Next Generation Security Information Event Management
Nov 20, 2016Das Kernkonzept für ngSIEM (next generation SIEM) ist wie folgendes aufgeteilt.
Automatisierung der Pipeline
In ngSIEM werden wir das Pipeline für Security Events mit Hilfe vom ML weiter optimieren und automatisieren. Hier reden wir von reine Daten aus heterogene Sensoren und Geräten bis hinzu Security Intelligenz, und auch bis Gegenmaßnahmen. Die Daten ist wesentlich als Datenstrom definiert statt Datenblock. Die Ströme fliessen kontinuierlich ins System und werden versammelt, transformiert, gespeichert, analysiert und dann verteilt. Die weitere Optimierung und Automatisierung der Sicherheitsaktivitäten werden den Personaleinsatz deutlich vermindert, aber auch die Sicherheitsniveau des Systems erhöhen.
Systemarchitektur des Platforms
Um vorgenannte Ziel zu erreichen haben wir momenta z.B., in unser Malwarezoo Project ein geeignete Systemarchitektur entworfen, die sich ins SMACK (1) bewegen, welche ein hoch effiziente, verteilte, fault-tolorente, konsistente Systementwurf ist. Alle Komponente von SMACK sind opensource. Das Design bietet auch ein Lambda-Architektur (2), die in beider Batch und Stream Mode funktioniert. Batch Mode hat Consistency gewährleistet und Stream Mode bietet rechtzeitige Analysis.
Maschinelles Lernen
ML ist die Schlüsseltechnologie hier. Aber man muss auf jeden fall auf seine Anwendbarkeit und Sicherheit beachten, da ML in beider Theorie und Praxis anfällig ist. Hier spielt unsere AdvML Thema. Außerdem ist auch die Thema Model Transparenz für alle ML-Anwender wichtig und interessant ist.
Teilbare Security Intelligenz
Alle Daten werden nach Bearbeitung und Analysis als Security Intelligenz transformiert, zB., Indicator of Compromise, White/Black IP-Liste, Botnets IPs uzw. Es ist entscheidend für die sichere digitale Zukunft dass die Intelligenzen teilbar ist, zB., durch Malwarezoo REST Services. Man sollt die Intelligenz so weit wie möglich durchaus des Clouds verteilen, sodass 0day Anfälligkeiten so schnell wie möglich erkannt werden. Möglicherweise sollt ein solche Online Market oder Repository für Security Intelligenz.
Standardisierung von Security Threats
Um die Intelligenz effizient zur Austausch muss die Datenformat und ihr Kommunizieren als lightweight standardisiert, ggf. platform-agnostisch egal für Laptop, Server oder Automobile, industrielle Anlagen, zB., TAXII, STIX and CybOX.
Automatische Gegenmaßnahmen
Weiterhin entscheidet man auf Basis von Security Intelligenz Gegenmaßnahmen, dabei muss man alle Aktivitäten mit Hilfe vom ML Regelsätze automatisch generieren, zB., Firewall Regelsätzen von einer Entscheidungsbaum generiert und integriert werden.