Angriffe auf IT-Systeme und IT-gestützte Industrieanlagen stellen ein immer größer werdendes Bedrohungs- und Schadenspotential dar. Unternehmen sehen sich mit einer steigenden Anzahl von Alarmen bezüglich ihrer IT-Systeme und -Anlagen konfrontiert und wenden eine Vielzahl von Stunden für das Sichten und Bewerten dieser Alarme auf.
Das Ziel von ARGUS, einem von der EU (durch den Europäischen Fond für regionale Entwicklung (EFRE)) sowie der Innovations- und Förderbank Hamburg (IFB) geförderten Projekt, bestand darin, Cyber-Attacken automatisch zu erkennen und die Mitarbeiterinnen und Mitarbeiter zu informieren, ohne sie dabei mit einer Vielzahl von Alarmen zu überfordern. ARGUS kombiniert verschiedene Sensordaten und bewertet diese in ihrem Zusammenspiel: Dazu gehören beispielsweise Applikations- und System-Logfiles, DNS-Logs und Netzwerk-Daten. Basierend auf externer Threat Intelligence (beispielsweise STIX/TAXII-Modelle) bzw. eigener Modellierung durch Experten extrahiert ARGUS aus den Sensordaten Merkmale und aggregiert diese.
Daneben bezieht ARGUS Informationen aus dem Asset-Management ein, um kritische Elemente zu identifizieren und Angriffspfade zu bewerten. Aus den Merkmalen wird durch unüberwachte Lernverfahren das Normalverhalten für das betrachtete Netzwerk bestimmt, Abweichungen von gelerntem Normalverhalten wird als Anomalie entdeckt und bewertet. Die Bewertungen werden durch Feedback von Expertinnen und Experten, sowie Anwenderinnen und Anwendern in einem überwachten Lernverfahren trainiert.
Das Projekt wird von der Europäischen Union sowie der Hamburgischen Investitions- und Förderbank Hamburg gefördert.
Hier finden Sie den technischen Bericht: ARGUS-Projektbericht
Kooperationspartner: CYPP GmbH Hamburg
Assoziierter Partner: DFN CERT Services GmbH, Hamburg