Die Forschung auf dem Gebiet der IT-Sicherheit hier im Speziellen im Bereich der Analyse von Malware sowie gezielten Angriffen stellt besondere Anforderungen an den Aufbau und den Betrieb von IT-Systemen. Um Informationen uber Angriffsmuster und Angreiferverhalten zu erlangen, muss potentiellen Angreifern ein attraktives Ziel geboten werden, das nach ausen hin den Anschein eines realen Produktivsystems bzw. -netzes erweckt und sich entsprechend verhalten muss. Sollen uber eine Analyse von automatisiert arbeitender Schadsoftware hinaus Aktivitaten professioneller Angreifer analysiert werden, reicht die ausschliesliche Nutzung herkommlicher Honeypots nicht aus. Gleichzeitig allerdings muss sichergestellt werden, dass alle mit einem Angriff verbundenen Aktionen protokolliert und ein Ubergreifen des Angriffs aus der Forschungsumgebung auf die produktiven Bereiche verhindert wird. Probleme bei Untersuchungen in diesem Bereich bestehen in der vollstandigen Verhinderung von ubergreifenden Angriffen auf die stetig laufenden Produktivsysteme und somit in der Gefahr selbst Opfer zu werden. Im Gegensatz dazu sollte die einzurichtende Testumgebung nach ausen hin wie ein reales Produktivnetz aussehen und verhalten, um die Echtheit zu gewahrleisten. Aus diesem Grund ware es ungunstig ein separates Netz ohne produktive Systeme dafur herzunehmen. Weiterhin besitzen die meisten Forschungseinrichtungen und Unternehmen nicht die Moglichkeit einen kompletten Netzbereich nur fur die Entwicklung und Analyse sicherheitskritischer Systeme einzurichten. Daher wird ein Teil von einem produktiv genutzten Netzbereich fur die Forschung an Malware und Analyse von Angriffen deklariert. Dafur ist es zwingend Notwendig, dass entsprechende Sicherheitsvorkehrungen getroffen werden. 1 Einleitung und Problemstellung Sowohl die Anzahl an Angriffen auf IT-Systeme als auch deren Qualitat bzw. Professionalitat hat im Laufe der letzten Jahre extrem zugenommen. Klassische Schutzsysteme, wie z. B. Firewalls oder Virenscanner, sind alleine schon lange nicht mehr ausreichend [KSG12]. Angriffe erfolgen heutzutage viel zielgerichteter und sind technisch meist sehr komplex. Eine Konsequenz davon ist, dass traditionelle Honeypots zur Detektion und Analyse vonMalware fur sich genommen nicht mehr ausreichen, da immer mehr technisch
[1]
Richard A. Clarke,et al.
Cyber War: The Next Threat to National Security and What to Do About It
,
2010
.
[2]
Hervé Debar,et al.
Aggregation and Correlation of Intrusion-Detection Alerts
,
2001,
Recent Advances in Intrusion Detection.
[3]
David Hucaby,et al.
Cisco Field Manual: Catalyst Switch Configuration
,
2001
.
[4]
Frédéric Cuppens,et al.
Alert correlation in a cooperative intrusion detection framework
,
2002,
Proceedings 2002 IEEE Symposium on Security and Privacy.
[5]
Christopher Krügel,et al.
Comprehensive approach to intrusion detection alert correlation
,
2004,
IEEE Transactions on Dependable and Secure Computing.
[6]
Björn Stelte,et al.
Attack trends in present computer networks
,
2012,
2012 4th International Conference on Cyber Conflict (CYCON 2012).
[7]
CRISPIN COWAN,et al.
Software Security for Open-Source Systems
,
2003,
IEEE Secur. Priv..