JP2012503805A - 脅威管理システムおよび方法 - Google Patents
脅威管理システムおよび方法 Download PDFInfo
- Publication number
- JP2012503805A JP2012503805A JP2011528092A JP2011528092A JP2012503805A JP 2012503805 A JP2012503805 A JP 2012503805A JP 2011528092 A JP2011528092 A JP 2011528092A JP 2011528092 A JP2011528092 A JP 2011528092A JP 2012503805 A JP2012503805 A JP 2012503805A
- Authority
- JP
- Japan
- Prior art keywords
- customer
- threat
- module
- managed service
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Investigating Or Analyzing Materials Using Thermal Means (AREA)
- Information Transfer Between Computers (AREA)
Abstract
共通の脅威の識別および/または評価、ならびに/あるいは共通の脅威の影響を受けやすい可能性のある資産の評価を活用する、マネージドシステムのための脅威管理システムおよび方法を適用して、顧客資産に対する脅威に対して保護するために必要なポリシーへの顧客コンプライアンスの監視を容易にすることができる。
Description
関連出願の相互参照
本願は、同一出願人による、2008年9月23日出願の「Policy Management System and Method」という名称の米国特許出願第12/236436号に関連する。本願は、2008年9月23日出願の米国特許出願第12/236439号の優先権を主張する。これらの先願の内容は、参照により本明細書に組み込まれる。
本願は、同一出願人による、2008年9月23日出願の「Policy Management System and Method」という名称の米国特許出願第12/236436号に関連する。本願は、2008年9月23日出願の米国特許出願第12/236439号の優先権を主張する。これらの先願の内容は、参照により本明細書に組み込まれる。
本発明は、マネージドシステム(managed system)での脅威管理システムおよび方法に関する。
マネージドサービスプロバイダは、情報技術(IT)サポートを必要とする多種多様な分野の様々な顧客に対するターンキーソリューションを提供することができる。こうした分野内では、業界コンプライアンスに関する様々な標準が存在する可能性がある。マネージドサービスプロバイダは、顧客がこうした標準に準拠することを助けることができる。そのような1つのエリアはセキュリティエリアである。
ユーザサイトまたはネットワークは、マネージドサービスシステムの一部であるときであっても、セキュリティアタックの影響を受けやすい可能性がある。顧客は、ポリシーを定義または決定することができ、ある場合にはポリシーを管理することができるが、ある場合には管理が困難であり、厄介であり、またはほぼ不可能である。
マネージドサービスシステム内のセキュリティ実装を利用して、マネージドサービスシステム内の1つまたは複数の顧客に関するセキュリティ監視およびポリシーコンプライアンスを容易にすることが望ましいはずである。
上記に鑑みて、本発明の一目的は、危険にさらされる資産などの個々のユーザの詳細と、そうした資産に対する危険を与える可能性のある脅威のタイプとを解析する必要なしに、個々のユーザについてマネージドシステムでの脅威識別および応答を調整することである。
本明細書では、添付の図面を参照しながら本発明が説明され、添付の図面では、同様の参照番号が機能的に同様の要素を指すのに用いられる。
図1は、サーバファーム100内の1つまたは複数のサーバ101-1、101-2、...、101-nと、顧客システム120内の複数のクライアント121-1、121-2、...、121-mと、サーバファーム100を接続することができ、またはサーババンク100内のサーバのうちの1つまたは複数を接続することのできるネットワーク110とを含むシステムを示す。顧客システム120をネットワーク110に接続することができ、または顧客システム120内のクライアントのうちの1つまたは複数を接続することができる。ネットワーク110は、サーバファーム100と顧客システム120との間の高速接続、または1組の高速接続でよく、一実施形態では、インターネットでよい。
図2は、ホスティングエリアネットワーク(HAN)200と呼ばれるネットワークを含む高レベルハードウェア構成を示す。HAN200は、ハードウェア(サーバファーム100および関連サーバを含む様々な種類のサーバ、場合によっては1つまたは複数のストレージエリアネットワーク(SAN)、付随するネットワーキングインフラストラクチャ(限定はしないが、バックボーンおよびルータを含む)、ファイアウォールサービスモジュール(FWSM)210、および必要に応じて他のファイアウォールインフラストラクチャ220を含む)を含むことができる。図2では、ファイアウォールインフラストラクチャはCiscoの技術(CiscoのASA(商標))を含むことができる。サーバは、単一命令単一データストリーム(SISD)マシン230などのSISDプロセッサを備えるコンピューティング装置を含むことができる。HAN200内の他のハードウェア(番号付けせず)は、ウェブサーバ、アプリケーションサーバ、および/またはデータベースサーバを含むことができ、それらを当業者に周知の方式で、互いに対して、および互いの間で相互接続することができる。
本発明の一態様では、HAN200は、1つまたは複数の顧客にマネージドサービスを提供するハードウェアを含む。各顧客は、その顧客に対するサービスを管理する専用の1つまたは複数のサーバを有することができる。HAN200はまた、限定はしないが資産のタイプ、脅威のタイプ、および異なるタイプの脅威に対する可能なカウンタを含む関連情報を集中化するプラットフォームをも含む。異なる顧客は、保護する異なる資産を有することがあり、異なる種類の脅威の影響を受けやすいことがあり、共通の脅威に対する異なるカウンタが同程度または異なる程度の効力を有することのある環境で動作することがある。
顧客に関するサービスを管理する際に、本発明の一態様では、顧客に関する脅威処理を優先順位付けするために、その顧客の資産、およびそうした資産に対する潜在的脅威に対して相対値または重みを割り当てることができる。顧客特有のデータを共通データまたは集中型データと組み合わせて、その顧客に関するそうした値または重みを決定することができる。
図2に戻ると、HAN200内の別々のサーバまたは共通のサーバ上に収容されたソフトウェアを含むことができ、またはそれ自体別々の構成要素でよい様々なモジュールがある。こうしたモジュールのうちの1つまたは複数は、異なるサーバおよび/または異なる顧客の間で分散させることができ、または複数の顧客と共に使用するために中央に収容することができ、またはこれらの可能性の何らかの組合せでよい。こうしたモジュールはとりわけ、構成管理データベース(CMDB)240を含み、CMDB240は、セキュリティ要素CMDB242、ネットワーク要素CMDB244、記憶要素CMDB246、および計算要素CMDB248を含む、マネージドサービスの様々な側面についての別々のCMDBを含むことができる。こうしたCMDB242〜248は、管理されているサービスに応じて、同じサーバのセット、集中型サーバの別々のバンク、または特定の顧客と共に使用されるサーバ上に常駐することができる。
図2はまた、インシデント解決管理モジュール250をも示す。マネージドサービスの分野では、編成および維持のためにワークフローが重要である。インシデント解決管理モジュール250は、インシデント解決のための統合ワークフローを提供する(本発明の文脈では、「インシデント」は顧客の資産(コンピューティングシステムおよび/またはネットワーク)に対する脅威でよい)。図3からわかるように、このモジュール250は、装置ステータス、特にワークフローを閲覧するためのモジュール252を含むことができる。本発明の一態様では、インシデント解決に関するワークフローは、脅威管理に関するポリシーの違反によってトリガすることができる。そのようなポリシーを監視することにより、マネージドサービスのセキュリティ側面が、そのようなポリシー違反を識別し、収容し、それに対処することができる。コンプライアンスに関するポリシー監視はまた、適切な更新または必要な更新の適用、あるいは脅威または資産の識別または定義に関する保証または保護も実現する。
さらに図3では、証拠保持モジュール254が、限定はしないが文書、イメージ、オーディオ、トラフィックキャプチャ、レポート、チャートなどの形態のデータを含む関連データの、そのインシデントに関連する特定のファイルまたはケースに対する添付を可能にし、証拠ファイルを提供することにより、インシデントを処理する際の助けとなることができる。一態様では、データは、データの保全性を保証するためにデータに関連付けられた、暗号化データを含む誤り訂正または保全性チェックデータを有することができる。
役割ベースのアクセスおよびインシデント協調モジュール(access and incident collaboration module)256がとりわけ、異なるユーザに対するインシデントケースの割当ておよび/またはグループ内のそうしたケースの共有を可能にする。前述のように、異なる顧客は、それぞれの資産に対する異なる脅威に直面する。何らかの顧客が共通の脅威および/または共通のタイプの資産に直面する範囲で、脅威に対する共通の解決策または反撃を考案および/または実装することができる。協調の一態様では、詳細アクセス制御(granular access control)の適用を可能にするようにケースデータを管理することができる。適切な細粒度は、複数の分析者が、各分析者が知っている必要のあるケースデータのみにアクセスしながら、ケースに関して協調することができることを保証することができる。異なる分析者は、同一のデータ、異なるデータ、または異なる量のデータにアクセスすることができる。いずれにしても、本発明の一態様によるアクセスの細粒度により、適切な許可構造が可能となる。モジュール256の別の態様では、適切な監査トレールを保持することができるように、システムユーザアクションを記録することができる。
インシデント解決管理モジュール250はまた、ヘルプデスク統合モジュール258を介して中央ヘルプデスクとの統合を可能にすることができる。一態様では、このヘルプデスク統合は、恐らくはセキュリティグループだけではなく、ホスティンググループ、ネットワーク運用グループ、および変更管理グループも含む、様々なタイプのマネージドサービスとの通信を容易にすることができる。例えば、特定のセキュリティパッチを複数のマネージドシステムに共通に適用する必要がある場合、共通ヘルプデスク手法は、一貫したパッチの適用を容易にすることができる。
図2はまた、知識ベースモジュール260も示し、知識ベースモジュール260は図4により詳細に示される。一態様では、知識ベースモジュール260は、(識別モジュール262内の)データフローを識別し、必要に応じてそうしたフローを(解析モジュール264で)解析し、その特徴を求め、(位置特定および反撃モジュール266で)アタック/脅威に反撃することを容易にするようにアタックまたは脅威の位置を特定することを可能にし、顧客特有のデータを(顧客特有応答情報モジュール268で)保持し、必要なレベルの特定性でのイベント応答情報の提供を可能にする。
一態様では、モジュール268は、適切な細粒度での情報の送達を容易にするために、異なる顧客に影響を及ぼす以前のインシデントについての情報を保持することができる。別の態様では、知識ベースモジュール260内の要素が協働し、ネットワークサービス、ホスティングサービス、および/または構成管理を含む適切なマネージドサービスへの脅威閉じ込めおよび/または改善ステップの提供を容易にする。
図2はまた、多次元相関モジュール270も示し、多次元相関モジュール270は図5により詳細に示される。例えば、図5は、いくつかの統計アルゴリズムのうちのいずれかを単独で、または組み合わせて使用することができ、顧客に関連する脅威値および資産値にそうしたアルゴリズムを適用してインシデント重大度を求めることのできる統計的相関モジュール272を示す。こうしたアルゴリズムまたは他のアルゴリズムを使用して、異常なイベントパターン(これは脅威を表すことがあり、または表さないことがある)の流行を判定することができる。ネットワーク挙動を脅威識別の一部として解析することもできる。
さらに図5では、履歴相関モジュール274が、ネットワークアタックの反復パターンの識別を可能にする。一態様では、そのようなパターンをマスクし、サブマージし、あるいは他の点では正常なネットワークイベントの様々なパターンの中、さらには他のセキュリティイベントのフローの中に隠すことができる。過去のイベントの診断を通じてそのような脅威の履歴を蓄積することにより、モジュール274は、初期のパターン認識を通じて反復アタックの防止を容易にする。ある場合には、アタックが自動化されることがあり、または周囲のネットワークイベントと比較して低速であることがある。どちらの場合でも、履歴相関モジュール274は、こうしたイベントおよびアタックに関するデータを蓄積することができる。
本発明の一態様では、マネージドサービスの顧客が設定するポリシー(複数可)が、アタックに対する応答を導出することができる。顧客は、取るべきアクションを決定することができる。応答を自動化することができる。例えば、注目のデータを除去することができ、データを疑わしいもの、または問題のあるものとマークして渡すことができ、警報を送信することができ(マネージドサービスプロバイダは警報を監視することができる)、あるいは顧客がEメールを受信することができる。他のオプションが当業者には明らかであろう。
本発明のマネージドサービスの文脈では、多重相関モジュール270を1つまたは複数の他のモジュールと共に働かせることにより、本発明のシステムが個々の顧客資産に対する脅威を詳細に処理することだけでなく、他の顧客が直面した他の脅威/資産タイプの組合せから学習し、脅威応答の改善を実現することも可能となる。特定の顧客が直面しなかった可能性があるが、別の顧客が直面した脅威に対する脅威応答を首尾よく提供することも可能となる。
さらに、統計的相関モジュール272および履歴相関モジュール274の協働の全体的効果は、予防的情報管理、具体的には予防的脅威処理を可能にすることである。統計的相関モジュール272で使用されるアルゴリズムが強力になり、かつ/または履歴相関モジュール274内のデータが完全になるほど、得られる脅威処理機能がより包括的なものとなる。
図2は脅威視覚化モジュール280を示し、セキュリティイベントの相関を達成する際に脅威視覚化モジュール280を使用することができる。一態様では、モジュール280を使用して、セキュリティポリシーおよび/または要件への顧客のコンプライアンスステータスの全体的ビューを提供し、したがって管理される顧客サイトの全体的セキュリティヘルスの表示を提供することができる。
モジュール280をより詳細に示す図6を見ると、ユーザインターフェース282が、セキュリティインシデントの閲覧を容易にすることができる。マネージドサービスの顧客とマネージドサービスプロバイダはどちらもインシデントを閲覧することができる。セキュリティインシデントを閲覧することに加えて、ユーザインターフェース282は、ユーザがセキュリティインシデントを解決するのを導くように、セキュリティイベントを識別および処理するワークフロー(脅威、脅威管理ソフトウェアの更新など)の閲覧を容易にすることができる。セキュリティインシデントのオープン、編集、および/またはクローズも容易にすることができる。
脅威視覚化モジュール280の別の視覚的側面は、1つまたは複数のいわゆる「リスクダッシュボード」284の備えである。これらは1つまたは複数の形態を取ることができる。一形態では、顧客のセキュリティステータスまたはセキュリティヘルスの図形的、絵画的、または他の記述的リアルタイムプレゼンテーション(例えばスナップショット)を提供することができる。プレゼンテーションは、顧客自身が管理またはホストするインフラストラクチャからのセキュリティ関連データに基づくことができる。脅威ステータスも表現することができる。
リスクダッシュボード284で使用することのできる視覚化ツールの中には、顧客がそのセキュリティリスクを管理することを保証し、顧客が満たしたいセキュリティ標準、および/または顧客が満たす必要があるセキュリティ標準を顧客が満たしていることを保証するツールがある。様々なメトリックを利用可能にし、または表示することができる。顧客がベースライン危険レベルを識別することができた、または顧客がベースライン危険レベルを識別させた状況では、ダッシュボードのうちの1つまたは複数が、ベースライン危険レベルを表示することができ、そのベースライン危険レベルからの逸脱も表示することができる。この種の管理ツールは、顧客が顧客自身の危険を管理するのに有用であるが、マネージドサービスプロバイダによる危険分析も容易にし、次いでマネージドサービスプロバイダは、適用可能なセキュリティ標準および/または望ましいセキュリティ標準へのコンプライアンスに関して顧客にアドバイスすることができる。
別のビューアである装置ステータスビューア286は、ネットワークにわたって装置ステータスの閲覧を可能にし、ネットワークは、HAN200、またはマネージドサービスプロバイダがそれに関する任を担う別のネットワークである。装置および/またはネットワークステータスのリアルタイム閲覧により、セキュリティオペレーションセンタなどの中央センタからであっても、構成管理、セキュリティ管理、および他のポリシー管理が容易となる。
あるセキュリティ状況では、マネージドサービス状況で複数の顧客の間で比較的広範囲にわたって時折現れることがあり、または(脅威がマネージドシステム内にあるかどうかに関わらず)脅威が他のネットワークで流行しているので、マネージドサービスシステムで広範囲にわたって現れることのある脅威がある。特定の攻撃者が、比較的目に見え、または流行していることがある。そのような情報を蓄積し、例えば知識ベースモジュール260の一部とすることができる。そのような状況では、グローバル脅威ダッシュボード288が、マネージドサービスシステムの全体的マップを提供することができ、特定のタイプのアタック、例えば特定のマネージドシステム内で最も流行している10個のアタックの中にあると判定されるアタック、または異なるネットワーク領域またはより大規模なネットワーク領域内で最も流行しているものであると判定されるアタックの存在をマップ上にプロットすることができる。そのようなデータは、他の脅威データの場合と同じく、例えば多次元相関モジュール270を介して相関させることができ、顧客資産および対応する資産値に対して脅威の実行可能性を測定することができる。
最後に、図2はログデータモジュール290を示し、ログデータモジュール290は、図7を参照しながらより詳細に説明する。ログデータモジュール290は、セキュリティ、ログ、およびアプリケーションデータを追跡することを容易にする適切なツールを含むことができる。セキュリティポリシー監視およびポリシーコンプライアンス監視は、この種のデータの追跡を必要とすることがある。一実施形態では、脅威視覚化モジュール280で提供されるものに加えて、ログデータモジュール290はレポーティングおよび分析モジュール292を含み、セキュリティコンプライアンス制御の実装および監視を容易にし、危険管理を高め、性能管理を容易にし、当業者には直ちに明らかとなるであろう他のセキュリティ関連の運用目標を実装する。
ログデータモジュール290または脅威視覚化モジュール280は、セキュリティ分析者、オペレータなどの必要に合わせたフォーマットの情報を提供するダッシュボードを含むことができる。ログデータモジュール290はまた、危険露出またはセキュリティコンプライアンスなどの様々なデータを測定および/または記録することができる。モジュール290内のレポーティング機構はまた、特定のタイプユーザに合わせた形式のセキュリティ情報の生成を可能にする。
図2の矢印は単一方向であるが、図2の矢印は2方向でよいことに留意されたい。さらに、図2のモジュールおよび/または要素のいずれかが、互いに直接的に、または1つまたは複数のモジュールを介して間接的に通信し、必要な脅威管理機能を実施することができる。さらに、議論中の様々な実施形態の途中で、特定の機能を特定のモジュールのものとしたことがあるが、本発明はそのように限定されないことに留意されたい。単なる例であるが、上記で論じた任意の分析の能力は、視覚化モジュール280で実施することができ、あるいは視覚化モジュール280と組み合わせることができ、その結果、計算および表示を共に配置することができる。同様に、モジュール270での相関を視覚化モジュール280またはインシデント解決管理モジュール250で実施して、関連する機能を共に配置することができる。他の組合せが当業者には明らかであろう。
図8は、本発明の一態様を示す流れ図を示す。この態様によれば、マネージドサービスの顧客は、顧客自身のセキュリティ標準を選択することができ、マネージドサービスプロバイダがフィードバックを与え、適切なら機能強化を推奨し、または恐らくは、顧客の選択の結果として生じた可能性のある脅威の改善を推奨する。801で、顧客は、資産値、潜在的脅威の重要性(イベント優先順位)、および取るべきアクションに基づいてアクションを選択することができる。顧客が選択を行った後、802で、脅威視覚化システムまたはモジュール(図2および図6の項目280)が、セキュリティイベントの必要な相関を実施する。次いで803で、イベントが生じたときのイベントが、顧客の選択した優先順位およびセキュリティイベントと突き合わせて処理され、804で、顧客イベントのトリガリングに応答して適切なアクションが行われる。
顧客イベントがトリガされた後、805の分岐で表されるように、アクション806〜808のいずれかまたはすべてを行うことができる。806で、脅威を改善するために、(ネットワークルータにアクセス制御リストを配置し、またはファイアウォール規則を追加して、トラフィックを除去し、またはトラフィックにフラグを付けることなどにより)構成の変化、すなわちセキュリティパラメータの変化があることがある。807で、セキュリティ要員に直ちに調査するように指示することができる。一実施形態では、このことは、アクション可能なイベントのトリガリングによって実施することができる。808で、顧客へのポータル通知によって顧客のビジネスワークフロープロセスをトリガすることができる。
図8は、マネージドサービスの顧客が顧客自身のセキュリティポリシーおよびコンプライアンスを管理する本発明の一態様を示すが、マネージドサービスプロバイダが、その代わりにその管理の一部またはすべてを実施できることに留意されたい。この代替は、マネージドサービスプロバイダが、他のマネージドサービスの顧客に関する関連情報、さらには類似情報と、資産およびそうした資産への脅威の顧客自身の評価とを利用することができる場合にメリットを有することがある。したがって、例えば図8の801を、顧客ではなくマネージドサービスプロバイダによって実施することができ、顧客アクションではなく、プロバイダアクションに応答して803を実施することができる。
上記を考慮に入れて、次いで本発明の一態様によれば、ネットワーク脅威タイプおよび流行に関するデータを統計的に分析することができる。ネットワーク資産が重要性に従って分類され、資産が影響を受けやすいアタックまたは脅威のタイプに従って、および存在している脅威またはアタックの統計的尤度に従って分類することもできる。一態様では、脅威データと、危険にさらされる関連する資産の組合せに、特定の脅威が存在する危険の程度を考慮に入れた値、および特定の顧客にとっての資産の値を割り当てることができる。次いで、提示された全体的危険に照らして脅威に対処する措置を講じるかどうかを決定することが可能となる。
上述のモジュールのうちの様々なモジュールは、限定はしないが、一態様では、様々な環境内の様々なネットワークタイプに対する脅威の上昇傾向または下降傾向を識別する能力を含む、分析の改善を実現するように協働することができる。本発明の一態様では、特定の顧客サイト内の、または顧客サイト全体にわたるアプリケーション性能またはネットワーク性能のうちの1つまたは複数傾向を識別することが可能であることがある。
ネットワークに関する構成ポリシー、ネットワーク内のサーバ、および/またはセキュリティを全般的に高めることもできるが、(例えば資産値および脅威値の点で)ある顧客のセキュリティ経験を1つまたは複数の他の顧客に適用することによって相乗効果が達成される。
一態様では、上述の相関モジュールを相関エンジンと見ることができる。他のモジュールから受け取った履歴データおよび実際のデータと共に、トレンディングエンジン(trending engine)を考案し、脅威および/またはネットワーク性能もしくはアプリケーション性能の上昇傾向または下降傾向を予測するのに使用することができる。
いくつかの実施形態を参照しながら本発明を上記で詳細に説明したが、本発明の範囲および精神の中にある変形形態が当業者には明らかとなるであろう。したがって、添付の特許請求の範囲の範囲のみによって本発明が限定されると見なされるべきである。
100 サーバファーム
250 インシデント解決管理モジュール
252 モジュール
254 証拠保持モジュール
256 アクセスおよびインシデント協調モジュール
258 ヘルプデスク統合モジュール
260 知識ベースモジュール
262 識別モジュール
264 解析モジュール
266 位置特定および反撃モジュール
268 顧客特有応答情報モジュール
270 多次元相関モジュール
272 統計的相関モジュール
274 履歴相関モジュール
280 脅威視覚化モジュール
282 ユーザインターフェース
284 リスクダッシュボード
286 装置ステータスビューア
288 グローバル脅威ダッシュボード
290 ログデータモジュール
292 レポーティングおよび分析モジュール
250 インシデント解決管理モジュール
252 モジュール
254 証拠保持モジュール
256 アクセスおよびインシデント協調モジュール
258 ヘルプデスク統合モジュール
260 知識ベースモジュール
262 識別モジュール
264 解析モジュール
266 位置特定および反撃モジュール
268 顧客特有応答情報モジュール
270 多次元相関モジュール
272 統計的相関モジュール
274 履歴相関モジュール
280 脅威視覚化モジュール
282 ユーザインターフェース
284 リスクダッシュボード
286 装置ステータスビューア
288 グローバル脅威ダッシュボード
290 ログデータモジュール
292 レポーティングおよび分析モジュール
Claims (18)
- ネットワーク脅威応答を自動化する方法であって、
ネットワークアタックの影響を受けやすい資産のタイプを識別する段階と、
資産の前記タイプのそれぞれに資産値を割り当てる段階と、
ネットワークアタックの脅威のタイプを識別する段階と、
脅威の前記タイプのそれぞれに脅威値を割り当てる段階と、
複数の顧客のそれぞれについて、資産の前記タイプのうちの1つと、脅威の前記タイプのうちの1つの少なくともいくつかの組合せについて、前記組合せのどれが脅威応答の価値があるかを判定する段階と
を含む方法。 - 前記判定に従って、前記ネットワークへのアクセスを選択的にブロックする段階をさらに含む請求項1に記載の方法。
- 前記選択的にブロックする段階が、特定のインターネットポートへのアクセスをブロックする段階を含む請求項2に記載の方法。
- 前記判定する段階が、前記組合せのそれぞれに脅威値を割り当てる段階と、前記脅威値を所定のしきい値と比較する段階とを含む請求項2に記載の方法。
- 前記選択的にブロックする段階が、前記所定のしきい値を超える各脅威値について実施される請求項4に記載の方法。
- 資産値を割り当てる前記段階が、それぞれの前記顧客について、その顧客に関連する各資産タイプに関する資産値を割り当てる段階を含む請求項1に記載の方法。
- 異なる顧客が、少なくとも1つの共通資産タイプを有することができるが、異なる資産値が1つの共通資産タイプにそれぞれ割り当てられる請求項1に記載の方法。
- 異なる顧客が、少なくとも1つの共通資産タイプを有することができるが、異なる資産値が前記少なくとも1つの共通資産タイプにそれぞれ割り当てられる請求項1に記載の方法。
- マネージドサービスの顧客が前記資産値を割り当てる請求項1に記載の方法。
- マネージドサービスの顧客が前記脅威値を割り当てる請求項1に記載の方法。
- マネージドサービスプロバイダが、マネージドサービスの顧客の特徴を他のマネージドサービスの顧客の特徴と比較することによって前記資産値を割り当てる請求項1に記載の方法。
- マネージドサービスプロバイダが、マネージドサービスの顧客の特徴を他のマネージドサービスの顧客の特徴と比較することによって前記脅威値を割り当てる請求項1に記載の方法。
- 複数の顧客にマネージドサービスを提供するマネージドサービスシステムにおいて、
資産タイプおよびセキュリティ脅威に関連する脅威解決策を保持する知識ベースモジュールと、
各顧客について、顧客の資産と、前記顧客の資産が直面する脅威とを相関させ、その顧客に関する脅威値を求める相関モジュールと、
前記相関モジュールと共に働いて、前記セキュリティ脅威に対する応答を管理する管理モジュールと、
前記相関モジュールと共に働いて、前記マネージドサービスシステム内のセキュリティ脅威を解決するインシデント解決モジュールと
を備える自動化ネットワーク脅威応答システム。 - 前記マネージドサービス内の前記顧客に対する脅威の視覚化を容易にする視覚化モジュールをさらに備える請求項12に記載のシステム。
- 前記マネージドサービスシステム内の脅威イベントを記録するログデータモジュールをさらに備える請求項12に記載のシステム。
- マネージドサービスプロバイダが、前記知識ベースモジュール内に含まれる脅威解決策を開発する請求項12に記載のシステム。
- 前記相関モジュールが、前記顧客自身の評価に基づいて、前記顧客から前記脅威値を得る請求項12に記載のシステム。
- 前記相関モジュールが、前記顧客自身の評価に基づいて、前記顧客から前記資産値を得る請求項12に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/236,439 | 2008-09-23 | ||
| US12/236,439 US8220056B2 (en) | 2008-09-23 | 2008-09-23 | Threat management system and method |
| PCT/US2009/058022 WO2010036701A1 (en) | 2008-09-23 | 2009-09-23 | Threat management system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012503805A true JP2012503805A (ja) | 2012-02-09 |
| JP5631881B2 JP5631881B2 (ja) | 2014-11-26 |
Family
ID=42060063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011528092A Expired - Fee Related JP5631881B2 (ja) | 2008-09-23 | 2009-09-23 | 脅威管理システムおよび方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8220056B2 (ja) |
| EP (1) | EP2329397A4 (ja) |
| JP (1) | JP5631881B2 (ja) |
| SG (1) | SG179495A1 (ja) |
| WO (1) | WO2010036701A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11593475B2 (en) | 2017-01-30 | 2023-02-28 | Nec Corporation | Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312549B2 (en) * | 2004-09-24 | 2012-11-13 | Ygor Goldberg | Practical threat analysis |
| US20110238587A1 (en) * | 2008-09-23 | 2011-09-29 | Savvis, Inc. | Policy management system and method |
| US8997234B2 (en) * | 2011-07-27 | 2015-03-31 | Mcafee, Inc. | System and method for network-based asset operational dependence scoring |
| US8732840B2 (en) * | 2011-10-07 | 2014-05-20 | Accenture Global Services Limited | Incident triage engine |
| US10044582B2 (en) | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
| US9258321B2 (en) | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
| US9392003B2 (en) * | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| WO2014052756A2 (en) | 2012-09-28 | 2014-04-03 | Level 3 Communications, Llc | Apparatus, system and method for identifying and mitigating malicious network threats |
| US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| US9912555B2 (en) | 2013-03-15 | 2018-03-06 | A10 Networks, Inc. | System and method of updating modules for application or content identification |
| US9722918B2 (en) | 2013-03-15 | 2017-08-01 | A10 Networks, Inc. | System and method for customizing the identification of application or content type |
| US9838425B2 (en) | 2013-04-25 | 2017-12-05 | A10 Networks, Inc. | Systems and methods for network access control |
| US9294503B2 (en) | 2013-08-26 | 2016-03-22 | A10 Networks, Inc. | Health monitor based distributed denial of service attack mitigation |
| US20150120908A1 (en) * | 2013-10-29 | 2015-04-30 | International Business Machines Corporation | Real-time, distributed administration of information describing dependency relationships among configuration items in a data center |
| US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US9967282B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling computing objects for improved threat detection |
| US10965711B2 (en) | 2014-09-14 | 2021-03-30 | Sophos Limited | Data behavioral tracking |
| US9756071B1 (en) | 2014-09-16 | 2017-09-05 | A10 Networks, Inc. | DNS denial of service attack protection |
| US9699201B2 (en) | 2014-09-25 | 2017-07-04 | International Business Machines Corporation | Automated response to detection of threat to cloud virtual machine |
| US9537886B1 (en) | 2014-10-23 | 2017-01-03 | A10 Networks, Inc. | Flagging security threats in web service requests |
| CN104378364B (zh) * | 2014-10-30 | 2018-02-27 | 广东电子工业研究院有限公司 | 一种信息安全管理中心的协同分析方法 |
| US9621575B1 (en) * | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
| US9900343B1 (en) | 2015-01-05 | 2018-02-20 | A10 Networks, Inc. | Distributed denial of service cellular signaling |
| US9848013B1 (en) | 2015-02-05 | 2017-12-19 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack detection |
| US10063591B1 (en) | 2015-02-14 | 2018-08-28 | A10 Networks, Inc. | Implementing and optimizing secure socket layer intercept |
| US10693914B2 (en) | 2015-06-26 | 2020-06-23 | Micro Focus Llc | Alerts for communities of a security information sharing platform |
| EP3314805A1 (en) | 2015-06-26 | 2018-05-02 | Entit Software LLC | Sharing of community-based security information |
| US9787581B2 (en) | 2015-09-21 | 2017-10-10 | A10 Networks, Inc. | Secure data flow open information analytics |
| US10469594B2 (en) | 2015-12-08 | 2019-11-05 | A10 Networks, Inc. | Implementation of secure socket layer intercept |
| US10333962B1 (en) | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
| US10108803B2 (en) | 2016-03-31 | 2018-10-23 | International Business Machines Corporation | Automatic generation of data-centric attack graphs |
| US10812348B2 (en) | 2016-07-15 | 2020-10-20 | A10 Networks, Inc. | Automatic capture of network data for a detected anomaly |
| US10341118B2 (en) | 2016-08-01 | 2019-07-02 | A10 Networks, Inc. | SSL gateway with integrated hardware security module |
| US10382562B2 (en) | 2016-11-04 | 2019-08-13 | A10 Networks, Inc. | Verification of server certificates using hash codes |
| US10250475B2 (en) | 2016-12-08 | 2019-04-02 | A10 Networks, Inc. | Measurement of application response delay time |
| US10397270B2 (en) | 2017-01-04 | 2019-08-27 | A10 Networks, Inc. | Dynamic session rate limiter |
| US10187377B2 (en) | 2017-02-08 | 2019-01-22 | A10 Networks, Inc. | Caching network generated security certificates |
| US10623433B1 (en) * | 2017-09-25 | 2020-04-14 | Amazon Technologies, Inc. | Configurable event-based compute instance security assessments |
| US10721266B1 (en) * | 2017-10-30 | 2020-07-21 | EMC IP Holding Company LLC | Automated security incident remediation recommender |
| CN112202764B (zh) * | 2020-09-28 | 2023-05-19 | 中远海运科技股份有限公司 | 网络攻击链路可视化系统、方法和服务器 |
| CN112887303B (zh) * | 2021-01-25 | 2022-09-30 | 中国人民解放军92493部队参谋部 | 一种串入式威胁接入管控系统及方法 |
| US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004272319A (ja) * | 2003-03-05 | 2004-09-30 | Hitachi Ltd | セキュリティ性向上と管理容易化のための装置をもった計算機と方法 |
| JP2005071087A (ja) * | 2003-08-25 | 2005-03-17 | Nec Soft Ltd | 侵害に対する意思決定装置と方法、及びプログラム |
| JP2005135239A (ja) * | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法 |
| JP2006268544A (ja) * | 2005-03-24 | 2006-10-05 | Ntt Communications Kk | ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム |
| JP2007122408A (ja) * | 2005-10-28 | 2007-05-17 | Hitachi Ltd | クライアントセキュリティ管理システム |
| WO2007091305A1 (ja) * | 2006-02-08 | 2007-08-16 | Fujitsu Limited | ワーム対策プログラム、ワーム対策装置、ワーム対策方法 |
| WO2008004498A1 (fr) * | 2006-07-06 | 2008-01-10 | Nec Corporation | Système, dispositif, procédé et programme de gestion des risques de sécurité |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7185368B2 (en) * | 2000-11-30 | 2007-02-27 | Lancope, Inc. | Flow-based detection of network intrusions |
| AU2002243763A1 (en) * | 2001-01-31 | 2002-08-12 | Internet Security Systems, Inc. | Method and system for configuring and scheduling security audits of a computer network |
| US20030005326A1 (en) * | 2001-06-29 | 2003-01-02 | Todd Flemming | Method and system for implementing a security application services provider |
| US7373666B2 (en) * | 2002-07-01 | 2008-05-13 | Microsoft Corporation | Distributed threat management |
| US7685254B2 (en) * | 2003-06-10 | 2010-03-23 | Pandya Ashish A | Runtime adaptable search processor |
| US7138914B2 (en) * | 2003-08-01 | 2006-11-21 | Spectrum Tracking Systems, Inc. | Method and system for providing tracking services to locate an asset |
| US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
| US20050257269A1 (en) * | 2004-05-03 | 2005-11-17 | Chari Suresh N | Cost effective incident response |
| US7735140B2 (en) * | 2004-06-08 | 2010-06-08 | Cisco Technology, Inc. | Method and apparatus providing unified compliant network audit |
| US8312549B2 (en) * | 2004-09-24 | 2012-11-13 | Ygor Goldberg | Practical threat analysis |
| US20060129810A1 (en) * | 2004-12-14 | 2006-06-15 | Electronics And Telecommunications Research Institute | Method and apparatus for evaluating security of subscriber network |
| US7594270B2 (en) * | 2004-12-29 | 2009-09-22 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
| JP4545647B2 (ja) * | 2005-06-17 | 2010-09-15 | 富士通株式会社 | 攻撃検知・防御システム |
| US8781930B2 (en) * | 2005-10-07 | 2014-07-15 | Sap Ag | Enterprise integrity simulation |
| US7461036B2 (en) * | 2006-01-18 | 2008-12-02 | International Business Machines Corporation | Method for controlling risk in a computer security artificial neural network expert system |
| US7996447B2 (en) * | 2007-07-24 | 2011-08-09 | Dell Products L.P. | Method and system for optimal file system performance |
| US20090070880A1 (en) * | 2007-09-11 | 2009-03-12 | Harris David E | Methods and apparatus for validating network alarms |
-
2008
- 2008-09-23 US US12/236,439 patent/US8220056B2/en active Active
-
2009
- 2009-09-23 WO PCT/US2009/058022 patent/WO2010036701A1/en active Application Filing
- 2009-09-23 EP EP09816789.3A patent/EP2329397A4/en not_active Withdrawn
- 2009-09-23 JP JP2011528092A patent/JP5631881B2/ja not_active Expired - Fee Related
- 2009-09-23 SG SG2012018750A patent/SG179495A1/en unknown
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004272319A (ja) * | 2003-03-05 | 2004-09-30 | Hitachi Ltd | セキュリティ性向上と管理容易化のための装置をもった計算機と方法 |
| JP2005071087A (ja) * | 2003-08-25 | 2005-03-17 | Nec Soft Ltd | 侵害に対する意思決定装置と方法、及びプログラム |
| JP2005135239A (ja) * | 2003-10-31 | 2005-05-26 | Fujitsu Social Science Laboratory Ltd | 情報セキュリティ管理プログラム、情報セキュリティ管理装置および管理方法 |
| JP2006268544A (ja) * | 2005-03-24 | 2006-10-05 | Ntt Communications Kk | ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム |
| JP2007122408A (ja) * | 2005-10-28 | 2007-05-17 | Hitachi Ltd | クライアントセキュリティ管理システム |
| WO2007091305A1 (ja) * | 2006-02-08 | 2007-08-16 | Fujitsu Limited | ワーム対策プログラム、ワーム対策装置、ワーム対策方法 |
| WO2008004498A1 (fr) * | 2006-07-06 | 2008-01-10 | Nec Corporation | Système, dispositif, procédé et programme de gestion des risques de sécurité |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11593475B2 (en) | 2017-01-30 | 2023-02-28 | Nec Corporation | Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2329397A1 (en) | 2011-06-08 |
| SG179495A1 (en) | 2012-04-27 |
| US20110239303A1 (en) | 2011-09-29 |
| US8220056B2 (en) | 2012-07-10 |
| JP5631881B2 (ja) | 2014-11-26 |
| EP2329397A4 (en) | 2015-07-08 |
| WO2010036701A1 (en) | 2010-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5631881B2 (ja) | 脅威管理システムおよび方法 | |
| US8799462B2 (en) | Insider threat correlation tool | |
| US9038187B2 (en) | Insider threat correlation tool | |
| Kebande et al. | Real-time monitoring as a supplementary security component of vigilantism in modern network environments | |
| US20120004947A1 (en) | Integrated data management for network service providers and customers | |
| Miloslavskaya | Security operations centers for information security incident management | |
| Jouini et al. | A multidimensional approach towards a quantitative assessment of security threats | |
| US11785036B2 (en) | Real-time validation of data transmissions based on security profiles | |
| Blum et al. | Institute resilience through detection, response, and recovery | |
| Bezas et al. | Comparative analysis of open source security information & event management systems (SIEMs) | |
| Torres | Incident response: How to fight back | |
| Crowley et al. | The Definition of SOC-cess | |
| Dorigo | Security information and event management | |
| Kanstrén et al. | A study on the state of practice in security situational awareness | |
| Jouini et al. | A security risk management model for cloud computing systems: infrastructure as a service | |
| Flynn et al. | Cloud service provider methods for managing insider threats: Analysis phase ii, expanded analysis and recommendations | |
| Masvosvere et al. | Using a standard approach to the design of next generation e-Supply Chain Digital Forensic Readiness systems | |
| Catescu | Detecting insider threats using security information and event management (SIEM) | |
| Thompson et al. | Hipaa security rule and cybersecurity operations | |
| Motlhabi et al. | Context-aware cyber threat intelligence exchange platform | |
| Patil et al. | USER BEHAVIOUR ANALYSIS | |
| Irfan et al. | Information Security Framework Targeting DDOS attacks in Financial Institutes | |
| Bordi et al. | The Evolution from SOC and CERT to the Cyber Defence Operation Center | |
| Kizza et al. | Security Assessment, Analysis, and Assurance | |
| Chowdhury | Author’s declaration of originality |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120718 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131030 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140204 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140303 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140616 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20140625 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140908 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141008 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5631881 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |