Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
SYSTEM AND METHOD FOR THE ANALYSIS OF FORENSIC DATA IN A CLOUD SYSTEM
Document Type and Number:
WIPO Patent Application WO/2016/192880
Kind Code:
A1
Abstract:
Disclosed is a system for the analysis of forensic data, wherein the forensic data is present in a cloud system. The system has an analysis unit for analysing the forensic data, wherein the analysis unit is arranged in the cloud system, and has an operating unit for operating the analysis unit, wherein the operating unit is located outside the cloud system remote from the analysis unit. The provided system enables forensic data, which is associated with an IT security incident, to be analysed directly in the cloud system. Thus, extraction of the data from the cloud system or complex transmission of the data to an analysis device is not required. Also disclosed is a method for the analysis of forensic data.

Inventors:
GÖBEL, Jan Gerrit (Leoprechtingstraße 23, München, 81739, DE)
UHRMANN, Johann (Ludwig-Wiethaler-Str. 13, Essenbach, 84051, DE)
Application Number:
EP2016/058212
Publication Date:
December 08, 2016
Filing Date:
April 14, 2016
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS AKTIENGESELLSCHAFT (Wittelsbacherplatz 2, München, 80333, DE)
International Classes:
H04L29/06; G06F21/50
Other References:
JOOYOUNG LEE ET AL: "Pervasive Forensic Analysis Based on Mobile Cloud Computing", MULTIMEDIA INFORMATION NETWORKING AND SECURITY (MINES), 2011 THIRD INTERNATIONAL CONFERENCE ON, IEEE, 4 November 2011 (2011-11-04), pages 572 - 576, XP032074868, ISBN: 978-1-4577-1795-6, DOI: 10.1109/MINES.2011.77
JOSIAH DYKSTRA ET AL: "Acquiring forensic evidence from infrastructure-as-a-service cloud computing: Exploring and evaluating tools, trust, and techniques", DIGITAL INVESTIGATION, vol. 9, 18 May 2012 (2012-05-18), pages S90 - S98, XP028411238, ISSN: 1742-2876, [retrieved on 20120518], DOI: 10.1016/J.DIIN.2012.05.001
None
Download PDF:
Claims:
Patentansprüche

1. System (10) zum Analysieren von forensischen Daten, wobei die forensischen Daten in einem Cloudsystem (3) vorliegen, mit :

einer Analyseeinheit (1) zum Analysieren der forensischen Daten, wobei die Analyseeinheit (1) in dem Cloudsystem (3) angeordnet ist, und

einer Bedieneinheit (2) zum Bedienen der Analyseeinheit (1), wobei die Bedieneinheit (2) entfernt von der Analyseein¬ heit (1) außerhalb des Cloudsystems (3) angeordnet ist.

2. System nach Anspruch 1,

dadurch gekennzeichnet,

dass die Bedieneinheit (2) dazu eingerichtet ist, die Analy¬ seeinheit (1) über einen Remote-Zugriff zu bedienen.

3. System nach Anspruch 1 oder 2,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) eine virtualisierte Analyseein¬ heit ist.

4. System nach einem der Ansprüche 1 - 3,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) auf einer Vorlage basiert.

5. System nach einem der Ansprüche 1 - 4,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) dazu eingerichtet ist, Speicher- einheiten (4) des Cloudsystems (3), die die zu analysierenden forensischen Daten enthalten, als lokale Kopie zu speichern.

6. System nach einem der Ansprüche 1 - 5,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) dazu eingerichtet ist, Speicher¬ einheiten (4) des Cloudsystems (3), die die zu analysierenden forensischen Daten enthalten, direkt einzubinden.

7. System nach einem der Ansprüche 1 - 6,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) dazu eingerichtet ist, die zu analysierenden forensischen Daten in einem verschlüsselten Speicherbereich lokal zu speichern.

8. System nach einem der Ansprüche 1 - 7,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) und die Bedieneinheit (2) dazu eingerichtet sind, mittels einer asymmetrischen Authentifi¬ zierung zu kommunizieren.

9. System nach einem der Ansprüche 1 - 8,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) dazu eingerichtet ist, mit vorde¬ finierten Einheiten zu kommunizieren.

10. System nach einem der Ansprüche 1 - 9,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) eine eingeschränkte Sichtbarkeit in dem Cloudsystem (3) hat.

11. System nach einem der Ansprüche 1 - 10,

dadurch gekennzeichnet,

dass die Analyseeinheit (1) dazu eingerichtet ist, Netzwerk¬ verkehr in dem Cloudsystem (3) zu überwachen.

12. Verfahren zum Analysieren von forensischen Daten, wobei die forensischen Daten in einem Cloudsystem (3) vorliegen, mit:

Analysieren (201) der forensischen Daten in einer Analyseeinheit (1), wobei die Analyseeinheit (1) in dem

Cloudsystem (3) angeordnet ist, und

Bedienen (202) der Analyseeinheit (1) mittels einer Be- dieneinheit (2), wobei die Bedieneinheit (2) entfernt von der Analyseeinheit (1) außerhalb des Cloudsystems (3) angeordnet ist .

13. Computerprogrammprodukt, welches auf einer programmge¬ steuerten Einrichtung die Durchführung des Verfahrens zum Analysieren von forensischen Daten nach Anspruch 12 veranlasst .

Description:
Beschreibung

System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem

Die vorliegende Erfindung betrifft ein System zum Analysieren von forensischen Daten in einem Cloudsystem. Des Weiteren betrifft die vorliegende Erfindung ein Verfahren zum Analysie ¬ ren von forensischen Daten in einem Cloudsystem.

Zur Analyse und Behebung von IT-Sicherheitsvorfällen, beispielsweise Angriffe Dritter auf IT-Systeme, wird regelmäßig die Analyse von forensischen Daten durchgeführt. Diese Daten beinhalten unter anderem Arbeitsspeicherinhalt (RAM) , Inhalt von persistenten Speichermedien (Festplatten) und Mitschnitte des Netzwerkverkehrs von potentiell am Sicherheitsvorfall be ¬ teiligten IT-Systemen.

Mit der stark zunehmenden Größe sowohl von Arbeitsspeichern als auch persistenten Speichern wird die Übertragung der zu analysierenden Daten von den betroffenen IT-Systemen in das Analyselabor zunehmend aufwendiger. Dies resultiert unter anderem in einer Belastung der betroffenen Systeme hinsichtlich der zu übertragenden Datenmenge, sowie in einer hohen Auslas- tung der WAN-Strecken (Wide Area Network Strecken) , insbesondere bei einer standortübergreifenden Vernetzung.

Werden die zu analysierenden Systeme bei einem externen Anbieter betrieben, z.B. Cloudsysteme, so verursacht die Über- tragung von Daten aus dem Netzwerk des Anbieters heraus zu ¬ sätzliche Transferkosten. Sind an das zu analysierende System weitere Massenspeicher angebunden, z.B. über lokale Netzwerke, so werden diese bei der Erfassung der forensischen Daten des zu analysierenden Systems unter Umständen nicht erfasst und folglich nicht ausgewertet. Ferner ist das Datenvolumen derartiger Massenspeicher zu groß, um eine Kopie davon für eine Analyse im Rahmen von Sicherheitsvorfällen zu erstellen oder über Netzwerke zu übertragen. Eine Analyse des betroffenen Systems über Fernzugriff auf dem betroffenen System kann die zu analysierenden Daten verfälschen, in einer hohen Ressourcenauslastung des Systems resul- tieren und einem eventuell noch aktiven Angreifer Hinweise auf eine laufende Analyse liefern. Darüber hinaus ist das si ¬ chere Löschen von personenbezogenen und anderweitig schützenswerten Daten nach Abschluss der Analyse aufgrund der po ¬ tentiell kompromittierten Umgebung nicht mehr gewährleistet.

Bisher werden forensische Daten auf transportable Datenträger kopiert, welche dann auf dem Postweg zur Analyse verschickt wurden. Alternativ werden selektierte Daten für eine Onlineüberprüfung automatisch (Softwareagent) oder manuell (Perso- nal vor Ort) zur Analyse angefordert, wobei hierbei für die Analyse relevante Daten übersehen werden können.

Für die Analyse von angebundenen Massenspeichersystemen werden den Analysten Zugangsdaten zur Verfügung gestellt. Auf- grund von Bandbreitenbeschränkungen zwischen Standorten des Analysten und des zu analysierenden Systems beschränkt sich die Analyse jedoch auf eine kleine Teilmenge der zugreifbaren Daten beschränken. Eine Analyse von Netzwerkdatenverkehr kann durch eine bereits vorhandene Infrastruktur zum Mitschneiden der Daten erfolgen. Alternativ kann eine Infrastruktur, z.B. ein Packet-Sniffer, installiert bzw. konfiguriert werden. Die genannten Probleme hinsichtlich Vollständigkeit und Übertragung der Datenmengen gelten für den Netzwerkdatenverkehr entsprechend.

Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, auf einfache und sichere Weise forensische Daten zu analysieren.

Demgemäß wird ein System zum Analysieren von forensischen Daten vorgeschlagen, wobei die forensischen Daten in einem Cloudsystem vorliegen. Das System weist eine Analyseeinheit zum Analysieren der forensischen Daten, wobei Analyseeinheit in dem Cloudsystem angeordnet ist, und eine Bedieneinheit zum Bedienen der Analyseeinheit auf, wobei die Bedieneinheit ent ¬ fernt von der Analyseeinheit außerhalb des Cloudsystems ange- ordnet ist.

Gemäß der vorgeschlagenen Vorrichtung wird die Analyseeinheit direkt in die Nähe, d.h. geografisch oder auch hinsichtlich der Netzwerktopologie und des Betreibers, der zu untersuchen- den IT-Infrastruktur verlagert. Die forensischen Daten können somit an ihrer ursprünglichen Umgebung untersucht werden und müssen nicht aus dieser extrahiert und übertragen werden. Auf diese Weise kann verhindert werden, dass es zu einer Verfäl ¬ schung der forensischen Daten kommt, da diese in ihrer ur- sprünglichen Form analysiert werden können. Zusätzlich ist es nicht erforderlich, die forensischen Daten zu übertragen, beispielsweise über ein Netzwerk. Auf diese Weise können auch große Mengen an Daten analysiert werden, da mögliche Band ¬ breitenbeschränkungen nicht relevant werden.

Unter forensischen Daten können in diesem Zusammenhang Arbeitsspeicherinhalte (RAM) , Inhalte von persistenten Spei ¬ chermedien (Festplatten) und Mitschnitte des Netzwerkverkehrs von potentiell am Sicherheitsvorfall beteiligten IT-Systemen verstanden werden. Unter einem Sicherheitsvorfall können Angriffe Dritter, d.h. Hackerangriffe, auf IT-Systeme verstan ¬ den werden.

Unter einem Cloudsystem bzw. einer Cloudumgebung kann in die- sem Zusammenhang ein System verstanden werden, das Cloud- speicher aufweist und auch für ein Hosting virtueller Systeme und virtueller Netzwerke verwendet werden kann.

Die Analyseeinheit kann diese forensischen Daten analysieren, d.h. untersuchen, ob diese Daten beispielsweise manipuliert wurden . Die jeweilige Einheit, zum Beispiel Analyseeinheit oder Be ¬ dieneinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammpro ¬ dukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.

Die Analyseeinheit ist dabei direkt in dem Cloudsystem loka ¬ lisiert, wohingegen die Bedieneinheit entfernt dazu, bei ¬ spielsweise am Arbeitsplatz eines Analysten, angeordnet ist. Dadurch wird eine Entlastung der Netzwerkverbindungen bzw. WAN-Verbindungen erreicht, da nur kleine Datenmengen im Bereich von 10 bis 30 GB zur Analyse beliebig größerer Systeme übertragen werden müssen (von der Analyseeinheit zur Bedieneinheit und umgekehrt) . Durch die Nähe der Analysestation zu Massenspeichersystemen können diese durch den Analysten wie lokal vorhandene Umgebungen verwendet werden. Die Beschrän ¬ kung auf vordefinierte Suchmuster sowie die Zeitaufwände für das Kopieren und Übertragen der Daten entfallen daher. Gemäß einer Ausführungsform ist die Bedieneinheit dazu einge ¬ richtet, die Analyseeinheit über einen Remote-Zugriff zu be ¬ dienen .

Die Bedieneinheit kann beispielsweise über einen Browser ei- nen Remote-Zugriff auf die Analyseeinheit bereitstellen.

Hierbei kann die Bedieneinheit die Analyseeinheit als Fenster auf einer Anzeigevorrichtung, z.B. einem Bildschirm, eines Rechners visualisieren . Gemäß einer weiteren Ausführungsform ist die Analyseeinheit eine virtualisierte Analyseeinheit. Unter einer virtualisierten Analyseeinheit wird dabei eine Analyseeinheit verstanden, die in dem Cloudsystem von einer vor Ort physikalisch vorhandenen Analyseeinheit als virtuali- sierte Variante angeordnet, d.h. gespeichert, wird.

Gemäß einer weiteren Ausführungsform basiert die Analyseeinheit auf einer Vorlage.

Durch die Bereitstellung einer entsprechenden Vorlage kann die Installation dieser Analyseeinheit innerhalb weniger Mi ¬ nuten erfolgen. Eine Vorlage kann dabei auch als Image be ¬ zeichnet werden. Die einmalige Bereitstellung von Vorlagen für Analyseeinheiten und die Systemanalyse in Cloud-Umgebun- gen vermeidet die Notwendigkeit, die zu analysierenden Daten kostenpflichtig aus der Systemumgebung des Anbieters zu transferieren .

Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Speichereinheiten des Cloudsystems , die die zu analysierenden forensischen Daten enthalten, als lokale Kopie zu speichern.

Die zu untersuchenden Datenspeicher können durch eine entsprechende Konfiguration der Analyseeinheit als lokale Kopie an die Analyseeinheit angebunden werden.

Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Speichereinheiten des Cloudsystems, die die zu analysierenden forensischen Daten enthalten, direkt einzubinden.

Auf diese Weise kann die Analyseeinheit direkt auf die Spei ¬ chereinheiten zugreifen, ohne diese zusätzlich lokal speichern zu müssen. Die Analyseeinheit kann dabei die Speicher- einheiten als eigene Speichereinheiten einbinden (mounten) und auf diese zugreifen. Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, die zu analysierenden forensischen Daten in einem verschlüsselten Speicherbereich lokal zu speichern. Da die relevanten Daten in einem verschlüsselten Speicherbereich abgelegt sind, kann ein möglicherweise noch aktiver An ¬ greifer nicht auf diese zugreifen. Der Schlüssel kann pro Analyse zufällig erzeugt werden. Gemäß einer weiteren Ausführungsform sind die Analyseeinheit und die Bedieneinheit dazu eingerichtet, mittels einer asym ¬ metrischen Authentifizierung kommunizieren.

Alle Kennungen des Analysten, die zwischen Bedieneinheit und Analyseeinheit übertragen werden, können ein Public-Private- Key-Verfahren zur Authentifizierung verwenden. Da es keine kennwortgeschützten Zugänge gibt, wird die Sicherheit gegen ¬ über einem Angreifer erhöht, da dieser keine Passwörter abgreifen kann.

Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, mit vordefinierten Einheiten zu kommunizieren . Um die Sicherheit der Analyseeinheit und damit die Sicherheit der Analyse der forensischen Daten, d.h. den Schutz vor Manipulationen, zu erhöhen, kann die Erreichbarkeit der Analyse ¬ einheit auf eine definierte Liste von Geräten eingeschränkt werden. Somit können keine beliebigen Geräte, z.B. eines An- greifers, auf die Analyseeinheit zugreifen und die Analyse der Daten gefährden oder manipulieren.

Gemäß einer weiteren Ausführungsform hat die Analyseeinheit eine eingeschränkte Sichtbarkeit in dem Cloudsystem.

Dies kann beispielsweise durch Verwenden einer Firewall ge ¬ schehen. Auf diese Weise wird die Sicherheit der Analyseein ¬ heit weiter erhöht. Durch die Verschlüsselung der zu analysierenden Daten und die minimale Sichtbarkeit im Netzwerk werden einem möglicherweise aktiven Angreifer keine Informationen über die laufende Ana- lyse zugänglich. Die Verschlüsselung der Analysedaten erlaubt ebenfalls das Löschen der kompletten Analysestation, ohne dass für Dritte verwertbare Informationen der Daten auf der Systemumgebung zurückbleiben. Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Netzwerkverkehr in dem Cloudsystem zu überwachen .

Gemäß dieser Ausführungsform kann lokaler Netzwerkverkehr in dem Cloudsystem mitgeschnitten werden. Somit kann eine Analyse des Netzwerkdatenverkehrs in Echtzeit realisiert werden.

Des Weiteren wird ein Verfahren zum Analysieren von forensischen Daten vorgeschlagen, wobei die forensischen Daten in einem Cloudsystem vorliegen. Das Verfahren weist die folgenden Schritte auf: Analysieren der forensischen Daten in einer Analyseeinheit, wobei die Analyseeinheit in dem Cloudsystem angeordnet ist, und Bedienen der Analyseeinheit mittels einer Bedieneinheit, wobei die Bedieneinheit entfernt von der Ana- lyseeinheit außerhalb des Cloudsystems angeordnet ist.

Die für die vorgeschlagene Vorrichtung beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Ver ¬ fahren entsprechend.

Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst. Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm- Mittel, kann beispielsweise als Speichermedium, wie z.B.

Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammpro ¬ dukt oder dem Computerprogramm-Mittel erfolgen.

Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen.

Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfin ¬ dung sind Gegenstand der Unteransprüche sowie der im Folgen- den beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert . Fig. 1 zeigt ein schematisches Blockdiagramm einer Ausführungsform eines Systems zum Analysieren von forensischen Daten; und

Fig. 2 zeigt ein schematisches Ablaufdiagramm eines Verfah- rens zum Analysieren von forensischen Daten.

In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist.

Fig. 1 zeigt ein System 10 zum Analysieren von forensischen Daten .

Die forensischen Daten liegen dabei in einem Cloudsystem 3 vor, beispielsweise in diversen Speichereinheiten oder Recheneinheiten 4. Das System 10 weist eine Analyseeinheit 1 zum Analysieren der forensischen Daten auf. Die Analyseeinheit 1 ist dabei direkt in dem Cloudsystem 3 angeordnet. Die Analyseeinheit 1 kann auf diese Weise direkt auf die Daten in dem Cloudsystem 3 zu- greifen. Hierzu kann die Analyseeinheit 1 beispielsweise die Speichereinheiten 4 einbinden.

Über eine Bedieneinheit 2, die entfernt von der Analyseein ¬ heit 1 außerhalb des Cloudsystems 3 angeordnet ist, kann die Analyseeinheit 1 von einem Analysten bedient werden. Dies kann beispielsweise über einen Remote-Zugriff erfolgen.

Die Analyseeinheit 1 kann die forensischen Daten also direkt an ihrem Ursprung in dem Cloudsystem 3 untersuchen.

Fig. 2 zeigt ein Verfahren zum Analysieren von forensischen Daten. Das Verfahren weist die folgenden Schritte auf.

In Schritt 201 werden die forensischen Daten in der Analyse- einheit 1 analysiert, wobei die Analyseeinheit 1 in dem

Cloudsystem 3 angeordnet ist.

In Schritt 202 wird die Analyseeinheit 1 mittels der Bedien ¬ einheit 2 bedient, wobei die Bedieneinheit 2 entfernt von der Analyseeinheit 1 außerhalb des Cloudsystems 3 angeordnet ist.

Die Schritte 201 und 202 können gleichzeitig oder in anderer Reihenfolge ausgeführt werden. Obwohl die vorliegende Erfindung anhand von Ausführungsbei ¬ spielen beschrieben wurde, ist sie vielfältig modifizierbar.