Drittes Konsortialtreffen des ScanBox-Projekts in Berlin
Am 12. Februar 2019 fand nunmehr das dritte Konsortialtreffen des Forschungsprojektes ScanBox (www.scanbox-project.de) in Berlin statt. Die Partner DECOIT® GmbH (Projektleitung, Entwicklung), Telco Tech GmbH (UTM-Hersteller) und Hochschule Brandenburg (Entwicklung) berichteten über den aktuellen Status der Arbeiten. Dafür wurde die Gastfreundschaft der EuroNorm GmbH, die eng mit Telco Tech zusammenarbeitet, erneut gerne in Anspruch genommen, da dieser Standort in Berlin sehr gut erreichbar ist.
Im ScanBox-Projekt soll die UTM-Lösung der Firma Telco Tech GmbH um SIEM-Funktionalitäten erweitert werden. Dafür wurde als Hardware-Plattform die LiSS 3000 auserwählt, die bei der DECOIT® GmbH einigen Performance- und Langzeit-Tests unterworfen wurde und für das Projekt passenderweise in ScanBox 3000 umbenannt wird. Dabei erzeugten die sehr großen Logmengen bei Debug-Ausgaben eine sehr hohe I/O-Last. Der Einsatz von SSD-Festplatten und weitere Optimierungen der Datenbank können die Performance allerdings noch weiter erhöhen, so dass die Projektpartner glauben eine ausreichend effektive Hardware-Plattform gefunden zu haben.
Zum Testen wurde der Prototyp des CLEARER-Projektes (www.clearer-project.de) verwendet, der im Rahmen von ScanBox weiterentwickelt wird. Während des Treffens zeigte die DECOIT® GmbH neue Funktionalitäten, wie die sog. Pagination (Seitendarstellung) und die Möglichkeit die Vielzahl von Vorfällen zu filtern. Auch eine Performance-Verbesserung der Datenbankschicht anhand der Testergebnisse wurde vorgenommen. Erste Vorarbeiten zum Einlesen von Windows-Logs über eine WMI-Schnittstelle sind ebenfalls angegangen worden. Dazu nahm man die ersten Logs des assoziierten Partners HanseWasser, um erste Analysen durchführen zu können. Grundsätzlich fehlen aber noch konkrete Anwendungsszenarien, welche Vorfälle auf Basis der Logs erkannt werden sollen.
Beim Treffen wurden daher auch noch einmal abschließend die Einsatzszenarien diskutiert, die auf den späteren Prototyp zukommen würden. Dabei hat speziell das Szenario die größte Gewichtung, welches den Anschluss der ScanBox 3000 an das LAN und das Produktionsnetz gleichermaßen vorsieht. Alle Geräte des Kundennetzes werden dabei in einem Inventar erfasst, indem passiv alle MAC-Adressen erfasst werden. Das ist notwendig, da in einem Produktionsnetz die enthaltenen Komponenten nicht aktiv gescannt werden dürfen. Die gesammelten Daten (Logs des Mirror-Ports eines Switches und/oder Windows-Server-Logs) sollen zunächst auf der Appliance gesammelt und bei zunehmendem Datenvolumen in eine Private Cloud ausgelagert werden. Die Daten sollen das Unternehmensnetz nicht verlassen.
Weiterhin wurden alle Anforderungen an die Hardware-Plattform besprochen und abschließend festgelegt, bevor es um die Schwachstellenerkennung ging. Dabei wurde speziell das CVE-Search-Tool (www.cve-search.org) von der Hochschule Brandenburg untersucht. Mit diesem Tool können Schwachstellen in eine Datenbank importiert werden, um die bestehende Unternehmensumgebung zu analysieren und die Informationen auch Offline verwenden zu können. Darüber sind auch Korrelationen der unterschiedlichen Schwachstellen machbar, so dass dies ein guter Ansatz wäre die BSI-Empfehlungen in technische Richtlinien umzusetzen.
Das Projekt tritt nun in seine entscheidende Phase ein, in der die Konzeption beendet und die Entwicklung forciert wird. Dabei hilft der assoziierte Partner HanseWasser aus Bremen mit, die relevanten Anforderungen zu erfassen und neue Leistungsmerkmale in die Entwicklung einfließen zu lassen. Weitere Anwendungspartner sollen hinzukommen, um später ein möglichst breites Spektrum abdecken zu können. Dabei kommt der DECOIT® GmbH zugute, dass bereits auf einige Vorarbeiten früherer F&E-Projekte aufgebaut werden kann. Das ScanBox-Projekt wird im April 2020 enden.