Rückblick zum Cyber Security & Privacy EU Forum 2012
Die DECOIT GmbH war zu einem Workshop des europäischen Forschungsprojektes MASSIF (www.massif-project.eu) im Rahmen des EU-Forums Cyber Security & Privacy (www.cspforum.eu) nach Berlin eingeladen worden, um die Entwicklung der Anomalie-Erkennung zu diskutieren, die im BMBF-Projekt ESUKOM (www.esukom.de) erarbeitet wird. Ziel der Gesamtveranstaltung war es, die in zwei Tagen zwischen dem 24. und 25. April stattfand, Cluster von europäischen Forschungsprojekten zu erwirken, um Forschungsansätze zu bündeln und Entwicklungen voranzubringen. Die DECOIT GmbH hat als Konsortialführer des kooperierenden Forschungsprojektes ESUKOM aktiv an der Diskussion teilgenommen.
Im Rahmen der Veranstaltung wurden diverse Projekte vorgestellt, die sich mit unterschiedlichen Aufgabenstellungen beschäftigt haben. Alle Projekte vereinte aber die Thematiken "Security and Privacy". So wurde z.B. das Projekt ExSec (Experimenting Scalability of Continuous Security Monitoring) vorgestellt, welches ein größeres Integrated Project (IP) darstellt, an dem u.a. auch Fraunhofer FOKUS beteiligt ist. Unter anderem wird BonFIRE genutzt, um Virtuelle Maschinen (VM) auf verschiedene Clouds zu verteilen. Ein Text Describer ist hierbei enthalten, der durch den BonFIRE Service genutzt wird und OVF als Format verwendet. Dieser Service kann dann wiederum auf unterschiedliche Cloud-Provider verteilt werden. Als Performance-Testtool wird u.a. iperf verwendet, um die virtuellen Umgebungen bewerten zu können. Man erhält durch BonFIRE letztendlich Informationen über die Maschinen, die virtuell zur Verfügung gestellt werden. Sicherheitsüberprüfungen müssen auf Infrastruktur-Level vorgenommen werden. Mehr Informationen sind unter http://www.ict-fire.eu nachzulesen.
Der Wert der Privatsphäre wurde ebenfalls in einem gesonderten Panel diskutiert. Hier existiert inzwischen in Europa der ENISA IT-Sicherheitsverbund für Datenschutz und Privatsphäre. Wichtige Fragestellungen waren u.a., wie persönliche Daten von Konsumenten gesammelt werden können, bei entsprechender Skalierbarkeit oder ob bestimmte Benutzer mehr bezahlen würden für einen Dienst, wenn sie dafür eine größere Privatsphäre erhalten. Hierzu wurden Projekte präsentiert, die entsprechende Tests in Laborumgebung durchgeführt und praktische Tests durch öffentliche Webseiten etabliert haben. Anhand von Ticketbestellungen für Kinos konnten so z.B. verschiedene Privatsphären verwendet werden; größere Anonymität beinhaltete dann einen höheren Preis. Die Teilnehmer waren aber nur zu 10% daran interessiert mehr Kosten in Kauf zu nehmen. Auch wurde untersucht, welche Daten überhaupt schützenswert sind. Viele Firmen haben keine Policy bzgl. der Datenaufbewahrung und speichern z.B. Kundendaten bis zu 10 Jahren ab. Ein bestimmtes Konsumentenverhalten kann so natürlich leichter nachvollzogen werden. Die Querverbindungen von sozialen Netzwerken im Internet sind ein weiteres Problem, um an Konsumenteninformationen zu kommen.
Ein anderes Projektbeispiel zeigte auf wie sensible Informationen zwischen verschiedenen Instanzen geteilt werden können, wenn diese sich nicht gegenseitig vertrauen. Als Beispiel wurde der Gesundheitsbereich in Belgien genannt. Diese eHealth Plattform in Belgien wurde 2008 gegründet. Die Regierung verwaltet die Infrastruktur. Als Ziel sollte die Zusammenarbeit zwischen allen Akteuren ermöglicht werden, unter Einbeziehung von IT-Sicherheit und Privatsphäre. Als Anforderungen mussten allen Teilnehmern erst einmal per se vertraut werden, Datenschutz und Zugriffskontrolle integraler Bestandteil sein, die Handhabung einfach sein sowie Integrität und Verfügbarkeit gewährleistet werden können. In Notfallsituationen muss ein Arzt auf alle notwendigen Informationen ohne Probleme zugreifen können. Die Patientendateien liegen als XML vor, um sie zwischen unterschiedlichen Systemen austauschen zu können. Alle Daten werden verschlüsselt. Auch eine sichere Authentifizierung wurde umgesetzt. Das gesamte System beinhaltet eine recht hohe Komplexität, aber auch eine hohe Skalierbarkeit. Bisher wurde die Sicherheitsarchitektur nur als Prototyp realisiert. Die Skalierbarkeit und Performance werden weiter untersucht. Auch die unterschiedlichen Sicherheitsstufen der einzelnen Daten müssen berücksichtigt werden. Es wird nur ein Public Key für das gesamte System verwendet, was die Skalierbarkeit erhöht. Das Projekt Vitalink bewies, dass ein gegenseitiger Trust auch in verteilter Umgebung ermöglicht werden kann, aber die Skalierbarkeit und Performance evtl. darunter leidet. Weitere Informationen lassen sich unter www.vitalink.be abrufen.
Am zweiten Tag wurde das Centre of Experience der Europäischen Kommission, die ENISA – European Network & Information Security vorgestellt. Diese wurde 2004 ins Leben gerufen. Hier werden auch diverse außereuropäische Projekte (z.B. in Australien) inzwischen mit unterstützt. Die Arbeit verschiedener Projekte soll hier zusammengebracht werden. Möglichkeiten und Risiken werden analysiert sowie Implementierungsstrategien gesucht, um Risiken abzuschwächen. Das Thema "Cyber" soll in 2012 in Europa konkret zur Anwendung kommen. Kooperationen mit anderen Communitys sind außerdem elementarer Bestandteil des Projekts. Mehr Informationen lassen sich unter www.enisa.europa.eu abrufen.
In einer Key Note Speech wurde dargestellt, dass heute keiner mehr sich sicher sein kann nicht gehackt zu werden. Eine dynamische Netzentwicklung erschwert den Schutz zunehmend. Es ist nicht mehr möglich das Netzwerk zu kennen und deshalb kann man auch nicht mehr erkennen, wer einen angreift. Früher gab es Viren wie "LoveYou", die den Angreifer nur bekannt machen sollten und Verwirrung stifteten. Heute ist das Schreiben von Malware zu einem Geschäft geworden; man möchte damit schlichtweg Geld verdienen. Stuxnet ist ein weiteres Beispiel, dass Viren sogar als terroristisches Werkzeug verwendet werden können. Die Zeiten sind vorbei, in denen man die Firewalls immer größer dimensioniert, um sich zu schützen. Es muss daher mehr Intelligenz geben, um sich heute absichern: Stichwort "Security Intelligence". Erste Maßnahmen: man muss seine Verletzbarkeit kennen, um sich wirksam schützen zu können. Erste Generation von SIEM ermöglicht heute statistische und regelbasierte Korrelation. Die nächste Generation müssen das Verhalten und der Kontext eines Teilnehmers bzw. einer Anwendung mit berücksichtigen. Virtualisierung erhöht die notwendigen Sicherheitsmaßnahmen, da man z.B. ein ungepatchtes Betriebssystem per Knopfdruck starten könnte; dies wird meistens nicht bei Aufsetzen solcher Infrastrukturen mit beachtet. Heute muss man daher wesentlich besser über sein eigenes Netz Bescheid wissen, als in der Vergangenheit.
Der MASSIF-Workshop, zu dem die DECOIT GmbH als Konsortialführers des ESUKOM-Projektes eingeladen war, bestand aus verschiedenen Präsentationen der Projektteilnehmer sowie einer anschließenden Panel-Diskussion. Fraunhofer SIT stellte das Advanced-Security-Monitoring vor, indem SIEM ein zentraler Bestandteil ist. SIEM steht für Security Information and Event Management und ist keine Technologie, sondern ein Rahmenwerk. SIEM kombiniert SIM (Security Information Management) und SEM (Security Event Management) miteinander. MASSIF selbst ist ein IP-Projekt im FP7 der EU. Anforderungen sind bessere Interoperabilität, Skalierbarkeit und Flexibilität. Das Projekt besteht aus Forschungsinstituten, Industrie und SIEM-Produktprovidern. MASSIF setzt auf ein anforderungsbezogenes Systemdesign: man beginnt bei den Geschäftszielen, geht über zu den genutzten Anwendungen und erst zuletzt zu den Sicherheitsfragen über. Als Anwendungsszenarien kommen Geldüberweisung per Mobiltelefon und Managed Enterprise Service Infrastructure zum Einsatz. Prozesskontrolle kritischer IT-Infrastruktur ist ein wichtiges Ziel von MASSIF. Es wurden eine Menge neuer Empfehlungen aus den Szenarien abgeleitet für die nächste SIEM-Generation. Dazu gehören auch Cross-Layer Event-Filterung zur Zusammenführung unterschiedlicher Meldungen, was mit dem ESUKOM-Ansatz vergleichbar ist. Ein Security Information Metadata Model wurde entwickelt; man ist sich aber noch nicht einig, ob man IF-MAP wie bei ESUKOM verwenden wird.
Im Workshop wurden Kooperationen zu diversen anderen Forschungsprojekten (u.a. ESUKOM) präsentiert. Außerdem wurde eine User Group in MASSIF aufgesetzt, zu der ESUKOM ebenfalls gehört (MASSIF verwendet auch den IF-MAP-Server der FH Hannover aus ESUKOM). Als Roadmap hat man bekannt gegeben zukünftig Clouds und Virtualisierung ebenfalls mit zu betrachten. Das Projekt hat letztendlich eine Menge Ziele für drei Jahre Laufzeit. Mit kritischen Infrastrukturen, die man absichern will, sind im Projekt Infrastrukturen gemeint, die auf allgemeine Dinge wie Gesundheit, öffentliche Sicherheit etc. Auswirkungen haben. So wurde die Infrastruktur der Olympischen Spiele oder die von Staudämmen u.a. als Beispiele auserkoren. Das entwickelte GET-Rahmenwerk ermöglicht dabei die Sammlung unterschiedlicher Events und Zusammenführung in ein gemeinsames Format, um Events miteinander vergleichen zu können. Der grundsätzliche Ansatz ist ein Overlay-Support für Monitoring und Kontrolltechnologien ohne funktionale Eigenschaften. Der Sicherheitsansatz beinhaltet nun die formale Beschreibung des Systemverhaltens und der Sicherheitsanforderungen und keine technische Entwicklung im eigentlichen Sinne. Mehr Informationen können unter www.massif-project.eu abgerufen werden.
Das VIKING-Projekt resümierte, dass die Probleme der Cyber Security gerade erst begonnen haben. Die Integration neuer Systeme ändern die Sicherheitsanforderungen immens. Das Projekt konzentriert sich hauptsächlich auf Cyber-Attacken. Die Universität in Maryland (USA) ist sogar außereuropäischer Projektpartner. E.ON wurde als deutscher Industriepartner gewonnen. Die Möglichkeit zur Abschätzen der Sicherheitsrisiken wurde bisher erarbeitet. Weiterhin ist an einem Filter geforscht worden, der Attacken erkennen und filtern soll. Verschiedene Story Bords sind erarbeitet worden, wobei auch die Kosten fehlender Sicherheitsmaßnahmen mit betrachtet wurden. Weitere Informationen zum Projekt kann über www.vikingproject.eu in Erfahrung gebracht werden.
Die Firma Symantec war ebenfalls vertreten und berichtete über ihr Forschungsprojekt VIS-SENSE, an dem sie beteiligt sind. Der Ansatz ist mehr Intelligenz bei der Erkennung von Attacken einzusetzen. Diverse Attacken-Beispiele wurden genannt. Das Framework TRIAGE wurde zur Ermittlung von Attacken-Attributen entwickelt und basiert auf einem Cluster, der Multi-Criteria Decision Analysis (MCDA) ermöglicht. Die meisten Attacken kommen heute aus China. Die Daten werden im MCDA zusammengeführt. Die symantec.cloud blockierte im Jahre 2011 so alleine 26.000 Attacken durch dynamische Analysen. Symantec nutzt auch ein Tool zur Visualisierung von Attacken. Laut dem Hersteller sind die Zusammenführen und Datenkorrelation die Schlüsselfaktoren der Zukunft. Analyse und Filtern der relevanten Daten ist dabei notwendig, um spätere Malware-Erkennung ermöglichen zu können. Dabei spielt die Skalierbarkeit ist bei der Größe der Netze eine entsprechend wichtige Rolle. Die bisherigen Ergebnisse sind unter www.vis-sense.eu dargestellt.
Abschließend wurde das Syssec-Projekt vorgestellt, die im Bereich “Security, Privacy, and Trust“ forschen. Der Ansatz ist, dass Monitoring-Informationen über verschiedene Domänen geteilt werden sollten, wenn man verteilte Angriffe erkennen will. Es gibt allerdings heute keine gegenseitigen Abkommen zwischen den Providern. Ein Ansatz ist Multiparty-Berechnungen für Netzwerk-Monitoring durchzuführen. Ein anderer Ansatz ist es Blockmon als Open-Source-Tool als flexibles Monitoring-System zu verwenden. Blockmon (http://blockman.sourceforge.net) kann auch in VoIP-Streams Anomalien erkennen, d.h. Online-Streaming von VoIP wird ermöglicht. Das Syssec-Projekt versucht nun die neuen Herausforderungen durch eine sich ändernde Umgebung anzugehen (Smart Devices, Malware, Cyberattacks etc.). Neue Angriffe können auftauchen, wie infizierte Hardware (z.B. Router), infizierte Clouds, verbesserte Malware, mobile Malware und Informationsrisiken durch Datensammlung diverser Daten. Verteilte Umgebungen ermöglichen es dann einfacher einzudringen. Das soll durch das Projekt in Zukunft besser verhindert werden können. Mehr Informationen sind unter www.syssec-project.eu vorhanden.
In der abschließenden Panel-Diskussion des MASSIF-Workshops wurde u.a. diskutiert, wie man falsche Alarme erzeugen und ein Monitoring-System fluten kann, so dass die richtigen Attacken nicht mehr erkannt werden können. Die Ansätze zur Verhinderung eines solchen Szenarios aus MASSIF sind gut, es bleibt aber noch unklar, diese im Detail umgesetzt werden können. Zukünftig könnte der ESUKOM-Ansatz (www.esukom.de) zur Anomalie-Erkennung und Korrelation der Log-Informationen mit in MASSIF eingebracht werden. Allerdings müssen dann die dort im Einsatz befindlichen Sensoren auch in der Lage sein, das Trusted-Computing-Protokoll IF-MAP sprechen zu können. Dies wird bislang noch diskutiert und ist noch nicht umgesetzt worden, was u.a. auch daran liegt, dass neue Protokoll in Embedded Systems wie Sensoren nicht einfach integrierbar sind. Beide Projekte werden sich aber noch rege diesbezüglich weiter austauschen.
