Von der Forschung im Cyber-Defence Campus zu den Cyberdefence Fähigkeiten der Bundesverwaltung
Die Zusammenarbeit von Dr. Vincent Lenders, Leiter des Cyber-Defence Campus von armasuisse W+T und Dr. David Gugelmann von Exeon Analytics, war entscheidend für die Entwicklung und das Vorantreiben der Cybersicherheit des Bundes. Die Software von Exeon Analytics zielt darauf ab, die Zeitspanne, in der Cyber-Angreifer unentdeckt in Netzwerken operieren können, erheblich zu verkürzen. Die Idee für Exeon Analytics entstand während Gugelmanns Doktorarbeit an der ETH Zürich, die von Dr. Lenders betreut wurde.
Andrea Thäler, Fachbereich Cybersicherheit und Data Science, Kompetenzbereich armasuisse Wissenschaft und Technologie
Diese innovative Forschungsarbeit führte zur Entwicklung der Exeon Trace Network Detection and Response (NDR)-Plattform der Firma Exeon Analytics. Die Plattform nutzt fortschrittliche Machine-Learning-Algorithmen, um den kompletten Netzwerkverkehr aufzubereiten und verdächtige Aktivitäten automatisch zu erkennen. Dies ermöglicht Sicherheitsteams, schnell auf potenzielle Cyber-Bedrohungen zu reagieren und die Zeitspanne, in der Angreifer unentdeckt bleiben, drastisch zu verkürzen.
Die Methodik, welche im Paper «Hviz: HTTP(S) Traffic Aggregation and Visualisation for Network Forensics» vorgestellt wird, wurde 2015 auf der Digital Forensic Research Conference in Dublin ausgezeichnet und ist ein Beweis für das hohe Niveau der gemeinsamen Forschungsaktivität. Darin wird das Tool Hviz vorgestellt, das bei der forensischen Untersuchung von Sicherheitsvorfällen helfen soll, indem es den HTTP- und HTTPS-Verkehr (Hypertext Transfer Protocol Secure) innerhalb einer Organisation analysiert. Dabei handelt es sich um ein Anwendungsprotokoll, dass die Kommunikation zwischen Webservern und Clients (wie Webbrowsern) regelt. Im Wesentlichen ist es die Grundlage der Datenkommunikation im World Wide Web. Diese fortschrittliche Technologie führte schliesslich 2016 zur Gründung von Exeon Analytics als ETH-Spin-off.
Der Erfolg dieser Zusammenarbeit zeigt sich auch in der Entwicklung von neuen Modellen zur Erkennung von Malware-Kommunikation über HTTP-Netzwerke, die schnell und automatisiert Malware aufspürt, die sich bereits in Systemen eingenistet hat. Diese Methode wurde von einem breiteren Team, dass Dr. Vincent Lenders und Forscher wie Pavlos Lamprakis und Dr. Laurent Vanbever einschliesst, entwickelt und auf der DIMVA Konferenz in Bonn präsentiert.
Mit dieser Methode lassen sich so genannte «Advanced Persistent Threats» (APTs), also komplexe und vielschichte Cyberangriffe, äusserst wirkungsvoll entdecken. Wie wichtig die Erkennung solcher Angriffe ist, zeigt sich auch im Umstand, dass deren Bekämpfung ein zentraler Bestandteil der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) darstellt. Auch deshalb steht Exeon Analytics heute in der Bundesverwaltung im Einsatz.
Durch diese fortschrittlichen Forschungsarbeiten und der aktiven Zusammenarbeit mit der Privatwirtschaft stärkt armasuisse Wissenschaft und Technologie die Cyberdefence-Fähigkeiten des Bundes entscheidend. Damit übernimmt der Cyber-Defence Campus von armasuisse W+T eine zentrale Rolle in der Früherkennung von Trends, in der Erforschung innovativer Cyber-Technologien und in deren Einsatz zum Schutz von nationalen Interessen.