Direkt zum Inhalt

Anomaly Detection & Cyber Threat Intelligence

Jeden Tag sind Unternehmen und Organisationen gefährlichen Cyberattacken ausgesetzt. Im Kampf gegen diese Bedrohungen müssen DatensicherheitsexpertInnen laufend die Situation überwachen, Schlüsselindikatoren festlegen, rasch auf Probleme reagieren und stets über die neuesten Angriffsvektoren, Methoden und Bedrohungen auf dem Laufenden sein – all das gleichzeitig zu bewerkstelligen, ist jedoch ein oft aussichtsloses Unterfangen.

Das AIT arbeitet an neuartigen Konzepten, Algorithmen und Systemen, die unter Einsatz von Machine Learning das Systemverhalten charakterisieren und Abweichungen von einem festgelegten Ausgangszustand entdecken können. Mit Hilfe dieser Lösungen zur adaptiven Verarbeitung von Netzwerk-Logstreams können häufig auftretende Muster in Logfiles erkannt, klassifiziert und geclustert werden, um schließlich bekannte “gute” Aktivitäten von unbekannten schädlichen Aktivitäten in betrieblichen IT-Infrastrukturen zu unterscheiden – ein selbstlernender Ansatz mit minimalem manuellem Konfigurationsaufwand.

Durch die effektive Verknüpfung mit Lösungen zur Gefahrenerkennung kann das System zur Anomalieerkennung individuell eingestellt und auf die jeweiligen Bedrohungsbereiche fokussiert werden. Umgekehrt lassen sich durch die Extraktion von Indikatoren aus rohen Logdaten Informationen über potenzielle Bedrohungen mit minimalem personellen Aufwand gewinnen.

 

Challenges/Key Questions

  • Verständnis potentieller Angriffsvektoren und -techniken in modernen Systemen.
  • Aufbau effizienter Algorithmen zur Extraktion, Klassifizierung und Clustering von häufig auftretenden Mustern in Logfiles.
  • Erstellung von Konzepten zur automatischen Profilerstellung für das Systemverhalten durch reine Beobachtung.
  • Erkennung von Anomalien im Systemverhalten als Folge von Eindringversuchen.
  • Korrelation der erkannten Anomalien mit Informationen über potenzielle Bedrohungen und Anreicherung der Ergebnisse mit Kontextinformationen.
  • Unterstützung der Lageerkennung durch Erhebung, Aggregation und Auswertung der wichtigsten Informationen.

 

Weitere Informationen


ÆCID

ÆCID ist ein intelligentes Cybersecurity-Tool und steht für "Automatic Event Correlation for Incident Detection".


ÆCID Infografik

Vielversprechend ist die Anwendung eines solchen Systems in Steuerungsnetzen, wie etwa in modernen Smart Grids, da hier oft gut spezifizierte Prozesse implementiert sind.


CÆSAIR

CÆSAIR ist ein Cyber Threat Intelligence Tool zur analytischen Unterstützung von SicherheitsexpertInnen.