Kollaboratives Melde- und Frühwarnsystem in der Cybersicherheit
Art der Arbeit: Masterarbeit
Fachlicher Hintergrund:
Für kritische Infrastruktur gelten in vielen Ländern Regeln, die eine Meldung von Vorfällen an eine staatlichen Stelle vorsehen. Die Hoffnung der Gesetzgeber dabei ist, dass aus der Vielzahl der Meldungen ein Lagebild erstellt werden kann und die gewonnenen Informationen zur Prävention verwendet werden können. Dem entgegen steht die Befürchtung, durch eine Meldung eines erfolgreichen Angriffs Nachteile, wie Reputationsschäden, öffentlicher Spott, das Bekanntwerden von Geschäftsgeheimnissen zu haben. Außerdem könnten die Melder befürchten, noch eher ins Visier weiterer Angreifer zu geraten.
Grundsätzlich sind zwei Modelle denkbar:
- Erstellung eines zentralen Lagebildes und zentrale Weitergabe der Informationen
- Permanenter Peer-To-Peer-Austausch der Informationen und permanente Bewertung des eigenen Risikos.
Aufgabenbeschreibung:
Im Rahmen der Arbeit soll eine Lösung für ein anonymisiertes Meldesystem zum gegenseitigen Vorteil konzeptionell und prototypisch entwickelt werden.
Es sollen einige der folgenden Fragestellungen beantwortet werden - jede davon hat das Potential für eine eigene Masterarbeit:
- Wie kann die Anonymität gewährleistet werden? Wie lassen sich identifizierende Informationen dabei ausblenden? Welcher Grad der Anonymität ist dabei notwendig?
- Wie lassen sich Angriffe und Vorfälle standardisiert melden? Welche Informationen müssen dabei fließen? Welche Datenformate kommen in Frage? Wie wird das technisch realisiert?
- Wie garantiert man im allgemeinen Interesse, dass Geben und Nehmen sich die Waage halten?
- Wie filtert man die für einen selbst relevanten Informationen? Welche Granularität müssen Meldungen haben, um sinnvoll nutzbar zu sein?
Dabei sind drei Aufgabengruppen denkbar:
- Entwicklung der notwendigen Protokolle für den anonymen Austausch sicherheitsrelevanter Daten einschließlich Subscription / Filtern der relevanten Daten für die jeweils relevanten Empfänger.
- Anonymisierung.
- Erstellung eines Lagebildes aus der Vielzahl der Einzelmeldungen
Mögliche Arbeitsschritte:
- Betrachtung State of the Art
- SIEM
- Data Analysis
- IDS
- KRITIS
- Gesetzliche Vorgaben
- Verwendete Meldeformate
- Messaging
- Publish / Suscribe oder ähnliche Konzepte
- Datenformate
- Anonymisierung
- Grad der Anonymität / verräterische Fakten
- Betrachtung der gesetzlich vorgeschriebenen KRITIS Meldungen
- Beispielszenario erstellen, am besten mit IDS / Firewall und einiger OT Hardware
- Konzeption des Systems zur Nachrichtenverteilung
- Aggregation
- Verteilung
- Protokoll
- Bestimmung der notwendigen Entitäten / Architektur
- Möglichkeiten zur Anbindung an bestehende Systeme (IDS, Firewall, Monitoring)
- Lagebild
- Gefahrenabschätzung
- Statistik
- Prototypische Umsetzung von relevanten Teilaspekten
Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter Berücksichtigung eventuell schon an andere Studenten vergebener Themengebiete. Eine gemeinsame Bearbeitung verschiedener Teilthemen durch mehrere Studenten ist unter Umständen möglich.
Literatur und Ressourcen:
Aghaei, Ehsan, et al. "Automated CVE Analysis for Threat Prioritization and Impact Prediction." arXiv preprint arXiv:2309.03040 (2023).
Makrakis, Georgios Michail, et al. "Industrial and critical infrastructure security: Technical analysis of real-life security incidents." Ieee Access 9 (2021): 165295-165325.
González-Granadillo, Gustavo, Susana González-Zarzosa, and Rodrigo Diaz. "Security information and event management (SIEM): analysis, trends, and usage in critical infrastructures." Sensors 21.14 (2021): 4759.
Lehto, Martti. "Cyber-attacks against critical infrastructure." Cyber security: Critical infrastructure protection. Cham: Springer International Publishing, 2022. 3-42.
Betreuer: Thomas Mundt (thomas.mundt@uni-rostock.de)
Voraussetzungen: Keine besonderen.