DE102015210203A1 - System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem - Google Patents

System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem Download PDF

Info

Publication number
DE102015210203A1
DE102015210203A1 DE102015210203.3A DE102015210203A DE102015210203A1 DE 102015210203 A1 DE102015210203 A1 DE 102015210203A1 DE 102015210203 A DE102015210203 A DE 102015210203A DE 102015210203 A1 DE102015210203 A1 DE 102015210203A1
Authority
DE
Germany
Prior art keywords
analysis unit
forensic data
cloud system
data
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102015210203.3A
Other languages
English (en)
Inventor
Jan Gerrit Göbel
Johann Uhrmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102015210203.3A priority Critical patent/DE102015210203A1/de
Priority to CN201680031980.9A priority patent/CN107667371A/zh
Priority to US15/574,590 priority patent/US20180159886A1/en
Priority to PCT/EP2016/058212 priority patent/WO2016192880A1/de
Priority to EP16718626.1A priority patent/EP3266185A1/de
Publication of DE102015210203A1 publication Critical patent/DE102015210203A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Automatic Analysis And Handling Materials Therefor (AREA)

Abstract

Es wird ein System zum Analysieren von forensischen Daten vorgeschlagen, wobei die forensischen Daten in einem Cloudsystem vorliegen. Das System weist eine Analyseeinheit zum Analysieren der forensischen Daten, wobei die Analyseeinheit in dem Cloudsystem angeordnet ist, und eine Bedieneinheit zum Bedienen der Analyseeinheit auf, wobei die Bedieneinheit entfernt von der Analyseeinheit außerhalb des Cloudsystems angeordnet ist. Durch das vorgeschlagene System ist es möglich, forensische Daten, die mit einem IT-Sicherheitsfall in Verbindung stehen, direkt in dem Cloudsystem zu analysieren. Ein Extrahieren der Daten aus dem Cloudsystem oder aufwendiges Übertragen der Daten zu einer Analysevorrichtung ist somit nicht erforderlich. Des Weiteren wird ein Verfahren zum Analysieren von forensischen Daten vorgeschlagen.

Description

  • Die vorliegende Erfindung betrifft ein System zum Analysieren von forensischen Daten in einem Cloudsystem. Des Weiteren betrifft die vorliegende Erfindung ein Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem.
  • Zur Analyse und Behebung von IT-Sicherheitsvorfällen, beispielsweise Angriffe Dritter auf IT-Systeme, wird regelmäßig die Analyse von forensischen Daten durchgeführt. Diese Daten beinhalten unter anderem Arbeitsspeicherinhalt (RAM), Inhalt von persistenten Speichermedien (Festplatten) und Mitschnitte des Netzwerkverkehrs von potentiell am Sicherheitsvorfall beteiligten IT-Systemen.
  • Mit der stark zunehmenden Größe sowohl von Arbeitsspeichern als auch persistenten Speichern wird die Übertragung der zu analysierenden Daten von den betroffenen IT-Systemen in das Analyselabor zunehmend aufwendiger. Dies resultiert unter anderem in einer Belastung der betroffenen Systeme hinsichtlich der zu übertragenden Datenmenge, sowie in einer hohen Auslastung der WAN-Strecken (Wide Area Network Strecken), insbesondere bei einer standortübergreifenden Vernetzung.
  • Werden die zu analysierenden Systeme bei einem externen Anbieter betrieben, z.B. Cloudsysteme, so verursacht die Übertragung von Daten aus dem Netzwerk des Anbieters heraus zusätzliche Transferkosten. Sind an das zu analysierende System weitere Massenspeicher angebunden, z.B. über lokale Netzwerke, so werden diese bei der Erfassung der forensischen Daten des zu analysierenden Systems unter Umständen nicht erfasst und folglich nicht ausgewertet. Ferner ist das Datenvolumen derartiger Massenspeicher zu groß, um eine Kopie davon für eine Analyse im Rahmen von Sicherheitsvorfällen zu erstellen oder über Netzwerke zu übertragen.
  • Eine Analyse des betroffenen Systems über Fernzugriff auf dem betroffenen System kann die zu analysierenden Daten verfälschen, in einer hohen Ressourcenauslastung des Systems resultieren und einem eventuell noch aktiven Angreifer Hinweise auf eine laufende Analyse liefern. Darüber hinaus ist das sichere Löschen von personenbezogenen und anderweitig schützenswerten Daten nach Abschluss der Analyse aufgrund der potentiell kompromittierten Umgebung nicht mehr gewährleistet.
  • Bisher werden forensische Daten auf transportable Datenträger kopiert, welche dann auf dem Postweg zur Analyse verschickt wurden. Alternativ werden selektierte Daten für eine Onlineüberprüfung automatisch (Softwareagent) oder manuell (Personal vor Ort) zur Analyse angefordert, wobei hierbei für die Analyse relevante Daten übersehen werden können.
  • Für die Analyse von angebundenen Massenspeichersystemen werden den Analysten Zugangsdaten zur Verfügung gestellt. Aufgrund von Bandbreitenbeschränkungen zwischen Standorten des Analysten und des zu analysierenden Systems beschränkt sich die Analyse jedoch auf eine kleine Teilmenge der zugreifbaren Daten beschränken.
  • Eine Analyse von Netzwerkdatenverkehr kann durch eine bereits vorhandene Infrastruktur zum Mitschneiden der Daten erfolgen. Alternativ kann eine Infrastruktur, z.B. ein Packet-Sniffer, installiert bzw. konfiguriert werden. Die genannten Probleme hinsichtlich Vollständigkeit und Übertragung der Datenmengen gelten für den Netzwerkdatenverkehr entsprechend.
  • Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, auf einfache und sichere Weise forensische Daten zu analysieren.
  • Demgemäß wird ein System zum Analysieren von forensischen Daten vorgeschlagen, wobei die forensischen Daten in einem Cloudsystem vorliegen. Das System weist eine Analyseeinheit zum Analysieren der forensischen Daten, wobei Analyseeinheit in dem Cloudsystem angeordnet ist, und eine Bedieneinheit zum Bedienen der Analyseeinheit auf, wobei die Bedieneinheit entfernt von der Analyseeinheit außerhalb des Cloudsystems angeordnet ist.
  • Gemäß der vorgeschlagenen Vorrichtung wird die Analyseeinheit direkt in die Nähe, d.h. geografisch oder auch hinsichtlich der Netzwerktopologie und des Betreibers, der zu untersuchenden IT-Infrastruktur verlagert. Die forensischen Daten können somit an ihrer ursprünglichen Umgebung untersucht werden und müssen nicht aus dieser extrahiert und übertragen werden. Auf diese Weise kann verhindert werden, dass es zu einer Verfälschung der forensischen Daten kommt, da diese in ihrer ursprünglichen Form analysiert werden können. Zusätzlich ist es nicht erforderlich, die forensischen Daten zu übertragen, beispielsweise über ein Netzwerk. Auf diese Weise können auch große Mengen an Daten analysiert werden, da mögliche Bandbreitenbeschränkungen nicht relevant werden.
  • Unter forensischen Daten können in diesem Zusammenhang Arbeitsspeicherinhalte (RAM), Inhalte von persistenten Speichermedien (Festplatten) und Mitschnitte des Netzwerkverkehrs von potentiell am Sicherheitsvorfall beteiligten IT-Systemen verstanden werden. Unter einem Sicherheitsvorfall können Angriffe Dritter, d.h. Hackerangriffe, auf IT-Systeme verstanden werden.
  • Unter einem Cloudsystem bzw. einer Cloudumgebung kann in diesem Zusammenhang ein System verstanden werden, das Cloudspeicher aufweist und auch für ein Hosting virtueller Systeme und virtueller Netzwerke verwendet werden kann.
  • Die Analyseeinheit kann diese forensischen Daten analysieren, d.h. untersuchen, ob diese Daten beispielsweise manipuliert wurden.
  • Die jeweilige Einheit, zum Beispiel Analyseeinheit oder Bedieneinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.
  • Die Analyseeinheit ist dabei direkt in dem Cloudsystem lokalisiert, wohingegen die Bedieneinheit entfernt dazu, beispielsweise am Arbeitsplatz eines Analysten, angeordnet ist. Dadurch wird eine Entlastung der Netzwerkverbindungen bzw. WAN-Verbindungen erreicht, da nur kleine Datenmengen im Bereich von 10 bis 30 GB zur Analyse beliebig größerer Systeme übertragen werden müssen (von der Analyseeinheit zur Bedieneinheit und umgekehrt). Durch die Nähe der Analysestation zu Massenspeichersystemen können diese durch den Analysten wie lokal vorhandene Umgebungen verwendet werden. Die Beschränkung auf vordefinierte Suchmuster sowie die Zeitaufwände für das Kopieren und Übertragen der Daten entfallen daher.
  • Gemäß einer Ausführungsform ist die Bedieneinheit dazu eingerichtet, die Analyseeinheit über einen Remote-Zugriff zu bedienen.
  • Die Bedieneinheit kann beispielsweise über einen Browser einen Remote-Zugriff auf die Analyseeinheit bereitstellen. Hierbei kann die Bedieneinheit die Analyseeinheit als Fenster auf einer Anzeigevorrichtung, z.B. einem Bildschirm, eines Rechners visualisieren.
  • Gemäß einer weiteren Ausführungsform ist die Analyseeinheit eine virtualisierte Analyseeinheit.
  • Unter einer virtualisierten Analyseeinheit wird dabei eine Analyseeinheit verstanden, die in dem Cloudsystem von einer vor Ort physikalisch vorhandenen Analyseeinheit als virtualisierte Variante angeordnet, d.h. gespeichert, wird.
  • Gemäß einer weiteren Ausführungsform basiert die Analyseeinheit auf einer Vorlage.
  • Durch die Bereitstellung einer entsprechenden Vorlage kann die Installation dieser Analyseeinheit innerhalb weniger Minuten erfolgen. Eine Vorlage kann dabei auch als Image bezeichnet werden. Die einmalige Bereitstellung von Vorlagen für Analyseeinheiten und die Systemanalyse in Cloud-Umgebungen vermeidet die Notwendigkeit, die zu analysierenden Daten kostenpflichtig aus der Systemumgebung des Anbieters zu transferieren.
  • Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Speichereinheiten des Cloudsystems, die die zu analysierenden forensischen Daten enthalten, als lokale Kopie zu speichern.
  • Die zu untersuchenden Datenspeicher können durch eine entsprechende Konfiguration der Analyseeinheit als lokale Kopie an die Analyseeinheit angebunden werden.
  • Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Speichereinheiten des Cloudsystems, die die zu analysierenden forensischen Daten enthalten, direkt einzubinden.
  • Auf diese Weise kann die Analyseeinheit direkt auf die Speichereinheiten zugreifen, ohne diese zusätzlich lokal speichern zu müssen. Die Analyseeinheit kann dabei die Speichereinheiten als eigene Speichereinheiten einbinden (mounten) und auf diese zugreifen.
  • Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, die zu analysierenden forensischen Daten in einem verschlüsselten Speicherbereich lokal zu speichern.
  • Da die relevanten Daten in einem verschlüsselten Speicherbereich abgelegt sind, kann ein möglicherweise noch aktiver Angreifer nicht auf diese zugreifen. Der Schlüssel kann pro Analyse zufällig erzeugt werden.
  • Gemäß einer weiteren Ausführungsform sind die Analyseeinheit und die Bedieneinheit dazu eingerichtet, mittels einer asymmetrischen Authentifizierung kommunizieren.
  • Alle Kennungen des Analysten, die zwischen Bedieneinheit und Analyseeinheit übertragen werden, können ein Public-Private-Key-Verfahren zur Authentifizierung verwenden. Da es keine kennwortgeschützten Zugänge gibt, wird die Sicherheit gegenüber einem Angreifer erhöht, da dieser keine Passwörter abgreifen kann.
  • Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, mit vordefinierten Einheiten zu kommunizieren.
  • Um die Sicherheit der Analyseeinheit und damit die Sicherheit der Analyse der forensischen Daten, d.h. den Schutz vor Manipulationen, zu erhöhen, kann die Erreichbarkeit der Analyseeinheit auf eine definierte Liste von Geräten eingeschränkt werden. Somit können keine beliebigen Geräte, z.B. eines Angreifers, auf die Analyseeinheit zugreifen und die Analyse der Daten gefährden oder manipulieren.
  • Gemäß einer weiteren Ausführungsform hat die Analyseeinheit eine eingeschränkte Sichtbarkeit in dem Cloudsystem.
  • Dies kann beispielsweise durch Verwenden einer Firewall geschehen. Auf diese Weise wird die Sicherheit der Analyseeinheit weiter erhöht.
  • Durch die Verschlüsselung der zu analysierenden Daten und die minimale Sichtbarkeit im Netzwerk werden einem möglicherweise aktiven Angreifer keine Informationen über die laufende Analyse zugänglich. Die Verschlüsselung der Analysedaten erlaubt ebenfalls das Löschen der kompletten Analysestation, ohne dass für Dritte verwertbare Informationen der Daten auf der Systemumgebung zurückbleiben.
  • Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Netzwerkverkehr in dem Cloudsystem zu überwachen.
  • Gemäß dieser Ausführungsform kann lokaler Netzwerkverkehr in dem Cloudsystem mitgeschnitten werden. Somit kann eine Analyse des Netzwerkdatenverkehrs in Echtzeit realisiert werden.
  • Des Weiteren wird ein Verfahren zum Analysieren von forensischen Daten vorgeschlagen, wobei die forensischen Daten in einem Cloudsystem vorliegen. Das Verfahren weist die folgenden Schritte auf: Analysieren der forensischen Daten in einer Analyseeinheit, wobei die Analyseeinheit in dem Cloudsystem angeordnet ist, und Bedienen der Analyseeinheit mittels einer Bedieneinheit, wobei die Bedieneinheit entfernt von der Analyseeinheit außerhalb des Cloudsystems angeordnet ist.
  • Die für die vorgeschlagene Vorrichtung beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Verfahren entsprechend.
  • Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst.
  • Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen.
  • Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen.
  • Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert.
  • 1 zeigt ein schematisches Blockdiagramm einer Ausführungsform eines Systems zum Analysieren von forensischen Daten; und
  • 2 zeigt ein schematisches Ablaufdiagramm eines Verfahrens zum Analysieren von forensischen Daten.
  • In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist.
  • 1 zeigt ein System 10 zum Analysieren von forensischen Daten.
  • Die forensischen Daten liegen dabei in einem Cloudsystem 3 vor, beispielsweise in diversen Speichereinheiten oder Recheneinheiten 4.
  • Das System 10 weist eine Analyseeinheit 1 zum Analysieren der forensischen Daten auf. Die Analyseeinheit 1 ist dabei direkt in dem Cloudsystem 3 angeordnet. Die Analyseeinheit 1 kann auf diese Weise direkt auf die Daten in dem Cloudsystem 3 zugreifen. Hierzu kann die Analyseeinheit 1 beispielsweise die Speichereinheiten 4 einbinden.
  • Über eine Bedieneinheit 2, die entfernt von der Analyseeinheit 1 außerhalb des Cloudsystems 3 angeordnet ist, kann die Analyseeinheit 1 von einem Analysten bedient werden. Dies kann beispielsweise über einen Remote-Zugriff erfolgen.
  • Die Analyseeinheit 1 kann die forensischen Daten also direkt an ihrem Ursprung in dem Cloudsystem 3 untersuchen.
  • 2 zeigt ein Verfahren zum Analysieren von forensischen Daten. Das Verfahren weist die folgenden Schritte auf.
  • In Schritt 201 werden die forensischen Daten in der Analyseeinheit 1 analysiert, wobei die Analyseeinheit 1 in dem Cloudsystem 3 angeordnet ist.
  • In Schritt 202 wird die Analyseeinheit 1 mittels der Bedieneinheit 2 bedient, wobei die Bedieneinheit 2 entfernt von der Analyseeinheit 1 außerhalb des Cloudsystems 3 angeordnet ist.
  • Die Schritte 201 und 202 können gleichzeitig oder in anderer Reihenfolge ausgeführt werden.
  • Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar.

Claims (13)

  1. System (10) zum Analysieren von forensischen Daten, wobei die forensischen Daten in einem Cloudsystem (3) vorliegen, mit: einer Analyseeinheit (1) zum Analysieren der forensischen Daten, wobei die Analyseeinheit (1) in dem Cloudsystem (3) angeordnet ist, und einer Bedieneinheit (2) zum Bedienen der Analyseeinheit (1), wobei die Bedieneinheit (2) entfernt von der Analyseeinheit (1) außerhalb des Cloudsystems (3) angeordnet ist.
  2. System nach Anspruch 1, dadurch gekennzeichnet, dass die Bedieneinheit (2) dazu eingerichtet ist, die Analyseeinheit (1) über einen Remote-Zugriff zu bedienen.
  3. System nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Analyseeinheit (1) eine virtualisierte Analyseeinheit ist.
  4. System nach einem der Ansprüche 1–3, dadurch gekennzeichnet, dass die Analyseeinheit (1) auf einer Vorlage basiert.
  5. System nach einem der Ansprüche 1–4, dadurch gekennzeichnet, dass die Analyseeinheit (1) dazu eingerichtet ist, Speichereinheiten (4) des Cloudsystems (3), die die zu analysierenden forensischen Daten enthalten, als lokale Kopie zu speichern.
  6. System nach einem der Ansprüche 1–5, dadurch gekennzeichnet, dass die Analyseeinheit (1) dazu eingerichtet ist, Speichereinheiten (4) des Cloudsystems (3), die die zu analysierenden forensischen Daten enthalten, direkt einzubinden.
  7. System nach einem der Ansprüche 1–6, dadurch gekennzeichnet, dass die Analyseeinheit (1) dazu eingerichtet ist, die zu analysierenden forensischen Daten in einem verschlüsselten Speicherbereich lokal zu speichern.
  8. System nach einem der Ansprüche 1–7, dadurch gekennzeichnet, dass die Analyseeinheit (1) und die Bedieneinheit (2) dazu eingerichtet sind, mittels einer asymmetrischen Authentifizierung zu kommunizieren.
  9. System nach einem der Ansprüche 1–8, dadurch gekennzeichnet, dass die Analyseeinheit (1) dazu eingerichtet ist, mit vordefinierten Einheiten zu kommunizieren.
  10. System nach einem der Ansprüche 1–9, dadurch gekennzeichnet, dass die Analyseeinheit (1) eine eingeschränkte Sichtbarkeit in dem Cloudsystem (3) hat.
  11. System nach einem der Ansprüche 1–10, dadurch gekennzeichnet, dass die Analyseeinheit (1) dazu eingerichtet ist, Netzwerkverkehr in dem Cloudsystem (3) zu überwachen.
  12. Verfahren zum Analysieren von forensischen Daten, wobei die forensischen Daten in einem Cloudsystem (3) vorliegen, mit: Analysieren (201) der forensischen Daten in einer Analyseeinheit (1), wobei die Analyseeinheit (1) in dem Cloudsystem (3) angeordnet ist, und Bedienen (202) der Analyseeinheit (1) mittels einer Bedieneinheit (2), wobei die Bedieneinheit (2) entfernt von der Analyseeinheit (1) außerhalb des Cloudsystems (3) angeordnet ist.
  13. Computerprogrammprodukt, welches auf einer programmgesteuerten Einrichtung die Durchführung des Verfahrens zum Analysieren von forensischen Daten nach Anspruch 12 veranlasst.
DE102015210203.3A 2015-06-02 2015-06-02 System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem Withdrawn DE102015210203A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102015210203.3A DE102015210203A1 (de) 2015-06-02 2015-06-02 System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem
CN201680031980.9A CN107667371A (zh) 2015-06-02 2016-04-14 用于在云系统中分析取证数据的系统和方法
US15/574,590 US20180159886A1 (en) 2015-06-02 2016-04-14 System and method for analyzing forensic data in a cloud system
PCT/EP2016/058212 WO2016192880A1 (de) 2015-06-02 2016-04-14 System und verfahren zum analysieren von forensischen daten in einem cloudsystem
EP16718626.1A EP3266185A1 (de) 2015-06-02 2016-04-14 System und verfahren zum analysieren von forensischen daten in einem cloudsystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015210203.3A DE102015210203A1 (de) 2015-06-02 2015-06-02 System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem

Publications (1)

Publication Number Publication Date
DE102015210203A1 true DE102015210203A1 (de) 2016-12-08

Family

ID=55809086

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015210203.3A Withdrawn DE102015210203A1 (de) 2015-06-02 2015-06-02 System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem

Country Status (5)

Country Link
US (1) US20180159886A1 (de)
EP (1) EP3266185A1 (de)
CN (1) CN107667371A (de)
DE (1) DE102015210203A1 (de)
WO (1) WO2016192880A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10740151B1 (en) * 2018-08-27 2020-08-11 Amazon Technologies, Inc. Parallelized forensic analysis using cloud-based servers

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8583915B1 (en) * 2007-05-31 2013-11-12 Bby Solutions, Inc. Security and authentication systems and methods for personalized portable devices and associated systems
US8990583B1 (en) * 2007-09-20 2015-03-24 United Services Automobile Association (Usaa) Forensic investigation tool
US20140096208A1 (en) * 2012-07-26 2014-04-03 Mrk Networks, Inc. Automated system and method for provisioning and managing cloud desktop services
US9424432B2 (en) * 2012-09-20 2016-08-23 Nasdaq, Inc. Systems and methods for secure and persistent retention of sensitive information
US20140181975A1 (en) * 2012-11-06 2014-06-26 William Spernow Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point
CN103051707A (zh) * 2012-12-20 2013-04-17 浪潮集团有限公司 一种基于动态用户行为的云取证方法及系统
CN103067502A (zh) * 2012-12-31 2013-04-24 博彦科技(上海)有限公司 一种开发测试云的硬件系统
US9292698B1 (en) * 2013-01-18 2016-03-22 Andrew T. Cobb Method and system for remote forensic data collection
US20140317681A1 (en) * 2013-03-15 2014-10-23 Jon Rav Gagan Shende Cloud forensics
CN103152352B (zh) * 2013-03-15 2016-02-10 北京邮电大学 一种基于云计算环境的全信息安全取证监听方法和系统
US10091276B2 (en) * 2013-09-27 2018-10-02 Transvoyant, Inc. Computer-implemented systems and methods of analyzing data in an ad-hoc network for predictive decision-making
WO2015142755A1 (en) * 2014-03-17 2015-09-24 Proofpoint, Inc. Behavior profiling for malware detection
US9356969B2 (en) * 2014-09-23 2016-05-31 Intel Corporation Technologies for multi-factor security analysis and runtime control
US10439650B2 (en) * 2015-05-27 2019-10-08 Quantum Corporation Cloud-based solid state device (SSD) with dynamically variable error correcting code (ECC) system

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Anleitung zu Virtual Box 5.0 Beta 1: Virtuelle Festplatte verschlüsseln. 5.4.2015. URL: http://www.smokinggun.de/2015/04/05/anleitung-zu-virtual-box-5-0-beta-1-virtuelle-festplatte-verschluesseln/ [abgerufen am 14.10.2015] *
BSI: Leitfaden "IT-Forensik". 2011. S.43-58. URL: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Themen/IT-Forensik/forensik_node.html [abgerufen am 14.10.2015] *
Oracle Corporation: Oracle VM VirtualBox User Manual Version 4.3.26. 16.3.2015. S.1-16,80-112,226-229. URL: http://download.virtualbox.org/virtualbox/UserManual.pdf, Archiviert in www.archive.org am 11.5.2015 [abgerufen am 14.10.2015] *

Also Published As

Publication number Publication date
WO2016192880A1 (de) 2016-12-08
EP3266185A1 (de) 2018-01-10
US20180159886A1 (en) 2018-06-07
CN107667371A (zh) 2018-02-06

Similar Documents

Publication Publication Date Title
DE202019103185U1 (de) Verteilte Deduplizierung von Paketen
DE60123672T2 (de) Computersystemschutz
DE112013000387B4 (de) Dynamisches Abtasten einer Webanwendung durch Verwendung von Webdatenverkehrs- Informationen
DE60220333T2 (de) Verfahren und Systeme zur Authentifizierung durch eine Vielzahl von Proxy-Servern
DE112014000584T5 (de) Erreichen von Speichereffizienz bei durchgängiger Verschlüsselung unter Verwendung von nachgelagerten (Downstream-)Decryptern
DE102012210887B4 (de) Verfahren zum Einrichten einer sicher verwalteten Ausführungsumgebung für eine virtuelle Maschine und eine Computervorrichtung
EP2769330B1 (de) Verfahren zum aufruf eines client-programms
DE102015003236A1 (de) Verfahren und System zum Bereitstellen von temporären, sicheren Zugang ermöglichenden virtuellen Betriebsmitteln
EP3743844B1 (de) Blockchain-basiertes identitätssystem
DE112019003130T5 (de) Hsm-selbstzerstörung in einer hybriden cloud-kms-lösung
DE102017113147A1 (de) Sicheres Zahlungsschutzverfahren und entsprechendes elektronisches Gerät
DE19953055C2 (de) Vorrichtung und Verfahren zur geschützten Ausgabe eines elektronischen Dokuments über ein Datenübertragungsnetz
DE112022003368T5 (de) Verschlüsselungsüberwachungsregister und -system
DE112011100196B4 (de) Verfahren, Vorrichtung und Computerprogrammprodukt zum Überprüfen von sicheren Daten
DE112022000137T5 (de) Aufzugszubehör-Authentifizierungsverfahren, System, Server und Speichermedium
DE112021005119T5 (de) Zugriff auf software durch heterogene verschlüsselung
DE102015210203A1 (de) System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem
DE112021004115B4 (de) Sicherheitssystem für eine Segmentierung von Computerdatei-Metadaten
EP3314844B1 (de) Datenverarbeitungseinrichtung und verfahren zum betrieb derselben
DE102014213454A1 (de) Verfahren und System zur Erkennung einer Manipulation von Datensätzen
DE102021132225A1 (de) Verwaltung von gemeinsam genutzten authentifizierungsnachweisen
DE102010037651B4 (de) Verfahren zur Prüfung von Aktionen mit Daten
DE102015210275A1 (de) Vorrichtung und Verfahren zum Bereitstellen eines Teils einer Zertifikatsperrliste
EP3239882B1 (de) Zugriff auf eine protokolldatei
WO2019096489A1 (de) Verfahren und vorrichtung zur behandlung von authentizitätsbescheinigungen für entitäten, insbesondere von personenbezogenen, dienstbezogenen und/oder objektbezogenen digitalen zertifikaten

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee