It security and privacy guidance tool for IoT designs and products

Abstract

Nesnelerin İnternetindeki (Nİ) güvenlik ve gizlilik sorunları, son yıllarda hem miktar hem de çeşitlilik açısından artan saldırılar nedeniyle çok dikkat çekti. Nİ ekosistemini daha güvenli hale getirmek için birçok çalışma yapılmıştır ve bunlar güvenlik çerçeveleri veya temel standartlar sunarak riskleri azaltmayı kısmen başarmıştır. Ancak bu çalışmalarda sunulan çerçeveler veya standartlar Nİ ekosistemindeki tüm paydaşlar tarafından kabul edilmemiştir ve tasarım ve değerlendirme için çözümler sunamamıştır. Güvenlik açıklarının yol açtığı riskleri azaltmanın bir yolu, bir tasarım ve değerlendirme ortamında basit, kullanılabilir ve yeterli koruma becerileri, yöntemleri, standartları ve çerçeve modelleri sağlayarak, paydaşların Nİ sistemindeki güvenlik ve gizlilik sorunları konusundaki farkındalığını artırmaktır. Daha önce yapılan çalışmalar referans çerçeve modellerini analiz etmiş, güvenlik tehditlerini katmanlı bir yapı olarak sunmuş ve risklerin görünürlüğünü sistemi oluşturan bir yapı taşı modeli ile göstermeyi başarmıştır. Ancak; Nİ yığınındaki genel güvenlik sorunları gösterilmesine rağmen, bir değerlendirme ortamının oluşturulmasına ve kullanılabilirliğine çok az dikkat edilmiştir. Bu çalışma, Nİ sistem geliştiricilerinin ürünlerinin güvenlik risklerini ilgili güvenlik açıkları kapsamında değerlendirmelerine ve özellikle tasarım aşamasında düzeltmelerine yönelik olarak, Güvenli Nİ Tasarım Ortamı (İng. Secure IoT Design Environment), SIDE, olarak adlandırılan bir ortam sunmayı amaçlamaktadır. SIDE'ın bir tasarım kararıyla ilgili tehditleri tespit etmede ve bilinen güvenlik açıklarına dayanarak alternatif çözümlerin güvenliğini değerlendirmede pratik ve son derece kullanışlı olduğu gösterilmiştir.

Security and privacy issues in the Internet of Things (IoT) have received much attention in recent years because of the attacks, which have increased both in quantity and diversity. Many studies have been done to make the IoT ecosystem more secure, and these have managed to ease some risks partially by presenting security frameworks or basic standards. However; presented frameworks or standards have not been accepted by all the stakeholders in the IoT ecosystem and have not been able to provide solutions for design and evaluation. One way to decrease the risks posed by the vulnerabilities is to increase awareness of the stakeholders for security and privacy issues in the IoT system via providing simple, usable and enough protection skills, methods, standards and framework models in a design and evaluation environment.Previous studies have analyzed reference framework models, presented security threats as a layered structure and managed to demonstrate the visibility of risks with a model of building blocks. However, besides the demonstration of the general security problems in the IoT stack, little attention was given to the generation of an evaluation environment and its usability. This study aims to present an environment, named as the Secure IoT Design Environment (SIDE), for IoT system developers to evaluate their products security risks against related vulnerabilities and to correct their deficits in the ecosystem, especially at the design phase. It was shown that the SIDE is practical and highly usable in identifying threats related to a design decision and evaluating the security of alternative solutions based on their known vulnerabilities.