Drittes Konsortialtreffen bei der DECOIT GmbH

Die Partner des BMWi-Projektes CLEARER trafen sich am 22. Februar 2017 in Bremen, um die Arbeiten des Arbeitspakets 2 abzustimmen und die Entwicklung weiter voranzutreiben. Derzeit wird mit Hochdruck an dem ersten Entwicklungsdurchbruch gearbeitet, der im Mai endgültig erfolgen soll. Vorab sind noch einige Fragen zu klären, um eine gemeinsame Linie zu finden. Auch der AP-Bericht wird parallel bearbeitet, um die Konzeption, Entwicklung und Analyse zu dokumentieren.

Nachdem Abschluss der Konzeption, die im AP1-Bericht ausführlich dokumentiert wurde, fingen im November die ersten Entwicklungsarbeiten an. Diese wurden auch von weiteren Analysen begleitet, um Cluster und Datenbanken für das Projekt zu eruieren. Zeitgleich wurde eine Testumgebung von der DECOIT® GmbH aufgesetzt, die nun alle ausgewählten Komponenten beinhaltet und das Zusammenspiel analysieren soll. So wurden ein Storm- und Cassandra-Cluster sowie die NAC-Systeme macmon secure und PacketFence installiert. Zusätzlich sind Sensoren im Einsatz, die als Datensenke benötigt werden. Die Storm-Topologie selbst besteht aktuell aus vier Ebenen, die Filter-Szenarien, Korrelation auf Basis der eingesetzten Szenarien, eine Rule Engine sowie die Topologie selbst enthält.

Abbildung: Drittes Konsortialtreffen der Partner von CLEARER bei der DECOIT GmbH in Bremen
Abbildung: Drittes Konsortialtreffen der Partner von CLEARER bei der DECOIT GmbH in Bremen

Als grafische Benutzeroberfläche wird es zwei Varianten geben. Einmal die SIEM-GUI+ von der DECOIT® GmbH, die die wichtigsten SIEM-Events darstellt und über ein Ticketsystem den Administrator benachrichtigen wird. Und zum anderen eine Banana-GUI von der Hochschule Hannover, welche für ein Audit relevant ist, da hier auch auf historische Daten zugegriffen wird. Zur Anomalie-Erkennung wird eine Zeitreihenanalyse integriert werden, die bei geringem Konfigurationsaufwand Verkehrsmuster analysiert und Schwachstellen meldet. Für den Austausch mit den Sensoren wurde ein einheitliches Datenformat vorgeschlagen. IF-MAP wird dabei nicht mehr zum Einsatz kommen, da es sich für Event-Daten als unpraktisch herausgestellt hat.

Als Network Intrusion Detection & Prevention System wird Bro im Projekt eingesetzt werden. Dieses wurde innerhalb des Projektes durch die Hochschule Hannover untersucht und Snort und Suricata gegenübergestellt. Bro wird derzeit stark in der Forschung eingesetzt und weniger in Produktivnetzen. Trotzdem entschied man sich im CLEARER-Projekt für dessen Einsatz, da Snort auf einem veralteten Code-Satz aufbaut und die Performance bei Bro mit Abstand am besten war. Hinzu kommt, dass Snort zu sensibel bei der Datenanalyse vorgeht, wodurch zu viele falsche Meldungen erzeugt werden.

Die IT-Security@Work (ISW) hat sich seit dem letzten Treffen mit der Revisionssicherheit beschäftigt. Im Vordergrund stand hier, wie man ein solch komplexes System, wie es in CLEARER geplant ist, nachvollziehbar machen kann. Denn schließlich müssen auch regelmäßige Audits stattfinden, um die Auswertungen und Arbeitsweise zu überprüfen. Hierbei sind sicherlich Grenzen zu betrachten, was Limitierungen bei der Logsicherung und der Skalierbarkeit betrifft. Zusätzlich wurde ein Zugriffsschutzkonzept entwickelt, welches die Anzeige von Systemlog, Überwachung der Dateizugriffe und Kontrolle der Zugriffsrechte beinhaltet. Eine Verschlüsselung von Dateien wäre eine zusätzliche Stufe, die man im Projekt aber nicht angehen wird. Es wurde sich daher darauf geeinigt, dass Zugriffe protokolliert werden, aber keine Dokumente.

Das Projektmeeting war mal wieder sehr produktiv, so dass am Ende nicht alle Themen ausreichend behandeln werden konnten. Durch regelmäßige Status- und Entwickler-Telkos wird man sich aber kontinuierlich auf dem aktuellen Stand halten und die Themen gemeinsam weiter voranbringen.

Zurück