Fünftes Konsortialtreffen des ZenSIM4.0-Projekts mit Vorstellung des finalen CSAF-Demonstrators
Das fünfte Konsortialtreffen des ZenSIM4.0-Projektes fand erneut Ende Januar bei der DECOIT® in Bremen statt. Zu Gast waren die Partner Hochschule Bremen und das VDE@CERT aus Frankfurt. Der Abschluss der AP3-Arbeiten (Entwicklung der Plattform) wurde besprochen und die aktuellen AP4-Arbeiten (Erprobung und Validierung) diskutiert. Im nächsten Schritt müssen die Feldtests (AP5) für das Projekt angegangen werden, da dies Ende September endet.
Bei der Entwicklung der Plattform wurde sich gegen eine ausgiebige KI-Nutzung entschieden, da diese im Testbetrieb zu viele Falschmeldungen generierte. Eine regelbasierte Analyse wurde daher als effektiver angesehen und eigene Regeln dafür geschrieben. Die Visualisierung der Ereignisse, basierend auf Rückmeldungen von Anwendern, wurde parallel von der DECOIT® entwickelt und in das eigene SIEM-System ScanBox® in die Version 2.0 integriert. Eine erste prototypische Realisierung zeigt die Abbildung 1. Sie soll es IT-Administratoren ermöglichen, die keine Sicherheitsexperten sind, effektiv über die relevantesten Schwachstellen informiert zu werden. Die Version 2.0 verwendet nun Elastic Security als Basis. Hinzu kommt, dass nun nicht mehr nur Netzdaten analysiert, sondern auch Logdaten mit in die Anomalie-Analyse einbezogen werden. Es lassen sich dafür Agenten für beliebige Betriebssysteme ausrollen. Damit kann die DECOIT® alle Empfehlungen des BSI zur Einhaltung des Sicherheitsgesetzes 2.0 erfüllen. Aktuell wird ein Kundennetz mit ca. 4.500 Knoten damit ausgestattet. Die Fertigstellung der ScanBox-Version 2.0 wird für Ende März geplant.
Bei der Erprobung und Validierung konnte der CSAF-Demonstrator (siehe Abbildung 2), der von der DECOIT® entwickelt wurde, getestet und mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen erprobt werden. Auf dem Konsortialtreffen gab es dann auch eine Vorführung des Demonstrators für alle Partner. Aktuell sind alle Komponenten, bis auf eine optionale Oberfläche, entwickelt worden. Der CSAF-Consumer enthält einen Update-Service, der in regelmäßigen Intervallen die lokale CSAF-Datenbank aktualisiert. Die Datenbank speichert die CSAF-Dokumente ab, während der Asset-Matcher bei entsprechender Übereinstimmung ein Ticket erzeugt. Das heißt, es wird nach Produktnummer, Version und Produktname gesucht. Der Asset-Scanner findet die Asset-Informationen im Netzwerk des Betreibers dabei durch aktives Scannen kontinuierlich heraus. Die Herausforderung dabei ist der Herstellername, da sich dieser durch das Scannen nicht ermitteln lässt. Auch das Matching der Versionen klappt nur, wenn das Versionsschema bekannt ist. Ein Matching-Beispiel wurde im Detail gezeigt.
Die Hochschule Bremen hat hingegen weiter an ihrer Simulationsplattform gearbeitet, die auch für die Feldtests genutzt werden soll. Hier wird ein komplettes Industrienetz simuliert und Angriffsszenarien getestet. Verschiedene selbst entwickelte Angriffsszenarien wurden daher auch bei dem Treffen vorgestellt und mit den Partnern diskutiert. Auch eine Live-Demo der Simulationsumgebung war dabei. Das VDE@CERT hat hingegen das CSAF-Provider-Hosting auf der eigenen Webseite umgesetzt. Dabei haben sich Herausforderungen durch neue Datenformate, neue Importer und neue Suchanfragen ergeben. Der Quellcode des Open-Source-basierten CSAF-Providers ist allerdings in einem schlechten Zustand bzw. hat eine schlechte Qualität. Die schlechte Installierbarkeit macht CSAF daher momentan leider noch nicht anwendbar.
Das ZenSIM4.0-Projekt geht in diesem Jahr in seine entscheidende Phase. Nach der Entwicklungs- und Implementierungsarbeit stehen nun Tests, Analysen und Umsetzung in der Simulationsumgebung an. Dann wird sich zeigen, wie die gesamte Plattform reagiert und wo es noch Verbesserungsbedarf gibt.