GraphWatch: Teilautomatisiertes Threat Hunting mit Graph Neural Networks für Automatisierungsumgebungen

Im Rahmen von Industrie 4.0 und der fortschreitenden Digitalisierung wird die Vernetzung von Operational Technology (OT) zu Cyber-physischen Systemen (CPS) immer umfassender. Dabei entstehen zahlreiche Schnittstellen, die eine erhöhte Angriffsfläche für Cyberangriffe bieten. Der Schutz vor diesen Angriffen wird aufgrund der weltweit steigenden Bedrohungslage zunehmend wichtiger, insbesondere im Kontext kritischer Infrastrukturen. Während einfache Angriffe mit etablierten Methoden verhindert werden können (insofern sie überhaupt zum Einsatz kommen), stellen Advanced Persistent Threats (APT) aufgrund ihrer ausgeprägten Fähigkeiten und Domänenkenntnisse eine besondere Gefahr dar. Die Komplexität der Produktionsumgebungen, die Heterogenität der Komponenten und die schwierige Einsatzmöglichkeit von in der IT-Welt etablierten Sicherheitsmaßnahmen stellen besondere Herausforderungen für die Erkennung von Angriffen dar. Der oft schwächer ausgeprägte Perimeterschutz und eine große Anzahl an Fernwartungszugängen machen eine Kompromittierung wahrscheinlicher und erfordern somit eine ausgeprägte Fähigkeit zur Erkennung von Angriffsaktivitäten innerhalb eines Netzwerkes. Verstärkend kommt hinzu, dass Produktionsumgebungen zunehmend flexibel und modular werden.

In diesem Forschungsprojekt sollen Methoden entwickelt werden, die speziell darauf ausgelegt sind, APT-Angriffe und die dabei genutzten Techniken und Taktiken in CPS zu erkennen. Der gewählte Ansatz ist als Threat Hunting, komplementär zu klassischem Security Monitoring/SIEM (Security Information and Event Management), konzipiert. Threat Hunting ist ein Ansatz zur Erkennung von Cyberbedrohungen, bei dem Sicherheitsanalysten gezielt nach Anomalien in IT-Systemen suchen, um unbekannte oder fortschrittliche Bedrohungen zu identifizieren, bevor sie Schaden verursachen können. In diesem Vorhaben soll das Threat Hunting teilautomatisiert erfolgen, indem durch die Anomalieerkennung im Netzwerk automatisiert Hinweise auf ein anomales Verhalten erzeugt werden und im weiteren Schritt das manuelle Threat Hunting erfolgt. Stand der Technik für die APT-Angriffserkennung sind graphbasierte Methoden. Das angestrebte Forschungsvorhaben hat das Ziel, die Schwächen bestehender dieser Methoden in der APT-Angriffserkennung zu beheben und einen universellen Langzeitbetrieb in realen Systemumgebungen zu ermöglichen, der auch mit sich verändernden Systemzuständen zurechtkommt.

Im Rahmen des Projekts arbeitet das inIT mit weiteren Projektpartnern zusammen. Die Hochschule Hannover (HsH) verfügt über die umfangreiche Expertise in verschiedenen Bereichen der Anomalieerkennung zum Zwecke der Angriffserkennung und wird in diesem Vorhaben ein Erkennungssystem entwickeln. Hierfür ist eine Graphdarstellung geplant, die mit unterschiedlichen Systemtypen und Detailierungsgraden der abzubildenden Daten arbeiten kann. Basierend auf den Konzepten der HsH wird federführend durch die rt-solutions.de GmbH ein Demonstrator entwickelt, der hinsichtlich seiner Praxistauglichkeit evaluiert werden soll. Das inIT wird eine Methodik für die Modellierung von digitalen Zwillingen erarbeiten, welche sicherheitsrelevante Informationen für CPS abbilden und als universelle Testlandschaft für das Threat Hunting in Form von Open-Source-Software der Allgemeinheit zur Verfügung gestellt werden. Dafür bringt das inIT seine Expertise und die SmartFactoryOWL als realistisches Anwendungsfeld ein.