Kick-off-Meeting von CLEARER fand bei der DECOIT GmbH statt

Das CLEARER-Projekt nahm im Mai 2016 seine Forschungsarbeiten auf. Das Projekt, welches vom BMWi für eine Laufzeit von zwei Jahren im Rahmen des ZIM-Programms gefördert ist, wird sich mit der Erfüllung von Compliance‐Anforderungen durch automatisierte Bearbeitung von IT-Sicherheitsvorfällen beschäftigen. NAC- oder SIEM-Systeme nehmen sich der Zugangskontrolle und Netzwerküberwachung zwar auch an, berücksichtigen aber oftmals keine automatisierte Compliance-Steuerung. In diese Lücke stößt CLEARER und bezieht bei der Realisierung ein bestehendes Network Access Control (NAC) System mit ein. Das Kick-off-Meeting fand am 23. Mai bei dem Projektleiter DECOIT GmbH in Bremen mit den weiteren Partnern des Projektes statt.

Geräte, die zu einem Unternehmensnetz Zugang erhalten, sollten sich nach bestimmten Richtlinien (Policys) verhalten bzw. konfiguriert sein. Der Fokus liegt dabei allerdings heute meistens auf den Endgeräten und nicht auf dem Benutzer selbst. Die IT-Sicherheit bzw. IT-Compliance-Aspekte werden nicht dediziert berücksichtigt. Dies ist bei SIEM-Systemen anders. Hier handelt es sich um Monitoring-Systeme mit dem Fokus auf die IT-Sicherheit, weshalb diverse Ereignismeldungen (Alarme) aus verschiedenen Datenquellen (Firewall-Logs, Datenbank-Logs, Intrusion-Detection-Systemen) gesammelt und zusammengeführt werden. Die Menge dieser Datenquellen wird auch als Sensorik bezeichnet. Auf diese Weise können sicherheitsrelevante Informationen zentralisiert ausgewertet und den Verantwortlichen aus den Bereichen IT, Informationssicherheit sowie Management zur Verfügung gestellt werden. Die SIEM-Anwender sollen einen für sie relevanten globalen Überblick über den Sicherheitszustand des Unternehmensnetzes erhalten. Eine wesentliche Aufgabe eines SIEM-Systems besteht in der Korrelation der verschiedenen Ereignisse (aus der Sensorik), um dadurch dem Anwender nur die für ihn relevanten Meldungen präsentieren zu können. Im Gegenzug zur normalen Logauswertung können damit komponentenübergreifende Ereignisse erkannt werden.

Abbildung: Erster Architekturentwurf von CLEARER
Abbildung: Erster Architekturentwurf von CLEARER

Durch frühere Forschungsprojekte wurden neue Herausforderungen ausgemacht, wie z.B. die ungeheure Logdatenmenge (Big-Data-Problem) und teilweise aufwändige Handhabung. Beides führt dazu, dass solche Systeme bisher wenig eingesetzt werden. CLEARER soll sich nun dieser Problematiken annehmen und eine Lösung entwickeln, die die Qualität der Meldungen verbessert und der Aufwand zur Auswertung minimiert. Dabei wird man eng mit dem NAC-Hersteller macmon secure gmbh zusammenarbeiten. Die weiteren Partner sind IT-Security@Work GmbH, die für die Einbringung einer dynamischen IT-Compliance zuständig ist, und die Hochschule Hannover, die ihre IF-MAP-basierten Entwicklungen einbringen wird. Am Ende soll ein gemeinsamer Prototyp entstehen, der NAC-basierte Systeme um SIEM-Funktionalität erweitert.

Im Kick-off-Meeting wurden die Arbeiten des ersten Arbeitspakets festgelegt und Aufgaben an die Partner verteilt. So wird die DECOIT GmbH die Gesamtarchitektur weiter ausbauen und eine Entwicklungsstrategie der notwendigen Einzelkomponenten erarbeiten. Dabei wird die Verwaltung über eine zentrale grafische Benutzeroberfläche genauso im Vordergrund stehen, wie die intelligente Datenkorrelation, um Log-Informationen effizient auswerten zu können. Die Hochschule Hannover wird sich hingegen um die Big-Data-Problematik und die Visualisierung der Metadaten kümmern. Der Partner IT-Security@Work ist hingegen zur Konzeption der dynamischen IT-Compliance mit an Bord, während der Hersteller macmon secure entsprechende Schnittstellen bereitstellt.

Es wird regelmäßige Telkos und Projekttreffen geben, um die Entwicklung strukturiert voranzutreiben. Zusätzlich werden Meetings zwischen den Entwicklern separat abgehalten werden und die Aufgaben in einzelne Sprints unterteilt. Auch die Kommunikationsplattform wurde im Kick-off-Meeting verabschiedet, so dass die Arbeiten zeitnah starten konnten.

Zurück