MonIKA: Cooperative IT Security Monitoring for Competing Participants Matthias Wübbeling Arnold Sykosch, Prof. Dr. Michael Meier Präsentiert auf dem 14. IT-Sicherheitskongress , Bonn, 19.-21. Mai 2015. © Fraunhofer FKIE CYBER SECURITY Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework © Fraunhofer FKIE IT-Sicherheitsmonitoring Security Information and Event Management (SIEM) Sammlung und Analyse von Log-Daten Korrelation und Alarmierung bei IT-Sicherheitsvorfällen Monitoring von Hard- und Software: Server Switches Firewalls Arbeitsplätze Umsetzung innerhalb eines Unternehmens Zentrale Analyse verteilt erhobener Log-Daten Gelegentlich Austausch von Alarmen über Unternehmensgrenzen © Fraunhofer FKIE Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing-E-Mails Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: © Fraunhofer FKIE Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing-E-Mails Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: Technische Hürden © Fraunhofer FKIE Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing-E-Mails Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: Technische Hürden Sicherstellung des Datenschutzes © Fraunhofer FKIE Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing-E-Mails Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: Technische Hürden Sicherstellung des Datenschutzes Organisatorische Hürden © Fraunhofer FKIE Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing-E-Mails Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: Technische Hürden Sicherstellung des Datenschutzes Organisatorische Hürden Rechtliche Hürden © Fraunhofer FKIE Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework © Fraunhofer FKIE Information Sharing Individuelle Kooperation zwischen Unternehmen Bilateraler Austausch von Informationen Auserwählter Teilnehmerkreis Weitergabe von Daten nur eingeschränkt möglich Erzwungene Kooperation / Meldepflicht Meldung erkannter Sicherheitsvorfälle (reaktiv) Skepsis und mangelnde Motivation zum Austausch Trotzdem: In den meisten Fällen sinnvoll © Fraunhofer FKIE Information Sharing Begrenzter bilateraler Informationsaustausch © Fraunhofer FKIE Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework © Fraunhofer FKIE MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit © Fraunhofer FKIE MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit Partner: Fraunhofer FKIE © Fraunhofer FKIE MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit Partner: Fraunhofer FKIE Cassidian Cybersecurity © Fraunhofer FKIE MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit Partner: Fraunhofer FKIE Cassidian Cybersecurity Institut für Informations-, Telekommunikationsund Medienrecht (ITM) © Fraunhofer FKIE MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit Partner: Fraunhofer FKIE Cassidian Cybersecurity Institut für Informations-, Telekommunikationsund Medienrecht (ITM) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) © Fraunhofer FKIE MonIKA: Information Sharing © Fraunhofer FKIE Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework © Fraunhofer FKIE Regelbasierte Pseudonymisierung Was Pseudonymisierung ist: Trade-Off zwischen Verfügbarkeit- und Vertraulichkeit-Anforderungen (IT-Schutzziele) P. ist ein Weg die Interpretierbarkeit von Daten einzuschränken P. ersetzt Daten durch einen pseudonymen Platzhalter P. kann Daten an einen a-priori bekannten Zweck binden P. können aufdeckbar und/oder verkettbar sein Was Pseudonymisierung nicht ist: P. ist keine Anonymisierung P. bietet keine uneingeschränkte Vertraulichkeit © Fraunhofer FKIE Regelbasierte Pseudonymisierung Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine zentrale Instanz (Linker) verarbeitet und analysiert die Daten. Linker verkettet Pseudonyme zur Analyse Contributor Contributor © Fraunhofer FKIE Linker Regelbasierte Pseudonymisierung für kooperatives IT-Sicherheitsmonitoring Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine zentrale Instanz (Linker) verarbeitet und analysiert die Daten. Linker verkettet Pseudonyme zur Analyse Anforderungen: Linker verarbeiten Daten unterschiedlicher Teilnehmer Linker verketten spezifische Datenfelder der Anwendungen Teilnehmer wollen Kontrolle über die Vertraulichkeit seiner Daten Analyse-Ergebnisse sollen allen Teilnehmern zur Verfügung stehen Linker sind nicht per se vertrauenswürdig Teilnehmer wollen wenig/keinen Kommunikations-Overhead © Fraunhofer FKIE Regelbasierte Pseudonymisierung für kooperatives IT-Sicherheitsmonitoring Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine zentrale Instanz (Linker) verarbeitet und analysiert die Daten. Linker verkettet Pseudonyme zur Analyse Anforderungen: Linker verarbeiten Daten unterschiedlicher Teilnehmer Verfügbarkeitsanforderungen Linker verketten spezifische Datenfelder der Anwendungen Teilnehmer wollen Kontrolle über die Vertraulichkeit seiner Daten Vertraulichkeitsanforderungen Analyse-Ergebnisse sollen allen Teilnehmern zur Verfügung stehen Linker sind nicht per se vertrauenswürdig Teilnehmer wollen wenig/keinen Kommunikations-Overhead © Fraunhofer FKIE Regelbasierte Pseudonymisierung Regeln = Verfügbarkeitsanforderungen an bereitgestellte Daten Ausgehend von Analyse-Algorithmen der Linker Beispiel: Analyse von Firewall-Daten Analyse-Algorithmus korreliert Zugehörigkeit zu IP-Subnetz Verfügbarkeitsanforderung: Bestimmung ob Datenpakete aus dem selben Subnetz stammen Firewall-Daten enthalten IP-Adressen Vertraulichkeitsanforderung: Nicht-Identifizierbarkeit einzelner (Arbeitsplatz-) Computer Lösung: z.B. präfixerhaltende Pseudonyme © Fraunhofer FKIE Regelbasierte Pseudonymisierung für kooperatives IT-Sicherheitsmonitoring Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine zentrale Instanz (Linker) verarbeitet und analysiert die Daten. Eine vertrauenswürdige Instanz (TTP) ist für den Austausch der Pseudonymisierungs-Regeln (Verfügbarkeitanforderungen), die Erstellung kryptografischer zuständig. TTP Contributor Contributor © Fraunhofer FKIE Linker Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework © Fraunhofer FKIE MonIKA: Framework Service-Cluster Zentrale Instanz des Frameworks (in diesem Fall auch TTP) Unterstützt verschiedene Algorithmen (Linker), je nach Analyse-Zweck Service-Cluster © Fraunhofer FKIE MonIKA: Framework Agent Ein Agent betreibt Sensoren für die Aufnahme und Weiterleitung der LogDaten (Diese werden im Agenten pseudonymisiert). Service-Cluster Agent (Contributor) Sensor © Fraunhofer FKIE MonIKA: Framework Der Austausch von Sensordaten und Analyseergebnissen erfolgt über das Service-Cluster. Agent (Contributor) Sensor Service-Cluster Agent (Contributor) Agent (Contributor) Sensor Sensor © Fraunhofer FKIE MonIKA: Framework Pseudonymisierungstechniken ID: Pseudonym wird ohne Änderung übernommen (verkettbar, aufdeckbar) NULL: Zufälliges (evtl. global eindeutiges) Pseudonym (nicht verkettbar, nicht aufdeckbar) HASH: kryptografischer Hash (verkettbar bzgl. Gleichheit, nicht aufdeckbar) IPP/Prefix: präfixerhaltendes Pseudonym (z.B. IP, Verzeichnispfad) (verkettbar bzgl. Gleichheit des Präfixes, nicht aufdeckbar) Zeit/Intervall: distanzerhaltendes Pseudonym (verkettbar bzgl. des Abstandes, nicht aufdeckbar) PGPEnc: Chiffrat (nicht verkettbar, aufdeckbar) © Fraunhofer FKIE MonIKA: Datenverarbeitung © Fraunhofer FKIE Zusammenfassung MonIKA: Grundlage für datenschutzkonformes kooperatives verteiltes ITSicherheits-Monitoring Plug-In Analysetechniken Pseudonymisierung (konfigurierbar pro Analysemethode) Verschlüsselte Kommunikation (Zertifikatbasiert / PKI) Sensoragnostik (Anbindung beliebiger Sensorik durch Plug-Ins) Verteilung der Analyseergebnisse Einsatz-Szenarien: Information Sharing Groups trotz wirtschaftlicher Konkurrenz Zentrale Meldestelle (auch hierarchische Umsetzung) Datenkollektion für Lagebilddarstellung © Fraunhofer FKIE Weitere Details und Informationen https://net.cs.uni-bonn.de/de/wg/it-sicherheit/projects/monika/ Ausgewählte Veröffentlichungen, Vorträge, Poster: Tobias Kiesling, Nils Motsch, Helmut Kaufmann - Cassidian Cybersecurity; Till Elsner, Matthias Wübbeling, Michael Meier - Fraunhofer FKIE: "Collaborative Security Monitoring based on the MonIKA Framework for Privacy-Preserving Information Sharing", Future Security, Berlin, 2014. Arnold Sykosch - Fraunhofer FKIE: "The MonIKA-Framework - A Trial Balloon of a Cooperative Monitoring Framework for Anomaly Detection", Workshop on Security Incident Information Sharing (SIIS). Philipp Roos - ITM Uni Münster: "Der Entwurf eines IT-Sicherheitsgesetzes: Regelungsinhalte und ihre Übereinstimmung mit dem Richtlinienvorschlag der EU-Kommission", In Kommunikation und Recht 2013, S. 769-775. Philipp Roos, Philipp Schumacher - ITM Uni Münster; Till Elsner, Michael Meier, Matthias Wübbeling Fraunhofer FKIE: "Rechtliche Betrachtung von Maßnahmen zur Botnetzbekämpfung durch Internet-ServiceProvider", 13. Deutscher IT-Sicherheitskongress des BSI. © Fraunhofer FKIE Zeit für Fragen Vielen Dank für Ihre Aufmerksamkeit Kontakt: [email protected] © Fraunhofer FKIE
© Copyright 2024 ExpyDoc