Literature Database Entry

kaiser2006sicherheitsportal

Jochen Kaiser, Alexander Vitzthum, Peter Holleczek and Falko Dressler, "Ein Sicherheitsportal zur Selbstverwaltung und automatischen Bearbeitung von Sicherheitsvorfällen als Schlüsseltechnologie gegen Masseninfektionen," Proceedings of 1st GI SIG SIDAR Graduate Workshop on Reactive Security (SPRING), Berlin, Germany, July 2006, pp. 16.

Abstract

Die massive Zunahme von Sicherheitsvorfällen sorgt für eine Verschärfung der Bedrohungslage und eine drastische Zunahme der möglichen bzw. tatsächlichen Schäden. Viele Endsysteme sind mit Malware kompromittiert und bleiben es für lange Zeit, da die Kompromittierung durch den Endnutzer nicht erkannt wird und/oder ohne fremde Hilfe auch nicht entfernt werden kann. Oftmals findet von den betroffenen Systemen aus eine Infizierung/Kompromittierung weiterer Systeme statt. Durch eine frühzeitige Erkennung und Auflösung von Sicherheitsvorfällen kann die Situation deutlich verbessert werden. An der Universität Erlangen wurde die PRISM (Portal for Reporting Incidents and Solution Managment) Plattform entwickelt. Es handelt sich hierbei um ein modulares System, welches Sicherheitsvorfälle über mehrere Pfade gemeldet bekommt und Endnutzern dann die Möglichkeit bietet, diese Sicherheitsvorfälle selbst zu beheben. Dadurch kann frühzeitig ein Sicherheitsvorfall behoben werden und der Schaden für den Betroffenen und durch frühzeitige Verhinderung der Weiterverbreitung auch für weitere Nutzer begrenzt werden. PRISM liegt eine modulare Architektur zugrunde, welche sich durch einfache Erweiterbarkeit auszeichnet. Die einzelnen Systemkomponenten können dabei folgende Kategorien aufgeteilt werden: Aufzeichnungseinheiten, welche Sicherheitsvorfälle entgegennehmen, zentrale Auswertelogiken, sowie Frontends, wie z.B. ein Selbstbedienungsterminal für die Nutzer-unterstützte Auflösung von Sicherheitsvorfällen. Die Eingabe von Sicherheitsvorfällen kann hierbei auf mehrere Weisen erfolgen. In der experimentellen Implementierung sind Sensoren integriert, die über das IDMEF (Intrusion Detection Message Exchange Format) Protokoll die Sicherheitsmeldungen an den Systemkern weitergeben. Der Datenverkehr eines Nutzers, welcher mit seinem System in das Internet gelangen will, wird dabei auf das Selbstbedienungsterminal umgeleitet. Daher wird bei Nutzung des Web-Browsers der Nutzers nun automatisch auf eine spezielle Seite umgeleitet, welche neben der Darstellung des Sicherheitsproblems auch Zusatzinformationen zur Behebung des Sicherheitsproblems. Ein möglicher Einsatzzweck sind Universitäten, deren offene Forschungsnetze und anspruchsvolle Nutzergruppen besondere Herausforderungen an das IT-Sicherheitsmanagement stellen. Ein anderer Einsatzzweck ist das Management von Endkunden bei Zugangsprovidern. Endkunden sind üblicherweise nicht in der Lage ihr Endsystem so abzusichern, dass keine Sicherheitsvorfälle entstehen. Ebenso werden auch Sicherheitsvorfälle mit Malware nicht erkannt und behoben. Hier kann nun das Sicherheitsportal Abhilfe leisten und den Endkunden kostengünstig auf den Sicherheitsvorfall hinweisen und ihn interaktiv lösen. Die beschriebene Komponente ist Teil einer in der Entwicklung befindlichen Architektur zur Verbesserung der Sicherheit in Netzwerken. Die wesentlichen Eckpunkte der Untersuchung sind hierbei das Einordnen und das Routing bzw. die Eskalation von Sicherheitsvorfällen. Ein weiterer wichtiger Aspekt ist das Finden von Lösungen für diese kritischen Ereignisse. Hierbei wird auch analysiert, wie diese Lösungen in ein Vorfallsmanagementsystem integriert werden können und welche Anforderungen an Schnittstellen hier existieren. Die Untersuchungen sollen dazu beitragen, den massiven automatischen Infektionen mit Malware durch eine möglichst automatisierte Betreuung von Sicherheitsvorfällen zu begegnen. Der Vorteil, welchen Malware durch den Einsatz automatischer Verbreitungsverfahren hat, soll hierbei wieder wettgemacht werden, was eine manuelle Auflösung von Sicherheitsvorfällen nicht leisten kann.

Quick access

Authors' Version PDF (PDF on this web site)
BibTeX BibTeX

Contact

Jochen Kaiser
Alexander Vitzthum
Peter Holleczek
Falko Dressler

BibTeX reference

@inproceedings{kaiser2006sicherheitsportal,
    author = {Kaiser, Jochen and Vitzthum, Alexander and Holleczek, Peter and Dressler, Falko},
    title = {{Ein Sicherheitsportal zur Selbstverwaltung und automatischen Bearbeitung von Sicherheitsvorf{\"{a}}llen als Schl{\"{u}}sseltechnologie gegen Masseninfektionen}},
    pages = {16},
    address = {Berlin, Germany},
    booktitle = {1st GI SIG SIDAR Graduate Workshop on Reactive Security (SPRING)},
    month = {7},
    year = {2006},
   }
   
   

Copyright notice

Links to final or draft versions of papers are presented here to ensure timely dissemination of scholarly and technical work. Copyright and all rights therein are retained by authors or by other copyright holders. All persons copying this information are expected to adhere to the terms and constraints invoked by each author's copyright. In most cases, these works may not be reposted or distributed for commercial purposes without the explicit permission of the copyright holder.

The following applies to all papers listed above that have IEEE copyrights: Personal use of this material is permitted. However, permission to reprint/republish this material for advertising or promotional purposes or for creating new collective works for resale or redistribution to servers or lists, or to reuse any copyrighted component of this work in other works must be obtained from the IEEE.

The following applies to all papers listed above that are in submission to IEEE conference/workshop proceedings or journals: This work has been submitted to the IEEE for possible publication. Copyright may be transferred without notice, after which this version may no longer be accessible.

The following applies to all papers listed above that have ACM copyrights: ACM COPYRIGHT NOTICE. Permission to make digital or hard copies of part or all of this work for personal or classroom use is granted without fee provided that copies are not made or distributed for profit or commercial advantage and that copies bear this notice and the full citation on the first page. Copyrights for components of this work owned by others than ACM must be honored. Abstracting with credit is permitted. To copy otherwise, to republish, to post on servers, or to redistribute to lists, requires prior specific permission and/or a fee. Request permissions from Publications Dept., ACM, Inc., fax +1 (212) 869-0481, or permissions@acm.org.

The following applies to all SpringerLink papers listed above that have Springer Science+Business Media copyrights: The original publication is available at www.springerlink.com.

This page was automatically generated using BibDB and bib2web.