Anwendbarkeit neuer IDS mit Machine Learning

Master Studiengang Information Security

Dipl.-Ing. Sabrina Cerepak, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

Die Ausgangssituation der Arbeit resultiert auf dem Schutzbedarf der Geschäftsprozesse der Österreichischen Post AG (Post AG) und dessen Versuch der Maßnahmenanpassung im kontinuierlichen Verbesserungsprozess (KVP). Um die Angriffsfläche des Konzerns zu verringern, wird beständig an der Minimierung der Risiken gearbeitet. Dies wird unter anderem durch den Einsatz neuer Lösungen erreicht.

Viele Technologien des IT-Sicherheitsmarktes versprechen einen großen Beitrag zur Verringerung der Angriffsfläche leisten zu können. Da dies nicht genug ist wird ein Network Intrusion Detection System (NIDS) oder auch Network Intrusion Prävention System (NIPS) benötigt. Das Konzept zur Anwendung neuartiger NIDS mit Machine Learning (ML) Komponenten wird in dieser Arbeit betrachtet, überprüft und entworfen. Neue innovative IDS Lösungen arbeiten mit Machine Learning, verhaltensbasierter Netzwerkanalyse und neu entwickelten Detektoren zur Erkennung von Anomalien im Netzwerkverkehr. Datenauswertungen und Use Case Szenarien ermöglichen die automatisierte Erkennung bisher nicht detektierter Sicherheitsverstöße.

Ziel

Die Arbeit zielt darauf ab, die Anwendbarkeit neuer NIDS Systeme im Einsatz des Konzerns der Post AG zu evaluieren. Hierbei werden die im wissenschaftlichen Feld bekannten Problematiken dieser Systeme betrachtet und berücksichtigt. Durch methodische Testung drei namhafter Anbieter wird das Konzept zu neuen IDS Systemen basierend auf Machine Learning für die Infrastruktur der Post AG erarbeitet. Es wird überprüft ob die Sichtbarkeit der Datenflüsse im Unternehmensnetzwerk erhöht und das Security Operations Center (SOC) durch die Lösung eine Verbesserung des Incident Response erreichen kann.

Ergebnis

Die theoretische Analyse zeigt, dass das heute im Einsatz befindliche NIDS Konzept bereits in den Siebzigerjahren entworfen wurde und noch Gültigkeit hat.

Die Arbeitsschritte des SOC werden von den NIDS Systemen zwar teilweise erleichtert, jedoch die komplexe Struktur der Post AG und die zahlreichen unternehmenseigenen Entwicklungen führen dazu, dass viele Detektionen keine tatsächlichen Bedrohungen, sondern intern normale Abläufe wie Skriptausführungen von Administratoren sind. Um NIDS effizient nutzen zu können müsste im Vorfeld System und Arbeitsablaufhygiene betrieben werden, um die False-Positive Raten in für ein SOC zu bewältigbare Ebenen zu bringen.