JP2017525055A - 産業制御環境内のサイバーセキュリティリスクの分析 - Google Patents

産業制御環境内のサイバーセキュリティリスクの分析 Download PDF

Info

Publication number
JP2017525055A
JP2017525055A JP2017507962A JP2017507962A JP2017525055A JP 2017525055 A JP2017525055 A JP 2017525055A JP 2017507962 A JP2017507962 A JP 2017507962A JP 2017507962 A JP2017507962 A JP 2017507962A JP 2017525055 A JP2017525055 A JP 2017525055A
Authority
JP
Japan
Prior art keywords
data
security
risks
network devices
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017507962A
Other languages
English (en)
Other versions
JP6624692B2 (ja
Inventor
カーペンター,セス・ジー.
ボイス,エリック・ティー.
コワルチック,アンドリュー
ダイエットリッチ,ケン
ガデ,ガネシュ・ピー.
ナップ,エリック・ディー.
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell International Inc
Original Assignee
Honeywell International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell International Inc filed Critical Honeywell International Inc
Publication of JP2017525055A publication Critical patent/JP2017525055A/ja
Application granted granted Critical
Publication of JP6624692B2 publication Critical patent/JP6624692B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

複数のネットワーク装置(145)を含む産業制御システム(ICS)(150)内のサイバーセキュリティリスクを分析する方法(300)であって、プロセッサ(110)及びサイバーセキュリティアルゴリズムを格納するメモリ(115)を提供するステップ(301)を含む。プロセッサは、サイバーセキュリティアルゴリズムを実行し、複数の装置をスキャンすることによって、複数のネットワーク装置に関するサイバーリスク(リスク)を含む少なくとも脆弱性データを含むセキュリティデータを蓄積するために、データを収集するステップ(302)と、数値スコアをリスクの各々に関連付けるルールエンジン(122)を用いて、セキュリティデータを処理するステップ(303)と、複数のネットワーク装置全体のリスクをランク付けすることと、リスクを少なくとも1つの論理的グルーピングに配列することと、を含むデータを集約するステップ(304)と、論理的グルーピングをユーザ局(125)上に表示するステップ(305)と、を実装する。

Description

関連出願の相互参照
[0001]この出願は、2014年8月13日に出願された「ANALYZING CYBER−SECURITY RISKS IN AN INDUSTRIAL CONTROL ENVIRONMENT(産業制御環境内のサイバーセキュリティリスクの分析)」という名称の仮出願番号第62/036920の利益を主張し、その全体は、参照によって本願明細書に組み込まれる。
[0002]開示された実施形態は、産業制御システムに関連付けられたネットワークのためのサイバーセキュリティに関する。
[0003]コンピュータシステムは、様々な異なるタスクを実行する際に用いられる。例えば、コンピュータシステムの産業ネットワーク及び機器は、産業制御システム(ICS)と称される産業システムを制御及び/又はモニタする際に用いられる。この種のICSが、製造、発電、エネルギー供給、廃棄物処理、輸送、電気通信、石油精製及び水処置に関連して使用可能である。ICSは、接続され、直接的であれ、間接的であれ、企業ネットワーク及びインターネットを含む他のネットワークを介してアクセス可能でもよい。
[0004]それゆえ、産業ネットワークは、内部及び外部の両方のサイバー攻撃に影響を受けうる。外部のサイバー攻撃からの予防措置として、産業ネットワークを他のネットワークから切り離すために、ファイアウォール又は他のセキュリティ対策が取られうる。
[0005]ICSにおいて、サイバーセキュリティへの懸念は増加しており、システム全体に対するサイバーリスクの潜在的原因を迅速に決定することは、一般的に困難である。現代のICSは、一般的に、WINDOWS(登録商標)サーバ及びワークステーション、スイッチ、ルータ、ファイアウォール、安全システム、専用のリアルタイムコントローラ及びフィールド装置を含む機器の混合を含む。しばしば、この機器は、異なるベンダからの機器の混合である。
[0006]さらに、ICSオペレータが、ICS内で動作しているすべての装置/機器の完全な理解又は在庫を有するわけではない。この機器のいずれかにおける取り組まれていないセキュリティの脆弱性によって、製造を阻害し、又は、ICS内の安全でない状況が生じうる。この種のシステムの障害は、悪意のある攻撃、不満を持つ従業員、ウィルスの結果、又は、サイバーセキュリティ対策の不足に関連する単なる誤りの結果でありうる。ウィルスがユニバーサルシリアルバス(USB)メモリ「スティック」を介して直接導入されうるので、スタンドアロンの機器さえ脆弱になりうる。
本発明は、上記の課題を解決するものである。
[0007]この概要は、概要を示し、この開示の性質及び要点を簡潔に示すために設けられる。それが請求項の範囲又は意味を解釈又は制限するためには用いられないという理解の上で提示される。
[0008]開示された実施形態が認識するのは、状況認識、意思決定支援、優先順位付け及び評価をユーザに提供することを可能にし、先制のセキュリティ強化措置が講じられることを可能にするために、サイバーセキュリティ状態及びサイバーリスクを単一の焦点に集約する(aggregate)産業制御システム(ICS)の集中インタフェースが存在しないことである。したがって、ICS(例えば、工場)ネットワーク環境内の潜在的サイバーセキュリティ脆弱性を蓄積し(compile)、ICSに対するリスクに基づいてセキュリティ脆弱性を優先させ、脆弱性を緩和する措置を講じるようにユーザを案内する、サイバーセキュリティリスク分析システム及びアルゴリズム対する必要が認識されている。開示されたサイバーセキュリティリスク分析システムは、ICS内の装置のためのセキュリティ状態及びサイバーリスクのカテゴリを、ユーザインタフェース又は「ダッシュボード」に表示可能な焦点供給の単一点に集約する。
[0009]開示されたサイバーセキュリティアルゴリズム及び方法により提供されるいくつかの重要な態様が存在する。1つは、行われるリスク評価の略リアルタイムの連続的な性質であり、もう1つは、サイバーセキュリティリスクの算出に対する問題領域の知識(すなわち、ICSシステムの理解)の適用である。
[0010]一個人が、サイバーセキュリティリスクを分析及び算出するために開示されたサイバーセキュリティアルゴリズムによって利用される莫大な量のイベント及び測定されたパラメータについていくことは不可能ではないことに注意されたい。個人のチームでさえ、それは、可能ではないであろう。さらに、モニタされるネットワーク装置のいくつかは、毎秒何千ものイベントを生成しうるので、開示されたサイバーセキュリティアルゴリズム及び方法が提供する基本的にリアルタイムのモニタリングを提供することは、可能ではない。
[0011]本明細書において、ICSネットワーク内の「サイバーセキュリティリスク」という用語は、一般的に、不完全な、誤った設定(misconfigured)、又は、サイバー攻撃に脆弱である任意のサイバーセキュリティコントロールを意味する。セキュリティリスクは、失ったパッチ、旧式のアンチウィルスソフトウェア、過剰なセキュリティ特権、不適当な使用及び無許可の変更を含むが、これらに限定されるものではない。本明細書において、「不完全な」とは、制御が実施されていない(失われている)、又は、実施されている制御がタスクに対して不十分であるものとして定義され、「誤った設定」とは、適正な制御が実施されているが、部分的又は全体的に効果がないとみなされる方法で設定又は位置に配置されるものとして定義され、「脆弱な」とは、適正な制御が実施されているが、旧式であるか又はパッチを当てていないため、サイバー攻撃に対して脆弱/影響を受けやすくしているものとして定義される。脆弱性の他に、サイバーセキュリティリスクは、さらに、脅威レベル(すなわち、脆弱性が利用される可能性の程度)及び結果(すなわち、サイバーセキュリティリスクのために測定されているネットワーク装置がうまく利用された場合、影響がどのくらい深刻に感知されるのか)の関数とすることができる。
[0012]例示の一実施形態による、ICSに組み込まれる例示のサイバーセキュリティリスク分析システムである。 [0013]ネットワークの5つの異なるティアを有する分散制御システム(DCS)を示し、低い方の4つのティアは、開示されたサイバーセキュリティリスク分析システムから利益を得ることができる。 [0014]複数のセキュリティゾーンに分割された例示の工場を示し、各セキュリティゾーンは、自身のルータ又はファイアウォールを有する。 [0015]例示の実施形態による、ICS内のサイバーセキュリティリスクを分析する例示の方法におけるステップを示すフローチャートである。 [0016]例示の実施形態による、モニタされ、複数の異なるセキュリティゾーンに分類される複数のネットワーク装置を含むICSのネットワークに組み込まれる開示されたリスク分析システムによって生成可能な例示のダッシュボードの図を示す。 例示の実施形態による、モニタされ、複数の異なるセキュリティゾーンに分類される複数のネットワーク装置を含むICSのネットワークに組み込まれる開示されたリスク分析システムによって生成可能な例示のダッシュボードの図を示す。 例示の実施形態による、モニタされ、複数の異なるセキュリティゾーンに分類される複数のネットワーク装置を含むICSのネットワークに組み込まれる開示されたリスク分析システムによって生成可能な例示のダッシュボードの図を示す。 例示の実施形態による、モニタされ、複数の異なるセキュリティゾーンに分類される複数のネットワーク装置を含むICSのネットワークに組み込まれる開示されたリスク分析システムによって生成可能な例示のダッシュボードの図を示す。 例示の実施形態による、モニタされ、複数の異なるセキュリティゾーンに分類される複数のネットワーク装置を含むICSのネットワークに組み込まれる開示されたリスク分析システムによって生成可能な例示のダッシュボードの図を示す。
[0017]開示された実施形態は、添付の図面を参照しながら説明され、図面では、類似の参照符号は、図面全体にわたって、類似又は等価な要素を示すために用いられる。図面は一定の比率で描画されず、本願明細書において開示される態様を単に例示するためにのみ提供される。いくつかの開示された態様は、説明のための例示の適用を参照して後述される。多数の具体的な詳細、関係及び方法が、本願明細書において開示される実施形態の完全な理解を提供するために記載されることを理解すべきである。
[0018]しかしながら、当業者は、開示された実施形態が、1つ又は複数の具体的な詳細なしで、又は、他の方法によって実行可能であることを直ちに認識する。他の例において、周知の構造又は動作は、本願明細書において開示される態様を不明瞭にすることを回避するために、詳細には示されない。開示された実施形態は、図示の順序の動作又はイベントによって制限されない。なぜなら、いくつかの動作が、異なる順序で、及び/又は、他の動作又はイベントと並行して生じてもよいからである。さらにまた、すべての図示の動作又はイベントが、この開示に従って方法を実施することが要求されているわけではない。
[0019]図1は、例示の一実施形態による、モニタされる複数のネットワーク装置を含むICS150のネットワークに組み込まれる例示のサイバーセキュリティリスク分析システム(リスク分析システム)100である。上述したように、ICS150は、例えば製造、発電、エネルギー供給、廃棄物処理、輸送、電気通信及び水処置に関係する制御システムを含む様々な異なる制御システムの用途に関連して使用可能である。
[0020]リスク分析システム100は、中央サーバ105を含み、中央サーバ105は、プロセッサ110(例えば、マイクロコントローラ、デジタル信号プロセッサ(DSP)又はマイクロコントローラユニット(MCU))及び関連メモリ115を含んで示され、関連メモリ115には、開示されたアルゴリズム及びデータベースデータが格納され、ネットワーク内のそれぞれの装置のためのサイバーリスクを含む脆弱性データ116aを格納するセキュリティデータベース116を含む。上述したように、脆弱性の他に、サイバーセキュリティリスクは、脆弱性が利用される可能性の程度である脅威レベルの関数とすることができ、サイバーセキュリティリスクのために測定されているネットワーク装置がうまく利用された場合、影響がどのくらい深刻に感知されるのかの結果の関数とすることができる。開示されたアルゴリズムを使用して、プロセッサ110は、データ収集モジュール121と、ルールエンジン及び集約モジュール122と、ユーザインタフェース(UI)モジュール123と、を実装して示される。ICS150によって実装されるネットワークは、有線(例えば、ケーブル)ネットワーク、無線ネットワーク、光ネットワーク又は3つの任意の組み合わせ(例えば、有線及び無線ネットワーク)とすることができる。
[0021]図1のモニタされる装置は、例えば分散制御システム(DCS)の制御システム120の制御レベル120cの一部であるワークステーション135、サーバ140及びネットワーク装置145として示される。制御システム120は、他のネットワークレベルである装置レベル120a及び入出力(IO)レベル120bも含んで示される。図1には、制御システム120内の他のネットワークレベルを構成することができるビジネスレベル120e及び工場レベル120dは示されていないが、後述する図2に関連するDCS120’では、示され、記載される。
[0022]開示された実施形態で使用可能なデータ収集モジュール121に与えるための脆弱性データ及びイベントデータ(存在する場合)のデータ収集には、3つの基本的なアプローチが存在する。第1のアプローチは、モニタされる装置上の、基本的にローカルで動作するプログラムであるローカルエージェントを使用し、脆弱性データ及びイベントデータ(存在する場合)に関する関心情報を収集し、この情報を、ここではデータ収集モジュール121である中央装置まで送信する。第2のアプローチは、ビルトインプロトコルを用いて、装置に遠隔でコールすることである。WMI及びSNMPは、これらのプロトコルの例である(WINDOWS(登録商標) PC用のWMI、ネットワーク装置用のSNMP)。脆弱性データ及びイベントデータ(存在する場合)を望むたびに、適切なプロトコルを介してそれを要求する。第3のアプローチは、関連情報に申し込む(subscribe)ために装置又はプログラムにすでに組み込まれている特徴を使用する。機能がモニタされる装置にすでに組み込まれるので、このアプローチは、第1のアプローチで必要なカスタムエージェントを必要としないし、第2のアプローチで必要なデータ要求も必要としない。データに対する最初の申し込みが存在し(モニタされる装置を構成することによって、又は、提供されたインタフェースを介して発生するかもしれない)、次に、それが発生するとき、脆弱性データ及びイベントデータ(存在する場合)に関するすべての関連データは、自動的にデータ収集モジュール121に送信される。SYSLOGは、この第3のアプローチの一例である。
[0023]ローカルエージェントがネットワーク内のすべての装置に存在する場合、ローカルエージェントは、一般的に、例えば各装置のエージェントレスの収集プロトコル(例えば、Windows Management Instrumentation(WMI)、簡易ネットワーク管理プロトコル(SNMP)、Syslog)又はこれらのアプローチの組み合わせを用いて、データを収集し、脆弱性データ及びイベントデータ(存在する場合)をデータ収集モジュール121に送信する。1つの特定のローカルエージェントベースの実施態様は、データ収集のためのMicrosoft System Center Operations Manager(SCOM)を使用する。それゆえ、リスク分析システム100は、ワークステーション135(又はPC)からデータを収集するためのローカルエージェントと、スイッチ、ルータ、ファイアウォール及び侵入検出/防止装置からデータを収集するためのエージェントレスの収集と、の組み合わせを用いることができる。生データは、データ収集モジュール121によって、短期のデータベース(例えば、7日のデータ)及び長期のデータウェアハウス(例えば、12カ月のデータ(又は構成される場合より長く))に格納可能である。データは、モニタされる装置から周期的に収集される(ポーリング)こともできるし、又は、ICS150内の任意のモニタされる装置上の変化又はイベントが検出されるとき、例えば、ファイアウォール又はアンチウィルスソフトウェアが無効なとき、又は、WINDOWS(登録商標)のセキュリティイベントのとき収集されることもできる。
[0024]上述したように、ローカルのエージェントベースのデータ収集が脆弱性データ及びイベントデータ(存在する場合)をデータ収集モジュール121に集める他に、例えば、ローカルエージェントが欠如している場合、ビルトインプロトコルを用いて装置に遠隔でコールすることを備える上述した第2のアプローチが使用可能である。あるいは、すでに装置又はプログラムに組み込まれた特徴を用いて、関連情報に申し込む上述した第3のアプローチもまた、データ収集のために使用可能である。
[0025]ルールエンジン及び集約モジュール122は、カスタム開発されたルールエンジンによって実装可能であり、カスタム開発されたルールエンジンは、SCOMデータベースとして実現されるデータ収集モジュール121からデータを読み込み、それを、正規化データ及びグループピングに変換する。ルールエンジン及び集約モジュール122は、イベントが発生するとき、SCOMから非同期通知を受け取り、それらを基本的に直ちに処理するためのものである。ルールエンジン及び集約モジュール122は、結果として生じる情報をメモリ115のセキュリティデータベース116にロードする。
[0026]セキュリティデータベース116は、カスタムスキーマによって、MICROSOFTの構造化照会言語(SQL)データベースとして実装可能である。脆弱性データ及びイベントは、ルールエンジン及び集約モジュール122によってセキュリティデータベース116にロードされ、例えば図示のIUモジュール123を介して、ユーザ局125によって消費される。ユーザ局125は、ワークステーション125a及びウェブアプリケーションのエンドポイントの1つに結合されるブラウザ125bを備えて示される。
[0027]UIモジュール123は、ICS150のブラウザを介してアクセスされるウェブアプリケーションとして実装可能である。ブラウザは、パーソナルコンピュータ(PC)又は他の装置(例えばタブレット)上に位置し、UIモジュール123にアクセスする許可を有する。UIモジュール123は、MICROSOFTインターネットインフォメーションサービス(IIS)においてホストされ、セキュリティデータベース116に対する更新のリアルタイムな通知のためにSignalR及びJSONを使用し、動的なウェブページの機能のためにknockout.jsを使用することができる。UIモジュール123の代替実施形態は、ブラウザベースのアプリケーションの代わりのスタンドアロンアプリケーションである。このアプリケーションは、(そのデータベース上のセキュリティに依存する)UIモジュール123を必要とすることなく、セキュリティデータベース116に直接アクセスし、情報を使用し、ユーザ局125を動作させる。
[0028]開示された方法は、ICS150内のネットワーク装置を発見するステップと、データ収集モジュール121に格納されるそれらの装置のための脆弱性及びイベントデータのデータベースを形成するステップと、次に、さらなる分析のための装置をセキュリティゾーンに分類するステップと、を含むことができる。例えば、後述する図2Bは、例示の工場200が複数のセキュリティゾーンに分割され、図示される各セキュリティゾーンが自身のルータ/ファイアウォール225を有することを示す。
[0029]この開示の目的のために、制御ネットワーク内のどの装置が開示されたリスク算出のために同一セキュリティゾーンに存在するかを知ることは、一般的に望ましい。本明細書で用いられるセキュリティゾーンは、ANSI/ISA−99規格のImprove Control System Securityのゾーン及びコンジットのモデルを参照することができ、ここでは、概略的に、互いに自由に通信可能な制御ネットワーク内の装置は、同一のセキュリティゾーンに分類される。いくつかのコンジット(例えばファイアウォール/ルータ225)を介して通過しなければならない装置は、一般的に、他のセキュリティゾーンに分類される。ネットワークを介して伝播できる1つの装置上で検出されたウィルス又はワームが存在する場合、同一セキュリティゾーン内のすべての装置はリスクにさらされているとみなされうる。なぜなら、感染した装置はそれらと直接コンタクト可能であるからである。セキュリティゾーンは、装置のどれが、ICSによって実装されるネットワークに接続されているかの決定を可能にし、ICS150内の特定の装置が不正アクセスされる場合、サイバー攻撃がどこで広がるおそれがあるかを示す。
[0030]データ収集モジュール121は、これらの装置を周知の脆弱性(例えば、旧式のWINDOWS(登録商標)パッチ)のためにスキャンし、セキュリティデータベース116にロードされる脆弱性(及び、任意のイベント、脅威及び結果)のデータを収集する。データ収集モジュール121は、基本的に「連続的に」(例えば、セキュリティ関連事項(例えば、ウィルス検出、WINDOWS(登録商標)認証失敗)のイベントのために数秒ごとに)装置をモニタすることができる。
[0031]装置をモニタするための2つの異なる例示の方法を用いることができる。最も単純なモニタ方法は、ポーリングであり、値は、ある一定間隔(例えば、1時間ごと)で読み込まれる。可能な場合に使用可能な他の方法は、関心対象の値が変化するときはいつでも、通知される装置のオペレーティングシステムに登録する(register)ことである。この方法は、一般的に、特定の動作中の装置上の特定のパラメータ(例えば、WINDOWS(登録商標)マシン上のレジストリ値)にのみ可能である。所定のパラメータのための通知に登録できないときは、一般的に、ポーリングが用いられる。モニタリングの領域は、アンチウィルス、アプリケーションホワイトリスティング、WINDOWS(登録商標)セキュリティイベント、ネットワークセキュリティ(スイッチ、ルータ、ファイアウォール及び侵入検出/防止システムの状態を含む)、バックアップステータス、パッチングステータス及びアセットポリシーを含む。
[0032]脆弱性データがデータ収集モジュール121に収集された後、脆弱性データは、このデータを最初に正規化するルールの内部セットを有するルールエンジン及び集約モジュール122によって処理される。例えば、いくつかの装置がSYMANTECのアンチウィルス及び他のMCAFEEのアンチウィルスを使用する場合、ルールエンジンは、各装置から収集したデータを、データ又は分析の共通のセットに変換する。アプリケーションベンダ及びデータソースの範囲のためのサポートのため、開示された実施形態を実装する有効な方法は、一般的に、分析を実行する前にデータを正規化することであると認識される。
[0033]例えば、アンチウィルス情報をMCAFEE及びSYMANTECのアンチウィルス製品から読み込むサポートを想定する。これらのベンダの各々からの生データは、非常に異なるように見えるが、これらのベンダの各々からのデータは、いくらか事前特定されたフォーマットに修正可能なので、分析はこれらのデータソース間で区別する必要はない。例えば、MCAFEEのアンチウィルス製品が、そのウィルス定義の日付をMM/DD/YYYYとして格納し、SYMANTECのアンチウィルス製品が、それをDD−MM−YYYYとして格納するとする。データのための予想される(好適な)フォーマットを選択することができ(例えば、YYYY−MM−DD)、次に、ルールエンジン及び集約モジュール122のこの変換部分は、これらの生のストリングを読み込み、それらを好適なフォーマットに変換することができる。このように、ルール自体は、一般的に、ストリング又はデータ処理自体を変更する必要はなく、サポートは、ルールの変更を必要とすることなく、他のアンチウィルスベンダのために追加可能である。
[0034]スコアリングルールの内部セットを用いて、数値スコアは、ルールエンジン及び集約モジュール122によって各リスクに割り当てられ、さまざまなサイバーリスクを定量化することができる。単純な例は、各々の可能性があるサイバーリスクのための単純なスコアをICS150に提供することである。サイバーリスクに、0から100まで数値が割り当てられると仮定する(例えば、0はリスクがなく、100は非常にリスクがある)。それゆえ、アンチウィルスがインストールされていない又は無効の場合、それは高いリスク値(例えば、100)とみなすことができる。アンチウィルス定義ファイルが2週間の期限切れである場合、それは低いリスク(例えば、25)とみなされるかもしれない。定義ファイルがより長時間、期限切れのままである場合、そのリスク値は増加しうる。
[0035]ルールエンジン及び集約モジュール122により用いられ、リスクの頻度及び接続される装置への暴露を考慮する、より高度なスコアリングルールも存在しうる。これらのルールは、必要に応じてユーザによって修正及び微調整が可能である。次に、ルールエンジン及び集約モジュール122のルールエンジンは、数値スコアを用いて、ICS150全体のリスクにランク付けを行い、それらを論理的グルーピング(例えば、セキュリティゾーン、リスクソース、リスクの深刻度)に配置することができる。ルールエンジンは、ガイダンステキストを各リスクに関連付け、ユーザがリスクに対処するのを支援することができる(例えば、課題説明、可能性がある原因、システムに対する潜在的影響、推奨された措置、後述する図4B参照)。
[0036]ルールエンジン及び集約モジュール122は、同一グルーピングを用いて、履歴のリスク情報を保持することもできる。これにより、ユーザは、長期間にわたるICS150のサイバーリスクを見て、サイバーリスクが最も頻繁に発生する場所を見つけることができる。ルールエンジン及び集約モジュール122の処理からの結果は、ユーザ局125(又はダッシュボード)に送信されるセキュリティデータベース116に配置される。このセキュリティデータの機密性のため、セキュリティデータベース116へのアクセスは、一般的に、許可されたユーザのみに限定されることを意図する。
[0037]WINDOWS(登録商標)ドメイン環境において、ユーザ局125のウェブブラウザは、現在のユーザのアイデンティティをリスク分析システム100に送信することができる。これは、例えば、リスク分析システム100に格納されるデータを読み出すによって、特権に関連付けられたアクティブディレクトリのグループと照合可能である。アクティブディレクトリ情報は、サーバ140の一部とすることができるドメインコントローラに格納可能である。ユーザがアクセスするデータは、一般的に、セキュリティデータベース116に格納される。明確にするために、UIモジュール123(又はエンドユーザ)は、一般的に、セキュリティデータベース116に直接アクセスすることができない。なぜなら、典型的には、UIモジュール123とセキュリティデータベース116との間に、アクセス層として機能するハイパーテキストトランスファープロトコル(HTTP)サービスを構築するためのフレームワークであるウェブアプリケーションプログラミングインタフェース(API)と一般に呼ばれているアクセス層が存在するからである。ウェブAPIは、要求ユーザの認証を取り扱い、彼らがセキュリティデータを見る許可を有するか否かを見て、許可される場合、セキュリティデータをユーザに返す。ユーザがページを要求し、許可を有するグループのメンバである場合、彼らは、ページを見る許可が与えられる。彼らが適切なグループのメンバでない場合、彼らはアクセス拒否されたエラーメッセージを受信しうる。
[0038]ドメイン環境がない場合、同一機能は、ユーザレベルで実行可能である。リスク分析システム100は、個人ユーザによって設定可能であり、ユーザは、ICS150の特定の領域に到達する許可を与えられうる。システムにアクセスするとき、ユーザには、ユーザ名及びパスワードの入力を求めることができる。ログインが成功すると、リスク分析システム100は、そのユーザの特権を点検し、彼らがシステムのその部分にアクセスできるか否かを決定することができる。
[0039]ワークステーション125aは、セキュリティデータベース116の脆弱性情報をユーザのために複数の方法で表示することができる。比較的未熟なユーザのために、ユーザ局125は、ゲージ、リスクの数値表現、現状のチャート及びリスクの履歴図として示される、システム課題の高レベルインジケータを出力することができる。より経験豊かなユーザは、ユーザ局125を拡大し、ICS150及びそのサイバーリスクに関する詳細な情報を見ることができる。ユーザは、システム分析図にアクセスし、個々の機械上で、ゾーン内かつICS150全体の傾向及びステータスを見ることができる。
[0040]図2Aは、開示されたサイバーセキュリティリスク分析システムから利益を得ることができるネットワークの5つの異なるティア(レベル)を有するDCS120’を示す。ネットワークレベルは、装置レベル120a、IOレベル120b、制御レベル120c、工場レベル120d及びビジネスレベル120eを含む。装置レベル120aは、ゲージ、バルブ、送信機、アクチュエータ、センサ及び他の装置を含む。IOレベル120bは、IOモジュール120b’を含む。制御レベル120cは、少なくとも1つのコントローラ120c’を含み、少なくとも1つのコントローラ120c’は、図1に示されるワークステーション135、サーバ140及びネットワーク装置145に対応する。コントローラがサーバプラットフォームに基づくことができる、又は、登録商標のプラットフォームとすることができるので、DCS120’には、制御機能を実行する、技術的にはコントローラではないサーバが存在しうることに注意されたい。
[0041]DCS120’に適用されると、リスク分析システム100は、ビジネスレベル120e又はコンソール120d’を含む工場レベル120dの一部になることができ、レベル120a、120b、120c又は120dからデータを収集することによって機能することができる(リスク分析システム100がビジネスレベル120eの一部である場合)。次に、収集された脆弱性データは、(データ収集モジュール121によって収集されたとき)その生の状態から、リスク情報に変換され(ルールエンジン及び集約モジュール122によって行われる)、セキュリティデータベース116として示される保存場所に格納され、エンドユーザにより、UIモジュール123によって、ユーザ局125のワークステーション125aのユーザに見えるようにされる。
[0042]図2Bは、複数のセキュリティゾーンに分割された例示の工場200を示し、示される各セキュリティゾーンは、自身のルータ又はファイアウォール(ルータ/ファイアウォール)225を有する。工場200は、産業ネットワーク1(220a)、産業ネットワーク2(220b)、産業ネットワーク3(220c)を含んで示され、各々は、図2Aに示される装置レベル120a、IOレベル120b及び制御レベル120cに対応する装置を有する。工場のセットアップに応じて、工場レベル120dからの装置が、個々の産業ネットワーク220a、220b及び220c内に存在することができる。図2Bに示される例示の工場200において、ヒューマンマシンインタフェース(HMI)は、産業ネットワーク220a、220b及び220c内に示されて表される。一般的に、HMIは、図2Aの工場レベル120dの一部であるある種のオペレータコンソールステーションによって実行される。また、図2Bに示されていないが、情報をそれらのディスプレイに提供し、アクセスをコントローラに提供するために用いられるサーバが、一般的に存在する。
[0043]産業ネットワーク1(220a)、産業ネットワーク2(220b)、産業ネットワーク3(220c)は、各々、コンジット235によって、産業周辺ネットワーク(周辺ネットワーク)240として示される工場レベル120dに接続され、周辺ネットワーク240は、他のコンジット245によって、エンタープライズネットワーク250として示されるビジネスレベル120eに結合され、ビジネスレベル120eは、インターネット260に結合される。周辺ネットワーク又は非武装地帯(DMZ)として示される工場レベル120dは、組織の外部に面するサービスを含み、当該サービスをより大きい信頼できないネットワークにさらす物理的又は論理的サブネットワークである。リスク分析システム100は、工場レベル120dの一部で示される。
[0044]図3は、例示の実施形態による、ICS内のサイバーセキュリティリスクを分析する例示の方法300におけるステップを示すフローチャートである。ステップ301は、プロセッサ及び開示されたサイバーセキュリティアルゴリズムを格納するメモリを提供するステップを含み、プロセッサは、サイバーセキュリティアルゴリズムを実行する。サイバーセキュリティアルゴリズムは、ステップ302から305を自動的に実装し、複数のネットワーク装置を発見するステップを含む他のステップ及び後述する他の任意のステップも実装することができる。
[0045]ステップ302は、複数の装置をスキャンすることによって、複数のネットワーク装置に関するサイバーリスク(リスク)を含む少なくとも脆弱性データを含むセキュリティデータを蓄積するためのデータ収集ステップを含む。セキュリティデータは、脆弱性データ内の脆弱性が利用される可能性の程度に関する脅威レベルデータと、それぞれのネットワーク装置がうまく利用された場合、感知された影響の程度に関する結果データと、をさらに備えることができる。データ収集ステップは、ウィルス検出、WINDOWS(登録商標)認証失敗を含むセキュリティ関連事象に関するイベントに対して、複数の装置を基本的に連続的にモニタするステップを含むことができ、モニタするステップは、アンチウィルス、アプリケーションホワイトリスティング、WINDOWS(登録商標)セキュリティイベント、ネットワークセキュリティを含み、スイッチ、ルータ、ファイアウォール及び侵入検出/防止システムの状態、バックアップステータス、パッチングステータス及びアセットポリシーを含む。
[0046]ステップ303は、数値スコアをリスクの各々に関連付けるルールエンジンを用いて、セキュリティデータを処理するステップを含む。上述したように、脆弱性、脅威及び結果データは結合され、数値スコアをそれぞれのリスクに算出することができる。例えば、結合されたリスク算出は、リスクを定めるためのISO/IEC 27005:2011規格に基づくことができる。所定の装置のためのリスクは、R=V×T×Cと略記可能な、リスク=脆弱性×脅威×結果として算出可能である。この算出を実行する最も単純な方法は、0と1との間の値を使用することであり、最終的な値Rを正規化する必要なく、直接乗算が可能になる。これらは、パーセンテージとしても容易に表現可能である。V、T及びCのためのこれらの個々の値は、あらかじめ定義されてもよいし、ユーザに選択されてもよいし、又は、2つの組み合わせでもよい。
[0047]システム内の重要な装置のリスクを算出すると仮定する。これは、重要な装置であるので、この装置が不正アクセスされる場合、結果は、非常に深刻になりうるので、Cの値は、C=1.0(又は100%)が割り当てられうる。この装置上に2つの脆弱性がある、すなわち、安全でない動作パッチが失われ、アンチウィルスソフトウェアがインストールされず、脆弱性の値は0.3(又は30%)及び0.95(又は95%)であると仮定する。システムに対して検出される1つのアクティブな脅威、すなわち、悪いパスワードによって一連の反復したアクセスの試みが存在し、脅威値が0.8(又は80%)であると仮定する。
[0048]この装置のためのVを算出する最も単純な方法は、最も高い脅威(0.95)を考慮することである。すべてのアクティブな脅威の値を考慮するかもしれない他のアルゴリズムを用いることもできるが、単純な算出が記載されている。単一の脅威が存在する場合、Tのための算出は単純である。これらを使用して、R=V×T×C=0.95×0.8×1.0=0.76(又は76%)であるとわかる。
[0049]ステップ304は、複数のネットワーク装置全体のリスクをランク付けし、リスクを少なくとも1つの論理的グルーピングに配列することを含むデータを集約するステップを含む。例えば、ユーザは、リスクを、それらのソースに基づいて分割することを望むかもしれない。PCからのリスクは、1つのグループに入るかもしれず、ネットワーク装置からのリスクは、他のグループに入るかもしれない。しばしば異なる管理人がPC対ネットワーク装置を維持する役割を果たすので、これは役立つ。他の例は、リスクをサイト内の論理的グルーピングに基づいて分割することである。制御システムは、しばしば、製造プロセスにおけるステップに対応する機能のクラスタに分割される。各クラスタは、ここの論理的グルーピングであるかもしれない。データを集約するステップは、複数のネットワーク装置のセキュリティ状態のカテゴリを集約するステップをさらに含むことができる。少なくとも1つの論理的グルーピングは、セキュリティゾーンを含むことができ、それにより、複数のネットワーク装置のうちどれが接続されるかという決定が可能になり、複数のネットワーク装置の1つが不正アクセスされる場合、サイバー攻撃がどこで広がりうるかを示し、リスクソース及びリスクの深刻度を示す。
[0050]ステップ305は、少なくとも論理的グルーピングをユーザ局に関連付けられたワークステーションに表示するステップを含む。方法は、課題説明、可能性がある原因、ICSに対する潜在的影響及び推奨された措置を含む、リスクの各々に関するガイダンステキストを生成するステップと、ガイダンステキストをユーザ局上に表示するステップと、をさらに含むことができる。
[0051]固有の開示されたサイバーセキュリティリスク分析システム特徴は、以下を含むと考えられている:
1.制御システム装置のマルチパスの発見:リスク分析システム100のような開示されたシステムは、装置発見のために複数のソースを利用し、ICS150の制御システム120内の装置の完全なピクチャを蓄積するために、それらを組み合わせることができる。例えば、データ収集モジュール121は、図1のサーバ140の一部としてドメインコントローラを用いてドメインコントローラに問い合わせ、図1に示されるすべてのPC(例えば、ワークステーション135)及びICS150内のドメインコントローラ自体を含むサーバ140の全リストを取得することができる。次に、データ収集モジュール121は、さらにそれらの装置に問い合わせ、ICS内でのそれらの役割を決定し、ドメインの一部ではないさらに取り付けられた装置、例えばリアルタイムプロセスコントローラを発見することができる。その分野の周知の解法は、ドメインコントローラから、又は、ネットワークに問い合わせることによって装置リストを取得することができるが、ICS内のコントローラ装置のような装置機能を見つけるために、第2のパスを発見することができない。
2.データ正規化:開示されたシステムは、異なる、個々に互換性のないシステムのためのデータを処理及び正規化することができる。周知の解法は、通常、類似の情報を提供することができる専門ツールに基づくが、全体としてのICSのためではなく、ICSの個別の装置のためだけである。
3.ユーザガイダンス及びサイバーリスクのランク付け:開示された実施形態は、個々のサイバーリスクアイテムの原因及び潜在的影響を理解する。これによって、開示されたアルゴリズムは、カスタムガイダンスをユーザに提供することができ、ユーザは、これらのサイバーリスク問題を迅速に修正することができる。それは、システムに対する潜在的影響に基づいてセキュリティ問題を優先させることもできる。周知の解法は、通常、システム全体の大量のデータを収集するセキュリティ情報及びイベント管理(SIEM)システムであるが、セキュリティ問題に対処するために、そのデータのコンテキスト又はガイダンスをユーザに提供することができない。その代わりに、専門家は、手動でデータを分析及び解釈し、彼ら自身のガイダンス及び推奨を提供しなければならない。
実施例
[0052]開示された実施形態は、以下の特定の実施例によりさらに示されるが、いかなる形であれ、この開示の範囲又は内容を制限するものとして解釈されてはならない。
[0053]サイバーセキュリティリスクの用語に関して、いくつかの例が、以下に挙げられる。システム上のアンチウィルスソフトウェアが考慮されている場合、「不十分な」とは、アンチウィルスソフトウェアがインストールされていない、又は、インストールされているアンチウィルスソフトウェアが効果的でない(例えば、安全でない会社が、自身のアンチウィルスソフトウェアを書き込む)ことを意味することができ、「誤った設定」とは、アンチウィルスソフトウェアはインストールされているが、アクティブ保護及び定期的なスキャンが無効にされ、システムの保護を事実上止めていることを意味することができ、「脆弱な」とは、アンチウィルスソフトウェアはインストールされ、正しく設定されているが、定義ファイルは更新されておらず、システムに対する新しいサイバー脅威を検出できない状態にしていることを意味する。
[0054]ネットワークファイアウォールのためのサイバーセキュリティリスクに関して、不完全な、とは、ファイアウォールがインストールされていないことを意味することができ、誤った設定とは、ファイアウォールはインストールされているが、すべてのトラフィックの通過を許可することを意味することができる。脆弱な、とは、ファイアウォールは適切な設定でインストールされているが、周知の脆弱性を有するファームウェアのバージョンが動作し、攻撃がシステムを利用できることを意味することができる。
[0055]脅威の例は、アンチウィルスシステムによるウィルスの検出、CPU、メモリ又はネットワークリソースの過剰な消費(DOS攻撃)、既存のユーザアカウントに与えられる不正の権限昇格等でありうる。ネットワークの脅威は、検出された侵入、ネットワークリソースの予想外の消費(再び、DOS攻撃)、ファイアウォール又は他の安全装置から受け取られるセキュリティの警報又はイベントなどでありうる。
[0056]結果の例は、冗長な一対の一方の装置のみの不具合(影響なし)、重要でないプロセスにおけるセンサの忠実度の損失(製造又は品質に対する軽微な影響)、鍵となるプロセスの不具合(製造に対する大きな影響)、及び、安全関連システムの不具合(HSEに対する大きな影響)でありうる。
[0057]図4A〜Dは、例示の実施形態による、モニタされ、複数の異なるセキュリティゾーンに分類される複数のネットワーク装置を含むICSのネットワークに組み込まれる開示されたリスク分析システムによって生成可能なさまざまな例示のダッシュボードの図を示す。図4Aは、現在のネットサイトのサイバーセキュリティリスクと、ゾーン1〜6として示されるセキュリティゾーンごとのサイトリスクと、を含む例示のリスト画面を、それぞれのゾーンのためのサイトリスクの30日の傾向とともに示す。通知、面積によるリスクレベル及びリスクの30日のネットサイト傾向が示される。図4Bは、通知の詳細をさらに含む例示の拡大したリスト画面を示し、通知の詳細は、特定の警報、並びに、可能性がある原因、潜在的影響及び推奨された措置のリストを含む。
[0058]図4Cは、ゾーン5にあるEST−104として示されるユーザが選択した装置のための例示のフルスクリーン分析画面を示し、リスクアイテムのマルウェア下には、示されるイベントタイプ、イベントのソース、日付/時間及び深刻度が存在する。見出しの列のコントロールによって、この分析画面に含まれるデータのフィルタリング及びソートが可能になる。図4Dは、12のセキュリティゾーンシステムのためのゾーンごとのサイトリスクの一例を示す。
[0059]図4Eは、システムの情報公開の進行を示すのを助ける6ゾーンシステムの例示のビルボード画面を示す。システムの基本的な流れは、システムの一般のステータスを示す図4Eのビルボード画面でのユーザの開始である。ユーザは、ダッシュボードの個別要素を図4Aに示される詳細画面に切り替えることができる。ユーザは、さらに拡大し、システムのリスクアイテムのリスト及び図4Bに示される個々のリスクアイテムのためのガイダンスを見ることができる。ユーザは、分析画面にさらに入ることができ、図4Cに示されるシステムのデータの表のレビューが可能になる。ユーザは、フィルタをかけ、個々のリスクアイテムがどのようにシステム全体にわたって現れるかについて見るかもしれない。彼らは、このフィルタ処理画面を将来の参照のためにエクスポートすることもできるし、又は、存在する課題を解決するために、誰かに手渡すこともできる。
[0060]さまざまな開示された実施形態が上述されてきたが、それらが単なる例示であり、限定するものとして示されたわけではないことを理解すべきである。例えば、ビジネスネットワークへの適用に関して、十分な特権を前提として、一般的に、ビジネスネットワーク装置をそこでモニタし、ビジネスネットワークのリスクマネージャを実装することができる。開示された実施形態に対する多数の変更は、この開示の精神又は範囲を逸脱せずに、本願明細書の開示に従って可能である。それゆえ、この開示の幅及び範囲は、上述した実施形態のいずれによっても制限されてはならない。むしろ、この開示の範囲は、以下の請求項及びそれらの等価物に従って定められなければならない。

Claims (12)

  1. 複数のネットワーク装置(145)を含む産業制御システム(ICS)(150)内のサイバーセキュリティリスク(リスク)を分析する方法(300)であって、プロセッサ(110)及びサイバーセキュリティアルゴリズムを格納する関連メモリ(115)を提供するステップ(301)を含み、前記プロセッサは、前記サイバーセキュリティアルゴリズムを実行し、
    前記複数のネットワーク装置をスキャンすることによって、前記複数のネットワーク装置(145)に関する前記リスクを含む少なくとも脆弱性データ(116a)を備えるセキュリティデータを蓄積するために、データを収集するステップ(302)と、
    数値スコアを前記リスクの各々に関連付けるルールエンジン(122)を用いて、前記セキュリティデータを処理するステップ(303)と、
    前記複数のネットワーク装置全体の前記リスクをランク付けすることと、前記リスクを少なくとも1つの論理的グルーピングに配列することと、を含むデータを集約するステップ(304)と、
    少なくとも前記論理的グルーピングをユーザ局(125)上に表示するステップ(305)と、
    を実施する方法(300)。
  2. 前記セキュリティデータは、前記脆弱性データ内の脆弱性が利用される可能性の程度に関する脅威レベルデータと、前記複数のネットワーク装置のそれぞれの装置がうまく利用された場合、感知された影響の程度に関する結果データと、をさらに備える、請求項1に記載の方法。
  3. 前記データを集約するステップは、前記複数のネットワーク装置のセキュリティ状態のカテゴリを集約するステップをさらに含む、請求項1に記載の方法。
  4. 可能性がある原因、前記ICSに対する潜在的影響及び推奨された措置を含む、前記リスクの各々に関するガイダンステキストを生成するステップと、前記ガイダンステキストを前記ユーザ局(125)上に表示するステップと、をさらに含む、請求項1に記載の方法。
  5. 前記ルールエンジンは、前記脆弱性データを正規化するためのルールの内部セットを有するルールエンジン及び集約モジュール(122)の一部であり、前記方法は、前記脆弱性データを正規化するステップをさらに含む、請求項1に記載の方法。
  6. 前記少なくとも1つの論理的グルーピングは、自身のルータ又はファイアウォール(225)を有する複数のセキュリティゾーンであって、前記複数のネットワーク装置の1つが不正アクセスされる場合、サイバー攻撃がどこで広がるおそれがあるかを示す複数のセキュリティゾーンを含む、請求項1に記載の方法。
  7. コードが格納された非一時的機械可読な記憶媒体(115)を備え、前記コードは、実行可能命令を含み、コンピューティングデバイス(110)によって実行されたとき、前記コンピューティングデバイスに、複数のネットワーク装置(145)を含む産業制御システム(ICS)(150)内のサイバーセキュリティリスク(リスク)を分析するためのサイバーセキュリティアルゴリズムを実装させ、前記コードは、
    前記複数のネットワーク装置をスキャンすることによって、前記複数のネットワーク装置に関する前記リスクを含む少なくとも脆弱性データ(116a)を備えるセキュリティデータを蓄積するために、データを収集するためのコードと、
    数値スコアを前記リスクの各々に関連付けるルールエンジン(122)を用いて、前記セキュリティデータを処理するためのコードと、
    前記複数のネットワーク装置全体の前記リスクをランク付けすることを含むデータを集約するためのコードと、前記リスクを少なくとも1つの論理的グルーピングに配列するためのコードと、
    少なくとも前記論理的グルーピングをユーザ局(125)上に表示するためのコードと、
    を含むソフトウェア製品。
  8. 前記セキュリティデータは、前記脆弱性データ内の脆弱性が利用される可能性の程度に関する脅威レベルデータと、前記複数のネットワーク装置(145)のそれぞれの装置がうまく利用された場合、感知された影響の程度に関する結果データと、をさらに備える、請求項7に記載のソフトウェア製品。
  9. 前記データを集約することは、前記複数のネットワーク装置のセキュリティ状態のカテゴリを集約することをさらに含む、請求項7に記載のソフトウェア製品。
  10. 可能性がある原因、前記ICSに対する潜在的影響及び推奨された措置を含む、前記リスクの各々に関するガイダンステキストを生成するための、及び、前記ガイダンステキストを前記ユーザ局上に表示するためのコードをさらに備える、請求項7に記載のソフトウェア製品。
  11. 前記ルールエンジンは、前記脆弱性データを正規化するためのルールの内部セットのためのコードを有するルールエンジン及び集約モジュール(122)の一部である、請求項7に記載のソフトウェア製品。
  12. 前記リスクを少なくとも1つの論理的グルーピングに配列するための前記コードは、自身のルータ又はファイアウォール(225)を有するセキュリティゾーンであって、前記複数のネットワーク装置(145)の1つが不正アクセスされる場合、サイバー攻撃がどこで広がるおそれがあるかを示すセキュリティゾーンの考慮を含む、請求項7に記載のソフトウェア製品。
JP2017507962A 2014-08-13 2015-08-04 産業制御環境内のサイバーセキュリティリスクの分析 Active JP6624692B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201462036920P 2014-08-13 2014-08-13
US62/036,920 2014-08-13
US14/669,980 US9930058B2 (en) 2014-08-13 2015-03-26 Analyzing cyber-security risks in an industrial control environment
US14/669,980 2015-03-26
PCT/US2015/043533 WO2016025226A1 (en) 2014-08-13 2015-08-04 Analyzing cyber-security risks in an industrial control environment

Publications (2)

Publication Number Publication Date
JP2017525055A true JP2017525055A (ja) 2017-08-31
JP6624692B2 JP6624692B2 (ja) 2019-12-25

Family

ID=55303028

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017507962A Active JP6624692B2 (ja) 2014-08-13 2015-08-04 産業制御環境内のサイバーセキュリティリスクの分析

Country Status (6)

Country Link
US (1) US9930058B2 (ja)
EP (1) EP3180891B1 (ja)
JP (1) JP6624692B2 (ja)
CN (1) CN106576052B (ja)
AU (1) AU2015302129B2 (ja)
WO (1) WO2016025226A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021083128A (ja) * 2021-03-05 2021-05-27 Necプラットフォームズ株式会社 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム
WO2021156967A1 (ja) * 2020-02-05 2021-08-12 日本電気株式会社 分析システム、方法およびプログラム
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks
JP7374792B2 (ja) 2019-03-29 2023-11-07 エーオー カスペルスキー ラボ 技術的システムの要素のitセキュリティを段階的に増加させるシステムおよび方法

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9407654B2 (en) * 2014-03-20 2016-08-02 Microsoft Technology Licensing, Llc Providing multi-level password and phishing protection
US10162969B2 (en) * 2014-09-10 2018-12-25 Honeywell International Inc. Dynamic quantification of cyber-security risks in a control system
US20160110819A1 (en) * 2014-10-21 2016-04-21 Marc Lauren Abramowitz Dynamic security rating for cyber insurance products
US10609079B2 (en) * 2015-10-28 2020-03-31 Qomplx, Inc. Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US9876810B2 (en) * 2015-12-04 2018-01-23 Raytheon Company Systems and methods for malware lab isolation
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
EP3258661B1 (en) * 2016-06-16 2020-11-18 ABB Schweiz AG Detection of abnormal configuration changes
US10642988B2 (en) 2016-08-04 2020-05-05 Honeywell International Inc. Removable media protected data transfer in a cyber-protected system
US10102376B2 (en) * 2016-08-22 2018-10-16 International Business Machines Corporation Implementing locale management on PaaS: locale replacement risk analysis
KR20180044658A (ko) * 2016-10-24 2018-05-03 주식회사 윈스 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치
CN106534094B (zh) * 2016-10-26 2019-12-10 国网北京市电力公司 漏洞扫描方法、装置和系统及工业控制系统
US11431792B2 (en) 2017-01-31 2022-08-30 Micro Focus Llc Determining contextual information for alerts
US11240263B2 (en) 2017-01-31 2022-02-01 Micro Focus Llc Responding to alerts
US11240256B2 (en) 2017-01-31 2022-02-01 Micro Focus Llc Grouping alerts into bundles of alerts
US10341293B2 (en) 2017-02-22 2019-07-02 Honeywell International Inc. Transparent firewall for protecting field devices
US10728261B2 (en) * 2017-03-02 2020-07-28 ResponSight Pty Ltd System and method for cyber security threat detection
US10791136B2 (en) 2017-03-20 2020-09-29 Fair Isaac Corporation System and method for empirical organizational cybersecurity risk assessment using externally-visible data
US10581877B2 (en) 2017-03-24 2020-03-03 Honeywell International Inc. Non-contact cybersecurity monitoring device
US10708282B2 (en) 2017-03-27 2020-07-07 International Business Machines Corporation Unauthorized data access detection based on cyber security images
US10476902B2 (en) 2017-04-26 2019-11-12 General Electric Company Threat detection for a fleet of industrial assets
US10826925B2 (en) * 2017-04-28 2020-11-03 Honeywell International Inc. Consolidated enterprise view of cybersecurity data from multiple sites
US20180314833A1 (en) * 2017-04-28 2018-11-01 Honeywell International Inc. Risk analysis to identify and retrospect cyber security threats
US10860803B2 (en) * 2017-05-07 2020-12-08 8X8, Inc. System for semantic determination of job titles
WO2018218537A1 (zh) * 2017-05-31 2018-12-06 西门子公司 工业控制系统及其网络安全的监视方法
US9930062B1 (en) 2017-06-26 2018-03-27 Factory Mutual Insurance Company Systems and methods for cyber security risk assessment
EP3646561B1 (en) 2017-06-28 2021-10-06 Si-Ga Data Security (2014) Ltd. A threat detection system for industrial controllers
EP3665885B1 (en) * 2017-09-14 2022-05-04 Siemens Aktiengesellschaft System and method to check automation system project security vulnerabilities
US11182509B2 (en) 2018-04-29 2021-11-23 Trilicon Llc Hardware-based system for cybersecurity protection of microprocessor systems
CN108737417A (zh) * 2018-05-16 2018-11-02 南京大学 一种面向工业控制系统的脆弱性检测方法
EP3591556A1 (en) * 2018-07-07 2020-01-08 1830291 Ontario Inc. Automated security assessment of information systems
US11627151B2 (en) * 2018-10-31 2023-04-11 General Electric Company Industrial asset cyber-attack detection algorithm verification using secure, distributed ledger
US10896261B2 (en) 2018-11-29 2021-01-19 Battelle Energy Alliance, Llc Systems and methods for control system security
CN111381567B (zh) * 2018-12-27 2021-11-05 北京安控科技股份有限公司 一种用于工业控制系统的安全检测系统和方法
WO2020166016A1 (en) * 2019-02-14 2020-08-20 Nec Corporation Security assessment apparatus, security assessment method, and non-transitory computer readable medium
US11556607B2 (en) * 2019-03-06 2023-01-17 Oracle International Corporation System and method for abstracted analysis system design for dynamic API scanning service
US11095610B2 (en) * 2019-09-19 2021-08-17 Blue Ridge Networks, Inc. Methods and apparatus for autonomous network segmentation
US11568056B2 (en) 2019-10-02 2023-01-31 Honeywell International Inc. Methods and apparatuses for vulnerability detection and maintenance prediction in industrial control systems using hash data analytics
US11592811B2 (en) 2019-10-02 2023-02-28 Honeywell International Inc. Methods and apparatuses for defining authorization rules for peripheral devices based on peripheral device categorization
US11689567B2 (en) * 2020-03-06 2023-06-27 Honeywell International Inc. Mapping an attack tree and attack prediction in industrial control and IIoT environment using hash data analytics
IL273321A (en) * 2020-03-16 2021-09-30 Otorio Ltd A system and method for reducing risk in an operational network
CN111400137B (zh) * 2020-03-17 2022-06-10 Oppo广东移动通信有限公司 监测事件的存储方法、装置、移动终端和存储介质
CN111585968B (zh) * 2020-04-13 2022-09-02 上海核工程研究设计院有限公司 一种基于功能分析的工控网络安全影响分析装置
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
US11057774B1 (en) 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
US11206542B2 (en) 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures
CN111832027A (zh) * 2020-06-29 2020-10-27 郑州云智信安安全技术有限公司 一种基于云计算的网络入侵安全预警系统
US11457361B2 (en) 2020-08-31 2022-09-27 T-Mobile Usa, Inc. Wireless network that discovers hotspots for cyberattacks based on social media data
CN112839031A (zh) * 2020-12-24 2021-05-25 江苏天创科技有限公司 一种工业控制网络安全防护系统及方法
CN112596984B (zh) * 2020-12-30 2023-07-21 国家电网有限公司大数据中心 业务弱隔离环境下的数据安全态势感知系统
US11916940B2 (en) * 2021-04-12 2024-02-27 Ge Infrastructure Technology Llc Attack detection and localization with adaptive thresholding
WO2023057950A1 (en) * 2021-10-07 2023-04-13 Mazebolt Technologies Ltd. Non-disruptive diagnostic and attack testing methods and systems

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003216576A (ja) * 2002-01-18 2003-07-31 Komu Square:Kk 脆弱点監視方法及びシステム
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム
JP2010198194A (ja) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd セキュリティ管理支援システム
JP2014503099A (ja) * 2011-01-10 2014-02-06 サウジ アラビアン オイル カンパニー プラント・ネットワーク及びシステムのためのリスク評価ワークフロー・プロセス遂行システム、プログラム製品及び方法

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5726979A (en) * 1996-02-22 1998-03-10 Mci Corporation Network management system
US20070050777A1 (en) * 2003-06-09 2007-03-01 Hutchinson Thomas W Duration of alerts and scanning of large data stores
US8312549B2 (en) * 2004-09-24 2012-11-13 Ygor Goldberg Practical threat analysis
US7554288B2 (en) 2006-03-10 2009-06-30 Atmel Corporation Random number generator in a battery pack
JP2008112284A (ja) * 2006-10-30 2008-05-15 Fujitsu Ltd 資源管理方法、資源管理システム、およびコンピュータプログラム
EP1965301A1 (en) * 2007-02-27 2008-09-03 Abb Research Ltd. Method and system for generating a control system user interface
US7952999B1 (en) * 2007-05-08 2011-05-31 Juniper Networks, Inc. Feedback control of processor use in virtual systems
US8219214B1 (en) * 2008-03-18 2012-07-10 Mimlitz James E Supervisory control and data acquisition protocol converter
KR101011456B1 (ko) 2008-06-30 2011-02-01 주식회사 이너버스 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템
US20100125911A1 (en) 2008-11-17 2010-05-20 Prakash Bhaskaran Risk Scoring Based On Endpoint User Activities
US20100218256A1 (en) * 2009-02-26 2010-08-26 Network Security Systems plus, Inc. System and method of integrating and managing information system assessments
CN101695033A (zh) * 2009-09-25 2010-04-14 上海交通大学 基于权限提升的网络脆弱性分析系统
US8776168B1 (en) 2009-10-29 2014-07-08 Symantec Corporation Applying security policy based on behaviorally-derived user risk profiles
US10027711B2 (en) * 2009-11-20 2018-07-17 Alert Enterprise, Inc. Situational intelligence
US8712596B2 (en) * 2010-05-20 2014-04-29 Accenture Global Services Limited Malicious attack detection and analysis
US20130247205A1 (en) * 2010-07-14 2013-09-19 Mcafee, Inc. Calculating quantitative asset risk
KR101060277B1 (ko) 2010-11-23 2011-08-29 (주)지인소프트 기업체의 부서별 기업구성원 pc를 차별관리하는 기업체용 통합관리 시스템 및 방법
US8856936B2 (en) * 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
US9083741B2 (en) * 2011-12-29 2015-07-14 Architecture Technology Corporation Network defense system and framework for detecting and geolocating botnet cyber attacks
US9426169B2 (en) * 2012-02-29 2016-08-23 Cytegic Ltd. System and method for cyber attacks analysis and decision support
US8726393B2 (en) 2012-04-23 2014-05-13 Abb Technology Ag Cyber security analyzer
US9537879B2 (en) * 2012-06-21 2017-01-03 Avocent Huntsville, Llc Cyber security monitoring system and method for data center components
CN103095485A (zh) * 2012-10-26 2013-05-08 中国航天科工集团第二研究院七〇六所 基于贝叶斯算法及矩阵方法相结合的网络风险评估方法
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
EP2943843A4 (en) * 2013-01-08 2016-10-26 Secure Nok As METHOD, DEVICE AND COMPUTER PROGRAM FOR MONITORING AN INDUSTRIAL CONTROL SYSTEM
US10026049B2 (en) * 2013-05-09 2018-07-17 Rockwell Automation Technologies, Inc. Risk assessment for industrial systems using big data
CN103366244A (zh) * 2013-06-19 2013-10-23 深圳市易聆科信息技术有限公司 一种实时获取网络风险值的方法及系统
US9208335B2 (en) * 2013-09-17 2015-12-08 Auburn University Space-time separated and jointly evolving relationship-based network access and data protection system
US10122736B2 (en) * 2014-06-02 2018-11-06 Bastille Networks, Inc. Ground and air vehicle electromagnetic signature detection and localization
US10162969B2 (en) * 2014-09-10 2018-12-25 Honeywell International Inc. Dynamic quantification of cyber-security risks in a control system
US10298608B2 (en) * 2015-02-11 2019-05-21 Honeywell International Inc. Apparatus and method for tying cyber-security risk analysis to common risk methodologies and risk levels
US9800604B2 (en) * 2015-05-06 2017-10-24 Honeywell International Inc. Apparatus and method for assigning cyber-security risk consequences in industrial process control environments

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003216576A (ja) * 2002-01-18 2003-07-31 Komu Square:Kk 脆弱点監視方法及びシステム
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム
JP2010198194A (ja) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd セキュリティ管理支援システム
JP2014503099A (ja) * 2011-01-10 2014-02-06 サウジ アラビアン オイル カンパニー プラント・ネットワーク及びシステムのためのリスク評価ワークフロー・プロセス遂行システム、プログラム製品及び方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7374792B2 (ja) 2019-03-29 2023-11-07 エーオー カスペルスキー ラボ 技術的システムの要素のitセキュリティを段階的に増加させるシステムおよび方法
WO2021156967A1 (ja) * 2020-02-05 2021-08-12 日本電気株式会社 分析システム、方法およびプログラム
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks
JP2021083128A (ja) * 2021-03-05 2021-05-27 Necプラットフォームズ株式会社 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム
JP7114769B2 (ja) 2021-03-05 2022-08-08 Necプラットフォームズ株式会社 通信システム

Also Published As

Publication number Publication date
US9930058B2 (en) 2018-03-27
AU2015302129B2 (en) 2019-09-19
EP3180891A1 (en) 2017-06-21
US20160050225A1 (en) 2016-02-18
JP6624692B2 (ja) 2019-12-25
EP3180891A4 (en) 2018-03-28
WO2016025226A1 (en) 2016-02-18
CN106576052B (zh) 2020-09-29
CN106576052A (zh) 2017-04-19
EP3180891B1 (en) 2019-11-13
AU2015302129A1 (en) 2017-02-02

Similar Documents

Publication Publication Date Title
JP6624692B2 (ja) 産業制御環境内のサイバーセキュリティリスクの分析
JP6522118B2 (ja) 制御システムにおけるサイバーセキュリティリスクの動的定量化
US11888890B2 (en) Cloud management of connectivity for edge networking devices
US20070050777A1 (en) Duration of alerts and scanning of large data stores
US20090271504A1 (en) Techniques for agent configuration
US20080307525A1 (en) System and method for evaluating security events in the context of an organizational structure
JP2009514093A (ja) リスク駆動型のコンプライアンス管理
US20230300153A1 (en) Data Surveillance In a Zero-Trust Network
US11979426B2 (en) Predictive vulnerability management analytics, orchestration, automation and remediation platform for computer systems. networks and devices
US20070094724A1 (en) It network security system
Zhang et al. Securing the Internet of Things: Need for a New Paradigm and Fog Computing
US11683350B2 (en) System and method for providing and managing security rules and policies
US20220311805A1 (en) System and Method for Providing and Managing Security Rules and Policies
US20230334150A1 (en) Restricted execution mode for network-accessible devices
US20230291759A1 (en) Evaluating an it infrastructure's vulnerability to a network attack
Rehan Cybersecurity with AWS IoT
Udayakumar Design and Deploy an Identify Solution
CN117439752A (zh) 基于人工智能的安全策略开发的系统、方法和介质
JP2017182272A (ja) 情報処理装置、情報処理方法、およびプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170602

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180509

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190327

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190625

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191122

R150 Certificate of patent or registration of utility model

Ref document number: 6624692

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250