CLEARER-Projekt auf IDAACS' 2017 in Bukarest mit Teilnahme von DECOIT und Hochschule Hannover
Die internationale IDAACS-Konferenz findet bereits seit 2001 alle zwei Jahre statt. Unter der Überschrift „Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications” werden dabei unterschiedliche IT-Themen vorgestellt und diskutiert. Die DECOIT® ist hier seit geraumer Zeit regelmäßig mit Forschungsthemen vertreten. Dieses Jahr fand die Konferenz zwischen dem 21.-23. September statt. Die DECOIT® stellte das CLEARER-Projekt vor, welches relativ großen Zuspruch erhielt. Ausgezeichnet wurde die DECOIT® für ihr zweites Paper zum DRIVE-Projekt, welches sich mit der Implementierung von Trusted Computing beschäftigt. Die Hochschule Hannover war ebenfalls mit zwei Beiträgen vertreten.
Die IDAACS‘ fand in diesem Jahr in Bukarest (Rumänien) an der dortigen Universität bzw. Polytechnikum statt. Bei der Eröffnungssession wurde dabei betont, wie wichtig diese Wissenschaftskonferenz für die gute Kooperation zwischen Ost- und West-Europa ist. Bereits die neunte IDAACS-Konferenz wurde eröffnet, die große Schwerpunkte auf Internet of Things (IoT), Embedded Devices sowie Cyber Security setzte. In der Key Note Session von Prof. Kay Uwe Römer wurde dann auch über das Thema IoT referiert, welches sicherheitskritische Anwendungen beinhaltet. Als Beispiel wurde ein intelligentes Parksystem in Barcelona gezeigt, welches als Testbed im Projekt Dependable Things (www.dependablethings.tugraz.at) zum Einsatz kam. IoT-Anwendungen sind heute allgegenwärtig, aber bestehende Geschäftsmodelle könnten versagen. Attacken und Außeneinflüsse wie Temperatur und Interferenzen können starke Auswirkungen auf IoT-Umgebungen haben. Daher gibt es einen Bedarf nach garantierter Performance!
In weiteren IoT-Vorträgen wurde ein enormes Wachstum vorausgesagt. So meint Cisco Systems, dass bis 2019 ca. 24 Milliarden Internet-verbundene Systeme vorhanden sein werden. Huawei geht des Weiteren davon aus, dass bis 2025 ca. 100 Milliarden IoT-Komponenten existieren werden. Bereits heute gibt es ca. 7,5 Milliarden IP-Kameras und 4 Milliarden Router weltweit. Eine sichere Datenübertragung zwischen existierenden IoT-Systemen ist allerdings oftmals nicht vorgesehen. Dies liegt u.a. auch an den limitierten System-Ressourcen. Hinzu kommen der Energiebedarf und die Kosten, die solche Lösungen ausbremsen.
Bei der Vorstellung des CLEARER-Projektes vom BMWi (ZIM) im „Special Stream in Cyber Security“ wurde von Prof. Kai-Oliver Detken von der DECOIT® GmbH angemerkt, dass heutige Sicherheitslösungen nicht ausreichend gut zusammenarbeiten, da Hersteller nicht an übergreifenden Lösungen interessiert sind. Auch eine gemeinsame Datenbasis existiert nicht. Daher stellen NAC-Systeme bisher eine Zugangskontrolle für Teilnehmer und Endgeräte dar, die sich fast schon etabliert hat (jedenfalls in größeren Unternehmen). Allerdings erkennt ein NAC-System nicht den IT-Sicherheitsstatus eines Unternehmens. Daher will das CLEARER-Projekt bestehende NAC-Systeme um SIEM-Funktionalität erweitern. Dies soll auf Open-Source-Basis geschehen, um speziell KMU eine Lösung anbieten zu können. Wie dies bei dem NAC-System von macmon secure umgesetzt werden kann, wurde exemplarisch vorgestellt. Die Projektergebnisse erzielten eine hohe Aufmerksamkeit. Viele Fragen wurden gestellt und der Vortrag war sehr gut besucht.
Die effektive Priorisierung von Vorfällen war in der gleichen Session ein Thema der Hochschule Hannover von Leonard Renners. Hierfür wurden zuerst SIEM-Hersteller befragt, was die wichtigsten Merkmale für sie sind. Dabei war ein wichtiger Anwendungsfall, dass Meldungen klarer priorisiert werden sollten und die Handhabung deutlich besser werden muss, damit kein IT-Sicherheitsexperte für die Behebung notwendig ist. Vorfälle sollten daher besser nach ihrer Wichtigkeit priorisiert werden, um die IT-Administratoren nicht zu überfordern. Denn zu viele Meldungen führen dazu, dass letztendlich keine Vorfälle untersucht werden. Auch die Fragestellung, ob sich neue Regeln anhand des Verhaltens in der Vergangenheit bilden lassen, wurde untersucht. Die Evaluierung wurde u.a. mit QRadar von IBM und Synthetic Dataset, basierend auf HP ArcSight, durchgeführt. Als Lösung wurde vorgeschlagen, dass ein Schwachstellentool eingebracht werden sollte, welches die Vorfälle auf die wesentlichen reduziert. Dabei sollte ein Regel-basiertes Modell verwendet werden, das aus dem Verhalten in der Vergangenheit lernt.
Im Vortrag der Hochschule Hannover von Bastian Hellmann ging es um das Entwerfen eines Frameworks zur Datenzusammenfassung und Integration. Integraler Bestandteil ist dabei die Event-Analyse und plausible Verifikation zum Erkennen von Veränderungen an Netzwerkkomponenten. Die Integration des Frameworks in ein reales Netzwerk war dabei das Hauptziel. Dazu wurde die Schaffung einer gemeinsamen Datenbank für alle verfügbaren Informationen des Netzwerks vorangetrieben. Anschließend fand eine Homogenisierung der Daten statt, um sie miteinander korrelieren zu können. Die Visualisierung wurde durch VisITMeta (siehe auch github.com/trustathsh) basierend auf IF-MAP entwickelt. Die Skalierbarkeit ist dadurch aber immer noch nicht zufriedenstellend gelöst worden. VisITMeta wird in einem Teilbereich auch im CLEARER-Projekt der DECOIT® GmbH verwendet.
In der Abschluss-Session wurden die Orte für die nächsten IDAACS-Veranstaltungen bekannt gegeben. So wird die nächste IDAACS-Wireless 2018 in der West-Ukraine stattfinden, während die IDAACS-Konferenz 2019 in Metz (Frankreich) geplant ist. Es geht also weiter mit der IDAACS-Geschichte, die auch neue Programm-Komitee-Mitglieder bekanntgab. Dieses Jahr nahmen ca. 100 Teilnehmer an der Konferenz teil, so dass sie auch dieses Mal gut besucht war. Von den eingereichten Vorschlägen wurden 65 % zugelassen, was für die Qualität der Veranstaltung spricht. Abschließend wurden die Paper Awards vergeben, von denen einer auch an die DECOIT® verliehen wurde.