ESUKOM Best Practice Report
ESUKOM Best Practice Report
ESUKOM Best Practice Report
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Bericht AP5: „<strong>Best</strong>-Practise“-<br />
Dokument<br />
Sobald durch die Detection Engine eine potentiell schadhafte Applikation auf dem<br />
mobilen Endgerät gefunden wurde, werden entsprechende Alert-Metadaten<br />
veröffentlicht, welche eine Sperrung des Endgerätes für den Datendienst durch den<br />
iptables-IF-MAP-Client zur Folge haben.<br />
5.4 Anwendungsfall 4<br />
Der letzte Anwendungsfall beschäftigt sich mit der Kernanforderung der Anomalie-<br />
Erkennung. Kernpunkt dieses Anwendungsfalles ist das Erkennen von Abweichung<br />
gegenüber eines als „Normal“ definierten Verhaltens eines Endgerätes bzw. dessen<br />
Benutzers.<br />
Als konkreter Testfall wird dabei das häufige Zugreifen auf die sensiblen Informationen<br />
des Patienten-Daten-Dienstes durch ein mobiles Endgerät simuliert. Das entsprechende<br />
Gerät wird dabei zunächst von allen beteiligten Komponenten autorisiert. Anschließend<br />
wird auf diesen Gerät innerhalb eines gewissen Zeitfensters in einer Frequenz auf<br />
diesen Dienst zugegriffen, welcher soweit von dem gemessenen Normal-Verhalten<br />
abweicht, das durch die Detection Engine eine Anomalie erkannt wird und mittels Alert-<br />
Event ein Enforcement durch den iptables-IF-MAP-Client angestoßen wird. Die Policy-<br />
Definition für diesen Anwendungsfall ist in Abbildung 19 aufgeführt.<br />
Abbildung 19: Policy-Defintion zur Erkennung von Anomalien<br />
Die Metadaten, welche zum Zwecke der Anomalie-Erkennung von der Detection Engine<br />
analysiert werden, werden durch den Patientendaten-Dienst publiziert und sind in<br />
Abbildung 20 in Rot dargestellt.<br />
Copyright <strong>ESUKOM</strong>-Konsortium 2010-2012 Seite 31