Zum Inhalt springen

Projektantrag: Implementation einer Software Lösung zur Bedrohungsanalyse, Überwachung der Unternehmenssicherheit und Protokollverwaltung innerhalb eines Software-Defined-Datencente


H0m3B0Y

Empfohlene Beiträge

Moin liebe lüüd,

ich dachte mir mal meinen Projektantrag als Beispiel und Orientierung für die kommenden Fisis hochzuladen, auch wenn's ein spezielles Thema ist.

1. Thema der Projektarbeit/Projektbezeichnung*

Implementation einer Software Lösung zur Bedrohungsanalyse, Überwachung der Unternehmenssicherheit und Protokollverwaltung innerhalb eines Software-Defined-Datencente

2. Projektbeschreibung* 

Im Anhang findet sich ein PDF in dem der Projektaufbau grob visualisiert wurde. - (Im unteren Teil, falls die Mods es nicht löschen :P )

Begriffsklärung

SO = Security Onion ist eine Linux Distribution für Bedrohungs-Analysen, Netzwerküberwachung und Log-Management

NSM = Terminus für Netzwerk-Monitoring-Software

HVM = hardware-virtual-machine, Terminus für Type-1 Hypervisor

IDS = Intrusion-detection-system

Innerhalb eines Großprojekts wird für einen Kunden aus der Luftfahrtindustrie eine neue Möglichkeiten gesucht, Fertigungsprozesse zu visualisieren. Realisiert wird dies durch unterschiedliche VR/AR Technologien, die auf einem virtualisierten Server laufen und innerhalb einer separierten Netzwerk Umgebung verfügbar sind.

Diese Umgebungen und Endgeräte sind aufgrund fehlender Konzepte zur Gewährleistung der Applikations- und Endpunkt-Sicherheit noch nicht einsatzbereit. Zwar verfügen die Netzwerkeingänge über eine softwarebasierte Firewall, die bestimmte Funktionen, wie das Sammeln von Endpunktinformationen als auch das Filtern von Paketen, realisiert. Jedoch erfolgt ein händisches Sichten der Information.

Die Identifizierung und Eliminierung von Bedrohungen sowie die Detektion von verdächtigen Aktivitäten stellen aufgrund der Systemstruktur eine große Herausforderung dar. Grundsätzlich muss auf allen Ebenen (Netzwerk, Host, HVM-Host, HVM-Guest) eine Vielzahl an Datensätzen gewonnen werden.

Da es sich um eine teils virtualisierte Umgebung handelt, übertreffen die Anforderungen das Funktionsspektrum handelsüblicher NSM (Network-Security-Monitor) Applikationen, die rein physisch und im Stand-Alone Modus betrieben werden.

Das erweiterte NSM- System soll die Fähigkeit besitzen, die netzwerkbasierten Informationen aus der Sicht jedes beliebigen Knotens im Netzwerk zu sammeln - was zur schnellen Entscheidungsfindung bei Zwischenfällen erforderlich ist. Aufgrund dieser Anforderungen wird ein spezielles Entwicklungskonzept erstellt, innerhalb dessen mehrere Design- Möglichkeiten untereinander abgewogen werden, um schlussendlich sicherzustellen, dass die vorgeschlagene Lösung stabil, sicher und wartbar ist. 

Mein Projekt stellt einen Teilauftrag dar: Einerseits den Aufbau und die Installation sowie Konfiguration einer open-source Lösung zum Detektieren von Sicherheitsrisiken und andererseits die Gewinnung von Informationssätzen innerhalb einer heterogenen Cloud Umgebung. Ziel ist, eine Virtualisierungsplattform aufzubauen, in der sich Nachbauten der eingesetzten Applikationen wiederfinden, das angeschlossene Testnetzwerk mit strategisch platzierten Sensoren auszustatten und Endpunkte sowie Netzeingänge zu überwachen.

Im Anschluss findet eine Untersuchung der Leistungsfähigkeit statt. Dadurch soll festgestellt werden, inwiefern die eingesetzte Lösung eine kommerzielle Lösung ersetzten kann, vor allem unter der Berücksichtigung ökonomischer Interessen und technischer Anforderungen.

3. Projektphasen mit Zeitplanung in Stunden*

Das betriebliche Abschlussprojekt besteht aus 4 Projekt Phasen die wiederum in einzelne Einheiten unterteilt sind.

Die erste Phase ist die Planungsphase, innerhalb derer sich folgende Tätigkeiten wiederfinden:

  • Ist-Zustandsanalyse = 1 Stunde
  • Ziel-Konzeption und Erstellung einer Test-Metrik = 2 Stunden
  • Bereichsplanung = 1 Stunde
  • Kostenplanung = 1 Stunden

Die zweite Phase umfasst die Projektrealisierung:

  • Installation und Härtung der Basis-Systeme = 2 Stunden
  • Installation von Test-Applikationen = 2 Stunden
  • Konfiguration SO = 3 Stunden
  • Erstellen von anfälligen Diensten = 2 Stunden

Die dritte Phase umfasst das Testen und Dokumentieren der eingesetzten Lösungen:

  • Testen = 3 Stunden
  • Dokumentieren = 4 Stunden

Die abschließende Phase beinhaltet folgenden Tätigkeiten:

  • Bewertung der Wirksamkeit = 7 Stunden
  • Dokumentation und Übergabe = 8 Stunden

4. Zielgruppe der Präsentation*

Die Zielgruppe sind die Auftraggeber, in diesem Fall Project und Business Owner.

5. Geplante Präsentationsmittel*

Als Hilfsmittel wird ein Laptop zur Präsentation und ein Projektor zur Bildschirmübertragung sowie eine Projektionsfläche benötigt.

image.png.7ec57d3e5ab653a747400e68479f198d.png

 

Ging soweit ohne jegliche Beanstandung durch. Der Kern des Projekts ist neben dem praktischen Ausführen der Tätigkeiten (Planung, Realisierung etc.) das verfassen der Projektdokumentation, welche sehr umfangreich und ausführlich ist. Diese werde ich natürlich auch noch Hochladen und dementsprechend auf diesen Thread verweisen. 

Hoffe damit für einige Interessierte ein wenig Licht ins dunkle zu bringen vor allem für die allseits unbeliebten und gefürchteten s3CuRiTy-tH3MeN!!! - denn auch diese gehören zum Dasein eines FiSi's...

Cheers!

 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • mapr hat Thema gesperrt

@charmanta

Nun falls du die Auswahl von möglichen Softwarelösungen meinst, diese wurde in Teilprojekten behandelt. Meine Projektdokumentation geht auf diese Frage ein. :) 

 

Zitat

 

Projektabgrenzung

Die Durchführung eines vorangegangen Teilprojekts hat die Funktionsspektren mehrerer Softwarelösungen miteinander entsprechend der obergeordneten Projektanforderungen verglichen. Bei dieser Untersuchung kristallisierten sich drei Softwarelösungen heraus, zum einen AlienVaults OSSIM, SIEMonster von SiemMonster und SecurityOnion von SecurityOnion LLC. Alle drei werden in der Praxis getestet, mein Projekt behandelt die Untersuchung der Leistungsfähigkeit von SecurityOnion innerhalb des Testnetzwerks unter Testbedingungen.

 

Muss noch ein paar Informationen "schwärzen" dann lade ich die Dokumentation ebenfalls mit Verlinkungen hoch.

Bearbeitet von H0m3B0Y
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 1 Minute schrieb H0m3B0Y:

Alle drei werden in der Praxis getestet, mein Projekt behandelt die Untersuchung der Leistungsfähigkeit von SecurityOnion innerhalb des Testnetzwerks unter Testbedingungen.

Das heißt aber ja, dass du nur die eine Lösung testest? Evaluiert wurde es vorher und du hast nichts zu evaluieren oder wie?

Link zu diesem Kommentar
Auf anderen Seiten teilen

@Listener

Die Anforderungen an das zu testende System werden ebenfalls nochmal in der Doku formuliert, also Datenquellen und die einzelnen Use-Cases - Überwachung privilegierter Account, Sammeln von Endpunkt-Informationen etc. 

Untersucht wird die Leistungsfähigkeit der Detektion Anhand von vorsätzlich erzeugten Risiken - Dazu wird z:B. ein Web-Server mit Lamp stack aufgesetzt auf dem dann einige Konfigurationsfehler vorhanden sind, die zu sqli xss rce lfi etc. führen.

Die Ausnutzung der Schwachstellen muss dann von dem System erkannt werden. 

In einer AD umgebung die ebenfalls in dem Testnetzwerk vorhanden ist werden dann verschiedene Szenarien simuliert, Verbindungen zu Tor Entry-Exit Nodes, Mirai CC Verbinungen... Auch die Anmeldung und Nutzung von User und privilegierten Accounts bzgl. Änderungen von Konfigurationen, Anmeldung aus einer Unbekannten Location werden simuliert.

@Maniska 

Heute sind mal andere FiSi's dran xD

@charmanta

Bis auf eine Nutzwertanalyse und einem kurzen tabellarischen Vergleich wird darauf nicht weiter eingegangen... sollte die Frage beantworten.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 17 Minuten schrieb charmanta:

Ne. Da steht NRW und das ist m.E nicht BaWü ...

Auch in NRW gibts reichlich Punkte für nachvollziehbare Entscheidungen ...

Stimme ich zu.

Ich gehöre jedoch nicht zu den FiSi's die Banden zum auflaufen brauchen, wie man sicherlich ganz gut erkennen kann... 

Abgesehen davon hab ich mittlerweile einen sehr guten Überblick innerhalb der Branche/Sinnhaftigkeit und relevanz der Ausbildung bekommen. - Schaumschläger helfen einem im Neuland nicht ;) - Die Realität "da draußen" weicht erheblich von dem ab was sich Prüfer, IHK und Betriebe so wünschen... Das soll aber nicht Gegenstand des Threads sein, wie ich eingangs schon erwähnt.

Grüße 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...