Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen

Transkript

1 Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen Universität Dortmund Fachbereich Informatik, LS 6 Informationssysteme und Sicherheit Alexander Burris Ulrich Flegel Johannes Hoffmann György Kohut Christoph Leuzinger Michael Meier

2 Ein nationales IT-Frühwarnsystem Herausforderungen, Technologien und Architekturen Übersicht: Ziele Gesamtarchitektur Daten- und Vertraulichkeitsschutz Fazit Alexander Burris Ulrich Flegel Johannes Hoffmann György Kohut Christoph Leuzinger Michael Meier

3 A. Burris Ein nationales IT-Frühwarnsystem 3/12 Ziele Nationales IT-Frühwarnsystem zur automatischen und datenschutzkonformen Erkennung bekannter und unbekannter automatisierter Angriffe Meldung von Vorfällen Integration in ein Lagebild

4 A. Burris Ein nationales IT-Frühwarnsystem 4/12 Erkennung Anomalieerkennung Missbrauchserkennung + unbekannte Angriffe - nur bekannte Angriffe - signalisiert nur Anomalien + signalisiert konkrete Angriffe - hohe Fehlalarmrate + niedrige Fehlalarmrate

5 A. Burris Ein nationales IT-Frühwarnsystem 5/12 Erkennung Anomalieerkennung Missbrauchserkennung Kombiniertes System + unbekannte Angriffe + signalisiert konkrete Angriffe + niedrige Fehlalarmrate

6 A. Burris Ein nationales IT-Frühwarnsystem 6/12 NSNHRSLESMSA Gesamtarchitektur Lagezentrum Bedrohungs- Alarm- Malware Malware- Datenbank Nepenthes- Honeypot Sandbox Signatur- Generator Netzwerk- IDS Router Host-IDS Server Sammel- und Alarmbox Erkennungsund Alarmbox Erkennungsund Alarmbox Malware Signaturen Alarme

7 A. Burris Ein nationales IT-Frühwarnsystem 7/12 VSBNAP Sandbox ausgeführte Malware Netzwerk- Stack Beobachtung von Paketinhalten Beobachtung von Protokollabläufen Beobachtung von Applikationsaktionen Verhalten in sicherheitskonformem Zustand Lernverfahren Netzwerk-basierte Protokoll-basierte Applikations-basierte Signaturen

8 A. Burris Ein nationales IT-Frühwarnsystem 8/12 Einsatzszenario Lagezentrum Bedrohungs- Alarm- Domäne D C B A Sammel- und Domäne Y X B A Erkennungsund Alarmbox

9 A. Burris Ein nationales IT-Frühwarnsystem 9/12 Daten- und Vertraulichkeitsschutz Lagezentrum Bedrohungs- Alarm- Domäne D C B A Sammel- und Signaturdaten: Angreifer IP Honeypot IP Zeitstempel Dömanen ID... Domäne Y X B A Erkennungsund Alarmbox

10 A. Burris Ein nationales IT-Frühwarnsystem 10/12 Daten- und Vertraulichkeitsschutz Lagezentrum Bedrohungs- Alarm- Daten- und Vertraulichkeitsschutz Domäne D C B A Sammel- und Informationsreduktion bei notwendiger Verkettbarkeit, ggf. mit Aufdeckung von Pseudonymen Domäne Y X B A Erkennungsund Alarmbox

11 A. Burris Ein nationales IT-Frühwarnsystem 11/12 Fazit Frühwarnsystem: Erkennung und Meldung von Angriffen für Lagebild Erkennung: Kopplung von Honeypot, Sandbox, Lernverfahren Kombination der Erkennungsverfahren konkrete bekannte Angriffe unbekannte Angriffe niedriger Fehlalarmrate Kernproblem: Lernverfahren Meldung: Informationsreduktion für Daten- und Vertraulichkeitsschutz ermöglicht Kooperation verschiedener Domänen Kernproblem: Informationsreduktionsverfahren

12 A. Burris Ein nationales IT-Frühwarnsystem 12/12 Ende Fragen?