SIMU-Projekt-Vorstellung auf der D.A.CH Security 2014

Am 16. und 17.09.2014 fand wieder die D.A.CH Security statt - dieses Mal in Graz an der Technischen Universität. Ziel der Veranstaltung ist es, eine interdisziplinäre Übersicht zum aktuellen Stand der IT-Sicherheit in Industrie, Dienstleistung, Verwaltung und Wissenschaft in Deutschland, Österreich und der Schweiz zu geben. Insbesondere sollen Aspekte aus den Bereichen Forschung und Entwicklung, Lehre, Aus- und Weiterbildung vorgestellt, relevante Anwendungen aufgezeigt sowie neue Technologien und daraus resultierende Produktentwicklungen konzeptionell dargestellt werden. Die DECOIT GmbH war vor Ort, um das SIMU-Projekt vorzustellen.

Die D.A.CH Security startete mit SIEM-Systemen, d.h. großen Datenbanken mit vorgeschalteten Analysesystemen, die meistens auch Verknüpfungen zu den Asset-Inventardaten bieten. Die Anwendungsfälle von SIEM liegen in der Angriffserkennung, Protokollierung der Nutzung privilegierter Rechte, Compliance und Awareness. Es existieren zahlreiche Systeme am Markt, auch Open-Source-basierte. Dabei besteht das Hauptproblem darin, dass Alarme für den Administrator lesbar sein müssen. Wenn dies nicht möglich ist, schafft man sich zusätzliche Risiken (mangelnde Aussagekraft, verspätete Reaktionen, erhöhter Schaden). Nur schnelle Reaktionen können Schäden effektiv begrenzen (da laut Statistik innerhalb von 24 Stunden 84% der Angreifer erfolgreich im internen Netz sind). Ohne zentrale Protokollierung werden zudem viele Spuren zerstört. Allerdings bedürfen auch SIEM-Systeme einer kontinuierlichen Pflege  (Tuning und Customizing). Ein beträchtlicher Mehraufwand kommt durch Quellenkonfiguration und Datenerfassung hinzu. Daher war eine zentrale Frage, ob man an der Komplexität und Geschwindigkeit zu scheitern droht. Die Antwort war nein, wenn das SIEM-System automatisiert werden kann.

Innenstadt von Graz

In ihrem Fachvortrag stellte die DECOIT GmbH das SIMU-Projekt vor und beleuchtete den technischen Hintergrund eines SIEM-Systems. Ein solches System besteht aus diversen Modulen, wie Event Correlation, Network Behaviour Anomaly Detection (NBAD), Identity Mapping Key Performance Indication, Compliance Reporting, Application Programming Interface (API) und Role Based Access Control. Als Basis bei SIMU dient das IF-MAP-Protokoll der TCG, womit dann auch die Konsolidierung der unterschiedlichen Logdaten aller verwendeten Sicherheitskomponenten abgedeckt werden kann. Eine Herausforderung bei SIEM-Projekten stellen die unterschiedlichen Herstellerlösungen dar, die meistens als Insellösung entwickelt worden sind. Offene Schnittstellen und einheitliche Datenformate sind daher kaum vorhanden. Diesen Umstand kann das IF-MAP-Protokoll lösen, wenn die verwendeten Komponenten darauf angepasst worden sind.