Data Protection Fortification: A Data-centric Threat Modeling Method for Development Teams to Assess the Risk of Data Tampering and Support Secure Handling of External Data Sources

Abstract

Datasystemer avhenger av data for å kunne bidra til en bedre situasjonsforståelse, som tillater overvåking av ulike faktorer innen miljø, energi og i industrielle produksjonsmiljøer. Slike datasystemer avhenger ofte av sensoriske data generert av enheter i tingenes internett (IoT). Disse enhetene har mange sikkerhetsutfordringer knyttet til begrensede ressurser, produktulikheter, og deres fysiske lokasjon som gjør de sårbare for fysisk skade fra både vær og mennesker. Datasystemer som benytter seg av datakilder fra IoT må derfor inneha sikkerhetsmekanismer som kan oppdage og stoppe trusler som kan komme med dataene. Til tross for dette, finnes det lite forskning på metoder som kan bidra til å vurdere risikoen ved bruk av en datakilde.

I en forstudie til denne masteroppgaven utførte vi et systematisk litteratursøk på sikkerhetstesting av IoT. Her avdekket vi at fokuset på sikkerhetstesting i tidlige utviklingsfaser er mangelfull, og at overvåking av data er en potensiell nytenkende måte å oppdage angrep på. Det er imidlertid essensielt å først finne ut hvordan data kan overvåkes, og hvilke data man bør rette fokus mot. I denne masteroppgaven utvikler vi en metode som kan brukes for å reflektere over risikoen i data og forbedre sikkerheten ved håndtering av data fra IoT. Vi undersøker også om det finnes potensiale for å oppdage data som har blitt tuklet med ved å benytte et dataovervåkningssystem. Vi bruker et rammeverk for å gjennomføre design science research (DSR), og samler inn data gjennom å holde intervjuer og fokusgrupper.

Hovedbidraget fra denne masteroppgaven er en datasentrisk metode for trusselmodellering kalt Data Protection Fortification (DPF). Denne metoden kan bli brukt av utviklerteam for å vurdere sikkerhetsrisikoen i en datakilde og komme opp med relevante sikkerhetsmekanismer, som et ledd i utformingen av et sikkert design. I denne studien bidrar vi også med innsikt i praksiser for sikker datahåndtering funnet i ulike bedrifter. Vi bidrar også til forskning med en konseptuell arkitektur for et dataovervåkingssystem for å oppdage forsøk på tukling med data.

DPF ble utviklet og testet i samarbeid med to bedrifter i industrien, en student organisasjon, og to sikkerhetseksperter. Resultatene viser at deltakerene har en positiv innstilling til bruk av metoden, og at den har potensiale for å bli et verktøy for kommunikasjon om sikkerhet mellom utviklere og ikke-utviklere i et utviklingsprosjekt. Metoden har vist seg å være relevant også for andre datakilder utover data fra IoT.

Systems rely on data for purposes such as situational awareness, environmental monitoring, energy monitoring, and critical industrial monitoring. These systems often rely on sensory data generated by Internet of Things (IoT) devices, which have many security challenges due to their low-resource constraints, heterogeneity, and deployment in hostile environments. Systems consuming this data must therefore be designed with security measures to detect and prevent damage from data tampering attacks. However, there has been a lack of research on methods that can aid practitioners in understanding risk in data.

In a pre-study to this thesis, we performed a systematic literature review on security testing of IoT. In this work, we found a lack of focus on security testing in early phases of development and that monitoring data is a potential way to detect attacks. However, first knowing how and what to monitor is essential. In this master thesis, we develop a method for practitioners to reflect on the risk in data and improve the security of handling data from IoT. We also investigate the potential for a data monitoring system to detect data tampering. We employ a framework for carrying out design science research (DSR), using interviews and focus groups as our data generation methods.

The main contribution of this study is a data-centric threat modeling method named Data Protection Fortification (DPF) that development teams can use during planning to assess the security risk of a data source. This research further provides insight into practices reported by companies for handling data securely. We also contribute to research with a conceptual architecture for a data monitoring system for detecting attempts at tampering with data.

DPF was developed and tested in collaboration with two companies in the industry, one student organization, and two security experts. Results show that participants have a positive attitude towards using DPF and that it has the potential to become a communication tool for security between developers and stakeholders. Furthermore, the method proved useful in other contexts beyond data with origin in IoT devices.