https://blog.paessler.com/investments-in-iot-security-are-set-to-increase-rapidly-in-2018
The two biggest challenges in 2018 will continue to be protecting against unauthorized access, and patching/updating the software of the device. Companies must not neglect the security problems of IoT and IIoT devices. Cyberattacks on the Internet of Things (IoT) are already a reality.
According to Gartner‘s market researchers, global spending on IoT security will increase to $1.5 billion this year.
1,727 Comments
Tomi Engdahl says:
https://lanars.com/blog/embedded-systems-trends
Tomi Engdahl says:
https://etn.fi/index.php/13-news/16609-tpm-turvamoduulien-suojaus-kovenee
Yhdysvaltain valtionhallinnossa vaaditaan, että arkaluonteista dataa sisältävät laitteet pitää suojata erilliseen TPM-turvamoduuliin. STMicroelectronics on nyt esitellyt ensimmäisen TPM-moduulin, joka tukee syyskuussa 2026 pakolliseksi tulevaa FIPS 140-3-sertifiointia.
FIPS 140-3 tuo useita parannuksia verrattuna edeltäjäänsä FIPS 140-2 -standardiin, erityisesti tietoturvan kannalta. Ensinnäkin FIPS 140-3 on linjassa kansainvälisen ISO/IEC 19790 -standardin kanssa, mikä tekee siitä yhteensopivan kansainvälisillä markkinoilla ja parantaa moduulien turvallisuutta maailmanlaajuisesti. Lisäksi fyysisiä turvallisuusvaatimuksia on tiukennettu, erityisesti tasoilla 3 ja 4, joissa vaaditaan parempaa suojaa mm. ympäristövaurioilta ja luvattomilta fyysisiltä hyökkäyksiltä.
Tomi Engdahl says:
https://etn.fi/index.php/13-news/16614-auto-on-tietokone-se-pitaeae-suojata-kyberhyoekkaeyksiltae
Tomi Engdahl says:
USA kieltää kiinalaiset ja venäläiset ohjelmistot maanteiltään
https://etn.fi/index.php/13-news/16635-usa-kieltaeae-kiinalaiset-ja-venaelaeiset-ohjelmistot-maanteiltaeaen
Yhdysvaltain kauppaministeriön teollisuus- ja turvallisuusvirasto BIS on julkistanut ehdotuksen uudesta säännöstöstä, joka toteutuessaan kieltää tiettyjä laitteistoja ja ohjelmistoja sisältävien ajoneuvojen myynnin tai maahantuonnin. Rajoitus koskee koodia ja komponentteja, joilla on yhteys Kiinaan tai Venäjään.
Ehdotus keskittyy ajoneuvojen yhteysjärjestelmään (VCS) integroituihin laitteistoihin ja ohjelmistoihin sekä automatisoituun ajojärjestelmään (ADS) integroituihin ohjelmistoihin. Nämä ovat kriittisiä järjestelmiä, jotka tietyn laitteiston ja ohjelmiston kautta mahdollistavat ulkoisen liitettävyyden ja autonomisen ajokyvyn yhdistetyissä ajoneuvoissa.
Luvaton pääsy näihin järjestelmiin voi antaa vastustajille mahdollisuuden päästä käsiksi ja kerätä kaikkein arkaluontoisimpia tietoja. On mahdollista manipulkoida autojen ohjelmistoja ja käyttäytymistä etäyhteyden yli. Sääntö koskisi kaikkia pyörillä varustettuja maantieajoneuvoja, kuten henkilöautoja, kuorma-autoja ja linja-autoja, mutta sen ulkopuolelle jäävät ajoneuvot, joita ei käytetä yleisillä teillä, kuten maatalous- tai kaivosajoneuvot.
Tomi Engdahl says:
Tekoälystä tulee avaintekijä kyberuhkien torjunnassa
https://etn.fi/index.php/13-news/16647-tekoaelystae-tulee-avaintekijae-kyberuhkien-torjunnassa
Kriittisen infrastruktuurin suojelu on siirtymässä uuteen aikakauteen, kun tekoälystä (AI) tulee avaintekijä kyberuhkien torjunnassa. Check Point Researchin mukaan vuosina 2024 tammi–elokuussa energia- ja vesilaitoksiin kohdistui viikossa keskimäärin 1514 kyberhyökkäystä, mikä on peräti 37 % enemmän kuin edellisvuonna.
Tämä kasvu korostaa tekoälyyn perustuvien ratkaisujen merkitystä infrastruktuurin puolustuksessa. AI:n kyky käsitellä valtavia datavirtoja reaaliajassa mahdollistaa poikkeavuuksien ja uhkien havaitsemisen nopeammin ja tarkemmin kuin koskaan ennen.
Koneoppiminen mahdollistaa järjestelmien jatkuvan kehittymisen ja kyvyn pysyä kyberrikollisten edellä. Voimaverkkojen, vesihuollon ja liikenneverkkojen operaattoreille AI tarjoaa tehokkaan suojan, joka voi estää vakavia häiriöitä. Lisäksi tekoäly vapauttaa ihmisen asiantuntijat rutiinitehtävistä ja antaa heille enemmän aikaa keskittyä monimutkaisiin uhkien analysointiin ja ratkaisuihin. Vaikka tekoälyyn liittyy myös riskejä, kuten tekoälypohjaiset hyökkäykset, sen tarjoamat hyödyt infrastruktuurin suojelussa ovat merkittäviä.
Tekoäly ei pelkästään paranna uhkien havaitsemista, vaan se tehostaa myös automaatiota kriittisissä järjestelmissä. AI voi itsenäisesti analysoida hälytyksiä, yhdistää tietoja eri lähteistä ja aloittaa tarvittavat vastatoimet. Tämä nopeuttaa reaktiota kyberhyökkäyksiin ja vapauttaa ihmistiimit strategiseen suunnitteluun. Tällainen automaatio lisää kriittisen infrastruktuurin joustavuutta ja varmistaa, että järjestelmät pysyvät toimintakykyisinä myös kyberhyökkäysten aikana.
Energiasektori on yksi esimerkki siitä, miten tekoäly voi tehostaa infrastruktuuria. Älykkäissä sähköverkoissa AI ennustaa energiantarpeen vaihtelut ja optimoi energian jakelun, mikä parantaa energiatehokkuutta ja varmistaa vakaat toimitukset. Lisäksi tekoäly auttaa ennakoivassa huollossa, ennustamalla laitteistojen vikoja ja vähentäen näin käyttökatkoksia sekä ylläpitokustannuksia.
Tomi Engdahl says:
https://etn.fi/index.php/13-news/16635-usa-kieltaeae-kiinalaiset-ja-venaelaeiset-ohjelmistot-maanteiltaeaen
Tomi Engdahl says:
ICS/OT
US, Allies Release Guidance on Securing OT Environments
New guidance provides information on how to create and maintain a secure operational technology (OT) environment.
https://www.securityweek.com/us-allies-release-guidance-on-securing-ot-environments/
New guidance from government agencies in the US and allied countries provides organizations with details on how to design, implement, and manage safe and secure operational technology (OT) environments.
OT is deeply integrated into critical infrastructure organizations’ complex environments, and business decisions such as adding new processes, services, or systems, selecting vendors for support, or developing business continuity and security-related plans may affect the cybersecurity of OT.
The new guidance (PDF) from government agencies in Australia, Canada, Germany, Japan, Korea, New Zealand, the US, and the UK, details six principles for secure OT: paramount safety, knowledge of the business, OT data value and protection, OT segmentation, secure supply chain, and the importance of people for OT cybersecurity.
“The authoring agencies recommend an OT decision maker apply the six principles presented in this document to help determine if the decision being made is likely to adversely impact the cyber security of the OT environment,” the guidance reads.
Principles of
operational technology
cyber security
https://www.cyber.gov.au/sites/default/files/2024-10/principles_of_operational_technology_cyber_security.pdf
Tomi Engdahl says:
ICS/OT
Ransomware Hits Critical Infrastructure Hard, Costs Adding Up
Report finds most organizations have suffered financial impact of $500,000 or more from cyberattacks on cyber-physical systems over past year.
https://www.securityweek.com/ransomware-hits-critical-infrastructure-hard-costs-adding-up/
The financial impact of a cyberattack targeting a cyber-physical system (CPS) can reach up to $1 million, as affected organizations struggle with revenue loss, recovery costs, and employee overtime.
According to a new Claroty survey of 1,100 security professionals involved in OT, IoT, BMS, and IoMT (connected medical devices), about 45% of organizations suffered losses of $500,000 or more over the past year, while 27% disclosed losses of $1 million or more.
More than half of the respondents in the chemical manufacturing, power and energy, and mining and materials sectors have reported losses greater than $500,000 caused by cyber incidents over the past 12 months, Claroty’s latest Global State of CPS Security report (PDF) shows.
https://web-assets.claroty.com/resource-downloads/cps-survey-business-disruptions.pdf
Tomi Engdahl says:
Oulussa kehitettiin tapa mitata IoT-laitteen tietoturvaa
https://etn.fi/index.php/13-news/16684-oulussa-kehitettiin-tapa-mitata-iot-laitteen-tietoturvaa
Tekniikan lisensiaatti Rauli Kaksonen on kehittänyt Oulun yliopistossa menetelmän, jolla voidaan mitata IoT-laitteiden kyberturvaa. IoT-laitteesta laaditaan tietoturvakuvaus, joka voidaan varmentaa työkalujen avulla ja jolla eri osapuolet voivat todeta tietoturvan todellisen tason.
Kaksosen väitöstyössään esittelemällä menetelmällä voidaan pienentää esineiden internetin (Internet of Things, IoT) kyberturvariskejä. Uusi menetelmä paljastaa ongelmat kyberturvassa aiemmin. Näin voidaan merkittävästi parantaa IoT-laitteiden turvallisuutta ja vähentää laitteiden aiheuttamia riskejä yhteiskunnalle.
- Alan sekavat käytännöt ja standardit. Jopa alan ammattilaisten on vaikea arvioida IoT-tuotteiden tietoturvaa. Tämä taas tarjoaa valmistajille mahdollisuuden välttää tietoturvaan panostamisen. Älykäs yhteiskunta on täysin riippuvainen esineiden internetistä. Kyberturva ei ole pysynyt tämän kehityksen tahdissa ja ongelmia paljastuu liian usein, Kaksonen summaa.
Kaksosen uskoo, että hänen kehittämänsä läpinäkyvä ja automatisoitu menetelmä kannustaa kehittämään turvallisempia IoT-järjestelmiä. – On korkea aika tehostaa kyberturvan testaamista ja vaatia todennetusti turvallisia tuotteita, Kaksonen näkee.
Tomi Engdahl says:
https://www.uusiteknologia.fi/2024/10/08/iot-kyberturvaa-paremmaksi-uudella-menetelmalla/
Tomi Engdahl says:
Transparent and tool-driven security assessment for sustainable IoT cybersecurity
https://oulurepo.oulu.fi/handle/10024/52122
The first part of this dissertation examines IoT security from selected perspectives. The findings confirm a diverse and fragmented scene. All components of IoT systems are susceptible to vulnerabilities. Though security requirements share some universal categories, many requirements are present only in one or a few standards. Prominent tools are available for security testing, but their use is not systemically endorsed.
The second of this dissertation part presents the novel tool-driven security assessment method. In the method, a tool-verifiable security statement describes the security posture of an IoT product. The method provides transparent and automated security assessment of different versions and configurations covering the product’s lifetime. All stakeholders can inspect and verify the security statement. Proof-of-concept implementation and real-world IoT case studies validate the approach. In the first study, common security tools automate 80% of the security requirement tests, while second study uses ETSI TS 103 701 specification, covering 45% of the security perimeter tests. Requirement and testing improvements would increase the automation coverage.
Tomi Engdahl says:
CYBER;
Cyber Security for Consumer Internet of Things:
Conformance Assessment of Baseline Requirements
https://www.etsi.org/deliver/etsi_ts/103700_103799/103701/01.01.01_60/ts_103701v010101p.pdf
Tomi Engdahl says:
https://hackaday.com/2024/10/07/the-piezoelectric-glitching-attack/
Tomi Engdahl says:
Chris Miller / Financial Times:NEW
Israel compromising Hezbollah pagers shows the West should take hardware security more seriously, especially as most electronics manufacturing shifted to Asia — Unreliable suppliers can modify devices, yet companies devote few resources to verifying the origin of components
https://www.ft.com/content/5c8f5c51-e205-4213-a85a-e6c52963c72c
Tomi Engdahl says:
Guardians of the grid – protecting Europe’s electricity supply from cyber-attacks
EU-funded researchers are fortifying Europe’s electricity sector against increasingly sophisticated attacks by cybercriminals.
https://projects.research-and-innovation.ec.europa.eu/en/horizon-magazine/guardians-grid-protecting-europes-electricity-supply-cyber-attacks
In the past decade, cyber-attacks on Europe’s power infrastructure have intensified so much that energy companies, experts and politicians called for help. Researchers came together to boost the resilience of European energy networks.
The International Energy Agency warned in a November 2023 report that the average number of cyber-attacks against utilities worldwide more than doubled between 2020 and 2022. It singled out electricity grids, which are increasingly switching to digital technology.
“The technologies now deployed along electric grids make them vulnerable to issues with communication and information technology,” said Jesús Torres, an expert in smart grids at the Spanish technology centre CIRCE.
Tomi Engdahl says:
https://arstechnica.com/security/2024/10/two-never-before-seen-tools-from-same-group-infect-air-gapped-devices/
Tomi Engdahl says:
OpenAI Says Iranian Hackers Used ChatGPT to Plan ICS Attacks
https://www.securityweek.com/openai-says-iranian-hackers-used-chatgpt-to-plan-ics-attacks/
OpenAI has disrupted 20 cyber and influence operations this year, including the activities of Iranian and Chinese state-sponsored hackers.
A report published this week by OpenAI reveals that the artificial intelligence company has disrupted more than 20 cyber and covert influence operations since the beginning of the year, including the activities of Iranian and Chinese state-sponsored hackers.
The report highlights the activities of three threat groups that have abused ChatGPT to conduct cyberattacks.
One of these threat actors is CyberAv3ngers, a group linked to Iran’s Islamic Revolutionary Guard Corps (IRGC) that has made headlines this year for its attacks on the water sector.
The group has targeted industrial control systems (ICS) at a water utility in Ireland (the attack left people without water for two days), a water utility in Pennsylvania, and other water facilities in the United States.
These attacks did not involve sophisticated hacking and instead relied on the fact that many organizations leave ICS exposed to the internet and protected with easy to obtain default credentials.
According to OpenAI, accounts associated with CyberAv3ngers used ChatGPT to conduct reconnaissance, but also to help them with vulnerability exploitation, detection evasion, and post-compromise activity.
Many of the reconnaissance activities are related to conducting attacks on programmable logic controllers (PLCs) and other ICS.
Specifically, the hackers asked ChatGPT for industrial ports and protocols that can connect to the internet; industrial routers and PLCs commonly used in Jordan, as well as electricity companies and contractors in this country; and default passwords for Tridium Niagara devices and Hirschmann RS industrial routers.
Tomi Engdahl says:
https://www.cisa.gov/resources-tools/resources/product-security-bad-practices
Tomi Engdahl says:
https://www.edn.com/understand-the-hardware-dependencies-of-iot-security/
Tomi Engdahl says:
I use my NAS to secure my home network – here’s how
https://www.xda-developers.com/secure-network-using-nas/
Contrary to what you may believe, your NAS is quite a versatile device. While its main purpose is obviously to store data and facilitate file-sharing between all your systems, a Network-Attached Storage enclosure can come in handy for several projects. Home lab enthusiasts can use it to self-host their favorite services, while gaming aficionados turn it into a makeshift server for private multiplayer lobbies.
Tomi Engdahl says:
3 reasons you don’t need to build your own firewall with pfSense or OPNsense
https://www.xda-developers.com/reasons-you-dont-need-to-build-your-own-firewall-with-pfsense-or-opnsense/
I love my pfSense firewall and couldn’t see myself returning to a router supplied by an internet service provider (ISP), but it’s not for everyone. While I would recommend building a custom firewall and router to those who’d be able to set it up and manage their LAN, I can understand why some may find it daunting or not worth the effort. Here are some reasons you may not need to build one for your home.
Routers provided by your ISP aren’t terrible, but they’re not particularly great either. Modern devices are considerably better than ones sent by ISPs in the early 2000s, but they still fall short of what’s available through a custom solution. An average internet user with no idea about port forwarding, NAT, QoS, and reverse proxies, likely won’t take advantage of all the features offered by pfSense or OPNsense.
Tomi Engdahl says:
How I made a home VPN with dynamic DNS for secure remote access
https://www.xda-developers.com/how-i-made-a-home-vpn-with-dynamic-dns-for-secure-remote-access/
Tomi Engdahl says:
ICS/OT
Siemens and Rockwell Tackle Industrial Cybersecurity, but Face Customer Hesitation
Siemens and Rockwell Automation are taking steps to improve cybersecurity in industrial organizations, but getting customers to install security systems and upgrade ICS can still be challenging.
https://www.securityweek.com/siemens-and-rockwell-tackle-industrial-cybersecurity-but-face-customer-hesitation/
As the industrial sector increasingly relies on connected technologies to manage complex systems, cybersecurity has become a critical priority. Cyberattacks targeting industrial control systems (ICS) and operational technology (OT) are rising in frequency and severity, posing significant risks to manufacturing operations, supply chains, and public safety.
Tomi Engdahl says:
Application Security
API Security Matters: The Risks of Turning a Blind Eye
Willfully ignoring important security issues to make our lives easier is, unfortunately, something that does happen in the security field.
https://www.securityweek.com/api-security-matters-the-risks-of-turning-a-blind-eye/
Tomi Engdahl says:
PLCHound Aims to Improve Detection of Internet-Exposed ICS
Georgia Tech researchers have developed PLCHound, an algorithm that uses AI to improve the identification of internet-exposed ICS.
https://www.securityweek.com/plchound-aims-to-improve-detection-of-internet-exposed-ics/
Tomi Engdahl says:
Top 12 Tips For API Security
https://www.youtube.com/watch?v=6WZ6S-qmtqY
1. Https
2. OAuth2
3. WebAuthn
4. Implement Authorization
5. Leveled API Keys
6.Rate Limiting
7. API Versioning
8.Allow Listing
9. OWASP Security Risks
10.API Gateway
11. Error Handling
12. Input Validation
Tomi Engdahl says:
https://hackaday.com/2024/11/15/this-week-in-security-hardware-attacks-iot-security-and-more/