Threat Hunting using the ELK Stack

Bachelor-Studiengang IT Security

Ing. Stephan Leitner

Betreuer: Dipl.-Ing. Gabor Österreicher, BSc 

Ausgangslage

Cyberangriffe nehmen immer komplexere Züge an, wodurch sich auch ihre Erkennung immer aufwendiger gestaltet. Hacker*innen nehmen sich dabei über mehrere Tage oder Monate hinweg die Zeit, ein spezifisches Netzwerk zu infiltrieren und die Kontrolle darüber zu übernehmen. Nicht jedes Intrusion Detection System erkennt solch komplexe und vor allem gezielte Angriffe.

Um Rückschlüsse auf Angriffe ziehen zu können, müssen daher riesige Mengen an Logdateien diverser IT-Systeme analysiert werden. Die dafür zuständigen IT-Mitarbeiter*innen arbeiten mit sogenannten Security Information and Event Management (SIEM) Systemen, mit Hilfe derer nach „auffälligem Verhalten“ im Netzwerk gesucht wird. Dies könnte beispielsweise das Starten eines Programms sein, das nicht Teil des typischen Arbeitsalltags von Benutzer*innen ist

Ziel

Ziel dieser Arbeit ist es zu untersuchen, ob das als „ELK Stack“ bekannte System dafür eingesetzt werden kann, solch komplexe Angriffe in einem Netzwerk zu erkennen.

Der ELK Stack umfasst folgende drei Komponenten:

  1. Elasticsearch: eine Datenbank zum Speichern diverser Loginformationen
  2. Logstash: ein Tool, das als datenaufbereitende Schnittstelle zwischen den Logquellen und der Datenbank dient
  3. Kibana: eine grafische Oberfläche, um auf die Daten in Elasticsearch zuzugreifen

Ergebnis

Für Systeme, deren Aufgabe es ist, Angriffe zu erkennen, wurden zu Beginn der Arbeit die folgenden vier wichtigsten Anforderungen erhoben: Die Normalisierung der Loginformationen, die Zugriffskontrolle auf das System, die Einhaltung der Datenschutzgrundverordnung (DSGVO) und die Alarmierung bei bestimmten Ereignissen. Davon erfüllte der untersuchte ELK Stack drei dieser vier Anforderungen zufriedenstellend, die der Alarmierung jedoch nur sehr begrenzt.

Mithilfe von diversen Logdateien wurde außerdem in einer Testumgebung überprüft, ob es möglich ist, proaktiv in einem Netzwerk nach auffälligem Verhalten oder Bedrohungen zu suchen. Hierbei spricht man von Threat Hunting, welches in dieser Arbeit mithilfe der Taktiken, Techniken und Prozeduren (TTP) Methode simuliert wurde. Auch dies konnte mit dem ELK Stack erfolgreich umgesetzt werden.