Ein Netzplan und die Realität verhalten sich so zueinander wie eine Karte und das abgebildete Gebiet: sie stimmen niemals exakt überein. Administratoren operieren also immer auf der Basis von Annahmen, wie ihr Netz in Wirklichkeit aussieht. Beim Thema IT-Sicherheit ist das jedoch eine denkbar schlechte Ausgangsposition. Das Forschungsprojekt Wintermute soll helfen, diese Lücke zu schließen.
Mit der Beteiligung von neun Forschungspartnern aus Wissenschaft und Wirtschaft verfolgt Wintermute die Zielsetzung, eine besonders leistungsfähige, neue Firewall-Generation zu realisieren. Diese soll für den Benutzer ein zutreffendes Lagebild über den Zustand seines Netzwerks visualisieren und dabei auch Drill-Downs, d. h. interaktive Detailbetrachtungen, ermöglichen. Anhand dieses Lagebildes kann der Anwender wirksame und sinnvolle Maßnahmen in seinem Netzwerk formulieren und umsetzen – beispielsweise Sicherheitsrichtlinien aufstellen, die einen bestimmten Netzverkehr erlauben oder verbieten.
Technologiekaskade mit drei Komponenten
Als Expertensystem leistet Wintermute somit wertvolle Hilfe beim Verstehen des Netzes sowie bei der Behandlung von Sicherheitsfragen. Zu den besonderen Eigenschaften der Lösung zählt, dass die genannten Punkte durch den Einsatz moderner User-Experience-Technologien und KI erreicht werden. Dabei konzentriert sich das Forschungsprojekt auf die Entwicklung von drei aufeinander aufbauenden Komponenten in Form von Demonstratoren: Understand, Control und Adjust.
Informationen visualisieren und analysieren
Die Understand-Komponente von Wintermute soll die Komplexität eines Netzes für Administratoren übersichtlich aufbereiten. Hierzu werden sich ähnlich verhaltende Teilnehmer der Kommunikation (Geräte, Applikationen, Anwender) zusammengefasst, etwa basierend auf Kategorien wie „ähnliche Struktur des Datenverkehrs“ oder „von Anwendern mit denselben Rollen verwendet“. Dadurch können Administratoren besser verstehen, welche Verhaltensmuster in ihrem Netz typischerweise vorkommen. Die zur Darstellung verwendete Kategorisierung und der Grad der Aggregation soll von den Benutzern intuitiv an ihre Bedürfnisse angepasst werden können und unterschiedliche Sichten auf das Netz ermöglichen.
Zur Ermittlung und Darstellung des Verhaltens des Netzes wird zum einen der Datenverkehr an sich analysiert, darüber hinaus aber auch dessen Kommunikationsmuster mit einbezogen. Dies erlaubt auch die Analyse von verschlüsseltem Datenverkehr. Diese Informationen werden kombiniert mit Kontextwissen aus internen Netzmanagement- bzw. Inventory-Management-Systemen sowie externen Threat-Intelligence-Quellen. Die Vielfalt und Tiefe der Informationen wird es ermöglichen, nicht nur die verwendeten Betriebssysteme und Applikationen, sondern auch spezifisches Anwenderverhalten einzubeziehen.
Sicherheitspolicies festlegen
Aufbauend auf der verbesserten Sicht der Understand-Komponente auf das tatsächliche Verhalten des Netzes ermöglicht es die Control-Komponente, für den Administrator verständliche Sicherheitspolicies zu definieren und somit die erlaubten Aktivitäten engmaschig festzulegen. Dabei sind je nach den in der Umgebung verfügbaren Information entweder netzwerk- und applikationszentrierte Policies zur Mikro-Segmentierung oder auch Applikations- und anwenderzentrierte Policies für Zero-Trust-Architekturen umsetzbar. Weiterhin ist zu berücksichtigen, dass es neben eindeutig zulässigen bzw. unzulässigen Kommunikationsmustern auch Verhalten geben kann, für das ad hoc keine eindeutige Entscheidung getroffen werden kann. Hier muss das System einen (vom Administrator einstellbaren) Kompromiss zwischen Risikoreduktion und Benutzbarkeit finden.
Angesichts der hohen Dynamik von Unternehmensnetzen bestehen an dieser Stelle zwei besondere Herausforderungen: erstens sind über lange Zeit stabile Policies zu schaffen, die hinreichend tolerant gegenüber sich dynamisch änderndem Kommunikationsverhalten sind, und so ohne ständige manuelle Nachjustierung durch den Administrator einen engen Schutz bieten. Das System sollte daher langzeitstabile Kommunikationsmuster erkennen und dem Administrator Vorschläge für passende Policies geben. Zweitens müssen veraltete Regeln und ggf. auch Regeln, die über einen langen Zeitraum nie angeschlagen haben, identifiziert und dem Administrator zur Entfernung vorgeschlagen werden, um die Übersichtlichkeit und Beherrschbarkeit der Policies zu erhalten.
Veränderungen erkennen und kontrollieren
Hier kommt die dritte Komponente ins Spiel: Adjust soll dem Administrator den Umgang mit Veränderungen im Netz erleichtern. Veränderungen können zum Beispiel durch neu installierte Geräte, Programme oder neue Aufgaben eines Mitarbeiters verursacht werden, aber auch durch einen sich im Netzwerk bewegenden Angreifer. Um effektiv auf erkannte Änderungen zu reagieren, muss der Administrator diese daher priorisiert dargestellt bekommen, zur Beurteilung notwendige Informationen schnell erhalten und ausgehend davon die entsprechende Reaktion, wie etwa Änderungen an den Policies, zügig vornehmen können.
Die Adjust-Komponente liefert Kontextwissen, das die Beurteilung einer Änderung erleichtert. Hierzu werden u. a. die Ergebnisse der Machine-Learning-basierten Traffic-Analyse aus der Understand-Komponente herangezogen. Damit kann dem Administrator beispielsweise mitgeteilt werden, dass ein neues, dem System jedoch unbekanntes Gerät von einem bereits bekannten Anwender verwendet wird – oder von einem Anwender, dessen Verhalten einem bereits bekannten Anwender gleicht.
Hohe Praxisrelevanz
Mit Wintermute wird ein wesentlicher Schritt hin zu einer klareren Sicht auf das Verhalten von Netzen gegangen. Diese Sicht dient zur wohlinformierten und einfachen Erstellung enger Sicherheitspolicies sowie zur Erkennung von Verhaltensänderungen mit nachvollziehbaren Aussagen. Die Erkenntnisse des Forschungsprojektes fließen in die Entwicklung der IT-Security-Lösungen von Genua mit ein, sodass diese sowohl noch benutzerfreundlicher als auch effektiver im Sinne der IT-Sicherheit werden. Ein Beispiel ist der Netzwerkschutz cognitix Threat Defender. Davor sind aber noch weitere Projekt-Meilensteine zu absolvieren. Es geht hierbei etwa darum, welche Datenquellen sich in einem Netz „anzapfen“ lassen, um Erkenntnisse über dessen Topologie und Konfiguration zu erhalten und erste Sicherheitsaussagen treffen zu können.
Genua GmbH, Kirchheim bei München
Wintermute: Forschungspartner
Im Verbund der Forschungspartner von Wintermute übernimmt die Genua GmbH, ein deutscher Spezialist für IT-Sicherheit und ein Unternehmen der Bundesdruckerei-Gruppe, die Rolle des Konsortialführers. Projektpartner des hochkarätigen Expertennetzwerkes aus Wissenschaft und Wirtschaft sind
- die Arbeitsgruppe Mensch-Technik-Interaktion der Universität Bremen
- der Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen an der Otto-Friedrich-Universität Bamberg
- der Lehrstuhl für Informatik III (Kommunikationsnetze) der Universität Würzburg
- ACS acs plus GmbH, Berlin (KMU)
- IN IsarNet Software Solutions GmbH, München (KMU)
- Renk AG, Augsburg (assoziiert)
- XITASO GmbH, Augsburg (assoziiert)
- BSI Bundesamt für Sicherheit in der Informationstechnik, Bonn (assoziiert)
Mit der so gewährleisteten Forschungs- und Praxisnähe ist es möglich, sowohl praxisrelevante Expertise einzuarbeiten als auch adäquate Datenquellen zu erheben und auf Basis der Innovationen im Bereich KI zu verarbeiten. Das Projekt läuft bis 2023 und erhält eine Förderung vom Bundesministerium für Bildung und Forschung.
Autor: Alexander von Gernler
Leiter Research und Innovation,
Genua
