DE112018007640T5 - System, verfahren und programm zur fähigkeitsmessung von sicherheitshandhabungen - Google Patents

System, verfahren und programm zur fähigkeitsmessung von sicherheitshandhabungen Download PDF

Info

Publication number
DE112018007640T5
DE112018007640T5 DE112018007640.7T DE112018007640T DE112018007640T5 DE 112018007640 T5 DE112018007640 T5 DE 112018007640T5 DE 112018007640 T DE112018007640 T DE 112018007640T DE 112018007640 T5 DE112018007640 T5 DE 112018007640T5
Authority
DE
Germany
Prior art keywords
simulated
measurement subject
cyberattack
measurement
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018007640.7T
Other languages
English (en)
Inventor
Masaru Kawakita
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of DE112018007640T5 publication Critical patent/DE112018007640T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die vorliegende Erfindung macht es möglich, die Fähigkeit einer Person zu messen, die auf Vorfälle reagiert. Eine Fähigkeitsmessvorrichtung umfasst einen Aktionsaufzeichnungsteil, der einen kommunizierten Inhalt zwischen einem Messsubjekt, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und einer Quelle eines simulierten Cyberangriffs aufzeichnet, und einen Fähigkeitsmessteil, der die Fähigkeit des Messsubjekts beim Handhaben eines Cyberangriffs auf der Basis davon bewertet, ob der kommunizierte Inhalt zwischen dem Messsubjekt und der Quelle eines simulierten Cyberangriffs eine Signatur enthält oder nicht, die eine vorbestimmte Suchaktion anzeigt.

Description

  • [TECHNISCHES GEBIET]
  • Die vorliegende Erfindung betrifft ein Sicherheitshandhabungs-Fähigkeitsmesssystem, eine Fähigkeitsmessvorrichtung, eine Vorrichtung für simulierte Cyberangriffe, ein Fähigkeitsmessverfahren, ein Verfahren für simulierte Cyberangriffe und ein Programm.
  • [HINTERGRUND]
  • In den letzten Jahren sind Cyberangriffe, die schändliche Befehle an ICT-(Informations- und Kommunikationstechnologie-)Geräten und IoT-(Internet von Dingen-)Geräten abgeben, ein gesellschaftliches Thema geworden.
  • Um einen Schaden von solchen Cyberangriffen zu verhindern, sollten ICT- und IoT-Geräte, die gefährdet sind, identifiziert werden, und zusätzlich zu proaktiven Maßnahmen, um ein Sicherheitssystem geeignet zu betreiben, ist nach einem Cyberangriff eine Reaktion auf den Vorfall erforderlich.
  • Patentliteratur 1 offenbart ein System zur Überprüfung von Sicherheitslücken, welches die Gefährdung eines Überprüfungsziels, wie beispielsweise einer ein Netzwerk simulierenden Simulationsumgebung oder eines echten Netzwerks, überprüfen kann. Gemäß der Patentliteratur 1 enthält das System zur Überprüfung von Sicherheitslücken einen Gefährdungsüberprüfungs-Planungsrechner, der einen Gefährdungsüberprüfungsplan erzeugt, und einen Gefährdungsüberprüfungsrechner, der das Überprüfungsziel gemäß dem erzeugten Überprüfungsplan angreift und die Überprüfungsergebnisse auf der Basis davon erzeugt, wie sich das Überprüfungsziel gegenüber dem Angriff verhält.
  • Patentliteratur 2 offenbart ein Angriffswiderstandsbewertungssystem, das selbst einem Anwender ohne Fachwissen erlaubt, eine Netzwerksicherheit in einer aktuellen Anwendungsumgebung zu bewerten. Gemäß der Patentliteratur 2 umfasst das Angriffswiderstandssystem eine Bildausbildungsvorrichtung, die mit einer externen Vorrichtung kommunizieren kann, und einen Server zur Ausführung eines simulierten Angriffs, der eine Kommunikation dadurch durchführt, dass er über ein Netzwerk direkt oder indirekt mit der Bildausbildungsvorrichtung verbunden ist. Weiterhin sendet die Bildausbildungsvorrichtung eine Anfrage für einen simulierten Angriff einschließlich Identifikationsinformation der Bildausbildungsvorrichtung zum Server zur Ausführung eines simulierten Angriffs. Der Server zur Ausführung eines simulierten Angriffs führt in Reaktion auf die Anfrage für einen simulierten Angriff einen simulierten Angriff eines nicht autorisierten Zugriffs an der Bildausbildungsvorrichtung aus und überträgt die Ausführungsergebnisse zur Bildausbildungsvorrichtung. Dann präsentiert die Bildausbildungsvorrichtung die empfangenen Ergebnisse.
  • [LITERATURSTELLENLISTE]
  • [PATENTLITERATUR]
    • [Patentliteratur 1] Kokai-Veröffentlichung des japanischen Patents Nr. JP2002-229946A
    • [Patentliteratur 2] Kokai-Veröffentlichung des japanischen Patents Nr. JP2018-022419A
  • [NICHTPATENTLITERATUR]
  • [Nichtpatentliteratur 1]
    National Institute of Standards and Technology, „Computer Security Incident Handling Guide (NIST SP 800-61 R2)," [online], [gesucht am 24. April 2018], Internet <URL : https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf>
  • [ZUSAMMENFASSUNG]
  • [TECHNISCHES PROBLEM]
  • Durch die vorliegende Erfindung wird die folgende Analyse gegeben. Die Nichtpatentliteratur 1 definiert im Phasenmodell für eine Reaktion auf Vorfälle vier Phasen: (1) Vorbereitung; (2) Erfassung und Analyse; (3) Eingrenzung bzw. Eindämmung, Beseitigung und Wiederherstellung; und (4) Aktivität nach dem Vorfall. Es wird empfohlen, dass in (2), Erfassung und Analyse, aus einem Netzwerkverkehr erfasste Angriffsvektoren analysiert werden und die Ergebnisse der Analyse dokumentiert werden.
  • Weiterhin empfiehlt die Nichtpatentliteratur 1, dass, um die oben beschriebene Reaktion auf Vorfälle auszuführen, Mitarbeiter mit ausreichenden Fähigkeiten für ICT/loT-Geräte eingesetzt werden sollten, die voraussichtlich ein Ziel für Cyberangriffe sein werden, und dass sie trainiert werden und ihre Erfahrungen bzw. Fähigkeiten auf einer regelmäßigen Basis beurteilt werden (siehe „3.2.4 Vorfallsanalyse“).
  • In dieser Hinsicht ist das „Überprüfungsziel“, auf das durch die Patentliteratur abgezielt ist, eine ein Netzwerk simulierende Simulationsumgebung oder ein echtes Netzwerk und enthält keine Mitarbeiter für eine Reaktion auf Vorfälle. Dies ist auch der Fall bei der Erfindung der Patentliteratur 2: das Bewertungsziel ist die Bildausbildungsvorrichtung und es ist nicht beabsichtigt, dass bei der Erfindung ein menschliches Team für eine Reaktion auf Vorfälle bewertet.
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine Sicherheitshandhabungs-Fähigkeitsmesssystem, -verfahren und -programm zur Verfügung zu stellen, das zum Bereitstellen eines Verfahrens zum Messen der Fähigkeit von denjenigen, die auf die oben beschriebenen Vorfälle reagieren, beitragen kann.
  • [LÖSUNG FÜR DAS PROBLEM]
  • Gemäß einem ersten Aspekt wird ein Fähigkeitsmessvorrichtung zur Verfügung gestellt, die einen Aktionsaufzeichnungsteil umfasst, der einen kommunizierten Inhalt zwischen einem Messsubjekt, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und einer Quelle für einen simulierten Cyberangriff aufzeichnet, und einen Fähigkeitsmessteil, der die Fähigkeit des Messsubjekts beim Handhaben eines Cyberangriffs auf der Basis bewertet, ob der kommunizierte Inhalt zwischen dem Messsubjekt und der Quelle für einen simulierten Cyberangriff eine Signatur enthält oder nicht, die eine vorbestimmte Suchaktion anzeigt.
  • Gemäß einem zweiten Aspekt wird eine Vorrichtung für einen simulierten Cyberangriff zur Verfügung gestellt, die eine Messsubjekt-Tabelle umfasst, die eine Vielzahl von Messsubjekten speichert, deren Sicherheitshandhabungsfähigkeit zu messen ist, einen Teil für einen simulierten Cyberangriff, welcher Teil ein Messsubjekt aus der Messsubjekt-Tabelle auswählt und einen simulierten Cyberangriff darauf startet, und einen Benachrichtigungsteil, der über eine vorbestimmte Fähigkeitsmessvorrichtung des ausgewählten Messsubjekts und eine beim simulierten Cyberangriff verwendete Quellen-IP-(Internetprotokoll-)Adresse benachrichtigt.
  • Gemäß einem dritten Aspekt wird ein Sicherheitshandhabungs-Fähigkeitsmesssystem zur Verfügung gestellt, das die oben genannte Vorrichtung für einen simulierten Cyberangriff und die oben genannte Fähigkeitsmessvorrichtung enthält.
  • Gemäß einem vierten Aspekt wird ein Fähigkeitsmessverfahren zur Verfügung gestellt, das einen Schritt zum Aufzeichnen eines kommunizierten Inhalts zwischen einem Messsubjekt umfasst, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und einer Quelle für einen simulierten Cyberangriff und einen Schritt zum Bewerten der Fähigkeit des Messsubjekts beim Handhaben eines Cyberangriffs auf der Basis, ob der kommunizierte Inhalt zwischen dem Messsubjekt und der Quelle für einen simulierten Cyberangriff eine Signatur enthält oder nicht, die eine vorbestimmte Suchaktion anzeigt. Dieses Verfahren ist mit einer bestimmten Maschine assoziiert, nämlich einer Fähigkeitsmessvorrichtung, die die Fähigkeit eines Messsubjekts beim Handhaben eines Cyberangriffs bewertet.
  • Gemäß einem fünften Aspekt wird ein Verfahren für einen simulierten Cyberangriff zur Verfügung gestellt, das einen Schritt zum Auswählen eines Messsubjekts aus einer Messsubjekt-Tabelle enthält, die eine Vielzahl von Messsubjekten speichert, deren Sicherheitshandhabungsfähigkeit zu messen ist, und zum Starten eines vorbestimmten simulierten Cyberangriffs darauf und einen Schritt zum Benachrichtigen über eine vorbestimmte Fähigkeitsmessvorrichtung des ausgewählten Messsubjekts und eine beim simulierten Cyberangriff verwendete Quellen-IP-Adresse. Dieses Verfahren ist assoziiert mit einer bestimmten Maschine, nämlich einer Vorrichtung für einen simulierten Cyberangriff, die ein Messsubjekt auswählt und einen vorbestimmten Cyberangriff darauf startet.
  • Gemäß einem sechsten Aspekt wird ein Programm zum Realisieren der Funktionen der Vorrichtung für einen simulierten Cyberangriff und der Fähigkeitsmessvorrichtung zur Verfügung gestellt. Weiterhin kann dieses Programm in einem computerlesbaren (nichtflüchtigen) Speichermedium gespeichert sein. Anders ausgedrückt kann die vorliegende Erfindung als ein Computerprogrammprodukt implementiert sein.
  • [VORTEILHAFTER EFFEKT DER ERFINDUNG]
  • Gemäß der vorliegenden Erfindung wird es möglich, die Fähigkeit von denjenigen zu messen, die auf die oben beschriebenen Vorfälle reagieren.
  • Figurenliste
    • 1 ist eine Zeichnung, die die Konfiguration einer beispielhaften Ausführungsform der vorliegenden Erfindung darstellt.
    • 2 ist eine Zeichnung, die die Konfiguration einer ersten beispielhaften Ausführungsform der vorliegenden Erfindung darstellt.
    • 3 ist eine Zeichnung, die die Konfiguration einer Vorrichtung für einen simulierten Cyberangriff der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung darstellt.
    • 4 ist eine Zeichnung, die ein Beispiel von durch einen Quellen-IP-Adressen-Speicherteil der Vorrichtung für einen simulierten Cyberangriff der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung gehaltener Information zeigt.
    • 5 ist eine Zeichnung, die ein Beispiel von durch einen Messsubjekt-Speicherteil der Vorrichtung für einen simulierten Cyberangriff der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung gehaltener Information zeigt.
    • 6 ist eine Zeichnung, die die Konfiguration einer Fähigkeitsmessvorrichtung der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung darstellt.
    • 7 ist eine Zeichnung, die ein Beispiel von durch einen Paketerfassungsprotokoll-Speicherteil der Fähigkeitsmessvorrichtung der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung gehaltener Information zeigt.
    • 8 ist eine Zeichnung, die ein Beispiel von durch einen Signatur-Speicherteil der Fähigkeitsmessvorrichtung der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung gehaltener Information zeigt.
    • 9 ist eine Zeichnung, die ein Beispiel von durch einen Punktzahltabellen- bzw.
    • Auswertungstabellen-Speicherteil der Fähigkeitsmessvorrichtung der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung gehaltener Information zeigt.
    • 10 ist eine Zeichnung zum Erklären des Betriebs eines Sicherheitshandhabungs-Fähigkeitsmesssystems der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung.
    • 11 ist ein Ablaufdiagramm, das den Betrieb der Vorrichtung für einen simulierte Cyberangriff der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung zeigt.
    • 12 ist ein Ablaufdiagramm, das den Betrieb der Fähigkeitsmessvorrichtung der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung zeigt.
    • 13 ist eine Zeichnung zum Erklären des Betriebs einer Fähigkeitsmessvorrichtung der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung.
    • 14 ist eine Zeichnung zum Erklären des Betriebs der Fähigkeitsmessvorrichtung der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung.
    • 15 ist eine Zeichnung, die die Konfiguration eines Computers darstellt, der die Vorrichtung für einen simulierten Cyberangriff oder die Fähigkeitsmessvorrichtung der vorliegenden Erfindung bildet.
  • [BEVORZUGTE AUSFÜHRUNGSFORMEN]
  • Zuerst wird eine Übersicht über eine beispielhafte Ausführungsform der vorliegenden Erfindung unter Bezugnahme auf die Zeichnungen gegeben werden. Die Bezugszeichen der Zeichnung in der Übersicht sind der Annehmlichkeit halber jedem Element als Beispiel zugeteilt, um ein Verstehen zu erleichtern, und es ist nicht beabsichtigt, dass sie die vorliegende Erfindung auf die dargestellten Formen beschränken. Weiterhin können Verbindungslinien zwischen Blöcken in den Zeichnungen, auf die in der folgenden Beschreibung Bezug genommen wird, sowohl bidirektional als auch unidirektional sein. Ein unidirektionaler Pfeil zeigt schematisch den Hauptfluss eines Signals (von Daten) und schließt eine Bidirektionalität nicht aus. Weiterhin sind, obwohl die Eingangs-/Ausgangs-Anschlusspunkte jedes Blocks in den Zeichnungen Ports oder Schnittstellen haben, diese weggelassen.
  • Wie es in 1 gezeigt ist, kann die vorliegende Erfindung in ihrer beispielhaften Ausführungsform durch eine Fähigkeitsmessvorrichtung 100A realisiert werden, die einen Aktionsaufzeichnungsteil 101A und einen Fähigkeitsmessteil 102A umfasst. Konkreter zeichnet der Aktionsaufzeichnungsteil 101A den kommunizierten Inhalt zwischen einem Subjekt, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und einer Quelle für einen simulierten Cyberangriff auf. Weiterhin bewertet der Fähigkeitsmessteil 102A die Fähigkeit des Messsubjekts beim Handhaben eines Cyberangriffs auf der Basis, ob der kommunizierte Inhalt zwischen dem Messsubjekt und der Quelle für einen simulierten Cyberangriff Kommunikation enthält oder nicht, die eine vorbestimmte Suchaktion anzeigt.
  • Zum Beispiel zeichnet der Aktionsaufzeichnungsteil 101A den kommunizierten Inhalt zwischen einem/einer Anwender/Anwenderin A, der/die als Messsubjekt ausgewählt ist, und einer Quelle für einen simulierten Cyberangriff auf. Dann bewertet der Fähigkeitsmessteil 102A das Ausmaß einer Fähigkeit des/der Anwenders/Anwenderin A beim Handhaben eines Cyberangriffs auf der Basis, ob der/die Anwender/Anwenderin A eine Suchaktion gegenüber der Quelle für einen simulierten Cyberangriff vornimmt, und auf der Basis des Inhalts seiner oder ihrer Suchaktion.
  • Wie es beschrieben ist, wird es gemäß der Fähigkeitsmessvorrichtung 100A der vorliegenden Erfindung möglich, die Fähigkeit einer Person, die auf Vorfälle reagiert, genau zu erfassen bzw. zu verstehen.
  • [Erste beispielhafte Ausführungsform]
  • Als nächstes wird eine erste beispielhafte Ausführungsform der vorliegenden Erfindung unter Bezugnahme auf die Zeichnungen detailliert beschrieben werden. 2 ist eine Zeichnung, die die Konfiguration der ersten beispielhaften Ausführungsform der vorliegenden Erfindung darstellt. 2 zeigt eine Konfiguration, bei welcher Messsubjekte 300, eine Vorrichtung für einen simulierten Cyberangriff 200 und eine Fähigkeitsmessvorrichtung 100 über ein Netzwerk verbunden sind.
  • Das Messsubjekt 300 bezeichnet eine Person, die auf einen simulierten Cyberangriff unter Verwendung eines Computers oder einer Vorrichtung mit einer solchen Funktion reagiert (hierin nachfolgend wird auf diese gemeinsam als „Messsubjekte“ Bezug genommen). Die Messsubjekte enthalten zum Beispiel eine Person, die verantwortlich ist für eine Reaktion auf Vorfälle in einem Unternehmen, einen externen Experten, wie beispielsweise einen Sicherheitsanalysten, und eine Vorrichtung, die auf ähnliche bzw. gleiche Weise funktioniert. Weiterhin kann bei einem weiteren Aspekt ein potentieller Angreifer auf ein zu schützendes Informationssystem oder eine Person oder Vorrichtung, die in der Vergangenheit einen Cyberangriff durchgeführt hat, als Messsubjekt ausgewählt werden.
  • Die Fähigkeitsmessvorrichtung 100 arbeitet in Zusammenarbeit mit der Vorrichtung für einen simulierten Cyberangriff 200, um das Ausmaß an Fähigkeit des Messsubjekts 300 beim Handhaben eines Cyberangriffs zu bewerten. Weiterhin führt die Vorrichtung für einen simulierten Cyberangriff 200 einen simulierten Cyberangriff auf das Messsubjekt 300 aus, um zu veranlassen, dass die Fähigkeitsmessvorrichtung 100 ein Paketerfassungsprotokoll erhält. Ein Sicherheitshandhabungs-Fähigkeitsmesssystem der vorliegenden beispielhaften Ausführungsform ist derart konfiguriert, dass es die Fähigkeitsmessvorrichtung 100 und die Vorrichtung für einen simulierten Cyberangriff 200 enthält.
  • 3 ist eine Zeichnung, die die Konfiguration der Vorrichtung für einen simulierten Cyberangriff 200 der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung darstellt. 3 zeigt eine Konfiguration, die einen Quellen-IP-Adressen-Speicherteil 201, einen Messsubjekt-Speicherteil 202, einen Messsubjekt-Managementteil 203, einen Erzeugungsteil für simulierte Angriffe 204, einen Musterspeicherteil für simulierte Angriffe 205 und einen für jedes Messsubjekt 300 erzeugten Teil für simulierte Angriffe 206 enthält.
  • Der Quellen-IP-Adressen-Speicherteil 201 speichert eine IP-Adresse, die als Quellenadresse verwendet wird, wenn ein simulierter Cyberangriff durch die Vorrichtung für einen simulierten Cyberangriff 200 durchgeführt wird. Eine Vielzahl von IP-Adressen wird bereitgestellt und gemanagt, so dass das Messsubjekt 300 nicht realisiert, dass ein gegebener Cyberangriff simuliert ist.
  • 4 ist eine Zeichnung, die ein Beispiel von durch den Quellen-IP-Adressen-Speicherteil 201 der Vorrichtung für einen simulierten Cyberangriff 200 der vorliegenden beispielhaften Ausführungsform gehaltener Information zeigt. Beim Beispiel der 4 werden bei simulierten Cyberangriffen verwendete IP-Adressen unter Verwendung einer Tabelle gemanagt, die eine Vielzahl von Einträgen speichern kann, die mit den bei simulierten Cyberangriffen verwendeten IP-Adressen assoziiert sind und die Quellen von solchen Angriffen mit ihrem Zustand anzeigen. Weiterhin zeigen beim Beispiel der 4 „Zustands“-Felder zwei Typen von Zuständen: „Im Einsatz“ und „Nicht im Einsatz“. Der Zustand „Im Einsatz“ zeigt an, dass die IP-Adresse bei einem simulierten Cyberangriff verwendet wird. Der Zustand „Nicht im Einsatz“ zeigt an, dass die IP-Adresse nicht verwendet wird und ausgegeben bzw. veröffentlicht werden kann.
  • Der Messsubjekt-Speicherteil 202 speichert Information des Messsubjekts 300, die das Ziel eines simulierten Cyberangriffs durch die Vorrichtung für einen simulierten Cyberangriff 200 ist.
  • 5 ist eine Zeichnung, die ein Beispiel von durch den Messsubjekt-Speicherteil 202 der Vorrichtung für einen simulierten Cyberangriff 200 der vorliegenden beispielhaften Ausführungsform gehaltener Information zeigt. Beim Beispiel der 5 werden die Messsubjekte 300 unter Verwendung einer Tabelle gemanagt, die eine Vielzahl von Einträgen speichern kann, die die IP-Adressen der Messsubjekte mit ihrer Punktzahl- bzw. Auswertungsinformation assoziieren. Die Messsubjekte 300 werden beim Beispiel der 5 unter Verwendung ihrer IP-Adressen gemanagt, jedoch können die Domänennamen der Messsubjekte zusätzlich verwendet werden.
  • Weiterhin speichert ein „Punktzahl“- bzw. „Auswertungs“-Feld in 5 einen Auswertungswert der Fähigkeit eines gegebenen Messsubjekts beim Handhaben eines Cyberangriffs. Das Vorhandensein oder Nichtvorhandensein dieses Werts macht es möglich, zu identifizieren, ob ein simulierter Cyberangriff auf ein Messziel 300 bereits ausgeführt worden ist oder nicht. Selbstverständlich kann anstelle der „Punktzahl“ bzw. „Auswertung“ ein Flag vorgesehen sein, um zu identifizieren, ob ein simulierter Cyberangriff auf ein Messziel 300 bereits ausgeführt worden ist oder nicht.
  • Der Messsubjekt-Managementteil 203 empfängt ein neues Messsubjekt und registriert einen neuen Eintrag, der „Erwartungseinschätzung“ im „Auswertungs“-Feld davon im Messsubjekt-Speicherteil 202 zeigt. Zum Beispiel wird, wenn eine neuer Sicherheitsanalyst beitritt, dieser Sicherheitsanalyst als neues Messsubjekt hinzugefügt. Weiterhin kann bei einem weiteren Aspekt, wenn Information über einen potentiellen Angreifer oder irgendjemanden, der in der Vergangenheit einen Cyberangriff durchgeführt hat, zur Verfügung gestellt wird, er oder sie als neues Messsubjekt hinzugefügt werden.
  • Der Musterspeicherteil für einen simulierten Angriff 205 speichert ein Muster eines simulierten Cyberangriffs auf das Messsubjekt 300. Zum Beispiel kann dieses Muster eines simulierten Cyberangriffs unter Verwendung von verschiedenen Angriffswerkzeugen erzeugt werden, die verwendet werden, um die Leistungsfähigkeit eines IDS (Intrusion Detection System = Angriffserkennungssystem) zu bewerten. Stick, snot, IDSwakeup, etc. sind als solche Angriffswerkzeuge bekannt, aber andere Angriffswerkzeuge können auch verwendet werden.
  • Der Erzeugungsteil für einen simulierten Angriff 204 erzeugt einen Teil für einen simulierten Angriff 206 bei einer vorbestimmten Zeitgabe und führt einen simulierten Cyberangriff an einem Messsubjekt aus. Konkreter wählt der Erzeugungsteil für einen simulierten Angriff 204 ein Messsubjekt 330 und eine nicht verwendete Quellen-IP-Adresse jeweils aus dem Messsubjekt-Speicherteil 202 und dem Quellen-IP-Adressen-Speicherteil 201 aus. Dann liest der Erzeugungsteil für einen simulierten Angriff 204 ein Muster eines simulierten Angriffs aus dem Musterspeicherteil für einen simulierten Angriff 205, um einen Teil für einen simulierten Angriff 206 zu konfigurieren. Wenn er einen simulierten Cyberangriff ausführt, benachrichtigt der Erzeugungsteil für einen simulierten Angriff 204 die Fähigkeitsmessvorrichtung 100 über die Gruppe der bei dem Angriff verwendeten Quellen-IP-Adresse und das Messsubjekt 300.
  • Der Teil für einen simulierten Angriff 206 verwendet die Kombination aus dem Messsubjekt 300 und der durch den Erzeugungsteil für einen simulierten Angriff 204 ausgewählten IP-Adresse jeweils als den Zielort und die Quelle und startet einen Angriff gemäß dem spezifizierten Muster eines simulierten Angriffs. Konkreter erzeugt der Teil für einen simulierten Angriff 206 ein Paket eines simulierten Cyberangriffs mit der spezifizierten Quellen-IP-Adresse als die Quelle und dem spezifizierten Messsubjekt 300 als den Zielort und überträgt das erzeugte Paket zum Messsubjekt 300.
  • Als nächstes wird die Konfiguration der Fähigkeitsmessvorrichtung 100, die in Zusammenarbeit mit der Vorrichtung für einen simulierten Cyberangriff 200 arbeitet, unter Bezugnahme auf die Zeichnungen detailliert beschrieben werden. 6 ist eine Zeichnung, die die Konfiguration der Fähigkeitsmessvorrichtung 100 der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung darstellt. 6 zeigt eine Konfiguration, die Paketerfassungsteile 101, einen Aktionsaufzeichnungsteil 103, einen Quellen-IP-Adressen-Speicherteil 106, einen Paketerfassungsprotokoll-Speicherteil 107, einen Fähigkeitsmessteil 104, einen Signatur-Speicherteil 108 und einen Auswertungstabellen-Speicherteil 109 umfasst. Weiterhin umfasst die Fähigkeitsmessvorrichtung 100 einen Inhalts-Lieferteil 102 zum Präsentieren von Inhalt, der das Messsubjekt 300 dazu veranlasst, eine Suchaktion durchzuführen, und einen Inhalts-Speicherteil 105.
  • Wie der Quellen-IP-Adressen-Speicherteil 201 der Vorrichtung für einen simulierten Cyberangriff 200 speichert der Quellen-IP-Adressen-Speicherteil 106 eine bei einem simulierten Cyberangriff verwendete Quellen-IP-Adresse.
  • Wenn er eine bei einem simulierten Cyberangriff verwendete Quellen-IP-Adresse von der Vorrichtung für einen simulierten Cyberangriff 200 empfängt, updated der Aktionsaufzeichnungsteil 103 den Zustand der entsprechenden Quellen-IP-Adresse im Quellen-IP-Adressen-Speicherteil 106 auf „im Einsatz“. Weiterhin erzeugt der Aktionsaufzeichnungsteil 103 einen Paketerfassungsteil 101, der die Kommunikation zwischen dieser Quellen-IP-Adresse und dem Messsubjekt 300 erfasst.
  • Der Paketerfassungsteil 101 wird in Reaktion auf einen Angriff durch den Teil für einen simulierten Angriff 206 erzeugt, erfasst die Kommunikation zwischen der spezifizierten Quellen-IP-Adresse und dem Messsubjekt 300 und sendet die erfasste Kommunikation zum Aktionsaufzeichnungsteil 103 und zum Inhalts-Lieferteil 102.
  • Der Aktionsaufzeichnungsteil 103 sichert die durch den Paketerfassungsteil 101 gesendeten Paketerfassungsdaten im Paketerfassungsprotokoll-Speicherteil 107.
  • Der Paketerfassungsprotokoll-Speicherteil 107 speichert die zwischen der Quellen-IP-Adresse und dem Messsubjekt 300 ausgetauschten Paketerfassungsdaten. 7 ist eine Zeichnung, die ein Beispiel der durch den Paketerfassungsprotokoll-Speicherteil 107 der Fähigkeitsmessvorrichtung gemäß der beispielhaften Ausführungsform gehaltenen Information zeigt. Lasst uns hier zum Beispiel annehmen, dass die IP-Adresse des Messsubjekts 300 172.19.0.2 ist und die Quellen-IP-Adresse 172.19.0.3 ist. Dann zeigen Daten in Nr. 231 und in Nr. 234 bis 238 in 7 vom Messsubjekt 300 übertragene Anfragenachrichten zur Quellen-IP-Adresse an. Aus diesen sind Suchaktionen der Gegenstand der nachstehend beschriebenen Fähigkeitsbewertung.
  • Der Signatur-Speicherteil 108 speichert eine Signatur, in welcher Kommunikationsinhalt, der eine Suchaktion anzeigt, die in einem hinzugefügten Punkt bei der Fähigkeitsbewertung resultiert, durch einen regulären Ausdruck dargestellt wird. 8 ist eine Zeichnung, die ein Beispiel der durch den Signatur-Speicherteil 108 gehaltenen Information zeigt. Das Beispiel der 8 verwendet eine Tabelle (entsprechend einer zweiten Tabelle), die eine Signatur speichert, die durch einen regulären Ausdruck für jeden von mehreren Typen von Suchaktionen dargestellt wird.
  • Der Auswertungstabellen-Speicherteil 109 speichert eine Auswertungstabelle, die die hinzugefügten Auswertungen von jedem Typ der Suchaktionen bei der Fähigkeitsbewertung bestimmt. 9 ist eine Zeichnung, die ein Beispiel der durch den Auswertungstabellen-Speicherteil 109 gehaltenen Information zeigt. Bei einer bevorzugteren Form der vorliegenden Erfindung ist es vorzuziehen, dass die Auswertungen für höher entwickelte Suchaktionen auf höher eingestellt werden.
  • Der Fähigkeitsmessteil 104 identifiziert Kommunikationsinhalt, der eine Suchaktion durch Zuordnen des im Paketerfassungsprotokoll-Speicherteil 107 aufgezeichneten Paketerfassungsprotokolls zu den im Signatur-Speicherteil 108 gespeicherten Signaturen anzeigt. Weiterhin addiert der Fähigkeitsmessteil 104 die Auswertung jeder Suchaktion unter Bezugnahme auf die im Auswertungstabellen-Speicherteil 109 gespeicherten Auswertungstabelle und berechnet den Auswertungswert, der die Fähigkeit des Messsubjekts 300 beim Handhaben eines Cyberangriffs darstellt.
  • Der Inhalts-Speicherteil 105 speichert simulierten Inhalt, der zum Messsubjekt 300 übertragen ist, wenn das Messsubjekt 300 Inhalt von der Quelle für einen simulierten Cyberangriff anfragt, bei einer Portnummer, die einen vorbestimmten Dienst zur Verfügung stellt. Zum Beispiel wird als Inhalt, der in Reaktion auf eine Inhaltsanfrage unter Verwendung von HTTP (Hypertext Transfer Protocol = Hypertext-Übertragungsprotokoll) zurückgebracht wird, eine Gruppe von Dateien, wie beispielsweise html, jpeg, gif und torrent, vorbereitet. Selbstverständlich ist es vorzuziehen, dass der simulierte Inhalt gemäß dem erwarteten Dienst (Portnummer) vorbereitet wird.
  • Dann bestimmt der Inhalts-Lieferteil 102, ob das Messsubjekt 300 Inhalt von der Quelle für einen simulierten Cyberangriff bei der vorbestimmten Portnummer angefragt hat oder nicht, auf der Basis der durch den Paketerfassungsteil 101 übertragenen Paketerfassungsdaten. Hier kann die Portnummer 80 sein, was allgemein für HTTP verwendet wird, oder 443, was allgemein für HTTPS verwendet wird. Es muss nicht gesagt werden, dass andere Portnummern, die durch die Internet Assigned Numbers Authority (IANA) (=Behörde für die zugewiesenen Nummern des Internets) gemanagt werden, als Bestimmungsziele hinzugefügt werden können.
  • Wenn bestimmt wird, dass das Messsubjekt 300 angefragten Inhalt bei der vorbestimmten Portnummer hat, nimmt der Inhalts-Lieferteil 102 simulierten Inhalt heraus und überträgt ihn zum Messsubjekt 300. Es ist bevorzugt, dass dieser simulierte Inhalt veranlasst, dass das Messsubjekt 300 eine weitere Suchaktion vornimmt. Ein solcher simulierter Inhalt enthält einen Blog (weblog), der durch Software erzeugt ist, die WordPress genannt wird, und eine Wiki-Seite, die zulässt, dass ein Betrachter die Seite updated.
  • Als nächstes wird der Betrieb der vorliegenden beispielhaften Ausführungsform unter Bezugnahme auf die Zeichnungen detailliert beschrieben werden. Zuerst wird der Betrieb des gesamten Sicherheitshandhabungs-Fähigkeitsmesssystems, das durch Kombinieren der Vorrichtung für einen simulierten Cyberangriff 200 und der Fähigkeitsmessvorrichtung 100 konfiguriert ist, unter Verwendung von 10 beschrieben werden.
  • Wie es in 10 gezeigt ist, werden Daten in Bezug auf das Messsubjekt 300 zur Vorrichtung für einen simulierten Cyberangriff 200 bei einer vorbestimmten Gelegenheit zugeführt (Messsubjektdaten). Die Vorrichtung für einen simulierten Cyberangriff 200 wählt bei einer vorbestimmten Gelegenheit ein Messsubjekt aus und führt einen simulierten Cyberangriff an dem Messsubjekt 300 unter Verwendung einer fingierten Quellen-IP-Adresse aus. Gleichzeitig überträgt die Vorrichtung für einen simulierten Cyberangriff 200 eine Kombination aus der beim simulierten Cyberangriff verwendeten Quellen-IP-Adresse und dem Messsubjekt 300 zur Fähigkeitsmessvorrichtung 100 (Quellen-IP-Adressendaten). Die Fähigkeitsmessvorrichtung 100 erfasst die durch die Kombination aus der Quellen-IP-Adresse und dem Messsubjekt 300 identifizierte Kommunikation und bewertet die Fähigkeit auf der Basis davon, ob eine Suchaktion vorgenommen wird oder nicht (Messergebnisdaten).
  • Als nächstes wird der Betrieb der Vorrichtung für einen simulierten Cyberangriff 200 und der Fähigkeitsmessvorrichtung 100 unter Bezugnahme auf die 11 und 12 beschrieben werden. 11 ist ein Ablaufdiagramm, das den Betrieb der Vorrichtung für einen simulierten Cyberangriff 200 der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung zeigt. Unter Bezugnahme auf 11 speichert die Vorrichtung für einen simulierten Cyberangriff 200 zuerst die von außerhalb erlangte IP-Adresse von Messsubjekten im Messsubjekt-Speicherteil 202 (Schritt S001).
  • Als nächstes wählt die Vorrichtung für einen simulierten Cyberangriff 200 ein Messsubjekt aus denjenigen aus, die im Messsubjekt-Speicherteil 202 gespeichert sind, und startet einen simulierten Cyberangriff (Schritt S002). Die Vorrichtung für einen simulierten Cyberangriff 200 liest zuerst eine aktuell nicht verwendete IP-Adresse aus dem Quellen-IP-Adressen-Speicherteil 201 und ändert den Zustand davon zu einem Zustand „Im Einsatz“ (Schritt S003).
  • Als nächstes liest die Vorrichtung für einen simulierten Cyberangriff 200 zufällig ein Muster eines simulierten Angriffs aus dem Musterspeicherteil für einen simulierten Angriff (Schritt S004).
  • Als nächstes erzeugt die Vorrichtung für einen simulierten Cyberangriff 200 einen Teil für einen simulierten Angriff 206 und startet eine Kommunikation eines simulierten Angriffs auf das Messsubjekt (Schritt S005). Die Vorrichtung für einen simulierten Cyberangriff 200 führt die Prozesse der Schritte S002 bis S005 für im Messsubjekt-Speicherteil 202 gespeicherte Messsubjekte wiederholt durch (S006).
  • Als nächstes wird der Betrieb der Fähigkeitsmessvorrichtung 100 beschrieben werden. 12 ist ein Ablaufdiagramm, das den Betrieb der Fähigkeitsmessvorrichtung 100 der ersten beispielhaften Ausführungsform gemäß der vorliegenden Erfindung zeigt. Unter Bezugnahme auf 12 updated die Fähigkeitsmessvorrichtung 100 aus den im Messsubjekt-Speicherteil 202 gespeicherten Quellen-IP-Adressen zuerst den Zustand einer Quellen-IP-Adresse, die durch die Vorrichtung für einen simulierten Cyberangriff 200 mitgeteilt ist, zu „Im Einsatz“ (Schritt S101).
  • Die Fähigkeitsmessvorrichtung 100 erzeugt einen Paketerfassungsteil, der eine Kommunikation erfasst, die durch die Quellen-IP-Adresse identifiziert ist, und die IP-Adresse des Messsubjekts 300, und startet eine Paketerfassung (Schritt S102).
  • Danach zeichnet die Fähigkeitsmessvorrichtung 100 den Inhalt der erfassten Kommunikation im Paketerfassungsprotokoll-Speicherteil 107 auf (Schritt S103).
  • Als nächstes kollationiert die Fähigkeitsmessvorrichtung 100 den Inhalt der im Paketerfassungsprotokoll-Speicherteil 107 aufgezeichneten Kommunikation mit im Signatur-Speicherteil 108 gespeicherten Signaturen (Schritt S104).
  • Als nächstes nimmt die Fähigkeitsmessvorrichtung 100 Bezug auf die Bewertungstabelle des Bewertungstabellen-Speicherteils 109 und identifiziert die Bewertung einen Kommunikationsinhalt, der eine Suchaktion anzeigt, die mit einer Signatur übereinstimmt bzw. zu einer Signatur passt (Schritt S105).
  • Als nächstes aggregiert die Fähigkeitsmessvorrichtung 100 die Auswertungen von Kommunikationsinhalt, der Suchaktionen anzeigt, und gibt das Ergebnis als einen Fähigkeitsbewertungswert aus, der die Fähigkeit des Messsubjekts 300 darstellt (Schritt S106).
  • Gleichzeitig mit der Fähigkeitsbewertung nimmt die Fähigkeitsmessvorrichtung 100 simulierten Inhalt aus dem Inhalts-Speicherteil 105 heraus und übertragt ihn zum Messsubjekt 300, wenn das Messsubjekt 300 Inhalt anfragt, der bei einer vorbestimmten Portnummer zur Verfügung gestellt ist (Schritt S107).
  • Als nächstes wird der Betrieb der Fähigkeitsmessvorrichtung 100 in den Schritten S104 bis S106 detailliert weiter beschrieben werden. 13 ist eine Zeichnung zum Erklären des Betriebs des Fähigkeitsmessteils 104 der Fähigkeitsmessvorrichtung 100. Wie es in 13 gezeigt ist, berechnet der Fähigkeitsmessteil 104 einen Bewertungswert, der die Fähigkeit des Messsubjekts darstellt, unter Verwendung von im Paketerfassungsprotokoll-Speicherteil 107 gespeicherten Paketerfassungsdaten, einer Signatur und einer Auswertung.
  • Lasst uns zum Beispiel annehmen, dass auf der linken Seite von 14 gezeigte Paketerfassungsdaten erlangt worden sind. Der Fähigkeitsmessteil 104 führt eine Musteranpassung zwischen den Paketerfassungsdaten und den in 8 gezeigten Signaturen durch. Beim Beispiel der 14 passt die achte Zeile von oben „GET /wp-content/debug.loghttp/1.1\r\n“ zur Signatur „wp-content/debug.log“, was eine Aktion anzeigt, um debug log zu suchen. Zu dieser Zeit identifiziert der Fähigkeitsmessteil 104 die Punktzahl bwz. Auswertung 0.1 entsprechend der debug-log-Suchaktion in der in 9 gezeigten Auswertungstabelle. Gleichermaßen passt die fünfzehnte Zeile von oben „GET /wp-config.php.saveHTTP/1.1\r\n“ zur Signatur „wp-config¥.php¥.save$“, was eine Aktion anzeigt, um in der in 9 gezeigten Auswertungstabelle unter Verwendung eines Werkzeugs (WPscan) nach einer Angreifbarkeit zu suchen. Wenn die Musteranpassung zwischen den Paketerfassungsdaten und den Signaturen an dieser Stelle fertiggestellt ist, wird die gesamte Auswertung, die die Fähigkeit des Messsubjekts anzeigt, 1.2 sein. Es ist anzumerken, dass die Auswertungspunkte und eine Gewichtung, die oben beschrieben sind, lediglich Beispiele sind und zum Beispiel die für einen durchschnittlichen Sicherheitsanalysten erforderliche Fähigkeit auf 100 eingestellt sein kann und Auswertungen für Suchaktionen auf der Basis davon eingestellt werden können.
  • Wie es oben beschrieben ist, wird es gemäß der vorliegenden beispielhaften Ausführungsform möglich, die analytische Fähigkeit eines Sicherheitsanalysten oder einer für ICT/loT-Geräte genutzten Sicherheitsvorrichtung, die wahrscheinlich ein Ziel für Cyberangriffe sein werden, zu messen.
  • Weiterhin ist gemäß der oben beschriebenen beispielhaften Ausführungsform eine Vielzahl von Quellen-IP-Adressen vorgesehen und sie werden so verwendet, dass es schwierig ist, zu erkennen, dass ein Cyberangriff simuliert ist. Als Ergebnis ist es möglich, die Möglichkeiten zu minimieren, dass ein Sicherheitsanalyst ein Handhaben des Vorfalls durch Blockieren der Kommunikation von einem simulierten Cyberangriff stoppen wird, weil die IP-Adresse aufgrund einer externen gemeinsamen Nutzung von Information bekannt ist.
  • Weiterhin wird gemäß der oben beschriebenen beispielhaften Ausführungsform simulierter Inhalt zurückgebracht, wenn bestimmt wird, dass das Messsubjekt 300 Inhalt bei einer vorbestimmten Portnummer angefragt hat. Als Ergebnis ist es möglich, das Messsubjekt 300 zu veranlassen, eine weitere Suchaktion vorzunehmen und zu bewerten, ob ein Messsubjekt mit einem bestimmten Maß an Fähigkeit höher entwickelte Fähigkeiten hat oder nicht.
  • Weiterhin wird es gemäß der oben beschriebenen beispielhaften Ausführungsform möglich, die Fähigkeit einer Person, die verantwortlich ist für eine Reaktion bei einem Vorfall in einem Unternehmen, eines externen Experten, wie beispielsweise eines Sicherheitsanalysten, und einer Vorrichtung, die auf ähnliche bzw. gleiche Weise funktioniert, zu messen. Weiterhin kann gemäß der oben beschrieben beispielhaften Ausführungsform ein potentieller Angreifer auf ein zu schützendes Informationssystem oder eine Person oder Vorrichtung, die in der Vergangenheit einen Cyberangriff durchgeführt hat, als Messsubjekt hinzugefügt werden. Als Ergebnis wird es möglich, die Fähigkeit dieser Personen oder Vorrichtungen zu bewerten und die Ergebnisse für Sicherheitsmaßnahmen zu verwenden, um Vorfälle zu verhindern.
  • Während jede beispielhafte Ausführungsform der vorliegenden Erfindung beschrieben worden ist, ist es zu verstehen, dass die vorliegende Erfindung nicht auf die obige beispielhafte Ausführungsform zu beschränken ist und dass weitere Modifikationen, Ersetzungen und Einstellungen hinzugefügt werden können, ohne vom grundsätzlichen technischen Konzept der vorliegenden Erfindung abzuweichen. Zum Beispiel sind die Netzwerkkonfiguration, die Konfiguration von jedem Element und der Ausdruck von jeder Nachricht, die in den Zeichnungen gezeigt sind, Beispiele, um ein Verstehen der vorliegenden Erfindung zu erleichtern, und sind nicht auf die in den Zeichnungen gezeigten Konfigurationen beschränkt. In der folgenden Beschreibung bedeutet „A und/oder B“ wenigstens eines von A und B. Weiterhin sind, obwohl die Eingangs-/Ausgangs-Verbindungspunkte jedes Blocks in den Zeichnungen Ports oder Schnittstellen haben, diese weggelassen. Bei der oben beschriebenen beispielhaften Ausführungsform umfasst die Fähigkeitsmessvorrichtung 100 die Funktion zum Übertragen simulierten Inhalts, jedoch kann zum Beispiel eine separate Vorrichtung die Funktion eines Übertragens simulierten Inhalts realisieren. Weiterhin sind bei der oben beschriebenen beispielhaften Ausführungsform die Fähigkeitsmessvorrichtung 100 und die Vorrichtung für einen simulierten Cyberangriff 200 als separate Vorrichtungen vorgesehen, jedoch kann auch eine Konfiguration verwendet werden, bei welcher die Fähigkeitsmessvorrichtung 100 und die Vorrichtung für einen simulierten Cyberangriff 200 integriert sind.
  • Weiterhin nimmt die oben beschriebene beispielhafte Ausführungsform an, dass die Messsubjekte primär Personen sind, jedoch kann die vorliegende Erfindung auf die Bewertung der Leistungsfähigkeit von verschiedenen Sicherheitsvorrichtungen angewendet werden, von denen angenommen wird, dass sie, unter Verwendung von AI (Artificial Intelligence = Künstliche Intelligenz), dieselben Suchaktionen wie ein Sicherheitsanalyst durchführen.
  • Weiterhin kann die bei der obigen beispielhaften Ausführungsform beschriebene Prozedur durch ein Programm realisiert werden, das veranlasst, dass ein Computer (9000 in 15), der als die Vorrichtung für einen simulierten Cyberangriff 200 und die Fähigkeitsmessvorrichtung 100 funktioniert, die Funktionen davon realisiert. Ein solcher Computer ist in einer Konfiguration in 15 derart dargestellt, dass er eine CPU (zentrale Verarbeitungseinheit) 9010, eine Kommunikationsschnittstelle 9020, einen Speicher 9030 und eine Hilfsspeichervorrichtung 9040 umfasst. Anders ausgedrückt führt die CPU 9010 in 15 ein eine Aktion aufzeichnendes Programm oder ein Fähigkeitsbewertungsprogramm aus, um einen Prozess eines Updatens jedes durch die Hilfsspeichervorrichtung 9040 gehaltenen Berechnungsparameters durchzuführen.
  • Anders ausgedrückt kann jeder Teil (Verarbeitungsmittel, Funktion) der Vorrichtung für einen simulierten Cyberangriff und der Fähigkeitsmessvorrichtung, die bei der obigen beispielhaften Ausführungsform beschrieben sind, durch ein Computerprogramm realisiert werden, das veranlasst, dass ein Prozessor in diesen Vorrichtungen jeden Prozess ausführt, der oben beschrieben ist, und zwar unter Verwendung der Hardware davon.
  • Schließlich werden bevorzugte Formen der vorliegenden Erfindung zusammengefasst.
  • [Form 1]
  • (Siehe die Fähigkeitsmessvorrichtung gemäß dem ersten Aspekt.)
  • [Form 2]
  • Der Fähigkeitsmessteil der Fähigkeitsmessvorrichtung kann konfiguriert sein, um die Fähigkeit des Messsubjekts beim Handhaben eines Cyberangriffs durch Bezugnehmen auf eine Tabelle zu bewerten, die eine Auswertung entsprechend jedem Typ der Suchaktion bestimmt, und durch Aufaddieren der Auswertungen von Suchaktionen, die durch das Messsubjekt vorgenommen sind.
  • [Form 3]
  • Es ist bevorzugt, dass der Fähigkeitsmessteil der Fähigkeitsmessvorrichtung eine zweite Tabelle zum Identifizieren des Typs einer Suchaktion umfasst, die durch das Messsubjekt vorgenommen wird, aus einer Nachricht, die in der Kommunikation enthalten ist.
  • [Form 4]
  • Es ist bevorzugt, dass die Fähigkeitsmessvorrichtung weiterhin einen Inhalts-Lieferteil umfasst, der vorbestimmten simulierten Inhalt zum Messsubjekt übertragt, wenn das Messsubjekt Inhalt von der Quelle für einen simulierten Cyberangriff bei einer vorbestimmten Portnummer anfragt.
  • [Form 5]
  • Es ist bevorzugt, dass der simulierte Inhalt ein Inhalt ist, der veranlasst, dass das Messsubjekt eine Suchaktion vornimmt.
  • [Form 6]
  • Der Aktionsaufzeichnungsteil der Fähigkeitsmessvorrichtung kann konfiguriert sein, um das Messsubjekt zu empfangen, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und eine IP-Adresse, die die Quelle für einen simulierten Cyberangriff von einer vorbestimmten Vorrichtung für einen simulierten Cyberangriff darstellt.
  • [Form 7]
  • (Siehe die Vorrichtung für einen simulierten Cyberangriff gemäß dem zweiten Aspekt.)
  • [Form 8]
  • Der Teil für einen simulierten Cyberangriff der Vorrichtung für einen simulierten Cyberangriff kann konfiguriert sein, um einen Quellen-IP-Adresse, die beim simulierten Cyberangriff verwendet wird, aus den im Voraus vorbereiteten IP-Adressen auszuwählen und die ausgewählte IP-Adresse zu verwenden.
  • [Form 9]
  • (Siehe das Sicherheitshandhabungs-Fähigkeitsmesssystem gemäß dem dritten Aspekt.)
  • [Form 10]
  • (Siehe das Fähigkeitsmessverfahren gemäß dem vierten Aspekt.)
  • [Form 11]
  • (Siehe das Verfahren für einen simulierten Cyberangriff gemäß dem fünften Aspekt.)
  • [Form 12]
  • (Siehe das Programm gemäß dem sechsten Aspekt.)
  • Weiterhin können, gleich den Formen 1 und 2, die Formen 9 bis 12 in die Formen 2 bis 6 und die Form 8 entwickelt werden.
  • Weiterhin ist jede Offenbarung von Patentliteraturen und Nichtpatentliteratur, die oben zitiert sind, hierin in ihrer Gesamtheit durch Bezugnahme darauf enthalten: Es ist anzumerken, dass es möglich ist, die beispielhaften Ausführungsformen oder Beispiele innerhalb der gesamten Offenbarung der vorliegenden Erfindung (einschließlich der Ansprüche) und basierend auf dem grundsätzlichen technischen Konzept davon zu modifizieren oder einzustellen. Weiterhin ist es möglich, eine weite Vielfalt der offenbarten Elemente (einschließlich der einzelnen Elemente der einzelnen Ansprüche, der einzelnen Elemente der einzelnen beispielhaften Ausführungsformen oder Beispiele und der einzelnen Elemente der einzelnen Figuren) innerhalb des Schutzumfangs der Offenbarung der vorliegenden Erfindung auf verschiedene Weisen zu kombinieren oder auszuwählen (oder teilweise zu löschen). Das bedeutet, dass es selbsterklärend ist, dass die vorliegende Erfindung gemäß der gesamten Offenbarung einschließlich der Ansprüche und dem technischen Konzept der vorliegenden Erfindung irgendwelche Typen von Variationen und Modifikationen enthält, um durch eine Person mit Erfahrung durchgeführt zu werden. Insbesondere sollten irgendwelche numerischen Bereiche, die hierin offenbart sind, derart interpretiert werden, dass irgendwelche Zwischenwerte oder Unterbereiche, die in die offenbarten Bereiche fallen, selbst ohne spezifischen Vortrag davon auch konkret offenbart sind.
  • Bezugszeichenliste
    • 100, 100A:
    Fähigkeitsmessvorrichtung
    101:
    Paketerfassungsteil
    101A, 103:
    Aktionsaufzeichnungsteil
    102:
    Inhalts-Lieferteil
    102A, 104:
    Fähigkeitsmessteil
    105:
    Inhalts-Speicherteil
    106:
    Quellen-IP-Adressen-Speicherteil
    107:
    Paketerfassungsprotokoll-Speicherteil
    108:
    Signatur-Speicherteil
    109:
    Auswertungstabellen-Speicherteil
    200:
    Vorrichtung für einen simulierten Cyberangriff
    201:
    Quellen-IP-Adressen-Speicherteil
    202:
    Messsubjekt-Speicherteil
    203:
    Messsubjekt-Managementteil
    204:
    Erzeugungsteil für einen simulierten Angriff
    205:
    Musterspeicherteil für einen simulierten Angriff
    206:
    Teil für einen simulierten Angriff
    300:
    Messsubjekt
    9000:
    Computer
    9010:
    CPU
    9020:
    Kommunikationsschnittstelle
    9030:
    Speicher
    9040:
    Hilfsspeichervorrichtung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2002229946 A [0005]
    • JP 2018022419 A [0005]
  • Zitierte Nicht-Patentliteratur
    • National Institute of Standards and Technology, „Computer Security Incident Handling Guide (NIST SP 800-61 R2),“ [online], [gesucht am 24. April 2018], Internet <URL : https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf> [0006]

Claims (13)

  1. Fähigkeitsmessvorrichtung, die folgendes umfasst: einen Aktionsaufzeichnungsteil, der einen kommunizierten Inhalt zwischen einem Messsubjekt, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und einer Quelle eines simulierten Cyberangriffs aufzeichnet; und einen Fähigkeitsmessteil, der die Fähigkeit des Messsubjekts beim Handhaben des Cyberangriffs auf der Basis davon bewertet, ob der kommunizierte Inhalt zwischen dem Messsubjekt und der Quelle eines simulierten Cyberangriffs eine Signatur enthält oder nicht, die eine vorbestimmte Suchaktion anzeigt.
  2. Fähigkeitsmessvorrichtung nach Anspruch 1, wobei der Fähigkeitsmessteil die Fähigkeit des Messsubjekts beim Handhaben des Cyberangriffs durch Bezugnahme auf eine Tabelle bewertet, die eine Punktzahl bzw. Auswertung entsprechend jedem Typ der Suchaktion bestimmt, und durch Aufaddieren von Auswertungen der durch das Messsubjekt vorgenommenen Suchaktion.
  3. Fähigkeitsmessvorrichtung nach Anspruch 1, wobei der Fähigkeitsmessteil eine zweite Tabelle zum Identifizieren des Typs der durch das Messsubjekt vorgenommenen Suchaktion aus einer in der Kommunikation enthaltenen Nachricht umfasst.
  4. Fähigkeitsmessvorrichtung nach einem der Ansprüche 1 bis 3, die weiterhin einen Inhalts-Lieferteil umfasst, der vorbestimmten simulierten Inhalt zum Messsubjekt überträgt, wenn das Messsubjekt Inhalt von der Quelle eines simulierten Cyberangriffs bei einer vorbestimmten Portnummer anfragt.
  5. Fähigkeitsmessvorrichtung nach Anspruch 4, wobei der vorbestimmte simulierte Inhalt veranlasst, dass das Messsubjekt eine Suchaktion vornimmt.
  6. Fähigkeitsmessvorrichtung nach einem der Ansprüche 1 bis 5, wobei der Aktionsaufzeichnungsteil das Messsubjekt, dessen Fähigkeit beim Handhaben des Cyberangriffs zu messen ist, und eine IP-Adresse, die die Quelle eines simulierten Cyberangriffs darstellt, von einer vorbestimmten Vorrichtung für einen simulierten Cyberangriff empfängt.
  7. Vorrichtung für einen simulierten Cyberangriff, die folgendes umfasst: eine Messsubjekt-Tabelle, die eine Vielzahl von Messsubjekten speichert, deren Fähigkeit beim Handhaben von Sicherheit zu messen ist; einen Teil für einen simulierten Cyberangriff, der ein Messsubjekt aus der Messsubjekt-Tabelle auswählt und einen vorbestimmten simulierten Cyberangriff darauf startet; und einen Benachrichtigungsteil, der eine vorbestimmte Fähigkeitsmessvorrichtung über das ausgewählte Messsubjekt und eine beim simulierten Cyberangriff verwendete Quellen-IP-Adresse benachrichtigt.
  8. Vorrichtung für einen simulierten Cyberangriff nach Anspruch 7, wobei der Teil für einen simulierten Cyberangriff eine beim simulierten Cyberangriff verwendete Quellen-IP-Adresse aus im Voraus vorbereiteten IP-Adressen auswählt und die ausgewählte IP-Adresse verwendet.
  9. Sicherheitshandhabungs-Fähigkeitsmesssystem, das folgendes enthält: eine Vorrichtung für einen simulierten Cyberangriff, die eine Messsubjekt-Tabelle umfasst, die eine Vielzahl von Messsubjekten speichert, deren Fähigkeit beim Handhaben von Sicherheit zu messen ist, einen Teil für einen simulierten Cyberangriff, der ein Messsubjekt aus der Messsubjekt-Tabelle auswählt und einen vorbestimmten simulierten Cyberangriff darauf startet, und einen Benachrichtigungsteil, der eine vorbestimmte Fähigkeitsmessvorrichtung über das ausgewählte Messsubjekt und eine bei dem simulierten Cyberangriff verwendete Quellen-IP-Adresse benachrichtigt; und eine Fähigkeitsmessvorrichtung, die einen Aktionsaufzeichnungsteil umfasst, der einen kommunizierten Inhalt zwischen einem Messsubjekt, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und einer Quelle eines simulierten Cyberangriffs aufzeichnet, und einen Fähigkeitsmessteil, der die Fähigkeit des Messsubjekts beim Handhaben des Cyberangriffs auf der Basis davon bewertet, ob der kommunizierte Inhalt zwischen dem Messsubjekt und der Quelle eines simulierten Cyberangriffs eine Signatur enthält oder nicht, die eine vorbestimmte Suchaktion anzeigt.
  10. Fähigkeitsmessverfahren, das folgendes enthält: einen Schritt zum Aufzeichnen eines kommunizierten Inhalts zwischen einem Messsubjekt, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und einer Quelle eines simulierten Cyberangriffs; und einen Schritt zum Bewerten der Fähigkeit des Messsubjekts beim Handhaben eines Cyberangriffs auf der Basis davon, ob der kommunizierte Inhalt zwischen dem Messsubjekt und der Quelle eines simulierten Cyberangriffs eine Signatur enthält oder nicht, die eine vorbestimmte Suchaktion anzeigt.
  11. Verfahren für einen simulierten Cyberangriff, das folgendes enthält: einen Schritt zum Auswählen eines Messsubjekts aus einer Messsubjekt-Tabelle, die eine Vielzahl von Messsubjekten speichert, deren Fähigkeit beim Handhaben von Sicherheit zu messen ist, und zum Starten eines vorbestimmten simulierten Cyberangriffs darauf; und einen Schritt zum Benachrichtigen einer vorbestimmten Vorrichtung für einen simulierten Cyberangriff über das ausgewählte Messsubjekt und einen bei dem simulierten Cyberangriff verwendete Quellen-IP-Adresse.
  12. Programm, das veranlasst, das ein Computer folgendes ausführt: einen Prozess zum Aufzeichnen eines kommunizierten Inhalts zwischen einem Messsubjekt, dessen Fähigkeit beim Handhaben eines Cyberangriffs zu messen ist, und einer Quelle eines simulierten Cyberangriffs; und einen Prozess zum Bewerten der Fähigkeit des Messsubjekts beim Handhaben eines Cyberangriffs auf der Basis davon, ob der kommunizierte Inhalt zwischen dem Messsubjekt und der Quelle eines simulierten Cyberangriffs eine Signatur enthält oder nicht, die eine vorbestimmte Suchaktion anzeigt.
  13. Programm, das veranlasst, dass ein Computer folgendes ausführt: einen Prozess zum Auswählen eines Messsubjekts aus einer Messsubjekt-Tabelle, die eine Vielzahl von Messsubjekten speichert, deren Fähigkeit beim Handhaben von Sicherheit zu messen ist, und zum Starten eines vorbestimmten simulierten Cyberangriffs darauf; und einen Prozess zum Benachrichtigen einer vorbestimmten Vorrichtung für einen simulierten Cyberangriff über das ausgewählte Messsubjekt und einen bei dem simulierten Cyberangriff verwendete Quellen-IP-Adresse.
DE112018007640.7T 2018-05-23 2018-05-23 System, verfahren und programm zur fähigkeitsmessung von sicherheitshandhabungen Pending DE112018007640T5 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/019772 WO2019224932A1 (ja) 2018-05-23 2018-05-23 セキュリティ対処能力測定システム、方法及びプログラム

Publications (1)

Publication Number Publication Date
DE112018007640T5 true DE112018007640T5 (de) 2021-03-18

Family

ID=68616813

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018007640.7T Pending DE112018007640T5 (de) 2018-05-23 2018-05-23 System, verfahren und programm zur fähigkeitsmessung von sicherheitshandhabungen

Country Status (4)

Country Link
US (1) US20210243219A1 (de)
JP (1) JP7074188B2 (de)
DE (1) DE112018007640T5 (de)
WO (1) WO2019224932A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11914719B1 (en) * 2020-04-15 2024-02-27 Wells Fargo Bank, N.A. Systems and methods for cyberthreat-risk education and awareness

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8365246B2 (en) * 2008-03-18 2013-01-29 International Business Machines Corporation Protecting confidential information on network sites based on security awareness
JP2013149063A (ja) * 2012-01-19 2013-08-01 Nomura Research Institute Ltd 標的型メール攻撃シミュレーションシステムおよび標的型メール攻撃シミュレーションプログラム
US20140157415A1 (en) * 2012-12-05 2014-06-05 Ut-Battelle, Llc Information security analysis using game theory and simulation
US20180011918A1 (en) * 2015-02-23 2018-01-11 Grafton V. Mouen Taxonomic categorization retrieval system
JP6421669B2 (ja) * 2015-03-26 2018-11-14 富士通株式会社 評価方法、評価プログラム、及び評価装置
IL248241B (en) * 2015-10-12 2020-04-30 Verint Systems Ltd A system and method for evaluating cyber security awareness
US10454971B2 (en) * 2016-09-07 2019-10-22 International Business Machines Corporation Managing privileged system access based on risk assessment
IL252455B (en) * 2017-05-23 2018-04-30 Gabay Shai A system and method for cyber training at the client's site
US10600335B1 (en) * 2017-09-18 2020-03-24 Architecture Technology Corporation Adaptive team training evaluation system and method
US10679164B2 (en) * 2017-12-01 2020-06-09 KnowBe4, Inc. Systems and methods for using artificial intelligence driven agent to automate assessment of organizational vulnerabilities
US11233821B2 (en) * 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US10673876B2 (en) * 2018-05-16 2020-06-02 KnowBe4, Inc. Systems and methods for determining individual and group risk scores

Also Published As

Publication number Publication date
JPWO2019224932A1 (ja) 2021-06-10
JP7074188B2 (ja) 2022-05-24
WO2019224932A1 (ja) 2019-11-28
US20210243219A1 (en) 2021-08-05

Similar Documents

Publication Publication Date Title
DE69921454T2 (de) Prüfung von sofwarenagenten und aktivitäten von agenten
EP2870565B1 (de) Überprüfung einer integrität von eigenschaftsdaten eines gerätes durch ein prüfgerät
DE112019002178T5 (de) Verfahren und System zum Rückverfolgen der Qualität vorgefertigter Komponenten während der gesamten Lebensdauer basierend auf einer Blockkette
DE112013000387B4 (de) Dynamisches Abtasten einer Webanwendung durch Verwendung von Webdatenverkehrs- Informationen
DE112018007373T5 (de) Sicherheits-evaluationssystem, sicherheits-evaluationsverfahren, und programm
DE202018006616U1 (de) Beschleunigung des Arbeitsablaufs von Cyberanalysen
WO2015193007A1 (de) Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur
DE112012000183T5 (de) Vorrichtung und Verfahren zur ldentitätsauthentifizierungsverwaltung
DE102013200159A1 (de) Management von Sicherheitsrichtlinien unter Verwendung einer Störungsanalyse
DE69737150T2 (de) System zur parameteranalyse und verkehrsüberwachung in atm-netzen
DE112012004247T5 (de) Passives Überwachen virtueller Systeme unter Verwendung einer erweiterbaren Indexierung
DE112018007371T5 (de) Sicherheits-evaluationssystem, sicherheits-evaluationsverfahren, und programm
DE102012218699A1 (de) Passives überwachen virtueller systeme mittels agentenlosem offline-indexieren
DE69730130T2 (de) Betrugsüberwachung in einem fernmeldenetz
EP3471068A1 (de) Verteiltes system zum verwalten von personenbezogenen daten, verfahren und computerprogrammprodukt
DE102017219455A1 (de) Log-Analysesystem und -verfahren
DE112018007640T5 (de) System, verfahren und programm zur fähigkeitsmessung von sicherheitshandhabungen
DE202020004275U1 (de) Ferntesten
DE112014006880T5 (de) Analysevorrichtung, Analyseverfahren und computerlesbares Speichermedium
DE102016207144B4 (de) Auswertungssystem
DE102018219070B3 (de) Übertragen eines Datensatzes und Bereitstellen einer Datenübertragungsinformation
DE112017001052T5 (de) Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung
DE112021005651B4 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Programm
DE102018217964A1 (de) Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation
CN109873786A (zh) 针对多源异构信息云平台的安全态势评估系统

Legal Events

Date Code Title Description
R012 Request for examination validly filed