GraphWatch

Graphbasierte teilautomatisierte Anomalieerkennung

Betriebstechnologische Infrastrukturen, zum Beispiel in der digital vernetzten Produktion, bedürfen besonderer Sicherheitslösungen. © Adobe Stock / Patrick Helmholz

Motivation

Während einfache Cyberangriffe mit etablierten Methoden verhindert werden können, stellen sogenannte Advanced Persistent Threats (APTs), also technisch sehr aufwändige Angriffe mit vielen Ressourcen, aufgrund ihrer fortschrittlichen Techniken und Taktiken eine besondere Gefahr dar. Bei APTs bewegen sich Angreifende oft monatelang unentdeckt in einem angegriffenen Netzwerk, passen sich flexibel an die dortigen Verteidigungsmechanismen an und bauen ihre Präsenz aus, bevor sie ihre eigentlichen Ziele umsetzen. Heute übliche Sicherheitssysteme können diese Angriffe oft nicht erkennen. Gleichzeitig wird ebendies immer wichtiger, insbesondere in Umgebungen, in denen sogenannte Operational Technology (OT) zum Einsatz kommt, also beispielsweise automatisierte Produktionsanlagen oder digital vernetzte Steueranlagen in kritischen Infrastrukturen.

Ziele und Vorgehen

Ziel des Projekts „Teilautomatisiertes Threat Hunting mit Graph Neural Networks für Automatisierungsumgebungen“ (GraphWatch) ist es daher, Methoden zu erforschen, die speziell auf die Erkennung von APT-Angriffen in OT-Umgebungen ausgelegt sind. Dabei soll konkret das Konzept des Threat Huntings verfolgt werden. Bei diesem Vorgehen suchen Sicherheitsfachleute gezielt nach Anomalien in Systemen, um Bedrohungen zu identifizieren, bevor sie Schaden verursachen können. Besonders ist hierbei, dass ein teilautomatisiertes System entstehen soll, bei dem Fachkräfte durch die Technologie der graphbasierten Anomalieerkennung unterstützt werden. Graphbasierte Methoden bieten die Möglichkeit, sicherheitsrelevante Ereignisse mithilfe von entsprechenden Informationsmodellen, sogenannten Graph Neural Networks, übersichtlich darzustellen und zu analysieren. Dies ist auch für Vorfälle möglich, die zeitlich sehr weit auseinanderliegen und die in stark vernetzten Systemen auftreten, wie sie für den OT-Bereich charakteristisch sind. Basierend auf den so erzielten Ergebnissen sollen Angriffsindikatoren entwickelt werden, die anschließend in Systemen oder Firewalls zum Schutz der OT-Infrastrukturen implementiert werden können.

Innovationen und Perspektiven

Da bisher existierende graphbasierte Erkennungssysteme für OT-Umgebungen nicht nutzbar sind, sind die Projektentwicklungen eine Innovation, die es insbesondere mittelständischen Unternehmen deutlich einfacher machen wird, sich effektiv gegen APT-Angriffe zu schützen. Zudem ermöglichen die entstehenden Analysen eine effektivere forensische Aufarbeitung von Angriffen inklusive passender Gegenmaßnahmen als Reaktion auf die Angriffe. Die Cybersicherheit am Wirtschaftsstandort Deutschland wird somit nachhaltig und langfristig gestärkt.