SIRIOS Ein Vorfallsbearbeitungssystem für Sicherheitsteams

Ordnungsmerkmale

erschienen in: <kes> 2005^#3, Seite 37

Zusammenfassung: Das Open-Source-System SIRIOS unterstützt mit seinen vielfältigen Funktionen die tägliche Arbeit von Computer-Notfallteams. Es bietet Schnittstellen für die standardisierte Kommunkation mit anderen Systemen und eignet sich ideal für den Informationsaustausch zwischen Sicherheitsteams.

Autor: Von Thomas Klingmüller und Tillmann Werner, BSI/CERT-Bund

Der stetige Prozess zum Umsetzen von IT-Sicherheit erfordert neben der Behandlung, Verwaltung und Auswertung von Vorfällen (Incidents) die Organisation von Informationen zu Sicherheitslücken und Schwachstellen in IT-Komponenten. Klassische Aufgabe eines Sicherheitsteams ist neben der Vorfallsbearbeitung auch die Weitergabe von Informations- und Warnmeldungen. Eine Hotline im Team hilft bei der Lösung sicherheitstechnischer Probleme in der Zielgruppe. Die Experten im Team müssen dazu ständig über aktuelle Schwachstellen informiert sein. Zur Unterstützung von Sicherheitsteams wurde das computergestützte System SIRIOS entwickelt, dessen Kern aus einem Trouble-Ticket-System besteht. Mit Unterstützung eines Trouble-Ticket-Systems kann ein Sicherheitsteam seine Aufgaben auf effizienteWeise arbeitsökonomisch bearbeiten.

Alle elektronisch verfügbaren Informationen, die mit SIRIOS verarbeitet werden, werden – ergänzt um vorgangsspezifische Attribute – als so genannte Tickets aufgenommen und in Datenbanken abgelegt. Die Trouble-Ticket-Engine bietet unter anderem Locking-Mechanismen für eine ausschließliche Bearbeitung, zeit- oder Event-gesteuerte Eskalationsmöglichkeiten und Revisionssicherheit. Jedes Ticket verfügt über eine Historie aller Aktionen beginnend mit der Aufnahme in das System. Es kann mit anderen Objekten hierarchisch verknüpft und jederzeit um zusätzliche Informationen ergänzt werden.

Das SIRIOS-Objektmodell kennt neben Tickets weitere Datenstrukturen, die speziell für die Erfassung von ergänzenden Informationen zu Vorgängen oder Vorfällen konzipiert sind. Diese erforderlichen Meta-Informationen entsprechen den arbeitstäglichen Anforderungen eines Sicherheitsteams. Alle Objekte und Datenstrukturen können untereinander hierarchisch verknüpft werden, sodass sich komplexe Beziehungen zwischen Informationen beliebig abbilden lassen. Vielfach sind Objekttypen mit Modulen von SIRIOS verknüpft, sodass diese erst nach Installation des entsprechenden Moduls zur Bearbeitung verfügbar sind. Datensätze aus dem Archiv der Common Vulnerabilities and Exposures (CVE –  http://cve.mitre.org) oder aus der Open Source Vulnerability Database (OSVDB –  http://osvdb.org) können in die Schwachstellendatenbank importiert werden.

Modulare Architektur

Das Designkonzept von SIRIOS folgt einer modularen Architektur mit simpel gehaltener Modulschnittstelle, die eine Systemerweiterung über die Anbindung neuer Funktionspakete denkbar einfach macht. Der Systemkern beschränkt sich auf die Bereitstellung der Mechanismen, die für den Grundbetrieb benötigt werden. Module erweitern diesen Systemkern um Funktionen für spezielle Tasks. Sie können über Online-Verzeichnisse komfortabel installiert und aktualisiert werden. Über die offene Schnittstelle ist ein laufendes System jederzeit um neue Module erweiterbar. Nach dem Baukastenprinzip kann aus vorhandenen Modulen und dem Kern ein optimal abgestimmtes und für die eigenen Bedürfnisse ausreichendes Framework zusammengesetzt werden.

Verfügbare SIRIOS-Module

• Modul zur Erfassung und Bearbeitung von Security Incidents
• Schwachstellen-Datenbank
• Artefakt-Datenbank
• IT-Systemaktegorie-Verzeichnis
• Autorensystem für Advisories
• Monitoring-System für Online-Ressourcen

Informationsverarbeitung

SIRIOS speichert Tickets in Queues, vergleichbar mit Postfächern, und gruppiert so Informationen gleichen Typs. Diese Informationen können auf unterschiedlichen Wegen in das System gelangen, in der Regel werden als Informationskanäle eingehende E-Mails genutzt. Der SIRIOS-Mail-Server nimmt Nachrichten entgegen und speichert sie in einer entsprechenden Queue. Dabei können bereits Kriterien und strukturierte Informationen wie Absender- und Empfängeradresse, aber auch Texte des Inhaltes ausgewertet werden.

Das System verwendet ein fein granuliertes Rechtemodell, um den Zugriff auf Daten zu erlauben und Workflows zu steuern. Neben Benutzern, die verschiedenen Gruppen angehören können, gibt es ein Rollenmodell, welches individuell an die Arbeitsabläufe eines Sicherheitsteams angepasst wird. Meldet sich ein Anwender am System an, so muss er zuerst eine für ihn verfügbare Rolle auswählen. Für die Dauer der Session bis zur Abmeldung besitzt er dann die Rechte aller Gruppen, die der ausgewählten Rolle zugeordnet sind. Mit diesem Konzept lässt sich zum Beispiel ein Modell mit den Rollen "Hotliner", "Triage Coordinator" und "Incident Handler" realisieren. Diese arbeitsteiligen Rollen haben sich für die Arbeit in CERTs bewährt, SIRIOS bietet die Möglichkeit die Rollenstruktur der Ausbildung von CERT-Spezialisten abzubilden. Abhängig von der gewählten Rolle hat ein Benutzer Zugriff auf ausgewählte Queues. Einige Informationen dürfen nur gelesen werden, andere Tickets kann der Benutzer bearbeiten.

Workflows

Die Arbeitsabläufe in Sicherheitsteams werden durch die Anzahl der Mitglieder, die interne Organisationsform, die Zuständigkeiten, die Kompetenzen oder die Einbindung in den übergeordneten IT-Betrieb bestimmt. Häufig werden Arbeitsorganisation und Kommunikation von den Anforderungen der Zielgruppe – den Kunden eines Sicherheitsteams – bestimmt. SIRIOS folgt der Philosophie, dass eine verwendete Software möglichst wenige Vorgaben auf erforderliche Änderungen der Arbeitsorganisation machen sollte oder gar zu Einschränkungen in einem gewohnten Workflow führt. SIRIOS verwendet eine eigene Workflow-Engine, welche die flexible Gestaltung von Abläufen unterstützt. In der Standard-Installation enthält SIRIOS bereits einige Arbeitsabläufe, die sich in der Arbeit von CERTs bewährt haben, in die Realisierung von SIRIOS sind die Erfahrungen aus mehrtägigen Workshops mit nationalen und internationalen Computer-Notfallteams eingeflossen.

Ein "Workflow-Step" ist im Wesentlichen eine Queue, für die über eine Access Control List Regelungen für den Zugriff definiert wurde. Darin ist zum Beispiel beschrieben, welche Rollen welche Daten in die Queue einstellen dürfen und in welche Queues diese Informationen für die weitere Bearbeitung verschoben werden können. Workflow-Steps können neu angelegt, beliebig konfiguriert und zu Workflows zusammengesetzt werden. Ein Workflow zur Vorfallsbearbeitung kann den Incident Handler dabei unterstützen, einen Sicherheitsvorfall vollständig zu bearbeiten.

Informationsaustausch

Sicherheitsteams leben vom gegenseitigen Austausch ihrer sicherheitsrelevanten Informationen. Einige erfahrene Teams haben sich für den Informationsaustausch bereits auf standardisierte Austauschformate geeinigt, die eine maschinelle, strukturierte Verarbeitung und Archivierung maßgeblich erleichtern (vgl. <kes> 2005#2, S. 20). Eingehende Informationen können so automatisch klassifiziert und in zentralen Verzeichnissen abgelegt werden, bis ein Fachexperte mit der Analyse, der Bewertung und gegebenenfalls mit der Erstellung von IT-Sicherheitsmaßnahmen fortfährt. Die intensive Kommunikation zwischen Sicherheitsteams hinsichtlich Austausch von Ergebnissen der Analyse oder der Verifikation von Informationen wird durch die von SIRIOS genutzten standardisierten Formate ausdrücklich gefördert.

Für den Austausch von Vorfallsdaten hat sich auf internationaler Ebene das Incident Object Description Exchange Format (IODEF) als Quasi-Standard etabliert [1]. Dieses Format beschreibt ein abstraktes Datenmodell zur umfassenden Darstellung von Computer Incidents. Es basiert auf XML und wurde speziell für die Weitergabe von Daten an andere Sicherheitsteams entwickelt. SIRIOS kann IODEF-Objekte automatisch erkennen und in die Vorfallsdatenbank aufnehmen. Bereits erfasste Vorfälle können für Übermittlung an andere Systeme als IODEF exportiert werden. SIRIOS bietet dabei die Möglichkeit, die Daten vor dem Export zu pseudonymisieren.

Ein gemeinsamer Standard für Sicherheitsmeldungen vereinfacht die Veröffentlichung von Advisories. Zahlreiche IT-Sicherheitsteams informieren ihre Zielgruppe regelmäßig über neue Schwachstellen und Sicherheitslücken. Dabei werden von unterschiedlichen Teams in der Regel inhaltlich sehr ähnliche Meldungen formuliert. Das European Information Security Promotion Programme (EISPP) strukturiert alle Informationen in einem XML-Objekt, die gewöhnlich von IT-Sicherheitsteams an einen Empfängerkreis übermittelt werden [2]. CERTs können EISPP verwenden, um Advisories zu verfassen und zu veröffentlichen. In SIRIOS ist EISPP implementiert. Über die Import- und Export-Schnittstelle für EISPP-Objekte können Teams, die SIRIOS einsetzen, ihre Meldungen austauschen und von der gemeinsamen Arbeit profitieren.

Sicherheitsfeatures

Informationen, die mit SIRIOS bearbeitet werden, sind oft vertraulich und müssen vor unbefugten Zugriffen geschützt werden, dies gilt insbesondere für Informationen über IT-Sicherheitsvorfälle. Vertrauliche Daten werden verschlüsselt in das System geleitet, wo sie weiter verarbeitet werden sollen. Bei der Entwicklung von SIRIOS wurden deshalb schon bei der Konzeption Grundsätze der IT-Sicherheit, der Vertraulichkeit schützernswerter Daten und des Schutzes personenbezogener Daten berücksichtigt.

Die Unterstützung von PGP und S/MIME macht das Entschlüsseln chiffrierter Daten und das Prüfen digitaler Signaturen möglich. Ausgehende Informationen können signiert werden, um ihre Authentizität zu bestätigen. Signierte CERT-Meldungen bieten einen echten Mehrwert hinsichtlich verlässlicher Kommunikation und bewerteter Informationen.

Um den Datenfluss zwischen Benutzer und System vor Abhören zu schützen, verwendet SIRIOS einen SSL-fähigen Webbrowser, der alle Verbindungen verschlüsselt. Trotzdem ist jede interaktive Webanwendung – und damit auch SIRIOS – grundsätzlich der Gefahr von Cross-Site-Scripting-Attacken ausgesetzt. Ein erfolgreicher Angreifer wäre zum Beispiel in der Lage, das Rechtemodell zu umgehen und vertrauliche Informationen aus Incidents zu lesen. Dies wird in SIRIOS durch ein mehrstufiges Filtermodell verhindert. Die Anwendung selbst verwendet keinerlei aktive Elemente wie JavaScript. Alle Benutzereingaben werden validiert, um nicht befugte Eingaben zu erkennen und abzuwehren. Schließlich wird jegliche Ausgabe noch einmal durch einen Filter geschickt und so von allen potenziell gefährlichen Elementen bereinigt.

Quelle und Lizenz

SIRIOS ist als Open-Source-Software frei unter der GNU General Public License (GPL) verfügbar. Informationen zum Projekt sowie die aktuelle Software-Version stehen online auf der Webseite des nationalen CERT-Verbundes unter  www.cert-verbund.de/sirios/ zur Verfügung. Fragen an projekt-info@vbs.cert-bund.de beantwortet das Projektteam des BSI jederzeit.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005^#3, Seite 37