CLEARER-Projekt tagte bei der Hochschule Hannover, um erstes Arbeitspaket abzuschließen

Die Partner des CLEARER-Projektes tagten am 17. Oktober 2016 in der Hochschule Hannover, um das erste Arbeitspaket gemeinsam zu finalisieren. Dieses enthält die Konzeptphase sowie die Auswertung und Definition von Angriffs- und Bedrohungsszenarien. Auf Basis dieser Arbeiten sollen die Entwicklungsarbeiten nun starten, die ab November geplant sind.

Zu Anfang wurde durch die DECOIT® GmbH als Projektkoordinator der allgemeine Fortschritt anhand des Projektplans dargestellt und offene Aufgaben angesprochen. Es konnte aber festgestellt werden, dass das Projekt sich derzeit komplett im Zeitplan befindet. Inzwischen wurden auch die Projektwebseiten etabliert, so dass jetzt auch eine bessere Außenwirkung geschaffen werden konnte. Stark diskutiert wurden die Bedrohungsszenarien, um diese endgültig finalisieren zu können. Schließlich einigte man sich auf gemeinsame Nenner, da nicht alle Varianten im Projekt erfasst und berücksichtigt werden können. So soll die gleichzeitige Nutzung verschiedener Endgeräte durch einen Benutzer, die durchaus auch so gewollt sein kann, beispielsweise erst einmal nicht berücksichtigt werden. Als Fazit konnte festgehalten werden, dass man zwischen Szenarien, die theoretisch das System leisten kann, aber für die keine Clients existieren, und denen, die das System am Ende des Projektes erkennen soll, unterscheiden muss.

Abbildung: Projektmeeting in Hannover mit voller Team-Stärke
Abbildung: Projektmeeting in Hannover mit voller Team-Stärke

Ebenfalls wurde in Hannover die SIEM-Architektur endgültig verabschiedet. Diese wird nun diverse IF-MAP-Clients enthalten, die auf die neuen Schnittstellenanforderungen noch angepasst werden müssen. Zudem ist eine fortgeschrittene SIEM-GUI mit integriertem Ticketsystem geplant. Eine Regel-Engine wird durch einen Cluster und die Korrelationslösung Esper realisiert werden. Es wurden aber auch noch offene Baustellen ausgemacht. So ist das genutzte IF-MAP-Protokoll nicht Quality-of-Service-fähig, so dass Events auch verloren gehen könnten. Als Lösung wurde der Einsatz von Puffern in den Clients diskutiert, die auf die Bestätigung des MAP-Servers warten. Dies wäre eine Spezifikationserweiterung, die man bei der Trusted Computing Group (TCG) einreichen könnte. Schließlich sind die Partner Hochschule Hannover und DECOIT® GmbH aktive Mitglieder, die dies bei Bedarf auch anstoßen könnten. Eine Diskussion ist für das nächste TCG Members Meeting im Juni nächsten Jahres geplant.

Bei der Datenbank, die die Datenmengen handhaben soll, ist man sich ebenfalls einig geworden. Es wird nun auf eine Cassandra-Datenbank hinauslaufen, die einen Ereignisspeicher enthält und horizontal beliebig erweitert werden kann. Dadurch ergibt sich eine hohe Ausfallsicherheit. Ein Auditing ist ebenfalls bereits enthalten, so dass Compliance unterstützt werden kann. Dafür wird es eine weitere grafische Oberfläche auf Basis von „Banana“ geben, die den Compliance-Status für ein entsprechendes Auditverfahren wiedergeben kann. Eine Anbindung zu Esper ist ebenfalls vorhanden, so dass die Korrelation der Daten direkt  durchgeführt werden kann.

Die Compliance-Untersuchungen von IT-Security@Work machen ebenfalls Fortschritte. So wurde jetzt der Ablauf eines Audits definiert und in die Analyse mit einbezogen sowie verschiedene Compliance-Standards anhand der Bedrohungsszenarien erarbeitet. Unterteilt wurden die Aufgaben dabei in die Nachweisbarkeit für ein automatisiertes Compliance-System sowie in Regeln für die automatisierte Entscheidungsfindung.

Auch die gemeinsame Testumgebung wurde inzwischen in einer Basisinstallation umgesetzt. Hierauf werden die gemeinsamen Entwicklungen getestet und verschiedene NAC-Systeme evaluiert werden. Es kann daher zeitnah mit der Bearbeitung der nachfolgenden Arbeitspakete begonnen werden.

Zurück