Drittes Konsortialtreffen bei der DECOIT®in Bremen

17. Januar 2023

Am 11. Januar 2023 trafen sich die Partner des Forschungsprojektes ZenSIM4.0 bei der DECOIT® GmbH & Co. KG in Bremen, um über den Projektfortschritt und die Umsetzung des ersten Meilensteins zu sprechen. So steht der Abschluss des ersten Arbeitspakets zur Anforderungsanalyse und der Entwurf der Plattformsystemarchitektur in diesem Monat bevor. Aber auch die Arbeiten zur Entwicklung der neuen Projektplattformen gehen voran, da die Simulationsumgebung, Asset-Verarbeitung und Visualisierungskonzepte parallel angegangen werden konnten.

Beim Konsortialtreffen wurde die Architektur eines ersten CSAF-Demonstrators von der DECOIT® GmbH & Co. KG vorgestellt. Das Common Security Advisory Framework (CSAF) wird ein maschinenlesbares Format für Security Advisorys bereitstellen, um Unternehmen einen besseren Überblick zu ermöglichen, damit diese ihre Anlagen besser absichern können. Die Security Advisorys können dabei automatisiert von den Herstellern abgerufen und mit der eigenen Inventardatenbank abgeglichen werden. Dazu hat die DECOIT® GmbH & Co. KG einen CSAF-Consumer geschrieben, der verschiedene Komponenten beinhaltet. Daraus wurde den Partnern die neue CSAF-Datenbankoberfläche präsentiert. Die Komponenten sind allerdings noch nicht vollständig umgesetzt worden und müssen im nächsten Arbeitspaket noch weiterentwickelt werden. Des Weiteren wurden vom Konsortialführer DECOIT® GmbH & Co. KG neue Regeltypen für SIEM-Systeme, die Schwellwert-Regel-Funktionsweise und die Integration von Korrelationsregeln vorgestellt.

Abbildung 1: Präsentation der Ergebnisse der Partner im Meeting-Raum des VDE

Abbildung: Treffen der Partner von ZenSIM4.0 in Bremen

Das CERT@VDE gab beim Treffen einen Überblick über den Teil der Gesamtplattform, an dem gearbeitet wird. Ein CSAF-Aggregator kommt nun hinzu, der sich mit dem CSAF-Consumer austauschen wird. Das CSAF-Rahmenwerk selbst wurde im Rahmen des Projektes zu Ende evaluiert. Die Projektpartner sehen darin eine Zukunft (ebenso wie das Bundesamt für Sicherheit in der Informationstechnik, BSI), weshalb übergangsweise die Provider-Funktionalität zur Verfügung gestellt wird. Grundsätzlich wird das CERT@VDE zukünftig als CSAF-Aggregator fungieren. Weitere Arbeiten beinhalteten die Untersuchung von Matching-Software und der Asset-Verarbeitung.

Die Hochschule Bremen hat sich weiter mit möglichen Scan-Tools für aktive Scans beschäftigt. Dazu wurden die Tools PLC-Scanner und Networkminer analysiert. Beide Tools kommen allerdings aufgrund der Anforderungen nicht in Frage. Alternativ wurde WMI für Windows-Systeme und SSH für Linux vorgeschlagen. Allerdings werden dafür Administrationsrechte benötigt, weshalb diese Varianten ebenfalls wegfallen. Das Konsortium bleibt folglich bei Nmap. Hier ist allerdings die Betriebssystemerkennung noch ungenau und stark abhängig von der Nmap-Datenbank. Ansonsten wurde die Simulationsumgebung weiter auf den neusten Stand gebracht.

Zusammenfassend konnte festgehalten werden, dass die Beendigung des ersten Meilensteins kurz bevorsteht. Hauptziel ist es, darin die neue Plattformarchitektur ganzheitlich zu beschreiben, so dass alle Partner daraus ihre Arbeiten ableiten können. Eine Bachelor- und eine Master-Thesis werden ebenfalls innerhalb des Projektes erarbeitet, wodurch neue Erkenntnisse einfließen können. Das Projekt macht nach wie vor gute Fortschritte, auch wenn bislang nicht alle Deadlines eingehalten werden konnten.