@inproceedings{, author = {Mundt, Michael; Baier, Harald}, title = {Gib dem Dino Futter - adaptive Detektion von Bedrohungen in KRITIS-Netzwerken mittels Open-Source-Forensik}, editor = {DFN-Cert}, booktitle = {31. DFN-Konferenz "Sicherheit in vernetzten Systemen"}, series = {}, journal = {}, address = {}, publisher = {Springer}, edition = {}, year = {2024}, isbn = {}, volume = {}, number = {}, pages = {}, url = {}, doi = {}, keywords = {Open-Source-Forensik ; Cyber Threat Intelligence ; Adaptive Detektion ; CTI-bekannten Bedrohungen}, abstract = {Der Cyberspace ist ein sehr dynamischer Raum. Immer neue Angriffsvektoren treten auf, wie z.B. die Infiltration der Lieferketten von Software-Produkten im Falle des SolarWinds-Vorfalls oder der Diebstahl eines Master-Keys für Microsoft-Clouddienste. Diese Bedrohungen machen vor kritischen Infrastrukturen (KRITIS) nicht halt. IT-Ausfälle durch Cyberangriffe sind oft nur eine Frage der Zeit. So konnte beispielsweise der Landkreis Anhalt-Bitterfeld im Jahr 2021 nach einer Cyber-Attacke keine Sozialleistungen für 157.000 Bürger auszahlen und musste die Arbeit für zweieinhalb Wochen größtenteils einstellen. Der Gesetzgeber greift regulativ ein und schreibt Zertifizierungen (z.B. ISO 27001) und Methoden (z.B. IT-Grundschutz) vor. In der vorliegenden Arbeit stellen wir einen adaptiven Ansatz vor, der die Verteidigung der KRITIS dynamisch auf die Bedrohungslage ausrichtet. Wir kombinieren dazu Informationen der Cyber Threat Intelligence (CTI) mit Methoden der adaptiven Live-Forensik zur Detektion und Anpassung der Sicherheitsmaßnahmen. Zur konkreten Umsetzung verwenden wir die MITRE ATT&CK-Wissensbasis für die CTI sowie Velociraptor als Tool der Digital Forensics and Incident Response (DFIR). Anhand eines ausgewählten Advanced Persistent Threat (APT) aus dem Kontext der Operational Technology (OT) evaluieren wir unser Verfahren und zeigen exemplarisch, wie das effektive Zusammenwirken zur Detektion und Reaktion funktioniert. Es ist davon auszugehen, dass das ausgewählte APT derzeit auch in der Ukraine und in West-Europa eingesetzt wird, so dass unser Beispiel eine aktuelle und tatsächliche Gefahr für KRITIS betrachtet. Auf Grund der flexiblen Anpassung unseres Ansatzes können KRITIS-Institutionen ihre Maßnahmen der aktuellen Gefahr anpassen.}, note = {}, institution = {Universität der Bundeswehr München, Fakultät für Informatik, INF 6 - Institut für Systemsicherheit, Professur: Baier, Harald}, }