跳至主要内容
ESCRYPT 安全培训

汽车和嵌入式系统安全高级培训

一队专业人员参加网络安全培训课程,使用笔记本电脑和一块显示盾牌图标的演示板进行讨论和合作,盾牌图标象征着安全和保护。

ETAS 的 ESCRYPT 安全培训利用了从众多行业项目中积累的多年嵌入式安全经验。我们的课程包含丰富的实际案例,并针对最新的技术发展。这些课程基于我们对嵌入式设备安全的深入理解,为开发安全技术奠定了基础。

联系我们
下载宣传单

您的获益

经验丰富的培训师

受益于超过 15 年的汽车安全经验。

行业洞察

从众多客户项目中获取最新知识。

证书

结业时获得出席证书

车载 - 汽车安全培训

很少有什么事情能像自动驾驶汽车的前景一样激起汽车界如此强烈的情感共鸣。有些人认为自动驾驶汽车在舒适性、便利性和安全性方面将带来巨大的提升,而另一些人则担心黑客会攻击他们的车辆。然而,在自动驾驶汽车出现之前,汽车对有效嵌入式安全的需求就已经开始上升。今天的车辆已经需要防止里程表被篡改、车辆电子设备被非法访问以及许多其他威胁。

安全培训 为汽车行业提供专门的 IT 安全知识。我们采用全面的方法,从 安全 ECU 设计,以确保车载网络和联网汽车的安全.实践练习和实例是对培训的补充。

  • 时间:2 天
  • 级别:高级

与会者

  • 需要深入了解汽车安全原理的产品或项目经理,以便对 ECU、车载网络或联网汽车服务进行安全设计
  • 负责分析和定义安全要求和安全概念的汽车产品工程师

培训目标

  • 了解当前汽车安全的各个方面。
  • 制定汽车安全的整体观点
  • 了解开发安全 ECU 所面临的挑战和解决方案
  • 了解安全联网的挑战和可能性
  • 了解安全联网汽车的挑战和可能性
  • 学习如何将学习章节中的理论应用到实际案例中
  • 了解最重要的汽车安全标准

要求

  • 对汽车系统有基本的技术了解(工程级别)
  • 对密码学和 IT 安全有基本的技术了解(即安全产品设计知识或同等知识)

培训内容既包括基本的连接主题,也包括物联网协议和技术的详细信息。

  • 时间1 天
  • 级别:高级

与会者

  • 需要深入了解联网或物联网产品安全设计的产品或项目经理
  • 负责分析和定义联网或物联网产品的安全要求和安全概念的产品工程师

培训目标

  • 了解与连接有关的独特安全问题
  • 了解高级访问控制的重要方面
  • 建立有关安全协议配置和隐患的总体知识
  • 了解有关物联网协议的基础知识
  • 了解界面面临的威胁以及如何减轻这些威胁
  • 了解网络服务的基本知识和可能存在的漏洞

要求

对数学和信息技术有基本的技术了解(工程级别)

对密码学和 IT 安全有基本的技术了解(即安全产品设计知识或同等知识)

基础 IT 安全培训,涵盖产品开发的组织和技术方面。培训重点是传统和敏捷开发流程中的安全任务、密码学和基本 IT 安全措施。

  • 时间:2 天
  • 级别:基本

与会者

  • 需要扎实了解安全产品设计所需的一般安全原则、流程和工具的产品或项目经理
  • 负责分析和定义安全要求以及定义安全概念的产品工程师

培训目标

  • 了解安全的各个方面(例如理论与实践、挑战等)
  • 学习和了解安全基础知识(例如基本术语)
  • 了解如何建立安全的软件开发生命周期
  • 建立有关密码工具、算法和协议的基础知识
  • 了解访问控制(认证和授权)的重要方面
  • 学习应用主要安全原则
  • 掌握安全编码技术

要求

对数学和信息技术有基本的技术了解(工程级别)

参加培训的人员将学习汽车产品的一般网络安全测试生命周期,了解实用有效的安全测试方法,并了解如何满足全球汽车法规和标准的要求。

  • 时间1 天
  • 级别:基本

与会者

  • 产品经理、项目经理、测试经理和安全经理,他们需要扎实了解安全测试方法以及如何在整个开发生命周期中应用这些方法
  • 负责执行测试策略的系统工程师、系统架构师和测试人员

培训目标

  • 了解安全测试的动机、挑战和局限性
  • 了解如何在产品开发生命周期中全面考虑安全测试(例如生命周期不同阶段的测试活动)
  • 了解不同安全测试方法的概况和区别
  • 学习并理解安全测试的基本原则
  • 学习并了解在哪种测试设置(例如系统、设备、组件、接口)下进行安全测试时应针对 "什么 "进行测试
  • 了解如何处理已发现的薄弱环节,以及存在哪些缓解方案
  • 了解最重要的标准和法规对安全测试的要求
  • 互动练习,加强对个别主题的理解

要求

  • 对系统/产品和系统/产品开发的技术理解
  • 对 IT 安全有基本了解

可靠的威胁分析和风险评估 (TARA) 是全面安全概念的基础,因此也是开发过程中所有安全相关步骤的基础。在本高级培训中,我们将介绍一种基于通用标准并完全符合 ISO/SAE 21434 标准的成熟、经认可的 TARA 方法。

理论部分与实践部分相辅相成。在这里,客户团队为他们的一个系统创建 TARA,而 ETAS 培训师则提供支持和审查。

  • 时间3 天(约 3 个月)
  • 级别:教练

与会者

  • 需要了解产品开发过程中威胁分析和风险评估方法的产品和项目经理
  • 负责在产品开发过程中进行威胁分析和风险评估的安全管理人员

教练主题

  • 学习并了解威胁分析和风险评估如何促进高效和有效的风险管理,例如在 ISO/SAE 21434 的背景下
  • 了解如何进行威胁分析和风险评估
  • 为您的一个系统进行威胁分析和风险评估

从介绍开始,我们会评估您当前的安全测试现状,找出差距,并制定未来战略。

  • 时间1 天
  • 级别:教练

与会者

  • 产品经理、项目经理、测试经理和安全经理,他们需要扎实了解安全测试方法以及如何在整个开发生命周期中应用这些方法

培训目标

  • 了解安全测试的动机、挑战和局限性
  • 了解如何在产品开发生命周期中全面考虑安全测试(例如生命周期不同阶段的测试活动)。
  • 了解不同安全测试方法的概况和区别
  • 学习并理解安全测试的基本原则
  • 学习并了解在哪种测试设置(例如系统、设备、组件、接口)下进行安全测试时应针对 "什么 "进行测试
  • 了解如何处理已发现的薄弱环节,以及存在哪些缓解方案
  • 在研讨会期间创建安全测试战略初稿
  • 了解最重要的标准和法规对安全测试的要求
  • 与培训师一起分析公司现状
  • 将现状与最佳实践和其他要求进行比较
  • 制定未来目标并确定下一步行动

要求

  • 对系统/产品和系统/产品开发的技术理解
  • 对 IT 安全有基本了解
  • 如果有的话,请提供自身安全测试策略的概述

技术和技术标准安全培训

在这一基础培训中,学员将学习最新国际标准要求的安全要求以及如何实施这些要求。

  • 时间1 天
  • 级别:基本

与会者

  • 希望了解要求标准和目录以及国际标准中概述的安全目标的风险管理人员
  • 希望学习从标准目录中推导安全要求的基础知识的产品负责人

培训目标

  • 信息安全标准介绍
  • ISO 27001(信息安全管理)
  • OWASP ASVS(应用程序安全验证标准)v4.X
  • OWASP MASVS(移动应用程序安全验证标准)v1.2 版
  • NIST 800-53(安全和隐私控制目录)

要求

  • 管理系统的基本知识
  • 安全标准的基本知识

本高级IT 安全培训侧重于ISO/SAE21434要求和联合国第 155 号法规(UNECE WP.29)背景下的整体网络安全管理。培训内容包括风险评估以及从概念到开发和开发后的不同工程阶段。

参与者可获得由德国莱茵 TÜV [PA(SB3] 颁发的 "网络安全汽车专业人员 "个人认证。

  • 时间:2 天
  • 级别:高级

与会者

  • 安全经理、产品经理和项目经理
  • 系统工程师、软件工程师、硬件工程师和开发人员

培训目标

  • 了解符合 ISO/SAE 21434 标准的安全工程构建模块
  • 了解 ISO/SAE 21434 如何帮助您满足联合国法规 155 的要求
  • 了解 ISO/SAE 21434 以风险为基础的产品安全方法
  • 通过专门的案例研究,了解我们在 ISO/SAE 21434 方面的第一手专业知识
  • 进一步了解概念阶段的安全工程,包括网络安全相关性评估、安全目标和安全概念
  • 了解安全工程在开发阶段的重要性,包括网络安全 DIA、设计、实施和 V&V
  • 受益于我们在生产、运营、维护和退役方面的网络安全知识

要求

  • 在工程层面对汽车系统有基本的技术了解

内容

  • 安全工程入门
  • 治理与生态系统
  • 风险管理
  • 概念与发展
  • 生产和运行

基础 IT 安全培训,涵盖产品开发的组织和技术方面。培训重点是传统和敏捷开发流程中的安全任务、密码学和基本 IT 安全措施。

  • 时间:2 天
  • 级别:基本

与会者

  • 需要扎实了解安全产品设计所需的一般安全原则、流程和工具的产品或项目经理
  • 负责分析和定义安全要求以及定义安全概念的产品工程师

培训目标

  • 了解安全的各个方面(例如理论与实践、挑战等)
  • 学习和了解安全基础知识(例如基本术语)
  • 了解如何建立安全的软件开发生命周期
  • 建立有关密码工具、算法和协议的基础知识
  • 了解访问控制(认证和授权)的重要方面
  • 学习应用主要安全原则
  • 掌握安全编码技术

要求

对数学和信息技术有基本的技术了解(工程级别)

参加培训的人员将了解针对 Windows 安装的常见攻击,并探索命令与控制框架等工具和 Mimikatz 等恶意软件。

  • 时间1 天
  • 级别:基本

与会者

  • Windows 管理员
  • 基于 Windows 主机的应用程序或服务的管理员
  • 这些系统、应用程序和服务的开发人员和架构师
  • 任何对评估 Windows 系统安全性和加固选项感兴趣的人

培训目标

  • 了解针对 Windows 安装的常见攻击
  • 探索攻击者在野外也可能使用的工具
  • 学习识别错误配置和权限升级的可能性
  • 加深对 Windows 加固选项和对策的了解
  • 参加黑客实践实验室,对所有部分进行练习

要求

  • Windows 基础知识
  • 对信息技术安全的一般理解和认识

非车载 - 企业安全培训和辅导计划

本高级辅导课程提供了有关威胁和风险分析以及如何构建、运行和评估威胁模型的详细信息。

  • 时间:2 天
  • 级别:高级

与会者

  • 需要了解威胁模型的方法和输出结果的产品和项目经理
  • 负责执行或了解威胁模型输出结果的安全管理人员
  • 系统、软件和硬件工程师以及开发人员

培训目标

  • 大致了解什么是威胁和风险分析/威胁模型
  • 深入了解使用 STRIDE 方法执行威胁模型的四个阶段
  • 学习如何分别创建自己的产品/服务/解决方案的数据流图,包括信任边界
  • 基本了解如何评定/识别风险或威胁
  • 了解如何针对每个已识别的威胁制定应对或缓解措施
  • 了解评估自己的分析和制定匹配行动项目的几种方案

要求

  • 对信息技术安全的一般理解和认识
  • 了解系统概述、技术以及这些组件之间的通信情况

在这个基础培训中,我们将介绍网络应用程序最常见的安全漏洞,并演示保护网络应用程序的方法。

  • 时间1 天
  • 级别:基本

与会者

  • 希望了解基本网络应用程序漏洞及如何预防这些漏洞的开发人员
  • 希望进一步了解如何确保网络应用程序或平台安全的架构师

培训目标

  • 网络应用程序安全入门,涵盖 OWASP Top 10
  • 了解最常见的漏洞及其相应的缓解措施
  • OWASP 十大攻击,包括最常见攻击的演示
  • 漏洞:
    • 注入
    • 加密失败
    • 服务器端请求伪造
    • 脆弱和过时的组件
    • 识别和验证失败
    • 安全配置错误
  • 黑客实验室实践,学习基本渗透测试技能

要求

  • 网络应用基础知识
  • 企业 IT 技术背景

参加培训的人员将学习云安全的基础知识、潜在的攻击路径及其缓解措施,包括一个 CTF 类型的实际演练。

  • 时间1 天(最多 2 天,取决于参与者的经验)
  • 级别:高级

与会者

  • 需要在云生态系统中工作的产品和项目经理
  • 负责云产品的安全经理
  • 系统、软件和硬件工程师,以及从事云计算工作的开发人员

培训目标

  • 了解什么是云安全
  • 深入了解网络杀伤链,以及如何将其应用于云计算场景
  • 了解顶级云攻击致命链
  • 在典型脆弱环境中应用云攻击杀伤链
  • 了解架构和云基础设施中的对策和缓解措施

要求

  • 对信息技术安全的一般理解和认识
  • 了解系统概述、技术以及这些组件之间的通信情况
  • 云基础

所有新闻

下一个活动

客户培训 - 所有选择

联系我们

您有任何问题吗?请随时给我们留言。我们将非常乐意提供帮助。

现在就联系我们!


联系表格
支持热线