2. Projektmeeting fand am 04.12.13 in Bremen bei der DECOIT GmbH statt

Das zweite Projektmeeting, des im Oktober gestarteten Forschungsprojektes SIMU (SIEM für KMUs), fand am 04. Dezember bei der DECOIT GmbH in Bremen statt. Auf dem Programm standen die Definition der Anwendungsszenarien, die Entwicklung eines generischen Szenarios, einsetzbare Monitoring-Protokolle und -Systeme sowie die Synergiemöglichkeiten zu anderen F&E-Projekten wie MASSIF und iMonitor. 

Das zweite Projektmeeting zwischen den SIMU-Partnern fand im nahgelegenen BITZ (Bremer Innovations- und Technologie-Zentrum) statt, da ansonsten die Teilnehmerzahl die Besprechungsräume der DECOIT GmbH wohl gesprengt hätten. Gastgeber war die DECOIT GmbH, die dieses Projekt auch als Konsortialpartner leitet.

Bremer Innovations- und Technologie-Zentrum (BITZ)

Eine Aufteilung von unterschiedlichen Szenarien wurde nach KMU-Größe über die EU-Definition vorgenommen. Es flossen dabei zusätzlich noch die Erfahrungen der Industriepartner mit in die Betrachtung ein. Zentrale Fragestellungen waren dabei: Ist die Aufteilung nach KMU-Größe zweckdienlich, passen die definierten Szenarien, sollte ein generisches Szenario überhaupt definiert werden und welche Mehrwerte können durch den SIEM-Einsatz entstehen? Bei der anschließenden Diskussion wurde festgelegt, dass es erst einmal kein generisches Szenario geben sollte, um sich nicht unnötig einzuschränken und dass die verwendeten Sicherheitskomponenten der Szenarien mit aufgeführt werden sollten. Hier werden schließlich die Logfiles generiert, die später dann in das SIEM-System münden sollen.

Ebenfalls stellt die Anomalie-Erkennung eine zentrale Anforderung dar. Hier wurden bereits erste Untersuchungen bzgl. Klassifizierungsverfahren, Clusterverfahren sowie statistische Verfahren vorgenommen. Dabei wird man versuchen den Ansatz zu verfolgen aus den Trainingsdaten abstrakte Klassen zu bilden, wodurch anschließend Policy-Regeln besser übertragbar werden können. Viele Ereignisse (Events) sind aber derzeit mit einem gewissen Unsicherheitsfaktor versehen. Eine Abbildung bzw. Kennzeichnung dieser Unsicherheiten wäre dabei wünschenswert. Es wurden verschiedene SIEM-Kollektoren (syslog, nmap, SNMP, Smartphone) diskutiert, die umgesetzt werden sollten. Hierbei kann auf den IF-MAP-Entwicklungen der DECOIT GmbH aufgesetzt werden, die aus ESUKOM-Projekt heraus bereits entstanden sind.

Ein weiteres wichtiges Thema ist die Einbindung von Ontologien. Hierbei steht im Fokus: wisse was du hast, um zu wissen was zu tun ist. Die automatische Aufnahme der IT-Infrastruktur durch Metadaten ist daher wünschenswert. Dabei können die Kollektoren beliebige Quellen haben. Zum Einsatz könnte das sog. IO-Toolset des Fraunhofer SIT kommen, welches auch bereits in dem VISA-Projekt verwendet und weiterentwickelt wurde. Allerdings halten das IO-Toolset und IF-MAP gleichermaßen Metadaten vor, weshalb hier bidirektionale Schnittstellen eingeplant werden sollten. Eine Einbindung von IF-MAP-Kollektoren in das IO-Toolset wäre aber durchaus vorstellbar. Zusätzlich könnte man die Ontologie-Basis gut als Simulationsplattform nutzen, um die definierten Szenarien analysieren zu können.

Es wurden auch mögliche Monitoring-Protokolle und -Systeme einer Untersuchung unterzogen. Dabei kamen hauptsächlich Open-Source-basierte Ansätze zum tragen, da auf Standards und offene Schnittstellen gesetzt werden muss. Bei den Protokollen wurden syslog, Netflow, IPFIX, SNMP, RMON, SMON und TNC/IF-MAP genauer untersucht. Bei den Systemen kamen hauptsächlich Icinga (Nagios) und OSSIM in Frage. Während Icinga durch modularen Aufbau, sehr gute Dokumentation und diverse Plug-Ins positiv auffällt, kann OSSIM alleine damit glänzen, dass dies bereits ein SIEM-System ist. Leider liegt weder eine ausreichende Dokumentation vor, noch ist der Hersteller AlienVault anscheinend an einer Weiterentwicklung seitens Dritter interessiert. Diverse Anfragen verliefen ins Leere, weshalb im SIMU-Projekt über ein eigenständiges SIEM-Tool bereits nachgedacht wird.

Abschließend kamen noch einige Projektkooperationen (VisITMeta, MASSIF, iMonitor) zur Sprache, die dem SIMU-Projekt bei der Erreichung seiner hochgesteckten Ziele helfen können. Es lassen sich hier verschiedene Synergien ausmachen, die man nutzen sollte. Auch die Hersteller Enterasys Networks und Juniper Networks sind mit im Kooperationsboot, da sie Interesse haben im SIEM-Umfeld ihre Produkte zukünftig anzubieten. Hier wird über einen gemeinsamen Workshop nachgedacht, der während des PlugFestes der Trusted Computing Group (TCG) im kommenden Frühjahr stattfinden könnte. Da alle SIMU-Partner auch TCG-Mitglied sind, wäre dies eine ideale Plattform um Neuentwicklungen zu testen und weitere Schritte abzustimmen.