Auflistung nach Autor:in "Golling, Mario"
1 - 8 von 8
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragAn agent-based framework for decentralized reconstruction of attack paths(8. DFN-Forum Kommunikationstechnologien, 2015) Golling, Mario; Koch, Robert; Tietze, Frank; Hein, Sandy-Dorotea; Ketzschmar, Michael; Rodosek, Gabi Dreo
- KonferenzbeitragArchitektur zur mehrstufigen Angriffserkennung in Hochgeschwindigkeits-Backbone-Netzen(7. DFN-Forum - Kommunikationstechnologien, 2014) Golling, Mario; Koch, Robert; Stiemert, LarsDie globale Vernetzung und die Durchdringung des alltäglichen Lebens durch Informationsund Kommunikationstechnologien, sowie die zunehmende Anzahl von Angriffen, die bisweilen auch unter Beteiligung ahnungsloser Nutzer durchgeführt werden (Bot-Netze) führen dazu, dass Angriffe auf IT-Infrastrukturen längst keine zu vernachlässigende Begleiterscheinung des Internets mehr sind. Angriffe wie der auf das Spamhaus Project, das 2013 durch einen Distributed Denial of Service Angriff mit mehr als 300 Gbps attackiert wurde und in der Konsequenz auch einige Backbone Provider an die Grenze Ihrer Leistungsfähigkeit brachte, zeigen eindrücklich, dass Angriffe auch auf Backbone Provider große Auswirkungen haben können. Systeme zur Angriffserkennung arbeiten historisch betrachtet zumeist auf Basis sogenannter Deep Packet Inspection, bei welcher der Paketinhalt auf das Vorhandensein spezieller Muster überprüft wird. Dies ermöglicht zwar detaillierte Analysen, ist aber aufgrund der mangelnden Skalierbarkeit in Zeiten immer schneller werdender Anbindungen, gerade für Backbone-Provider, finanziell wie auch technisch nicht praktikabel. Spezifische rechtliche Beschränkungen verschärfen diese Problematik zusätzlich. Die vorliegende Publikation stellt deswegen einen mehrstufigen Ansatz zur Angriffserkennung speziell für Backbone Provider vor, bei welchem mehrere Verfahren wie unter anderem Flow-basierte Angriffserkennung, Protokoll-basierte Angriffserkennung, Deep Packet Inspection und Geolokalisation kombiniert werden.
- KonferenzbeitragGanzheitliche Architektur zur Entwicklung und Analyse sicherheitskritischer Systeme und Anwendung(6. DFN-Forum Kommunikationstechnologien, 2013) Golling, Mario; Koch, Robert; Hillmann, Peter; Dreo Rodosek, GabiDie Forschung auf dem Gebiet der IT-Sicherheit - hier im Speziellen im Bereich der Analyse von Malware sowie gezielten Angriffen - stellt besondere Anforderungen an den Aufbau und den Betrieb von IT-Systemen. Um Informationen über Angriffsmuster und Angreiferverhalten zu erlangen, muss potentiellen Angreifern ein attraktives Ziel geboten werden, das nach außen hin den Anschein eines realen Produktivsystems bzw. -netzes erweckt und sich entsprechend verhalten muss. Sollen über eine Analyse von automatisiert arbeitender Schadsoftware hinaus Aktivitäten professioneller Angreifer analysiert werden, reicht die ausschließliche Nutzung herkömmlicher Honeypots nicht aus. Gleichzeitig allerdings muss sichergestellt werden, dass alle mit einem Angriff verbundenen Aktionen protokolliert und ein Übergreifen des Angriffs aus der Forschungsumgebung auf die produktiven Bereiche verhindert wird. Probleme bei Untersuchungen in diesem Bereich bestehen in der vollständigen Verhinderung von übergreifenden Angriffen auf die stetig laufenden Produktivsysteme und somit in der Gefahr selbst Opfer zu werden. Im Gegensatz dazu sollte die einzurichtende Testumgebung nach außen hin wie ein reales Produktivnetz aussehen und verhalten, um die Echtheit zu gewährleisten. Aus diesem Grund wäre es ungünstig ein separates Netz ohne produktive Systeme dafür herzunehmen. Weiterhin besitzen die meisten Forschungseinrichtungen und Unternehmen nicht die Möglichkeit einen kompletten Netzbereich nur für die Entwicklung und Analyse sicherheitskritischer Systeme einzurichten. Daher wird ein Teil von einem produktiv genutzten Netzbereich für die Forschung an Malware und Analyse von Angriffen deklariert. Dafür ist es zwingend Notwendig, dass entsprechende Sicherheitsvorkehrungen getroffen werden.
- KonferenzbeitragInter-Clouds: Einsatzmöglichkeiten und Anforderungen an die IT-Sicherheit(5. DFN-Forum Kommunikationstechnologien – Verteilte Systeme im Wissenschaftsbereich, 2012) Rodosek, Gabi Dreo; Golling, Mario; Hommel, Wolfgang; Reinhold, AlexanderTrotz der wirtschaftlichen Attraktivität und des unbestrittenen Marktpotentials gestaltet sich der Einsatz von Cloud-Computing in Deutschland weiterhin schwierig. Während auf der einen Seite gerade der Zusammenschluss von isolierten Cloud-Inseln zu Inter-Clouds (”Cloud of Clouds“) verspricht, die unbestrittenen Vorteile des Cloud- Computing wie geringe Kosten durch effiziente, bedarfsgerechte Bereitstellung von Ressourcen noch weiter nach vorn zu treiben, sind Öffentlichkeit und Industrie durch die Vielzahl an Sicherheitsvorfällen der letzten Zeit für die Sicherheitsproblematik sensibilisiert worden. Dadurch rücken auch Sicherheitsfragen und -probleme beim Einsatz von Cloud-Computing stärker in den Fokus. Um daher den Unternehmen die sichere Nutzung der Inter-Clouds zu ermöglichen und nicht gegen den in Deutschland gültigen Datenschutz zu verstoßen, müssen zentrale Fragen wie Integrität, Vertraulichkeit, Nichtabstreitbarkeit, Transparenz, Authentizität und Verfügbarkeit adressiert werden. Als Basis für die Entwicklung geeigneter Sicherheitskonzepte, -methoden und -werkzeuge wird im Rahmen dieses Artikels ein Überblick über die Einsatzmöglichkeiten von Inter-Clouds sowie daraus resultierende Anforderungen an die IT-Sicherheit gegeben.
- KonferenzbeitragOn the Perception of Risk Assessment in Intrusion Detection Systems(10. DFN-Forum Kommunikationstechnologien, 2017) Golling, Mario; Koch, Robert; Dreo Rodosek, GabiEspecially in the area of Intrusion Detection, the concept as well as the understanding of the term "risk" is of fundamental irnportance. Generally, risk assessment represents an important means of evaluating certain situations, plans, events or systems in a systematic and comprehensive procedure. As in other areas, within the field of IT security, the systematic assessment process (risk analysis) also aims at recomrnending how to allocate available resources. Referring to this, both, the categorization oftraffic (whether traffic has to be classified as an attack or not - "benign vs. malicious") as we11 as a corresponding estimation of the expected damage (severity) are of central importance. Therefore, within this publication, the authors address the following questions in detail: (1) To what extent are the detection results of different IDSs comparable - with regard to the assessment of the risk / extent of damage - or are there strong deviations? (2) How do both vendor-dependent and vendor-independent alerts address the topic of risk assessment and enable the implementation of a comprehensive risk concept? To this end, at the heart of this paper, an overview as weil as an evaluation of important representatives of open source IDSs is presented, focusing on methods for risk assessment resp. risk rating including cross-vendor risk rating and the Common Vulnerability Scoring System (CVSS). Furthermore, the paper also contains a brief demise of the most important representatives of comrnercial IDSs.
- KonferenzbeitragPrivacy-aware intrusion detection in high-speed backbone networks - design and prototypical implementation of a multi-layered NIDS(9. DFN-Forum Kommunikations-technologien, 2016) Golling, Mario; Koch, Robert; Dreo Rodosek, Gabi
- KonferenzbeitragSmart defence: an architecture for new challenges to cyber security(7. DFN-Forum - Kommunikationstechnologien, 2014) Golling, Mario; Koch, Robert; Hillmann, Peter; Rodosek, Gabi DreoThe last years have seen an unprecedented amount of attacks. Intrusions on IT-Systems are rising constantly - both from a quantitative as well as a qualitative point of view. Recent examples like the hack of the Sony Playstation Network or the compromise of RSA are just some examples of high-quality attack vectors. Since these Smart Attacks are specifically designed to permeate state of the art technologies, current systems like Intrusion Detection Systems (IDS) are failing to guarantee an adequate protection. In order to improve the protection, an analysis of these Smart Attacks in terms of underlying characteristics has to be performed to form a basis against those emerging threads. Following these ideas, this paper starts by presenting individual facets of Smart At- tacks in more detail. Inspired by the original definition of the term Advanced Persistent Threat of the Department of Defense, subsequently, the term Smart Attack is defined. Our architecture for Smart Defence focuses on three main elements: We propose the use of advanced geolocation for a geobased intrusion detection (e.g., inspecting new connections - originating from a location very close to where a recent attack was launched - more detailed than other connections). Furthermore, we will present our concepts on supervising Commercial Off-The Shelf (COTS) products (softand hardware), as both are nowadays used also in security environments. In addition, we will also show our concepts for similarity-based, multi-domain correlation as well as the corresponding proof-of-concept.
- KonferenzbeitragEine Taxonomie und Bewertung von Cloud Computing-Diensten aus Sicht der Anwendungsentwickler(4. DFN-Forum Kommunikationstechnologien, 2011) Kretzschmar, Michael; Golling, MarioDie Idee des Cloud Computings ist eine der meistversprechensten der jüngeren IT-Geschichte. Die Kombination aus bekannten Konzepten wie das der verteilten Systeme mit neuen technischen Möglichkeiten auf den Gebieten der Virtualisierung und Datenübertragung ermöglichen eine neue Stufe der Leistungsfähigkeit und Wirtschaftlichkeit. Abseits der unumstrittenen Vorzüge der Cloud gibt es viele offene Fragen auf diesem recht jungen Gebiet der IT. Basierend auf der Tatsache, dass die meisten Anbieter beim Implementieren eigene Normen entwickeln, existieren zur Zeit nur sehr eingeschränkt Standards bzw. Konventionen bezüglich Datenübertragung, Sicherheit und Interoperabilität etc. Neben Nutzern und Anbietern von Cloud-Diensten gibt es die Anwendungsentwickler. Die Anbieter von Cloud-Diensten stellen Entwicklern Anbindungen unter anderem in Form von Application Programming Interfaces (APIs) zur Verfügung, durch die Programme den jeweiligen Dienst einbinden können. Doch eben diese Anbindungen sind ebenfalls nicht standardisiert und werfen bei Entwicklern grundsätzliche Fragen bezüglich Anbieterabhängigkeit, Interoperabilität, Programmiersprachenund Protokollauswahl etc. auf. Zudem fehlt es aus Entwicklersicht an Übersichten und Entscheidungshilfen zu den verschiedensten Anwendungsspektren. Spezifische Antworten auf diese Fragen zu geben ist nur sehr eingeschränkt möglich, da jeder Entwickler eigene Ziele und Voraussetzungen hat, die die Entscheidungen bezüglich einzelner Punkte maßgeblich beeinflussen. Im Sinne einer Entscheidungsunterstützung wird in diesem Beitrag ein Überblick über aktuelle Implementierungen von Cloud-Diensten gegeben. Hierbei wird aufbauend auf einem erweiterten SPI-Modell betrachtet, welche Arten von Diensten gegenwärtig existieren und welche speziellen Verfahren für allgemeine Aktionen, insbesondere den Zugriff auf die Dienste, benutzt werden können. Es werden Optionen gegenübergestellt und deren Implementierungen evaluiert. Dabei spielt der Vergleich von SOAP- mit REST-basierten Anbindungen eine große Rolle. Als Basis für Entwickler wird zusammenfassend zu jedem untersuchten Spektrum (Computing, Speicher, Plattform und Software) eine Entscheidungshilfe mit den jeweiligen Optionen präsentiert.