Vorletztes CLEARER-Projektmeeting in Dreieich bei IT-Security@Work

Im CLEARER-Projekt (www.clearer-project.de) soll ein NAC-basiertes System um SIEM-Funktionalität erweitert, dabei die Qualität der Meldungen verbessert und der Aufwand zur Auswertung minimiert werden. April 2018 endet das Forschungsprojekt. Das aktuelle Konsortialmeeting von CLEARER fand beim Partner IT-Security@Work (ISW) in Dreieich bei Frankfurt statt. Dabei wurden die letzten Entwicklungsschritte besprochen, die bis zu einem „Feature Freeze“ erreicht werden sollen, bevor das Projekt in die Test- und Schlussphase übergeht. So wurde beschlossen, dass die Entwicklung bis Ende Februar abgeschlossen sein muss, um ab März mit den Tests zu beginnen. Im April sollte das Projekt dann ordnungsgemäß beendet werden, indem alle ausstehenden Berichte und die Dokumentation abgeschlossen werden. Anschließend wird die DECOIT® letzte Entwicklungsarbeiten leisten, um aus dem Projektergebnis ein marktfähiges Produkt zu machen.

Aktuell wird die Entwicklung von den Partnern entsprechend vorangetrieben, um erst einmal ein „Feature Freeze“ zu erreichen. Dabei steht die Umsetzung zweier Szenarien im Vordergrund, die als Basisfunktion zur Anwendung kommen sollen. Diese beinhalten momentan ein Patch-Level-Szenario, in dem der aktuelle Software-Stand überprüft wird, und ein Netzwerkverkehr-Szenario, welches Netzanomalien nach Feierabend ausfindig machen soll. Parallel werden ein dynamisches Regelwerk und eine entsprechende Szenario-Sprache entwickelt, um Policy-Anpassungen im SIEM-Modul einfacher und schneller vornehmen zu können. Als Datenbank zur Informationssammlung wurde inzwischen auf MariaDB gewechselt, da diese ebenfalls gut skaliert und einfacher sowie kostengünstiger nutzbar ist. Aktuell liegt das Projekt im Zeitplan. Eine im März angesetzte Gesamtintegration steht noch aus, aber die Anbindung an das NAC-System von macmon secure wurde bereits umgesetzt und befindet sich schon in der Testphase.

Ein weiteres Ziel ist es, qualitativ höherwertige Audit-Logs zu bekommen, die aktuell begrenzt sind, da in der Testumgebung der DECOIT® GmbH wenig relevante Ereignisdaten vorhanden sind. Daher sind die Testdaten aktuell nicht aussagekräftig genug. Eine relevante Testumgebung in einem Kundennetz würde dies ändern. Hierfür werden zu Projektende entsprechende Firmen benötigt. Eine Herausforderung stellen in diesem Zusammenhang deutsche Datenschutzverordnungen dar, die im Gegensatz zu denen anderer Länder sehr restriktiv vorhanden sind. In der Testphase werden die Informationsanforderungen von Auditoren bei Kontrollen einbezogen. Ob diese erfüllt werden, soll die Testphase ebenfalls klären.

Abschließend wurde der Zeitplan bis Ende April noch einmal genauer zwischen den Partnern abgesprochen. Dieser sollte jetzt unbedingt eingehalten werden, um alle Ziele zu erreichen, was aus jetziger Sicht sehr wahrscheinlich ist.

Zurück