DECOIT GmbH präsentiert Forschungsergebnisse auf der RSA-Konferenz 2015

Seit 1993 findet die RSA-Konferenz jährlich in San Francisco, USA, statt. Sie zählt mit 33.000 Teilnehmern zu der größten und wichtigsten IT-Sicherheitskonferenz weltweit. Dabei wurde in diesem Jahr am 20. April im Rahmen von über 490 Vorlesungen, Keynotes, Tutorials und Seminaren von 700 Vortragenden über IT-Sicherheit geredet. Unter dem Motto „Change: Challenge today’s security thinking“ ging es darum die heutigen Herausforderungen des sich immer schneller verändernden IT-Umfeldes zu meistern ohne die Sicherheit zu vernachlässigen. Die DECOIT GmbH war vor Ort, um Forschungsergebnisse aus den Projekten SIMU und iMonitor zu präsentieren und mit anderen Wissenschaftlern Lösungen zu diskutieren.

Empfangshalle der RSA-Konferenz
Empfangshalle der RSA-Konferenz

Gerade die Trends mit „Bring Your Own Device“ (BYOD) oder „Internet of Things“ (IoT) stellen die IT-Sicherheit vor große Herausforderungen. BYOD birgt die Gefahr, dass weniger gut gesicherte private Geräte das Unternehmensnetz kompromittieren können und durch IoT lassen sich einfach Bewegungs-/ Verhaltensprofile von Benutzern erstellen.

Dabei hilft es nicht höhere Mauern um die IT-Infrastruktur zu bauen, denn Angreifer finden immer einen Weg hindurch (Amit Yoran, RSA Präsident der RSA-Konferenz 2015). Hier hat Yoran auch auf die aktuell populären SIEM-Systeme angespielt und gesagt das diese nicht die Probleme lösen werden. Denn im Jahr 2014 wurden weniger als 1 % der Angriffe von SIEM-Systemen erkannt (Verizon Data Breach Investigation Report). Vielmehr ist ein SIEM-System als eine wichtige Komponente in der IT-Sicherheitsarchitektur eines Unternehmens zu sehen.

Ein weiteres Problem ist das Verhalten der Unternehmen, nachdem sie gehackt wurden. Die meisten versuchen schnellst möglich ihre Systeme wieder neu aufzusetzen, indem sie die Systeme komplett neu installieren oder ein Backup einspielen. Dieses Verhalten hat zur Folge, dass nicht nachvollzogen werden kann, wer Zugriff auf ein System erlangt hat und vor allem wie. Dadurch wissen viele Unternehmen nicht, welche Lücken sie in ihrem Netz haben und wie sie diese schließen können.

Vortragssaal der RSA-Konferenz
Vortragssaal der RSA-Konferenz

Häufig spielt die Bequemlichkeit der Nutzer eine Rolle. Sie opfern Sicherheit der Bequemlichkeit. Ein Beispiel ist der grafische Passwortschutz (Muster) von Android-Geräten. Die meisten Benutzer in den westlichen Ländern fangen oben links an mit ihrem Muster und nutzen nur drei bis vier Punkte. Empfehlenswert ist allerdings die Nutzung aller verfügbaren Punkte, bei Android sind es neun.

Die meisten Probleme sind durch aktuell vorhandene Technologien durchaus lösbar. Sie müssen nur richtig eingesetzt werden. Hier setzt die DECOIT GmbH mit ihren Forschungsprojekten SIMU (simu-project.de) und iMonitor (www.imonitor-project.de) an. Vor allem für KMU werden hier die vorhandenen Technologien einfacher gestaltet, um sie effizient und kostengünstig einzusetzen.

Demoshowcases der DECOIT und der Hochschule Hannover

Die DECOIT GmbH stellte zusammen mit der Hochschule Hannover im Rahmen des Seminars „TCG: Should We Trust Mobile Computing, IoT and the Cloud? No, But There Are Solutions” Teilergebnisse aus ihren Forschungsprojekten SIMU (simu-project.de) und iMonitor (www.imonitor-project.de) vor. Hierfür wurden zwei Demoshowcases gezeigt.

Erster Demoshowcase der DECOIT GmbH und der Hochschule Hannover
Erster Demoshowcase der DECOIT GmbH und der Hochschule Hannover

Im ersten Demoshowcase "Near real-time network security with an IF-MAP based SIEM approach" wurde die Realisierung eines SIEM-Systems mit Hilfe des TCG-Standards IF-MAP gezeigt. Der Ansatz nutzt, im Gegensatz zum klassischen SIEM-System, keine klassische Datenbank (z.B. SQL), sondern den IF-MAP-Graphen als Datenspeicher. Mit Hilfe von Mustern (Pattern Matching) wird in dem Graphen nach IT-Sicherheitsvorfällen gesucht. Sobald ein Muster in dem Graphen erkannt wird, leitet das System den dazu passenden Eintrag an die SIEM-GUI weiter. Auf der SIEM-GUI wird dann eine Handlungsempfehlung dargestellt, so dass der IT-Administrator entsprechend auf den Vorfall reagieren kann ohne Expertenwissen zu besitzen.

In dem zweiten Showcase "BYOD solutions well in hand: standards-based mobile security" wurde das Thema BYOD mit Hilfe von IF-MAP erläutert und die Interoperabilität zum Policy Enforcement Point (PEP) von Pulse Secure aufgezeigt. Konkret ging es darum zu erkennen, ob ein mobiles Endgerät einen Angriff auf das interne Netz des Unternehmens ausführt. Hierzu werden die Anmeldedaten der Endgeräte und die Daten weiterer Netzkomponenten (Snort, Nagios, DHCP, iptables) in einem IF-MAP-Graphen gehalten und durch eine Korrelation ausgewertet. Wurde durch die Korrelation ein Angriff, bzw. ein Fehlverhalten, eines Endgerätes erkannt, soll der PEP dieses Gerät vom internen Unternehmensnetz ausschließen.

Die RSA-Konferenz war für die DECOIT GmbH ein voller Erfolg. Während der Showcases führten wir viele interessante Gespräche mit Teilnehmern. Weiterhin wurden durch Fachvorträge neue Ideen gesammelt.

Zurück