Ondersteuning voor ontwikkeling en onderhoud van veilige ingebedde apparaten

Het Internet-of-Things is heden ten dage niet meer weg te denken uit onze samenleving. Ingebedde apparaten worden met het internet verbonden, met tal van potentiële toepassingen en vaak een verlaging van de ontwikkelingskosten. Bovendien worden apparaten voorzien van meerdere communicatietechnologieën en staan ze in verbinding met mobiele apparaten om deze te bedienen. Eenvoudige apparaten zoals sensoren, koffiezetapparaten, koelkasten en lampen kunnen nu op afstand worden bediend via de smartphone. Het verbinden van deze slimme apparaten met de IT-infrastructuur heeft een groot potentieel. Maar hierbij komt ook een grote verantwoordelijkheid. Voorheen waren de potentiële aanvallen op ingebedde apparatuur beperkt, en tijdens het ontwerp en de ontwikkeling van deze apparatuur was de beveiliging minder of niet aan de orde. Door deze apparaten aan te sluiten op de IT-infrastructuur neemt de schade die kan aangericht worden drastisch toe. Niet alleen het hacken van het apparaat zelf is een probleem, maar IoT-systemen kunnen ook gebruikt worden als hefboom om privénetwerken binnen te dringen, met een veel grotere schade tot gevolg dan het apparaat ooit zelf zou kunnen aanrichten. Hoewel beveiliging een inherent onderdeel zou moeten zijn tijdens het ontwerp en ontwikkeling van nieuwe apparaten, beschikt niet elk bedrijf over de middelen en expertise om dit op de juiste manier te doen. Bovendien is het voor bestaande apparatuur vaak te laat om de beveiliging goed te integreren. Daarom worden apparaten tijdens de testfase van de beveiligde ontwikkelingslevenscyclus automatisch geanalyseerd om nieuw geïntroduceerde en onbekende problemen op te sporen, die mogelijk niet in eerdere stappen van de ontwikkelingscyclus zijn aangepakt. Er zijn talrijke hulpmiddelen beschikbaar of komen er dagelijks bij die statische of dynamische veiligheidsanalyses van apparaten uitvoeren. De resultaten van dergelijke tools zijn echter vaak overweldigend, vooral voor ontwikkelaars en managers met weinig expertise in beveiliging. Dit doctoraat zal zich richten op het vormgeven van de feedback die afkomstig is van tools voor veiligheidsanalyse naar IoT-ontwikkelaars tijdens de ontwikkeling van ingebedde apparaten. Bovendien wil het de nood aan hardcore beveiligingsexpertise verminderen door uit te zoeken of een kwetsbaarheid inderdaad een kwetsbaarheid is, om te bepalen of het al dan niet kritiek is, en wat de beste aanpak is om het probleem te verhelpen. Dit werk zal ontwikkelaars helpen bij het nemen van de juiste maatregelen voordat deze apparaten worden vrijgegeven aan het publiek. De onderzoeksvragen die in dit doctoraat aan bod komen zijn: • Wat zijn de belangrijkste bedreigingen en kwetsbaarheden voor IoT-systemen? • Hoe kunnen we vals-positieve kwetsbaarheden wegfilteren? • Hoe kunnen we beoordelen welke kwetsbaarheden en bedreigingen relevant zijn voor het apparaat? • Hoe kunnen we de resultaten van de veiligheidsanalyse omvormen tot betekenisvolle feedback en bruikbare inzichten?