço de gestão da porta de ligação - local e baseado na nuvem
- Risco de gestão de registos em arquitecturas periféricas e não periféricas
Sessão 4: Modelo OSASP de segurança IoT, 10 principais riscos de segurança
- I1 Interface Web insegura
- I2 Autenticação/autorização insuficiente
- I3 Serviços de rede inseguros
- I4 Falta de encriptação do transporte
- I5 Preocupações com a privacidade
- I6 Interface de nuvem insegura
- I7 Interface móvel insegura
- I8 Configurabilidade de segurança insuficiente
- I9 Software/Firmware inseguro
- I10 Segurança física deficiente
Sessão 5: Revisão e demonstração da AWS-IoT e Azure Princípio de segurança da IoT
- Microsoft Modelo de ameaças - STRIDE
Pormenores do modelo STRIDE
- Dispositivo de segurança e comunicação entre gateway e servidor - Encriptação assimétrica
- Certificação X.509 para distribuição de chaves públicas
- Chaves SAS
- Riscos e técnicas de OTA em massa
- Segurança da API para portais de aplicações
- Desativação e desvinculação de um dispositivo não autorizado do sistema
- Vulnerabilidade da AWS/Azure Princípios de segurança
Sessão 6: Análise da evolução das normas/recomendações do NIST para a IoT
Revisão da norma NISTIR 8228 para a segurança da IdC - Modelo de consideração de risco de 30 pontos
Integração e identificação de dispositivos de terceiros
- Identificação e rastreio de serviços
- Identificação e seguimento de hardware
- Communication identificação da sessão
- Identificação e registo de transacções Management
- Gestão e seguimento de registos
Sessão 7: Proteção do firmware/dispositivo
Proteção do modo de depuração num Firmware
Segurança física do hardware
- Criptografia do hardware - PUF (Função Fisicamente Incontrolável) - proteção da EPROM
- PUF pública, PPUF
- Nano PUF
- Classificação conhecida de Malwares em Firmware ( 18 famílias segundo a regra YARA )
- Estudo de alguns dos populares malwares de firmware -MIRAI, BrickerBot, GoScanSSH, Hydra etc.
Sessão 8: Estudos de casos de ataques à IoT
- A 21 de outubro de 2016, foi lançado um enorme ataque DDoS contra os servidores DNS da Dyn e encerrou muitos serviços Web, incluindo o Twitter. Os piratas informáticos exploraram as palavras-passe e os nomes de utilizador predefinidos das câmaras Web e de outros dispositivos IoT e instalaram o botnet Mirai em dispositivos IoT comprometidos. Este ataque será estudado em pormenor
- As câmaras IP podem ser pirateadas através de ataques de sobrecarga de memória intermédia
- As lâmpadas Philips Hue foram pirateadas através do seu protocolo de ligação ZigBee
- Os ataques de injeção SQL foram eficazes contra os dispositivos IoT da Belkin
- Ataques XSS (Cross-site scripting) que exploraram a aplicação Belkin WeMo e acederam a dados e recursos a que a aplicação pode aceder
Sessão 9: Proteger a IoT distribuída através do Distributer Ledger - BlockChain e DAG (IOTA) [3 horas]
Tecnologia de ledger distribuído - DAG Ledger, Hyper Ledger, BlockChain
PoW, PoS, Tangle - uma comparação dos métodos de consenso
- Diferença entre Blockchain, DAG e Hyperledger - uma comparação do seu funcionamento vs desempenho vs descentralização
- Desempenho em tempo real e offline dos diferentes sistemas DLT
- Rede P2P, chave privada e pública - conceitos básicos
- Como o sistema de ledger é implementado na prática - revisão de algumas arquitecturas de investigação
- IOTA e Tangle- DLT para IoT
- Alguns exemplos de aplicações práticas de cidades inteligentes, máquinas inteligentes e automóveis inteligentes
Sessão 10: A arquitetura de melhores práticas para a segurança da IdC
- Rastreio e identificação de todos os serviços em Gateways
- Nunca utilizar o endereço MAC - utilizar antes a identificação do pacote
- Utilizar a hierarquia de identificação para os dispositivos - ID da placa, ID do dispositivo e ID do pacote
- Estruturar o Firmware Patching para o perímetro e em conformidade com a ID do serviço
- PUF para EPROM
- Proteger os riscos dos portais/aplicações de gestão IoT através de duas camadas de autenticação
- Proteger todas as API - Definir testes de API e gestão de API
- Identificação e integração do mesmo princípio de segurança na cadeia de abastecimento logística
- Minimizar a vulnerabilidade dos protocolos de comunicação da IoT
Sessão 11: Elaboração da política de segurança da IoT para a sua organização
- Definir o léxico da segurança da IoT / Tensões
- Sugerir as melhores práticas para autenticação, identificação e autorização
- Identificação e classificação de activos críticos
- Identificação de perímetros e isolamento para aplicação
- Política de segurança de activos críticos, informações críticas e dados de privacidade
Requisitos
- Conhecimentos básicos de dispositivos, sistemas electrónicos e sistemas de dados
- Conhecimentos básicos de software e sistemas
- Conhecimentos básicos de Statistics (em Excel níveis)
- Compreensão de Telecom sectores de comunicação
Resumo
- Um programa de formação avançada que abrange o atual estado da arte da segurança da Internet das Coisas
- Abrange todos os aspectos da segurança de firmware, middleware e protocolos de comunicação IoT
- O curso fornece uma visão de 360 graus de todos os tipos de iniciativas de segurança no domínio da IoT para aqueles que não estão profundamente familiarizados com os padrões, a evolução e o futuro da IoT
- Aprofundamento das vulnerabilidades de segurança no firmware, protocolos de comunicação sem fios, comunicação entre dispositivos e a nuvem.
- Abordagem de vários domínios tecnológicos para sensibilizar para a segurança dos sistemas IoT e dos seus componentes
- Demonstração ao vivo de alguns dos aspectos de segurança de gateways, sensores e nuvens de aplicações IoT
- O curso também explica as 30 principais considerações de risco das normas NIST actuais e propostas para a segurança da IoT
- Modelo OSWAP para a segurança da IoT
- Fornece diretrizes detalhadas para a elaboração de normas de segurança IoT para uma organização
Público-alvo
Engenheiros/gestores/especialistas em segurança que são designados para desenvolver projectos IoT ou auditar/rever riscos de segurança.
21 Horas
Declaração de Clientes (1)
How friendly the trainer was. The flexibility and answering my questions.
