Logo
User: Guest  Login
Authors:
Mundt, Michael; Baier, Harald 
Document type:
Konferenzbeitrag / Conference Paper 
Title:
Gib dem Dino Futter - adaptive Detektion von Bedrohungen in KRITIS-Netzwerken mittels Open-Source-Forensik 
Collection editors:
DFN-Cert 
Title of conference publication:
31. DFN-Konferenz "Sicherheit in vernetzten Systemen" 
Conference title:
DFN-Konferenz "Sicherheit in vernetzten Systemen" (31. 2024, Hamburg) 
Venue:
Hamburg 
Year of conference:
2024 
Date of conference beginning:
30.01.2024 
Date of conference ending:
31.01.2024 
Publisher:
Springer 
Year:
2024 
Language:
Deutsch 
Keywords:
Open-Source-Forensik ; Cyber Threat Intelligence ; Adaptive Detektion ; CTI-bekannten Bedrohungen 
Abstract:
Der Cyberspace ist ein sehr dynamischer Raum. Immer neue Angriffsvektoren treten auf, wie z.B. die Infiltration der Lieferketten von Software-Produkten im Falle des SolarWinds-Vorfalls oder der Diebstahl eines Master-Keys für Microsoft-Clouddienste. Diese Bedrohungen machen vor kritischen Infrastrukturen (KRITIS) nicht halt. IT-Ausfälle durch Cyberangriffe sind oft nur eine Frage der Zeit. So konnte beispielsweise der Landkreis Anhalt-Bitterfeld im Jahr 2021 nach einer Cyber-Attacke keine Sozialleistungen für 157.000 Bürger auszahlen und musste die Arbeit für zweieinhalb Wochen größtenteils einstellen. Der Gesetzgeber greift regulativ ein und schreibt Zertifizierungen (z.B. ISO 27001) und Methoden (z.B. IT-Grundschutz) vor. In der vorliegenden Arbeit stellen wir einen adaptiven Ansatz vor, der die Verteidigung der KRITIS dynamisch auf die Bedrohungslage ausrichtet. Wir kombinieren dazu Informationen der Cyber Threat Intelligence (CTI) mit Methoden der adaptiven Live-Forensik zur Detektion und Anpassung der Sicherheitsmaßnahmen. Zur konkreten Umsetzung verwenden wir die MITRE ATT&CK-Wissensbasis für die CTI sowie Velociraptor als Tool der Digital Forensics and Incident Response (DFIR). Anhand eines ausgewählten Advanced Persistent Threat (APT) aus dem Kontext der Operational Technology (OT) evaluieren wir unser Verfahren und zeigen exemplarisch, wie das effektive Zusammenwirken zur Detektion und Reaktion funktioniert. Es ist davon auszugehen, dass das ausgewählte APT derzeit auch in der Ukraine und in West-Europa eingesetzt wird, so dass unser Beispiel eine aktuelle und tatsächliche Gefahr für KRITIS betrachtet. Auf Grund der flexiblen Anpassung unseres Ansatzes können KRITIS-Institutionen ihre Maßnahmen der aktuellen Gefahr anpassen. 
Department:
Fakultät für Informatik 
Institute:
INF 6 - Institut für Systemsicherheit 
Chair:
Baier, Harald 
Research Hub UniBw M:
CODE 
Open Access yes or no?:
Nein / No 
Miscellaneous:
Voraufnahme