Erkennung von IT-Sicherheitsvorfällen durch effiziente Analyse von Netzwerkdaten
Die Geschäftsprozesse und somit auch der wirtschaftliche Erfolg der meisten Unternehmen hängen in immer stärkerem Maße von IT-Systemen ab, deren Sicherheit eine zunehmende Heraus-forderung darstellt. Die fortschreitende Vernetzung mit Kunden und Zulieferern bietet neue Möglichkeiten für effiziente Prozessabläufe, er-zeugt aber auch komplexe Abhängigkeiten und eröffnet neue Möglichkeiten für Angriffe. Hochprofessionelle, finanziell motivierte Angreifer mit ausgereiften Verwertungsketten bedrohen hier die Unternehmen mit unterschiedlichen kriminellen Methoden. Die manuelle Überwachung sicherheitsrelevanter Eigenschaften ist in diesem Umfeld nicht mehr möglich.
Ziel des Vorhabens GLACIER ist es, fortschrittliche Konzepte zur automatischen Analyse sicherheitsrelevanter Netzwerkdaten zu entwickeln und zu erproben. Damit sollen nicht nur Anomalien erkannt werden, sondern auch die Daten, die das Fehlverhalten beschreiben, direkt aufgezeigt werden. Besondere Bedeutung kommt der automatischen und effizienten Verarbeitung von Netzwerkdaten zu. Die zur Analyse zur Verfügung stehenden Daten sind sehr umfangreich, daher müssen für eine effiziente Verarbeitung relevante Teile schnell erkannt werden. Im Rahmen der gesteigerten Automatisierung der Auswertungsprozesse bekommt die Interpretation der Ergebnisse eine erhöhte Relevanz. Sie muss auch von manuellen Analyseprozessen unterstützt werden können und durch menschliche Security-Analysten nachvollziehbar sein. Nur so können angemessene Maßnahmen gegen Angriffe ergriffen werden. Der geeigneten Visualisierung relevanter Informationen kommt in diesem Zusammenhangeine zentrale Bedeutung zu.
Bisher können große Datenmengen, welche durch die Überwachung eines Netzwerks erhoben werden, oft nur ungenügend ausgewertet werden, da Auswertung und Interpretation leistungsstarke Hardware und umfangreiche Expertise benötigt. Im Kern wird das Projekt GLACIER daher effiziente Verfahren zur automatisierten Datenanalyse entwickeln. Diese effizienten Verfahren ermöglichen es, aus der großen zur Verfügung stehenden Datenmenge die sicherheitsrelevanten zu filtern. Im Weiteren werden die Daten in einfacher, verständlicher Form visuell aufbereitet. Die Ergebnisse des Projekts werden damit die Anforderungen an die Auswertung von Netzwerkdaten senken. Die Auswertung wird mit günstiger Hardware durchführbar sein und durch die Aufbereitung wird eine Nutzung der Daten mit deutlich gesenkten Anforderungen an die Expertise der mit der Netzwerküberwachung betrauten Mitarbeiterinnen und Mitarbeiter möglich sein. Dies wird es gerade auch kleinen und mittleren Unternehmen ermöglichen ihre Netzwerke besser zu überwachen und so ihre IT-Sicherheit zu stärken.