Projekt
Im Folgenden wird kurz auf das Gesamtziel des Vorhabens eingegangen, welches vom Juli 2013 bis Juni 2015 durch das BMWi gefördert wird:
In diesem FuE-Vorhaben wird das Konsortium zusammen mit der auf IT-Sicherheit und Datennetze spezialisierten Firma DECOIT GmbH und durch die nachhaltige Produktentwicklung bei der Firma neusta GmbH die auf heterogene Sensorereignisse basierenden Verfahren der KI verallgemeinern und ein Analyse- und Prognose-Werkzeug für das verbesserte Monitoring komplexer IT-Infrastrukturen entwickeln. Dabei werden normalisierte Ereignisse aus den Sensorinformationen gesammelt, maschinell gelernt, miteinander zu Regeln vereint und zur Assistenz herangezogen. Als Mehrwert in der Prognose wird in den Regeln auf strukturiertes Hintergrundwissen zugegriffen, selbiges manuell erschlossen oder automatisch generiert. Die Verallgemeinerungen beinhalten Fragestellungen der Übertragbarkeit von Regelmengen, Effizienzsteigerungen für größere Ereignismengen sowie die Verbindung quantitativer mit qualitativer Inferenz.
Das zu entwickelnde SIEM-System kann durch die Verwendung von Ontologien flexibel erweitert werden, d.h. es können verschiedene neue Datenquellen angebunden werden, z.B. ist Nagios oder dem Nagios-Fork Icinga (Kompatibel zu Nagios) eine von der DECOIT GmbH eingesetzte Software, die dem Monitoring komplexer IT-Infrastrukturen dient. Die DECOIT GmbH hat diese Software nicht nur für größere Umgebungen ausfallsicher aufgebaut und setzt diese Lösungen zum pro-aktiven Management ihrer Kundennetze ein, sondern hat beispielsweise Icinga auch bereits um ein intelligentes Eskalationsmanagement erweitert. Man ist daher an der Weiterentwicklung solcher Monitoring-Lösungen stark interessiert.
Die von der neusta GmbH entwickelten Software-Lösungen haben häufig Abhängigkeiten zu eigenen oder externen Schnittstellen, deren Überwachung im Interesse der Kunden liegt. Die neusta GmbH ist daher an einer standardisierten, intelligenten Überwachung dieser Schnittstellen interessiert, um diese den Kunden zusätzlich zu dem bisherigen Projektgeschäft anbieten zu können. Basierend auf der geschaffenen Monitoring-Lösung sollen kundenspezifische Weiterentwicklungen des Produkts erfolgen. Eine standardisierte Lösung bietet einen besseren Kosten-/Nutzen-Faktor im Vergleich zur vollständigen Individualentwicklung, wie sie häufig derzeit der Fall ist. Zudem profitieren durch die stetige Weiterentwicklung auch zukünftige Kunden, wodurch der Vertrieb gestärkt wird und der Umsatz gesteigert werden kann.
Im Gegensatz zu am Markt verfügbaren Produkten ermöglicht unsere Lösung eine neue Form der Ereigniskorrelation, die automatisch neue Angriffsvariationen erkennen kann. Dies steigert die Sicherheit in einem Unternehmensnetz deutlich und verringert den Wartungsaufwand gegenüber manuell zu erstellenden Korrelationsregeln. Dieser Aufgabe will sich die Universität Bremen (TZI) widmen. Die Flexibilität des modellierbaren und nutzbaren Hintergrundwissens ist einzigartig und ermöglicht zur automatischen Verarbeitung der Ereignismeldungen einen (fast) vollständigen Transfer des Expertenwissens in das System. Experten sind meist nur unzureichend in einem Unternehmen verfügbar, daher ist das Konservieren und Transferieren eines Großteils ihres Wissens von besonderem Vorteil. Durch die Bereitstellung von Handlungsanweisungen bei Vorfällen kann auch weniger geschultes Personal auf Sicherheitsvorfälle zügig und korrekt reagieren.
Aufbauend auf bereits gemachten Forschungsarbeiten wird das iMonitor-Projekt die folgenden Projektziele verfolgen:
- Unterstützung weiterer Sensorik: Bisher wurde nur das Intrusion Detection System (IDS) Snort als Sensor verwendet. iMonitor beabsichtigt in diesem Projekt weitere Sensoren anzuschließen wie z.B. Nagios oder Icinga, da viele Unternehmen andere Überwachungs- und Diagnosewerkzeuge für ihre Unternehmensnetze einsetzen. Die Unterstützung unterschiedlicher Sensoren stellt dann eine Herausforderung (Sensorfusion) an die KI-Korrelation dar. Die Datenmenge wird entsprechend größer, während gleichzeitig die Art der Daten heterogen ist. Um diese Herausforderungen zu adressieren, bietet sich beispielsweise das Ensemble-of-Experts-Verfahren wie im IBM-Watson.
- Anschluss an ein schon vorhandenes SIEM: Im Idealfall wird ein vollständiges SIEM-System an die eigene KI-Korrelation angeschlossen. Dann kann auf die aufwendige Sensorik von am Markt bereits vorhandenen SIEM-Systemen zurückgegriffen werden, wie z.B. HP-ArcSight oder IBM QRadar. Die Konsortiumspartner haben gute Kontakte zu größeren Unternehmen in Europa, die HP ArcSight verwenden.
- Entwicklung eines Verfahrens zum datenschutzgerechten Austausch von Angriffswissen zwischen Unternehmen: Informationen über Sicherheitsvorfälle, die von SIEM-Systemen erkannt worden sind, sollen zwischen verschiedenen Unternehmen ausgetauscht werden. Hierzu muss die Information entsprechend anonymisiert werden, wobei z.B. das k-Anonymity-Verfahren eingesetzt werden soll. Die Herausforderung besteht darin, dass nicht entsprechende Details über den konkreten Angriff inkl. Schaden offenbart werden, gleichzeitig aber noch genügend Information, dass der Wissensaustausch den teilnehmenden Unternehmen einen Vorteil bringt.
- Verbesserung der Erklärungen bei der Diagnose von gemeldeten Vorfällen: Bestehende Systeme können für Snort-Sensoren zwar bestimmte potentielle Angriffe mit entsprechenden Wahrscheinlichkeiten auflisten. Dem Sicherheitsverantwortlichen werden bislang aber nicht ausreichende Erklärungen für die gemeldeten Vorfälle gegeben. iMonitor will daher verbesserte Erklärungen ableiten und ggf. Handlungsempfehlungen für Gegenmaßnahmen angeben. In Frage kommen hierfür z.B. Recommender-Systeme, Diagnose-Ansätze und vordefinierte IT-Prozesse gemäß ITIL (IT Infrastructure Library).