A Security Assurance Framework Implementation for IoT-Based Smart Homes

Abstract

Security Assurance er å bestemme graden av tillit som skal oppnås for at en enhet eller et system oppfyller sine funksjonelle sikkerhetskrav, og er samtidig motstandsdyktig mot sikkerhetsproblemer og andre hendelser som ellers kan forårsake driftsfeil [1]. Det finnes mange tilnærminger for å evaluere sikkerhetssikring for mange grupper av enheter og systemer i informasjonsteknologiområdet. Det pågår også mye forskning for å forbedre og standardisere ulike aspekter av sikkerhetssikring. Imidlertid står det fremdeles at dagens sikkerhetssikkerhetsteknikker og evalueringsmetoder har noen ulemper. Nåværende metoder har en tendens til å være tungvint prosesser som medfører store kostnader og er ganske tidkrevende. De har også en tendens til å være hovedsakelig manuelle og kvalitative med samme vekt gitt til alle nødvendige sikkerhetskrav, og gir ikke gode nok beregninger til å bestemme tillitsnivåer for systemer. Til slutt fokuserer en stor innsats hittil hovedsakelig på programvareutviklingsprosessen, og ikke andre aspekter av den generelle livssyklusen til systemet eller enheten. I takt med dette presenterer den voksende verdenen av Internet of Things (IoT) -systemene, som brukes i ulike aspekter av livet fra blant annet smarte hjem, smarte nett og smarte byer, en stadig voksende angrepsflate for ondsinnede aktører. Det er en rekke store sikkerhetshendelser de siste årene som har utnyttet slike IoT-enheter for å starte globale angrep. Det er derfor viktig å etablere metoder for å bestemme sikkerhetssikringen av slike systemer og løse eventuelle problemer som kan komme i lys mens enheter og systemer er i produksjon eller aktiv bruk. Dette vil sikre at IoT-enheter fremover er trygge og gir brukerne den beste fordelen. Denne masteroppgaven forsøker å knytte disse to problemene sammen i implementeringen av et kvantitativt rammeverk for sikkerhetssikring som kan automatisere sikkerhetssikringsevalueringen av en smart hjemmeimplementering og analysere den.

Security Assurance is determining the degree of confidence that is to be had that a device or system meets its functional security requirements, and is at the same time resilient against security vulnerabilities and other events that may otherwise cause its operating failure [1]. Many approaches to evaluate security assurance exist for many groups of devices and systems in the information technology space. There is also much ongoing research to improve and standardize various aspects of security assurance. However, the fact still stands that current security assurance techniques and evaluation methods have some drawbacks. Current methods tend to be cumbersome processes that involve large costs and are quite time-consuming. They also tend to be mainly manual and qualitative with equal weight given to all necessary security requirements, not giving good enough metrics to determine trust levels of systems. Finally, a large quantity of efforts so far focusses mainly on the software development process, and not other aspects of in the general life cycle of the system or device. In tandem with this, the growing world of the Internet of Things (IoT) systems, which is applied in various aspects of life from smart homes, smart grids and smart cities among others, is presenting an ever-growing attack surface for malicious actors. There are a number of major security events in past years that have taken advantage of such IoT devices to launch global attacks. It is therefore important to establish methods to determine the security assurance of such systems and resolve any issues that may be brought to light while devices and systems are in production or active use. This will ensure that going forward, IoT devices are safe and provide the best benefit to users. This master thesis attempts to tie these two issues together in implementing a quantitative security assurance framework that can automate the security assurance evaluation of a smart home implementation and analyzing it.