APT Ontology

Master Studiengang Information Security

Dipl.-Ing. Philip Scheidl BA, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Das Thema der gezielten Cyberangriffe, auch Advanced Persistent Threats (APT) genannt, beschäftigt Wissenschaft, Privatwirtschaft und Medien spätestens seit Stuxnet, mit dem eine iranische Urananreicherungsanlage angegriffen und lahmgelegt wurde. Auch nach diesem Vorfall haben sich die Möglichkeiten im Bereich der IT-Security stetig weiterentwickelt. Von Staaten und kriminellen Organisationen gesponserte Hacker ersinnen immer neue Angriffsmethoden, um Unternehmen und nationale Organisationen zu infiltrieren.

Bei der Beschreibung dieser Attacken – egal ob in den Medien oder als Teil einer informellen Konversation – treten immer wieder Schwierigkeiten und Verständnisprobleme auf. Durch die wachsende Komplexität der Angriffe ist es sehr herausfordernd, ein einheitliches Vokabular mit klaren Zuordnungen zu erstellen, das für weitere Anwendungsfälle genutzt werden kann.

In dieser Arbeit soll also eine Wissensbasis, auch Ontologie genannt, über den speziellen Bereich der APT-Angriffe erstellt, und anhand eines Programms sicht- und erweiterbar gemacht werden.

Ziel

Das Ziel der Arbeit ist, eine Ontologie für den speziellen Bereich der Advanced Persistent Threat Angriffe zu erstellen, und diese Wissensbasis unmittelbar nutzbar zu machen. Hierzu werden Daten über bekannte APT-Angriffe erfasst, bestehende Ontologien und mögliche Erweiterungsmöglichkeiten analysiert, um anschließend einen Implementierungsvorschlag zu erstellen.

Ergebnis

Im Zuge der Arbeit wurde ein breiter Überblick über APT-Angriffe mit verschiedensten Ansätzen geschaffen. Anschließend wurden unterschiedliche Datenquellen evaluiert, die zur Erweiterung einer erstellten Ontologie dienen könnten. Hierbei wurden speziell Formate in die Bewertung aufgenommen, die eine umfassende Beschreibung von gezielten Angriffen ermöglichen.

Aufbauend auf dem Überblick der APT-Angriffe wurde eine Basis-Ontologie erstellt und anhand einer tatsächlichen Angriffsbeschreibung evaluiert. Mit den Ergebnissen der Evaluierung wurde in einem zweiten Schritt eine Verbesserung der Basis-Ontologie umgesetzt.

Als letzter Schritt wurde ein Programmprototyp geschrieben, der es ermöglicht, die Ontologie abzufragen und beliebig zu erweitern.