Definition of a methodology for the security evaluation of internet of things devices

Abstract

El desarrollo de un framework de certificación es una iniciativa ambiciosa que ha generado un gran interés en todo el mundo, tanto en industria y en investigación, como en organizaciones estandarizadoras y reguladoras. Mientras que en Estados Unidos esta iniciativa está liderada por el NIST, en Europa, tras la aprobación del Cybsersecurity Act, ENISA ha adoptado el rol de liderar la creación de dicho framework. Diferentes retos alientan y, a la vez, frenan el desarrollo del framework de certificación, especialmente en el contexto del Internet de las Cosas (IoT). Por un lado, la gran variedad de esquemas de certificación, estándares de seguridad y dispositivos dificultan la comparación y el establecimiento de criterios básicos de seguridad. Esto queda acentuado por el hecho de que los actuales esquemas de certificación de seguridad utilizan métricas subjetivas que pueden interpretarse de manera diversa por diferentes expertos. Además, un mismo dispositivo IoT puede operar en contextos muy diferentes que requieren niveles de seguridad adecuados a dichos entonos, como por ejemplo salud e industria. Por otro lado, la gran cantidad de ataques a los que se ven sometidos deriva no sólo en cambios continuos en la seguridad, sino que involucran actualizaciones y parches que igualmente afectan a la seguridad certificada con anterioridad. Este hecho no es tenido en cuenta por los esquemas actuales de certificación de seguridad, que certifican de manera estática una versión concreta de un dispositivo, y ésta queda anulada cuando hay un cambio de seguridad. En este caso, se requiere una nueva y completa certificación, con el correspondiente desembolso monetario y gasto de tiempo. Como respuesta a estos problemas, la tesis tiene el objetivo de diseñar una metodología de evaluación de la seguridad enfocada a dispositivos IoT. La metodología se ha diseñado combinando valoración de riesgos y tests para la evaluación objetiva del riesgo y la seguridad. En una segunda parte, dicha metodología se ha instanciado a través de tecnologías y mecanismos que permiten automatizar el proceso, de manera que así se pueda facilitar la escalabilidad y la recertificación, lidiando con la alta dinamicidad de los entornos IoT. Finalmente, y con el objetivo de llevar los resultados de la evaluación a la fase de operación del dispositivo, se ha propuesto un mecanismo de mitigación basado en perfiles de comportamiento, de manera que se pueda reducir la superficie de ataque del dispositivo IoT. La implementación de dicho mecanismo se ha integrado con los resultados del proyecto Europeo H2020 ANASTACIA. La evaluación de seguridad propuesta ha sido validada en varios escenarios y considerando diferentes protocolos. La metodología ha sido la usual en un proyecto de investigación en informática. Las primeras etapas se han centrado en el análisis del estado del arte, principalmente en las carencias de los actuales esquemas de certificación. Se ha participado en grupos europeos para alinear los esfuerzos con lo que se está haciendo en materia de certificación en seguridad en el mundo y en especial, en Europa. El diseño y la instanciación de la metodología fueron realizada teniendo en cuenta estándares actuales y mecanismos que permitieran una reevaluación rápida. El análisis de los mecanismos de certificación actuales puso de manifiesto sus carencias, especialmente las relacionadas con la dinamicidad de la seguridad. La instanciación de la metodología fue realizada teniendo en cuenta este hecho, de manera que se permitiera una reevaluación rápida. Aunque el establecimiento de dicho framework de certificación aún requiere una coordinación conjunta de todas las partes implicadas, la metodología de evaluación de la seguridad para IoT propuesta en esta tesis está orientada a servir como base para futuras aproximaciones de dicho framework de certificación.

The development of a cybersecurity certification framework is an ambitious initiative that has generated a high interest worldwide, both in industry and research, as well as standardization and regulatory bodies. While in the United States this initiative is led by the NIST, in Europe, after the approval of the Cybsersecurity Act, ENISA has adopted the role of leading the development of such framework. Different challenges encourage and hinder the development of the certification framework, especially in the context of the Internet of Things (IoT). On the one hand, the wide variety of certification schemes, security standards and devices harden the comparison and establishment of basic security criteria. This is accentuated by the fact that current security certification schemes use subjective metrics that can be interpreted in a different way by experts. Furthermore, the same IoT device can operate in very different contexts that require a different security level, such as health and industry. On the other hand, the large number of attacks, vulnerabilities and threats associated to IoT devices leads to continuous changes in their security level, and could involve frequent updates and patches that affect the security level previously certified. This fact is not taken into account by current security certification schemes, which statically certify a specific version of a device and this is revoked when there is a security change. Therefore, a new and complete certification process is required, with the associated time and monetary costs. These problems stimulated the development of this thesis with the aim of designing a security evaluation methodology for IoT devices. The methodology was designed by combining security risk assessment and security testing for an objective risk evaluation. In a second part, the methodology was instantiated through technologies and mechanisms that allow the automation of the processes, facilitating the re-certification, and therefore, dealing with the high dynamism of IoT environments. Finally, we proposed a mitigation mechanism based on behavioral profiles, so that the attack surface of the IoT device can be reduced. The main purpose of this approach is to bring the results of the evaluation to the operation phase of the device. The implementation of this mechanism has been integrated with the results of the European project H2020 ANASTACIA. Finally, the proposed security evaluation methodology has been validated in several scenarios by considering different protocols. The methodology has been the usual in a computer science research project. The first stages were dedicated to analyze which properties of IoT devices hinder the security evaluation process, and the deficiencies of current security evaluation and certification schemes. This process was crucial for determining the way forward during the design of the security evaluation methodology. The participation in EU initiatives and the analysis of the efforts carried out by the European Commission, ENISA, the industry and the scientific community, has allowed to align the efforts of the thesis with ongoing institutional efforts in security certification. Furthermore, the proposed methodology is based on standards and tools that allow a fast and cost effective re-evaluation. The analysis of the current security evaluation and certification mechanisms revealed their shortcomings, especially those related to the dynamic nature of security. Thus, the instantiation of the methodology was carried out taking into account this fact to allow an efficient and automated security re-evaluation. Although the establishment of a cybersecurity certification framework still requires a joint coordination of all the stakeholders, the IoT security evaluation methodology proposed in this thesis is intended to serve as a basis for future approaches to such certification framework.