Matthias Wübbeling - Kooperatives IT-Sicherheitsmonitoring

MonIKA: Cooperative IT Security Monitoring
for Competing Participants
Matthias Wübbeling
Arnold Sykosch, Prof. Dr. Michael Meier
Präsentiert auf dem 14. IT-Sicherheitskongress , Bonn, 19.-21. Mai 2015.
© Fraunhofer FKIE
CYBER SECURITY
Inhalt
 IT-Sicherheitsmonitoring
 Information Sharing
 MonIKA-Projekt
 Regelbasierte Pseudonymisierung
 MonIKA-Framework
© Fraunhofer FKIE
IT-Sicherheitsmonitoring
 Security Information and Event Management (SIEM)
 Sammlung und Analyse von Log-Daten
 Korrelation und Alarmierung bei IT-Sicherheitsvorfällen
 Monitoring von Hard- und Software:
 Server
 Switches
 Firewalls
 Arbeitsplätze
 Umsetzung innerhalb eines Unternehmens
 Zentrale Analyse verteilt erhobener Log-Daten
 Gelegentlich Austausch von Alarmen über Unternehmensgrenzen
© Fraunhofer FKIE
Kooperatives IT-Sicherheitsmonitoring
 Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe
 Erkennung von Kommunikation in Folge von Schadsoftware-Infektion
 Versand von SPAM oder Phishing-E-Mails
 Kommunikation von Bot-Netzen
 Schwierigkeiten möglicher Kooperationen:
© Fraunhofer FKIE
Kooperatives IT-Sicherheitsmonitoring
 Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe
 Erkennung von Kommunikation in Folge von Schadsoftware-Infektion
 Versand von SPAM oder Phishing-E-Mails
 Kommunikation von Bot-Netzen
 Schwierigkeiten möglicher Kooperationen:
 Technische Hürden
© Fraunhofer FKIE
Kooperatives IT-Sicherheitsmonitoring
 Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe
 Erkennung von Kommunikation in Folge von Schadsoftware-Infektion
 Versand von SPAM oder Phishing-E-Mails
 Kommunikation von Bot-Netzen
 Schwierigkeiten möglicher Kooperationen:
 Technische Hürden
 Sicherstellung des Datenschutzes
© Fraunhofer FKIE
Kooperatives IT-Sicherheitsmonitoring
 Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe
 Erkennung von Kommunikation in Folge von Schadsoftware-Infektion
 Versand von SPAM oder Phishing-E-Mails
 Kommunikation von Bot-Netzen
 Schwierigkeiten möglicher Kooperationen:
 Technische Hürden
 Sicherstellung des Datenschutzes
 Organisatorische Hürden
© Fraunhofer FKIE
Kooperatives IT-Sicherheitsmonitoring
 Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe
 Erkennung von Kommunikation in Folge von Schadsoftware-Infektion
 Versand von SPAM oder Phishing-E-Mails
 Kommunikation von Bot-Netzen
 Schwierigkeiten möglicher Kooperationen:
 Technische Hürden
 Sicherstellung des Datenschutzes
 Organisatorische Hürden
 Rechtliche Hürden
© Fraunhofer FKIE
Inhalt
 IT-Sicherheitsmonitoring
 Information Sharing
 MonIKA-Projekt
 Regelbasierte Pseudonymisierung
 MonIKA-Framework
© Fraunhofer FKIE
Information Sharing
 Individuelle Kooperation zwischen Unternehmen
 Bilateraler Austausch von Informationen
 Auserwählter Teilnehmerkreis
 Weitergabe von Daten nur eingeschränkt möglich
 Erzwungene Kooperation / Meldepflicht
 Meldung erkannter Sicherheitsvorfälle (reaktiv)
 Skepsis und mangelnde Motivation zum Austausch
 Trotzdem: In den meisten Fällen sinnvoll
© Fraunhofer FKIE
Information Sharing
Begrenzter bilateraler Informationsaustausch
© Fraunhofer FKIE
Inhalt
 IT-Sicherheitsmonitoring
 Information Sharing
 MonIKA-Projekt
 Regelbasierte Pseudonymisierung
 MonIKA-Framework
© Fraunhofer FKIE
MonIKA:
Monitoring durch Informationsfusion und Klassifikation zur
Anomalieerkennung
 Gefördert durch das BMBF
 24 Monate Laufzeit
© Fraunhofer FKIE
MonIKA:
Monitoring durch Informationsfusion und Klassifikation zur
Anomalieerkennung
 Gefördert durch das BMBF
 24 Monate Laufzeit
 Partner:
 Fraunhofer FKIE
© Fraunhofer FKIE
MonIKA:
Monitoring durch Informationsfusion und Klassifikation zur
Anomalieerkennung
 Gefördert durch das BMBF
 24 Monate Laufzeit
 Partner:
 Fraunhofer FKIE
 Cassidian Cybersecurity
© Fraunhofer FKIE
MonIKA:
Monitoring durch Informationsfusion und Klassifikation zur
Anomalieerkennung
 Gefördert durch das BMBF
 24 Monate Laufzeit
 Partner:
 Fraunhofer FKIE
 Cassidian Cybersecurity
 Institut für Informations-,
Telekommunikationsund Medienrecht (ITM)
© Fraunhofer FKIE
MonIKA:
Monitoring durch Informationsfusion und Klassifikation zur
Anomalieerkennung
 Gefördert durch das BMBF
 24 Monate Laufzeit
 Partner:
 Fraunhofer FKIE
 Cassidian Cybersecurity
 Institut für Informations-,
Telekommunikationsund Medienrecht (ITM)
 Unabhängiges Landeszentrum für Datenschutz
Schleswig-Holstein (ULD)
© Fraunhofer FKIE
MonIKA:
Information Sharing
© Fraunhofer FKIE
Inhalt
 IT-Sicherheitsmonitoring
 Information Sharing
 MonIKA-Projekt
 Regelbasierte Pseudonymisierung
 MonIKA-Framework
© Fraunhofer FKIE
Regelbasierte Pseudonymisierung
 Was Pseudonymisierung ist:
 Trade-Off zwischen Verfügbarkeit- und Vertraulichkeit-Anforderungen
(IT-Schutzziele)
 P. ist ein Weg die Interpretierbarkeit von Daten einzuschränken
 P. ersetzt Daten durch einen pseudonymen Platzhalter
 P. kann Daten an einen a-priori bekannten Zweck binden
 P. können aufdeckbar und/oder verkettbar sein
 Was Pseudonymisierung nicht ist:
 P. ist keine Anonymisierung
 P. bietet keine uneingeschränkte Vertraulichkeit
© Fraunhofer FKIE
Regelbasierte Pseudonymisierung
 Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine
zentrale Instanz (Linker) verarbeitet und analysiert die Daten.
 Linker verkettet Pseudonyme zur Analyse
Contributor
Contributor
© Fraunhofer FKIE
Linker
Regelbasierte Pseudonymisierung
für kooperatives IT-Sicherheitsmonitoring
 Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine
zentrale Instanz (Linker) verarbeitet und analysiert die Daten.
 Linker verkettet Pseudonyme zur Analyse
 Anforderungen:
 Linker verarbeiten Daten unterschiedlicher Teilnehmer
 Linker verketten spezifische Datenfelder der Anwendungen
 Teilnehmer wollen Kontrolle über die Vertraulichkeit seiner Daten
 Analyse-Ergebnisse sollen allen Teilnehmern zur Verfügung stehen
 Linker sind nicht per se vertrauenswürdig
 Teilnehmer wollen wenig/keinen Kommunikations-Overhead
© Fraunhofer FKIE
Regelbasierte Pseudonymisierung
für kooperatives IT-Sicherheitsmonitoring
 Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine
zentrale Instanz (Linker) verarbeitet und analysiert die Daten.
 Linker verkettet Pseudonyme zur Analyse
 Anforderungen:
 Linker verarbeiten Daten
unterschiedlicher Teilnehmer
Verfügbarkeitsanforderungen
 Linker verketten spezifische Datenfelder der Anwendungen
 Teilnehmer wollen Kontrolle über die Vertraulichkeit seiner Daten
Vertraulichkeitsanforderungen
 Analyse-Ergebnisse sollen
allen Teilnehmern zur Verfügung stehen
 Linker sind nicht per se vertrauenswürdig
 Teilnehmer wollen wenig/keinen Kommunikations-Overhead
© Fraunhofer FKIE
Regelbasierte Pseudonymisierung
 Regeln = Verfügbarkeitsanforderungen an bereitgestellte Daten
 Ausgehend von Analyse-Algorithmen der Linker
 Beispiel: Analyse von Firewall-Daten
 Analyse-Algorithmus korreliert Zugehörigkeit zu IP-Subnetz
 Verfügbarkeitsanforderung: Bestimmung ob Datenpakete aus dem selben
Subnetz stammen
 Firewall-Daten enthalten IP-Adressen
 Vertraulichkeitsanforderung: Nicht-Identifizierbarkeit einzelner (Arbeitsplatz-)
Computer
 Lösung: z.B. präfixerhaltende Pseudonyme
© Fraunhofer FKIE
Regelbasierte Pseudonymisierung
für kooperatives IT-Sicherheitsmonitoring
 Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine
zentrale Instanz (Linker) verarbeitet und analysiert die Daten.
 Eine vertrauenswürdige Instanz (TTP) ist für den Austausch der
Pseudonymisierungs-Regeln (Verfügbarkeitanforderungen), die Erstellung
kryptografischer zuständig.
TTP
Contributor
Contributor
© Fraunhofer FKIE
Linker
Inhalt
 IT-Sicherheitsmonitoring
 Information Sharing
 MonIKA-Projekt
 Regelbasierte Pseudonymisierung
 MonIKA-Framework
© Fraunhofer FKIE
MonIKA: Framework
Service-Cluster
 Zentrale Instanz des Frameworks (in diesem Fall auch TTP)
 Unterstützt verschiedene Algorithmen (Linker), je nach Analyse-Zweck
Service-Cluster
© Fraunhofer FKIE
MonIKA: Framework
Agent
 Ein Agent betreibt Sensoren für die Aufnahme und Weiterleitung der LogDaten (Diese werden im Agenten pseudonymisiert).
Service-Cluster
Agent (Contributor)
Sensor
© Fraunhofer FKIE
MonIKA: Framework
 Der Austausch von Sensordaten und Analyseergebnissen erfolgt über das
Service-Cluster.
Agent (Contributor)
Sensor
Service-Cluster
Agent (Contributor)
Agent (Contributor)
Sensor
Sensor
© Fraunhofer FKIE
MonIKA: Framework
Pseudonymisierungstechniken
 ID: Pseudonym wird ohne Änderung übernommen
 (verkettbar, aufdeckbar)
 NULL: Zufälliges (evtl. global eindeutiges) Pseudonym
 (nicht verkettbar, nicht aufdeckbar)
 HASH: kryptografischer Hash
 (verkettbar bzgl. Gleichheit, nicht aufdeckbar)
 IPP/Prefix: präfixerhaltendes Pseudonym (z.B. IP, Verzeichnispfad)
 (verkettbar bzgl. Gleichheit des Präfixes, nicht aufdeckbar)
 Zeit/Intervall: distanzerhaltendes Pseudonym
 (verkettbar bzgl. des Abstandes, nicht aufdeckbar)
 PGPEnc: Chiffrat
 (nicht verkettbar, aufdeckbar)
© Fraunhofer FKIE
MonIKA: Datenverarbeitung
© Fraunhofer FKIE
Zusammenfassung
 MonIKA: Grundlage für datenschutzkonformes kooperatives verteiltes ITSicherheits-Monitoring
 Plug-In Analysetechniken
 Pseudonymisierung (konfigurierbar pro Analysemethode)
 Verschlüsselte Kommunikation (Zertifikatbasiert / PKI)
 Sensoragnostik (Anbindung beliebiger Sensorik durch Plug-Ins)
 Verteilung der Analyseergebnisse
 Einsatz-Szenarien:
 Information Sharing Groups trotz wirtschaftlicher Konkurrenz
 Zentrale Meldestelle (auch hierarchische Umsetzung)
 Datenkollektion für Lagebilddarstellung
© Fraunhofer FKIE
Weitere Details und Informationen
 https://net.cs.uni-bonn.de/de/wg/it-sicherheit/projects/monika/
 Ausgewählte Veröffentlichungen, Vorträge, Poster:

Tobias Kiesling, Nils Motsch, Helmut Kaufmann - Cassidian Cybersecurity; Till Elsner, Matthias Wübbeling,
Michael Meier - Fraunhofer FKIE: "Collaborative Security Monitoring based on the MonIKA Framework for
Privacy-Preserving Information Sharing", Future Security, Berlin, 2014.

Arnold Sykosch - Fraunhofer FKIE: "The MonIKA-Framework - A Trial Balloon of a Cooperative Monitoring
Framework for Anomaly Detection", Workshop on Security Incident Information Sharing (SIIS).

Philipp Roos - ITM Uni Münster: "Der Entwurf eines IT-Sicherheitsgesetzes: Regelungsinhalte und ihre
Übereinstimmung mit dem Richtlinienvorschlag der EU-Kommission", In Kommunikation und Recht 2013, S.
769-775.

Philipp Roos, Philipp Schumacher - ITM Uni Münster; Till Elsner, Michael Meier, Matthias Wübbeling Fraunhofer FKIE: "Rechtliche Betrachtung von Maßnahmen zur Botnetzbekämpfung durch Internet-ServiceProvider", 13. Deutscher IT-Sicherheitskongress des BSI.
© Fraunhofer FKIE
Zeit für Fragen
Vielen Dank für Ihre Aufmerksamkeit
Kontakt: [email protected]
© Fraunhofer FKIE

Download Report