Correlating System Events to Support the Network Analysis Process

Master Studiengang Information Security

Dipl.-Ing. Martin Liebl, BSc (Jg. 2014/2016)

Betreuer: Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage

In den letzten Jahren haben Themen wie Cyber Security, Cybercrime, Advanced Persistent Threats und Advanced Targeted Attacks immer mehr an Relevanz im Umfeld von IT & Information Security gewonnen. Grund dafür ist, dass Angriffe auf Organisationen und Computersysteme immer ausgefeilter und komplexer werden. Expertinnen und Experten meinen, dass es heute nur mehr eine Frage der Zeit sei, bis Sicherheitsmaßnahmen überwunden werden und in Systeme eingedrungen wird. Bei dieser Prognose kann man annehmen, dass traditionelle Sicherheitssysteme zur Erkennung von Angriffen nicht mehr ausreichen werden. Es wird daher wichtig sein, den Analyseprozess im Falle eines erfolgreichen Angriffes zu unterstützen.

Ziel

Das Ziel dieser Arbeit ist es herauszufinden, ob sich Events, die auf verschiedenen Systemen aufgezeichnet werden, korrelieren lassen, um Analystinnen und Analysten beim Untersuchen von sicherheitsrelevanten Vorfällen zu helfen. Sollte dies möglich sein, so ist auch die Frage nach der geeigneten Visualisierung der verarbeiteten Daten relevant.

Ergebnis

Im Zuge dieser Arbeit wurde ein Prototyp entwickelt, der den Analyseprozess bei sicherheitsrelevanten Vorfällen unterstützen soll. Dabei werden Ereignisse, die im Netzwerk stattfinden, korreliert und in Graphen visualisiert. Der Prototyp bietet zwei Perspektiven.

In der ersten werden direkte Netzwerkverbindungen von Prozessen zwischen internen Hostsystemen visualisiert. Mit dieser Ansicht soll es möglich sein, verdächtige Prozesse zu finden, die beispielsweise Port Scans oder Exploit-Versuche durchführen.

Mit der zweiten Ansicht werden externe Zielsysteme aufgezeigt, die von mehreren Hostsystemen kontaktiert werden. Damit sollen Zugriffe auf verdächtige Systeme sowie bösartiger Command & Control-Datenverkehr von Malware sichtbar gemacht werden.

Ausblick

In Zukunft wird es wichtig sein, Monitoring und Incident-Response-Aktivitäten zu unterstützen, da man den initialen Angriff oft nicht mehr feststellen kann. Neben der in dieser Arbeit behandelten Korrelation von Netzwerkevents bieten sich auch viele andere Arten von Events an, um Geschehnisse auf unterschiedlichen Systemen darzustellen. Auch Erweiterungen des Prototyps, der in dieser Arbeit entwickelt wurde, um zusätzliche Funktionalitäten wie Filterungen, Hervorhebungen und Priorisierungen wären sinnvoll.