Home Lehre Vorlesungen Praktika Seminare Oberseminare Studentische Arbeiten Bachelorarbeiten Masterarbeiten Regeln für Ausarbeitungen Regeln für Vorträge Mündliche Prüfungen Downloads MNM Team Projekte Publikationen en
 

Funktionen

Print[PRINT]
Lehre MNM Team Projekte Publikationen en
.  Home  .  Lehre  .  Studentische Arbeiten  .  Bachelorarbeiten  .  Ausschreibung

Organisationsübergreifende Analyse der Sicherheitslage mit STIX™ und TAXII™

Hintergrund der Arbeit:
Viele Rechenzentren und Netzbetreiber verwenden Intrusion Detection Systeme, um Angriffe auf ihre Server und IT-Dienste erkennen und geeignet reagieren zu können. Eine rein organisationsinterne Intrusion Detection hat aber einerseits technische Grenzen, da z.B. komplexe organisationsübergreifende Multi-Step-Angriffe nicht erkannt werden können. Andererseits profitieren Organisationen von der Kenntnis aktueller Angriffe auf andere Organisationen, um sich z.B. geeignet darauf vorbereiten zu können, potentiell selbst zum Angriffsziel zu werden.

Die vom deutschen Bundesamt für Sicherheit in der Informationstechnik initiierte Allianz für Cybersicherheit [www.allianz-fuer-cybersicherheit.de] hat es sich zum Ziel gesetzt, auf Basis der Meldungen einzelner Organisationen über Sicherheitsvorfälle kontinuierlich ein gesamtdeutsches Sicherheits-Lagebild zu erstellen, das wiederum von den Mitgliedern der Allianz genutzt werden kann.

Mitglieder der Allianz für Cybersicherheit sind dazu aufgefordert, Sicherheitsvorfälle und Cyber-Angriffe zu melden. Die Meldung erfolgt über ein Webportal oder per E-Mail; somit in jedem Fall allerdings manuell. In der Praxis muss davon ausgegangen werden, dass diese manuellen Meldungen weder zuverlässig noch immer zeitnah erfolgen, so dass Verlässlichkeit und Nutzen für andere Mitgliedseinrichtungen noch unklar sind.

In den USA arbeiten Bundesbehörden und privatwirtschaftliche Unternehmen insbesondere der Finanzbranche an neuen Standards zum automatisierten Austausch von Angriffsinformationen. Durch die Automatisierung können die Nachteile eines manuellen Meldeverfahrens vermieden und der Gesamtaufwand deutlich reduziert werden. Die Structured Threat Information eXpression (STIX™) Language dient der Modellierung bzw. Beschreibung von Daten rund um Cyber-Angriffe. Mit Trusted Automated eXchange of Indicator Information (TAXII™) liegt der Entwurf eines Transportmechanismus für STIX™-basierte Informationen vor.

Nähere Informationen finden sich u.a. in:

Ziel der Arbeit:
In dieser Arbeit sollen zunächst die aktuellen Entwurfsstände der Spezifikationen von STIX™ und TAXII™ analysiert werden, um zu beurteilen, ob und in welchem Umfang sie sich für den Einsatz im Rahmen der deutschen Allianz für Cybersicherheit eignen.

Darauf aufbauend soll die Architektur eines verteilten Systems konzipiert werden, bei der das Bundesamt für Sicherheit in der Informationstechnik z.B. einen TAXII™-basierten Server betreibt, der STIX™-formatierte Meldungen über Sicherheitsvorfälle und andere sicherheitsrelevante Informationen von den Mitgliedern der Allianz für Cybersicherheit entgegen nimmt.

Die konzipierte Architektur ist prototypisch so zu implementieren, dass per TAXII™ im STIX™-Format dargestellte Informationen übermittelt werden, die möglichst genau dem bisher manuell genutzten Meldeformular der Allianz für Cybersicherheit entsprechen. Als Datenquelle soll dabei exemplarisch ein organisationsinternes Intrusion Detection System oder ein Security Incident Record in einem Security Incident Management System dienen, die vom LRZ zur Verfügung gestellt werden.

Die Arbeit soll abschließend beurteilen, welche Ergänzungen an STIX™ und TAXII™ noch vorgenommen werden müssten, um die Anwendbarkeit auf die Allianz für Cybersicherheit zu vervollständigen, und ab welchem Zeitpunkt ein praktischer Umstieg auf ein STIX™-/TAXII™-basiertes Verfahren möglich und sinnvoll ist. Neben STIX™ und TAXII™ existieren noch andere Formate/Protokolle, die zum Austausch von Intrusion-Detection-Daten entwickelt wurden, wie beispielsweise IDMEF. Gerade in Bezug auf die eventuell nötigen Ergänzungen von STIX™ und TAXII™ ist zu untersuchen, an welchen Stellen sich die verschiedenen Formate/Protokolle unterscheiden oder gegebenenfalls ergänzen können.

Aufgabensteller:
PD Dr. Wolfgang Hommel

Anforderungen:

  • Gute Kenntnisse in XML und Datenmodellierung mit UML
  • Erfahrung in der Implementierung von Web Services
  • Empfehlenswert: Vorlesung IT-Sicherheit

Dauer Das Thema wird als Bachelorarbeit oder Einzelpraktikum angeboten. Die Dauer ergibt sich durch die jeweils gültige Prüfungsordnung; beim Bachelorstudiengang Informatik z.B. 20 Wochen für eine Bachelorarbeit.

Anzahl Bearbeiter: 1

Betreuer:

Last Change: Mon, 11 Dec 2023 07:33:30 +0100 - Viewed on: Thu, 25 Apr 2024 04:13:32 +0200
Copyright © MNM-Team http://www.mnm-team.org - Impressum / Legal Info  - Datenschutz / Privacy