Obrigado por enviar sua consulta! Um dos membros da nossa equipe entrará em contato com você em breve.
Obrigado por enviar sua reserva! Um dos membros da nossa equipe entrará em contato com você em breve.
Programa do Curso
Sessão 1 & 2: Conceitos básicos e avançados de arquitetura IoT sob a perspectiva de segurança
- Uma breve história da evolução das tecnologias IoT
- Modelos de dados em sistemas IoT – definição e arquitetura de sensores, atuadores, dispositivos, gateway e protocolos de comunicação
- Dispositivos de terceiros e riscos associados à cadeia de suprimentos dos fornecedores
- Ecossistema tecnológico – provedores de dispositivos, gateways, análise, plataformas, integradores de sistemas - riscos associados a todos os fornecedores
- IoT distribuído por borda vs. IoT centralizado por nuvem: vantagens vs. avaliação de risco
- Camadas de gerenciamento em sistemas IoT – gestão de frota, gestão de ativos, onboarding/deboarding de sensores, Digital Twins. Riscos de autorizações nas camadas de gerenciamento
- Demonstração de sistemas de gestão IoTAWS, Microsoft Azure e outros gerenciadores de frota
- Introdução a protocolos populares de comunicação IoT – Zigbee/NB-IoT/5G/LORA/Witespec – revisão das vulnerabilidades nas camadas de protocolos de comunicação
- Compreensão de toda a pilha tecnológica do IoT com uma revisão da gestão de riscos
Sessão 3: Lista de verificação de todos os riscos e problemas de segurança em IoT
- Atualização de firmware - o ponto fraco do IoT
- Revisão detalhada da segurança dos protocolos de comunicação IoTCamadas de transporte (NB-IoT, 4G, 5G, LORA, Zigbee etc.) e Camadas de aplicação – MQTT, Web Socket etc.
- Vulnerabilidade de pontos finais API - lista de todos os possíveis APIs na arquitetura IoT
- Vulnerabilidade de dispositivos e serviços de gateway
- Vulnerabilidade de sensores conectados - comunicação com gateway
- Vulnerabilidade da comunicação gateway-servidor
- Vulnerabilidade dos serviços de banco de dados em nuvem IoT
- Vulnerabilidade das camadas de aplicação
- Vulnerabilidade do serviço de gestão de gatewayLocal e baseado em nuvem
- Risco da gestão de logs em arquiteturas de borda e não-borda
Sessão 4: Modelo OSASP de segurança IoT, Top 10 riscos de segurança
- I1 Interface Web Insegura
- I2 Autenticação/Autorização Insuficiente
- I3 Serviços de Rede Inseguros
- I4 Falta de Criptografia no Transporte
- I5 Preocupações com Privacidade
- I6 Interface de Nuvem Insegura
- I7 Interface Móvel Insegura
- I8 Configurabilidade de Segurança Insuficiente
- I9 Software/Firmware Inseguro
- I10 Segurança Física Pobre
Sessão 5: Revisão e Demonstração dos Princípios de Segurança AWS-IoT e Azure IoT
- Modelo de Ameaças da Microsoft – STRIDE
Detalhes do Modelo STRIDE
- Segurança na comunicação entre dispositivos, gateway e servidor – criptografia assimétrica
- Certificação X.509 para distribuição de chave pública
- Chaves SAS
- Riscos e técnicas de atualização em massa OTA
- Segurança de APIs para portais de aplicativos
- Desativação e desvinculação de dispositivos maliciosos do sistema
- Vulnerabilidade dos princípios de segurança AWS/Azure
Sessão 6: Revisão das Normas/Recomendações Evolutivas da NIST para IoT
Revisão do padrão NISTIR 8228 para segurança IoT - Modelo de 30 considerações de risco
Integração e identificação de dispositivos de terceiros
- Identificação e acompanhamento de serviços
- Identificação e rastreamento de hardware
- Identificação de sessões de comunicação
- Identificação e registro de transações de gestão
- Gestão e rastreamento de logs
Sessão 7: Segurança do Firmware/Dispositivo
Segurança do modo de depuração em um firmware
Segurança física do hardware
- Criptografia de hardware – PUF (Função Física Inclonável) - protegendo EPROM
- Public PUF, PPUF
- Nano PUF
- Classificação conhecida de malwares em firmware (18 famílias de acordo com a regra YARA)
- Estudo de alguns malwares populares de firmware - MIRAI, BrickerBot, GoScanSSH, Hydra etc.
Sessão 8: Casos de Ataques IoT
- Em 21 de outubro de 2016, um grande ataque DDoS foi lançado contra os servidores DNS da Dyn e derrubou muitos serviços web, incluindo o Twitter. Os hackers exploraram senhas e nomes de usuário padrão de câmeras e outros dispositivos IoT, instalando o botnet Mirai em dispositivos IoT comprometidos. Este ataque será estudado em detalhes.
- Câmeras IP podem ser hackeadas por meio de ataques de estouro de buffer
- As lâmpadas Philips Hue foram hackeadas através do protocolo ZigBee link
- Ataques de injeção SQL foram eficazes contra dispositivos IoT da Belkin
- Ataques de script entre sites (XSS) que exploraram o aplicativo Belkin WeMo e acessaram dados e recursos que o app pode acessar
Sessão 9: Segurança Distribuída IoT via Ledger Distribuído – Blockchain e DAG (IOTA) [3 horas]
Tecnologia de ledger distribuído – Ledger DAG, Hyper Ledger, Blockchain
PoW, PoS, Tangle – comparação dos métodos de consenso
- Diferença entre Blockchain, DAG e Hyperledger – comparação do funcionamento vs. desempenho vs. descentralização
- Desempenho em tempo real, offline dos diferentes sistemas de ledger distribuído
- Rede P2P, Chaves Privadas e Públicas – conceitos básicos
- Como o sistema de ledger é implementado na prática – revisão de algumas arquiteturas de pesquisa
- IOTA e TangleDLT para IoT
- Exemplos práticos de aplicativos em cidades inteligentes, máquinas inteligentes, carros inteligentes
Sessão 10: Melhores Práticas de Arquitetura para Segurança IoT
- Rastreamento e identificação de todos os serviços nos gateways
- Nunca use endereços MAC – use IDs de pacote em vez disso
- Use hierarquia de identificação para dispositivosID da placa, ID do dispositivo e ID do pacote
- Estruture a atualização de firmware para perímetro e conforme o ID do serviço
- PUF para EPROM
- Segure os riscos dos portais/aplicativos de gestão IoT com duas camadas de autenticação
- Segurança de todas as APIDefina testes e gestão de API
- Identificação e integração do mesmo princípio de segurança na cadeia de suprimentos logística
- Minimize a vulnerabilidade de atualização dos protocolos de comunicação IoT
Sessão 11: Elaboração de Políticas de Segurança IoT para sua Organização
- Defina o léxico da segurança IoT / Tensões
- Sugira as melhores práticas para autenticação, identificação e autorização
- Identificação e classificação de Ativos Críticos
- Identificação de perímetros e isolamento para aplicativos
- Políticas para proteger ativos críticos, informações críticas e dados privados
Requisitos
- Conhecimento básico de dispositivos, sistemas eletrônicos e sistemas de dados
- Entendimento básico de software e sistemas
- Entendimento básico de Estatística (nível Excel)
- Conhecimento sobre Verticals de Telecomunicações
Resumo
- Um programa avançado de treinamento cobrindo o estado da arte em segurança do Internet das Coisas
- Aborda todos os aspectos de segurança de firmwares, middleware e protocolos de comunicação IoT
- O curso oferece uma visão de 360 graus de todas as iniciativas de segurança no domínio do IoT para aqueles que não estão profundamente familiarizados com padrões, evolução e futuro do IoT
- Explora mais profundamente vulnerabilidades em firmwares, protocolos de comunicação sem fio e comunicação dispositivo-nuvem.
- Abordagem através de múltiplos domínios tecnológicos para desenvolver conscientização sobre segurança em sistemas IoT e seus componentes
- Demonstração ao vivo de alguns aspectos de segurança de gateways, sensores e aplicativos de nuvem IoT
- O curso também explica 30 considerações principais de risco dos padrões atuais e propostos da NIST para segurança IoT
- Modelo OWASP para segurança IoT
- Fornece diretrizes detalhadas para a elaboração de padrões de segurança IoT para uma organização
Público-Alvo
Engenheiros/gerentes/especialistas em segurança que são responsáveis por desenvolver projetos de IoT ou auditar/revisar riscos de segurança.
21 Horas
Declaração de Clientes (1)
Quão amigável o instrutor foi. A flexibilidade e a resposta às minhas perguntas.
Saed El-kayed - International Committee of the Red Cross (ICRC)
Curso - IoT Security
Máquina Traduzida
