Kooperationen
Auf dieser Seite werden Projekte, Hersteller und Institutionen aufgelistet, die mit dem SIMU-Projekt kooperieren:
In dem FuE-Vorhaben iMonitor (www.imonitor-project.de) wird das Konsortium zusammen mit der auf IT-Sicherheit und Datennetze spezialisierten Firma DECOIT GmbH und durch die nachhaltige Produktentwicklung bei der Firma neusta GmbH, die auf heterogene Sensorereignisse basierenden Verfahren der KI (Universität Bremen) verallgemeinern und ein Analyse- und Prognose-Werkzeug für das verbesserte Monitoring komplexer IT-Infrastrukturen entwickeln. Dabei werden normalisierte Ereignisse aus den Sensorinformationen gesammelt, maschinell gelernt, miteinander zu Regeln vereint und zur Assistenz herangezogen. Als Mehrwert in der Prognose wird in den Regeln auf strukturiertes Hintergrundwissen zugegriffen, selbiges manuell erschlossen oder automatisch generiert. Die Verallgemeinerungen beinhalten Fragestellungen der Übertragbarkeit von Regelmengen, Effizienzsteigerungen für größere Ereignismengen sowie die Verbindung quantitativer mit qualitativer Inferenz. Das zu entwickelnde SIEM-System kann durch die Verwendung von Ontologien flexibel erweitert werden, d.h. es können verschiedene neue Datenquellen angebunden werden, z.B. ist Nagios oder dem Nagios-Fork Icinga (Kompatibel zu Nagios) eine von der DECOIT GmbH eingesetzte Software, die dem Monitoring komplexer IT-Infrastrukturen dient. Die DECOIT GmbH hat diese Software nicht nur für größere Umgebungen ausfallsicher aufgebaut und setzt diese Lösungen zum pro-aktiven Management ihrer Kundennetze ein, sondern hat beispielsweise Icinga auch bereits um ein intelligentes Eskalationsmanagement erweitert. Man ist daher an der Weiterentwicklung solcher Monitoring-Lösungen stark interessiert. Aufgrund des gemeinsamen SIEM-Themas werden starke Synergien zwischen beiden Projekten vermutet, die zu noch besseren Ergebnissen verhelfen können.
Das Forschungsprojekt VisITMeta (http://trust.f4.hs-hannover.de/projects/visitmeta.html) verfolgt das Ziel, eine Visualisierungskomponente zur Darstellung der Sicherheit von Netzwerken unter Verwendung von Metadaten zu konzeptionieren und zu entwickeln. Das vom BMBF-geförderte Projekt wird von der Trust@HsH Forschungsgruppe an der Hochschule Hannover, Fakultät 4 - Abteilung Informatik durchgeführt und läuft noch bis Ende März 2015. Als Ergebnis soll dabei im Projekt eine (oder mehrere) Software-Komponente zur Darstellung der gesammelten Metadaten eines MAP-Servers erstellt werden. Da eine einfache Darstellung als Graph nur bis zu einer gewissen Menge an Metadaten einen Informationsmehrwert, verglichen mit einer herkömmlichen Textausgabe der Komponenten hat, müssen und sollen in VisITMeta fortgeschrittene Verfahren zur Visualisierung untersucht und umgesetzt werden. Hierzu zählen Ansätze zur intelligenten Anordnung (Layouting) der Metadaten in der Darstellung sowie zur Abstraktion der Darstellung, um große Metadatenmengen – in Teilen – vereinfachen zu können. Zusätzlich werden Komfort-Funktionen wie die Suche in den angezeigten Metadaten oder das Filtern bestimmter Elemente angestrebt. Eine Hauptfunktionalität von VisITMeta wird die Möglichkeit zur zeitlichen Betrachtung von Metadaten sein, die ein zeitliches Bewegen in den Metadaten ermöglicht. Hierdurch können zu einem Zeitpunkt alle vorhergegangenen Ereignisse im MAP Graphen nachvollzogen werden, um visuell – und damit quasi halb-automatisch bei Einbeziehung der menschlichen Wahrnehmung – die Ereignisse analysieren zu können. Als Visualisierungskomponente ist VisITMeta auf das Sammeln von Metadaten durch andere IF-MAP Kollektoren angewiesen, wie sie unter anderem auch im SIMU-Projekt erstellt werden. Eine Auswertung der Metadaten mithilfe automatisierter Verfahren ist dabei kein Bestandteil von VisITMeta. Ebenso sind Funktionen zum Verwenden der dargestellten Metadaten zum Definieren eines Normalzustandes, z.B. für die Korrelation mithilfe von Anomalie-Erkennung nicht vorgesehen, so dass hier eine Erweiterung bzw. Kooperation mit dem SIMU-Projekt keine Projektziele von VisITMeta betreffen würde. Vielmehr bietet sich hieraus eine Möglichkeit zur Kopplung der Ergebnisse in der visuellen Aufbereitung von Metadaten in VisITMeta, mit den Auswerteverfahren und Regelerstellfunktionen in SIMU.
Juniper Networks (http://www.juniper.net/de), gegründet 1996, produziert High-End-Router, die im Core- und Edge-Bereich des Internet-Backbone eingesetzt werden. Auf den Routern arbeitet ein aus FreeBSD weiterentwickeltes Betriebssystem namens „JunOS“. JunOS basiert auf aktuellen Versionen von FreeBSD. Die BSD-Lizenz erlaubt es – unter Beachtung einiger Regeln – Änderungen am Quellcode vorzunehmen, ohne diese veröffentlichen zu müssen. Die in den Geräten verbauten ASICs, die vor allem die I/O-lastigen Operationen des Routers übernehmen, sind eigens entworfen und von IBM hergestellt. Auch Juniper Networks sind stark an der Erweiterung des IF-MAP-Einsatzes interessiert und kooperieren eng mit dem SIMU-Projekt. Juniper sieht ein Ungleichgewicht zwischen Hackern, die heutzutage automatisierte Attacking-Tools nutzen und den Schutzmaßnahmen, die meistens auf manuellen Erkennungsmechanismen beruhen. Es müssen daher auch immer mehr automatisierte Verteidigungslösungen zum Einsatz kommen, die möglichst auf offenen Standards basieren sollten. Die IF-MAP-Spezifikation der Trusted Computing Group (TCG), die federführend u.a. von Juniper begleitet wird, bietet eine solche Möglichkeit. Zudem sieht Juniper einen wachsenden Bedarf bei den Unternehmen automatisierte Sicherheitslösungen anzubieten, da nicht ausreichend Sicherheitsexperten eingestellt werden können, um Sicherheitslücken manuell auszuwerten. Juniper Networks werden sich unentgeltlich an der Verbreitung der Projektergebnisse beteiligen und so ihre Marktmacht mit einbringen.
Enterasys Networks (http://www.extremenetworks.com), die Secure Networks Company mit Hauptsitz in Andover, USA, ist Teil des Joint Ventures Siemens Enterprise Communications Group unter der Führung von „The Gores Group“. Das Joint Venture ist ein Anbieter von Hardware, Software und Services für sichere, service-orientierte Netzwerke, die auf der Basis von Standards Open Communications ermöglichen. Die innovativen Security-Lösungen von Enterasys schützen jedes Netzwerk von jedem Hersteller und stellen so die Integrität und Leistung der IT-Services für alle Anwender sicher. Tausende von führenden Unternehmen, Behörden und Bildungseinrichtungen in über 70 Ländern vertrauen auf die Secure-Networks-Lösung, um den Geschäftsablauf und die Verfügbarkeit wichtiger Informationen sicherzustellen. Enterasys bietet eine granulare, Policy-basierte Kontrolle der einzelnen Nutzer, Applikationen, Geräte, Ports und Durchsatzleistung sowie durchgreifende Sicherheit rund um das Netzwerk. Der besondere Architekturansatz von Enterasys gewährleistet eine langlebige Technologie und schafft maßgebliche operative und unternehmerische Vorteile bei gleichzeitiger Reduzierung der gesamten Betriebskosten. Das SIMU-Vorhaben ist für Enterasys Secure Networks von großem Interesse. Das Potenzial IF-MAP-basierter Infrastrukturen ist immens und kann heutzutage mangels vorhandener Produkte allerdings noch nicht annähernd ausgeschöpft werden. Eine Integration von IF-MAP bietet sich für verschiedene Produkte von Enterasys an, insbesondere für NAC-, SIEM- und IDP-Lösungen. Der SIEM-Ansatz von SIMU wird dabei besonders den SIEM-Lösungen von Enterasys zugutekommen. Der erfolgreiche Verlauf des SIMU-Vorhabens kann einen weiteren Grundstein dafür legen, dass sich IF-MAP-basierte Sicherheitslösungen der Trusted Computing Group (TCG) in der Praxis etablieren. Enterasys ist daher auch aktives Mitglied der TCG und an den Ergebnissen des SIMU-Vorhabens, besonders während der Projektlaufzeit, sehr interessiert. Enterasys wird sich unentgeltlich an der Verbreitung der Projektergebnisse beteiligen und so ihre Marktmacht mit einbringen.
TELCO TECH (https://www.telco-tech.de), mit Sitz in Berlin-Teltow, ist ein seit 1993 bestehendes deutsches Unternehmen, das sich auf High-End-Security-Systeme spezialisiert hat. TELCO TECH deckt mit seinen Produkten der Marke LiSS (LAN Internet Support Station) den gesamten Bereich der Netzwerksicherheit ab. Dies beinhaltet die Funktionalität von Firewall über VPN bis hin zu SIEM-Merkmalen. So ist die LiSS LogApp beispielsweise in der Lage Log-Daten von Windows- und Linux-Systemen sowie Netzwerkgeräten zu sammeln und auszuwerten. Die LiSS-Produktfamilie ist in nahezu jeder IT-Umgebung einsetzbar. Durch Kombination verschiedener Sicherheitstechnologien werden Netzwerke und IT-Infrastrukturen entsprechend geschützt. Zum Kundenstamm von TELCO TECH zählen sowohl kleine, mittlere, als auch große internationale Unternehmen. Das SIMU-Projekt ist für TELCO TECH von großem Interesse, da man sich durch den Austausch weitere Produktverbesserungen erhofft. Zudem hat das SIMU-Projekt die LogApp ausgiebig getestet, um deren SIEM-Arbeitsweise mit der geplanten in SIMU vergleichen und positive Aspekte mit in die Entwicklung einfließen zu lassen. Da TELCO TECH an deutschen Lösungen großes Interesse hat, wird auch eine Zusammenarbeit nach dem Projektende angestrebt.