JP2022074721A - Security verification system and method - Google Patents
Security verification system and method Download PDFInfo
- Publication number
- JP2022074721A JP2022074721A JP2020185020A JP2020185020A JP2022074721A JP 2022074721 A JP2022074721 A JP 2022074721A JP 2020185020 A JP2020185020 A JP 2020185020A JP 2020185020 A JP2020185020 A JP 2020185020A JP 2022074721 A JP2022074721 A JP 2022074721A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- attacker
- profile
- security verification
- computer system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims abstract description 62
- 230000000694 effects Effects 0.000 abstract description 2
- 230000009471 action Effects 0.000 description 40
- 230000008569 process Effects 0.000 description 17
- 238000012545 processing Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 230000010365 information processing Effects 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000008685 targeting Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 241000136406 Comones Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000011949 advanced processing technology Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、コンピュータ機器から構成されるシステムのセキュリティの確保状況の検証を支援する技術に係り、特にサイバー攻撃を試みる攻撃者グループの挙動を機械的に再現することで攻撃への対策を可能とする技術に関する。 The present invention relates to a technique for supporting verification of the security assurance status of a system composed of computer devices, and in particular, it is possible to take countermeasures against attacks by mechanically reproducing the behavior of an attacker group attempting a cyber attack. Regarding the technology to do.
現在、様々な分野でITシステムとも呼称されるコンピュータシステムが利用されている。例えば、産業分野におけるコンピュータシステムである産業制御システムはIT技術の積極採用により多くのデータを処理できるようになり、高度な計測・制御処理や生産情報の管理を実現している。その一方で、これらコンピュータシステムにおいては、セキュリティ上の問題が顕在化している。例えば、産業分野を狙うサイバー攻撃は、ランサムウェアのようなコンピュータシステムを狙ったマルウェアが不意にシステム内部に侵入するケースもある。しかし、コンピュータシステムの破壊や生産・制御に関する営業秘密等の機密情報を狙ったAPTと呼ばれる高度な攻撃者による標的型攻撃も多い。 Currently, computer systems, also called IT systems, are used in various fields. For example, an industrial control system, which is a computer system in the industrial field, can process a large amount of data by actively adopting IT technology, and realizes advanced measurement / control processing and management of production information. On the other hand, security problems have become apparent in these computer systems. For example, in a cyber attack targeting the industrial field, malware targeting a computer system such as ransomware may suddenly invade the inside of the system. However, there are also many targeted attacks by advanced attackers called APTs that target confidential information such as computer system destruction and trade secrets related to production and control.
そのため、セキュリティを確保するために、コンピュータシステムに対して、事前にどのような攻撃や脅威が想定されるかを事前に予測し、識別した攻撃や脅威に対して効果的な対策を講じる必要がある。
この対策を行うために、例えば、特許文献1~3に示すような技術がある。
Therefore, in order to ensure security, it is necessary to predict in advance what kind of attacks and threats are expected to the computer system and take effective countermeasures against the identified attacks and threats. be.
In order to take this measure, for example, there are techniques as shown in Patent Documents 1 to 3.
特許文献1は、対象とするシステムによって達成すべきゴールと、当該ゴールを達成するためのゴールまたはタスク、あるいは、リソースのうち1以上とを要素として含むゴールモデルに、セキュリティを脅かす攻撃者のモデルの候補を提示する。本技術は「特定した攻撃者モデルデータの示す要素と、当該要素間の依存関係との情報から、同時成立しない前記要素を削除したときに悪意ゴールが達成されるか否かを判断し、同時成立しない前記要素を削除したときにも悪意ゴールが達成される場合は、当該攻撃者モデルデータを、当該攻撃者モデルデータの示す攻撃者モデルから同時成立しない当該要素を削除するとともに、当該要素を削除した場合に成立しない要素を削除した新たな攻撃者モデルを示すよう変更する」処理を実行することが開示されている。 Patent Document 1 is a model of an attacker who threatens security in a goal model including a goal to be achieved by the target system, a goal or task for achieving the goal, or one or more of resources as elements. Present candidates for. This technology determines whether or not the malicious goal is achieved when the element that does not hold at the same time is deleted from the information of the element indicated by the specified attacker model data and the dependency between the elements, and at the same time. If the malicious goal is achieved even when the element that does not hold is deleted, the attacker model data is deleted from the attacker model indicated by the attacker model data, and the element that does not hold at the same time is deleted. It is disclosed to execute the process of "changing to show a new attacker model in which an element that does not hold when deleted is deleted".
本技術によると、攻撃者がゴールを達成するまでの仮定を自動生成し、非熟練者であっても、熟練者と同等のレベルのセキュリティ分析を効率的に、かつ低コストで行えるよう支援することを目的とする。 According to this technology, it automatically generates assumptions until an attacker achieves a goal, and helps even an unskilled person to perform security analysis at the same level as a skilled person efficiently and at low cost. The purpose is.
特許文献2は、所定のビジネスに関する情報処理を実行する情報処理システムの脆弱性に関するリスクを評価する脆弱性リスク評価システムであって、前記情報処理システムは少なくとも一つの機器を含んでおり、前記情報処理システムの構成に関するシステム構成情報と、情報セキュリティに関するセキュリティ情報とに基づいて、前記機器の脆弱性を検出する脆弱性検出部と、前記検出された脆弱性を示す脆弱性ノードと前記機器を示す機器ノードとを対応付けて配置することで、前記検出された脆弱性が前記機器に生じさせうるリスクを評価するシステムである。本技術は下位の構成として、脆弱性に対応する攻撃順序を想定した攻撃シナリオ情報を一つ以上含んでおり、システム内の脆弱性に起因する攻撃シナリオとビジネスへの影響を機械的に評価するための仕組みを提供する。 Patent Document 2 is a vulnerability risk evaluation system that evaluates a risk related to a vulnerability of an information processing system that executes information processing related to a predetermined business, and the information processing system includes at least one device, and the information is described. Vulnerability detectors that detect vulnerabilities in the device, vulnerability nodes that indicate the detected vulnerabilities, and the devices are shown based on system configuration information related to the configuration of the processing system and security information related to information security. It is a system that evaluates the risk that the detected vulnerability may cause in the device by arranging it in association with the device node. As a subordinate configuration, this technology contains one or more attack scenario information assuming the attack order corresponding to the vulnerability, and mechanically evaluates the attack scenario caused by the vulnerability in the system and the impact on the business. Provide a mechanism for this.
特許文献3は、機器の機能を示す機能情報とサイバー攻撃の実行ステップの分類を示す攻撃分類情報とを記憶する情報記憶部と、訓練対象システムを構成する機器の情報を示すシステム構成情報が入力され、機能情報と攻撃分類情報とを対応付けた実行ステップを含む基本攻撃シナリオの機能情報を、この機能情報に対応するシステム構成情報の機器に書き換えて、訓練対象システムのシステム構成情報に合致した個別の攻撃シナリオである個別攻撃シナリオを生成するシナリオ生成部とを備える異常時対応の訓練装置である。訓練装置に入力されたシステム構成情報と、基本攻撃シナリオ情報を元に、攻撃分類や攻撃元-攻撃先の情報から攻撃シナリオを判定する。 In Patent Document 3, an information storage unit that stores functional information indicating the function of the device and attack classification information indicating the classification of the execution step of the cyber attack, and system configuration information indicating the information of the device constituting the training target system are input. Then, the functional information of the basic attack scenario including the execution step in which the functional information and the attack classification information are associated with each other is rewritten to the device of the system configuration information corresponding to this functional information, and matches the system configuration information of the training target system. It is a training device for abnormal situations equipped with a scenario generation unit that generates an individual attack scenario, which is an individual attack scenario. Based on the system configuration information input to the training device and the basic attack scenario information, the attack scenario is determined from the attack classification and attack source-attack destination information.
特許文献1~3の技術を活用することで、対象のコンピュータシステムに対してサイバー攻撃を試みる攻撃者グループの挙動を機械的に再現することが可能である。その一方で、より高度な攻撃を再現するためには、特許文献1記載の攻撃者モデルに加え、攻撃者のシステム侵入時の挙動や、攻撃活動によって変化するコンピュータシステム内部環境などを踏まえる必要がある。 By utilizing the techniques of Patent Documents 1 to 3, it is possible to mechanically reproduce the behavior of an attacker group attempting a cyber attack on a target computer system. On the other hand, in order to reproduce a more advanced attack, in addition to the attacker model described in Patent Document 1, it is necessary to consider the behavior of the attacker when the system invades and the internal environment of the computer system that changes depending on the attack activity. be.
例えば、コンピュータシステム侵入後に、攻撃者がコンピュータシステムに置かれている状況を把握する。そして、次に実施するアクション(攻撃ツールや障壁を突破するための技術)を判断するには、攻撃者が利用可能な攻撃手法や攻撃能力を元に、攻撃者のシステム内部の挙動によって動的に変化する攻撃者の制約条件を含めて挙動を再現する必要がある。 For example, after a computer system breaks in, the attacker is placed on the computer system. Then, in order to determine the next action (attack tool or technique for breaking through barriers), it is dynamic based on the attacker's internal behavior based on the attack method and attack capability available to the attacker. It is necessary to reproduce the behavior including the constraints of the attacker that changes to.
そこで、本発明の目的は、コンピュータシステム内部の攻撃者の挙動を含む高度な攻撃者の挙動を再現することである。 Therefore, an object of the present invention is to reproduce advanced attacker behavior including the behavior of an attacker inside a computer system.
上記課題を解決するために、本発明では、攻撃者プロファイルとシステムプロファイルに基づき攻撃シナリオを生成する。 In order to solve the above problems, the present invention generates an attack scenario based on the attacker profile and the system profile.
より具体的には、コンピュータシステムでのセキュリティ確保状況を検証するためのセキュリティ検証システムにおいて、攻撃者の攻撃の特性を示す特性情報である攻撃者プロファイルと、攻撃対象であるコンピュータシステム特徴を示すシステムプロファイルを受け付ける入力部と、前記攻撃者プロファイルおよび前記システムプロファイルを用いて、前記攻撃者の攻撃の進捗を示す攻撃ステータスを特定する攻撃ステータス管理部と、前記攻撃ステータスを用いて、前記攻撃者の攻撃が成功するかを判定する攻撃成否判定部とを有し、前記攻撃ステータス管理部は、前記攻撃成否判定部での判定結果を含み、前記コンピュータシステムに対する攻撃の内容を示す攻撃シナリオを作成するセキュリティ検証システムである。また、このセキュリティ検証システムを用いたセキュリティ検証方法も本発明の一形態に含まれる。 More specifically, in a security verification system for verifying the security assurance status in a computer system, an attacker profile, which is characteristic information indicating the characteristics of an attacker's attack, and a system indicating the characteristics of the computer system to be attacked. An input unit that accepts a profile, an attack status management unit that specifies an attack status indicating the progress of an attack by the attacker using the attacker profile and the system profile, and an attack status management unit that uses the attack status to identify the attacker. It has an attack success / failure determination unit that determines whether or not the attack is successful, and the attack status management unit creates an attack scenario that includes the determination result of the attack success / failure determination unit and indicates the content of the attack on the computer system. It is a security verification system. Further, a security verification method using this security verification system is also included in one form of the present invention.
さらに、本発明には、セキュリティ検証システムをコンピュータとして機能させるためのコンピュータプログラムやこれを格納した記憶媒体も本発明に含まれる。 Further, the present invention also includes a computer program for operating the security verification system as a computer and a storage medium in which the computer program is stored.
本発明によれば、システム上の攻撃者の挙動の分析をより正確に実行することが可能になる。 According to the present invention, it is possible to perform more accurate analysis of the behavior of an attacker on a system.
以下、図面を用いて本発明の一実施例を説明する。なお、各図面において同一の構成については同一の符号を付し、重複する部分についてはその詳細な説明は省略する。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings. In each drawing, the same components are designated by the same reference numerals, and the detailed description of the overlapping portions will be omitted.
図1に、本実施例におけるセキュリティ検証システム100の概念の全体像を示す。より具体的には、図1は本実施例の入力データと出力データの関係を示す。つまり、セキュリティ検証システム100は、コンピュータシステムに関する攻撃に関するプロファイルI101、攻撃者プロファイルI102を入力とし、攻撃シナリオ一覧O101を出力する。このような処理をすることで、セキュリティ検証システム100は、攻撃者の攻撃の再現ないし攻撃の想定ができ、これらが成功したかを特定することが可能になる。このため、セキュリティ検証システム100を用いることで、コンピュータシステムのセキュリティを検証できる。
FIG. 1 shows an overall picture of the concept of the
なお、後述するように、セキュリティ検証システム100は、コンピュータプログラムに従って機能するコンピュータで実現することが望ましい。また、セキュリティ検証システム100は、専用情報処理装置として実現してもよい。
As will be described later, it is desirable that the
次に、図2にセキュリティ検証システム100の機能構成を示す。セキュリティ検証システム100は、攻撃検証部110、および攻撃成立条件情報DB120を記憶する記憶部を有する。また、攻撃検証部110は、攻撃ステータス管理部111、ステータス履歴記録部112、攻撃成否判定部113および入力部114から構成される。
Next, FIG. 2 shows the functional configuration of the
セキュリティ検証システム100は、図1で説明したように、入力情報としてシステムプロファイルI101、および攻撃者プロファイルI102を扱う。セキュリティ検証システム100は前記の入力情報を元に、入力したシステムプロファイルに対応するシステム上の攻撃者挙動のエミュレート処理を実行し、攻撃者挙動のトレース情報を攻撃シナリオO101として生成する。攻撃シナリオO101は複数のケースが想定されるため、想定もしくは再現可能な複数のケースを生成する。
As described with reference to FIG. 1, the
攻撃検証部110は、主にシステムプロファイルI101と攻撃者プロファイルI102に基づいて、システム構成情報と攻撃者の特性情報を判定し、攻撃の成立可否を判定する。攻撃検証部110の攻撃の成立可否の判定は、攻撃者プロファイルI102にて設定した攻撃の最終目標が達成可能かするまで処理を継続する。そして、攻撃目標が達成された場合は攻撃者の初期ポイントから攻撃目標達成までの攻撃者の挙動を、攻撃目標が達成されなかった場合は、初期ポイントから攻撃目標が達成できないと判定されたポイントまでの攻撃者の挙動を再現する。
The
攻撃検証部110は、下位の構成として攻撃ステータス管理部111、ステータス履歴記録部112、および攻撃成否判定部113から構成される。攻撃検証部110は、システムプロファイルI101と攻撃者プロファイルI102からシステム構成情報と攻撃者のシステム構成上の攻撃開始ポイントを解析する。そして、攻撃者挙動のエミュレート処理の開始条件を解決し、開始点から最終目標が達成、もしくは達成不可と判定するまで、攻撃者のステータス情報の更新処理を継続する。
The
また、入力部114は、システムプロファイルI101と攻撃者プロファイルI102を、外部から受け付ける。なお、システムプロファイルI101と攻撃者プロファイルI102が記憶部に格納されている場合、攻撃検証部110が記憶部からこれを読み込んでもよい。
Further, the
ここで、セキュリティ検証システム100をコンピュータで実現する場合のシステム構成を説明する。セキュリティ検証システム100は、PC特に、いわゆるスタンドアローンで実現できるが、本実施例ではクラウド化されたシステムで説明する。図8に、クラウド化した本実施例のシステム構成図を示す。
Here, a system configuration when the
図8において、セキュリティ検証システム100は、ネットワーク31およびネットワーク32を介して、検証対象であるコンピュータシステム40と接続されている。ここで、ネットワーク31およびネットワーク32は、それぞれセキュリティ検証システム100およびコンピュータシステム40の管掌元が管掌するイントラネットで実現することが望ましい。但し、これら各ネットワークは1つのネットワークで構成されてもよい。
In FIG. 8, the
また、セキュリティ検証システム100は、ネットワーク31を介して、端末装置21と接続されている。端末装置21は、セキュリティ検証システム100の利用を可能とするもので、利用者の操作に従って機能する。
Further, the
さらに、コンピュータシステム40は、ネットワーク32を介して、端末装置22と接続されている。端末装置22も、コンピュータシステム40の利用を可能とするもので、利用者の操作に従って機能する。なお、端末装置21および端末装置22は、コンピュータ、つまり、PC、スマートフォン、タブレットで実現できる。
Further, the
ここで、検証対象であるコンピュータシステム40は、HDDやSDDで実現される補助記憶装置に自身のシステムプロファイルを記憶することが望ましい。
Here, it is desirable that the
また、本実施例の主たる構成であるセキュリティ検証システム100は、以下の構成を有する。つまり、CPUの如き情報処理や演算を実行する処理部11、他装置に対して情報の入出力を行う通信I/F12、メモリのような主記憶装置13およびHDDやSSDのような内蔵ストレージたる補助記憶装置14である。処理部11は、主記憶装置13に格納された各種プログラムに従って、情報処理や演算を実行する。なお、各種プログラムは、インターネットを介して配信することや、記憶媒体に格納され流通することが可能である。
Further, the
また、通信I/F12は、ネットワーク31と接続され、通信機能を有する。通信機能としては、処理部11で実行した演算結果を出力したり、演算に必要な情報の入力を受け付けたりする。なお、本実施例では、セキュリティ検証システム100は、がサーバ装置で実現されるため、通信I/F12とネットワーク31が接続される。但し、セキュリティ検証システム100自体で処理をクローズするスタンドアローンで実現する場合、上述の通信機能を省略してもよい。また、通信I/F12に、利用者からの入力を受け付けたり、利用者に対する情報を表示したりする機能を設けてもよい。
Further, the communication I /
また、主記憶装置13は、本実施例での主たる情報処理や演算を実行するための各プログラムを格納する。プログラムには、攻撃ステータス管理プログラム131、攻撃成否判定プログラム132およびステータス履歴記録プログラム133が含まれる。ここで、図2の各部は、これら各プログラムと同様の機能の実行を可能とするものであり、その対応関係は以下のとおりである。
攻撃ステータス管理部111:攻撃ステータス管理プログラム131
ステータス履歴記録部112:ステータス履歴記録プログラム133
攻撃成否判定部113:攻撃成否判定プログラム132
なお、図2の入力部114は、図8の通信I/F12に対応する。
Further, the
Attack status management unit 111: Attack
Status history recording unit 112: Status history recording program 133
Attack success / failure determination unit 113: Attack success /
The
また、補助記憶装置14は、処理部11で実行される情報処理や演算に利用されたり、処理結果である各種情報を格納したりする。具体的には、補助記憶装置14は、システムプロファイルI101、攻撃者プロファイルI102、攻撃シナリオ一覧O101および攻撃成立条件情報120を格納する。これらの内容については、後述する。
Further, the
また、記憶媒体70は、システムプロファイルI101および攻撃者プロファイルI102を格納する。そして、セキュリティ検証システム100もしくは端末装置21が、この記憶媒体70に格納された各データを読み込むことが可能である。
Further, the
なお、以上の図8は、コンサル業者がセキュリティ検証システム100を管掌し、その顧客のコンピュータシステム40の検証する場合に好適である。
Note that FIG. 8 above is suitable when the consultant is in charge of the
以上で、本実施例の構成の説明を終了し、次に、本実施例の処理について説明する。以下では、図2に示す各部をその処理主体として、説明する。図3は、攻撃ステータス管理部111の処理フローを示すフローチャートである。攻撃ステータス管理部111は、入力部114を介して、外部から入力されたシステムプロファイルI101および攻撃者プロファイルI102を読み込む(S301、S302)。ここで、外部からとは、図8に示すように、記憶媒体70からの入力、補助記憶装置14から読み出すことも含まれる。さらに、ネットワーク31を介してこれらの情報を受け付けてもよい。この場合、コンピュータシステム40のシステムプロファイルI101を受け付けることが望ましい。
This is the end of the description of the configuration of this embodiment, and then the processing of this embodiment will be described. In the following, each part shown in FIG. 2 will be described as the processing subject. FIG. 3 is a flowchart showing a processing flow of the attack
次に、攻撃ステータス管理部111は、読み込んだ攻撃者プロファイルI102から攻撃者の目標、すなわち、攻撃の最終目標となる検証対象のコンピュータシステム40のコンポーネントと、目標達成に必要なアクションを判定する(S303)。ここで、攻撃の最終目標となるコンポーネント、および目標達成に必要なアクションの例として、PLC(コンポーネント)に対して不正に論理を改ざんする(アクション)ことが一例として挙げられる。また、現場PC(コンポーネント)に対して現場に関する機密情報を搾取する(アクション)ことも、一例として挙げられる。
Next, the attack
次に、攻撃ステータス管理部111は、読み込んだシステムプロファイルI101から、コンピュータシステム40の構成上の攻撃者の攻撃開始ポイントを判定する(S304)。
Next, the attack
そして、攻撃ステータス管理部111は、攻撃開始ポイントに基づき、初期の攻撃ステータスを設定する(S305)。ここで、初期の攻撃ステータス、つまり、その初期値は、入力された攻撃者プロファイルからロードされた攻撃開始ポイント、攻撃の最終目標となるコンポーネント、および目標達成に必要な攻撃アクションであることが望ましい。
Then, the attack
次に、攻撃ステータス管理部111は、目標達成に必要な攻撃アクションを、ステップS305で設定された初期値から選択し、選択した攻撃アクションを実行する(S306)。この攻撃アクションは、シミュレーション上での実行であってもよいし、実際に実行してもよい。この攻撃アクションの実行の際、攻撃ステータス管理部111は、当該攻撃アクションが成立するか否かを攻撃成否判定部113に問い合わせる。
Next, the attack
攻撃成否判定部113は、攻撃ステータス管理部111から受け取った攻撃者の現在のステータス情報と、次に試行する攻撃アクション情報から、その攻撃が成立するか否かを判断する。その判断に当たっては、セキュリティ検証システム100の構成要素である攻撃成立条件情報120から攻撃が成立するための必要条件を取得し、攻撃成立可否を判断する。攻撃ステータス管理部111は、攻撃成否判定部113から次の攻撃アクションの攻撃成否を判定する(S307)。この結果、攻撃成立が成功(Y)であれば、ステップS308に進む。また、攻撃ステータスを更新し、次の攻撃アクションを選択する。
The attack success /
また、攻撃成立が否(N)であれば、ステップS306に戻る。これは、当該条件において次の攻撃アクションが成立しなかったものとして次の攻撃アクション候補があれば、当攻撃が成立するか否かを検証することを意味する。 If the attack is not established (N), the process returns to step S306. This means that if there is a next attack action candidate as if the next attack action was not established under the relevant conditions, it is verified whether or not this attack is established.
以上のようにして、ステップS307では、は攻撃プロファイルに定義された最終目標を達成するか、もしくは攻撃アクションの候補がなくなり、最終目標が達成困難と判断されるまで処理を継続する。 As described above, in step S307, the process is continued until the final target defined in the attack profile is achieved, or there are no candidates for the attack action and it is determined that the final target is difficult to achieve.
以上のような各ステップを実行し、攻撃ステータス管理部111は、最終目標を達成するか、最終目標が達成困難と判断された場合に、攻撃開始位置からの一連の攻撃アクションを一覧として生成する(S308)。
After executing each step as described above, the attack
次に、図4にセキュリティ検証システム100の入力情報であるシステムプロファイルI101、および攻撃者プロファイルI102を示す。システムプロファイルI101は、検証対象であるコンピュータシステム40に関し、その特徴を示す情報である。その一例として、図示ように、ネットワークプロファイル401、コンポーネントプロファイル402および物理プロファイル403を含む。ネットワークプロファイル401は、2つ以上のコンポーネントが接続するネットワークの構成に関する定義情報を示す情報である。
Next, FIG. 4 shows a system profile I101 and an attacker profile I102, which are input information of the
また、コンポーネントプロファイル402は、接続先ネットワークや物理的な配置場所、構成されるハードウェアやインストールされたソフトウェア(OSやアプリケーションなどの情報)に関する情報を定義する情報である。さらに、物理プロファイル403は、コンポーネントプロファイル402と、コンポーネントが配置される物理的なサイトに関する情報を定義する情報である。
Further, the
ここで、ネットワークプロファイル401は、たとえばLANセグメント(有線・無線)やインターネットなどの不特定多数が接続するネットワーク、USBやRS-232C等を用いたシリアル通信などのピアネットワークなどが定義される。また、コンポーネントプロファイル402は、ハードウェアの情報として、たとえばワークステーションなどのアプリケーションソフトウェアを動作するためのホストデバイスや、特定機能の実行に特化した組込みデバイスのケースもある。但し、特定の製品型番といった具体的な製品を指す場合もある。これらハードウェア、およびソフトウェアの情報はCPE(Common Platform Enumeration)形式、もしくはCPEに相当するコンピュータ資産管理情報を保存するためのデータ形式の場合もある。
Here, the
ここで、図5に、システムプロファイルI101に含まれるネットワークプロファイル401、コンポーネントプロファイル402、および物理プロファイル403の具体例を示す。
Here, FIG. 5 shows specific examples of the
ここで、攻撃者プロファイルI102は、エミュレートする攻撃者の特性を示す特性情報について定義する。攻撃者プロファイルI102は、少なくとも以下を含む。それは、攻撃者の最終目標である攻撃目標と、攻撃者のシステム上の攻撃開始ポイントを示す攻撃開始ポイントと、攻撃者がどのような攻撃技術・手法を持っているか、どの程度の攻撃リソース(能力)について定義するパラメタ情報とである。このうち、攻撃目標は、たとえば攻撃目標とするコンポーネント情報、および目標を達成する条件について規定する。たとえば、「攻撃目標はPLC××に対して、制御ロジックを不正変更すること(Modify Control Logic)」が攻撃目標として定義される内容例である。すなわち、攻撃目標は最終的な攻撃対象(前述のコンポーネントプロファイル402として定義されている必要がある)と攻撃アクションとの組み合わせとなる。攻撃アクションは事前にデータベース化されており、攻撃成立条件情報120で定義されたエントリと一致する項目を利用する。
Here, the attacker profile I102 defines characteristic information indicating the characteristics of the emulated attacker. The attacker profile I102 includes at least: It is the attack target that is the final target of the attacker, the attack start point that indicates the attack start point on the attacker's system, what kind of attack technique / method the attacker has, and how much attack resource ( It is the parameter information that defines the ability). Of these, the attack target defines, for example, component information to be the attack target and conditions for achieving the target. For example, "the attack target is to illegally change the control logic for PLCXX (Modify Control Logic)" is an example of the content defined as the attack target. That is, the attack target is a combination of the final attack target (which needs to be defined as the
また、攻撃アクションとして選択されるものの例として、STRIDEなどの脅威モデリング手法によって識別された脅威事象(例えば情報漏洩やサービス不能、情報改ざん)の場合もあれば、ATT&CK(R)(米国登録商標)に定義されたTacticsやTechnique、もしくはTechniqueを実現する具体的な攻撃ツールや手段(例えばMimikatzやMetasploitの攻撃モジュール、nmapのコマンド例など)の形式で表現される。 In addition, as an example of what is selected as an attack action, there are cases of threat events identified by threat modeling methods such as STRIDE (for example, information leakage, service inability, information tampering), and ATT & CK (R) (US registered trademark). It is expressed in the form of a specific attack tool or means (for example, an attack module of Mimikatz or Metasploit, a command example of nmap, etc.) that realizes Tactics or Techniques defined in.
攻撃開始ポイントは、攻撃者の攻撃開始ポイントを定義する。攻撃開始ポイントはシステムプロファイルにて定義されたエンティティが規定される。具体的には、ネットワークプロファイル401にて定義されたネットワークエンティティ、コンポーネントプロファイル402で定義されたコンポーネントエンティティ、または物理プロファイル403で定義された物理的な場所を示す物理エンティティである。攻撃手法・攻撃能力では攻撃者の攻撃能力や利用可能な手法を定義する。攻撃手法は、前述の攻撃アクションと同じ項目が入力され、複数存在する場合は複数定義する。一般的に、攻撃能力が高い攻撃者ほど、多くの攻撃手法が利用可能である。
The attack start point defines the attack start point of the attacker. The attack start point is defined by the entity defined in the system profile. Specifically, it is a network entity defined in
尚、攻撃者プロファイルで定義する攻撃者は、単一の攻撃者の場合もあれば、複数の攻撃者(Advanced Persistence Threat)の場合もある。 攻撃ステータス管理部111は、以上で詳細を説明したシステムプロファイル情報I101および攻撃者プロファイル情報I102から情報を読み込み、初期の攻撃ステータス情報を設定し、図3を用いて説明した処理フローを開始する。
The attacker defined in the attacker profile may be a single attacker or a plurality of attackers (Advanced Persistence Threat). The attack
次に、図6に攻撃ステータス管理部111で管理する攻撃者ステータスの一例を示す。攻撃者ステータスI102は、攻撃者プロファイルI102から入力した攻撃目標から目標コンポーネントと目標条件を設定する。これは、攻撃者プロファイルI102が変更しない限り固定値である。本実施例の検証(攻撃)を行っているその際のポイントは攻撃者のシステムにおける現在の位置を示す。たとえば、前述のネットワークエンティティ、コンポーネントエンティティ、または物理エンティティの識別名が入力される。つまり、攻撃者ステータスは、攻撃における進捗を示している。
Next, FIG. 6 shows an example of the attacker status managed by the attack
検証を行っている際のポイントはネットワークエンティティ、コンポーネントエンティティ、または物理的な場所のエンティティとして定義される。次攻撃アクションは、攻撃者が次に実行する攻撃アクションの情報を示す。次攻撃アクションは攻撃目標と目標を達成するための攻撃者の判断ロジックから決定される。 The point during validation is defined as a network entity, a component entity, or an entity in a physical location. The next attack action indicates information on the next attack action to be executed by the attacker. The next attack action is determined by the attack target and the attacker's decision logic to achieve the target.
なお、この攻撃者の判断ロジックは攻撃成否判定部113で実行され、攻撃アクションが成功した場合に、攻撃の成功可否に加えて次の攻撃アクションについても攻撃ステータス管理部111へ応答する。この攻撃判断ロジックは事例に基づくモデル化された攻撃者のTTPに従い、静的もしくは動的に決定される。尚、攻撃者プロファイルI102の初期読み込みの際は攻撃者の攻撃開始ポイントおよび攻撃判断ロジックによって決定される。
The attacker's determination logic is executed by the attack success /
攻撃手法・攻撃能力は攻撃者プロファイルで定義された攻撃者の攻撃能力や利用可能な手法を定義する。これは、目標コンポーネントと目標条件と同様、攻撃者プロファイルI102が変更しない限り固定値である。
ここで、図7に、本実施例における攻撃アクション判定処理のフローチャートを示す。攻撃成否判定部113は、攻撃者ステータスI102を読み込む(S601)。
Attack method / attack ability defines the attack ability and available methods of the attacker defined in the attacker profile. This is a fixed value unless the attacker profile I102 changes, as well as the target component and target condition.
Here, FIG. 7 shows a flowchart of the attack action determination process in this embodiment. The attack success /
そして、攻撃成否判定部113は、次攻撃アクションと攻撃者ステータス内の攻撃手法・攻撃能力から、攻撃手法の候補を網羅、すなわち、特定する(S602)。ここで攻撃手法は、その実行により次攻撃アクションが達成できるものを抽出する。例えば、ATT&CK(R)(米国登録商標)に定義されたあるTacticsが次攻撃アクションとして定義されている場合、当該Tacticsを実現するTechniqueから攻撃手法となる候補を抽出する。
Then, the attack success /
次に、攻撃成否判定部113は、攻撃手法の候補が存在するか判断する(S603)。この結果、攻撃手法の候補が一つ以上存在すると判断した場合(Y)、ステップS604に進む。また、攻撃手法の候補が存在しないと判断した場合(N)、ステップS608に進む。
Next, the attack success /
そして、攻撃成否判定部113は、ステップS602で存在すると判断された当該攻撃手法を試行する(S604)。
Then, the attack success /
次に、攻撃成否判定部113が、ステップS604で試行された攻撃手法が成功したか、つまり、試行結果を判断し、これを攻撃ステータス管理部111へ応答する(S605)。この結果、成功したと判断した場合は、ステップS606に進む。また、成功しなかったと判断した場合は、ステップS603に戻る。この結果、ステップS603では、攻撃成否判定部113は、別の攻撃手法を試行する。
Next, the attack success /
そして、ステータス履歴記録部112が、攻撃者ステータス情報I102を更新する。
Then, the status
次に、攻撃成否判定部113は、自身で決定する攻撃ステップに従い、攻撃手法の候補が無くなるまで、つまり、最終目標まで攻撃の試行を継続する。攻撃成否判定部113は、この結果各攻撃候補が失敗することなく、最終目標となるコンポーネントに到達し、最終目標となる攻撃アクションを実施し、それが成功したかを判断する(S607)。
Next, the attack success /
この結果は、成功、つまり、最終目標を達成した場合(Y)、ステップS608に進む。また、最終目標を達成しない場合(N)、ステップS603に戻る。 If this result is successful, that is, if the final goal is achieved (Y), the process proceeds to step S608. If the final goal is not achieved (N), the process returns to step S603.
そして、ステータス履歴記録部112は、これまで試行した攻撃アクションの一覧を生成し、攻撃シナリオ一覧O101として出力する(S608)。このことで、攻撃手法の候補が無くなり、攻撃が失敗した場合も、攻撃失敗までに至った攻撃アクションの一覧を生成し、攻撃シナリオ一覧O101として出力することが可能になる。
Then, the status
尚、攻撃が成功した後に次のターゲットに対してアクセス可能かどうかは、攻撃アクションとシステムプロファイルに依存する。すなわち、次ターゲットとなるコンポーネント、ネットワーク、または物理エリアに対して隣接し、アクセスを達成するための攻撃アクションがすべて達成されたかによる。例えば、ある攻撃アクションにより、あるコンポーネントに対してユーザレベルのシェル操作アクセスを奪還した場合、次ターゲットへアクセスためには、以下の(1)~(4)の攻撃がなされる。(1)ターゲット上で権限昇格した後にネットワーク制御機能のフルアクセス権限を奪還した後に、(2)次のターゲットをネットワーク経由でスキャンし、(3)次ターゲットの脆弱性を探索した上で、(4)次ターゲットへアクセスするための攻撃を仕掛ける。 Whether or not the next target can be accessed after a successful attack depends on the attack action and the system profile. That is, it depends on whether all attack actions have been achieved to achieve access, adjacent to the next target component, network, or physical area. For example, when a user-level shell operation access is regained for a certain component by a certain attack action, the following attacks (1) to (4) are performed in order to access the next target. After (1) regaining full access privileges for the network control function after privilege escalation on the target, (2) scanning the next target via the network, (3) searching for vulnerabilities in the next target, and then ((3) 4) Launch an attack to access the next target.
これは、同一ネットワーク上に次のターゲットが存在している前提となり、システム構成(すなわあち,システムプロファイル)に依存する。したがって、攻撃成否判定部113が、次攻撃アクションが成功するか否かはシステムプロファイルによって決定される。攻撃成否判定部113の攻撃選定ロジックは攻撃成否を判定するシステムプロファイル条件(本条件は攻撃成立条件情報120の一部として含まれる)を検証する機能を有する。そして、攻撃ステータス管理部111が要求した攻撃アクションの攻撃成否判定処理において、攻撃者ステータス情報とシステムプロファイルとを照合する。この結果、攻撃手法・攻撃能力として攻撃成功条件を満たしていても、システムプロファイルの条件が不一致の場合は攻撃失敗として判定する。
This is premised on the existence of the following targets on the same network, and depends on the system configuration (that is, the system profile). Therefore, whether or not the attack success /
また、システムプロファイルの条件として、ネットワーク構成上の制約の他、攻撃者が利用可能な脆弱性の有無、セキュリティコントロールの有無によって判定する。脆弱性はコンポーネントプロファイル402と紐づけられたものを抽出し、その中で利用可能な脆弱性があれば、攻撃が成立すると判断することもできる。たとえば、CVE(Common Vulnerability Enumeration)識別情報が割り当てられた脆弱性情報と、コンポーネントプロファイル402の資産情報(CPE)等とを紐づけることで、脆弱性情報とコンポーネントプロファイル402とを関連付けることも可能である。
In addition, as a condition of the system profile, it is determined based on the presence / absence of vulnerabilities that can be used by an attacker and the presence / absence of security control, in addition to restrictions on the network configuration. As for the vulnerabilities, those associated with the
以上で、本実施例の説明を終了する。なお、本実施例によれば、産業分野の産業制御システム等を狙ったセキュリティ攻撃パターンの自動識別することが可能になる。また、制約条件を含む挙動に基づく分析が可能となり、攻撃者のTTP(Tactics、Techniques and Procedures)を踏まえた、攻撃者のシステム侵入後の挙動をベースとした攻撃シナリオを識別可能となる。 This is the end of the description of this embodiment. According to this embodiment, it is possible to automatically identify security attack patterns targeting industrial control systems and the like in the industrial field. In addition, analysis based on behavior including constraints can be performed, and an attack scenario based on the attacker's behavior after system intrusion can be identified based on the attacker's TTP (Tactics, Tactics and Procedures).
100…セキュリティ検証システム
110…攻撃検証部
111…攻撃ステータス管理部
112…ステータス履歴記録部
113…攻撃成否判定部
120…攻撃成立条件情報
I101…システムプロファイル
I102…攻撃者プロファイル
O101…攻撃シナリオ一覧
401…ネットワークプロファイル
402…コンポーネントプロファイル
403…物理プロファイル
100 ...
Claims (10)
攻撃者の攻撃の特性を示す特性情報である攻撃者プロファイルと、攻撃対象であるコンピュータシステム特徴を示すシステムプロファイルを受け付ける入力部と、
前記攻撃者プロファイルおよび前記システムプロファイルを用いて、前記攻撃者の攻撃の進捗を示す攻撃ステータスを特定する攻撃ステータス管理部と、
前記攻撃ステータスを用いて、前記攻撃者の攻撃が成功するかを判定する攻撃成否判定部とを有し、
前記攻撃ステータス管理部は、前記攻撃成否判定部での判定結果を含み、前記コンピュータシステムに対する攻撃の内容を示す攻撃シナリオを作成するセキュリティ検証システム。 In a security verification system for verifying the security assurance status in a computer system,
An attacker profile that is characteristic information indicating the characteristics of an attacker's attack, an input unit that accepts a system profile that indicates the characteristics of the computer system that is the target of the attack, and an input unit.
Using the attacker profile and the system profile, an attack status management unit that identifies an attack status indicating the progress of the attacker's attack, and an attack status management unit.
It has an attack success / failure determination unit that determines whether or not the attacker's attack is successful using the attack status.
The attack status management unit is a security verification system that includes a determination result in the attack success / failure determination unit and creates an attack scenario indicating the content of an attack on the computer system.
前記攻撃成否判定部は、前記システムプロファイルを用いて判定を行うセキュリティ検証システム。 In the security verification system according to claim 1,
The attack success / failure determination unit is a security verification system that makes a determination using the system profile.
前記システムプロファイルは、前記コンピュータシステムにおける前記攻撃者の攻撃位置、前記コンピュータシステムを構成するコンポーネントの構成および前記コンピュータシステムの脆弱性の少なくとも1つを含むセキュリティ検証システム。 In the security verification system according to claim 2,
The system profile is a security verification system including at least one of the attack position of the attacker in the computer system, the configuration of the components constituting the computer system, and the vulnerability of the computer system.
前記攻撃ステータスは、前記コンピュータシステムを構成する複数のコンポーネントのうち、前記攻撃が到達したコンポーネントであるセキュリティ検証システム。 In the security verification system according to claim 1,
The attack status is a security verification system that is a component reached by the attack among a plurality of components constituting the computer system.
前記入力部は、前記システムプロファイルを、ネットワークを介して前記コンピュータシステムから受け付けるセキュリティ検証システム。 In the security verification system according to claim 1,
The input unit is a security verification system that receives the system profile from the computer system via a network.
前記セキュリティ検証システムの入力部により、攻撃者の攻撃の特性を示す特性情報である攻撃者プロファイルと、攻撃対象であるコンピュータシステム特徴を示すシステムプロファイルを受け付け、
前記セキュリティ検証システムの攻撃ステータス管理部により、前記攻撃者プロファイルおよび前記システムプロファイルを用いて、前記攻撃者の攻撃の進捗を示す攻撃ステータスを特定し、
前記セキュリティ検証システムの攻撃成否判定部により、前記攻撃ステータスを用いて、前記攻撃者の攻撃が成功するかを判定し、
前記攻撃ステータス管理部により、前記攻撃成否判定部での判定結果を含み、前記コンピュータシステムに対する攻撃の内容を示す攻撃シナリオを作成するセキュリティ検証方法。 In the security verification method using the security verification system for verifying the security assurance status in the computer system,
The input unit of the security verification system accepts an attacker profile, which is characteristic information indicating the characteristics of an attacker's attack, and a system profile indicating the characteristics of the computer system to be attacked.
The attack status management unit of the security verification system uses the attacker profile and the system profile to identify the attack status indicating the progress of the attacker's attack.
The attack success / failure determination unit of the security verification system uses the attack status to determine whether the attacker's attack is successful.
A security verification method in which the attack status management unit creates an attack scenario that includes a determination result in the attack success / failure determination unit and indicates the content of an attack on the computer system.
前記攻撃成否判定部では、前記システムプロファイルを用いて判定を行うセキュリティ検証方法。 In the security verification method according to claim 6,
The attack success / failure determination unit is a security verification method in which a determination is made using the system profile.
前記システムプロファイルは、前記コンピュータシステムにおける前記攻撃者の攻撃位置、前記コンピュータシステムを構成するコンポーネントの構成および前記コンピュータシステムの脆弱性の少なくとも1つを含むセキュリティ検証方法。 In the security verification method according to claim 7,
The system profile is a security verification method including at least one of the attack position of the attacker in the computer system, the configuration of the components constituting the computer system, and the vulnerability of the computer system.
前記攻撃ステータスは、前記コンピュータシステムを構成する複数のコンポーネントのうち、前記攻撃が到達したコンポーネントであるセキュリティ検証方法。 In the security verification method according to claim 6,
The attack status is a security verification method in which the attack has reached a component among a plurality of components constituting the computer system.
前記入力部により、前記システムプロファイルを、ネットワークを介して前記コンピュータシステムから受け付けるセキュリティ検証方法。 In the security verification method according to claim 6,
A security verification method in which the system profile is received from the computer system via a network by the input unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020185020A JP7474679B2 (en) | 2020-11-05 | 2020-11-05 | Security verification system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020185020A JP7474679B2 (en) | 2020-11-05 | 2020-11-05 | Security verification system and method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022074721A true JP2022074721A (en) | 2022-05-18 |
JP7474679B2 JP7474679B2 (en) | 2024-04-25 |
Family
ID=81605629
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020185020A Active JP7474679B2 (en) | 2020-11-05 | 2020-11-05 | Security verification system and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7474679B2 (en) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7211429B2 (en) | 2018-11-22 | 2023-01-24 | 日本電気株式会社 | Information processing device, control method, and program |
WO2020195229A1 (en) | 2019-03-28 | 2020-10-01 | 日本電気株式会社 | Analysis system, method, and program |
-
2020
- 2020-11-05 JP JP2020185020A patent/JP7474679B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP7474679B2 (en) | 2024-04-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2498198B1 (en) | Information system security based on threat vectors | |
JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
US20170324766A1 (en) | Selection of countermeasures against cyber attacks | |
Hughes et al. | Quantitative metrics and risk assessment: The three tenets model of cybersecurity | |
CN105247532A (en) | Unsupervised anomaly-based malware detection using hardware features | |
CN105760787B (en) | System and method for the malicious code in detection of random access memory | |
CN105229612A (en) | Use the detection that the abnormal program of hardware based microarchitecture data performs | |
CN105550875A (en) | System and method for protecting electronic money transactions | |
CN111859394A (en) | TEE-based software behavior active measurement method and system | |
JP6548837B2 (en) | Evaluation device, evaluation method of security product and evaluation program | |
JP5413010B2 (en) | Analysis apparatus, analysis method, and program | |
JP2018196054A (en) | Evaluation program, evaluation method and information processing device | |
Wolf et al. | The PASTA threat model implementation in the IoT development life cycle | |
Bensoussan et al. | Managing information system security under continuous and abrupt deterioration | |
Gupta et al. | An insecurity study of ethereum smart contracts | |
Faruk et al. | Investigating novel approaches to defend software supply chain attacks | |
Krishnan | A hybrid approach to threat modelling | |
JP2022074721A (en) | Security verification system and method | |
JP7078562B2 (en) | Computer system, analysis method of impact of incident on business system, and analysis equipment | |
Gupta et al. | Developing a blockchain-based and distributed database-oriented multi-malware detection engine | |
Rekhis et al. | A Hierarchical Visibility theory for formal digital investigation of anti-forensic attacks | |
De Faveri et al. | Visual modeling of cyber deception | |
Ding et al. | Model-Driven Security Analysis of Self-Sovereign Identity Systems | |
Liu et al. | ADCaDeM: A Novel Method of Calculating Attack Damage Based on Differential Manifolds | |
Sachdeva et al. | User Profiling and Vulnerability Introduction Prediction in Social Coding Repositories: A Dynamic Graph Embedding Approach: Vulnerability Introduction Prediction in Social Coding Repositories |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230524 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240123 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240315 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240409 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240415 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7474679 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |