Automated ISMS control auditability

This thesis focuses on researching a possible reference model for automated ISMS’s (Information Security Management System) technical control auditability. The main objective was to develop a generic framework for automated compliance status monitoring of the ISO27001:2013 standard which could be re‐used in any ISMS system. The framework was tested with Proof of Concept (PoC) empirical research in a test infrastructure which simulates the framework target deployment environment. To fulfil the objective the thesis analysed first which ISO27001:2013 controls could be implemented using technical means and whether it would be possible to automate the measurement of the control compliance for these controls. After that different sources were used as input material to actually define how to fulfill, verify and measure the selected controls. The developed framework consists of three parts, Framework Selected Controls, Framework Architecture and guidance how to use the framework. It includes ISO27001:2013 controls which could be automatically audited, a methodology to do this and a framework how this could be fulfilled. The testing was performed using three different types of commercial tools to understand if they could fulfill a part of the developed framework. None of the tested tools was able to fulfill the framework as it is. Empirical research has showed the importance of the integrity assurance when reaching for automated security control compliance. This is the essential part and is somewhat lacking on the tested tools.Tässä opinnäytetyössä tutkitaan mahdollista viitekehysmallia tietoturvan hallintajärjestelmän (ISMS) teknisten kontrollien automaattisesta auditoitavuudesta. Päätavoitteena oli kehittää viitekehysmalli ISO27001:2013 standardin säännönmukaisuuden automaattisesta arvioinnista jota voitaisiin uudelleenkäyttää missä tahansa ISMS‐järjestelmässä. Viitekehysmalli testattiin empiirisellä tutkimuksella jossa ratkaisu pyrittiin todentamaan (Proof of concept). Tavoitteen saavuttamiseksi analysoitiin mitkä ISO27001:2013 kontrollit voitaisiin toteuttaa teknisesti ja olisiko niiden säännönmukaisuuden todennus tehtävissä automaattisesti. Useita eri lähteitä käytettiin hyväksi määriteltäessä miten kontrollit tulisi toteuttaa, todentaa ja miten niitten säännönmukaisuus voitaisiin mitata. Kehitetty viitekehys koostuu kolmesta osasta, viitekehykseen valituista kontrolleista, viitekehyksen arkkitehtuurista sekä käyttöohjeistuksesta ja se sisältää ISO27001:2013 kontrollit jotka voitaisiin automaattisesti auditoida, menetelmä tämän tekemiseen ja varsinaisen viitekehyksen automaattisen auditoitavuuden saavuttamiseen. Testauksessa käytettiin kolmea eri tyyppistä kaupallista työkalua jotta ymmärrettäisiin voisivatko ne toteuttaa osan kehitetystä viitekehyksestä. Mikään työkaluista ei pystynyt tähän suoraan. Empiirinen tutkimus on osoittanut eheyden varmistamisen tärkeyden tavoiteltaessa automaattista säännönmukaisuuden varmistamista. Tämä on olennainen osa joka näyttää puuttuvan testatuista työkaluista

Vulnerability Analysis of Network Routers in IoT Environment

Sve većom pojavom uređaja interneta stvari u svakodnevnom životu lokalne mreže diljem svijeta se pretvaraju u IoT okruženja čime se povećava potencijalna površina za napad od strane malicioznih aktera. S druge strane unutar takvih IoT okruženja se pojavljuje potreba za sve većim brojem mrežnih usmjernika kako bi se povećao kapacitet mreže. Ranjivosti u tim mrežnim usmjernicima u takvim situacijama direktno utječe na sigurnost cjelokupnog IoT okruženja. Na tri različita mrežna usmjernika je bila provedena detekcija i analiza ranjivosti pomoću programskih alata, ali i pomoću pristupa fizičkom sučelju na tiskanoj pločici na samim uređajima. Na temelju rezultata napravljena je komparativna analiza kako bi se mogla procijeniti potencijalna šteta unutar IoT okruženja i zatim je dan prijedlog načina zaštite usmjernika unutar IoT okruženja.With the ever-increasing occurrence of internet devices in the everyday life local networks around the world are transformed into IoT environments, thus increasing the potential surface for attack by malicious actors. On the other hand, within such IoT environments there is a need for an increasing number of network routers to increase network capacity. Vulnerabilities in these network routers in such situations directly affect the security of an entire IoT environment. Three different network routers have been tested and analyzed for vulnerabilities using program tools, as well as by accessing a physical interface on a circuit board of a device. Based on the results, a comparative analysis was carried out to assess potential damage within the IoT environment and then a proposal was made on how to protect the routers within such IoT environment