Direkt zum Inhalt
Symbolfoto: Das AIT ist Österreichs größte außeruniversitäre Forschungseinrichtung
AIT Logo Logo AIT Blog - Austrian Insitute of Technology verlinkt zur Startseite des AIT Blog Logo AIT Blog - Austrian Insitute of Technology verlinkt zur Startseite des AIT Blog
Sie befinden sich hier:

Startseite  Themen  Cyber Security  Projects  CyberMonoLog

CyberMonoLog

Während jahrzehntelang der Fokus der Cyber Security Domäne auf Prävention und Perimeter-Sicherheit lag, hat sich die Ausrichtung in den letzten Jahren in Richtung aktiver Reaktion gewandelt. Es gilt als allgemein anerkannt, dass eine komplexe Infrastruktur auf Dauer nicht erfolgreich vor Angriffen geschützt werden kann. Daher ist es wichtig, das Zeitfenster der Angreifer – vom initialen Eindringen bis zu deren Entdeckung und dem Ergreifen von ersten Gegenmaßnahmen – auf die kürzest mögliche Zeitspanne zu reduzieren. Damit verringern sich auch die Möglichkeiten der Angreifer, schon das initiale Eindringen in ein Netz für einen erfolgreichen Angriff zu nutzen (d.h. das Erreichen der eigentlichen Ziele sicherzustellen, wie das Exfiltrieren von Daten oder das Lahmlegen einer Infrastruktur). Das Erkennen von Angriffen und die rasche Reaktion darauf sind daher essentielle Fähigkeiten für Organisationen – nicht nur für die Großindustrie, sondern insbesondere für kritische Infrastrukturanbieter (KI), als auch für den in Österreich so wichtigen KMU Sektor. Gerade diese agieren jedoch oft unter enormen Kosten-druck, was dem üblicherweise ressourcenaufwändigen Einsatz komplexer Cyber Security Lösungen entgegensteht. Zudem sind Betreiber wesentlicher Dienste nach dem NISG auch dazu verpflichtet, Cyber Security Lösungen nach dem Stand der Technik zum Einsatz zu bringen.

Ziel des Projekts war daher die Erarbeitung von Best Practices für Cyber Security Monitoring und Logging (CyberMonoLog) basierend auf den bekannten Angriffstechniken und unter besonderer Berücksichtigung jener, welche nicht durch allgemein angewandte Best Practices/Standards bereits effektiv unterbunden werden. Angriffstechniken, welche aus wirtschaftlicher oder technischer Sicht typischerweise reaktiv behandelt werden, müssen durch Monitoring aufgedeckt werden. Letztendlich lag dem Projekt somit ein Optimierungsproblem zugrunde: Es ist für eine Organisation unmöglich, alle bekannten Angriffstechniken mit ökonomischen Mitteln zu erkennen. Die Forschungsfrage war daher, welche Datenquellen (bzw. davon emittierten Ereignisse) mit welchen Methoden analysiert werden müssen (Ranking), um mit vorab festgelegtem Ressourceneinsatz die meisten relevanten Angriffstechniken zu erkennen.

Die Ergebnisse des Projekts sind praxisnahe Best Practice Guidelines zur Umsetzung einer Monitoring-Strategie für KMUs und KIs. Die Ausführungen stützen sich auf den bekannten Stand der Technik und die Anwendbarkeit der Ergebnisse wurden durch eine Cross-Validierung mit externen Stakeholdern sowie Bedarfsträgern und Behörden und Experten von CERT.at sichergestellt. Rechtliche Aspekte (Datenschutz, arbeits-/dienstrechtliche Belange) wurden ebenso berücksichtigt.

Im Detail wurden somit im Projekt CyberMonoLog die folgenden Ziele erreicht:

  1. Relevante Angriffstechniken wurden aus dem MITRE ATT&CK Framework erhoben und anhand ausgewählter Metriken (Verbreitung, Impact, Anwendbarkeit usw.) gereiht.
  2. Ein Modell, welches zur Lösung des angesprochenen Optimierungsproblems geeignet ist, wurde formuliert und beispielhaft anhand einer Microsoft 365 Umgebung instanziiert, um dessen Tauglichkeit zur Bewertung von Monitoring-Lösungen in spezifischem Kontext zu beurteilen.
  3. Weiters wurde ein Survey anwendbarer Standards und Empfehlungen im Bereich Logging und Monitoring (CIS Top18, ISO27001/2, BSI Grundschutz usw.) durchgeführt und Gemeinsamkeiten hinsichtlich Anforderungen an Logging- und Monitoring erhoben.
  4. Ein Survey unter KMUs (200 Teilnehmer) zur Feststellung wesentlicher Assets und Technologien bzw. Umgebungen im KMU Bereich, die Monitoring und Logging bedürfen, wurde durchgeführt um den Scope der weiteren Betrachtungen, insb. der Erstellung konkreter Handlungsempfehlungen, abzugrenzen.
  5. Aufbauend auf den erhobenen relevanten Technologien/Assets und unter Zuhilfenahme des Optimierungsmodells wurde die erste Iteration der Umsetzungsempfehlungen in Form von Guidelines in mehreren weiteren Iterationen wesentlich verbessert, wobei detaillierte Schritt-für-Schritt Anleitungen über Referenzen eingebunden als konkret ausformuliert wurden.
  6. Mit Hilfe von „trusted partners“ wurden Feedback Gespräche mit Branchenvertretern der Zielgruppe (KMUs und KIs) geführt.
  7. Rechtliche Fragestellung, v.a. hinsichtlich Daten-Erhebung (Logging), Langzeitarchivierung von Logs und systematische Verarbeitung wurden erhoben, betrachtet und bewertet.
  8. Die erarbeiteten Guidelines wurden in einer WKO Awareness-Kampagne an deren Mitglieder im Juni 2023 großflächig verteilt.

 

Portraitfoto von Florian Skopik

Dr. Dr. Florian Skopik

Senior Scientist

Infomaterial

Guidelines
pdf (481 KB)