GraphWatch Projekt

Teilautomatisiertes Threat Hunting mit Graph Neural Networks für Automatisierungsumgebungen

Während einfache Cyberangriffe mit etablierten Methoden verhindert werden können, stellen sogenannte Advanced Persistent Threats (APTs), also technisch sehr aufwändige Angriffe mit vielen Ressourcen, aufgrund ihrer fortschrittlichen Techniken und Taktiken eine besondere Gefahr dar. Bei APTs bewegen sich Angreifende oft monatelang unentdeckt in einem angegriffenen Netzwerk, passen sich flexibel an die dortigen Verteidigungsmechanismen an und bauen ihre Präsenz aus, bevor sie ihre eigentlichen Ziele umsetzen. Heute übliche Sicherheitssysteme können diese Angriffe oft nicht erkennen. Gleichzeitig wird ebendies immer wichtiger, insbesondere in Umgebungen, in denen sogenannte Operational Technology (OT) zum Einsatz kommt, also beispielsweise automatisierte Produktionsanlagen oder digital vernetzte Steueranlagen in kritischen Infrastrukturen.

Ziel des Projekts „Teilautomatisiertes Threat Hunting mit Graph Neural Networks für Automatisierungsumgebungen“ (GraphWatch) ist es daher, Methoden zu erforschen, die speziell auf die Erkennung von APT-Angriffen in OT-Umgebungen ausgelegt sind. Dabei soll konkret das Konzept des Threat Huntings verfolgt werden. Bei diesem Vorgehen suchen Sicherheitsfachleute gezielt nach Anomalien in Systemen, um Bedrohungen zu identifizieren, bevor sie Schaden verursachen können. Besonders ist hierbei, dass ein teilautomatisiertes System entstehen soll, bei dem Fachkräfte durch die Technologie der graphbasierten Anomalieerkennung unterstützt werden. Graphbasierte Methoden bieten die Möglichkeit, sicherheitsrelevante Ereignisse mithilfe von entsprechenden Informationsmodellen, sogenannten Graph Neural Networks, übersichtlich darzustellen und zu analysieren. Dies ist auch für Vorfälle möglich, die zeitlich sehr weit auseinanderliegen und die in stark vernetzten Systemen auftreten, wie sie für den OT-Bereich charakteristisch sind. Basierend auf den so erzielten Ergebnissen sollen Angriffsindikatoren entwickelt werden, die anschließend in Systemen oder Firewalls zum Schutz der OT-Infrastrukturen implementiert werden können.

News

Erstes Konsortialtreffen 2025 in Lemgo

(Mehr →)

Am 4. und 5. Februar 2025 fand am Institute Industrial IT das erste Konsortialtreffen des GraphWatch-Konsortiums im Jahr 2025 statt. Das Treffen im CENTRUM INDUSTRIAL IT CIIT e. V. auf dem Innovation Campus Lemgo markiert den erfolgreichen Abschluss des ersten Projektmeilensteins und stellt die Weichen für die kommenden Arbeiten. Gemeinsam mit den assoziierten Partnern wurden die erzielten Ergebnisse lebhaft diskutiert und das weitere Vorgehen geplant.

Workshop Meeting "Digital Twin"

(Mehr →)

Am 02.07.2024 trafen sich die Projektpartner, um die Spezifikation von Sicherheitseigenschaften in Digitalen Zwillingen voranzutreiben, um hierdurch eine standadisierte Basis für die Anbindungen von Sicherheitsmechanismen wie der Angriffserkennung zu schaffen.

Workshop Meeting "Threat Hunting Use Case"

(Mehr →)

Im ersten großen Workshop wurden am 28.05.2024 die angestrebten Use Cases der zu entwickelnden Threat-Hunting-Methoden diskutiert, spezifiziert und priorisiert. Diese legen die grundlegenden Anforderungen an die weiteren Arbeiten fest. Priorisiert werden für den OT-Bereich dabei die forensischen Use Cases, die davon ausgehen, dass Systeme bereits kompromittiert sein können.

Kickoff zum Projekt GraphWatch

(Mehr →)

Am 09.04.2024 war es endlich soweit, die Projektpartner rt-solutions.de, Data|H und das inIT trafen sich zum offiziellen Kickoff für das Forschungsprojekt GraphWatch am Centrum Industrial IT - CIIT in Lemgo. Neben dem gemeinsamen Kennenlernen standen vor allem organisatorische Fragen und die Planung der weiteren Arbeiten auf der Agenda.