Transparent and tool-driven security assessment for sustainable IoT cybersecurity
Kaksonen, Rauli (2024-10-04)
© University of Oulu, 2024. This publication is copyrighted. You may download, display and print it for your own personal use. Commercial use is prohibited. © Oulun yliopisto, 2024. Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
https://rightsstatements.org/vocab/InC/1.0/
https://urn.fi/URN:NBN:fi:oulu-202406264941
Kuvaus
Tiivistelmä
The Internet of Things (IoT) has infiltrated our daily lives and become part of critical infrastructure. IoT cybersecurity is a pressing concern. Security evaluation of IoT products relies on costly and time-consuming expert reviews. As security standards and best practices lack uniformity, an opaque security landscape is created.
The first part of this dissertation examines IoT security from selected perspectives. The findings confirm a diverse and fragmented scene. All components of IoT systems are susceptible to vulnerabilities. Though security requirements share some universal categories, many requirements are present only in one or a few standards. Prominent tools are available for security testing, but their use is not systemically endorsed.
The second of this dissertation part presents the novel tool-driven security assessment method. In the method, a tool-verifiable security statement describes the security posture of an IoT product. The method provides transparent and automated security assessment of different versions and configurations covering the product’s lifetime. All stakeholders can inspect and verify the security statement. Proof-of-concept implementation and real-world IoT case studies validate the approach. In the first study, common security tools automate 80% of the security requirement tests, while second study uses ETSI TS 103 701 specification, covering 45% of the security perimeter tests. Requirement and testing improvements would increase the automation coverage.
The transparent and tool-driven approach makes the independent security assessment of IoT products more efficient. It should encourage manufacturers to invest in and improve IoT security since increased trust enables wider IoT adoption and helps deliver the societal benefits it promises.
Esineiden internet (Internet of Things, IoT) on osa jokapäiväistä elämäämme ja kriittistä infrastruktuuria. IoT:n kyberturvallisuus on ajankohtainen huolenaihe. IoT-tuotteiden turvallisuuden arviointi on kallista ja aikaa vievää asiantuntijatyötä. Tietoturvastandardit ja -käytännöt ovat epäyhtenäisiä. Lopputuloksena on syntynyt epäselvä IoT-turvallisuustilanne.
Tämän väitöskirjan ensimmäinen osa tarkastelee IoT-turvallisuutta eri näkökulmista. Tulokset vahvistavat sekavan ja pirstoutuneen tilanteen. Kaikki IoT-järjestelmien eri komponentit ovat alttiita haavoittuvuuksille. Eri lähteiden turvallisuusvaatimukset ovat yleisellä tasolla osittain yhteisiä, mutta monet vaatimukset ovat vain yhdessä tai muutamassa standardissa. Tietoturvan testaukseen on olemassa tehokkaita työkaluja, mutta niiden käyttöä ei tueta systemaattisesti.
Toinen osa esittelee uuden työkaluvetoisen menetelmän IoT:n tietoturvan arviointiin. Menetelmässä tuotteesta luodaan tietoturvakuvaus, joka varmennetaan työkaluilla. Menetelmä tarjoaa läpinäkyvän ja automatisoidun tietoturva-analyysin tuotteen eri versioille ja konfiguraatioille koko elinkaaren ajalle. Kaikki sidosryhmät voivat tarkastella ja testata tietoturvakuvauksia. Menetelmää testattiin kokeellisesti tapaustutkimuksilla. Ensimmäisessä tutkimuksessa yleisillä turvallisuustyökaluilla automatisoitiin 80 % tietoturvavaatimustesteistä. Toisessa tutkimuksessa käytettiin ETSI TS 103 701 -spesifikaatiota, jolloin kattavuus oli 45 % tuotteen tietoturvatesteistä. Automaation kattavuutta voidaan parantaa jatkokehittämällä vaatimuksia ja testejä.
Läpinäkyvä ja työkaluvetoinen lähestymistapa tehostaa IoT-tuotteiden riippumatonta tietoturvan arviointia. Tämän pitäisi kannustaa valmistajia investoimaan IoT-turvallisuuteen ja parantamaan tietoturvan tasoa. Luottamuksen lisääntyminen kannustaa IoT:n laajempaan käyttöönottoon yhteiskunnassa sen lupaamien hyötyjen saavuttamiseksi.
Original papers
-
Kaksonen, R., Järvenpää, T., Pajukangas, J., Mahalean, M., & Röning, J. (2021). 100 popular open-source infosec tools. IFIP Advances in Information and Communication Technology, ICT Systems Security and Privacy Protection, 625, 181–195. https://doi.org/10.1007/978-3-030-78120-0_12 https://doi.org/10.1007/978-3-030-78120-0_12
-
Kaksonen, R., Halunen, K., & Röning, J. (2022). Common cybersecurity requirements in IoT standards, best practices, and guidelines. In 7th International Conference on Internet of Things, Big Data and Security, 149–156. https://doi.org/10.5220/0011041700003194 https://doi.org/10.5220/0011041700003194
-
Kaksonen, R., Halunen, K., & Röning, J. (2023). Vulnerabilities in IoT devices, backends, applications, and components. In 9th International Conference on Information Systems Security and Privacy (ICISSP), 659–668. https://doi.org/10.5220/0011784400003405 https://doi.org/10.5220/0011784400003405
-
Kaksonen, R., Halunen, K., Laakso, M., & Röning, J. (2023). Transparent security method for automating IoT security assessments. Information Security Practice and Experience (ISPEC), Lecture Notes in Computer Science, 14341, 138–153. https://doi.org/10.1007/978-981-99-7032-2_9 https://doi.org/10.1007/978-981-99-7032-2_9
-
Kaksonen, R., Halunen, K., Laakso, M., & Röning, J. (2024). Automating IoT security standard testing by common security tools. In 10th International Conference on Information Systems Security and Privacy (ICISSP), 42–53. https://doi.org/10.5220/0012345900003648 https://doi.org/10.5220/0012345900003648
Osajulkaisut
-
Kaksonen, R., Järvenpää, T., Pajukangas, J., Mahalean, M., & Röning, J. (2021). 100 popular open-source infosec tools. IFIP Advances in Information and Communication Technology, ICT Systems Security and Privacy Protection, 625, 181–195. https://doi.org/10.1007/978-3-030-78120-0_12 https://doi.org/10.1007/978-3-030-78120-0_12
-
Kaksonen, R., Halunen, K., & Röning, J. (2022). Common cybersecurity requirements in IoT standards, best practices, and guidelines. In 7th International Conference on Internet of Things, Big Data and Security, 149–156. https://doi.org/10.5220/0011041700003194 https://doi.org/10.5220/0011041700003194
-
Kaksonen, R., Halunen, K., & Röning, J. (2023). Vulnerabilities in IoT devices, backends, applications, and components. In 9th International Conference on Information Systems Security and Privacy (ICISSP), 659–668. https://doi.org/10.5220/0011784400003405 https://doi.org/10.5220/0011784400003405
-
Kaksonen, R., Halunen, K., Laakso, M., & Röning, J. (2023). Transparent security method for automating IoT security assessments. Information Security Practice and Experience (ISPEC), Lecture Notes in Computer Science, 14341, 138–153. https://doi.org/10.1007/978-981-99-7032-2_9 https://doi.org/10.1007/978-981-99-7032-2_9
-
Kaksonen, R., Halunen, K., Laakso, M., & Röning, J. (2024). Automating IoT security standard testing by common security tools. In 10th International Conference on Information Systems Security and Privacy (ICISSP), 42–53. https://doi.org/10.5220/0012345900003648 https://doi.org/10.5220/0012345900003648
Kokoelmat
- Avoin saatavuus [38663]