Projekt

Ziele und Ergebnisse des Vorhabens

Wesentliches Ziel des SIMU-Projektes war die Entwicklung eines SIEM-artigen Systems zur signifikanten, mit geringem Aufwand erzielbaren Verbesserung der IT-Sicherheit und von Kontrollmöglichkeiten in einem Unternehmensnetzwerk. Funktional soll SIMU ähnlich zu SIEM-Systemen arbeiten, also im wesentlichen Vorgänge und Ereignisse im Firmennetzwerk überwachen und dort, wo es sinnvoll erscheint,  automatisiert, in Echtzeit und pro-aktiv Maßnahmen zur Verbesserung der Sicherheit einleiten.

SIMU soll sich durch folgende nicht-funktionale Merkmale besonders auszeichnen:

  1. Leichte Integrierbarkeit in IT-Infrastrukturen von KMU (Merkmal 1): Durch die Verwendung von weit verbreiteten Standards bei Kommunikationsprotokollen und Datenformaten, die in typischen Netzkomponenten bereits implementiert sind, soll der Aufwand für Installation, Konfiguration und Wartung von zusätzlichen SIMU-Komponenten minimiert werden.
  2. Einfache Nachvollziehbarkeit von relevanten Ereignissen und Vorgängen im Netz (Merkmal 2): Relevante Ereignisse und Vorgänge im Netz sollen leicht verständlich visualisiert werden. Dadurch wurde das Verständnis und die Nachvollziehbarkeit von Vorgängen im Netz erleichtert und damit die Sicherheit gestärkt.
  3. Geringer Aufwand für Konfiguration, Betrieb und Wartung (Merkmal 3): Das SIMU-System soll mit standardisierten Vorkonfigurationen arbeiten und die Möglichkeit bieten, aus der leicht verständlichen Visualisierung des Netzes teilautomatisch Richtlinien und Konfigurationen abzuleiten. Dadurch wird der Aufwand für Konfiguration, Betrieb und Wartung gegenüber klassischen SIEM-Systemen stark reduziert.

Insgesamt sollen durch die Einführung von SIMU in KMU die Kosten für den Betrieb der IT-Infrastrukturen gesenkt werden. Zwar werden die Einführung und der Betrieb von SIMU einerseits Kosten verursachen. Andererseits wird erwartet, dass durch die o.g. Merkmale, insbesondere durch proaktive Maßnahmen und die Vereinfachung der Administration, eine mehr als kompensierende Kostensenkung erreicht wird.

Die konkreten Ergebnisse des SIMU-Projekts sind prototypische Software-Komponenten, die integriert in die IT-Infrastruktur eines Firmennetzes die Funktionalität von SIMU realisieren. Die prototypischen Software-Komponenten können als Basis für die Entwicklung von kommerziellen und Open-Source-Produkten verwendet werden.

Das Ziel war nur deshalb erreichbar, weil auf umfangreiche Basistechnologien aufgesetzt werden konnten, die von den Projektpartnern in vergangenen und teilweise noch laufenden Projekten entwickelt wurden. Die Ergebnisse dieser Vorarbeiten flossen unmittelbar in das SIMU-Projekt ein und wurden dort angepasst und weiterentwickelt.

Wissenschaftliche und technische Arbeitsziele des Vorhabens

Einen ersten Ansatz zur Umsetzung des SIMU-Projektes zeigt die nachfolgende Abbildung. Dort ist der Einsatz der einzelnen Komponenten in der neuen SIMU-Architektur zu erkennen.

SIMU-Architektur

Die in der Abbildung gezeigte SIMU-Architektur besteht aus folgenden Komponenten:

  1. SIMU-Kollektoren und -Flow Controller: SIMU-Kollektoren sammeln Informationen über Endgeräte und Vorgänge im Netz und veröffentlichen diese auf dem MAP-Server. SIMU-Flow-Controller beziehen Informationen vom MAP-Server, um daraufhin ggf. automatisch Sicherheitsmaßnahmen durchzusetzen, z.B. Filterregeln zu setzen, um den Zugriff eines Angreifers auf interne Systeme zu verhindern. Einzelne Geräte können sowohl als Kollektoren als auch als Flow Controller agieren. Die Hersteller NCP und macmon werden ihre Produkte so erweitern, dass diese als SIMU-Kollektoren und/oder -Flow Controller agieren. Die DECOIT wird verschiedene Open-Source-Tools (Snort, Nagios etc.) um die SIMU-Fähigkeit erweitern.
  2. SIMU Engine: Die SIMU Engine besteht aus folgenden Komponenten: 
    • Der MAP-Server ist die zentrale Datenbasis für alle relevanten Informationen. Die anderen SIMU-Komponenten können ihre Daten dort ablegen und Daten vom MAP-Server abonnieren.
    • Die Detection Engine wertet auf dem MAP-Server abgelegte Informationen aus, um Fehlverhalten (Anomalien) oder unerwünschte Zustände zu erkennen und daraufhin Informationen auf den MAP-Server zu veröffentlichen, durch die Sicherheitsmaßnahmen automatisch eingeleitet werden. Die Detection Engine arbeitet regelbasiert anhand von Policies. In den Policies muss das Normalverhalten sowie erwünschte oder unerwünschte Zustände zusammen mit den dann zu treffenden Maßnahmen unternehmensspezifisch spezifiziert werden.
    • Die SIMU-GUI visualisiert den aktuellen Netzzustand auf der Basis der auf dem MAP-Server abgelegten Daten. SIMU-GUI ist außerdem der Ausgangspunkt für die Anwendung der visuell gesteuerten Regelauswertung und -generierung. Ein Benutzer kann aufgrund eines visualisierten Zustands automatisch Policys für die Detection Engine ableiten. Hierdurch soll die im Allgemeinen komplexe Aufgabe der Policy-Erstellung erheblich vereinfacht werden.

Die im Rahmen von Vorgängerprojekten von der Hochschule Hannover entwickelten Open-Source-Komponenten irond, irondetect und irongui bildeten die Basis für die Komponenten der SIMU-Engine. Sie wurden um die neu zu entwickelnden Eigenschaften erweitert und angepasst.

Das angestrebte SIMU-System sollte soweit wie möglich auf standardisierten Sprachen und Modellen aufbauen. Dabei wurden auch modulare Werkzeuge zum Sammeln und Auswerten von Events eingesetzt und zum Management von Regeln verwendet. Dabei bildeten folgende Elemente den Kern von SIMU:

  1. IF-MAP-Clients als Kollektoren mit einheitlichem und standardisiertem Transport
  2. Standardisierte Metadatenmodelle zur Modellierung des jeweiligen Netzes
  3. Verständlicher IF-MAP-Graph zur Unterstützung eines intuitiven Regelerstellungsprozesses

Die IF-MAP-Spezifikation findet durch das rasante Wachstum der Trusted Computing Group (TCG) eine immer größere Verbreitung. Inzwischen befinden sich unter deren Mitgliedern Branchengrößen im Netzwerkbereich wie z.B. Microsoft, Cisco Systems, Enterasys und Juniper. Dieses Wachstum begünstigt das Erreichen einer kritische Masse, die den Einsatz des IF-MAP Protokolls in der Praxis wesentlich erleichtert. IF-MAP-Clients sind nicht nur von allen Netzkomponentenanbietern auf deren Komponenten vorgesehen, es sind auch bereits für viele weitere Dienste IF-MAP-Clients verfügbar  (DHCP, RADIUS, Snort, Nagios, Android etc.). Um die Vorteile eines homogenen Ereignistransports für ein SIEM-System im KMU Einsatz aufwandsarm nutzbar zu gestalten, musste die noch verbleibende Lücke an zu implementierenden IF-MAP-Clients geschloßen werden.