Programa del Curso

Sesión 1 y 2: Conceptos básicos y avanzados de la arquitectura IoT desde la perspectiva de la seguridad

  • Breve historia de la evolución de las tecnologías IoT
  • Modelos de datos en sistemas IoT: definición y arquitectura de sensores, actuadores, dispositivos, pasarelas, protocolos de comunicación
  • Dispositivos de terceros y riesgos asociados con la cadena de suministro de los proveedores
  • Ecosistema tecnológico: proveedores de dispositivos, proveedores de puertas de enlace, proveedores de análisis, proveedores de plataformas, integrador de sistemas: riesgo asociado con todos los proveedores
  • IoT distribuido impulsado por el perímetro frente a IoT central impulsado por la nube: ventaja frente a evaluación de riesgos
  • Capas de gestión en sistema IoT – Gestión de flotas, gestión de activos, Onboarding/Deboarding de sensores, Gemelos Digitales. Riesgo de autorizaciones en capas de gestión
  • Demostración de los sistemas de gestión de IoT: AWS, Microsoft Azure y otros gestores de flotas
  • Introducción a los protocolos de comunicación populares de IoT – Zigbee/NB-IoT/5G/LORA/Witespec – revisión de la vulnerabilidad en las capas de protocolo de comunicación
  • Comprender toda la pila tecnológica de IoT con una revisión de la gestión de riesgos

Sesión 3: Una lista de verificación de todos los riesgos y problemas de seguridad en IoT

  • Aplicación de parches de firmware: la barriga blanda de IoT
  • Revisión detallada de la seguridad de los protocolos de comunicación de IoT: capas de transporte (NB-IoT, 4G, 5G, LORA, Zigbee, etc.) y capas de aplicación: MQTT, Web Socket, etc.
  • Vulnerabilidad de los puntos finales de la API: lista de todas las API posibles en la arquitectura de IoT
  • Vulnerabilidad de los dispositivos y servicios de la puerta de embarque
  • Vulnerabilidad de los sensores conectados -Comunicación de puerta de enlace
  • Vulnerabilidad de la comunicación entre la puerta de enlace y el servidor
  • Vulnerabilidad de los servicios de bases de datos en la nube en IoT
  • Vulnerabilidad de las capas de aplicación
  • Vulnerabilidad del servicio de administración de puertas de enlace: local y basado en la nube
  • Riesgo de la administración de registros en arquitecturas perimetrales y no perimetrales

Sesión 4: Modelo OSASP de seguridad de IoT, los 10  principales riesgos de seguridad

  • I1 Interfaz web insegura
  • I2 Autenticación/Autorización Insuficiente
  • Servicios de red inseguros de I3
  • I4 Falta de cifrado de transporte
  • Preocupaciones sobre la privacidad de I5
  • Interfaz en la nube insegura de I6
  • Interfaz móvil insegura de i7
  • I8 Configurabilidad de seguridad insuficiente
  • i9 Software/firmware inseguro
  • I10 Seguridad física deficiente

Sesión 5: Revisión y demostración de los principios de seguridad de AWS-IoT y Azure IoT

  • Modelo de amenazas de Microsoft: STRIDE
  • Detalles del modelo STRIDE
  • Dispositivo de seguridad, puerta de enlace y comunicación con servidor: cifrado asimétrico
  • Certificación X.509 para la distribución de claves públicas
  • SAS Claves
  • Riesgos y técnicas de OTA a granel
  • Seguridad de API para portales de aplicaciones
  • Desactivación y desvinculación de dispositivos maliciosos del sistema
  • Vulnerabilidad de los principios de seguridad de AWS/Azure

Sesión 6: Revisión de la evolución de los estándares/recomendaciones del NIST para IoT

  • Revisión del estándar NISTIR 8228 para la seguridad de IoT -Modelo de consideración de riesgo de 30 puntos
  • Integración e identificación de dispositivos de terceros
  • Identificación y seguimiento del servicio
  • Identificación y seguimiento de hardware
  • Identificación de la sesión de comunicación
  • Management Identificación y registro de transacciones
  • Gestión y seguimiento de registros

Sesión 7: Protección del firmware/dispositivo

  • Protección del modo de depuración en un firmware
  • Seguridad física del hardware
  • Criptografía de hardware - PUF (función físicamente no clonable) - EPROM de seguridad
  • PUF público, PPUF
  • Nano PUF
  • Clasificación conocida de los Malwares en Firmware ( 18 familias según la regla YARA )
  • Estudio de algunos de los programas maliciosos de firmware más populares: MIRAI, BrickerBot, GoScanSSH, Hydra, etc.

Sesión 8: Casos de estudio de ataques de IoT

  • El 21 de octubre de 2016, se desplegó un gran ataque DDoS contra los servidores DNS de Dyn y se cerraron muchos servicios web, incluido Twitter. Los piratas informáticos explotaron las contraseñas predeterminadas y los nombres de usuario de las cámaras web y otros dispositivos IoT, e instalaron la botnet Mirai en dispositivos IoT comprometidos. Este ataque será estudiado en detalle
  • Las cámaras IP pueden ser hackeadas a través de ataques de desbordamiento de búfer
  • Las bombillas Philips Hue fueron hackeadas a través de su protocolo de enlace ZigBee
  • SQL Los ataques de inyección fueron efectivos contra los dispositivos IoT de Belkin
  • Ataques de secuencias de comandos entre sitios (XSS) que explotaron la aplicación WeMo de Belkin y accedieron a los datos y recursos a los que puede acceder la aplicación

Sesión 9: Protección de IoT distribuido a través de Distributer Ledger – BlockChain y DAG (IOTA) [3 horas]

  • Tecnología de contabilidad distribuida: DAG Ledger, Hyper Ledger, BlockChain
  • PoW, PoS, Tangle: una comparación de los métodos de consenso
  • Diferencia entre Blockchain, DAG y Hyperledger: una comparación de su trabajo vs rendimiento vs descentralización
  • Rendimiento en tiempo real y fuera de línea de los diferentes sistemas DLT
  • Red P2P, clave privada y pública: conceptos básicos
  • Cómo se implementa el sistema de contabilidad en la práctica: revisión de algunas arquitecturas de investigación
  • IOTA y Tangle- DLT para IoT
  • Algunos ejemplos de aplicación práctica de ciudades inteligentes, máquinas inteligentes, coches inteligentes

Sesión 10: La arquitectura de mejores prácticas para la seguridad de IoT

  • Seguimiento e identificación de todos los servicios en Gateways
  • Nunca use la dirección MAC: use la identificación del paquete en su lugar
  • Utilice la jerarquía de identificación para los dispositivos: ID de placa, ID de dispositivo e ID de paquete
  • Estructurar la aplicación de parches de firmware en el perímetro y ajustarse al ID de servicio
  • PUF para EPROM
  • Proteja los riesgos de los portales/aplicaciones de administración de IoT mediante dos capas de autenticación
  • Proteja todas las API: defina las pruebas de API y la gestión de API
  • Identificación e integración del mismo principio de seguridad en la Cadena de Suministro Logístico
  • Minimice la vulnerabilidad de parches de los protocolos de comunicación de IoT

Sesión 11: Redacción de la política de seguridad de IoT para su organización

  • Definir el léxico de la seguridad de IoT / Tensiones
  • Sugerir las mejores prácticas para la autenticación, identificación y autorización
  • Identificación y clasificación de Activos Críticos
  • Identificación de perímetros y aislamientos para aplicación
  • Política para proteger los activos críticos, la información crítica y los datos de privacidad

 

Requerimientos

  • Conocimientos básicos dispositivos, sistemas electrónicos y sistemas de datos
  • Conocimientos básicos de software y sistemas
  • Conocimientos básicos de Estadística (en niveles de Excel)
  • Comprensión de Telecommunication Verticals

Resumen

  • Un programa de formación avanzada que cubre el estado actual de la seguridad del Internet de las Cosas
  • Cubre todos los aspectos de la seguridad del firmware, el middleware y los protocolos de  comunicación IoT
  • El curso proporciona una visión de 360 grados de todo tipo de iniciativas de seguridad en el dominio de IoT para aquellos que no están profundamente familiarizados con los estándares, la evolución y el futuro de IoT
  • Profundización en las vulnerabilidades de seguridad en el firmware, los protocolos de comunicación inalámbrica y  la comunicación entre dispositivos y nubes.
  • Abarcar múltiples dominios tecnológicos para desarrollar la conciencia de la seguridad en  los sistemas de IoT y sus componentes
  • .
  • Demostración en vivo de algunos de los aspectos de seguridad de las puertas de enlace, los sensores y las nubes de aplicaciones de IoT
  • El curso también explica 30 consideraciones de riesgo principales de los estándares NIST actuales y propuestos para la seguridad de  IoT
  • Modelo OSWAP para la seguridad de IoT
  • Proporciona una guía detallada para redactar estándares de seguridad de IoT para una organización

 

Público objetivo 

Ingenieros/gerentes/expertos en seguridad asignados para desarrollar proyectos de IoT o auditar/revisar riesgos de seguridad.

  21 horas
 

Número de participantes


Comienza

Termina


Dates are subject to availability and take place between 09:30 and 16:30.
Los cursos de formación abiertos requieren más de 5 participantes.

Testimonios (1)

Cursos Relacionados

Internet de las Cosas (IoT) para Empresarios, Gerentes e Inversores

  21 horas

Inteligencia de Negocios de Big Data para Agencias del Gobierno

  35 horas

Industrial IoT (Internet of Things) para profesionales de fabricación

  21 horas

Categorías Relacionadas