Grazie per aver inviato la vostra richiesta! Un membro del nostro team vi contatterà a breve.
Grazie per aver inviato la vostra prenotazione! Un membro del nostro team vi contatterà a breve.
Struttura del corso
Sessione 1 e 2: Concetti di base e avanzati dell'architettura IoT dal punto di vista della sicurezza
- Breve storia dell'evoluzione delle tecnologie IoT
- Modelli di dati nel sistema IoT – definizione e architettura di sensori, attuatori, dispositivi, gateway, protocolli di comunicazione
- Dispositivi di terze parti e rischi associati alla catena di approvvigionamento dei fornitori
- Ecosistema tecnologico - fornitori di dispositivi, fornitori di gateway, fornitori di analisi, fornitori di piattaforme, integratori di sistemi - rischio associato a tutti i fornitori
- IoT distribuito basato sull'edge vs IoT centrale basato sul cloud: valutazione dei vantaggi e dei rischi
- Livelli di gestione nel sistema IoT – Gestione della flotta, gestione degli asset, Onboarding/Deboarding dei sensori, Digital Twins. Rischio di autorizzazioni nei livelli di gestione
- Demo dei sistemi di gestione IoT - AWS, Microsoft Azure e altri gestori di flotte
- Introduzione ai protocolli di comunicazione IoT più diffusi – Zigbee/NB-IoT/5G/LORA/Witespec – revisione della vulnerabilità nei livelli del protocollo di comunicazione
- Comprendere l'intero stack tecnologico dell'IoT con una revisione della gestione del rischio
Sessione 3: Una check-list di tutti i rischi e i problemi di sicurezza nell'IoT
- Firmware Patching: la pancia molle dell'IoT
- Revisione dettagliata della sicurezza dei protocolli di comunicazione IoT - Livelli di trasporto ( NB-IoT, 4G, 5G, LORA, Zigbee ecc. ) e Livelli applicativi - MQTT, Web Socket ecc.
- Vulnerabilità degli endpoint dell'API - elenco di tutte le possibili API nell'architettura IoT
- Vulnerabilità dei dispositivi e dei servizi Gate way
- Vulnerabilità dei sensori connessi - Comunicazione gateway
- Vulnerabilità della comunicazione tra gateway e server
- Vulnerabilità dei servizi Cloud Database nell'IoT
- Vulnerabilità dei livelli applicativi
- Vulnerabilità del servizio di gestione del gateway - Locale e basato su cloud
- Rischio di gestione dei log nell'architettura edge e non edge
Sessione 4: Modello OSASP della sicurezza IoT, Top 10 dei rischi per la sicurezza
- I1 Interfaccia Web non sicura
- I2 Autenticazione/autorizzazione insufficiente
- I3 Servizi di rete non sicuri
- I4 Mancanza di crittografia del trasporto
- I5 Problemi di privacy
- I6 Interfaccia cloud non sicura
- I7 Interfaccia mobile non sicura
- I8 Configurabilità di sicurezza insufficiente
- I9 Software/firmware non sicuro
- I10 Scarsa sicurezza fisica
Sessione 5: Revisione e demo di AWS-IoT e Azure principio di sicurezza IoT
- Modello di minaccia Microsoft - STRIDE
- Dettagli del modello STRIDE
- Dispositivo di sicurezza, gateway e comunicazione server – Crittografia asimmetrica
- Certificazione X.509 per la distribuzione a chiave pubblica
- SAS Chiavi
- Rischi e tecniche OTA di massa
- Sicurezza delle API per i portali delle applicazioni
- Disattivazione e scollegamento del dispositivo non autorizzato dal sistema
- Vulnerabilità dei principi di sicurezza AWS/Azure
Sessione 6: Revisione dell'evoluzione degli standard/raccomandazioni NIST per l'IoT
- Revisione dello standard NISTIR 8228 per la sicurezza IoT - Modello di valutazione del rischio in 30 punti
- Integrazione e identificazione di dispositivi di terze parti
- Identificazione e tracciamento del servizio
- Identificazione e tracciamento dell'hardware
- Identificazione della sessione di comunicazione
- Management Identificazione e registrazione delle transazioni
- Gestione e monitoraggio dei log
Sessione 7: Protezione del firmware/dispositivo
- Protezione della modalità di debug in un firmware
- Sicurezza fisica dell'hardware
- Crittografia hardware – PUF (Physically Unclonable Function) - protezione EPROM
- PUF pubblico, PPUF
- Nano PUF
- Classificazione nota dei Malware nel Firmware ( 18 famiglie secondo la regola YARA )
- Studio di alcuni dei più diffusi Firmware Malware -MIRAI, BrickerBot, GoScanSSH, Hydra ecc.
Sessione 8: Casi di studio di attacchi IoT
- Il 21 ottobre 2016, un enorme attacco DDoS è stato lanciato contro i server DNS Dyn e ha chiuso molti servizi web tra cui Twitter. Gli hacker hanno sfruttato le password e i nomi utente predefiniti di webcam e altri dispositivi IoT e hanno installato la botnet Mirai su dispositivi IoT compromessi. Questo attacco sarà studiato in dettaglio
- Le telecamere IP possono essere violate attraverso attacchi di buffer overflow
- Le lampadine Philips Hue sono state violate attraverso il protocollo di collegamento ZigBee
- SQL Gli attacchi injection sono stati efficaci contro i dispositivi IoT Belkin
- Attacchi di cross-site scripting (XSS) che hanno sfruttato l'applicazione WeMo Belkin e hanno accesso a dati e risorse a cui l'app può accedere
Sessione 9: Protezione dell'IoT distribuito tramite Distributer Ledger – BlockChain e DAG (IOTA) [3 ore]
- Tecnologia di registro distribuito: DAG Ledger, Hyper Ledger, BlockChain
- PoW, PoS, Tangle – un confronto tra i metodi di consenso
- Differenza tra Blockchain, DAG e Hyperledger – un confronto tra il loro funzionamento e le loro prestazioni rispetto alla decentralizzazione
- Prestazioni offline in tempo reale dei diversi sistemi DLT
- Rete P2P, Chiave Privata e Pubblica: concetti di base
- Come viene implementato il sistema di contabilità pratica: revisione di alcune architetture di ricerca
- IOTA e Tangle- DLT per IoT
- Alcuni esempi pratici di applicazioni da smart city, macchine intelligenti, auto intelligenti
Sessione 10: L'architettura delle best practice per la sicurezza IoT
- Tracciamento e identificazione di tutti i servizi nei Gateway
- Non usare mai l'indirizzo MAC: usa invece l'ID pacchetto
- Utilizzare la gerarchia di identificazione per i dispositivi: ID scheda, ID dispositivo e ID pacchetto
- Strutturare l'applicazione di patch del firmware al perimetro e in modo conforme all'ID servizio
- PUF per EPROM
- Proteggi i rischi dei portali/applicazioni di gestione IoT tramite due livelli di autenticazione
- Proteggi tutte le API: definisci i test e la gestione delle API
- Identificazione e integrazione dello stesso principio di sicurezza nella Logistica Supply Chain
- Ridurre al minimo la vulnerabilità delle patch dei protocolli di comunicazione IoT
Sessione 11: Stesura dei criteri di sicurezza IoT per l'organizzazione
- Definire il lessico della sicurezza IoT / Tensioni
- Suggerire le migliori pratiche per l'autenticazione, l'identificazione, l'autorizzazione
- Identificazione e classificazione degli asset critici
- Identificazione dei perimetri e isolamento per l'applicazione
- Criteri per la protezione delle risorse critiche, delle informazioni critiche e dei dati sulla privacy
Requisiti
- Dispositivi di conoscenza di base, sistemi elettronici e sistemi di dati
- Conoscenza di base di software e sistemi
- Conoscenza di base della statistica (nei livelli Excel)
- Comprensione dei Telecomverticali di comunicazione
Sommario
- Un programma di formazione avanzata che copre l'attuale stato dell'arte della sicurezza dell'Internet of Things
- Copre tutti gli aspetti della sicurezza del firmware, del middleware e dei protocolli di comunicazione IoT
- Il corso fornisce una visione a 360 gradi di tutti i tipi di iniziative di sicurezza nel dominio IoT per coloro che non hanno una profonda familiarità con gli standard, l'evoluzione e il futuro dell'IoT
- Indagine più approfondita sulle vulnerabilità di sicurezza nel firmware, nei protocolli di comunicazione wireless, nella comunicazione da dispositivo a cloud.
- Attraversare più domini tecnologici per sviluppare la consapevolezza della sicurezza nei sistemi IoT e nei suoi componenti
- Demo dal vivo di alcuni degli aspetti di sicurezza di gateway, sensori e cloud applicativi IoT
- Il corso spiega anche 30 principali considerazioni sui rischi degli standard NIST attuali e proposti per la sicurezza IoT
- Modello OSWAP per la sicurezza IoT
- Fornisce linee guida dettagliate per la stesura di standard di sicurezza IoT per un'organizzazione
Target
Ingegneri/manager/esperti di sicurezza incaricati di sviluppare progetti IoT o di controllare/rivedere i rischi per la sicurezza.
21 ore
Recensioni (1)
How friendly the trainer was. The flexibility and answering my questions.