SIMU-Projekt wird auf der RSA-Konferenz 2015 präsentiert

Seit 1993 findet die RSA-Konferenz jährlich in San Francisco, USA, statt. Sie zählt mit 33.000 Teilnehmern zu der größten und wichtigsten IT-Sicherheitskonferenz weltweit. Dabei wurde in diesem Jahr am 20. April im Rahmen von über 490 Vorlesungen, Keynotes, Tutorials und Seminaren von 700 Vortragenden über IT-Sicherheit geredet. Unter dem Motto „Change: Challenge today’s security thinking“ ging es darum die heutigen Herausforderungen des sich immer schneller verändernden IT-Umfeldes zu meistern ohne die Sicherheit zu vernachlässigen. Die DECOIT GmbH und die Hochschule Hannover waren vor Ort, um Forschungsergebnisse aus dem SIMU-Projekt zu präsentieren und mit anderen Wissenschaftlern Lösungen zu diskutieren.

Empfangshalle der RSA-Konferenz

Gerade die Trends mit „Bring Your Own Device“ (BYOD) oder „Internet of Things“ (IoT) stellen die IT-Sicherheit vor große Herausforderungen. BYOD birgt die Gefahr, dass weniger gut gesicherte private Geräte das Unternehmensnetz kompromittieren können und durch IoT lassen sich einfach Bewegungs-/ Verhaltensprofile von Benutzern erstellen.

Dabei hilft es nicht höhere Mauern um die IT-Infrastruktur zu bauen, denn Angreifer finden immer einen Weg hindurch (Amit Yoran, RSA Präsident der RSA-Konferenz 2015). Hier hat Yoran auch auf die aktuell populären SIEM-Systeme angespielt und gesagt das diese nicht die Probleme lösen werden. Denn im Jahr 2014 wurden weniger als 1 % der Angriffe von SIEM-Systemen erkannt (Verizon Data Breach Investigation Report). Vielmehr ist ein SIEM-System als eine wichtige Komponente in der IT-Sicherheitsarchitektur eines Unternehmens zu sehen.

Ein weiteres Problem ist das Verhalten der Unternehmen, nachdem sie gehackt wurden. Die meisten versuchen schnellst möglich ihre Systeme wieder neu aufzusetzen, indem sie die Systeme komplett neu installieren oder ein Backup einspielen. Dieses Verhalten hat zur Folge, dass nicht nachvollzogen werden kann, wer Zugriff auf ein System erlangt hat und vor allem wie. Dadurch wissen viele Unternehmen nicht, welche Lücken sie in ihrem Netz haben und wie sie diese schließen können.

Erster Demoshowcase der DECOIT GmbH und der Hochschule Hannover

Die DECOIT GmbH stellte zusammen mit der Hochschule Hannover im Rahmen des Seminars „TCG: Should We Trust Mobile Computing, IoT and the Cloud? No, But There Are Solutions” Teilergebnisse aus den Forschungsprojekten SIMU und iMonitor (www.imonitor-project.de) vor. Hierfür wurden zwei Demoshowcases gezeigt.

Im ersten Demoshowcase "Near real-time network security with an IF-MAP based SIEM approach" wurde die Realisierung eines SIEM-Systems mit Hilfe des TCG-Standards IF-MAP gezeigt. Der Ansatz nutzt, im Gegensatz zum klassischen SIEM-System, keine klassische Datenbank (z.B. SQL), sondern den IF-MAP-Graphen als Datenspeicher. Mit Hilfe von Mustern (Pattern Matching) wird in dem Graphen nach IT-Sicherheitsvorfällen gesucht. Sobald ein Muster in dem Graphen erkannt wird, leitet das System den dazu passenden Eintrag an die SIEM-GUI weiter. Auf der SIEM-GUI wird dann eine Handlungsempfehlung dargestellt, so dass der IT-Administrator entsprechend auf den Vorfall reagieren kann ohne Expertenwissen zu besitzen.

In dem zweiten Showcase "BYOD solutions well in hand: standards-based mobile security" wurde das Thema BYOD mit Hilfe von IF-MAP erläutert und die Interoperabilität zum Policy Enforcement Point (PEP) von Pulse Secure aufgezeigt. Konkret ging es darum zu erkennen, ob ein mobiles Endgerät einen Angriff auf das interne Netz des Unternehmens ausführt. Hierzu werden die Anmeldedaten der Endgeräte und die Daten weiterer Netzkomponenten (Snort, Nagios, DHCP, iptables) in einem IF-MAP-Graphen gehalten und durch eine Korrelation ausgewertet. Wurde durch die Korrelation ein Angriff, bzw. ein Fehlverhalten, eines Endgerätes erkannt, soll der PEP dieses Gerät vom internen Unternehmensnetz ausschließen.

Die RSA-Konferenz war ein voller Erfolg. Die Forschungsergebnisse wurden gut angenommen und es wurden viele interessante Gespräche mit Teilnehmern der Showcases geführt. Weiterhin wurden durch Fachvorträge neue Ideen gesammelt.