Semantische Verarbeitung sicherheitsbezogener Ereignisströme

Komplexe IT-Systeme haben heute für viele oft unbewusst, da diese zumeist im Hintergrund arbeiten in fast allen Lebensbereichen Einzug in den Alltag gehalten. Die Betreiber solcher Systeme sehen sich zunehmend mit Herausforderungen wie hochentwickelter Schadsoftware und gezielten Angriffen konfrontiert. Viele für den Benutzer einfach erscheinende Aktivitäten, wie etwa die Nutzung von Kommunikationsdiensten oder ein Login in ein Online-Banking System, erfordern eine Reihe von komplexen technischen Vorgängen. Da diese Vorgänge eine Angriffsfläche bieten, werden sie in der Regel laufend, zusammen mit allgemeinen Informationen über Systemzustände, in umfangreichen Ereignisprotokollen festgehalten. Die zunehmende Fülle der dabei anfallenden Daten stellt verantwortliche Systemadministratoren vor große Herausforderungen. Die Inhalte sind für Computer nicht unmittelbar verständlich und müssen zur Bewertung und Überprüfung der Systemsicherheit oftmals manuell ausgewertet werden. Da dies in größeren Systemen mit hoher Benutzerzahl nicht praktikabel ist, werden illegitime Aktivitäten häufig nicht oder erst sehr spät erkannt. Das Projekt SEPSES verfolgt einen innovativen Ansatz zur Lösung dieser Probleme, indem es Computern ermöglicht, Ereignisströme aus unterschiedlichen Quellen in Echtzeit zu interpretieren und daraus Schlüsse auf möglicherweise stattfindende Angriffe zu ziehen um diese zeitnah zu erkennen, nachzuvollziehen, und zu beseitigen. Dazu bedient sich SEPSES innovativer Methoden und verbindet Sicherheitsforschung mit sogenannten semantischen Technologien und Ansätzen zur Datenstromverarbeitung. Um eine kontinuierliche Erkennung schadhafter Aktivitäten zu ermöglichen, müssen eine Reihe von konzeptionellen und technischen Hürden überwunden werden. Erstens ist es erforderlich, großvolumige Datenströme in Echtzeit zu vereinheitlichen und in eine maschineninterpretierbare Form zu bringen. Dies erfordert die Entwicklung einer für Computer interpretierbaren Beschreibung des relevanten Sicherheitswissens. Zweitens müssen diese Ströme an zentraler Stelle zusammengeführt und integriert werden. Dabei ist es entscheidend, einzelne Vorgänge nicht isoliert zu betrachten, sondern Zusammenhänge (z.B. zwischen einzelnen Aktivitäten eines Angreifers) herzustellen. Der dadurch gewonnene umfassende Blick auf Vorgänge in der Systemlandschaft ermöglicht es drittens, allgemeine Angriffsmuster zu definieren und diese Muster in Echtzeit zu erkennen. Damit können automatisiert Rückschlüsse gezogen werden, die zuvor unerkannte Angriffe aufdecken. Die im Projekt entwickelten Methoden bilden die Grundlagen für den kontinuierlichen Austausch von Sicherheitswissen, das heute einer permanenten Dynamik unterliegt. Damit wird es etwa möglich, eine öffentliche Sammlung von bekannten allgemeinen Angriffsmustern aufzubauen. Außerdem legen die entwickelten Methoden den Grundstein für intelligente Diagnosen und Erkennung neuartiger Angriffsmuster sowie eine Grundlage für innovative Sicherheitsanwendungen, etwa zur nachvollziehbaren Aufbereitung und Visualisierung von Vorgängen, zur Unterstützung von forensischen Analysen, und zum Mining von Protokollarchiven.

Komplexe IT-Systeme haben in fast allen Lebensbereichen Einzug gehalten und sehen sich vielfältigen Bedrohungen - etwa durch hochentwickelte Schadsoftware und gezielte Angriffe - ausgesetzt, die ihre Vertraulichkeit, Integrität und Verfügbarkeit bedrohen. Um Angriffe zu erkennen und auf diese reagieren zu können ist es nötig, umfangreiche Log-Daten - d.h. Protokolle zu Vorgängen in Systemen die Hinweise auf sicherheitsrelevante Vorgänge liefern können - zu erfassen und auszuwerten. Die zunehmende Fülle dieser Daten und deren schwierige Analyse zur Identifikation und Einordnung von relevanten Vorgängen stellt jedoch eine große Herausforderung dar. Dies führt häufig dazu, dass Angriffe nicht oder erst sehr spät erkannt werden. Das Projekt SEPSES setzt an dieser Stelle an und hat sich zum Ziel gesetzt, Log-Daten aus unterschiedlichen Quellen automatisiert in einen Wissensgraphen zu transformieren und diesen mit Informationen über Bedrohungen, Schwachstellen, und Maßnahmen anzureichern. Darauf aufbauend können durch die Suche nach sicherheitsrelevanten Mustern Schlüsse auf mögliche Angriffe gezogen werden, um diese zeitnah zu erkennen, nachzuvollziehen, und zu behandeln. Um dieses Ziel zu erreichen vereinte das Projekt Sicherheitsforschung mit semantischen Technologien und wissensbasierten Ansätzen und entwickelte Techniken, um große und vielfältig strukturierte Log-Datenströme zu vereinheitlichen, diese in eine maschinen-interpretierbare Form zu bringen und sie zu integrieren. Das erforderte die Entwicklung einer automatisiert interpretierbaren Beschreibung von in Log-Daten erfassten Ereignissen. Dabei ist es entscheidend Zusammenhänge - etwa zwischen Hinweisen auf Schritte eines Angriffes in verteilten Systemen - herzustellen. Der dadurch gewonnene umfassende Blick auf Vorgänge ermöglicht es schließlich, allgemeine Angriffsmuster zu definieren und diese Muster zu erkennen. Ein weiteres Projektergebnis sind Methoden für die plattformübergreifende Abfrage von Log-Daten in verteilten Umgebungen, wofür ein Ansatz auf Grundlagen von virtuellen Wissensgraphen entwickelt wurde. Die entwickelten Konzepte, Methoden, und Ressourcen bilden eine Grundlage für die Entwicklung von neuen Werkzeugen für die semantische Sicherheitsanalyse. Diese können durch Integration, Automation, Kontextualisierung und Maschinen-interpretation dazu beitragen Situation besser einschätzen zu können, Fehlalarme zu reduzieren, und die Reaktion auf tatsächliche Vorfällen zu beschleunigen. Die im Projekt entwickelten Methoden unterstützen auch den Austausch von Sicherheitswissen, das heute einer permanenten Dynamik unterliegt. Außerdem legen die entwickelten Methoden den Grundstein für intelligente Diagnosen und Erkennung neuartiger Angriffsmuster sowie für innovative Sicherheitsanwendungen, etwa zur nachvollziehbaren Aufbereitung und Visualisierung von Vorgängen, zur Unterstützung von forensischen Analysen, und zur Anwendung von graphen-orientierten Methoden des Maschinellen Lernens zur Analyse von Log-Daten.