Neues Forschungsprojekt GLACIER startet im April

Mit ungefähr zweijähriger Verspätung startete Anfang April das neue Forschungsprojekt GLACIER mit dem Langtitel „Angriffserkennung durch multidimensionale Analyse sicherheitsrelevanter Datenströme“ bei der DECOIT® GmbH in Bremen. Es fanden sich alle Projektpartner, nebst den assoziierten Partnern und dem Projektträger VDI/VDE-IT zum ersten Kick-off-Meeting ein. GLACIER knüpft an die IT-Sicherheitsprojekte der letzten Jahre an, wodurch die DECOIT® GmbH ihre Ausrichtung weiter fokussiert. Außerdem wird sie wieder das Projektmanagement innehaben.

Bei den Partnern ist durch die Hochschule Hannover ein alter Bekannter mit von der Partie. Die Hochschule hat die eigene Forschungsgruppe Trust@HsH aus dem Jahr 2006 konsequent weiter ausgebaut und kann heute auf eine Vielzahl erfolgreicher Forschungsprojekte verweisen. Einige davon sind in der Vergangenheit auch mit der DECOIT® GmbH umgesetzt worden. Als neuer Partner konnte rt-solutions.de gewonnen werden. Die Firma existiert seit dem Jahr 2000 und integriert und betreut SIEM-Systeme für größere Plattformen. Man besitzt ausschließlich den Fokus IT-Sicherheit. Als assoziierte Partner sind die hanseWasser GmbH und die PLATE Büromaterial Vertriebs GmbH an das Projekt angegliedert. Während hanseWasser als KRITIS-Umgebung ihre Infrastruktur dauerhaft gegenüber Angreifern absichern muss, liegt der Schwerpunkt bei PLATE eher auf sensiblen Kundeninformationen, die das Unternehmen nicht verlassen dürfen. Beide Partner eignen sich sehr gut als Testkandidaten, da damit gleichermaßen Produktions- und Büronetze evaluiert werden können, die bekanntlich völlig unterschiedliche Anforderungen besitzen.

Kick-off-Meeting bei der DECOIT® GmbH in Bremen
Kick-off-Meeting bei der DECOIT® GmbH in Bremen

Gegenstand des Vorhabens ist die Entwicklung von fortgeschrittenen Konzepten zur automatischen Aggregation und Analyse sicherheitsrelevanter Netzwerkdaten. Durch die automatisierte Aggregation und Analyse soll dabei nicht nur eine Anomalie erkannt werden, sondern es wird auch die Sicht auf die Daten, die das Fehlverhalten beschreiben, direkter aufgezeigt. Eine manuelle Beschreibung der Aggregation für jede Dimensionskombination entfällt, wodurch die Konfiguration des Systems entscheidend erleichtert werden soll. Besondere Bedeutung kommt dabei der automatischen und effizienten Verarbeitung zu, die auch mit regulärer Hardware zu bewältigen sein muss. Speziell im Rahmen dieser gesteigerten Automatisierung der Auswertungsprozesse bekommt auch die Interpretation der Ergebnisse eine erhöhte Relevanz. Zum einen sollten Ergebnisse und deren Entscheidungsgrundlage auf Basis einer formalisierten Beschreibung (Indicator of Compromise) mit anderen Monitoring- und SIEM-Systemen (Security Information and Event Management) geteilt werden können. Zum anderen muss für die Unterstützung manueller Analyseprozesse die Nachvollziehbarkeit durch einen menschlichen Security-Analysten gewährleistet werden, um angemessene Maßnahmen ergreifen zu können. Hierfür sind Konzepte einer geeigneten Visualisierung relevanter Informationen von zentraler Bedeutung.

Aktuelle Verfahren in der Sicherheitsanalyse können eine solche multidimensionale Verarbeitung bislang nicht leisten. Intelligente Erkennungsmöglichkeiten aufbauend auf dieser Verarbeitung wurden folglich noch nicht untersucht, bieten jedoch vielversprechende Perspektiven für das GLACIER-Projekt.

Das Kick-off-Meeting war sehr konstruktiv. So konnte bereits von der DECOIT® GmbH ein Logo- und Designvorschlag für die Projektwebseite vorgestellt werden, damit zukünftig alle neuen Informationen darüber abrufbar sind. Auch wurde schon eine einheitliche Entwicklungs- und Kommunikationsplattform verabschiedet. Die Arbeiten des ersten Arbeitspakets konnten daher im Anschluss nachmittags besprochen und in die Wege geleitet werden. Erste Architekturvorschläge wurden ebenfalls bereits diskutiert. Somit können nun die Arbeiten endlich verzögerungsfrei beginnen, die mit einem ersten Forschungsantrag Mitte April 2017 ihren ursprünglichen Anfang nahmen.

Zurück