A framework and teaching approach for IoT security risk management

Files

affia_abasi_amefon_obot.pdf (4.68 MB)

Date

2023-12-04

Authors

Journal Title

Journal ISSN

Volume Title

Publisher

Abstract

Võrgutoega seadmete ja nende haavatavuste kasvuga on hakatud rohkem tähelepanu pöörama asjade interneti (IoT) turvariskide haldamisele (SRM). Võimalik ründepind laieneb asjade Interneti ökosüsteemi kasvades, tuues esile vajadust tugevate turvameetmete järele arenevate ohtude vastu. Olemasolevad uuringud toovad siiski välja lünki asjade Interneti arhitektuuri täielikul integreerimisel turvariskide haldamisse. Rakendamise praktilised väljakutsed tõstavad niigi keerukate asjade interneti süsteemide keerukust ja teevad turvariskide haldamise ülesannet veelgi keerulisemaks. Seega õõnestab teooria ja praktika vaheline ebavõrdsus turvaraamistike eduka rakendamise tõenäosust reaalsetes asjade interneti süsteemides, muutes need vastuvõtlikuks pidevalt arenevale ohumaastikule. Nende väljakutsete lahendamiseks tutvustame IoT-arhitektuuril põhinevat turvariskide haldamise (IoTA-SRM) raamistikku, mis pakub terviklikku ja integreeritavat lähenemist tuvariskide haldamisele asjade interneti süsteemides. Integreerides IoT arhitektuuri turvariskide haldamisse, saavad sidusrühmad tagada oma IoT süsteemi komponentide ja interaktsioonide igakülgse katvuse. Raamistikku hinnati autonoomsete sõidukisüsteemide ekspertide poolt läbiviidud juhtumiuuringute abil, et teha kindlaks selle praktilisus, kohanemisvõime ja eelised. Kuigi antud juhtumite analüüsis nähakse raamistiku praktilisust, võib selle teoreetiline rikkus jääda praktikutele rakendamise ajal abstraktseks. Arvestades asjade interneti süsteemide keerukust ja ohtude dünaamilist olemust, ei piisa üksi traditsioonilistest õpetamisviisidest, et hõlbustada raamistiku üleminekut teoreetiliselt arusaamiselt praktilisele rakendusele, mistõttu on vaja tavapärasest õpetamisviisidest edasi ulatuvaid haridusmeetodeid. Seega töötati välja sekkumispõhine häkatoni lähenemine. See lähenemisviis, mida täiustatakse kohandatud sekkumistega, soodustab kogemuslikku õppimist. Antud sekkumised on hoolikalt välja töötatud, kohandatavad erinevate häkatoni kontekstide ja turvalisuse aspektide õpetamise sisuga ning täiustatud tegevusuuringute tsüklite kaudu, et võimaldada osalejatel navigeerida ja rakendada IoTA-SRM raamistikku. Meie integreeritud raamistik ja häkatoni lähenemisviis täitsid kahte rolli: haridusmudel, mis on suunatud turvariskide haldamisele asjade interneti süsteemides, ja IoTA-SRM-i raamistiku hindamismehhanism häkatoni iteratsioonide kaudu, võimaldades selliselt selle iteratiivset täiustamist. See doktoritöö aitab kaasa IoT SRMi teoreetilisele mõistmisele ja IoT turvariskide juhtimise praktilistele lähenemisviisidele. Lisaks pakub see meetodit tulevaste spetsialistide koolitamiseks selles kiiresti arenevas valdkonnas. Siin esitatud leiud ja metoodikad loovad aluse tulevastele püüdlustele IoT SRM-i rakendamisel ja õpetamisel, näitlikustades sünergilist seost teoreetiliste turvakontseptsioonide ja nende praktilise rakendamise vahel.
With the rise of network-capable devices and their vulnerabilities, attention has focused on security risk management (SRM) in the internet of things (IoT). The potential attack surface expands as the IoT ecosystem grows, underscoring the need for robust security measures against evolving threats. Yet, existing research reveals gaps in fully integrating the IoT architecture into SRM activities. Practical implementation challenges further complicate the intricate nature of IoT systems and the daunting task of SRM. Consequently, the disparity between theory and practice undermines the likelihood of successfully implementing security frameworks in real-world IoT systems, leaving them susceptible to an ever-evolving threat landscape. To address these challenges, we introduce the IoT Architecture-based Security Risk Management (IoTA-SRM) framework, offering a comprehensive and integrative approach to SRM in IoT systems. By integrating the IoT architecture into security risk management, stakeholders can ensure comprehensive coverage of their IoT system components and interactions. The framework was evaluated involving expert-validated case studies in autonomous vehicle systems to ascertain its practicality, adaptability, and benefits. However, though the practicality of the framework is seen in this case analysis, its theoretical richness may remain abstract for practitioners during application. Given the intricacy of IoT systems and the dynamic nature of threats, traditional instructional approaches alone prove insufficient to facilitate the framework's transition from theoretical understanding to practical application, necessitating educational methods that transcend conventional instruction. Thus, an intervention-based hackathon approach was developed. Enhanced with tailored interventions, this approach fosters an experiential learning approach. These interventions are carefully crafted, adaptable to diverse hackathon contexts and security learning content, and refined through action research cycles to enable participants to navigate and apply the IoTA-SRM framework. Our integrated framework and hackathon approach served dual roles: an educational model targeting SRM in IoT systems and an evaluation mechanism for the IoTA-SRM framework through hackathon iterations, thus allowing for its iterative refinement. This thesis contributes to the theoretical understanding of IoT SRM and practical approaches for IoT security risk management. It further offers a method for educating future professionals in this rapidly evolving field. The findings and methodologies presented herein provide a basis for future endeavours in applying and teaching IoT SRM, exemplifying the synergistic relationship between theoretical security concepts and their practical application.

Description

Keywords

Internet of things, safety, risk management, teaching methods, security measures

Citation

URI

https://hdl.handle.net/10062/94504

Collections

1. TÜ väitekirjad alates 2004 - Theses, PhD, MSc, ETD