Interviewer
: Jan-Erik Stange
Datum: 22.02.2013

Stefan Metzger ist wissenschaftlicher Mitarbeiter am Leibniz-Rechenzentrum (LRZ) und dort verantwortlich für die kontinuierliche Verbesserung des bisher erreichten Sicherheitsniveaus. Als zertifizierter Sicherheitsexperte leitet er dort den Arbeitskreis Sicherheit, der unter anderem für die Erstellung von sicherheitsrelevanten Richtlinien verantwortlich zeichnet. Als IT-Dienstleister und zuständig für den operativen Betrieb des Münchner Wissenschaftsnetzes (MWN) bietet das LRZ  neben den Universitäten (TUM, LMU) insgesamt etwa 60 wissenschaftlichen Einrichtungen im Großraum München unterschiedlichste IT-Dienste an.

Ein wichtiger Teilaspekt des operativen Betriebes ist die zuverlässige Erkennung von Angriffen. Betrachtet werden hierbei zum einen diejenigen, die Systeme innerhalb des MWN als Ziel haben und zum anderen aber auch diejenigen, die aus dem MWN heraus auf Systeme im Internet erfolgen. Die dafür eingesetzte Security-Monitoring-Infrastruktur besteht aus einer zielgerichteten Kombination verschiedenster Werkzeuge und Mechanismen. Damit erkannte Auffälligkeiten werden an eine zentrale SIEM-Lösung der Firma AlienVault (Open Source SIM (OSSIM)) weitergeleitet, um dort werkzeugübergreifend ausgewertet und korreliert zu werden. Das signaturbasierte Intrusion Detection System (IDS) zielt an dieser Stelle auf die Erkennung bekannter Angriffsmuster ab, während anomaliebasierte Mechanismen ein plötzlich oder über einen längeren Zeitraum auftretendes Kommunikationsverhalten detektieren, welches eine Abweichung vom Normalverhalten darstellt.

Erwähnenswerte Beispiele für Angriffsmuster sind Portscans, Denial-of-Service (DoS), Kommunikation malware-infizierter Bots mit einem Command & Control Server oder SPAM-versendende Systeme innerhalb des MWN.  Asymmetrisches Kommunikationsverhalten oder auch die plötzliche Übertragung größere Datenvolumina zählen zur Kategorie Anomalieerkennung.

Ziel des kombinierten Einsatzes verschiedener Detektionsmechanismen, die zentrale Auswertung erkannter Auffälligkeiten durch die SIEM-Lösung und die dort stattfindende Korrelation (Correlation Engine) ist die Rate an Falschalarmen auf ein Minimalmaß zu reduzieren und entsprechend nur dann automatisiert zu reagieren, wenn sich tatsächlich ein Sicherheitsvorfall ereignet hat. Um dies zu erreichen müssen die meist bereits herstellerseitig zur Verfügung gestellten Korrelationsregeln im Regelfall individuell und meist manuell auf die Einsatzumgebung hin angepasst werden.

Nach der Alarmierung ist eine strukturiert ablaufende Bearbeitung des Security Incidents erforderlich. Dies ist die Aufgabe eines Computer Security Incident Response Teams (CSIRT). Durch die verteilte, dezentrale Administration der Systeme im MWN gilt es bei einem Vorfall schnellstmöglich Verantwortliche z.B. per E-Mail zu informieren oder bei Auftreten bestimmter Ereignisse automatisiert Zugriffe zu sperren.

Die in nahezu jeder SIEM-Lösung angebotenen und frei konfigurierbaren Dashboards spielen im Rahmen der täglichen Routine hauptsächlich als erste Übersichtsseite eine Rolle. Dort typischerweise verwendete Visualisierungen sind Balken-, Kreis- und Liniendiagramme, sowie Tachonadeln, die zum einen die Anzahl gleicher Auffälligkeiten, möglicherweise ausgehend von derselben Quelle oder mit demselben Ziel oder auch einen Kommunikationsverlauf darstellen. Zur tiefergehenden Analyse werden visuelle Darstellungen meist nicht mehr herangezogen. An dieser Stelle reicht oftmals  eine tabellarische Darstellung aus.

Kompliziertere Darstellungen werden in der frei-verfügbaren Software nicht angeboten, wären aber laut Herrn Metzger durchaus wünschenswert. Event-Graphen können für die Darstellung von Kommunikationsbeziehungen sinnvoll eingesetzt werden, um z.B. weitere Ziele eines Angriffs oder die Ausbreitung innerhalb der eigenen Infrastruktur zu erkennen. Auch das Mapping eines Angriffs auf die darunterliegende Netz-Infrastruktur (Switches, Router, …) ließe sich sinnvoll nutzen. Dadurch könnten gezielt Switch-Ports umkonfiguriert oder Zugriffe durch dynamisch  erzeugte Router Access Control Lists gesperrt werden.