Demonstrator 1: Erstellung und Austausch von Bedrohungsdaten zwischen lokalen Behörden
Partner: An dieser Demonstration nehmen zwei lokale Behörden teil, eine aus der spanischen Region Aragonien und eine aus der italienischen Region Venetien. Die technische Entwicklung wird von S2 Grupo unterstützt, einem spanischen Technologieunternehmen, das auf Cybersicherheit spezialisiert ist.
Beschreibung des Problems: Es wird ein Szenario für den Austausch von Bedrohungsdaten zwischen zwei zusammenarbeitenden europäischen Regionen (Aragonien und Venetien) eingeführt. Regierungen sind eines der Hauptziele von Angreifern der Cyberkriminalität und sind großen Risiken ausgesetzt, da sie wichtige Dienstleistungen wie Gesundheits-, Bildungs- und Sozialdienste anbieten. Um solche Risiken zu bekämpfen, verfügen beide Regionen über signifikant große relevante Datensätze, die mit Hilfe von Techniken zum Schutz der Privatsphäre (Privacy Preserving Machine Learning, PPML) gemeinsam genutzt werden können.
Einer der Schlüsselfaktoren bei der Bekämpfung der Cyberkriminalität ist seit jeher der Informationsaustausch zwischen verschiedenen öffentlichen oder privaten Organisationen. Der Austausch von Informationen über neue Techniken, Trends und Ziele von Cyberkriminellen oder sogar über laufende Kampagnen ist seit jeher gängige Praxis, um Angriffe zu verhindern oder zumindest in einem frühen Stadium zu erkennen oder ihre Auswirkungen abzuschwächen. In jüngster Zeit hat die Anwendung des maschinellen Lernens, z. B. Deep-Learning-Algorithmen, im Bereich der Cybersicherheit aufgrund ihrer Flexibilität und ihrer Fähigkeit, nicht nur mit bekannten, sondern auch mit unbekannten Bedrohungen (z. B. Zero-Day-Bedrohungen) fertig zu werden, erheblich an Popularität gewonnen. Da diese Algorithmen große Datenmengen benötigen, um trainiert zu werden, hat ihre zunehmende Popularität die Notwendigkeit der gemeinsamen Nutzung von Daten noch verstärkt.
Die gemeinsame Nutzung großer Datenmengen im Zusammenhang mit der Cybersicherheit durch verschiedene Stellen ist jedoch oft kompliziert, nicht nur wegen der Komplexität und Heterogenität der Daten, sondern auch wegen ihrer potenziellen Sensibilität. So könnte beispielsweise ein neuronales Netz darauf trainiert werden, Phishing-Kampagnen in einem Unternehmen zu erkennen, indem die E-Mails der Mitarbeiter untersucht und der Grad der Ähnlichkeit mit bestehenden Phishing-Kampagnen berechnet wird. Dies würde jedoch voraussetzen, dass das Unternehmen (und seine Mitarbeiter) die Erlaubnis zur Einsichtnahme in diese E-Mails erteilen, die private und sensible Informationen enthalten können. Außerdem zögern Unternehmen und Einzelpersonen, Daten über die Art und Weise, wie sie angegriffen wurden, weiterzugeben, insbesondere wenn die Angriffe erfolgreich waren, da sie nicht wollen, dass ihr öffentliches Image Schaden nimmt.
In diesem Demonstrationsprojekt werden beide teilnehmenden Organisationen (die Kommunalverwaltungen von Aragonien und Venetien) von den fortschrittlichen Datenaustauschmechanismen des HARPOCRATES-Rahmens profitieren, die es ihnen ermöglichen, private und sensible Informationen auszutauschen, ohne ihr öffentliches Image zu beschädigen oder gegen Datenschutzbestimmungen zu verstoßen. Ein solcher Mechanismus wird dazu beitragen, neue Indikatoren für Kompromittierungen und Bedrohungen zu sammeln und auszutauschen, so dass die Cybersicherheit so weit verbessert wird, dass sie mit der oben erwähnten Zunahme der Intelligenz und Raffinesse der Cyberkriminalität Schritt halten kann.
Geplante Demonstrationsanwendung: Der Demonstrator wird wie folgt umgesetzt:
- Aufbau von Datensätzen: einschließlich (1) Auswahl der Teilmenge von Benutzern/Hosts in jeder Organisation, die Teil des Datensatzes sein werden; (2) Wiederherstellung von Daten während der normalen Tätigkeit jeder Organisation und grundlegende Anonymisierung, um die Veröffentlichung der Datensätze für den Rest des Konsortiums zu ermöglichen; (3) Einspeisung von bösartigen Protokollen für die Erkennung von Bedrohungen und Experimente zur gemeinsamen Nutzung.
- Entwurf und Architektur der Plattform für Bedrohungsdaten: einschließlich (1) Entwurf des Demonstrators
Plattform, die die HARPOCRATES-Dienste nutzt und über die Bedrohungsdaten anonymisiert und gemeinsam genutzt werden; (2) Entwurf von Bedrohungsmodellen. - ML-Training mit anonymisierten Daten unter Nutzung der von HARPOCRATES entwickelten PPML-Dienste.
- Umsetzung und Bewertung des Demonstrators. Die Evaluierung umfasst (1) eine Analyse der Bedrohungslandschaft vor HARPOCRATES; (2) eine Charakterisierung der Bedrohungen und der zu ihrer Abwehr erforderlichen Daten; (3) einen Vergleich der vermeidbaren Bedrohungen mit und ohne HARPOCRATES-Dienste.