CYBER SECURITY. MonIKA: Cooperative IT Security Monitoring for Competing Participants. Matthias Wübbeling Arnold Sykosch, Prof. Dr.

Transkript

1 MonIKA: Cooperative IT Security Monitoring for Competing Participants Matthias Wübbeling Arnold Sykosch, Prof. Dr. Michael Meier Präsentiert auf dem 14. IT-Sicherheitskongress, Bonn, Mai CYBER SECURITY

2 Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework

3 IT-Sicherheitsmonitoring Security Information and Event Management (SIEM) Sammlung und Analyse von Log-Daten Korrelation und Alarmierung bei IT-Sicherheitsvorfällen Monitoring von Hard- und Software: Server Switches Firewalls Arbeitsplätze Umsetzung innerhalb eines Unternehmens Zentrale Analyse verteilt erhobener Log-Daten Gelegentlich Austausch von Alarmen über Unternehmensgrenzen

4 Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing- s Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen:

5 Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing- s Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: Technische Hürden

6 Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing- s Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: Technische Hürden Sicherstellung des Datenschutzes

7 Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing- s Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: Technische Hürden Sicherstellung des Datenschutzes Organisatorische Hürden

8 Kooperatives IT-Sicherheitsmonitoring Erkennung der Vorbereitung, des Versuchs und erfolgreicher Angriffe Erkennung von Kommunikation in Folge von Schadsoftware-Infektion Versand von SPAM oder Phishing- s Kommunikation von Bot-Netzen Schwierigkeiten möglicher Kooperationen: Technische Hürden Sicherstellung des Datenschutzes Organisatorische Hürden Rechtliche Hürden

9 Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework

10 Information Sharing Individuelle Kooperation zwischen Unternehmen Bilateraler Austausch von Informationen Auserwählter Teilnehmerkreis Weitergabe von Daten nur eingeschränkt möglich Erzwungene Kooperation / Meldepflicht Meldung erkannter Sicherheitsvorfälle (reaktiv) Skepsis und mangelnde Motivation zum Austausch Trotzdem: In den meisten Fällen sinnvoll

11 Information Sharing Begrenzter bilateraler Informationsaustausch

12 Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework

13 MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit

14 MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit Partner: Fraunhofer FKIE

15 MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit Partner: Fraunhofer FKIE Cassidian Cybersecurity

16 MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit Partner: Fraunhofer FKIE Cassidian Cybersecurity Institut für Informations-, Telekommunikationsund Medienrecht (ITM)

17 MonIKA: Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung Gefördert durch das BMBF 24 Monate Laufzeit Partner: Fraunhofer FKIE Cassidian Cybersecurity Institut für Informations-, Telekommunikationsund Medienrecht (ITM) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)

18 MonIKA: Information Sharing

19 Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework

20 Regelbasierte Pseudonymisierung Was Pseudonymisierung ist: Trade-Off zwischen Verfügbarkeit- und Vertraulichkeit-Anforderungen (IT-Schutzziele) P. ist ein Weg die Interpretierbarkeit von Daten einzuschränken P. ersetzt Daten durch einen pseudonymen Platzhalter P. kann Daten an einen a-priori bekannten Zweck binden P. können aufdeckbar und/oder verkettbar sein Was Pseudonymisierung nicht ist: P. ist keine Anonymisierung P. bietet keine uneingeschränkte Vertraulichkeit

21 Regelbasierte Pseudonymisierung Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine zentrale Instanz (Linker) verarbeitet und analysiert die Daten. Linker verkettet Pseudonyme zur Analyse Contributor Contributor Linker

22 Regelbasierte Pseudonymisierung für kooperatives IT-Sicherheitsmonitoring Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine zentrale Instanz (Linker) verarbeitet und analysiert die Daten. Linker verkettet Pseudonyme zur Analyse Anforderungen: Linker verarbeiten Daten unterschiedlicher Teilnehmer Linker verketten spezifische Datenfelder der Anwendungen Teilnehmer wollen Kontrolle über die Vertraulichkeit seiner Daten Analyse-Ergebnisse sollen allen Teilnehmern zur Verfügung stehen Linker sind nicht per se vertrauenswürdig Teilnehmer wollen wenig/keinen Kommunikations-Overhead

23 Regelbasierte Pseudonymisierung für kooperatives IT-Sicherheitsmonitoring Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine zentrale Instanz (Linker) verarbeitet und analysiert die Daten. Linker verkettet Pseudonyme zur Analyse Anforderungen: Linker verarbeiten Daten Verfügbarkeitsanforderungen unterschiedlicher Teilnehmer Linker verketten spezifische Datenfelder der Anwendungen Teilnehmer wollen Kontrolle über die Vertraulichkeit seiner Daten Analyse-Ergebnisse sollen Vertraulichkeitsanforderungen allen Teilnehmern zur Verfügung stehen Linker sind nicht per se vertrauenswürdig Teilnehmer wollen wenig/keinen Kommunikations-Overhead

24 Regelbasierte Pseudonymisierung Regeln = Verfügbarkeitsanforderungen an bereitgestellte Daten Ausgehend von Analyse-Algorithmen der Linker Beispiel: Analyse von Firewall-Daten Analyse-Algorithmus korreliert Zugehörigkeit zu IP-Subnetz Verfügbarkeitsanforderung: Bestimmung ob Datenpakete aus dem selben Subnetz stammen Firewall-Daten enthalten IP-Adressen Vertraulichkeitsanforderung: Nicht-Identifizierbarkeit einzelner (Arbeitsplatz-) Computer Lösung: z.b. präfixerhaltende Pseudonyme

25 Regelbasierte Pseudonymisierung für kooperatives IT-Sicherheitsmonitoring Ein Menge Teilnehmer (Contributor) stellen Daten zur Verfügung, eine zentrale Instanz (Linker) verarbeitet und analysiert die Daten. Eine vertrauenswürdige Instanz (TTP) ist für den Austausch der Pseudonymisierungs-Regeln (Verfügbarkeitanforderungen), die Erstellung kryptografischer zuständig. Contributor TTP Contributor Linker

26 Inhalt IT-Sicherheitsmonitoring Information Sharing MonIKA-Projekt Regelbasierte Pseudonymisierung MonIKA-Framework

27 MonIKA: Framework Service-Cluster Zentrale Instanz des Frameworks (in diesem Fall auch TTP) Unterstützt verschiedene Algorithmen (Linker), je nach Analyse-Zweck Service-Cluster

28 MonIKA: Framework Agent Ein Agent betreibt Sensoren für die Aufnahme und Weiterleitung der Log- Daten (Diese werden im Agenten pseudonymisiert). Service-Cluster Agent (Contributor) Sensor

29 MonIKA: Framework Der Austausch von Sensordaten und Analyseergebnissen erfolgt über das Service-Cluster. Agent (Contributor) Sensor Service-Cluster Agent (Contributor) Agent (Contributor) Sensor Sensor

30 MonIKA: Framework Pseudonymisierungstechniken ID: Pseudonym wird ohne Änderung übernommen (verkettbar, aufdeckbar) NULL: Zufälliges (evtl. global eindeutiges) Pseudonym (nicht verkettbar, nicht aufdeckbar) HASH: kryptografischer Hash (verkettbar bzgl. Gleichheit, nicht aufdeckbar) IPP/Prefix: präfixerhaltendes Pseudonym (z.b. IP, Verzeichnispfad) (verkettbar bzgl. Gleichheit des Präfixes, nicht aufdeckbar) Zeit/Intervall: distanzerhaltendes Pseudonym (verkettbar bzgl. des Abstandes, nicht aufdeckbar) PGPEnc: Chiffrat (nicht verkettbar, aufdeckbar)

31 MonIKA: Datenverarbeitung

32 Zusammenfassung MonIKA: Grundlage für datenschutzkonformes kooperatives verteiltes IT- Sicherheits-Monitoring Plug-In Analysetechniken Pseudonymisierung (konfigurierbar pro Analysemethode) Verschlüsselte Kommunikation (Zertifikatbasiert / PKI) Sensoragnostik (Anbindung beliebiger Sensorik durch Plug-Ins) Verteilung der Analyseergebnisse Einsatz-Szenarien: Information Sharing Groups trotz wirtschaftlicher Konkurrenz Zentrale Meldestelle (auch hierarchische Umsetzung) Datenkollektion für Lagebilddarstellung

33 Weitere Details und Informationen Ausgewählte Veröffentlichungen, Vorträge, Poster: Tobias Kiesling, Nils Motsch, Helmut Kaufmann - Cassidian Cybersecurity; Till Elsner, Matthias Wübbeling, Michael Meier - Fraunhofer FKIE: "Collaborative Security Monitoring based on the MonIKA Framework for Privacy-Preserving Information Sharing", Future Security, Berlin, Arnold Sykosch - Fraunhofer FKIE: "The MonIKA-Framework - A Trial Balloon of a Cooperative Monitoring Framework for Anomaly Detection", Workshop on Security Incident Information Sharing (SIIS). Philipp Roos - ITM Uni Münster: "Der Entwurf eines IT-Sicherheitsgesetzes: Regelungsinhalte und ihre Übereinstimmung mit dem Richtlinienvorschlag der EU-Kommission", In Kommunikation und Recht 2013, S Philipp Roos, Philipp Schumacher - ITM Uni Münster; Till Elsner, Michael Meier, Matthias Wübbeling - Fraunhofer FKIE: "Rechtliche Betrachtung von Maßnahmen zur Botnetzbekämpfung durch Internet-Service- Provider", 13. Deutscher IT-Sicherheitskongress des BSI.

34 Zeit für Fragen Vielen Dank für Ihre Aufmerksamkeit Kontakt: