Projektbeschreibung

Durch frühere Forschungsprojekte wurden neue Herausforderungen ausgemacht, wie z.B. die ungeheure Logdatenmenge (Big-Data-Problem) und teilweise aufwändige Handhabung. Beides führt dazu, dass solche Systeme bisher wenig eingesetzt werden. CLEARER soll sich nun dieser Problematiken annehmen und eine Lösung entwickeln, die die Qualität der Meldungen verbessert und der Aufwand zur Auswertung minimiert. Dabei wird man eng mit dem NAC-Hersteller macmon secure gmbh zusammenarbeiten. Die weiteren Partner sind IT-Security@Work GmbH, die für die Einbringung einer dynamischen IT-Compliance zuständig ist, und die Hochschule Hannover, die ihre IF-MAP-basierten Entwicklungen einbringen wird. Am Ende soll ein gemeinsamer Prototyp entstehen, der NAC-basierte Systeme um SIEM-Funktionalität erweitert.

Im Kick-off-Meeting wurden die Arbeiten des ersten Arbeitspakets festgelegt und Aufgaben an die Partner verteilt. So wird die DECOIT GmbH die Gesamtarchitektur weiter ausbauen und eine Entwicklungsstrategie der notwendigen Einzelkomponenten erarbeiten. Dabei wird die Verwaltung über eine zentrale grafische Benutzeroberfläche genauso im Vordergrund stehen, wie die intelligente Datenkorrelation, um Log-Informationen effizient auswerten zu können. Die Hochschule Hannover wird sich hingegen um die Big-Data-Problematik und die Visualisierung der Metadaten kümmern. Der Partner IT-Security@Work ist hingegen zur Konzeption der dynamischen IT-Compliance mit an Bord, während der Hersteller macmon secure entsprechende Schnittstellen bereitstellt.

Es wird regelmäßige Telkos und Projekttreffen geben, um die Entwicklung strukturiert voranzutreiben. Zusätzlich werden Meetings zwischen den Entwicklern separat abgehalten werden und die Aufgaben in einzelne Sprints unterteilt. Auch die Kommunikationsplattform wurde im Kick-off-Meeting verabschiedet, so dass die Arbeiten zeitnah starten konnten.

Abbildung: aktuelle CLEARER-Architektur
Abbildung: aktuelle CLEARER-Architektur

Folgende Teilbereiche des CLEARER-Projektes lassen sich daher ausmachen:

  1. Erfassung der Daten: Eine breite Datengrundlage ist von elementarer Bedeutung, um Situationen korrekt einschätzen zu können. Hierzu zählen Informationen über die IT-Infrastruktur sowie Echtzeitdaten der verschiedenen Komponenten, Dienste und Tools. Ein wichtiges Ziel ist daher die Entwicklung von Methoden zur Erfassung solcher Daten und deren effiziente Klassifizierung und Persistierung – auch um eine entkoppelbare Qualifizierung und Auditierung zu ermöglichen.
  2. Analyse der Daten: Da in der Erfassung nicht ausschließlich relevante Daten erhoben werden können, entstehen schnell enorme Datenmengen, die ein solches System nahezu in Echtzeit analysieren muss. Der zeitkritische Anspruch ist notwendig, damit die Einhaltung der Compliance-Regeln sichergestellt werden kann. Hierzu sind u.a. nachvollziehbare Prozesse und zeitnahe Behandlung von Vorfällen notwendig. Technisch sind hierfür Ansätze aus dem Bereich Big Data erforderlich, um die auftretenden Volumina und Transferraten verarbeiten und so eine Vorverarbeitung der Informationen umsetzen zu können.
  3. Umgang mit den Meldungen: Eine weitere Herausforderung besteht im Umgang mit den auftretenden Meldungen. Bei der Meldung jedes einzelnen Vorfalles entstehen immer noch sehr große Datenmengen und es müssen häufig zahlreiche Mitarbeiter in einem mehrstufigen Eskalationsprinzip zur sinnvollen Auswertung und Behandlung involviert werden. Dazu benötigen sie unterschiedliche Informationen, aus den einzelnen Meldungen. Für eine Aggregation der Meldungen werden hingegen geeignete Verfahren benötigt. Heutige SIEM-Systeme können dies bisher nicht leisten.