JP2016503936A - アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法 - Google Patents
アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法 Download PDFInfo
- Publication number
- JP2016503936A JP2016503936A JP2015553809A JP2015553809A JP2016503936A JP 2016503936 A JP2016503936 A JP 2016503936A JP 2015553809 A JP2015553809 A JP 2015553809A JP 2015553809 A JP2015553809 A JP 2015553809A JP 2016503936 A JP2016503936 A JP 2016503936A
- Authority
- JP
- Japan
- Prior art keywords
- application
- file
- records
- record
- file attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Stored Programmes (AREA)
Abstract
様々な実施形態において、方法は、複数の記録の各々が、異なる実行ファイルの実行又は終了中に行われ、かつ異なる実行ファイルの実行又は終了に関連する情報を含む複数の記録を第1デジタルデバイスから受信する段階と、少なくとも1つのセグメントが、複数の記録のうちの少なくとも1つの全てよりも少なく、セグメントが、異なる実行ファイルに関連するアプリケーション又はファイル属性を含む少なくとも1つのセグメントを複数の記録のうちの少なくとも1つから取り出す段階と、アプリケーション又はファイル属性と脆弱性データベースを比較する段階と、比較に基づいてリスクを識別する段階と、リスクを識別する報告を発生する段階とを含む。【選択図】 図2
Description
〔権利表示〕
本特許文書の開示の一部分は、権利保護の対象である内容を含む。本出願人は、米国特許庁の特許ファイル又は記録に表される通りに第三者が特許文書又は特許開示を複製することに異議を唱えないが、それ以外は全ての権利を留保する。
本特許文書の開示の一部分は、権利保護の対象である内容を含む。本出願人は、米国特許庁の特許ファイル又は記録に表される通りに第三者が特許文書又は特許開示を複製することに異議を唱えないが、それ以外は全ての権利を留保する。
1.技術分野
本発明は、一般的にアプリケーション及びファイル脆弱性の識別に関する。より具体的には、本発明は、アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法に関する。
2.関連技術の説明
最新のコンピュータ攻撃の傾向は、家庭及び企業ネットワークのソフトウエア脆弱性をターゲットにするものである。これらのクライアント側攻撃は、サイバー犯罪者にとって有益であることが証明されている。サーバは、エンドユーザ対話が少なく、ワークステーションよりも高度に守られる傾向があるので、クライアントは、サーバよりも容易なターゲットである。従って、これらのクライアント側攻撃は、ハッカーが求めている手の届く高さにある果物を提供している。エンドユーザをターゲットにすることにより、ハッカーは、多数のコンピュータへのより容易なアクセスを獲得し、それによって最少量の努力で大きい成果を生んでいる。ワークステーションのクライアントアプリケーションにおける単一の脆弱性は、同じネットワーク上のより重要な情報資産へのアクセスを提供する場合がある。クライアント側の突破口は、従って、そうでなければ周辺防御によって保護されて内部ネットワークを通じてのみアクセス可能である他のワークステーション又はサーバに対する攻撃の拠点として欠陥のあるワークステーションを利用する可能性がある。
クライアント側突破口は、ウェブブラウザ、電子メールアプリケーション、及びメディアプレーヤ(例えば、インターネットエクスプローラ、Firefox、マイクロソフトアウトルック、マイクロソフトメディアプレーヤ、及びRealNetworksのRealPlayer)のようなクライアントソフトウエアにおける脆弱性を利用するものである。クライアント側突破口は、クライアントアプリケーションによって使用されるシステムワイドライブラリにおける脆弱性も悪用する可能性がある。例えば、JPEG画像を表示する画像ライブラリにおける脆弱性は、ウェブブラウザ又は電子メールアプリケーションを通じて悪用可能である場合がある。クライアント側突破口は、ファイヤウォール及びウェブプロキシのような従来の周辺防御によっては阻止されない。SANS研究所(http://www.sans.org)及び他の業界団体によってモニタされている傾向は、クライアント側脆弱性が2005年にサーバ側脆弱性を相殺し始めたことを示している。
SANS研究所(http://www.sans.org)
様々な実施形態において、方法は、複数の記録の各々が、異なる実行ファイルの実行又は終了中に行われ、かつ異なる実行ファイルの実行又は終了に関連する情報を含む複数の記録を第1デジタルデバイスから受信する段階と、少なくとも1つのセグメントが、複数の記録のうちの少なくとも1つの全てよりも少なく、セグメントが、異なる実行ファイルに関連するアプリケーション又はファイル属性を含む少なくとも1つのセグメントを複数の記録のうちの少なくとも1つから取り出す段階と、アプリケーション又はファイル属性と脆弱性データベースを比較する段階と、比較に基づいてリスクを識別する段階と、リスクを識別する報告を発生する段階とを含む。
様々な実施形態において、複数の記録は、異なる実行ファイルに関連付けられたログファイルを含む。アプリケーション又はファイル属性は、例えば、アプリケーション又はファイルバージョン、実行時間、又は呼出し処理を含むことができる。
本方法は、複数の記録のうちの少なくとも1つのタイプを識別する段階と、複数の記録のうちの少なくとも1つの識別されたタイプに基づいて記録情報データベースから記録情報を取り出す段階と、複数の記録のうちの少なくとも1つ内の少なくとも1つのセグメントの位置を識別する段階とを更に含むことができ、少なくとも1つのセグメントを取り出す段階は、識別された位置から少なくとも1つのセグメントを取り出す段階を含む。
一部の実施形態において、本方法は、脆弱性データベースとのアプリケーション又はファイル属性の比較が発生することになる時をスケジュールする段階と、スケジュールに基づいて脆弱性データベースに対してアプリケーション又はファイル属性を比較することを待つ段階とを更に含む。様々な実施形態において、本方法は、複数の記録を認証する段階を更に含み、アプリケーション又はファイル属性は、認証が成功した後にのみ脆弱性データベースと比較される。
脆弱性データベースに対してアプリケーション又はファイル属性を比較する段階は、ホワイトリストに対してアプリケーション又はファイル属性を比較する段階を含むことができる。一部の実施形態において、脆弱性データベースに対してアプリケーション又はファイル属性を比較する段階は、ブラックリストに対してアプリケーション又はファイル属性を比較する段階を含むことができる。様々な実施形態において、脆弱性データベースに対してアプリケーション又はファイル属性を比較する段階は、疑わしいアプリケーション又はファイルに関連付けられたアプリケーション又はファイル属性を含むグレイリストに対してアプリケーション又はファイル属性を比較する段階を含むことができる。本方法は、グレイリストに対するアプリケーション又はファイル属性の比較に基づいてリスク値を決定する段階と、リスク値に基づいて警報を提供する段階とを更に含むことができる。更に、本方法はまた、ユーザ閾値に対してリスク値を比較する段階を含むことができ、リスク値に基づいて警報を提供する段階は、この比較に基づいて警報を提供する段階を含む。
例示的なシステムは、通信モジュールと、情報取り出しモジュールと、評価モジュールと、報告モジュールとを含む。通信モジュールは、第1デジタルデバイスから複数の記録を受信するように構成することができ、複数の記録の各々は、異なる実行ファイルの実行又は終了中に行われ、異なる実行ファイルの実行又は終了に関連する情報を含む。情報取り出しモジュールは、複数の記録のうちの少なくとも1つから少なくとも1つのセグメントを取り出すように構成することができ、少なくとも1つのセグメントは、複数の記録のうちの少なくとも1つの全てよりも少なく、セグメントは、異なる実行ファイルに関連するアプリケーション又はファイル属性を含む。評価モジュールは、脆弱性データベースに対してアプリケーション又はファイル属性を比較し、かつ比較に基づいてリスクを識別するように構成することができる。報告モジュールは、リスクを識別する報告を発生するように構成することができる。
コンピュータ可読媒体は、実行可能命令を含むことができる。コンピュータ可読媒体は、持続性とすることができる。命令は、方法を実行するためにプロセッサによって実行可能である。本方法は、異なる実行ファイルの実行又は終了中に行われ、かつ異なる実行ファイルの実行又は終了に関連する情報を各々が含む複数の記録を第1デジタルデバイスから受信する段階と、複数の記録のうちの少なくとも1つの全てよりも少なく、異なる実行ファイルに関連するアプリケーション又はファイル属性を含む少なくとも1つのセグメントを複数の記録のうちの少なくとも1つから取り出す段階と、脆弱性データベースに対してアプリケーション又はファイル属性を比較する段階と、比較に基づいてリスクを識別する段階と、リスクを識別する報告を発生する段階とを含むことができる。
図1は、従来技術における脆弱性状態に符合するターゲットの能動ネットワーク走査のための流れ図100である。走査ターゲットの従来の脆弱性評価は、ターゲットハードウエア及びソフトウエアの構成又は状態を監査する一連の試験を開始することになる。これらの検査は、紛失パッチ又は安全でない構成のような脆弱性を試験することになる。これらの試験の部分集合は、典型的には、ターゲット機械上にインストールされたソフトウエア及びクライアントアプリケーションを調べる。ファイルシステム、レジストリ、及び構成ファイルを調べることにより、スキャナは、アプリケーション(例えば、インターネットエクスプローラ、Firefox、マイクロソフトアウトフック、マイクロソフトメディアプレーヤ、及びRealNetworksのRealPlayer)の旧式バージョンを検出することができる。典型的には、これらの能動試験は、インストールされたアプリケーションを調べて以下を識別することになる。
・アプリケーション名
・アプリケーションの発行者
・ファイル名
・ファイル位置/経路
・ファイルバージョン
・ファイルタイムスタンプ
・ファイル記述
・ファイルチェックサム(MD5、SHA−1、その他)
・デジタル署名
・アプリケーション名
・アプリケーションの発行者
・ファイル名
・ファイル位置/経路
・ファイルバージョン
・ファイルタイムスタンプ
・ファイル記述
・ファイルチェックサム(MD5、SHA−1、その他)
・デジタル署名
この情報から、脆弱性スキャナは、公知の脆弱性のデータベースを検索し、インストールされたアプリケーションが公知の脆弱性に関連付けられるかを調べる。次に、脆弱性スキャナのユーザに規範的ガイダンスが提供される。
流れ図100は、従来技術におけるターゲットのネットワーク走査の例示的な処理である。段階102では、走査サーバが、走査ターゲットを選択する。走査ターゲットは、走査をサポートするように構成されたあらゆるデジタルデバイスとすることができる。一例では、デジタルデバイスは、走査ソフトウエアと、走査を指令することができるセントラルサーバに応答する少なくとも1つのエージェントとをインストールしておくべきである。デジタルデバイスは、プロセッサ及びメモリを備えたあらゆるデバイスである。
段階104では、走査サーバは、利用可能な走査ターゲットを決定することができる。走査サーバは、典型的には、ネットワーク走査のスケジューリングを必要とする。走査は、一般的に、走査がデジタルデバイスの性能を低下させるのでターゲットデジタルデバイスが使用されない時に行われる。残念ながら、多くのデジタルデバイスが使用されない時に、それらは、停止される場合があり(すなわち、ネットワークに利用できない)、この結果、接続されていない及び/又は給電されていないデジタルデバイスは走査できない。
段階106では、走査サーバは、ターゲットデジタルデバイスの利用可能度を決定する。ターゲットデジタルデバイスがネットワークにあり、かつ走査のためのリソースを有する場合に(例えば、ターゲットデジタルデバイスが、朝の午前3時に利用可能であり、及び/又は予め決められた期間にわたってユーザによって使用されていない)、走査サーバは、段階108でネットワークを通じて走査ターゲット(ターゲットデジタルデバイスなど)に接続することができる。ターゲットデジタルデバイスが利用できない場合に、処理は、段階118で終了するか又は別の時間に再スケジュールすることができ、それによって走査サーバは、ここでもまた、ターゲットデジタルデバイスが利用可能であるかを決定しなければならない(段階106を参照されたい)。
走査サーバが段階110でターゲットデジタルデバイスへの接続に成功した場合に、走査サーバは、ターゲットデジタルデバイスを直接に走査することができ、又は段階112でターゲットデジタルデバイスのセルフスキャンをトリガすることができる(すなわち、ターゲットに問い合わせる)。接続が成功しなかった場合に、処理は、段階118で終了し、走査が再スケジュールされる。
走査中に、アプリケーション、ファイル、及びレジストリは、直接に調べられてアプリケーション及びファイルを識別することができる。情報は、取り出されて公知の脆弱性のデータベースに対して比較される。脆弱性状態の符合が段階114で決定された場合に、走査サーバ又はターゲットデジタルデバイスは、段階116で発見を報告することができる。符合が見出されなかったか又は報告が発生された場合に、走査サーバは、追加の検査が必要であるか否かを段階120で決定することができる。追加の検査が必要である場合に、処理は、再走査するか又は追加の走査(ターゲットデジタルデバイスが利用可能である場合)を段階112で実行する。追加の検査が必要ない場合に、処理は、段階118で終了する。
図2は、一部の実施形態おける例示的環境200のブロック図である。様々な実施形態において、異なるデジタルデバイスは、通信ネットワーク204上でセキュリティ評価システム202と通信する。本明細書で説明するように、デジタルデバイスは、プロセッサ及びメモリを備えたあらゆるデバイスである。デジタルデバイスを本明細書では図9に関して更に説明する。様々な実施形態において、異なるデジタルデバイス(例えば、スマートフォン206、タブレットデバイス208、ラップトップ210、ネットワークデバイス212、PC214、Unix(登録商標)サーバ216、及びWindowsサーバ218)は、1つ又はそれよりも多くのアプリケーション又はファイルの1つ又はそれよりも多くのインスタンスの実行又は終了に関する記録(ログ又は他の情報など)を発生させることができる。多くの第三者アプリケーションは、様々な目的のために記録(例えば、ログ)を発生させることができる。記録は、1つ又はそれよりも多くの実行ファイルの1つ又はそれよりも多くのインスタンスの実行又は終了中に発生させることができる。一例では、記録は、実行可能インスタンスの実行又は終了中に発生させることができる。実行ファイルは、走査及び/又はセキュリティに関連しない場合がある。記録は、実行ファイル、システム呼出し、又は実行ファイルのバージョンなどの性能を追跡するために作成することができる。実行ファイルのインスタンスは、記録の作成を開始しなくてもよく、記録の開始及び作成は、実行可能インスタンスの機能に関連しない場合がある。
セキュリティ評価システム202は、記録(1つ又はそれよりも多くの第三者アプリケーションの記録を含む)を受信し、記録の中から関連情報を取り出し、かつ各デバイスを能動的に走査する必要なく潜在的な脆弱性を識別するように構成することができる。様々な実施形態において、異なるデジタルデバイスの脆弱性は、走査されるデジタルデバイスの性能を低下させ、エンドユーザの協働を要求することがある(例えば、デジタルデバイスを走査のためにネットワークに接続する及び/又は走査を中断せずに走査中にデジタルデバイスに給電し続けるために)従来技術に説明した能動的脆弱性走査をスケジュールすることなく検出することができる。
様々な実施形態において、記録は、あらゆる時間にデジタルデバイス上のあらゆる数のアプリケーションによって発生させることができる。同様に、記録は、あらゆる時間にセキュリティ評価システム202に提供することができる。セキュリティ評価システム202は、記録から関連情報を取り出し、取り出した情報をホワイトリスト、ブラックリスト、グレイリスト、及び/又は他の情報のような脆弱性データ構造と比較して脆弱性を検出することができる。一部の実施形態において、ホワイトリストは、公知の優良なアプリケーション及びファイルの識別子のデータ構造であり、ブラックリストは、公知の脆弱なアプリケーション及びファイルの識別子のデータ構造であり、グレイリストは、疑わしいアプリケーション及びファイルの識別子のデータ構造である。様々な実施形態において、セキュリティ評価システム202は、デジタルデバイスをスケジュールされたシステム全体の走査に利用することができる日付及び時間のみとは対照的に、あらゆる時間に脆弱性を検出することができる。更に、セキュリティ評価システム202は、スケジュールされた時間にデジタルデバイスの利用可能度を必要とすることなく脆弱性を検出することができ、かつデジタルデバイスが従来技術に説明するようにアプリケーション及びファイルに関して走査されないと考えられるので、デジタルデバイスの性能作動を乱すことは少ないと考えられる。
一部の実施形態において、セキュリティ評価システム202にデジタルデバイスの1つ又はそれよりも多くの記録を定期的に提供することは、ネットワークターゲットの従来の走査がスケジュールかつ実施される前に脆弱性の検出及び識別をもたらすことができる。例えば、セキュリティ評価システム202の限界は、脆弱性の記録を調べるためのリソースの利用可能度である場合がある。しかし、セキュリティ評価システム202は、場合によってはあらゆる時間に脆弱性を検出及び/又は識別することができるクラウドコンピュータ及び/又はあらゆる数のデジタルデバイスを含むことができる。しかし、従来の走査システムは、走査がスケジュールされた時間に走査されるデジタルデバイスの利用可能度、走査中のデジタルデバイス上のリソース利用、走査の持続時間に対するネットワーク接続性、ネットワーク輻輳、及びサーバリソースに基づいて制限される場合がある。これら及び他の制限、並びにデジタルデバイスのネットワーク走査の実用性のために、従来技術で説明したネットワーク走査は定期的にスケジュールされる(例えば、1週間に一度)。その結果、従来技術では、脆弱性は、その時間フレームでしか検出できない。当業者は、多くの脆弱性が悪用され、ネットワークがネットワーク走査中に障害を受けるが、セキュリティ評価システム202による記録のセキュリティ評価は、比較的迅速に脆弱性を検出及び/又は識別することができることを認めるであろう。
図200の環境は、通信ネットワーク204上で通信するセキュリティ評価システム202、スマートフォン206、タブレットデバイス208、ネットワークデバイス212、ラップトップ210、PC214、UNIX(登録商標)サーバ216、Windowsサーバ218、及びセキュリティ管理システム220を含む。ログのような記録は、スマートフォン206、タブレットデバイス208、ネットワークデバイス212、ラップトップ210、PC214、UNIXサーバ216、Windowsサーバ218、セキュリティ評価システム202のうちの1つ又はそれよりも多くによって発生させることができる。一例では、記録又はログは、リソース利用、処理呼出し、及びアプリケーションインスタンスの作動のレビューを可能にするために発生させることができる。記録又はログは、デジタルデバイスのあらゆるアプリケーション又はエージェントによって発生させることができる。
セキュリティ評価システム202は、記録から関連情報を取り出し、関連情報を利用して脆弱性を検出及び/又は識別することができる。セキュリティ評価システム202は、様々な実施形態において、検出及び/又は識別された脆弱性に基づいて報告及び/又は警報を発生させることができる。
記録は、構成、処理呼出し、例外処理、実行時間、呼出し処理、実行に必要なファイルの名前、ファイルタイプ、ファイルバージョン、アプリケーションタイプ、及び/又はアプリケーションバージョンなどを含むアプリケーションのインスタンスに関連する情報を含むことができる。記録は、アプリケーション又は実行ファイルのインスタンスに関連付けられた1つ又はそれよりも多くの処理のような情報を要約又は追跡するために発生させることができる。
一例では、デジタルデバイスは、デジタルデバイスによって実行される1つ又はそれよりも多くのアプリケーションのインスタンスに各々が関連付けられた異なるログを発生させることができる。当業者は、ログのような記録は、セキュリティに関連付けられない(例えば、脆弱性の検出及び識別に関連付けられない)目的のために多くのアプリケーションインスタンスに対して多くの異なるデバイスで発生されることが多いことを認めるであろう。例えば、ログの1つ又はそれよりも多くの主な目的は、構成、処理効率、性能、バックアップ、及び/又はアプリケーションインスタンスのエラー処理のレビューを可能にすることである。一部の記録又はログは、必要でない限りデジタルデバイスに留まることができる(例えば、永久に又は一時的に格納することができる)。デジタルデバイスの1つ又はそれよりも多くの他のアプリケーションは、アプリケーションインスタンス(例えば、ソフトウエア発行者)又はネットワーク管理者に関連付けられた1つ又はそれよりも多くの異なる第三者にログを提供するように構成することができる。
様々な実施形態において、1つ又はそれよりも多くの記録の複製は、評価のためにセキュリティ評価システム202に提供することができる。1つ又はそれよりも多くの記録は、セキュリティ関連ではないアプリケーションによってあらゆる時間に発生させることができ、記録は、セキュリティ関連の目的で発生させなくてもよい。一部の実施形態において、セキュリティ評価システム202に提供される複数の記録のうちの1つ又はそれよりも多くの記録は、セキュリティアプリケーションによって及び/又はセキュリティ関連のために発生させることができる。一部の実施形態において、セキュリティ情報及び事象管理システム(SIEM)は、ログを収集して一本化し、サーバに提供することができる。
セキュリティ評価システム202は、あらゆる時間に通信ネットワーク204に結合されたあらゆる数のデジタルデバイスからも1つ又はそれよりも多くの記録を受信することができる。同様に、セキュリティ評価システム202は、受信した時間に又はセキュリティ評価システム202のリソースの利用可能度に基づいて記録を評価し、1つ又はそれよりも多くの記録の全部又は一部の評価を実行することができる。セキュリティ評価システム202は、必要な時に報告及び/又は警報を発生させることができる。
一例では、ラップトップ210が最初に脆弱プログラム(例えば、ブラウザ)をインストールした時に、インストール処理の記録を発生させることができる(例えば、インストールアプリケーションのインスタンス中のインストール処理をログするために記録が発生される)。記録は、セキュリティ評価システム202に提供することができ、セキュリティ評価システム202は、記録からインストールされたプログラムのバージョン情報(すなわち、関連情報)を取り出してインストールされたプログラムのバージョン情報をブラックリスト(すなわち、公知の脆弱性のリスト)と比較することができる。セキュリティ評価システム202は、脆弱性を識別する警報又は報告を発生し、この警報及び/又は報告をラップトップ210及び/又はセキュリティ管理システム220のユーザに提供することができる。この例では、脆弱なブラウザは、脆弱性を決定するために実行する必要はない。システム管理者又はラップトップ210のユーザは、脆弱プログラムが識別される前に(従来技術に説明するように)スケジュールされたネットワーク走査まで待つ必要はない。
当業者は、ユーザデバイス、サーバ、ネットワークデバイス、又はあらゆるデバイスが、セキュリティ評価システム202によって評価される記録を提供することができることを認めるであろう。ユーザデジタルデバイスは、例えば、スマートフォン206、タブレットデバイス208、ラップトップ210、及びPC214を含む。スマートフォン206は、ネットワーク通信ができるあらゆる電話(例えば、デジタル電話又は携帯電話)とすることができる。タブレットデバイス208は、ネットワーク通信ができる電子読取器、タブレット、又はメディアプレーヤなどのようなあらゆる媒体デバイスを含むことができる。ラップトップ210は、ネットワーク通信ができるあらゆるコンピュータ又は移動デバイスである(例えば、ウルトラブック、ネットブック、ノートブック、又はラップトップなど)。様々な実施形態は、ネットワーク上で通信して記録を提供することができるあらゆる消費者電子デバイス(ビジネスユーザ又は家庭ユーザのいずれかのための)を含むことができる。
ネットワークデバイス212は、ネットワーク管理又は制御のために構成されたあらゆるデバイスとすることができる。ネットワークデバイスの例は、以下に限定されるものではないが、ルータ、ブリッジ、ネットワーク機器、ホットスポット、アクセスポイント、又はファイヤウォールなどを含む。当業者は、ネットワークデバイス212が、ネットワークデバイス212の脆弱性の評価又はネットワークデバイス212を利用するデバイス(例えば、ラップトップ210)による脆弱性の評価のためにセキュリティ評価システム202に提供することができる記録又は他の情報を発生させることができることを認めるであろう。
Unixサーバ216及びWindowsサーバ218は例示的なものである。オペレーティング又はファイルシステムにかかわらず、通信ネットワーク204のような1つ又はそれよりも多くのネットワークをサポートするように構成されたあらゆる数のサーバを存在させることができる。
セキュリティ評価システム202は、通信ネットワーク204上で1つ又はそれよりも多くの他のデジタルデバイスから記録を受信し、受信した記録の少なくとも一部から関連情報を取り出し、取り出した情報を評価し、評価に基づいて1つ又はそれよりも多くの脆弱性を識別するように構成されたあらゆる数のデジタルデバイスを含むことができる。セキュリティ評価システム202は、クラウドベースとすることができる。一部の実施形態において、セキュリティ評価システム202は、1つ又はそれよりも多くのネットワーク及び/又はセキュリティ家電を含む。セキュリティ家電の一例は、PowerKeeperである。セキュリティ家電は、本明細書に引用かつ組み込まれる「システム及びアカウントの自動発見のためのシステム及び方法」という名称の2009年9月30日出願の米国特許非仮出願出願番号第12/571,231号明細書に説明されている。
セキュリティ管理システム220は、通信ネットワーク204の管理のために構成されるあらゆる数のデジタルデバイスを含むことができる。一部の実施形態において、セキュリティ評価システム202は、安全、リスク、識別された脆弱性、及び/又は疑われる脆弱性に関する警報及び/又は報告をセキュリティ管理システム220に提供する。セキュリティ管理システム220は、一部の非制限的実施例において、脆弱であると見なされるアプリケーション又はファイルを使用不可にするためにネットワーク又はシステムの権利を制御し、ユーザの権利を変更し、ネットワーク権利を異なるデジタルデバイスに修正し、1つ又はそれよりも多くのアプリケーションのネットワーク権利を修正し、デジタルデバイスのネットワーク走査を開始し、脆弱であると見なされるアプリケーション又はファイルの除去を指令し、ネットワーク上でパッチをインストールし、ネットワーク上でソフトウエアをアップロードし、及び/又はセキュリティ評価システム202からの情報に基づいてセキュリティ警報を提供することができる。様々な実施形態において、セキュリティ管理システム220は、セキュリティ家電を含む。セキュリティ評価システム202及びセキュリティ管理システム220は、同じシステム又は同じデジタルデバイスである場合がある。
通信ネットワーク204は、デジタルデバイスが通信することを可能にするあらゆるネットワーク又はネットワークの組合せとすることができる。通信ネットワーク204は、インターネット、1つ又はそれよりも多くのLAN、及び/又は1つ又はそれよりも多くのWANを含むことができる。通信ネットワーク204は、無線及び/又は有線通信をサポートすることができる。
異なるデジタルデバイスが図2に示されているが、図は網羅的なものではない。あらゆるタイプのあらゆる数のデジタルデバイスが存在することができる。例えば、一部の実施形態は、スマートフォン206又はタブレットデバイス208を含まない全てのPC又はデバイスを含むネットワーク上に実施することができる。
様々な実施形態は、脆弱性及びアイデンティティ管理(VIM)を融合させる。従来技術において業界は、10年間にわたってOVAL及びCVEのような規格を使用して脆弱性識別の処理を改良してきたが、本明細書の一部の実施形態は、潜在的に脆弱なアプリケーションを使って作業する時にユーザが直面するリスクに対処する。
最新のゼロデイ脆弱性の例である2013年の新年直前に公開された「インターネットエクスプローラCボタンユーズ−アフター−フリー脆弱性」を考えられたい。脆弱性の説明は以下の通りである。
ユーズ−アフター−フリー脆弱性は、インターネットエクスプローラ6、7、及び8に存在する。これは、ターゲットにされた攻撃で2012年12月に野性的に悪用されているのが見られた。成功した突破口は、攻撃者が現在のユーザの関連で任意のリモートコードを実行することを可能にするものである。この脆弱性は、ユーザがログインした時に用いた許可(すなわち、ユーザの現在のネットワーク権利)又はインターネットエクスプローラを実行するのに使用される信用証明に基づいて単に現在のユーザに対するリスクである。
ユーズ−アフター−フリー脆弱性は、インターネットエクスプローラ6、7、及び8に存在する。これは、ターゲットにされた攻撃で2012年12月に野性的に悪用されているのが見られた。成功した突破口は、攻撃者が現在のユーザの関連で任意のリモートコードを実行することを可能にするものである。この脆弱性は、ユーザがログインした時に用いた許可(すなわち、ユーザの現在のネットワーク権利)又はインターネットエクスプローラを実行するのに使用される信用証明に基づいて単に現在のユーザに対するリスクである。
このような脅威は、従来の脆弱性管理によって容易に識別可能である。しかし、従来の脆弱性管理は、この脆弱性が悪用された場合にユーザの許可を考慮に入れ損なう。例示的に、この攻撃に脆弱であるシステムを考えられたい。「標準的なユーザ」許可によってシステムにログインするユーザは、突破口が現在のユーザの関連で実行されるので、「管理者」特権によってログインするユーザよりもリスクが少ない。これは、悪意のあることを実行するためのシステム全体の制御と、現在のユーザのログインの範囲でのみ一般的に作動させることができる標準的なユーザ権利に基づく制限された許可との差である。
次の論理的質問は、誰かが標準的なユーザとしてそのシステムにログインする場合に、ゼロデイリスク性は管理者としてログインするユーザに比べて大きい脅威であるか?を有する。答えはノーである。標準的なユーザはリスクが少ない。従って、脆弱性報告のための潜在的な排除又は軽減は、あなたの環境内でインターネットエクスプローラを実行するユーザの関連に基づいている。しかし、誰もインターネットエクスプローラを使用しない場合に、あなたは、Firefox又はChromeのような別のブラウザで標準化されているか?イエス、システムは、技術的に脆弱であるが、違反したアプリケーションは使用されず、従って、ユーザが管理者としてログインした場合でもリスク度が低い。最後にこのリスクの真の意味を理解するために、この脆弱性は野性的な突破口ターゲットで観察されている。管理者として実行するユーザは、標準的なユーザに対して攻撃によって動かされやすい。従来の脆弱性報告は、その違いを知らない。
一部の実施形態において、セキュリティ評価システム202は、脆弱性が識別された及び/又は脆弱なアプリケーション又はファイルがアクセスされた時間にデジタルデバイスから記録を受信し、デジタルデバイスに関連付けられた脆弱性を識別し、かつデジタルデバイスのユーザのネットワーク権利を決定することができる。セキュリティ評価システム202は、管理者又は他の改善したネットワーク権利を有するユーザが公知の脆弱なアプリケーション及び/又はファイルを利用した場合に警報又は他の指示を発生させることができる。本明細書で説明するように、アプリケーション突破口は、突破時に個々のユーザのネットワーク権利によって制限される場合がある。ユーザが制限された権利(例えば、「ゲスト」権利)を有する場合に、脆弱性の突破口は、単一デジタルデバイス及び/又はデジタルデバイス上の特定のソフトウエアだけに制限される場合がある。しかし、ユーザが大きいネットワーク権利を有する場合に、ネットワーク上の他のデジタルデバイスは、ユーザのネットワーク権利に基づいてユーザのデバイスを信頼するように構成することができる。この結果、アプリケーション突破口は、マルウェアが、同じネットワーク上の他のデジタルデバイス又は同じネットワーク上の別のデジタルデバイス(例えば、サーバ)のソフトウエアに影響を与えるか又は制御することを可能にする。
従来のネットワーク走査は、ユーザの権利を考慮に入れないことを理解しなければならない。例えば、従来技術では、デジタルデバイスのネットワーク走査は、各走査されたアプリケーション又はファイル脆弱性を検出及び識別することができるが、従来のネットワーク走査は、アプリケーション又はファイルが利用された時はユーザの権利を検出しない。実際には、従来のネットワーク走査は、公知の脆弱性を有するアプリケーションが利用されていたかを決定せず、更に、脆弱なアプリケーションが利用された時にユーザの権利を決定することもない。ユーザが一部の異なるアカウント及び/又は異なるネットワーク権利を有することができることは当業者によって理解される。この結果、全てのユーザがアプリケーション又はファイルがアクセスされた時に必ず同じ権利を有することは仮定されない。
セキュリティ評価システム202及び/又はセキュリティ管理システム220は、時間と共にユーザの権利を追跡することができ、それによって脆弱プログラムがインストール、アクセス、呼出し、又は利用されたことを記録が示す時間のユーザ及びユーザ権利の決定を可能にする。
図3は、デジタルデバイス上の事象(例えば、システム、アプリケーション、及びファイル呼出し)を説明する情報の収集及び収集の異なる部分を一部の実施形態において脆弱性データベースに対して比較するための流れ図300である。
本明細書で説明する一部の実施形態は、走査ターゲット(例えば、アプリケーション及び/又はファイル)上にインストールされた第三者送信者によって提供された記録(例えば、事象ストリーム)を調べることにより、インストールされたアプリケーションの脆弱性評価に対処する。この方式により、走査サーバは、走査ターゲットと直接に通信する必要はない。この結果、従来技術に説明されているような公知の脆弱性データベースに対するインストールされたアプリケーションのネットワークベースの調査の必要性はない。
本明細書で説明する様々な実施形態は、デジタルデバイスにインストールされた既存のエージェントによって提供されるデータを利用することができる。これらのエージェントの例は、以下に限定されるものではないが、以下を含む。
・ファイルモニタリング
・アプリケーションホワイトリスト
・一般システムモニタリング
・ソフトウエアインベントリ
・資産管理
・アプリケーションレベル情報を捕捉するあらゆるソフトウエア
・ファイルモニタリング
・アプリケーションホワイトリスト
・一般システムモニタリング
・ソフトウエアインベントリ
・資産管理
・アプリケーションレベル情報を捕捉するあらゆるソフトウエア
これらのエージェントの各々は、1つ又はそれよりも多くの記録を発生させることができる。捕捉された状態で、この情報は、事象ストリーム又は一連の記録としてセントラルサーバ(すなわち、セキュリティ評価システム202、図2を参照されたい)に渡すことができる。送信の方法は、以下に限定されるものではないが、以下を含む。
・Syslog
・SNMP
・ウェブサービス
・HTTP/S
・SSL
・ウィンドウズ(登録商標)事象ログ
・Syslog
・SNMP
・ウェブサービス
・HTTP/S
・SSL
・ウィンドウズ(登録商標)事象ログ
セキュリティ評価システム202は、以下を含むことができる関連アプリケーション及びファイル属性に対する事象ストリーム又は記録を構文解析することができる。
・アプリケーション名
・アプリケーション発行者
・ファイル名
・ファイル位置/経路
・ファイルバージョン
・ファイルタイムスタンプ
・ファイル記述
・ファイルチェックサム(MD5、SHA−1、その他)
・デジタル署名
・実行時間
・呼出し処理
・アプリケーション名
・アプリケーション発行者
・ファイル名
・ファイル位置/経路
・ファイルバージョン
・ファイルタイムスタンプ
・ファイル記述
・ファイルチェックサム(MD5、SHA−1、その他)
・デジタル署名
・実行時間
・呼出し処理
受信した状態で、セキュリティ評価システム202は、リアルタイム(データが到着した時)又は事後処理(既存のデータを調べる)のいずれかでアプリケーション及びファイル属性を調べることができる。受信したデータは、既存の脆弱性のリストと比較することができ、見出したものを利用可能にして報告することができる。
様々な実施形態は、現在、処理、アプリケーション、及びトランザクションモニタリングを実行している組織が、仮想脆弱性走査システムと集中的に統合することを可能にし(すなわち、従来技術で上述のようにネットワーク走査なしの脆弱性走査)、有用な情報を提供することができる。情報のタイプは、以下に限定されるものではないが、以下を含む。
組織をリスクに露出する場合がある公知の脆弱性を有する環境内で実行されるアプリケーションの指示、
経路配備又は他の手段を通じてこれらのアプリケーションの改善の優先順位付けを助けるために頻繁に実行される脆弱なアプリケーションの識別、及び
経路配備又は他の手段を通じてこれらのアプリケーションの改善の優先順位付けを助けるために重要サーバ又は敏感アカウントが脆弱なアプリケーションを利用している時間の識別。
組織をリスクに露出する場合がある公知の脆弱性を有する環境内で実行されるアプリケーションの指示、
経路配備又は他の手段を通じてこれらのアプリケーションの改善の優先順位付けを助けるために頻繁に実行される脆弱なアプリケーションの識別、及び
経路配備又は他の手段を通じてこれらのアプリケーションの改善の優先順位付けを助けるために重要サーバ又は敏感アカウントが脆弱なアプリケーションを利用している時間の識別。
一部の実施形態は、ネットワークデバイスの脆弱性を調べる全く新しい方法を提示し、すなわち、従来技術で上述のような能動的な脆弱性走査の必要性を排除するために既存のエージェントからのデータを利用することができるものである。本方法は、組織が効率的にリスク及び露出を決定することを可能にする。
流れ図300は、一部の実施形態における例示的な処理を詳しく説明している。段階302では、デジタルデバイス上のエージェントがアプリケーション事象を収集する。一例では、エージェントは、アプリケーションのインスタンスの実行又は終了中に行われた記録(ログなど)又は他の情報を収集する。
段階304では、エージェントがセントラルサーバ(セキュリティ評価システム202など)に記録を提供することができる。一部の実施形態において、エージェントは、記録を説明するための記録情報(例えば、記録のタイプ、記録を発生したアプリケーション、又は記録フォーマットなど)を提供することができる。あらゆる数の記録が存在することができる。様々な実施形態において、記録が一本化され、記録情報は、一本化された記録、並びにあらゆる他の情報内の各記録の位置を識別するために送信され、記録の脆弱性を評価するために使用することができる関連情報の取り出しを補助する。
段階306では、セントラルサーバ(セキュリティ評価システム202など)は、エージェントから受信した記録を処理することができる(例えば、評価することができる)か否かを決定する。様々な実施形態において、セキュリティ評価システム202は、時間に基づく記録、記録を提供したデジタルデバイスのアイデンティティ、リソースの利用可能度、パイプライン化、又はあらゆる他の理由を評価するための時間をスケジュールすることができる。セキュリティ評価システム202が、評価を即座に実行することができないと決定した場合に、セキュリティ評価システム202は、段階308でデータベース内に記録及び/又は記録情報を格納することができる。セキュリティ評価システム202は、記録が段階310で評価することができるかを決定するためにリソース又はあらゆる他の制限を検査することができる。スケジュールされた時間に達しないか又はリソースが利用できない場合に、処理は、段階312で待機することができる。
評価を即座に行える場合又はリソースが利用可能である場合に、セキュリティ評価システム202は、段階314で脆弱性データベースに対して記録のセグメント又は一部分(例えば、記録の関連する情報)を比較することができる。脆弱性データベースは、例えば、本明細書で更に説明するホワイトリスト及びブラックリストを含むことができる。
当業者は、エージェントが異なる位置の異なる情報を含む記録又はログの様々なタイプを送信することができることを認めるであろう。記録又はログの多くは、異なる目的のために発生させることができ、全ての情報がセキュリティ評価に関連するものではない。エージェントから提供された記録の1つ又はそれよりも多くを識別することができるタイプ、名前、又はあらゆる他の情報を識別する記録情報をエージェントから受信することができる。一部の実施形態において、セキュリティ評価システム202は、1つ又はそれよりも多くの記録を走査し、1つ又はそれよりも多くの記録を識別することができるタイプ、名前、又は他の情報を識別する。
記録が識別された状態で、関連情報又は関連情報を含む記録のセグメントの位置を識別することができる。様々な実施形態において、セキュリティ評価システム202は、エージェントによって提供される記録情報、及び/又は1つ又はそれよりも多くの記録を識別することができるタイプ、名前、又は他の情報に基づいて、記録の位置又はセグメントを識別する規則又はフィルタを取り出す。一部の実施形態において、セキュリティ評価システム202は、1つ又はそれよりも多くの記録を走査し、規則又はフィルタを利用することなく関連情報を識別する。
様々な実施形態において、セキュリティ評価システム202は、記録のセグメントを脆弱性データベースの全部又は一部と比較して脆弱性を評価することができる。
段階316では、記録の1つ又はそれよりも多くのセグメントと脆弱性を示す脆弱性データベースの間に符合がある場合に、セキュリティ評価システム202は、段階318で発見を報告することができる。
図4は、一部の実施形態におけるユーザデバイスエージェント400のブロック図である。エージェントは任意的である。一部の実施形態において、デジタルデバイスは、ログのような異なる記録を発生する異なるアプリケーション及び実行ファイルを含む。記録は、構成、処理呼出し、例外処理、実行時間、呼出し処理、実行に必要なファイルの名前、ファイルタイプ、ファイルバージョン、アプリケーションタイプ、及び/又はアプリケーションのバージョンなどを含むアプリケーションのインスタンスに関連する情報を含むことができる。アプリケーション又は実行ファイルのインスタンスに関連付けられた1つ又はそれよりも多くの処理のような情報を要約又は追跡するための記録を発生させることができる。記録は、本明細書で更に説明する。
様々な実施形態において、1つ又はそれよりも多くの異なるアプリケーション及び/又は実行ファイル(例えば、セキュリティ情報及び事象管理(SIEM))は、1つ又はそれよりも多くの記録の複製をセキュリティ評価システム202(図2を参照されたい)に提供するように指示することができる。一例では、デジタルデバイスは、異なるログを発生させることができ、ログの各々は、デジタルデバイスによって実行される異なるアプリケーションのインスタンスに関連付けられる。ログの1つ又はそれよりも多くの目的は、レビュー構成、処理効率、性能、バックアップ、及び/又はアプリケーションインスタンスのエラー処理を可能にすることである。デジタルデバイスにおける1つ又はそれよりも多くの他のアプリケーションは、アプリケーションインスタンス(例えば、ソフトウエア発行者)又はネットワーク管理者に関連付けられた1つ又はそれよりも多くの異なる第三者にログを提供するように構成することができる。異なるネットワーク宛先に定期的ログを送信するように構成されたアプリケーションは、追加の複製をセキュリティ評価システム202に提供するように更に構成することができる。この例では、デジタルデバイスにエージェントがないことがあり、又はエージェントは、追加の複製をセキュリティ評価システム202に送信するようにアプリケーションを再構成する(例えば、セキュリティ情報及び事象管理(SIEM)プログラム)を再構成するためだけに使用される。
一部の実施形態において、ユーザデジタルデバイスにインストールされたユーザデバイスエージェント400は、他のアプリケーションによって発生されたログ又は他の記録の複製をセキュリティ評価システム202に提供する及び/又はアプリケーションインスタンスの記録を発生するように構成することができる。様々な実施形態において、ユーザデバイスエージェント400は、他のアプリケーションによって発生された記録又は他のログを収集し(又はその位置を識別し)、記録又は他のログの複製をセキュリティ評価システム202に提供する。ユーザデバイスエージェント400は、一部の実施形態において、アプリケーションインスタンスに関連付けられた1つ又はそれよりも多くの事象を検出及び記録し、セキュリティ評価システム202のための情報を収集することができる。当業者は、ユーザデバイスエージェント400が、その固有の記録を発生し、他のアプリケーションによって発生された記録を収集し、この記録をセキュリティ評価サーバに提供することができることを認めるであろう。他の実施形態において、ユーザデバイスエージェント400は、他のアプリケーションによって発生された記録又は他のログの複製をセキュリティ評価システム202に提供するか又はユーザデバイスエージェント400によって発生された記録の複製をセキュリティ評価システム202に提供することができる。
ユーザデバイスエージェント400は、アプリケーションインスタンスに関連付けられた事象を記録し、他のアプリケーションによって発生された記録を識別し、記録(例えば、エージェント発生の記録、並びに他のアプリケーションによって発生された記録の両方)の複製をセキュリティ評価システム202に提供するように構成された例示的なエージェントである。
ユーザデバイスエージェント400は、事象検出モジュール402、事象記録モジュール404、走査モジュール406、記録収集モジュール408、通信モジュール410、通信認証モジュール412、及びアプリケーションデータベース414を含む。本明細書で説明するように、事象検出モジュール402及び事象記録モジュール404は、任意的とすることができる。様々な実施形態において、事象検出モジュール402は、ホストデジタルデバイスにおける事象を検出することができる。事象又は記録は、実行ファイルの実行及び/又は実行可能インスタンスの1つ又はそれよりも多くの作動を含むことができる。記録は、本明細書で更に説明する。一例では、事象検出モジュール402は、オペレーティングシステムの一部であり、及び/又はデジタルデバイスのメモリ(例えば、ram)にある。事象検出モジュール402は、事象中の当該の態様を検出することができる(例えば、実行ファイルのインスタンスが別のアプリケーション又はファイルを呼び出す)。事象検出モジュール402は、ユーザ、オペレーティングシステム、又は実行ファイルによって引き起こされるデジタルデバイスの全部又は一部のアクションを検出することができる。
事象記録モジュール404は、事象の記録を発生するか又は事象検出モジュール402によって検出される事象の態様(例えば、アプリケーション又はファイル属性)を選択することができる。様々な実施形態において、事象検出モジュール402は、実行可能インスタンスを開始するアプリケーション、呼出し処理、アクセス要求、ファイルアクセス、及び/又はアプリケーション実行などに関連する情報を含む実行ファイルのインスタンスの処理及び/又は作動を検出する。一部の実施形態において、事象記録モジュール404は、以下のアプリケーション又はファイル属性の全部、一部、又は1つを含む事象ストリームを発生する。
・アプリケーション名
・アプリケーション発行者
・ファイル名
・ファイル位置/経路
・ファイルバージョン
・ファイルタイムスタンプ
・ファイル記述
・ファイルチェックサム(MD5、SHA−1、その他)
・デジタル署名
・実行時間
・呼出し処理
・アプリケーション名
・アプリケーション発行者
・ファイル名
・ファイル位置/経路
・ファイルバージョン
・ファイルタイムスタンプ
・ファイル記述
・ファイルチェックサム(MD5、SHA−1、その他)
・デジタル署名
・実行時間
・呼出し処理
事象記録モジュール404は、あらゆる数の実行可能インスタンスに関するあらゆる数の事象ストリームを発生させることができる。一例では、事象記録モジュール404は、1つ又はそれよりも多くの異なるインスタンスの異なる記録(例えば、事象ストリームの全部又は一部)を記録する。別の例では、1つ又はそれよりも多くの事象ストリームは、あらゆる数の実行インスタンスに対して記録することができる。
走査モジュール406は、デジタルデバイスでの記録及び/又は記録を発生するアプリケーションを走査することができる。例えば、走査モジュール406は、一般的にはログファイルを発生するアプリケーションを走査することができる。一部の実施形態において、走査モジュール406は、アプリケーションのためのデジタルデバイスのストレージ(例えば、ハードディスク、SSD、及び/又はフラッシュ)の全部又は一部を走査する。走査モジュール406は、アプリケーションデータベース414から記録データ構造を取り出し、走査結果と記録データ構造を比較し、ログ並びにログの位置を発生するアプリケーションを識別することができる。走査モジュール406は、デジタルデバイスの記録の位置及びタイプを含むテーブル又は他のデータ構造を維持することができる。走査モジュール406は、記録(例えば、ログ)を直接に走査することができる。
当業者は、走査モジュール406が、デジタルデバイスの記録の位置及び/又はタイプを含むテーブル又は他のデータ構造を定期的に更新又は他に維持することができることを認めるであろう。一例では、走査モジュール406は、新しいソフトウエアのインストール又はソフトウエアの削除を走査し、予想される記録の位置を追加又は取り除くことができる。
記録収集モジュール408は、事象記録モジュール404からの記録及び/又はデジタルデバイスの他の記録の位置及びタイプを含むデータ構造によって識別される記録を収集するように構成することができ、複製をセキュリティ評価システム202に提供することができる(図2を参照されたい)。様々な実施形態において、記録収集モジュール408は、記録を移動、削除、又は変更するのではなく、記録を複製する。一部の実施形態において、記録収集モジュール408は、事象記録モジュール404によって発生された記録を収集する。他の実施形態において、記録収集モジュール408は、デジタルデバイスの記録の位置及びタイプを含むデータ構造によって識別される記録の少なくとも一部を収集する。様々な実施形態において、記録収集モジュール408は、事象記録モジュール404によって発生された記録、並びにデジタルデバイスの記録の位置及びタイプを含むデータ構造によって識別された記録の少なくともいくつかを収集する。
様々な実施形態において、記録収集モジュール408は、収集された記録に関する記録情報を発生する。記録情報は、収集された記録のタイプを説明することができる。一例では、記録情報は、事象記録モジュール404によって発生された記録を識別することができる。記録情報は、記録の数、記録のタイプ、記録を発生したアプリケーション、又は記録に関連付けられたアプリケーションインスタンスなどを含む他のアプリケーションによって発生された記録を識別することができる。
一部の実施形態において、収集した記録は、一本化及び/又は符号化することができる。記録情報は、記録が一本化されているか否か、記録の全部、一部、又は1つの符号化方法、又は記録位置(例えば、テキストフィールドの記録の開始及び終了ポイント)などを示すことができる。
様々な実施形態において、記録収集モジュール408は、スケジュールに基づいて又は1つ又はそれよりも多くの記録の存在に基づいて記録を収集し、セキュリティ評価システム202に提供する。一例では、記録収集モジュール408は、予め決められた日付及び/又は時間に記録を収集する。別の例では、記録収集モジュール408は、事象記録モジュール404及び/又は他のアプリケーションによって発生された記録の数を追跡することができる。この例では、発生された記録の数が予め決められた閾値よりも大きい場合に(例えば、1よりも大きいか又は3よりも大きい)、記録収集モジュール408は、記録を収集してセキュリティ評価システム202に提供することができる。閾値は、ユーザ、システム管理者、ユーザデバイスエージェント400、セキュリティ評価システム202、セキュリティ管理システム220、又は十分な権利を有するあらゆる他のユーザ又はデバイスによって確立することができる。
通信モジュール410は、収集した記録及び記録情報をセキュリティ評価システム2020に提供する。様々な実施形態において、通信モジュール410は、デジタルデバイスを識別し、記録収集モジュール408から収集した記録を含む評価要求を発生する。評価要求は、これに加えて、記録収集モジュール408からの記録情報を含むことができる。通信モジュール410は、評価要求及び/又は記録情報をあらゆる時間に(スケジュールされた時間に、ユーザによる指令に応答して、セキュリティ評価システム202による指令に応答して、セキュリティ管理システム202による指令に応答して、ネットワーク管理者による指令に応答して、又は記録が記録収集モジュール408から受信されてセキュリティ評価システム202に提供される時に)セキュリティ評価システム202に提供することができる。
通信モジュール410は、記録を事象のストリーム又は離散的メッセージとしてあらゆる方法でセキュリティ評価システム202(図2を参照されたい)に提供することができる。一部の非制限的実施例では、通信モジュール410は、以下の方法で情報をセキュリティ評価システム202に提供することができる。
・Syslog
・SNMP
・ウェブサービス
・HTTP/S
・SSL
・Windows(登録商標)事象ログ
・Syslog
・SNMP
・ウェブサービス
・HTTP/S
・SSL
・Windows(登録商標)事象ログ
任意的な通信認証モジュール412は、評価要求及び/又は記録情報に対する認証情報をデジタルで署名又は提供することができる。様々な実施形態において、セキュリティ評価システム202及び/又はセキュリティ管理システム220は、デジタル署名又は他の認証情報に基づいてデジタルデバイスによって提供される記録の評価を認証、検証、及び/又は承認することができる。例えば、各ユーザデバイスエージェント400又はデジタルデバイスは、1つ又はそれよりも多くの暗号化キーによって評価要求及び/又は記録情報にデジタルで署名することができる。セキュリティ評価システム202又は他のデバイスは、セキュリティのために署名を解読する(例えば、評価要求及び/又は記録情報の認証及び/又は精度を確認する)ことができる。一部の実施形態において、1つ又はそれよりも多くの暗号化キーが提供され、ユーザデバイスエージェント400のインストール又はレジストレーションに応答してデジタルデバイスに割り当てられる。1つ又はそれよりも多くの暗号化キーは、あらゆる時間にあらゆる方法で提供、割り当て、及び/又は更新することができる。
モジュールは、ハードウエア、ソフトウエア、又はハードウエアとソフトウエア両方の組合せのいずれかである。当業者は、図4で識別されるモジュールが本明細書で説明するよりも多くの又は少ない機能を実行することができることを認めるであろう。例えば、一部のモジュールは、他のモジュールの機能を実行することができる。更に、図4に関して示す機能は、単一デジタルデバイスに制限されず、異なる機能を実行する複数のデジタルデバイスによって実行することができる。一部の実施形態において、複数のデジタルデバイスは、同時に機能を実行する。
図5は、一部の実施形態におけるセキュリティ評価システム202のブロック図である。例示的なセキュリティ評価システム202は、エージェント通信モジュール502、エージェント認証モジュール504、評価スケジューラー506、記録管理モジュール508、情報取り出しモジュール510、評価モジュール512、報告モジュール514、警報モジュール516、記録管理データベース518、リスク許容構成データベース520、及び脆弱性データベース522を含む。
エージェント通信モジュール502は、評価要求を受信し、通信ネットワーク204上で1つ又はそれよりも多くのデジタルデバイスからの評価要求に関連する情報を任意的に記録するように構成される(図2を参照されたい)。本明細書で説明するように、評価要求は、デジタルデバイスからの1つ又はそれよりも多くの記録を含むことができる。記録情報は、評価要求の記録(例えば、記録のタイプ及び各記録の位置)を説明することができる。一部の実施形態において、エージェント通信モジュール502は、提供側デジタルデバイス、送信の時間、及び(エージェントがデジタルデバイスにインストールされる場合に)潜在的にはエージェントバージョンを識別することができる。記録情報は、任意的とすることができる。一部の実施形態において、エージェント通信モジュール502又は記録管理モジュール508(本明細書で更に説明する)は、評価要求の1つ又はそれよりも多くの記録を走査し、記録のタイプ、各記録の位置に関連する情報を取り出し、及び/又は関連情報を識別することができる。
エージェント認証モジュール504は、評価要求及び/又は記録情報を認証するように構成される。本明細書で説明するように、評価要求及び/又は記録情報は、デジタルで署名又は暗号化することができる。エージェント認証モジュール504は、評価要求及び/又は記録情報を認証、検証、及び/又は承認するように構成することができる。一例では、エージェント認証モジュール504は、デジタルデバイス、評価要求を提供したエージェント、又はあらゆる他の情報を識別し、評価要求及び/又は記録情報を解読するための1つ又はそれよりも多くの適切な暗号化キー(例えば、私的又は公的暗号化キー)を取り出すことができる。一部の実施形態において、エージェント認証モジュール504は、デジタル署名に基づいて評価要求を認証する。当業者は、評価要求は、あらゆる数の方法で認証することができることを認めるであろう。
任意的な評価スケジューラー506は、一部の実施形態においてセキュリティ評価をスケジュールするように構成される。様々な実施形態において、評価スケジューラー506は、セキュリティ評価システム202の一部である1つ又はそれよりも多くのデジタルデバイスのリソースの利用可能度(例えば、プロセッサ利用可能度)に基づいてセキュリティ評価をスケジュールする。一部の実施形態において、評価スケジューラー506は、スケジュールされるまでの評価要求及び/又は記録情報をバッファに入れるか又は格納することができる。評価スケジューラー506は、一部の実施形態において、セキュリティ評価システム202がタスクを実行するための利用可能なリソースを有すると評価スケジューラー506が決定した場合に、評価要求を受信した時に評価を行うことを可能にする。
評価スケジューラー506は、デバイスの重要度(例えば、デバイスが重大な機能を実行する)、緊急性、又はネットワーク上の他者によるデバイスの信頼に基づいて、異なるデジタルデバイスに優先順位を与えることができる。例えば、他者又はセキュリティ評価システム202が他のデジタルデバイスの評価を中断することができる前にセントラルサーバ又はネットワーク管理者を評価することができる。一例では、重要なデジタルデバイスの記録の評価は、信頼される重要な機械の突破口が、重大なタスクを中断し、潜在的にネットワークセキュリティを脅かし、及び/又はネットワーク上の他のデバイスのセキュリティを潜在的に脅かすリスクのために、他のデジタルデバイスに属する他の記録の評価を中断する場合がある。
記録管理モジュール508は、評価要求の記録を識別するように構成される。様々な実施形態において、評価要求は、他の評価要求からの異なる数の記録、並びに異なるタイプの記録を含むことができる。一例では、同じデジタルデバイスは、複数の評価要求を提供することができ、各々は、異なる数の記録、並びに異なるタイプの記録を含む(例えば、デジタルデバイスは、定期的に又はある一定の数の記録を提供することができる時に評価要求を提供することができる)。
記録管理モジュール508は、送信側デジタルデバイスによって提供された記録情報を利用することによって記録の数及びタイプを識別することができる。本明細書で説明するように、記録情報は、記録の名前、記録のタイプ、送信側デジタルデバイス、及び他の情報を識別することができる。記録が一本化される場合に(例えば、1つのストリーム又はファイルに結合される)、記録情報は、各異なる記録の開始及び終了ポイントを示すことができる。これに代えて又はこれに加えて、記録管理モジュール508は、記録の1つ又はそれよりも多くを走査することによって類似の情報を識別することができる。一部の実施形態において、記録管理モジュール508は、記録を走査し、記録情報を識別することなく評価に関連するアプリケーション又はファイル属性を識別する。
評価要求の記録が識別された状態で、情報取り出しモジュール510は、セキュリティ評価システム202が評価要求のあらゆる数の記録から関連情報を取り出すことを可能にする規則又はフィルタを任意的に取り出すことができる。一例では、情報取り出しモジュールは、記録管理データベース518から規則又はフィルタを取り出すことができる。情報取り出しモジュール510は、記録管理モジュール508によって提供される情報に基づいて(例えば、評価要求の記録の記録情報及び/又は走査に基づいて)規則又はフィルタを取り出すことができる。一例では、情報取り出しモジュール510は、記録管理モジュール508からの評価要求に含まれる記録のタイプ及び/又は名前を受信することができる。記録のタイプ及び/又は名前に基づいて、情報取り出しモジュール510は、記録の各タイプ及び/又は名前のための規則及び/又はフィルタを取り出すことができる。
規則及び/又はフィルタは、情報取り出しモジュール510が、関連情報を含む各記録内の1つ又はそれよりも多くのセグメント(例えば、位置)を識別することを可能にする。一部の実施形態において、規則及び/又はフィルタは、情報取り出しモジュール510が、識別されたセグメントの1つ又はそれよりも多くの情報のタイプ、名前、及び/又は性質を識別することを可能にする。例えば、特定の記録のタイプにおける位置は、アプリケーションバージョン番号を含むことができる。同じ特定の記録タイプの別の位置は、特定の処理の識別子を含むことができる。一部の実施形態において、1つ又はそれよりも多くの記録は、符号化することができる。情報取り出しモジュール510は、取り出された規則及び/又はフィルタに基づいて1つ又はそれよりも多くの記録を復号することができる。一例では、情報取り出しモジュール510は、情報の以下の非制限的例示的タイプ(例えば、アプリケーション又はファイル属性)を識別することができる。
・アプリケーション名
・アプリケーション発行者
・ファイル名
・ファイル位置/経路
・ファイルバージョン
・ファイルタイムスタンプ
・ファイル記述
・ファイルチェックサム(MD5、SHA−1、その他)
・デジタル署名
・実行時間
・呼出し処理
当業者は、情報のあらゆる他の種類、タイプ、又は名前を評価モジュール513によってセキュリティを評価するために利用することができることを認めるであろう。
・アプリケーション名
・アプリケーション発行者
・ファイル名
・ファイル位置/経路
・ファイルバージョン
・ファイルタイムスタンプ
・ファイル記述
・ファイルチェックサム(MD5、SHA−1、その他)
・デジタル署名
・実行時間
・呼出し処理
当業者は、情報のあらゆる他の種類、タイプ、又は名前を評価モジュール513によってセキュリティを評価するために利用することができることを認めるであろう。
評価モジュール512は、情報取り出しモジュール510によって位置付けられた記録内の情報を評価することができる。一部の実施形態において、評価モジュール512は、評価要求の1つ又はそれよりも多くの記録の1つ又はそれよりも多くのセグメントを脆弱性データベース522の全部又は一部と比較して脆弱性を決定及び/又は識別することができる。一部の実施形態において、評価モジュール512は、記録のタイプ、記録のセグメント内に含まれる情報のタイプ、記録のセグメント内に含まれる情報の名前、又はあらゆる他の情報に基づいて、記録のセグメント(すなわち、少なくとも1つの記録内に含まれる関連情報の少なくとも一部分)を脆弱性データベース522の一部分と比較する。例えば、情報取り出しモジュール510が、セグメントを識別し、セグメントがファイルチェックサムを含むことを示した場合に、評価モジュール512は、セグメントをファイルチェックサムを含む脆弱性データベース522の一部分と比較することができる。
評価モジュール512は、記録のいずれかの中に含まれたセグメント又はあらゆる情報を脆弱性データベース522の全部又は一部と比較することができる。一部の実施形態において、脆弱性データベース522は、公知の優良なアプリケーション及びファイル(例えば、ホワイトリスト)、公知の脆弱なアプリケーション及びファイル(例えば、ブラックリスト)、及び/又は疑わしいアプリケーション及びファイル(例えば、グレイリスト)を含む。ホワイトリストの一例では、評価モジュール512は、あらゆる数の評価要求のあらゆる数の記録からのあらゆる数のセグメントを比較し、デジタルデバイスが1つ又はそれよりも多くの信頼される(例えば、脆弱でない)アプリケーション又はファイルを有することを確認及び/又は検証することができる。一部の実施形態において、ネットワーク管理者又は他のセキュリティ専門家は、全てのアプリケーション及びファイルのホワイトリストによる識別及び/又は確認を要求することができる。
別の例では、評価モジュール512は、記録のいずれかの中に含まれたセグメント又はあらゆる情報を公知の脆弱なアプリケーション及びファイルのブラックリストと比較することができる。更に別の例では、評価モジュール512は、記録のいずれかの中に含まれたセグメント又はあらゆる情報をグレイリストと比較することができる。グレイリストは、知られていない全てのアプリケーション及びファイル、又は代わりに疑わしいアプリケーション又はファイルだけを含むことができる。一部の実施形態において、グレイリストは、評価することができる疑わしさの程度を示してリスク値(例えば、リスクの程度又は指標)を決定することができる。
一部の実施形態において、評価モジュール512は、記録のいずれかの中に含まれたセグメント又はあらゆる情報を脆弱性データベース522内に含まれるがリスクに関して決定的でない情報と比較することができる。例えば、セキュリティ評価システム202は、ファイルタイムスタンプ、ファイル記述、実行時間、及びアプリケーションのインスタンスの呼出し処理に基づいて、アプリケーション(又はインスタンスによって呼び出されたファイル)が疑わしいか又は脆弱である場合があるが決定的ではないと決定することができる(例えば、脆弱性データベース522は、アプリケーション又はファイルに関して沈黙する場合があり、又はある一定のインジケータは、アプリケーション又はファイルが脆弱であることを提示しているように見え、他のインジケータは、疑わしいか又は信頼されるアプリケーション又はファイルをサポートしている)。報告モジュール514は、決定的でないアプリケーション又はファイルを報告することができる。一部の実施形態において、セキュリティ評価システム202は、結論に達しようとして将来の評価で疑わしいアプリケーション又はファイルを綿密に追跡することができ、セキュリティ評価システム202は、デジタルデバイスのユーザデバイスエージェント400にコンタクトし、より多くの情報を要求することができ、又はセキュリティ評価システム202は、限定されたネットワーク走査が疑わしいアプリケーション及び/又はファイルだけをターゲットにするように行われることを推奨又は指令することができる。
当業者は、脆弱性データベース522が安全な又は脆弱な挙動を示すことができる挙動規則を含むこともできることを認めるであろう。例えば、記録内に含まれる情報(例えば、ファイルタイムスタンプ、実行時間、及び/又は呼出し処理を示すセグメント)は、脆弱性データベース522の挙動規則に基づいて疑わしい挙動として識別することができる。規則は、ネットワーク管理者又は他のセキュリティ専門家によって確立することができ、一般的に記録に現れる場合がある安全でない挙動にフラグを立てる。一部の実施形態において、挙動規則は、異なるデジタルデバイス、アプリケーション、及び/又はファイルに対して異なるものにすることができる。例えば、ある一定のデジタルデバイス(例えば、「ミッションクリティカル」デジタルデバイス)は、予想かつ確立された挙動を有する場合がある。特定のデジタルデバイスが通常とは異なる方式で挙動していることを示す記録には、挙動規則によってフラグを立てることができる。
報告モジュール514は、1つ又はそれよりも多くの評価の結果を示すあらゆる種類の報告を発生させることができる。報告内に含まれる情報は、安全、脆弱、疑わしい、又は未知であるか、又はあらゆる他の種類の情報とすることができる記録によって識別されたデジタルデバイス、デジタルデバイスの1つ又はそれよりも多くのユーザ、アプリケーション、及びファイルを含むことができる。報告モジュール514は、評価に関連する報告をデジタルデバイス、セキュリティ管理システム220、ネットワーク管理者、又はあらゆるデジタルデバイス又は個人に提供することができる。
一部の実施形態において、セキュリティ評価システム202は、評価要求の1つ又はそれよりも多くの記録が発生された時にログインしたユーザ、並びに記録が発生された時のユーザのネットワーク権利を評価モジュール512が決定することを可能にするユーザログイン情報へのアクセスを有し、又はユーザログイン情報へのアクセスを有する他のデバイスと通信する。報告は、制限された権利を有するユーザが潜在的に疑わしいアプリケーション又はファイルを利用したことを示すことができる。報告は、管理者権利又はルートアクセスを有するユーザが、危険な突破口又は非常に疑わしいファイルを用いて脆弱プログラムを利用した場合に、警報を指示又は他に提供することができる。
警報モジュール516は、評価に基づいて警報を発生させることができる。評価要求の記録内で識別された1つ又はそれよりも多くのアプリケーション又はファイルが脆弱であるか又は非常に疑わしいとして分類された場合に、警報モジュール516は、警報を発生させることができる。この警報は、脆弱性にフラグを立て、突破口を潜在的に識別し、リスクの程度を示し、又はあらゆる他の情報を提供することができる。警報は、あらゆる方法で提供することができる。例えば、警報モジュール516は、電子メール、SMSテキストメッセージ、MMS、ウェブページ、イントラネット警報、エクストラネット警報、又はあらゆる他の方式を通じて1つ又はそれよりも多くの警報を提供することができる。
ネットワーク管理者又はセキュリティ専門家は、あらゆる程度のリスクを許すことができる。一部の実施形態において、ネットワーク管理者は、ブラックリスト又はグレイリストにあるファイル又はアプリケーションが識別(疑わしいか又は非常に疑わしいとして1つ又はそれよりも多くのアプリケーションが識別)されない限り、警報又は報告を要求しなくてもよい。リスクの程度は、脆弱性、突破口の危険性、又は評価モジュール512によって識別されたアプリケーション又はファイルの疑わしさに基づくことができる。リスクの程度は、アプリケーション又はファイルがアクセス又は実行された時の(例えば、ユーザが「スーパーユーザ」権利を有した場合)ユーザの権利に基づくことができる。
様々な実施形態において、ネットワーク管理者又はセキュリティ専門家は、1つ又はそれよりも多くのデジタルデバイス、1つ又はそれよりも多くのユーザ、及び/又は1つ又はそれよりも多くのアプリケーション及び/又はファイルに対するリスク閾値を確立することができる。一例では、報告モジュール514又は警報モジュール516は、評価モジュール512が関連のリスク閾値に基づく(例えば、リスク値が関連のリスク閾値を超えたと決定された)場合に、報告を発生又は警報を発生させることができる。
一部の実施形態において、全ての記録が有用な情報を含むわけではない。ユーザデバイスエージェント400(図4を参照されたい)は、セキュリティ評価システム202に対して有用又は関連する情報を含まない可能性がある記録を無視するように構成することができ、情報取り出しモジュール510は、受信した一部の記録が関連情報でない場合があるか又は関連情報を持たないと決定することができる。
データベースとして図5に識別されているが、記録管理データベース518、リスク許容構成データベース520、及び脆弱性データベース522の各々は、あらゆるタイプのあらゆる数のデータ構造を含むことができる。また、記録管理データベース518、リスク許容構成データベース520、及び脆弱性データベース522の各々は、あらゆる数のデジタルデバイスとすることができる(例えば、データベースの1つ又はそれよりも多くは、あらゆる数のデジタルデバイスに分散させることができる)。
当業者は、図5で識別されるモジュールが本明細書で説明するよりも多くの又は少ない機能を実行することができることを認めるであろう。例えば、一部のモジュールは、他のモジュールの機能を実行することができる。また、図5に関して示された機能は、単一デジタルデバイスに制限されず、異なる機能を実行する複数のデジタルデバイスによって実行することができる。一部の実施形態において、複数のデジタルデバイスは、同時に機能を実行する。
図6は、一部の実施形態におけるユーザデバイスによる記録の収集及び準備の流れ図である。段階602では、ユーザデバイスエージェント400の走査モジュール406は、第三者事象記録をデジタルデバイスで走査する。一部の実施形態において、走査モジュール406は、記録を直接に走査する。様々な実施形態において、走査モジュール406は、記録を発生するアプリケーション及び/又は記録自体を走査する。段階604では、走査に基づいて、走査モジュール406は第三者事象記録を識別することができる。
様々な実施形態において、記録は、アプリケーションのインスタンスの実行又は終了中に行われる。例えば、第三者アプリケーションは、関連の処理の発生、アプリケーションインスタンスの作動、処理呼出し、アプリケーション呼出し、ファイル呼出し、エラー、システムリソースの利用、又はあらゆる他の情報を記録するための記録を発生させることができる。記録を発生するアプリケーションの目的、並びに記録の目的は、セキュリティに関連するものでなくてもよい(例えば、バックアップ、エラー処理、性能、作動の記録、バグ修正、及び/又はメモリ管理など)。記録及び記録発生の例示的な処理は、本明細書で更に説明する。
段階606では、事象検出モジュール402は、デジタルデバイスにおける事象を検出することができる。事象は、実行ファイル(例えば、アプリケーション)の実行を含むことができる。例えば、一部の実施形態において、ユーザデバイスエージェント400は、処理をモニタし、1つ又はそれよりも多くの実行ファイルの実行を検出することができる。段階608では、事象記録モジュール404は、情報を記録して記録を発生させることができる。事象記録モジュール404は、例えば、アドレス指定されたアプリケーション及びファイルの名前、アプリケーション及びファイルのバージョン、アプリケーション及びファイルの制作者、アプリケーション及びファイルのサイズ、アプリケーション及びファイルのチェックサム、アプリケーション及びファイルの位置/経路、アプリケーション及びファイルの説明(例えば、収集アプリケーション及びファイル属性)、又はあらゆる他の情報を記録することができる。一部の実施形態において、事象記録モジュール404は、アプリケーションのインスタンスの実行又は終了中に情報を記録することができ、評価で利用される情報を記録することができる。一例では、第三者アプリケーションによって発生された記録は、セキュリティ評価に関連のない情報を含む場合があり、事象検出モジュール402及び/又は事象記録モジュール404は、関連情報、又は情報が評価中に最終的に使用されない場合でも評価処理をサポートすることができる情報を含む記録を発生させることができる。
段階610では、定期的な時間に又は1つ又はそれよりも多くの記録が利用可能である場合に、記録収集モジュール408は、1つ又はそれよりも多くの記録が第三者アプリケーション及び/又は事象記録モジュール404によって発生された時間を検出することができる。記録収集モジュール408は、記録を収集(例えば、記録を複製)し、評価要求としてセキュリティ評価システム202に提供することができる。1つよりも多い記録がある場合に、記録収集モジュール408は、記録を一本化することができる(例えば、記録を1つ又はそれよりも多くのファイルに結合することができる)。一部の実施形態において、記録収集モジュール408は、一本化された記録及び/又は一本化されてない記録を含むことができる。
段階612では、記録収集モジュール408は、収集記録のために記録情報を準備することができる。記録情報は、記録、記録のタイプ、又は1つ又はそれよりも多くの一本化されたファイルにおける記録情報の位置などを識別することができる。記録情報は、記録の1つ又はそれよりも多くを説明することができる。記録情報は、セキュリティ評価システム202によって利用することができ、記録を識別してツール(例えば、利用可能な規則及び/又はフィルタ)を取り出し、記録から関連情報を位置付けることができる。
段階614では、任意的な通信認証モジュール412は、評価要求及び/又は記録情報にデジタルで署名することができる。段階616では、通信モジュール410は、評価要求及び記録情報をセキュリティ評価システム202に提供することができる。
図7は、一部の実施形態において、収集したものに含まれるセグメントをホワイトリスト、ブラックリスト、及び/又はグレイリストと比較して脆弱性を報告するための流れ図である。段階702では、セキュリティ評価システム202のエージェント通信モジュール502は、デジタルデバイスから評価要求及び記録情報を受信する。エージェント通信モジュール502は、デジタルデバイスによって提供された評価要求、記録情報、又は他のデータに基づいて、デジタルデバイス及び/又はデジタルデバイスのユーザデバイスエージェント400を識別することができる。
段階704では、任意的なエージェント認証モジュール504は、デジタルデバイスからの評価要求及び/又は記録情報を認証することができる。一部の実施形態において、セキュリティ評価システム202は、暗号化キーをエージェント及び/又はデジタルデバイスに割り当て、評価要求及び/又は記録情報の全部又は一部をデジタルで署名及び/又は暗号化することができる。一部の実施例では、任意的なエージェント認証モジュール504は、評価要求の精度、記録情報の精度、送信側デジタルデバイスのアイデンティティ、又はエージェントのアイデンティティなどを認証又は検証することができる。
一部の実施形態において、評価スケジューラー506は、評価が行われる前に満足されるべき時間又は条件をスケジュールすることができる。一例では、評価スケジューラー506は、前に受信した評価及び/又は予想されるリソースの利用可能度に基づいて、評価要求に含まれる情報の評価のための日付及び/又は時間をスケジュールすることができる。別の例では、評価スケジューラー506は、リソースの利用可能度を決定し、決定に基づいて評価の開始を制御することができる。一部の実施形態において、評価スケジューラー506は、全ての評価要求を順番に待ち行列に入れ、リソースを利用することができる時に待ち行列の各評価要求が順番に評価されるように命令することができる。当業者は、評価をスケジュールするための多くの方法が存在することができることを認めるであろう。
段階706では、記録管理モジュール508は、記録情報を利用して評価要求の記録を識別する。一部の実施形態において、評価要求がエージェントによって発生された単一記録を含む場合に、記録情報は提供されず、段階は任意的である。評価要求が、ユーザデバイスエージェント400ではない他のアプリケーションによって発生された記録を含む場合に、記録情報は、デジタルデバイスによって提供され、評価要求に含まれる記録のタイプを識別することができる。
一部の実施形態において、記録管理モジュール508は、記録情報を受信しない。記録管理モジュール508は、1つ又はそれよりも多くの記録を走査して記録名又はタイプを決定することができ、又は一部の実施形態において、記録管理モジュール508は、記録から関連情報(例えば、アプリケーション及びファイル属性)を走査する。例えば、記録管理モジュール508は、訓練し(例えば、記録からの情報は、データ構造に含まれた以前に決定された記録情報と比較することができる)、記録の走査に基づいて記録を識別することができる。
一部の実施形態において、記録管理モジュール508は、一本化された記録を受信する。記録管理モジュール508は、デジタルデバイスから受信した記録情報を利用する及び/又は一本化されたファイルを走査して記録のタイプ、並びに記録の位置を決定することができる。
段階708では、情報取り出しモジュール510は、識別された記録に基づいて記録管理情報を取り出すことができる。例えば、第三者によって発生された記録は、評価に関連する特定のセグメントを有する場合がある。記録のタイプ又はアイデンティティに基づいて、情報取り出しモジュール510は、評価に関連する記録のセグメント及び/又は一部を識別することができる記録管理情報を取り出すことができる。情報取り出しモジュール510は、記録管理データベース518から記録管理情報を取り出すことができる。
段階710では、評価モジュール512は、記録管理情報を使用して評価要求から記録のセグメント及び/又は一部を利用するアプリケーション及びファイル属性(例えば、関連情報)を識別する。段階712では、評価モジュール512は、識別したアプリケーション及びファイル属性を脆弱性データベース522の全部又は一部と比較することができる。一部の実施形態において、記録管理情報及び/又は記録情報は、記録のセグメント又は一部の内容を識別することができる。記録のセグメント又は一部の識別された内容は、脆弱性データベース522の関連情報だけと比較される(例えば、アプリケーションチェックサムは、脆弱性データベース522内の格納されたアプリケーションチェックサムとだけ比較され、例えば、アプリケーション名とは比較されない)。一部の実施形態において、記録管理モジュール508、情報取り出しモジュール510、及び/又は評価モジュール512は、記録を走査し、比較するための脆弱性データベース522の関連する部分を決定する。
段階714では、評価モジュール512、報告モジュール514、及び/又は警報モジュール516は、比較に基づいて任意的にリスク値を決定することができる。一部の実施形態において、脆弱性データベース522は、ある一定のアプリケーション又はファイルが疑わしいか、信頼することができるか、又は脆弱である可能性を示す得点又は他の値を含むことができる。評価モジュール512は、例えば、アプリケーション及びファイル属性に関連付けられた全ての得点又は他の値を追跡し、1つ又はそれよりも多くの評価要求及び/又は評価要求を提供したデジタルデバイスに関連する他の情報に基づいて全体的なリスク値を決定することができる。
段階716では、警報モジュール516は、評価に関連付けられた1つ又はそれよりも多くのリスク値(例えば、全体的なリスク値)をリスク許容閾値と比較することができる。リスク許容閾値は、デフォルト値とすることができ、又はネットワーク管理者又は他の許可された人又はデバイスによって確立することができる。リスク許容閾値は、異なるアプリケーション、ファイル、ユーザ、ネットワーク、及び/又はデジタルデバイスに対して異なるものにすることができる。
段階718では、警報モジュール516は、比較に基づいて警報を送信する。警報は、あらゆるデバイス及び/又は個人に送信することができる。
段階720では、報告モジュール514は、評価に基づいて報告を発生する。一例では、この報告は、評価されたアプリケーション及びファイル属性、並びに評価の結果を識別する。この報告は、記録(例えば、過去の評価の結果)を提供したユーザ及び/又はデジタルデバイスの履歴を含むことができる。この報告は、ホワイトリストのアプリケーション及びファイル、及び/又はブラックリストのアプリケーション及びファイルを識別することができる。この報告は、グレイリストに関連付けられたあらゆるアプリケーション又はファイルを含むことができる。
様々な実施形態において、この報告は、提案、訂正の経路、又は警告などを含むことができる。この報告は、更新されたプログラム及び/又はパッチへのリンクを含むことができる。
様々な実施形態において、評価モジュール512は、1つ又はそれよりも多くのファイル又はアプリケーションがアクセスされた時にユーザ及びユーザのネットワーク権利を追跡することができる。この結果、評価モジュール512は、スーパーユーザ又は「高い」権利を有するユーザが脆弱なアプリケーション及びファイルを利用することによって招く場合がある潜在的なリスク及び潜在的な損害を識別することができる。一例では、評価モジュール512は、1つ又はそれよりも多くの記録が発生された時にユーザのアイデンティティ、並びにユーザのネットワーク権利を取得することができる。
報告モジュール514は、1つ又はそれよりも多くのアプリケーション及び/又はファイルにアクセスしたユーザ、並びにユーザに関するネットワーク権利を識別することができる。
図8は、一部の実施形態におけるセキュリティ評価サーバによって発生された例示的な報告800である。アイデンティティ管理及び脆弱性の統合は、全体像を生成することができる。Windows及びRetinaにPowerBrokerのようなツールを使用することは、ホストで実行されているアプリケーション、アプリケーションを実行しているユーザの特権、及びCVSSのような規格を使用して表わされるリスク、及び脆弱性が突破口ツールキットにおいて利用可能であるかを示すことができる。図8に示すダッシュボードを考えられたい。
この例では、ランタイム中に識別された脆弱性との関係における高い共通脆弱性得点システム(CVSS)得点を有する8つのアプリケーションが実行されている。33.33%が突破可能であり、購入又はダウンロードのために容易にアクセス可能なツールキットによって危うくなる場合がある。本明細書で説明する一部の実施形態は、アプリケーションが実行された時間、アプリケーションを実行した人、及びアプリケーションが実行された時間に使用された特権を検出及び報告する。様々な実施形態は、この情報を脆弱性及び他の尺度に相関付けることができる。この情報の全ては、ダッシュボード及び網羅的な報告として利用することができる。
当業者は、一部の実施形態において、報告によって提供される全体像は、見出された脆弱性の従来の電話帳よりも大きいことを認めるであろう。更に、一部の実施形態は、特権的なアイデンティティ管理のためにシステム及びユーザによるアプリケーション使用を単純に制御及び測定すること以上のものを提供する。本明細書で説明する一部の実施形態は、現実世界のユーザ作動をユーザが日常的に作動させるアプリケーションのリスクにリンクさせる脆弱性とアイデンティティ管理との新しいタイプの融合である。脆弱性がゼロデイ又はパッチされていないレガシー脆弱性であるかに関わらず、ユーザ、許可、システム、及びアプリケーションによるリスクの理解は、従来技術のネットワーク走査で識別される見出された脆弱性の単なる大量の報告リストよりも修正、軽減、及び除外のための優れたガイダンスを提供することができる。
当業者は、報告が評価に関するあらゆる情報も含むことができることを認めるであろう。
図9は、例示的なデジタルデバイスのブロック図である。デジタルデバイス902は、通信チャネル916に通信することができるように結合されたプロセッサ904、メモリシステム906、格納システム908、入力デバイス910、通信ネットワークインタフェース912、及び出力デバイス914を含む。プロセッサ904は、実行可能命令(例えば、プログラム)を実行するように構成される。一部の実施形態において、プロセッサ904は、実行可能命令を処理することができる回路又はあらゆるプロセッサを含む。
メモリシステム906は、データを格納する。メモリシステム906の一部の実施例には、RAM、ROM、RAMキャッシュ、仮想メモリなどのようなストレージデバイスが含まれる。様々な実施形態において、作業データは、メモリシステム906に格納される。メモリシステム906内のデータは、消去することができ、又は最終的に格納システム908に転送することができる。
格納システム908は、データを取り出して格納するように構成されたあらゆるストレージを含む。格納システム908の一部の実施例には、フラッシュドライブ、ハードドライブ、光学ドライブ、及び/又は磁気テープが含まれる。メモリシステム906及び格納システム908の各々は、プロセッサ904によって実行可能な命令又はプログラムを格納するコンピュータ可読媒体を含む。
入力デバイス910は、入力データを(例えば、マウス及びキーボード上で)受信するインタフェースのようなあらゆるデバイスである。出力デバイス914は、データを(例えば、スピーカ又はディスプレイに)出力するインタフェースである。当業者は、格納システム908、入力デバイス910、及び出力デバイス914を任意的とすることができることを認めるであろう。例えば、ルータ/スイッチ110は、プロセッサ904及びメモリシステム906、並びにデータを受信及び出力するためのデバイス(例えば、通信ネットワークインタフェース912及び/又は出力デバイス914)を含むことができる。
通信ネットワークインタフェース(com.network interface)912は、リンク918を通じてネットワーク(例えば、コンピュータネットワーク126)に結合することができる。通信ネットワークインタフェース912は、イーサネット(登録商標)接続、シリアル接続、パラレル接続、及び/又はATA接続を通じた通信をサポートすることができる。通信ネットワークインタフェース912はまた、無線通信(例えば、802.11a/b/g/n、WiMax、LTE、WiFi)をサポートすることができる。通信ネットワークインタフェース912が多くの有線及び無線規格をサポートすることができることは当業者には明らかであろう。
デジタルデバイス902のハードウエア要素が図9に示すものに制限されないことは当業者によって認められるであろう。デジタルデバイス902は、図示のものよりも多いか又は少ないハードウエア、ソフトウエア、及び/又はファームウエア構成要素を含むことができる(例えば、ドライバ、オペレーティングシステム、タッチスクリーン、生体測定分析器、その他)。更に、ハードウエア要素は、機能を共有することができ、かつ依然として本明細書で説明する様々な実施形態の範囲内である。一例では、符号化及び/又は復号は、GPU(すなわち、Nvidia)上に位置付けられたプロセッサ904及び/又はコプロセッサによって実行することができる。
上述の機能及び構成要素は、コンピュータ可読媒体のようなストレージ媒体上に格納された命令を含むことができる。命令の一部の実施例は、ソフトウエア、プログラムコード、及びファームウエアを含む。命令は、多くの方法でプロセッサによって取り出して実行することができる。
本発明を例示的な実施形態に関して上記に説明した。様々な変更を実行することができること及び他の実施形態を本発明のより広範な範囲から逸脱することなく使用することができることは当業者には明らかであろう。従って、例示的な実施形態に対するこれら及び他の変形は、本発明によって網羅されるように意図している。
200 例示的環境
202 セキュリティ評価システム
204 通信ネットワーク
212 ネットワークデバイス
220 セキュリティ管理システム
202 セキュリティ評価システム
204 通信ネットワーク
212 ネットワークデバイス
220 セキュリティ管理システム
Claims (27)
- 複数の記録の各々が、異なる実行ファイルの実行又は終了中に発生され、かつ該異なる実行ファイルの実行又は終了に関連する情報を含む該複数の記録を第1デジタルデバイスから受信する段階と、
少なくとも1つのセグメントが、前記複数の記録のうちの少なくとも1つの全てよりも少なく、該セグメントが、前記異なる実行ファイルに関連するアプリケーション又はファイル属性を含む該少なくとも1つのセグメントを該複数の記録のうちの該少なくとも1つから取り出す段階と、
脆弱性データベースに対して前記アプリケーション又はファイル属性を比較する段階と、
前記比較に基づいてリスクを識別する段階と、
前記リスクを識別する報告を発生させる段階と、
を含むことを特徴とする方法。 - 前記複数の記録は、異なる実行ファイルに関連付けられたログファイルを含むことを特徴とする請求項1に記載の方法。
- 前記アプリケーション又はファイル属性は、アプリケーション又はファイルバージョンを含むことを特徴とする請求項1に記載の方法。
- 前記アプリケーション又はファイル属性は、実行時間を含むことを特徴とする請求項1に記載の方法。
- 前記アプリケーション又はファイル属性は、呼出し処理を含むことを特徴とする請求項1に記載の方法。
- 前記複数の記録のうちの前記少なくとも1つのタイプを識別する段階と、
前記複数の記録のうちの前記少なくとも1つの前記識別されたタイプに基づいて記録情報データベースから記録情報を取り出す段階と、
前記複数の記録のうちの前記少なくとも1つの中の前記少なくとも1つのセグメントの位置を識別する段階であって、該少なくとも1つのセグメントを取り出す段階が、該識別された位置から該少なくとも1つのセグメントを取り出す段階を含む前記識別する段階と、
を更に含むことを特徴とする請求項1に記載の方法。 - 前記脆弱性データベースに対する前記アプリケーション又はファイル属性の前記比較が行われることになる時をスケジューリングする段階と、該スケジュールに基づいて該脆弱性データベースに対して該アプリケーション又はファイル属性を比較することを待つ段階とを更に含むことを特徴とする請求項1に記載の方法。
- 前記複数の記録を認証する段階を更に含み、
前記アプリケーション又はファイル属性は、認証が成功した後にのみ前記脆弱性データベースに対して比較される、
ことを特徴とする請求項1に記載の方法。 - 脆弱性データベースに対して前記アプリケーション又はファイル属性を比較する段階は、ホワイトリストに対して該アプリケーション又はファイル属性を比較する段階を含むことを特徴とする請求項1に記載の方法。
- 脆弱性データベースに対して前記アプリケーション又はファイル属性を比較する段階は、ブラックリストに対して該アプリケーション又はファイル属性を比較する段階を含むことを特徴とする請求項1に記載の方法。
- 脆弱性データベースに対して前記アプリケーション又はファイル属性を比較する段階は、疑わしいアプリケーション又はファイルに関連付けられたアプリケーション又はファイル属性を含むグレイリストに対して該アプリケーション又はファイル属性を比較する段階を含むことを特徴とする請求項1に記載の方法。
- 前記グレイリストに対する前記アプリケーション又はファイル属性の前記比較に基づいてリスク値を決定する段階と、
前記リスク値に基づいて警報を提供する段階と、
を更に含むことを特徴とする請求項11に記載の方法。 - ユーザ閾値に対して前記リスク値を比較する段階を更に含み、
前記リスク値に基づいて前記警報を提供する段階は、前記比較に基づいて該警報を提供する段階を含む、
ことを特徴とする請求項12に記載の方法。 - 複数の記録の各々が、異なる実行ファイルの実行又は終了中に発生され、かつ該異なる実行ファイルの実行又は終了に関連する情報を含む該複数の記録を第1デジタルデバイスから受信するように構成された通信モジュールと、
少なくとも1つのセグメントが、前記複数の記録のうちの少なくとも1つの全てよりも少なく、該セグメントが、前記異なる実行ファイルに関連するアプリケーション又はファイル属性を含む該少なくとも1つのセグメントを該複数の記録のうちの該少なくとも1つから取り出すように構成された情報取り出しモジュールと、
脆弱性データベースに対して前記アプリケーション又はファイル属性を比較し、かつ該比較に基づいてリスクを識別するように構成された評価モジュールと、
前記リスクを識別する報告を発生させるように構成された報告モジュールと、
を含むことを特徴とするシステム。 - 前記複数の記録は、異なる実行ファイルに関連付けられたログファイルを含むことを特徴とする請求項14に記載のシステム。
- 前記アプリケーション又はファイル属性は、アプリケーション又はファイルバージョンを含むことを特徴とする請求項14に記載のシステム。
- 前記アプリケーション又はファイル属性は、実行時間を含むことを特徴とする請求項14に記載のシステム。
- 前記アプリケーション又はファイル属性は、呼出し処理を含むことを特徴とする請求項14に記載のシステム。
- 前記複数の記録のうちの前記少なくとも1つのタイプを識別するように構成された記録管理モジュールと、
前記複数の記録のうちの前記少なくとも1つの前記識別されたタイプに基づいて記録情報データベースから記録情報を取り出し、かつ該複数の記録のうちの該少なくとも1つの中の前記少なくとも1つのセグメントの位置を識別するように構成された情報取り出しモジュールであって、該少なくとも1つのセグメントを取り出すことが、該識別された位置から該少なくとも1つのセグメントを取り出すことを含む前記情報取り出しモジュールと、
を更に含むことを特徴とする請求項14に記載のシステム。 - 前記脆弱性データベースに対する前記アプリケーション又はファイル属性の前記比較が行われることになる時をスケジュールするように構成された評価スケジューラーを更に含むことを特徴とする請求項14に記載のシステム。
- 前記複数の記録を認証するように構成された要求認証モジュールを更に含み、
前記アプリケーション又はファイル属性は、認証が成功した後にのみ前記脆弱性データベースに対して比較される、
ことを特徴とする請求項14に記載のシステム。 - 前記脆弱性データベースに対して前記アプリケーション又はファイル属性を比較するように構成された前記評価モジュールは、ホワイトリストに対して該アプリケーション又はファイル属性を比較するように構成された該評価モジュールを含むことを特徴とする請求項14に記載のシステム。
- 前記脆弱性データベースに対して前記アプリケーション又はファイル属性を比較するように構成された前記評価モジュールは、ブラックリストに対して該アプリケーション又はファイル属性を比較するように構成された該評価モジュールを含むことを特徴とする請求項14に記載のシステム。
- 前記脆弱性データベースに対して前記アプリケーション又はファイル属性を比較するように構成された前記評価モジュールは、疑わしいアプリケーション又はファイルに関連付けられたアプリケーション又はファイル属性を含むグレイリストに対して該アプリケーション又はファイル属性を比較するように構成された該評価モジュールを含むことを特徴とする請求項14に記載のシステム。
- 前記グレイリストに対する前記アプリケーション又はファイル属性の前記比較に基づいてリスク値を決定し、かつ該リスク値に基づいて警報を提供するように構成された警報モジュール、
を更に含むことを特徴とする請求項24に記載のシステム。 - 前記警報モジュールは、ユーザ閾値に対して前記リスク値を比較するように更に構成されることを特徴とする請求項25に記載のシステム。
- 複数の記録の各々が、異なる実行ファイルの実行又は終了中に発生され、かつ該異なる実行ファイルの実行又は終了に関連する情報を含む該複数の記録を第1デジタルデバイスから受信する段階と、
少なくとも1つのセグメントが、前記複数の記録のうちの少なくとも1つの全てよりも少なく、該セグメントが、前記異なる実行ファイルに関連するアプリケーション又はファイル属性を含む該少なくとも1つのセグメントを該複数の記録のうちの該少なくとも1つから取り出す段階と、
脆弱性データベースに対して前記アプリケーション又はファイル属性を比較する段階と、
前記比較に基づいてリスクを識別する段階と、
前記リスクを識別する報告を発生させる段階と、
を含む方法を実行するようにプロセッサによって実行可能である実行可能命令、
を含むことを特徴とするコンピュータ可読媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361752808P | 2013-01-15 | 2013-01-15 | |
| US61/752,808 | 2013-01-15 | ||
| PCT/US2014/011729 WO2014113501A1 (en) | 2013-01-15 | 2014-01-15 | Systems and methods for identifying and reporting application and file vulnerabilities |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016503936A true JP2016503936A (ja) | 2016-02-08 |
Family
ID=51166356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015553809A Pending JP2016503936A (ja) | 2013-01-15 | 2014-01-15 | アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20140201843A1 (ja) |
| EP (1) | EP2946327A4 (ja) |
| JP (1) | JP2016503936A (ja) |
| AU (1) | AU2014207540A1 (ja) |
| CA (1) | CA2899909A1 (ja) |
| MX (1) | MX2015009172A (ja) |
| SG (1) | SG11201505534SA (ja) |
| WO (1) | WO2014113501A1 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2507357B (en) * | 2013-01-21 | 2016-04-20 | F Secure Corp | Agent based application reputation system for operating systems |
| US8943592B1 (en) * | 2013-07-15 | 2015-01-27 | Eset, Spol. S.R.O. | Methods of detection of software exploitation |
| US9298923B2 (en) * | 2013-09-04 | 2016-03-29 | Cisco Technology, Inc. | Software revocation infrastructure |
| US20150312276A1 (en) * | 2014-04-29 | 2015-10-29 | 1E Limited | White lists |
| US9648036B2 (en) | 2014-12-29 | 2017-05-09 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| US9467455B2 (en) | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| JP6404771B2 (ja) * | 2015-05-26 | 2018-10-17 | 日本電信電話株式会社 | ログ判定装置、ログ判定方法、およびログ判定プログラム |
| US10205737B2 (en) * | 2016-01-11 | 2019-02-12 | International Business Machines Corporation | Addressing login platform security risks |
| US10025701B2 (en) | 2016-05-16 | 2018-07-17 | Google Llc | Application pre-release report |
| US10530803B1 (en) | 2016-07-05 | 2020-01-07 | Wells Fargo Bank, N.A. | Secure online transactions |
| US10594719B2 (en) | 2016-08-30 | 2020-03-17 | Kivu Consulting, Inc. | Systems and methods for remote identification of enterprise threats |
| US10609065B2 (en) | 2016-08-30 | 2020-03-31 | Kivu Consulting, Inc. | Systems and methods for identifying and mapping sensitive data on an enterprise |
| GB2553836B (en) | 2016-09-16 | 2021-05-19 | 1E Ltd | File execution |
| US11522901B2 (en) | 2016-09-23 | 2022-12-06 | OPSWAT, Inc. | Computer security vulnerability assessment |
| US9749349B1 (en) * | 2016-09-23 | 2017-08-29 | OPSWAT, Inc. | Computer security vulnerability assessment |
| US11256812B2 (en) * | 2017-01-31 | 2022-02-22 | Zerofox, Inc. | End user social network protection portal |
| US10805333B2 (en) * | 2017-02-27 | 2020-10-13 | Ivanti, Inc. | Systems and methods for context-based mitigation of computer security risks |
| US11394722B2 (en) | 2017-04-04 | 2022-07-19 | Zerofox, Inc. | Social media rule engine |
| US11418527B2 (en) | 2017-08-22 | 2022-08-16 | ZeroFOX, Inc | Malicious social media account identification |
| US11403400B2 (en) | 2017-08-31 | 2022-08-02 | Zerofox, Inc. | Troll account detection |
| US10623433B1 (en) | 2017-09-25 | 2020-04-14 | Amazon Technologies, Inc. | Configurable event-based compute instance security assessments |
| US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
| US11269997B2 (en) * | 2019-08-13 | 2022-03-08 | Sap Se | Automated dynamic security testing |
| US11205005B2 (en) | 2019-09-23 | 2021-12-21 | International Business Machines Corporation | Identifying microarchitectural security vulnerabilities using simulation comparison with modified secret data |
| US11443044B2 (en) | 2019-09-23 | 2022-09-13 | International Business Machines Corporation | Targeted very long delay for increasing speculative execution progression |
| CN111488580A (zh) * | 2020-03-25 | 2020-08-04 | 杭州迪普科技股份有限公司 | 安全隐患检测方法、装置、电子设备及计算机可读介质 |
| US11706239B2 (en) | 2020-08-26 | 2023-07-18 | Cisco Technology, Inc. | Systems and methods for detecting vulnerabilities in network processes during runtime |
| CN112948258A (zh) * | 2021-03-26 | 2021-06-11 | 杭州万高科技股份有限公司 | 一种代码测试方法、装置、设备及计算机可读存储介质 |
| US12001566B2 (en) * | 2021-09-30 | 2024-06-04 | Dell Products L.P. | Method and system for generating security findings acquisition records for systems and system components |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999066383A2 (en) * | 1998-06-15 | 1999-12-23 | Dmw Worldwide, Inc. | Method and apparatus for assessing the security of a computer system |
| EP1269286B1 (en) * | 2000-03-03 | 2008-11-19 | International Business Machines Corporation | System for determining web application vulnerabilities |
| US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
| US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
| US7237266B2 (en) * | 2003-06-30 | 2007-06-26 | At&T Intellectual Property, Inc. | Electronic vulnerability and reliability assessment |
| US7797752B1 (en) * | 2003-12-17 | 2010-09-14 | Vimal Vaidya | Method and apparatus to secure a computing environment |
| US7895651B2 (en) * | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
| US20070094735A1 (en) * | 2005-10-26 | 2007-04-26 | Cohen Matthew L | Method to consolidate and prioritize web application vulnerabilities |
| US8612971B1 (en) * | 2006-10-17 | 2013-12-17 | Manageiq, Inc. | Automatic optimization for virtual systems |
| US8613080B2 (en) * | 2007-02-16 | 2013-12-17 | Veracode, Inc. | Assessment and analysis of software security flaws in virtual machines |
| US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
| US8127354B1 (en) * | 2008-10-09 | 2012-02-28 | Mcafee, Inc. | System, method, and computer program product for identifying vulnerabilities associated with data loaded in memory |
| WO2012001667A1 (en) * | 2010-07-01 | 2012-01-05 | Nunez Di Croce Mariano | Automated security assessment of business-critical systems and applications |
| TWI442260B (zh) * | 2010-11-19 | 2014-06-21 | Inst Information Industry | 伺服器、使用者裝置及其惡意程式偵測方法 |
| US8560661B2 (en) * | 2010-12-30 | 2013-10-15 | Kaspersky Lab Zao | System and methods for launching antivirus application tasks during computer downtime |
| US9075993B2 (en) * | 2011-01-24 | 2015-07-07 | Mcafee, Inc. | System and method for selectively grouping and managing program files |
| US9286182B2 (en) * | 2011-06-17 | 2016-03-15 | Microsoft Technology Licensing, Llc | Virtual machine snapshotting and analysis |
-
2014
- 2014-01-15 JP JP2015553809A patent/JP2016503936A/ja active Pending
- 2014-01-15 US US14/156,375 patent/US20140201843A1/en not_active Abandoned
- 2014-01-15 SG SG11201505534SA patent/SG11201505534SA/en unknown
- 2014-01-15 MX MX2015009172A patent/MX2015009172A/es unknown
- 2014-01-15 EP EP14740537.7A patent/EP2946327A4/en not_active Withdrawn
- 2014-01-15 AU AU2014207540A patent/AU2014207540A1/en not_active Abandoned
- 2014-01-15 WO PCT/US2014/011729 patent/WO2014113501A1/en active Application Filing
- 2014-01-15 CA CA2899909A patent/CA2899909A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20140201843A1 (en) | 2014-07-17 |
| CA2899909A1 (en) | 2014-07-24 |
| AU2014207540A1 (en) | 2015-08-06 |
| WO2014113501A1 (en) | 2014-07-24 |
| EP2946327A4 (en) | 2016-09-14 |
| EP2946327A1 (en) | 2015-11-25 |
| SG11201505534SA (en) | 2015-09-29 |
| MX2015009172A (es) | 2016-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9467465B2 (en) | Systems and methods of risk based rules for application control | |
| US11343280B2 (en) | System and method for identifying and controlling polymorphic malware | |
| AU2019246773B2 (en) | Systems and methods of risk based rules for application control | |
| JP2016503936A (ja) | アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法 | |
| US11184392B2 (en) | Detecting lateral movement by malicious applications | |
| US10924517B2 (en) | Processing network traffic based on assessed security weaknesses | |
| US20210067529A1 (en) | System and method of adding tags for use in detecting computer attacks | |
| GB2572471A (en) | Detecting lateral movement by malicious applications | |
| Patel et al. | Malware Detection Using Yara Rules in SIEM | |
| RFC | NEW QUESTION |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20150929 |