EP3266185A1 - System und verfahren zum analysieren von forensischen daten in einem cloudsystem - Google Patents
System und verfahren zum analysieren von forensischen daten in einem cloudsystemInfo
- Publication number
- EP3266185A1 EP3266185A1 EP16718626.1A EP16718626A EP3266185A1 EP 3266185 A1 EP3266185 A1 EP 3266185A1 EP 16718626 A EP16718626 A EP 16718626A EP 3266185 A1 EP3266185 A1 EP 3266185A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- analysis unit
- unit
- forensic data
- analysis
- cloud system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 14
- 230000015654 memory Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 5
- 239000012491 analyte Substances 0.000 claims 1
- 150000001768 cations Chemical class 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 238000000605 extraction Methods 0.000 abstract 1
- 238000012546 transfer Methods 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 125000002897 diene group Chemical group 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Definitions
- the present invention relates to a system for analyzing forensic data in a cloud system. Furthermore, the present invention relates to a method and analyzed ⁇ ren of forensic data in a cloud system.
- This data includes, among other memory contents (RAM) contents of persistent storage media (hard disks) and recordings of network traffic potentially the security incident be ⁇ tetzten IT systems.
- RAM memory contents
- hard disks persistent storage media
- the over- causes transmission of data from the network of the provider out to ⁇ additional transfer costs.
- further mass memories are connected to the system to be analyzed, for example via local networks, they may not be detected during the acquisition of the forensic data of the system to be analyzed and consequently not evaluated.
- the data volume of such mass storage is too large to create a copy thereof for analysis in the context of security incidents or to transmit over networks.
- An analysis of the affected system remotely on the affected system can falsify the data to be analyzed, result in a high resource utilization of the system and provide evidence of an ongoing analysis to an active attacker.
- the si ⁇ chere deletion of personal and otherwise worthy of protection data after completion of the analysis due to the po ⁇ tentiell compromised environment is no longer guaranteed.
- forensic data is copied to portable data carriers, which were then sent by post for analysis.
- selected data for an online check is requested automatically (software agent) or manually (on-site personnel) for analysis, whereby relevant data for the analysis can be overlooked.
- Access data is provided to the analysts for the analysis of connected mass storage systems.
- An analysis of network traffic can be done through an existing infrastructure for recording the data.
- an infrastructure e.g. a packet sniffer, installed or configured. The mentioned problems regarding completeness and transmission of data volumes apply accordingly to the network traffic.
- an object of the present invention is to analyze forensic data in a simple and secure manner.
- a system for analyzing forensic data wherein the forensic data is in a cloud system.
- the system has an analysis unit to analyze forensic data, said analysis unit is arranged in the cloud system, and an operating unit for operating the analysis unit, wherein the control unit is arranged ent ⁇ removed from the analysis unit outside the cloud system.
- the analysis unit is moved directly into the vicinity, ie geographically or also with regard to the network topology and the operator, of the IT infrastructure to be examined.
- the forensic data can thus be examined in its original environment and need not be extracted from it and transmitted. In this way it can be prevented that there is a not distorted ⁇ research of forensic data because it can be analyzed in their original form.
- a forensic data can in this connection memory contents (RAM) contents of persistent Spei ⁇ chermedien (hard disks) and recordings of network traffic potentially involved in the security breach IT systems are understood.
- RAM connection memory contents
- Spei ⁇ chermedien hard disks
- a cloud system or a cloud environment can be understood to mean a system that has cloud storage and can also be used for hosting virtual systems and virtual networks.
- the analysis unit can analyze this forensic data, ie investigate whether this data has been manipulated, for example.
- the respective unit for example, analysis unit or Be ⁇ diene unit, can in terms of hardware and / or be implemented by software.
- the respective unit may be designed as a device or as part of a device, for example as a computer or as a microprocessor or as a control computer of a vehicle.
- the respective unit can be used as Computerprogrammpro ⁇ domestic product, as a function, as a routine, be formed as part of a program code or an executable object.
- the analysis unit is directly in the cloud system Loka ⁇ lmitter, whereas the operating unit has been removed, play, arranged to at ⁇ analysts of a workplace. This relieves the load on the network connections or WAN connections, since only small amounts of data in the range of 10 to 30 GB have to be transferred for the analysis of systems of any size (from the analysis unit to the operating unit and vice versa). Because of the proximity of the analysis station to mass storage systems, they can be used by analysts as local environments. Therefore, the restric ⁇ effect on pre-defined search patterns and time expenses for copying and transferring data omitted.
- the operating unit is to be directed ⁇ serve the analyzing unit via a remote access to be ⁇ .
- the operating unit can, for example, provide remote access to the analysis unit via a browser.
- the operating unit can visualize the analysis unit as a window on a display device, for example a screen, of a computer.
- the analysis unit is a virtualized analysis unit.
- a virtualized analysis unit is understood to mean an analysis unit that is arranged, ie stored, in the cloud system by a physically existing analysis unit as a virtualized variant.
- the analysis unit is based on a template.
- the analysis unit is set up to store storage units of the cloud system containing the forensic data to be analyzed as a local copy.
- the data stores to be examined can be connected to the analysis unit as a local copy by a corresponding configuration of the analysis unit.
- the analysis unit is set up to directly integrate storage units of the cloud system containing the forensic data to be analyzed.
- the analysis unit can directly access the Spei ⁇ cherajien, without having to additionally save locally.
- the analysis unit can integrate (mount) and access the memory units as separate memory units.
- the analysis unit is set up to locally store the forensic data to be analyzed in an encrypted memory area. Since the relevant data is stored in an encrypted storage area, a possibly active at ⁇ gripper not access them.
- the key can be randomly generated per analysis.
- the analysis unit and the control unit are adapted to communicate by means of a asym ⁇ metric authentication.
- All analyst identifiers transmitted between the operator panel and analyzer can use a public-private-key authentication method. Since there are no password-protected accesses, the security against ⁇ over an attacker is increased because this can not tap passwords.
- the analysis unit is configured to communicate with predefined units.
- the accessibility of the analysis ⁇ unit can be restricted to a defined list of devices.
- any devices eg an attacker, can not access the analysis unit and jeopardize or manipulate the analysis of the data.
- the analysis unit has limited visibility in the cloud system.
- the analysis unit is configured to monitor network traffic in the cloud system.
- local network traffic may be recorded in the cloud system.
- an analysis of the network traffic can be realized in real time.
- a method for analyzing forensic data is proposed, wherein the forensic data is present in a cloud system.
- the method comprises the following steps: analyzing the forensic data in an analysis unit, wherein the analysis unit is arranged in the cloud system, and operating the analysis unit by means of a control unit, wherein the control unit is located away from the analysis unit outside the cloud system.
- a computer program product which causes the execution of the method as explained above on a program-controlled device.
- a computer program product such as a computer program means may, for example, be used as a storage medium, e.g.
- FIG. 1 is a schematic block diagram of an embodiment of a system for analyzing forensic data
- FIG. 2 shows a schematic flow diagram of a method for analyzing forensic data.
- Fig. 1 shows a system 10 for analyzing forensic data.
- the forensic data are present in a cloud system 3, for example in various storage units or arithmetic units 4.
- the system 10 includes an analysis unit 1 for analyzing the forensic data.
- the analysis unit 1 is arranged directly in the cloud system 3.
- the analysis unit 1 can thus access the data in the cloud system 3 directly.
- the analysis unit for example, integrate the memory units 4.
- the analysis unit 1 can be operated by an analyst. This can be done, for example, via remote access.
- the analysis unit 1 can therefore examine the forensic data directly at its origin in the cloud system 3.
- Fig. 2 shows a method for analyzing forensic data. The method comprises the following steps.
- step 201 the forensic data are analyzed in the analysis unit 1, wherein the analysis unit 1 in the
- Cloud system 3 is arranged.
- step 202 the analysis unit 1 is operated by the control unit ⁇ 2, wherein the operating unit 2 is disposed away from the analysis unit 1 out of the cloud system.
- Steps 201 and 202 may be performed simultaneously or in a different order.
- the present invention has been described with reference to Principalsbei ⁇ games, it is versatile modifiable.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Automatic Analysis And Handling Materials Therefor (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Es wird ein System zum Analysieren von forensischen Daten vorgeschlagen, wobei die forensischen Daten in einem Cloudsystem vorliegen. Das System weist eine Analyseeinheit zum Analysieren der forensischen Daten, wobei die Analyseeinheit in dem Cloudsystem angeordnet ist, und eine Bedieneinheit zum Bedienen der Analyseeinheit auf, wobei die Bedieneinheit entfernt von der Analyseeinheit außerhalb des Cloudsystems angeordnet ist. Durch das vorgeschlagene System ist es möglich, forensische Daten, die mit einem IT-Sicherheitsfall in Verbindung stehen, direkt in dem Cloudsystem zu analysieren. Ein Extrahieren der Daten aus dem Cloudsystem oder aufwendiges Übertragen der Daten zu einer Analysevorrichtung ist somit nicht erforderlich. Des Weiteren wird ein Verfahren zum Analysieren von forensischen Daten vorgeschlagen.
Description
Beschreibung
System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem
Die vorliegende Erfindung betrifft ein System zum Analysieren von forensischen Daten in einem Cloudsystem. Des Weiteren betrifft die vorliegende Erfindung ein Verfahren zum Analysie¬ ren von forensischen Daten in einem Cloudsystem.
Zur Analyse und Behebung von IT-Sicherheitsvorfällen, beispielsweise Angriffe Dritter auf IT-Systeme, wird regelmäßig die Analyse von forensischen Daten durchgeführt. Diese Daten beinhalten unter anderem Arbeitsspeicherinhalt (RAM) , Inhalt von persistenten Speichermedien (Festplatten) und Mitschnitte des Netzwerkverkehrs von potentiell am Sicherheitsvorfall be¬ teiligten IT-Systemen.
Mit der stark zunehmenden Größe sowohl von Arbeitsspeichern als auch persistenten Speichern wird die Übertragung der zu analysierenden Daten von den betroffenen IT-Systemen in das Analyselabor zunehmend aufwendiger. Dies resultiert unter anderem in einer Belastung der betroffenen Systeme hinsichtlich der zu übertragenden Datenmenge, sowie in einer hohen Auslas- tung der WAN-Strecken (Wide Area Network Strecken) , insbesondere bei einer standortübergreifenden Vernetzung.
Werden die zu analysierenden Systeme bei einem externen Anbieter betrieben, z.B. Cloudsysteme, so verursacht die Über- tragung von Daten aus dem Netzwerk des Anbieters heraus zu¬ sätzliche Transferkosten. Sind an das zu analysierende System weitere Massenspeicher angebunden, z.B. über lokale Netzwerke, so werden diese bei der Erfassung der forensischen Daten des zu analysierenden Systems unter Umständen nicht erfasst und folglich nicht ausgewertet. Ferner ist das Datenvolumen derartiger Massenspeicher zu groß, um eine Kopie davon für eine Analyse im Rahmen von Sicherheitsvorfällen zu erstellen oder über Netzwerke zu übertragen.
Eine Analyse des betroffenen Systems über Fernzugriff auf dem betroffenen System kann die zu analysierenden Daten verfälschen, in einer hohen Ressourcenauslastung des Systems resul- tieren und einem eventuell noch aktiven Angreifer Hinweise auf eine laufende Analyse liefern. Darüber hinaus ist das si¬ chere Löschen von personenbezogenen und anderweitig schützenswerten Daten nach Abschluss der Analyse aufgrund der po¬ tentiell kompromittierten Umgebung nicht mehr gewährleistet.
Bisher werden forensische Daten auf transportable Datenträger kopiert, welche dann auf dem Postweg zur Analyse verschickt wurden. Alternativ werden selektierte Daten für eine Onlineüberprüfung automatisch (Softwareagent) oder manuell (Perso- nal vor Ort) zur Analyse angefordert, wobei hierbei für die Analyse relevante Daten übersehen werden können.
Für die Analyse von angebundenen Massenspeichersystemen werden den Analysten Zugangsdaten zur Verfügung gestellt. Auf- grund von Bandbreitenbeschränkungen zwischen Standorten des Analysten und des zu analysierenden Systems beschränkt sich die Analyse jedoch auf eine kleine Teilmenge der zugreifbaren Daten beschränken. Eine Analyse von Netzwerkdatenverkehr kann durch eine bereits vorhandene Infrastruktur zum Mitschneiden der Daten erfolgen. Alternativ kann eine Infrastruktur, z.B. ein Packet-Sniffer, installiert bzw. konfiguriert werden. Die genannten Probleme hinsichtlich Vollständigkeit und Übertragung der Datenmengen gelten für den Netzwerkdatenverkehr entsprechend.
Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, auf einfache und sichere Weise forensische Daten zu analysieren.
Demgemäß wird ein System zum Analysieren von forensischen Daten vorgeschlagen, wobei die forensischen Daten in einem Cloudsystem vorliegen. Das System weist eine Analyseeinheit
zum Analysieren der forensischen Daten, wobei Analyseeinheit in dem Cloudsystem angeordnet ist, und eine Bedieneinheit zum Bedienen der Analyseeinheit auf, wobei die Bedieneinheit ent¬ fernt von der Analyseeinheit außerhalb des Cloudsystems ange- ordnet ist.
Gemäß der vorgeschlagenen Vorrichtung wird die Analyseeinheit direkt in die Nähe, d.h. geografisch oder auch hinsichtlich der Netzwerktopologie und des Betreibers, der zu untersuchen- den IT-Infrastruktur verlagert. Die forensischen Daten können somit an ihrer ursprünglichen Umgebung untersucht werden und müssen nicht aus dieser extrahiert und übertragen werden. Auf diese Weise kann verhindert werden, dass es zu einer Verfäl¬ schung der forensischen Daten kommt, da diese in ihrer ur- sprünglichen Form analysiert werden können. Zusätzlich ist es nicht erforderlich, die forensischen Daten zu übertragen, beispielsweise über ein Netzwerk. Auf diese Weise können auch große Mengen an Daten analysiert werden, da mögliche Band¬ breitenbeschränkungen nicht relevant werden.
Unter forensischen Daten können in diesem Zusammenhang Arbeitsspeicherinhalte (RAM) , Inhalte von persistenten Spei¬ chermedien (Festplatten) und Mitschnitte des Netzwerkverkehrs von potentiell am Sicherheitsvorfall beteiligten IT-Systemen verstanden werden. Unter einem Sicherheitsvorfall können Angriffe Dritter, d.h. Hackerangriffe, auf IT-Systeme verstan¬ den werden.
Unter einem Cloudsystem bzw. einer Cloudumgebung kann in die- sem Zusammenhang ein System verstanden werden, das Cloud- speicher aufweist und auch für ein Hosting virtueller Systeme und virtueller Netzwerke verwendet werden kann.
Die Analyseeinheit kann diese forensischen Daten analysieren, d.h. untersuchen, ob diese Daten beispielsweise manipuliert wurden .
Die jeweilige Einheit, zum Beispiel Analyseeinheit oder Be¬ dieneinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammpro¬ dukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.
Die Analyseeinheit ist dabei direkt in dem Cloudsystem loka¬ lisiert, wohingegen die Bedieneinheit entfernt dazu, bei¬ spielsweise am Arbeitsplatz eines Analysten, angeordnet ist. Dadurch wird eine Entlastung der Netzwerkverbindungen bzw. WAN-Verbindungen erreicht, da nur kleine Datenmengen im Bereich von 10 bis 30 GB zur Analyse beliebig größerer Systeme übertragen werden müssen (von der Analyseeinheit zur Bedieneinheit und umgekehrt) . Durch die Nähe der Analysestation zu Massenspeichersystemen können diese durch den Analysten wie lokal vorhandene Umgebungen verwendet werden. Die Beschrän¬ kung auf vordefinierte Suchmuster sowie die Zeitaufwände für das Kopieren und Übertragen der Daten entfallen daher. Gemäß einer Ausführungsform ist die Bedieneinheit dazu einge¬ richtet, die Analyseeinheit über einen Remote-Zugriff zu be¬ dienen .
Die Bedieneinheit kann beispielsweise über einen Browser ei- nen Remote-Zugriff auf die Analyseeinheit bereitstellen.
Hierbei kann die Bedieneinheit die Analyseeinheit als Fenster auf einer Anzeigevorrichtung, z.B. einem Bildschirm, eines Rechners visualisieren . Gemäß einer weiteren Ausführungsform ist die Analyseeinheit eine virtualisierte Analyseeinheit.
Unter einer virtualisierten Analyseeinheit wird dabei eine Analyseeinheit verstanden, die in dem Cloudsystem von einer vor Ort physikalisch vorhandenen Analyseeinheit als virtuali- sierte Variante angeordnet, d.h. gespeichert, wird.
Gemäß einer weiteren Ausführungsform basiert die Analyseeinheit auf einer Vorlage.
Durch die Bereitstellung einer entsprechenden Vorlage kann die Installation dieser Analyseeinheit innerhalb weniger Mi¬ nuten erfolgen. Eine Vorlage kann dabei auch als Image be¬ zeichnet werden. Die einmalige Bereitstellung von Vorlagen für Analyseeinheiten und die Systemanalyse in Cloud-Umgebun- gen vermeidet die Notwendigkeit, die zu analysierenden Daten kostenpflichtig aus der Systemumgebung des Anbieters zu transferieren .
Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Speichereinheiten des Cloudsystems , die die zu analysierenden forensischen Daten enthalten, als lokale Kopie zu speichern.
Die zu untersuchenden Datenspeicher können durch eine entsprechende Konfiguration der Analyseeinheit als lokale Kopie an die Analyseeinheit angebunden werden.
Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Speichereinheiten des Cloudsystems, die die zu analysierenden forensischen Daten enthalten, direkt einzubinden.
Auf diese Weise kann die Analyseeinheit direkt auf die Spei¬ chereinheiten zugreifen, ohne diese zusätzlich lokal speichern zu müssen. Die Analyseeinheit kann dabei die Speicher- einheiten als eigene Speichereinheiten einbinden (mounten) und auf diese zugreifen.
Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, die zu analysierenden forensischen Daten in einem verschlüsselten Speicherbereich lokal zu speichern. Da die relevanten Daten in einem verschlüsselten Speicherbereich abgelegt sind, kann ein möglicherweise noch aktiver An¬ greifer nicht auf diese zugreifen. Der Schlüssel kann pro Analyse zufällig erzeugt werden. Gemäß einer weiteren Ausführungsform sind die Analyseeinheit und die Bedieneinheit dazu eingerichtet, mittels einer asym¬ metrischen Authentifizierung kommunizieren.
Alle Kennungen des Analysten, die zwischen Bedieneinheit und Analyseeinheit übertragen werden, können ein Public-Private- Key-Verfahren zur Authentifizierung verwenden. Da es keine kennwortgeschützten Zugänge gibt, wird die Sicherheit gegen¬ über einem Angreifer erhöht, da dieser keine Passwörter abgreifen kann.
Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, mit vordefinierten Einheiten zu kommunizieren . Um die Sicherheit der Analyseeinheit und damit die Sicherheit der Analyse der forensischen Daten, d.h. den Schutz vor Manipulationen, zu erhöhen, kann die Erreichbarkeit der Analyse¬ einheit auf eine definierte Liste von Geräten eingeschränkt werden. Somit können keine beliebigen Geräte, z.B. eines An- greifers, auf die Analyseeinheit zugreifen und die Analyse der Daten gefährden oder manipulieren.
Gemäß einer weiteren Ausführungsform hat die Analyseeinheit eine eingeschränkte Sichtbarkeit in dem Cloudsystem.
Dies kann beispielsweise durch Verwenden einer Firewall ge¬ schehen. Auf diese Weise wird die Sicherheit der Analyseein¬ heit weiter erhöht.
Durch die Verschlüsselung der zu analysierenden Daten und die minimale Sichtbarkeit im Netzwerk werden einem möglicherweise aktiven Angreifer keine Informationen über die laufende Ana- lyse zugänglich. Die Verschlüsselung der Analysedaten erlaubt ebenfalls das Löschen der kompletten Analysestation, ohne dass für Dritte verwertbare Informationen der Daten auf der Systemumgebung zurückbleiben. Gemäß einer weiteren Ausführungsform ist die Analyseeinheit dazu eingerichtet, Netzwerkverkehr in dem Cloudsystem zu überwachen .
Gemäß dieser Ausführungsform kann lokaler Netzwerkverkehr in dem Cloudsystem mitgeschnitten werden. Somit kann eine Analyse des Netzwerkdatenverkehrs in Echtzeit realisiert werden.
Des Weiteren wird ein Verfahren zum Analysieren von forensischen Daten vorgeschlagen, wobei die forensischen Daten in einem Cloudsystem vorliegen. Das Verfahren weist die folgenden Schritte auf: Analysieren der forensischen Daten in einer Analyseeinheit, wobei die Analyseeinheit in dem Cloudsystem angeordnet ist, und Bedienen der Analyseeinheit mittels einer Bedieneinheit, wobei die Bedieneinheit entfernt von der Ana- lyseeinheit außerhalb des Cloudsystems angeordnet ist.
Die für die vorgeschlagene Vorrichtung beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Ver¬ fahren entsprechend.
Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst. Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm- Mittel, kann beispielsweise als Speichermedium, wie z.B.
Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk
bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammpro¬ dukt oder dem Computerprogramm-Mittel erfolgen.
Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen.
Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfin¬ dung sind Gegenstand der Unteransprüche sowie der im Folgen- den beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert . Fig. 1 zeigt ein schematisches Blockdiagramm einer Ausführungsform eines Systems zum Analysieren von forensischen Daten; und
Fig. 2 zeigt ein schematisches Ablaufdiagramm eines Verfah- rens zum Analysieren von forensischen Daten.
In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist.
Fig. 1 zeigt ein System 10 zum Analysieren von forensischen Daten .
Die forensischen Daten liegen dabei in einem Cloudsystem 3 vor, beispielsweise in diversen Speichereinheiten oder Recheneinheiten 4.
Das System 10 weist eine Analyseeinheit 1 zum Analysieren der forensischen Daten auf. Die Analyseeinheit 1 ist dabei direkt in dem Cloudsystem 3 angeordnet. Die Analyseeinheit 1 kann auf diese Weise direkt auf die Daten in dem Cloudsystem 3 zu- greifen. Hierzu kann die Analyseeinheit 1 beispielsweise die Speichereinheiten 4 einbinden.
Über eine Bedieneinheit 2, die entfernt von der Analyseein¬ heit 1 außerhalb des Cloudsystems 3 angeordnet ist, kann die Analyseeinheit 1 von einem Analysten bedient werden. Dies kann beispielsweise über einen Remote-Zugriff erfolgen.
Die Analyseeinheit 1 kann die forensischen Daten also direkt an ihrem Ursprung in dem Cloudsystem 3 untersuchen.
Fig. 2 zeigt ein Verfahren zum Analysieren von forensischen Daten. Das Verfahren weist die folgenden Schritte auf.
In Schritt 201 werden die forensischen Daten in der Analyse- einheit 1 analysiert, wobei die Analyseeinheit 1 in dem
Cloudsystem 3 angeordnet ist.
In Schritt 202 wird die Analyseeinheit 1 mittels der Bedien¬ einheit 2 bedient, wobei die Bedieneinheit 2 entfernt von der Analyseeinheit 1 außerhalb des Cloudsystems 3 angeordnet ist.
Die Schritte 201 und 202 können gleichzeitig oder in anderer Reihenfolge ausgeführt werden. Obwohl die vorliegende Erfindung anhand von Ausführungsbei¬ spielen beschrieben wurde, ist sie vielfältig modifizierbar.
Claims
1. System (10) zum Analysieren von forensischen Daten, wobei die forensischen Daten in einem Cloudsystem (3) vorliegen, mit :
einer Analyseeinheit (1) zum Analysieren der forensischen Daten, wobei die Analyseeinheit (1) in dem Cloudsystem (3) angeordnet ist, und
einer Bedieneinheit (2) zum Bedienen der Analyseeinheit (1), wobei die Bedieneinheit (2) entfernt von der Analyseein¬ heit (1) außerhalb des Cloudsystems (3) angeordnet ist.
2. System nach Anspruch 1,
dadurch gekennzeichnet,
dass die Bedieneinheit (2) dazu eingerichtet ist, die Analy¬ seeinheit (1) über einen Remote-Zugriff zu bedienen.
3. System nach Anspruch 1 oder 2,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) eine virtualisierte Analyseein¬ heit ist.
4. System nach einem der Ansprüche 1 - 3,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) auf einer Vorlage basiert.
5. System nach einem der Ansprüche 1 - 4,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) dazu eingerichtet ist, Speicher- einheiten (4) des Cloudsystems (3), die die zu analysierenden forensischen Daten enthalten, als lokale Kopie zu speichern.
6. System nach einem der Ansprüche 1 - 5,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) dazu eingerichtet ist, Speicher¬ einheiten (4) des Cloudsystems (3), die die zu analysierenden forensischen Daten enthalten, direkt einzubinden.
7. System nach einem der Ansprüche 1 - 6,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) dazu eingerichtet ist, die zu analysierenden forensischen Daten in einem verschlüsselten Speicherbereich lokal zu speichern.
8. System nach einem der Ansprüche 1 - 7,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) und die Bedieneinheit (2) dazu eingerichtet sind, mittels einer asymmetrischen Authentifi¬ zierung zu kommunizieren.
9. System nach einem der Ansprüche 1 - 8,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) dazu eingerichtet ist, mit vorde¬ finierten Einheiten zu kommunizieren.
10. System nach einem der Ansprüche 1 - 9,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) eine eingeschränkte Sichtbarkeit in dem Cloudsystem (3) hat.
11. System nach einem der Ansprüche 1 - 10,
dadurch gekennzeichnet,
dass die Analyseeinheit (1) dazu eingerichtet ist, Netzwerk¬ verkehr in dem Cloudsystem (3) zu überwachen.
12. Verfahren zum Analysieren von forensischen Daten, wobei die forensischen Daten in einem Cloudsystem (3) vorliegen, mit:
Analysieren (201) der forensischen Daten in einer Analyseeinheit (1), wobei die Analyseeinheit (1) in dem
Cloudsystem (3) angeordnet ist, und
Bedienen (202) der Analyseeinheit (1) mittels einer Be- dieneinheit (2), wobei die Bedieneinheit (2) entfernt von der Analyseeinheit (1) außerhalb des Cloudsystems (3) angeordnet ist .
13. Computerprogrammprodukt, welches auf einer programmge¬ steuerten Einrichtung die Durchführung des Verfahrens zum Analysieren von forensischen Daten nach Anspruch 12 veranlasst .
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015210203.3A DE102015210203A1 (de) | 2015-06-02 | 2015-06-02 | System und Verfahren zum Analysieren von forensischen Daten in einem Cloudsystem |
| PCT/EP2016/058212 WO2016192880A1 (de) | 2015-06-02 | 2016-04-14 | System und verfahren zum analysieren von forensischen daten in einem cloudsystem |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP3266185A1 true EP3266185A1 (de) | 2018-01-10 |
Family
ID=55809086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP16718626.1A Withdrawn EP3266185A1 (de) | 2015-06-02 | 2016-04-14 | System und verfahren zum analysieren von forensischen daten in einem cloudsystem |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20180159886A1 (de) |
| EP (1) | EP3266185A1 (de) |
| CN (1) | CN107667371A (de) |
| DE (1) | DE102015210203A1 (de) |
| WO (1) | WO2016192880A1 (de) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10740151B1 (en) * | 2018-08-27 | 2020-08-11 | Amazon Technologies, Inc. | Parallelized forensic analysis using cloud-based servers |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140317681A1 (en) * | 2013-03-15 | 2014-10-23 | Jon Rav Gagan Shende | Cloud forensics |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8583915B1 (en) * | 2007-05-31 | 2013-11-12 | Bby Solutions, Inc. | Security and authentication systems and methods for personalized portable devices and associated systems |
| US8990583B1 (en) * | 2007-09-20 | 2015-03-24 | United Services Automobile Association (Usaa) | Forensic investigation tool |
| US20140096208A1 (en) * | 2012-07-26 | 2014-04-03 | Mrk Networks, Inc. | Automated system and method for provisioning and managing cloud desktop services |
| US9424432B2 (en) * | 2012-09-20 | 2016-08-23 | Nasdaq, Inc. | Systems and methods for secure and persistent retention of sensitive information |
| US20140181975A1 (en) * | 2012-11-06 | 2014-06-26 | William Spernow | Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point |
| CN103051707A (zh) * | 2012-12-20 | 2013-04-17 | 浪潮集团有限公司 | 一种基于动态用户行为的云取证方法及系统 |
| CN103067502A (zh) * | 2012-12-31 | 2013-04-24 | 博彦科技(上海)有限公司 | 一种开发测试云的硬件系统 |
| US9292698B1 (en) * | 2013-01-18 | 2016-03-22 | Andrew T. Cobb | Method and system for remote forensic data collection |
| CN103152352B (zh) * | 2013-03-15 | 2016-02-10 | 北京邮电大学 | 一种基于云计算环境的全信息安全取证监听方法和系统 |
| US10091276B2 (en) * | 2013-09-27 | 2018-10-02 | Transvoyant, Inc. | Computer-implemented systems and methods of analyzing data in an ad-hoc network for predictive decision-making |
| EP3120286B1 (de) * | 2014-03-17 | 2019-07-17 | Proofpoint, Inc. | Verhaltensprofilerstellung für die erkennung von schadprogrammen |
| US9356969B2 (en) * | 2014-09-23 | 2016-05-31 | Intel Corporation | Technologies for multi-factor security analysis and runtime control |
| US10439650B2 (en) * | 2015-05-27 | 2019-10-08 | Quantum Corporation | Cloud-based solid state device (SSD) with dynamically variable error correcting code (ECC) system |
-
2015
- 2015-06-02 DE DE102015210203.3A patent/DE102015210203A1/de not_active Withdrawn
-
2016
- 2016-04-14 WO PCT/EP2016/058212 patent/WO2016192880A1/de active Application Filing
- 2016-04-14 EP EP16718626.1A patent/EP3266185A1/de not_active Withdrawn
- 2016-04-14 CN CN201680031980.9A patent/CN107667371A/zh active Pending
- 2016-04-14 US US15/574,590 patent/US20180159886A1/en not_active Abandoned
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140317681A1 (en) * | 2013-03-15 | 2014-10-23 | Jon Rav Gagan Shende | Cloud forensics |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107667371A (zh) | 2018-02-06 |
| DE102015210203A1 (de) | 2016-12-08 |
| US20180159886A1 (en) | 2018-06-07 |
| WO2016192880A1 (de) | 2016-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3097506B1 (de) | Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur | |
| DE112013000387B4 (de) | Dynamisches Abtasten einer Webanwendung durch Verwendung von Webdatenverkehrs- Informationen | |
| DE60123672T2 (de) | Computersystemschutz | |
| DE202019103185U1 (de) | Verteilte Deduplizierung von Paketen | |
| DE102015002541A1 (de) | Verfahren und system zum bereitstellen eines effizienten verwundbarkeitsverwaltungs- und verifikationsdienstes | |
| DE112014000584T5 (de) | Erreichen von Speichereffizienz bei durchgängiger Verschlüsselung unter Verwendung von nachgelagerten (Downstream-)Decryptern | |
| EP2367128A1 (de) | Verfahren und Vorrichtung zur elektronischen Signatur | |
| DE102012109212B4 (de) | Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme | |
| DE112013007160T5 (de) | Entwicklungsumgebungssystem, Entwicklungsumgebungsvorrichtung, Entwicklungsumgebungsbereitstellungsverfahren und Programm | |
| DE112012000279T5 (de) | Ermitteln der Anfälligkeit von Computer-Software-Anwendungen gegenüber Rechteausweitungsangriffen | |
| DE112013000485T5 (de) | Automatische Synthese von Einheitentests für Sicherheitstests | |
| DE102006043363A1 (de) | System und Verfahren zum Erheben von Verkehrsdaten unter Verwendung von Sondierungsfahrzeugen | |
| EP3925192B1 (de) | Verfahren und wiedergabeeinheit zur wiedergabe von gesicherten nachrichten | |
| DE112011103415T5 (de) | Gefahrenerkennung für die Verwaltung von Anlagen | |
| DE102017113147A1 (de) | Sicheres Zahlungsschutzverfahren und entsprechendes elektronisches Gerät | |
| EP2551828B1 (de) | Verfahren und System zur Kontrolldatenübertragung zwischen einem Fahrzeugdatenaufzeichnungsgerät und einem Prüfgerät | |
| DE102015206643A1 (de) | Vorrichtung und Verfahren zum Erzeugen eines Schlüssels in einem programmierbaren Hardwaremodul | |
| DE112022000137T5 (de) | Aufzugszubehör-Authentifizierungsverfahren, System, Server und Speichermedium | |
| EP3266185A1 (de) | System und verfahren zum analysieren von forensischen daten in einem cloudsystem | |
| DE102014225418A1 (de) | Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle | |
| WO2001098899A2 (de) | Serverüberwachung | |
| DE102021123255A1 (de) | Datenverarbeitungssystem mit mindestens einem Server (S) als Zielsystem | |
| DE102014213454A1 (de) | Verfahren und System zur Erkennung einer Manipulation von Datensätzen | |
| DE19734585C2 (de) | Verfahren und Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen | |
| DE102021125851A1 (de) | Problemmanagement in einem benutzersystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE |
|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE |
|
| 17P | Request for examination filed |
Effective date: 20171006 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
| AX | Request for extension of the european patent |
Extension state: BA ME |
|
| DAV | Request for validation of the european patent (deleted) | ||
| DAX | Request for extension of the european patent (deleted) | ||
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: EXAMINATION IS IN PROGRESS |
|
| 17Q | First examination report despatched |
Effective date: 20190925 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: EXAMINATION IS IN PROGRESS |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: EXAMINATION IS IN PROGRESS |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN |
|
| 18D | Application deemed to be withdrawn |
Effective date: 20220726 |