CUELLAR JORGE (DE)
MUNZERT MICHAEL (DE)
PATZLAFF HEIKO (DE)
STIJOHANN JAN (DE)
| US20030097617A1 | 2003-05-22 | |||
| US20090164522A1 | 2009-06-25 |
| Patentansprüche 1. System zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur mit mehreren Rechenvorrichtungen (11.1, ..,ΙΙ.η) und mindestens einer Überwachungseinheit (12), die über ein Kommunikationsnetz miteinander verbunden sind, und jede Rechenvorrichtung (11.1, ..,ΙΙ.η) derart ausgebildet ist Sicherheitsereignisse zu detektieren und an die Überwachungseinheit (12) zu senden, und die Überwachungseinheit (12) derart ausgebildet ist, die empfangenen Sicherheitsereignissen zu bewerten und eine Gefahrenkategorie zuzuweisen, wobei bei mangelnder Information zur Zuweisung einer Gefahrenkategorie die Rechenvorrichtung (11.1, ..,ΙΙ.η) derart ausgebildet ist, Anweisungen zum Sammeln von zusätzlichen forensischen Daten zu empfangen und die gesammelten, zusätzlichen Daten an die Überwachungseinheit (12) zu senden, und die Überwachungseinheit (12) derart ausgebildet ist Anweisung zum Sammeln zusätzlicher Daten an die Rechenvorrichtung (11.1, ..,ΙΙ.η) zu übermitteln, und nach Empfang der gesammelten, zusätzlichen Daten diese auszuwerten und zum erneuten Bewerten und Zuweisen einer Gefahrenkategorie zu verwenden. 2. System nach Anspruch 1, wobei das System eine Analyseeinheit (13) umfasst, die die zusätzlichen, gesammelten Daten auswertet . 3. System nach Anspruch 1 oder 2, wobei die Analyseeinheit (13) derart ausgebildet ist, einen Software-Agenten (14) an die Rechenvorrichtung (11.1, ..,ΙΙ.η) zu übermitteln, und der Software-Agent (14) derart ausgebildet ist zusätzlichen Daten in der Rechenvorrichtung (11.1, ..,ΙΙ.η) zu ermitteln und an die Analyseeinheit (13) zu senden. 4. System nach Anspruch 3, wobei der Software-Agent (14) derart konfiguriert ist, abhängig von der Art der in der Überwachungseinheit (12) bewerteten Sicherheitsereignisse unter- schiedliche zusätzliche Daten in der Rechenvorrichtung (11.1, ..,ΙΙ.η) zu sammeln. 5. System nach einem der Ansprüche 3 oder 4, wobei der Software-Agent (14) derart ausgebildet ist, Metadaten von Dateien und/oder Einträge in einem Register für Konfigurationsdaten und/oder Protokolleinträge eines Anti- irus-Programms in der Rechenvorrichtung (11.1, ..,ΙΙ.η) als zusätzliche Daten zu sammeln . 6. System nach einem der Ansprüche 3 bis 5, wobei der Software-Agent (14) die zusätzlichen Daten in komprimierter Form an die Analyseeinheit (13) übermittelt. 7. System nach einem der Ansprüche 1 bis 6, wobei die Überwachungseinheit (12) derart ausgebildet ist, das Bewerten eines einzelnen Sicherheitsereignisses durch Zuweisen eines Gewichtungsfaktors abhängig von der Relevanz des Sicherheitsereignisses durchzuführen. 8. System nach Anspruch 7, wobei die Überwachungseinheit (12) derart ausgebildet ist, einem oder mehreren Sicherheitsereignissen eine bestimmte Gefahrenkategorie zuzuweisen, wenn die Summe der Gewichtungsfaktoren der einzelnen Sicherheitsereignisse einen vorgegebenen Schwellwert überschreitet und/oder vorbestimmte Bedingungen erfüllt sind. 9. Verfahren zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur mit mehreren Rechenvorrichtungen (11.1, ..,ΙΙ.η) und mindestens einer Überwachungseinheit (12), die über ein Kommunikationsnetz miteinander verbunden sind, mit den Verfahrensschritten: - Detektieren (22) von Sicherheitsereignissen in einer Rechenvorrichtung (11.1, ..,ΙΙ.η) und Übermitteln an die Überwachungseinheit (12), - Bewerten (23) der einzelnen Sicherheitsereignisse, und - Zuweisen (24) einer Gefahrenkategorie in der Überwachungseinheit (12), wobei bei mangelnder Information zur Zuweisung einer Gefahrenkategorie - zusätzliche Daten von mindestens einer Rechenvorrichtung (11.1, ..,ΙΙ.η) angefordert werden (26), - die zusätzlichen Daten anhand sicherheitstechnischer Aspekte auswertet werden (27), und die ausgewerteten Daten an die Überwachungseinheit (12) übertragen werden, und - die Sicherheitsereignisse und die ausgewerteten zusätzlichen Daten erneut bewertet (23) werden und eine Gefahrenkategorie zuwiesen wird (24) . 10. Verfahren nach Anspruch 9, wobei das Bewerten (23) eines einzelnen Sicherheitsereignisses durch Zuweisen eines Gewichtungsfaktors abhängig von der Relevanz des Sicherheitsereignisses erfolgt. 11. Verfahren nach Anspruch 10, wobei einem oder mehreren Sicherheitsereignissen eine bestimmte Gefahrenkategorie zugewiesen wird (24), wenn die Summe der Gewichtungsfaktoren der einzelnen Sicherheitsereignisse einen vorgegebenen Schwellwert überschreitet . 12. Verfahren nach Anspruch 11, wobei einem oder mehreren Sicherheitsereignissen eine bestimmte Gefahrenkategorie zugewiesen wird (24), wenn zusätzlich vorgegebene Bedingungen erfüllt sind. 13. Verfahren nach einem der Ansprüche 9 bis 12, wobei unterschiedliche zusätzliche Daten abhängig von der Art der in der Überwachungseinheit (12) bewerteten Sicherheitsereignisse in der Rechenvorrichtung (11.1, ..,ΙΙ.η) gesammelt werden. 14. Verfahren nach einem der Ansprüche 9 bis 13, wobei die zusätzlichen gesammelten Daten in komprimierter Form übertragen werden . 15. Computerprogrammprodukt mit Programmbefehlen zur Durchführung des Verfahrens nach Anspruch 9 bis 14. |
Verfahren und System zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur
Die Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur mit mehreren Rechenvorrichtungen und mindestens einer Überwachungseinheit, die über ein Kommunikationsnetz miteinander verbunden sind.
In Industrieanlagen, wie beispielsweise Automationsanlagen zur Fertigung von Wirtschaftsgütern oder Anlagen zur Erzeugung von Energie oder auch Energieverteilungssystemen sind Rechenvorrichtungen, wie z.B. sogenannte Feldgeräte oder sonstige Steuereinrichtungen durch ein Kommunikationsnetz miteinander verbunden. Über dieses Kommunikationsnetz werden Mess- und Steuerungsdaten zwischen den Rechenvorrichtungen ausgetauscht oder auch Steuerungs- oder Administrationsnachrichten von einer übergeordneten Steuerungsebene an die einzelnen Rechenvorrichtungen verteilt. Sicherheitsereignis- Management- und Sicherheitsinformations-Monitoring-Systeme werden verwendet, um auch in solchen verteilten Rechnerinfrastrukturen anfallende Sicherheitsprotokolldaten zentral zu speichern und zu verwalten. Durch die Analyse dieser Daten werden sicherheitsrelevante Ereignisse erkannt und an ein Überwachungszentrum gemeldet.
Typische Beispiele für solche sicherheitsrelevanten Ereignisse sind fehlgeschlagene Anmeldeversuche, Verbindungen von einem Rechner zu „bösartigen" oder „verdächtigen" Websites, von einer Rechenvorrichtung ausgehende Netzwerkscans und ähnliches. Damit ein menschlicher Analyst, beispielsweise Personal zur Anlagenüberwachung, auf die gemeldeten Ereignisse richtig reagieren kann, ist eine Kategorisierung in gutartige oder bösartige Ereignisse notwendig. Obgleich typische Sicherheitsereignismanagement- und Sicherheitsinformationsmanage- mentsysteme häufig Algorithmen für eine solche Kategorisie- rung implementieren, ist eine eindeutige Zuordnung allein aufgrund der vorhandenen Daten in vielen Fällen nicht möglich. In anderen Fällen kommt es zur fehlerhaften Zuordnung gutartiger Ereignisse als bösartig oder umgekehrt, sogenannte „false-positive" Ereignisse oder „false-negative" Ereignisse.
In Fällen, in denen eine eindeutige Zuordnung nicht möglich ist, sind zeitaufwendige Folgeuntersuchungen, wie z.B. eine manuelle forensische Untersuchung der betroffenen Rechenvorrichtung notwendig. Diese können typischerweise nicht im Sicherheitsereignis- und Sicherheitsinformationsmanagement- system selbst stattfinden und erfordern unter Umständen besonderes Fachwissen.
Ist keine eindeutige Zuordnung eines sicherheitsrelevanten Ereignisses in eine Gefahrenkategorie möglich, wird derzeit beispielsweise auf eine Kategorisierung der Sicherheitsereignisse generell verzichtet, nicht-klassifizierbare Ereignisse, auch under-reporting genannt, unterdrückt oder eine unscharfe Kategorisierung durch ein Bewertungssystem, beispielsweise durch niedrige-, mittlere-, hohe-Relevanz vorgenommen. Eine solche nicht eindeutige Klassifizierung kommt häufig dadurch zustande, dass nicht genügend Information vorhanden ist, um das sicherheitsrelevante Ereignis genauer analysieren zu können .
Es ist somit die Aufgabe der vorliegenden Erfindung, die Fehlerrate bei der Einordnung bzw. Kategorisierung von Sicherheitsereignissen in verteilten Rechnerinfrastrukturen zu verbessern .
Die Aufgabe wird durch die in den unabhängigen Patentansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.
In dem erfindungsgemäßen System zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur mit mehreren Rechenvorrichtungen und mindestens einer Überwa- chungseinheit , die über ein Kommunikationsnetz miteinander verbunden sind, ist jede Rechenvorrichtung derart ausgebildet, Sicherheitsereignisse zu detektieren und an die Überwachungseinheit zu senden, und die Überwachungseinheit ist derart ausgebildet, die empfangenen Sicherheitsereignisse auszuwerten und einer Gefahrenkategorie zuzuweisen, wobei bei mangelnder Information zur Zuweisung einer Gefahrenkategorie die Rechenvorrichtung derart ausgebildet ist, Anweisungen zum Sammeln von zusätzlichen forensischen Daten zu empfangen und die zusätzlichen Daten an die Überwachungseinheit zu senden. Die Überwachungseinheit ist derart ausgebildet, Anweisungen zum Sammeln zusätzlicher Daten an die Rechenvorrichtung zu übermitteln und nach Empfang der ausgewerteten zusätzlichen Daten diese zum erneuten Bewerten und Zuweisen einer Gefahrenkategorie zu verwenden.
Dies hat den Vorteil, dass nun zusätzliche forensische Daten in der Rechenvorrichtung ermittelt und der Überwachungseinheit zur Verfügung gestellt werden. Über diese zusätzlichen forensischen Daten kann eine erneute Auswertung und Kategori- sierung vorgenommen werden. Die Fehlerrate bei der Kategori- sierung der Sicherheitsereignisse wird dabei erheblich reduziert .
In einer vorteilhaften Weiterbildung umfasst das erfindungsgemäße System eine Analyseeinheit, die die zusätzlichen, gesammelten Daten auswertet.
Dies hat den Vorteil, dass die Gewinnung und zumindest die Vorauswertung der zusätzlichen, gesammelten Daten unabhängig von einem bereits vorhandenen System ablaufen. Es sind lediglich geringfügige Anpassungen vorzunehmen. Die Überwachungseinheit erhält zwar zusätzliche Daten, kann diese aber in gewohnter Weise bewerten und zur Zuweisung einer Gefahrenkategorie heranziehen. Diese Analyseeinheit kann als eigenständige Einheit oder als funktionelle Einheit in der Überwachungseinheit ausgebildet sein und somit flexibel in bestehende Systeme integriert werden. In einer vorteilhaften Weiterbildung ist die Analyseeinheit derart ausgebildet, einen Software-Agenten an die Rechenvorrichtung zu übermitteln, wobei der Software-Agent derart aus gebildet ist, zusätzliche forensische Daten in der Rechenvor richtung zu ermitteln und diese an die Analyseeinheit zu sen den .
Dies hat den Vorteil, dass die Rechenvorrichtungen keine eigenen Vorrichtungen oder Einheiten zur Sammlung von zusätzli chen Daten bereitstellen müssen. Herkömmliche bereits im Ein satz befindliche Rechenvorrichtungen können in dem erfindungsgemäßen System verbessert überwacht werden. Eine kosten aufwendige Nachrüstung von Rechenvorrichtungen mit einer Kom ponente zum Sammeln von zusätzlichen Daten ist nicht notwendig. Die Rechenvorrichtungen werden nur temporär durch den Software-Agenten belastet.
In einer vorteilhaften Weiterbildung des erfindungsgemäßen Systems sammelt der Software-Agent abhängig von der Art der in der Überwachungseinheit bewerteten Sicherheitsereignisse unterschiedliche zusätzliche Daten in der Rechenvorrichtung.
Dies hat den Vorteil, dass spezifisch auf die Art des in der Überwachungseinheit bewerteten Sicherheitsereignisses besonders relevante zusätzliche Daten gesammelt werden. Beispiels weise kann bei einem einfachen bzw. bei mehrfach fehlgeschla genen Log-in Versuchen Information über die Adresse oder den Aufenthaltsort der Komponente eruiert werden, die die Log-in Versuche initiiert hat.
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Systems ist die Überwachungseinheit derart ausgebildet, das Bewerten eines einzelnen Sicherheitsereignisses durch Zuweisen eines Gewichtungsfaktors abhängig von der Relevanz des Sicherheitsereignisses durchzuführen . Somit wird eine Einschätzung eines Sicherheitsereignisses bezüglich der Relevanz des gemeldeten Sicherheitsereignisses durchgeführt. Es kann somit stärker zwischen den einzelnen gemeldeten Sicherheitsereignissen differenziert werden.
In einer Ausführungsvariante ist die Überwachungseinheit derart ausgebildet, einem oder mehreren Sicherheitsereignissen eine bestimmte Gefahrenkategorie zuzuweisen, wenn die Summe der Gewichtungsfaktoren der einzelnen Sicherheitsereignisse einen vorgegebenen Schwellwert überschreitet.
Durch die Bewertung mehrerer Sicherheitsereignisse erfolgt eine fundierte Einschätzung und es können Fehleinschätzungen aufgrund von sporadisch auftretenden Sicherheitsereignissen reduziert werden.
In einer vorteilhaften Ausführungsform ist der Software-Agent derart ausgebildet, Metadaten von Dateien und/oder Einträge in einem Register für Konfigurationsdaten und/oder Protokolleinträge eines Anti-Virus-Programms in der Rechenvorrichtung als zusätzliche Daten zu sammeln.
Die genannten Daten enthalten eine Vielzahl von Informationen, wie Speicherdatum bzw. Speicher-Uhrzeit, Größe der Datei, Art der Datei sowie Hinweise über ein Kompromittieren der Rechenvorrichtung durch Viren etc., die eine genauere Einschätzung eines Sicherheitsereignisses ermöglichen.
In einer vorteilhaften Ausführungsform übermittelt der Software-Agent die zusätzlichen Daten in komprimierter Form an die Analyseeinheit.
Dies reduziert die benötigte Bandbreite für Übertragung der nachgeforderten bzw. nachgelieferten Daten und belastet somit das Kommunikationsnetz nur geringfügig.
Das erfindungsgemäße Verfahren zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur mit mehreren Rechenvorrichtungen und mindestens einer Überwachungseinheit, die über ein Kommunikationsnetz miteinander verbunden sind, weist nachfolgend genannte Verfahrensschritte auf. Der erste Verfahrensschritt ist das Detektieren von Sicherheitsereignissen in der Rechenvorrichtung und das Übermitteln der Sicherheitsereignisse an die Überwachungseinheit. Es schließen sich die Verfahrensschritte des Bewertens der einzelnen Sicherheitsereignisse und das Zuweisen einer Gefahrenkategorie in der Überwachungseinheit an. Reicht die vorhandene Information bzw. die vorhandenen Sicherereignisse nicht zur Zuweisung einer Gefahrenkategorie aus, werden zusätzlich Daten von der Rechenvorrichtung angefordert. Die zusätzlich gesammelten Daten werden anhand sicherheitstechnischer Aspekte ausgewertet und die ausgewerteten Daten werden an die Überwachungseinheit übertragen. Dort werden die
Sicherheitsereignisse und die ausgewerteten zusätzlichen Daten erneut bewertet und eine Gefahrenkategorie wird zugewiesen .
Somit werden in Fällen, in denen eine eindeutige Zuordnung einer Gefahrenkategorie nicht möglich ist, automatisch weitere sicherheitsrelevante Daten in der betroffenen Rechenvorrichtung oder auch anderen relevanten Rechenvorrichtungen gesammelt und zur Bewertung und Kategorisierung weiter ausgewertet und verwendet. Somit kann die Anzahl von Fehlzuordnungen von Gefahrenkategorien reduziert werden und eine Manipulation der verteilten Recheninfrastruktur wie z.B. einer Industrieanlage erkannt werden.
In einer vorteilhaften Variante des erfindungsgemäßen Verfah- rens erfolgt das Bewerten eines einzelnen Sicherheitsereig- nisses durch Zuweisen eines Gewichtungsfaktors abhängig von der Relevanz des Sicherheitsereignisses .
In einer weiteren Variante wird einem oder mehreren Sicherheitsereignissen eine bestimmte Gefahrenkategorie zugewiesen, wenn die Summe der Gewichtungsfaktoren der einzelnen Sicherheitsereignisse einen vorgegebenen Schwellwert überschreitet. Somit wird die Einschätzung und Kategorisierung von Sicher- heitsereignissen bezüglich der Relevanz unterschiedlich be- wertet und möglichst auf mehrere Sicherheitsereignisse ge- stützt. Somit wird eine Fehleinschätzung der Sicherheitsereignisse reduziert. in einer vorteilhaften Ausführungsform des Verfahrens wird einem oder mehreren Sicherheitsereignissen eine bestimmte Gefahrenkategorie zugewiesen, wenn zusätzlich vorgegebene Bedingungen erfüllt sind.
Dadurch können zusätzliche für die Einschätzung der Sicherheitsereignisse wichtige Randbedingungen abgeprüft werden. Somit wird auch sichergestellt, dass die zur Verfügung stehenden Ressourcen, wie beispielsweise die Bandbreite des Kommunikationsnetzes bzw. die Prozessorleistung der einzelnen Rechenvorrichtungen bzw. der Überwachungseinheit effektiv eingesetzt und nicht überlastet werden.
In einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens werden unterschiedliche zusätzliche Daten abhängig von der Art der in der Überwachungseinheit bewerteten Sicherheitsereignisse in der Rechenvorrichtung gesammelt.
Dadurch kann die Art der zusätzlich zu sammelnden Daten in der Rechenvorrichtung auf solche Daten beschränkt werden, die für das bewertete Sicherheitsereignis die größte Relevanz haben. Somit wird die benötigte Bandbreite zum Übertragen der zusätzlichen Daten reduziert und die Prozessorleistung in der Analyseeinheit reduziert. Eine Analyse kann dadurch schneller und effektiver durchgeführt werden.
In einer vorteilhaften Ausführungsform werden die zusätzlich gesammelten Daten in komprimierter Form übertragen. Auch dies hat den Vorteil, den Normalbetrieb der verteilten Infrastruktur und insbesondere des Kommunikationsnetzes möglichst wenig zu belasten.
Des Weiteren wird ein Computerprogrammprodukt mit Programmbefehlen zur Durchführung des beschriebenen Verfahrens beansprucht .
Ausführungsbeispiele des erfindungsgemäßen Systems bzw. des erfindungsgemäßen Verfahrens sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:
Figur 1 ein Ausführungsbeispiel eines erfindungsgemäßen
Systems zur Gewinnung und Analyse zusätzlicher forensischer Daten in einer verteilten Rechnerinfrastruktur, und
Figur 2 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens dargestellt in Form eines Flussdiagramms.
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
Figur 1 zeigt in schematischer Darstellung ein Ausführungsbeispiel eines erfindungsgemäßen Systems, in dem Rechenvorrichtungen 11.1, 11. i, 11. n sowie eine Überwachungseinheit 12, und eine Analyseeinheit 13 durch ein nicht dargestelltes Kommunikationsnetz miteinander verbunden sind. Die Rechenvorrichtungen 11.1, 11. i, 11. n können beispielsweise einzelne Feldgeräte in einer Automatisierungsanlage oder Komponenten einer Energieverteilungsanlage oder einer sonstigen Industrieanlage sein. Die Überwachungseinheit 12 ist derart ausgebildet, Sicherheitsereignisse, die in jeder der Rechenvorrichtung 11.1, 11. n detektiert wurden und an die Überwachungseinheit 12 geschickt wurde, zu speichern, zu verwalten und durch eine Analyse der Sicherheitsereignisse sicherheitskritische Ereignisse zu erkennen und zu melden. Typische Beispiele für Sicherheitsereignisse sind fehlgeschlagene Anmeldeversuche, Verbindungen von einem Rechner zu bösartigen oder verdächtigen Websites oder auch von einer Rechenvorrichtung ausgehende Netzwerkscans.
Da oftmals die Bewertung eines oder mehrerer in der Überwachungseinheit anfallenden Sicherheitsereignisse nicht ausreicht, um ein sicherheitskritisches Ereignisse zu identifizieren bzw. diesem Ereignis eine Gefahrenkategorie zuzuweisen, ist die Überwachungseinheit 12 derart ausgebildet, bei mangelnder Information zur Zuweisung einer Gefahrenkategorie eine Anweisung an die Rechenvorrichtung, beispielsweise Rechenvorrichtung 11. i zu senden, die das Sammeln von zusätzlichen forensischen Daten anfordert. Dazu sendet die Überwachungseinheit 12 eine Anforderungsnachricht A beispielsweise über eine Analyseeinheit 13. Die Anforderungsnachricht A kann beispielsweise Parameter umfassen, die den Typ oder mehrere Typen von Daten angeben, die basierend auf den bisherigen de- tektierten und bewerteten Sicherheitsereignissen zur weiteren Bewertung des Sicherheitsereignisses gesammelt werden sollen.
Die Analyseeinheit 13 übermittelt daraufhin einen entsprechenden Software-Agenten 14 in einer Nachricht B an eine oder auch mehrere Rechenvorrichtungen 11. i. Der Software-Agent 14 wird in der oder den Rechenvorrichtungen 11. i installiert und aktiviert, so dass dieser selbständig die gewünschten Daten in der Rechenvorrichtung 11. i sammelt. Der Software-Agent 14 kann dabei weitere Parameter oder Nebenbedingungen ausführen, beispielsweise über eine vorbestimmte Zeitdauer die angeforderten Daten zu sammeln, oder auch Daten eines vorgegebenen Typs oder mehrerer vorgegebener Typen, wie beispielsweise Metadaten von Dateien und/oder Einträge in einem Register für Konfigurationsdaten und/oder Protokolleinträge eines Anti- Virus-Programms in der Rechenvorrichtung 11. i zu sammeln.
Die vom Software-Agenten 14 gesammelten zusätzliehen Daten werden dann an die Analyseeinheit 13 in einer oder mehrerer Übertragungen C gesendet. Die gesammelten Daten können dabei vom Software-Agenten 14 komprimiert werden, so dass die Bandbreite zur Übertragung dieser zusätzlich gesammelten Daten reduziert wird.
In der Analyseeinheit 13 werden diese zusätzlich gesammelten Daten bearbeitet und optional vorausgewertet. Anschließend werden die bearbeiteten Daten in der Übertragung D an die Überwachungseinheit 12 gesendet. Dort findet eine erneute Bewertung der einzelnen Sicherheitsereignisse unter Berücksichtigung der zusätzlich gesammelten Daten bzw. der verarbeiteten gesammelten Daten statt. Beispielsweise werden die
Sicherheitsereignisse sowie die bearbeiteten zusätzlich gesammelten Daten durch Zuweisung eines Gewichtungsfaktors abhängig von ihrer Relevanz bewertet. Überschreitet die Summe der Gewichtungsfaktoren der einzelnen Sicherheitsereignisse und der zusätzlich gesammelten Daten einen vorgegebenen Schwellwert, so wird ihnen eine bestimmte Gefahrenkategorie zugewiesen. Diese Gefahrenkategorie wird nun beispielsweise an eine Betriebseinheit bzw. direkt durch ein Signal an Betriebspersonal gemeldet. Diese können abhängig von der Art der Gefahrenkategorie weitere Maßnahmen ergreifen, wie beispielsweise eine weitere Analyse durchführen, bestimmte Netzübergänge zu sperren, etc.
Durch die Verwendung zusätzlicher gesammelter Daten zur Kate- gorisierung des Sicherheitsereignisses kann die Qualität der Kategorisierung substantiell gesteigert werden. Dadurch werden Folgeaufwände, wie beispielsweise eine manuelle Untersuchung minimiert oder auch Sicherheitsdefizite durch false- negative Kategorisierung reduziert.
Durch die Verwendung eines Software-Agenten 14 ist es möglich, zusätzliche Daten in einer Rechenvorrichtung 11. i zu sammeln, ohne dass die Rechenvorrichtung 11. i selbst diese Funktionalität vorsieht. Es können somit Daten auch in inhomogenen verteilten Rechnerinfrastrukturen gesammelt werden, die Rechenvorrichtungen unterschiedlichster Funktionalität umfassen . Die Analyseeinheit 13 kann, wie in Figur 1 dargestellt, als eigenständige Komponente ausgebildet sein. Sie kann aber auch als integrierte Funktionalität beispielsweise in einer Überwachungseinheit 12 ausgebildet sein. Die Analyseeinheit 13 verarbeitet automatisiert die vom Software-Agenten 14 übertragenen gesammelten Daten und filtert beispielsweise die für ein bestimmtes Sicherheitsereignis relevanten Daten heraus oder erzeugt daraus resultierende zusätzliche Sicherheitsereignisse .
Optional können nochmals zusätzliche Daten von der Rechenvorrichtung 11. i oder auch von anderen Rechenvorrichtungen, die einen Bezug zum bereits detektierten Sicherheitsereignis haben, zur Sammlung weiterer Daten aufgefordert werden. Dies erfolgt dann über die bereits beschriebenen Nachrichten. Die forensische Datensammlung und Analyse erfolgt somit automatisch. Die zusätzlich ausgewerteten gesammelten Daten werden in die Bewertung und Kategorisierung der Sicherheitsereignisse in der Überwachungseinheit 12 integriert und beispielsweise über eine Ausgabeeinheit, beispielsweise durch Anzeige einer Fehlermeldung und/oder einer Übersicht der ermittelten Sicherheitsereignisse, einem menschlichen Analysten zugänglich gemacht. Dadurch wird die Bearbeitung eines Sicherheitsvorfalls, verglichen mit einer manuellen Vorgehensweise, deutlich beschleunigt und der menschliche Analyst entlastet.
In Figur 2 sind die einzelnen Verfahrensschritte des erfindungsgemäßen Verfahrens in einem Flussdiagramm 20 aufgezeigt.
Im Ausgangszustand 21 liegt eine verteilte Rechnerinfrastruktur vor, in der jede einzelne Rechenvorrichtung fortlaufend vorbestimmte Typen von Ereignissen bei ihrem Auftreten protokolliert. Werden im Verfahrensschritt 22 ein oder mehrere Sicherheitsereignisse in eine Rechenvorrichtung 11. i detek- tiert, so werden diese an die Überwachungseinheit 12 übermittelt. Im Verfahrensschritt 23 werden die einzelnen übermittelten Sicherheitsereignisse in der Überwachungseinheit 12 bewertet, indem jedem Sicherheitsereignis ein Gewichtungsfaktor entsprechend der Relevanz aus sicherheitstechnischer Sicht zugeordnet wird. Im Verfahrensschritt 24 werden nun ein bzw. mehrere bewertete, also gewichtete Sicherheitsereignisse gemeinsam betrachtet. Beispielsweise werden alle Gewichtungsfaktoren der betrachteten Sicherheitsereignisse aufsummiert. Bei Überschreitung eines vorgegebenen Schwellwertes wird eine bestimmte Gefahrenkategorie zugewiesen. Zur Zuweisung einer Gefahrenkategorie kann die Erfüllung weiterer Bedingungen als notwendig erfüllt gefordert sein.
Im Verfahrensschritt 25 wird nun überprüft, ob eine Gefahrenkategorie zugeordnet werden konnte. Ist dies der Fall, so wird die Gefahrenkategorie im Schritt 29 ausgegeben bzw. gemeldet. Damit ist die Analyse einer auffälligen Situation, die beispielsweise durch ein Kompromittieren einzelner oder aller Komponenten der verteilten Rechnerinfrastruktur 11.1, 11. i, 11. n entsteht, abgeschlossen.
Wird im Verfahrensschritt 25 festgestellt, dass entweder der Schwellwert zur Zuweisung einer Gefahrenkategorie noch nicht erreicht ist oder zusätzliche Bedingungen zur Zuweisung einer Gefahrenkategorie noch nicht erfüllt sind, werden zusätzliche Daten zur Bewertung der einzelnen Sicherheitsereignisse angefordert. Dies kann entweder bei der einen Rechenvorrichtung 11. i, die relevante Sicherheitsereignisse detektiert und gemeldet hat, angefordert werden. Es können aber auch weitere Rechenvorrichtungen 11.1, 11. i, 11. n aufgefordert werden, zusätzliche Daten, beispielsweise spezielle Daten, die im Zusammenhang mit einer bestimmten Gefahrenkategorie stehen, zu sammeln und zur Auswertung an eine Analyseeinheit 13 und weiter zur Überwachungseinheit 12 zu übertragen. Eine erste Bearbeitung und Auswertung der zusätzlich gesammelten Daten findet im Verfahrensschritt 27 in der Analyseeinheit 13 statt .
Im Verfahrensschritt wird überprüft, wie häufig bereits eine Nachforderung von zusätzlichen Daten erfolgt ist. Ist eine Maximalanzahl noch nicht überschritten, werden die resultierenden Daten an die Überwachungseinheit 12 gesendet, die die zusätzlich gesammelten Daten entweder alleine oder nochmals mit den bereits bewerteten einzelnen Sicherheitsereignissen in Verfahrensschritt 23 bewertet, und in Schritt 24 eine Zuweisung einer Gefahrenkategorie vornimmt.
Kann nach Überschreitung des im Verfahrensschritt 28 vorgegebene Maximalwertes noch immer keine Gefahrenkategorie zuge- ordnet werden, so wird keine weitere Anforderung für zusätzliche Daten mehr erzeugt und eine entsprechende Meldung im Verfahrensschritt 30 z.B. an Analysepersonal bzw. eine entsprechende Ausgabeeinheit weitergeleitet und der Ablauf beendet .
Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.