Struttura del corso

Sessione 1 e 2: Concetti di base e avanzati dell'architettura IoT dal punto di vista della sicurezza

  • Breve storia dell'evoluzione delle tecnologie IoT
  • Modelli di dati nel sistema IoT – definizione e architettura di sensori, attuatori, dispositivi, gateway, protocolli di comunicazione
  • Dispositivi di terze parti e rischi associati alla catena di approvvigionamento dei fornitori
  • Ecosistema tecnologico - fornitori di dispositivi, fornitori di gateway, fornitori di analisi, fornitori di piattaforme, integratori di sistemi - rischio associato a tutti i fornitori
  • IoT distribuito basato sull'edge vs IoT centrale basato sul cloud: valutazione dei vantaggi e dei rischi
  • Livelli di gestione nel sistema IoT – Gestione della flotta, gestione degli asset, Onboarding/Deboarding dei sensori, Digital Twins. Rischio di autorizzazioni nei livelli di gestione
  • Demo dei sistemi di gestione IoT - AWS, Microsoft Azure e altri gestori di flotte
  • Introduzione ai protocolli di comunicazione IoT più diffusi – Zigbee/NB-IoT/5G/LORA/Witespec – revisione della vulnerabilità nei livelli del protocollo di comunicazione
  • Comprendere l'intero stack tecnologico dell'IoT con una revisione della gestione del rischio

Sessione 3: Una check-list di tutti i rischi e i problemi di sicurezza nell'IoT

  • Firmware Patching: la pancia molle dell'IoT
  • Revisione dettagliata della sicurezza dei protocolli di comunicazione IoT - Livelli di trasporto ( NB-IoT, 4G, 5G, LORA, Zigbee ecc. ) e Livelli applicativi - MQTT, Web Socket ecc.
  • Vulnerabilità degli endpoint dell'API - elenco di tutte le possibili API nell'architettura IoT
  • Vulnerabilità dei dispositivi e dei servizi Gate way
  • Vulnerabilità dei sensori connessi - Comunicazione gateway
  • Vulnerabilità della comunicazione tra gateway e server
  • Vulnerabilità dei servizi Cloud Database nell'IoT
  • Vulnerabilità dei livelli applicativi
  • Vulnerabilità del servizio di gestione del gateway - Locale e basato su cloud
  • Rischio di gestione dei log nell'architettura edge e non edge

Sessione 4: Modello OSASP della sicurezza IoT, Top 10  dei rischi per la sicurezza

  • I1 Interfaccia Web non sicura
  • I2 Autenticazione/autorizzazione insufficiente
  • I3 Servizi di rete non sicuri
  • I4 Mancanza di crittografia del trasporto
  • I5 Problemi di privacy
  • I6 Interfaccia cloud non sicura
  • I7 Interfaccia mobile non sicura
  • I8 Configurabilità di sicurezza insufficiente
  • I9 Software/firmware non sicuro
  • I10 Scarsa sicurezza fisica

Sessione 5: Revisione e demo di AWS-IoT e Azure principio di sicurezza IoT

  • Modello di minaccia Microsoft - STRIDE
  • Dettagli del modello STRIDE
  • Dispositivo di sicurezza, gateway e comunicazione server – Crittografia asimmetrica
  • Certificazione X.509 per la distribuzione a chiave pubblica
  • SAS Chiavi
  • Rischi e tecniche OTA di massa
  • Sicurezza delle API per i portali delle applicazioni
  • Disattivazione e scollegamento del dispositivo non autorizzato dal sistema
  • Vulnerabilità dei principi di sicurezza AWS/Azure

Sessione 6: Revisione dell'evoluzione degli standard/raccomandazioni NIST per l'IoT

  • Revisione dello standard NISTIR 8228 per la sicurezza IoT - Modello di valutazione del rischio in 30 punti
  • Integrazione e identificazione di dispositivi di terze parti
  • Identificazione e tracciamento del servizio
  • Identificazione e tracciamento dell'hardware
  • Identificazione della sessione di comunicazione
  • Management Identificazione e registrazione delle transazioni
  • Gestione e monitoraggio dei log

Sessione 7: Protezione del firmware/dispositivo

  • Protezione della modalità di debug in un firmware
  • Sicurezza fisica dell'hardware
  • Crittografia hardware – PUF (Physically Unclonable Function) - protezione EPROM
  • PUF pubblico, PPUF
  • Nano PUF
  • Classificazione nota dei Malware nel Firmware ( 18 famiglie secondo la regola YARA )
  • Studio di alcuni dei più diffusi Firmware Malware -MIRAI, BrickerBot, GoScanSSH, Hydra ecc.

Sessione 8: Casi di studio di attacchi IoT

  • Il 21 ottobre 2016, un enorme attacco DDoS è stato lanciato contro i server DNS Dyn e ha chiuso molti servizi web tra cui Twitter. Gli hacker hanno sfruttato le password e i nomi utente predefiniti di webcam e altri dispositivi IoT e hanno installato la botnet Mirai su dispositivi IoT compromessi. Questo attacco sarà studiato in dettaglio
  • Le telecamere IP possono essere violate attraverso attacchi di buffer overflow
  • Le lampadine Philips Hue sono state violate attraverso il protocollo di collegamento ZigBee
  • SQL Gli attacchi injection sono stati efficaci contro i dispositivi IoT Belkin
  • Attacchi di cross-site scripting (XSS) che hanno sfruttato l'applicazione WeMo Belkin e hanno accesso a dati e risorse a cui l'app può accedere

Sessione 9: Protezione dell'IoT distribuito tramite Distributer Ledger – BlockChain e DAG (IOTA) [3 ore]

  • Tecnologia di registro distribuito: DAG Ledger, Hyper Ledger, BlockChain
  • PoW, PoS, Tangle – un confronto tra i metodi di consenso
  • Differenza tra Blockchain, DAG e Hyperledger – un confronto tra il loro funzionamento e le loro prestazioni rispetto alla decentralizzazione
  • Prestazioni offline in tempo reale dei diversi sistemi DLT
  • Rete P2P, Chiave Privata e Pubblica: concetti di base
  • Come viene implementato il sistema di contabilità pratica: revisione di alcune architetture di ricerca
  • IOTA e Tangle- DLT per IoT
  • Alcuni esempi pratici di applicazioni da smart city, macchine intelligenti, auto intelligenti

Sessione 10: L'architettura delle best practice per la sicurezza IoT

  • Tracciamento e identificazione di tutti i servizi nei Gateway
  • Non usare mai l'indirizzo MAC: usa invece l'ID pacchetto
  • Utilizzare la gerarchia di identificazione per i dispositivi: ID scheda, ID dispositivo e ID pacchetto
  • Strutturare l'applicazione di patch del firmware al perimetro e in modo conforme all'ID servizio
  • PUF per EPROM
  • Proteggi i rischi dei portali/applicazioni di gestione IoT tramite due livelli di autenticazione
  • Proteggi tutte le API: definisci i test e la gestione delle API
  • Identificazione e integrazione dello stesso principio di sicurezza nella Logistica Supply Chain
  • Ridurre al minimo la vulnerabilità delle patch dei protocolli di comunicazione IoT

Sessione 11: Stesura dei criteri di sicurezza IoT per l'organizzazione

  • Definire il lessico della sicurezza IoT / Tensioni
  • Suggerire le migliori pratiche per l'autenticazione, l'identificazione, l'autorizzazione
  • Identificazione e classificazione degli asset critici
  • Identificazione dei perimetri e isolamento per l'applicazione
  • Criteri per la protezione delle risorse critiche, delle informazioni critiche e dei dati sulla privacy

 

Requisiti

  • Dispositivi di conoscenza di base, sistemi elettronici e sistemi di dati
  • Conoscenza di base di software e sistemi
  • Conoscenza di base della statistica (nei livelli Excel)
  • Comprensione dei Telecomverticali di comunicazione

Sommario

  • Un programma di formazione avanzata che copre l'attuale stato dell'arte della sicurezza dell'Internet of Things
  • Copre tutti gli aspetti della sicurezza del firmware, del middleware e dei protocolli di  comunicazione IoT
  • Il corso fornisce una visione a 360 gradi di tutti i tipi di iniziative di sicurezza nel dominio IoT per coloro che non hanno una profonda familiarità con gli standard, l'evoluzione e il futuro dell'IoT
  • Indagine più approfondita sulle vulnerabilità di sicurezza nel firmware, nei protocolli di comunicazione wireless,  nella comunicazione da dispositivo a cloud.
  • Attraversare più domini tecnologici per sviluppare la consapevolezza della sicurezza nei sistemi IoT e nei  suoi componenti
  • Demo dal vivo di alcuni degli aspetti di sicurezza di gateway, sensori e cloud applicativi IoT
  • Il corso spiega anche 30 principali considerazioni sui rischi degli  standard NIST attuali e proposti per la sicurezza IoT
  • Modello OSWAP per la sicurezza IoT
  • Fornisce linee guida dettagliate per la stesura di standard di sicurezza IoT per un'organizzazione

 

Target 

Ingegneri/manager/esperti di sicurezza incaricati di sviluppare progetti IoT o di controllare/rivedere i rischi per la sicurezza.

  21 ore
 

Numero di Partecipanti


Data Inizio

Data Fine


Le date sono soggette a disponibilità e si svolgono tra le 09:30 e le 16:30.
I corsi di formazione pubblici richiedono più di 5 partecipanti.

Recensioni (1)

Corsi relativi

IoT ( Internet of Things) for Entrepreneurs, Managers and Investors

  21 ore

Big Data Business Intelligence for Govt. Agencies

  35 ore

Industrial IoT (Internet of Things) for Manufacturing Professionals

  21 ore

IoT Security

  21 ore

Categorie relative