Drittes GLACIER Projekttreffen Mitte November in Köln

Die Teilnehmer des BMBF-Projekts GLACIER kamen zum dritten Konsortialmeeting am 13. November in Köln in den Räumen der rt-solutions.de GmbH zusammen, um den Stand des Projekts zu besprechen und sich hinsichtlich der High-Level-Architektur abzustimmen. Insbesondere wurde dabei die Entscheidung zum Einsatz konkreter Datenbanksysteme zur Speicherung von Analyse- sowie Ergebnisdaten vorgenommen. Des Weiteren wurde das Modell einer Industrieanlage mit typischen Steuerkomponenten präsentiert, das die Grundlage für verschiedene Use Cases der Anomalie-Erkennung bildet und weitere Use Cases abgestimmt, die in den nächsten Projektschritten umgesetzt werden sollen.

Nachdem die High-Level-Architektur des SIEM-Systems seit dem letzten Treffen durch alle beteiligten Projektpartner in gemeinsamen Telefonkonferenzen grundlegend ausgearbeitet wurde, stand diesmal die Frage nach der Speicherung von Daten innerhalb der Systemkomponenten zur Debatte. Das verteilte Erkennungssystem hält an mehreren Stellen der Prozesskette unterschiedliche Daten bereit, jedoch unterscheiden sich die Einsatzzwecke der Datentöpfe grundlegend (Langzeitarchivierung, Echtzeitanalyse, Nutzerinteraktion) und damit auch die Anforderungen an die Datenhaltung. Lese- und Schreibgeschwindigkeiten, Ausfallsicherheit sowie Art der Zugriffs- und Suchfunktionen (SQL vs. NoSQL) sind dabei bestimmende Faktoren. Im Zuge des Treffens wurden diese Fragen umfassend geklärt und sollen im Nachgang in den Architekturentwurf eingearbeitet und das Ergebnis in einer nachfolgenden Telefonkonferenz finalisiert werden.

Weiterhin wurde der prototypische Nachbau einer kleinen Fabrik mit typischen Maschinenkomponenten und Steuergeräten vorgestellt, welcher einen der zu untersuchenden Use Cases im Rahmen des Projektes darstellt. Ein Use Case ist dabei als eine geschlossene Menge von technischen Komponenten, den von ihnen erzeugten Logdaten, typischen Schwachstellen und Angriffsszenarien zu verstehen, die zur Testung der Anomalieerkennung und Demonstration von Angriffen auf in der Industrie verbauten Technologien genutzt werden sollen. Das Modell stellt eine Sortiermaschine mit angeschlossenem Greifarm dar. Beide Komponenten werden über jeweils eine häufig in der Praxis eingesetzte Steuerung (PLC) angesteuert. Ziel des Use Case ist das Kapern einer der beiden Steuerungen durch einen Angreifer, das Manipulieren des Prozesses (Sabotage) und schließlich die Erkennung dieses Fremdeingriffs durch die Anomalieerkennung zu demonstrieren. Die Anbindung der „Mini-Fabrik“ an eine Log-Infrastruktur muss noch entworfen und umgesetzt werden.

Weitere Use Cases, die auf dem Treffen vorgestellt und abgestimmt wurden, sind die Nachbildung eines elektronischen Zutrittskontrollsystems (Türen mit NFC-Token), der Umgebungssteuerung und -überwachung einer Werkhalle (Bewegungsmelder, Temperatur-, Gas- und Brandmeldesensoren, Lichtsteuerung) sowie der durch Servicetechniker genutzten WLAN-Infrastruktur zum Zugriff auf die Anlagen in der Werkhalle. Durch diese Use Cases wird ein Querschnitt der möglichen Logquellen einer typischen Produktionshalle abgebildet.

Im Zuge des Treffens wurde vereinbart, die Use Cases in einer agilen Vorgehensweise jeweils Ende-zu-Ende zu entwickeln und zu integrieren, um frühzeitig die Funktion und Leistungsfähigkeit des Anomalie-Erkennungssystems entwickeln und testen zu können. Weitere Use Cases, die Bereiche wie Produktionssteuerung, Büroarbeit, Fernwartung, klassische IT-Systeme abbilden, stehen nach der Integration der ersten Use Cases auf dem Plan.