Breadcrumbs
- Information Security
- Diplomarbeiten
- Aufbau einer Cyber-Incident-Datenbank
Aufbau einer Cyber-Incident-Datenbank
Master-Studiengang Information SecurityFlorian Schier, BSc
Betreuer: FH-Prof. Mag. Dr. Simon Tjoa
Ausgangslage
Die immens steigenden Ransomware-Angriffe des letzten Jahrzehnts haben eines klar verdeutlicht. Unternehmen sind infolge des rasanten technologischen Fortschritts vermehrt Ziel von Cyber-Angriffen. Vorhandene Sicherheitsmaßnahmen reichen oftmals nicht aus, um sich gegen Angreiferinnen und Angreifer zu verteidigen.
Dies wurde durch NotPetya untermauert. Der geschätzte Schaden belief sich auf 10 Milliarden Dollar und NotPetya war und ist einer der bekanntesten und destruktivsten Cyberangriffe der letzten Jahre. Cyberangriffe stellen eine zunehmende Bedrohung für alle Unternehmen in jeder Größenordnung, Branche sowie auch für Regierungen dar.
Ziel
Ziel dieser Arbeit ist es, einen Überblick darüber zu geben, welche frei verfügbaren Incident-Datenbanken publik sind. Zusätzlich wurden diese anhand von Cyberbedrohungen klassifiziert und kritisch analysiert. Weiters sollen die verfügbaren Technologien evaluiert werden, die für die Erstellung einer Incident-Datenbank notwendig sind. Daher wurden Cyber-Threat-Taxonomien dahingehend untersucht, wie diese angewendet werden können, um eine eigene Datenbank zu erstellen.
Ergebnis
In der Arbeit konnte verdeutlicht werden, dass diverse Quellen vorhanden sind, die Security Incidents sammeln und aufarbeiten. Jedoch bestehen im Großen und Ganzen keine Datenbanken, die verwendet werden können, um eine Cyber-Incident-Datenbank zu entwickeln. Datenbanken bieten entweder einen sehr schwachen Detailgrad oder werden nicht mehr bzw. zu wenig gewartet.
Daher wurden Cyber-Threat-Taxonomien evaluiert, um zu entscheiden, wie der Einsatz und die Entwicklung einer Incident-Datenbank aussehen könnte. Dabei hat sich herausgestellt, dass mit STIX bzw. MISP zwei Möglichkeiten und Ansätze existieren, eine Cyber-Incident-Datenbank zu erstellen und zu betreiben. Dazu wurde eine eigene Taxonomie entwickelt, um Events einheitlich zu klassifizieren und zu strukturieren. Ein Vorteil der ausgearbeiteten Lösung ist das die Taxonomie ebenso einfach und schnell in MISP importiert werden kann und zur Verwendung verfügbar ist.