JP2018504716A - サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法 - Google Patents

サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法 Download PDF

Info

Publication number
JP2018504716A
JP2018504716A JP2017541601A JP2017541601A JP2018504716A JP 2018504716 A JP2018504716 A JP 2018504716A JP 2017541601 A JP2017541601 A JP 2017541601A JP 2017541601 A JP2017541601 A JP 2017541601A JP 2018504716 A JP2018504716 A JP 2018504716A
Authority
JP
Japan
Prior art keywords
event
risk
monitoring system
risk value
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017541601A
Other languages
English (en)
Other versions
JP6522142B2 (ja
Inventor
カーペンター,セス・ジー.
ダイエットリッチ,ケネス・ダブリュー.
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell International Inc
Original Assignee
Honeywell International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell International Inc filed Critical Honeywell International Inc
Publication of JP2018504716A publication Critical patent/JP2018504716A/ja
Application granted granted Critical
Publication of JP6522142B2 publication Critical patent/JP6522142B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

本開示は、サイバーセキュリティリスク事象及びその他のリスク事象の自動ハンドリング用の装置及び方法を提供する。方法は、監視システム(154)によって、コンピューティングシステム内のデバイスに関連した第1の事象を検出すること(205)を含む。方法は、事象を検出するのを受けて、監視システム(154)によって、第1の事象に対応するリスク項目を初期化し、リスク項目を完全リスク値に設定すること(215)を含む。方法は、第1の事象に対応して、第2の事象が検出されたか否かを判定すること(220)を含む。方法は、第2の事象が何も検出されなかったと判定するのを受けて、経時的にリスク値を改めること(225)を含む。方法は、リスク項目に対するリスク値が閾値に合格したかどうかを判定すること(230)を含む。方法は、リスク値が閾値に合格するのを受けて、事象を削除すること(235)を含む。

Description

関連出願の相互参照
[0001]本出願は、参照により本明細書に組み込まれる、2015年2月6日に出願された米国仮特許出願第62/113,152号の出願日の利益を主張する。
[0002]本開示は、概して、ネットワークセキュリティに関する。より詳細には、本開示は、サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法に関する。
[0003]処理設備は、産業用プロセス制御及び自動化システムを使用して管理されることが多い。従来の制御及び自動化システムは、決まって、サーバ、ワークステーション、スイッチ、ルータ、ファイアウォール、安全システム、独自のリアルタイムコントローラ、及び産業用フィールドデバイスなど、様々なネットワーク化デバイスを含む。多くの場合、この機器は、いくつかの異なる販売業者から来る。産業環境において、サイバーセキュリティへの懸念が高まっており、これらの構成要素のいずれかにおける取り組まれていないセキュリティの脆弱性が、動作に支障を来すか又は産業用設備に危険状態を引き起こすように攻撃者によって付け込まれる可能性がある。
本開示は、上述の課題を解決するものである。
[0004]本開示は、サイバーセキュリティリスク事象及びその他のリスク事象の自動ハンドリング用の装置及び方法を提供する。方法は、監視システムによって、コンピューティングシステム内のデバイスに関連した第1の事象を検出することを含む。方法は、事象を検出するのを受けて、第1の事象に対応するリスク項目を初期化し、リスク項目を完全リスク値(full risk value)に設定することを含む。方法は、第1の事象に対応して、第2の事象が検出されたか否かを判定することを含む。方法は、第2の事象が何も検出されなかったと判定するのを受けて、経時的にリスク値を改めることを含む。方法は、リスク項目に対するリスク値が閾値に合格した(pass)かどうかを判定することを含む。方法は、リスク値が閾値に合格するのを受けて、事象を削除することを含む。
[0005]以下の図、発明を実施するための形態、及び特許請求の範囲から、当業者には、その他の技術的特徴がすぐに明らかとなるであろう。
[0006]本開示のより完全な理解のために、ここで、以下の添付の図面と共になされる以下の発明を実施するための形態を参照する。
[0007]本開示による、産業用プロセス制御及び自動化システムの例を示す図である。 [0008]本開示による、サイバーセキュリティリスク事象の自動ハンドリングのための方法の例を示す図である。
[0009]以下に述べられる図、また本特許書類において本発明の原理を説明するために使用される様々な実施形態は、単に例示としてのものであり、どのような形であれ本発明の範囲を限定するものとして解釈されるべきではない。本発明の原理が、任意のタイプの適切に構成されたデバイス又はシステムにおいて実施され得る、ということが当業者であれば理解するであろう。
[0010]図1は、本開示による、例示的な産業用プロセス制御及び自動化システム100を示す図である。図1に示されるように、システム100は、少なくとも1つの製品又はその他の材料(material)の生産又は処理を容易にする様々な構成要素を含む。例えば、システム100は、本明細書では、1つ又は複数のプラント101a〜101n内の構成要素にわたる制御を容易にするために使用される。各プラント101a〜101nは、少なくとも1つの製品又はその他の材料を生産するための1つ又は複数の製造設備などの、1つ又は複数の処理設備(又は、その1つ又は複数の部分)に相当する。一般に、各プラント101a〜101nは、1つ又は複数のプロセスを実装してもよく、個別に又はまとめてプロセスシステムと呼ばれることが可能である。プロセスシステムは、一般に、1つ又は複数の製品又はその他の材料を何らかの方法で処理するように構成された、任意のシステム又はその一部に相当する。
[0011]図1では、システム100は、プロセス制御のパデュー(Purdue)モデルを使用して実装される。パデューモデルでは、「レベル0」は、1つ又は複数のセンサ102aと1つ又は複数のアクチュエータ(actuator)102bを含み得る。センサ102及びアクチュエータ102bは、多種多様な機能のいずれかを果たすことが可能な、プロセスシステム内の構成要素に相当する。例えば、センサ102aは、温度、圧力、又は流量などのプロセスシステムにおける多種多様な特性を測定することができる。また、アクチュエータ102bは、プロセスシステムにおける多種多様な特性を修正することができる。センサ102a及びアクチュエータ102bは、任意の適切なプロセスシステム内の任意のその他の又は追加の構成要素に相当することができる。センサ102aのそれぞれは、プロセスシステムにおける1つ又は複数の特性を測定するのに適した任意の構造を含む。アクチュエータ102bのそれぞれは、プロセスシステムにおける1つ又は複数の条件下で動作するのに、又は1つ又は複数の条件に影響を及ぼすのに適した任意の構造を含む。
[0012]少なくとも1つのネットワーク104は、センサ102aとアクチュエータ102bに結合される。ネットワーク104は、センサ102a及びアクチュエータ102bとの相互作用を容易にする。例えば、ネットワーク104は、センサ102aからの測定データを伝送し、制御信号をアクチュエータ102bに提供することができる。ネットワーク104は、任意の適切なネットワーク又はネットワークの組合せに相当することができる。特定の例として、ネットワーク104は、イーサネット(登録商標)ネットワーク、電気信号ネットワーク(HART又はFOUNDATION Fieldbusネットワークなど)、空気制御信号ネットワーク、又は任意のその他のもしくは追加型のネットワークに相当することができる。
[0013]パデューモデルでは、「レベル1」は、ネットワークに104に結合される1つ又は複数のコントローラ106を含み得る。各コントローラ106は、特に、1つ又は複数のセンサ102aからの測定値を使用して、1つ又は複数のアクチュエータ102bの動作を制御し得る。例えば、コントローラ106は、1つ又は複数のセンサ102aから測定データを受信し、その測定データを使用して、1つ又は複数のアクチュエータ102b用の制御信号を生成することができる。各コントローラ106は、1つ又は複数のセンサ102aと相互作用し、かつ1つ又は複数のアクチュエータ102bを制御するのに適した任意の構造を含む。各コントローラ106は、例えば、比例−積分−微分(PID:Proportional−Integral−Derivative)コントローラ、あるいは、ロバスト多変数予測制御テクノロジー(RMPCT:Robust Multivariable Predictive Control Technology)コントローラ、又はモデル予測制御(MPC:Model Predictive Control)もしくはその他の先進的予測制御(APC:Advanced Predictive Control)を実装するその他のタイプのコントローラなどの多変数コントローラに相当する可能性がある。特定の例として、各コントローラ106は、リアルタイムオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0014]2つのネットワーク108は、コントローラ106に結合される。ネットワーク108は、コントローラ106との間でデータのやり取りを行うなどによって、コントローラ106との相互作用を容易にする。ネットワーク108は、任意の適切なネットワーク又はネットワークの組合せに相当することができる。特定の例として、ネットワーク108は、ハネウェル・インターナショナル社(Honeywell International Inc.)からのフォルトトレラントイーサネット(登録商標)(FTE:Fault Tolerant Ethernet)ネットワークなどの、冗長ペアのイーサネット(登録商標)ネットワークに相当することができる。
[0015]少なくとも1つのスイッチ/ファイアウォール110は、ネットワーク108を、2つのネットワーク112に結合する。このスイッチ/ファイアウォール110は、1つのネットワークからのトラフィックを、もう一方のネットワークに伝送し得る。スイッチ/ファイアウォール110はまた、1つのネットワーク上のトラフィックが、もう一方のネットワークに達することを阻止し得る。スイッチ/ファイアウォール110は、ハネウェル制御ファイアウォール(CF9)デバイスなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク112は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
[0016]パデューモデルにおいて、「レベル2」は、ネットワーク112に結合された1つ又は複数の機械レベルのコントローラ114を含み得る。機械レベルのコントローラ114は、特定の産業用機器(ボイラ又はその他の機械など)に関連付けられることが可能な、コントローラ106、センサ102a、及びアクチュエータ102bの動作及び制御をサポートするために、様々な機能を果たす。例えば、機械レベルのコントローラ114は、センサ102aからの測定データ又はアクチュエータ102b用の制御信号などの、コントローラ106によって収集又は生成された情報のログを作成することができる。機械レベルのコントローラ114は、コントローラ106の動作を制御し、それによってアクチュエータ102bの動作を制御するアプリケーションを実行することもできる。さらに、機械レベルのコントローラ114は、コントローラ106へのセキュアなアクセスを提供することができる。機械レベルのコントローラ114のそれぞれは、1つの機械もしくはその他の個々の機器へのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。機械レベルのコントローラ114のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。示されていないが、種々の機械レベルのコントローラ114が、プロセスシステム内の種々の機器を制御するために使用され得る(この場合、各機器は、1つ又は複数のコントローラに106、センサ102a、及びアクチュエータ102bに関連付けられる)。
[0017]1つ又は複数のオペレータステーション116は、ネットワーク112に結合される。オペレータステーション116は、機械レベルのコントローラ114へのユーザアクセスを提供し、それによって、コントローラ106(また、場合によっては、センサ102a及びアクチュエータ102b)へのユーザアクセスを提供することのできる、コンピューティング又は通信デバイスに相当する。特定の例として、オペレータステーション116は、ユーザに、コントローラ106及び/又は機械レベルのコントローラ114によって収集された情報を使用して、センサ102a及びアクチュエータ102bの動作上の履歴を見直すことを可能にさせることができる。オペレータステーション116は、ユーザに、センサ102a、アクチュエータ102b、コントローラ106、又は機械レベルのコントローラ114の動作を調整することを可能にさせることもできる。さらに、オペレータステーション116は、コントローラ106又は機械レベルのコントローラ114によって生成された、警告、警報、又はその他のメッセージもしくは表示を受信し、表示することができる。オペレータステーション116のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション116のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0018]少なくとも1つのルータ/ファイアウォール118は、ネットワーク112を2つのネットワーク120に結合する。このルータ/ファイアウォール118は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク120は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
[0019]パデューモデルにおいて、「レベル3」は、ネットワーク120に結合された1つ又は複数のユニットレベルのコントローラ122を含み得る。各ユニットレベルのコントローラ122は、通常、1つのプロセスの少なくとも一部を実装するために共に動作する種々の機械の集合体に相当する、プロセスシステム内の1つのユニットに関連付けられる。ユニットレベルのコントローラ122は、下位レベル内の構成要素の動作及び制御をサポートするために様々な機能を果たす。例えば、ユニットレベルのコントローラ122は、下位レベル内の構成要素によって収集又は生成された情報のログを作成し、下部レベル内の構成要素を制御するアプリケーションを実行し、かつ下部レベル内の構成要素へのセキュアなアクセスを提供することができる。ユニットレベルのコントローラ122のそれぞれは、1つのプロセスユニット内の1つ又は複数の機械もしくはその他の機器へのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。ユニットレベルのコントローラ122のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。示されていないが、種々のユニットレベルのコントローラ122が、1つのプロセスシステム内の種々のユニットを制御するために使用され得る(この場合、各ユニットは、1つ又は複数の機械レベルのコントローラ114、コントローラ106、センサ102a、及びアクチュエータ102bに関連付けられる)。
[0020]ユニットレベルのコントローラ122へのアクセスは、1つ又は複数のオペレータステーション124によって提供され得る。オペレータステーション124のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション124のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0021]少なくとも1つのルータ/ファイアウォール126は、ネットワーク120を2つのネットワーク128に結合する。このルータ/ファイアウォール126は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク128は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
[0022]パデューモデルにおいて、「レベル4」は、ネットワーク128に結合された1つ又は複数のプラントレベルのコントローラ130を含み得る。各プラントレベルのコントローラ130は、通常、同一、同様、又は種々のプロセスを実装する1つ又は複数のプロセスユニットを含み得る、プラント101a〜101nのうちの1つに関連付けられる。プラントレベルのコントローラ130は、下位レベル内の構成要素の動作及び制御をサポートするために様々な機能を果たす。特定の例として、プラントレベルのコントローラ130は、1つ又は複数の製造実行システム(MES:Manufacturing Execution System)アプリケーション、スケジューリングアプリケーション、又は任意のその他のもしくは追加のプラントもしくはプロセス制御アプリケーションを実行することができる。プラントレベルのコントローラ130のそれぞれは、1つのプロセスプラント内の1つ又は複数のプロセスユニットへのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。プラントレベルのコントローラ130のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。
[0023]プラントレベルのコントローラ130へのアクセスは、1つ又は複数のオペレータステーション132によって提供され得る。オペレータステーション132のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション132のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0024]少なくとも1つのルータ/ファイアウォール134は、ネットワーク128を1つ又は複数のネットワーク136に結合する。このルータ/ファイアウォール134は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク136は、エンタープライズ全体のイーサネット(登録商標)もしくはその他のネットワーク、又はより大型のネットワーク(インターネットなど)の全体もしくは一部などの、任意の適したネットワークに相当することができる。
[0025]パデューモデルにおいて、「レベル5」は、ネットワーク136に結合された1つ又は複数のエンタープライズレベルのコントローラ138を含み得る。各エンタープライズレベルのコントローラ138は、通常、複数のプラント101a〜101n用のプランニング動作を行い、かつそれらのプラント101a〜101nの様々な側面を制御することができる。エンタープライズレベルのコントローラ138はまた、プラント101a〜101n内の構成要素の動作及び制御をサポートするために様々な機能を果たす。特定の例として、エンタープライズレベルのコントローラ138は、1つ又は複数の注文処理アプリケーション、エンタープライズリソースプランニング(ERP:Enterprise Resource Planning)アプリケーション、先進的プランニング及びスケジューリング(APS:Advanced Planning and Scheduling)アプリケーション、又はその他のもしくは追加のエンタープライズ制御アプリケーションを実行することができる。エンタープライズレベルのコントローラ138のそれぞれは、1つ又は複数のプラントの制御部へのアクセスを提供するのに、それの制御に、又はそれに関する動作に適した任意の構造を含む。エンタープライズレベルのコントローラ138のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。本書類において、「エンタープライズ」という用語は、管理されるべき1つ又は複数のプラントもしくはその他の処理設備を有する組織を指す。1つのプラント101aが管理されるべきである場合、エンタープライズレベルのコントローラ138の機能性は、プラントレベルのコントローラ130に組み入れられることが可能である、ということに留意されたい。
[0026]エンタープライズレベルのコントローラ138へのアクセスは、1つ又は複数のオペレータステーション140によって提供され得る。オペレータステーション140のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション140のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0027]パデューモデルの様々なレベルは、1つ又は複数のデータベースなどのその他の構成要素を含むことができる。各レベルに関連したデータベースは、システム100のそのレベル又は1つもしくは複数のその他のレベルに関連した任意の適切な情報を格納することができる。例えば、ヒストリアン141が、ネットワーク136に結合されることが可能である。ヒストリアン141は、システム100についての様々な情報を格納する構成要素に相当することができる。ヒストリアン141は、例えば、生産のスケジューリング及び最適化の最中に使用される情報を格納することができる。ヒストリアン141は、情報を格納し、かつ情報の検索を容易にするのに適した任意の構造に相当する。ヒストリアン141は、ネットワーク136に結合された単一の集中型構成要素として示されているが、システム100内の他の場所に位置することが可能であり、又は複数のヒストリアンが、システム100内の様々な位置に分散されることが可能である。
[0028]特定の実施形態において、図1での様々なコントローラ及びオペレータステーションは、コンピューティングデバイスに相当してもよい。例えば、コントローラ106、114、122、130、138のそれぞれは、1つ又は複数の処理デバイス142と、処理デバイス142によって使用され、生成され、又は収集される命令及びデータを格納するための1つ又は複数のメモリ144を含むことができる。コントローラ106、114、122、130、138のそれぞれは、1つ又は複数のイーサネット(登録商標)インタフェースもしくは無線トランシーバなどの、少なくとも1つのネットワークインタフェース146も含むことができる。また、オペレータステーション116、124、132、140のそれぞれは、1つ又は複数の処理デバイス148と、処理デバイス148によって使用され、生成され、又は収集される命令及びデータを格納するための1つ又は複数のメモリ150を含むことができる。オペレータステーション116、124、132、140のそれぞれは、1つ又は複数のイーサネット(登録商標)インタフェースもしくは無線トランシーバなどの少なくとも1つのネットワークインタフェース152も含むことができる。
[0029]上記で示されたように、産業用プロセス制御及び自動化システムに関してサイバーセキュリティへの懸念が高まっている。システム100内の構成要素のいずれかにおける取り組まれていないセキュリティの脆弱性が、動作に支障を来すか又は産業用設備に危険状態を引き起こすように攻撃者によって付け込まれる可能性がある。しかしながら、多くの場合、オペレータは、特定の産業現場において稼動する全ての機器の完全な理解又は一覧表を有していない。結果として、制御及び自動化システムへの潜在的なリスク源を素早く決定するのがしばしば難しくなる。
[0030]さらに、プロセス制御技術者は、通常、産業プロセスが円滑に稼動するのを維持するのを任され、新規の製品は、彼らのすでに過酷な仕事量に新たなメンテナンス及び管理作業をもたらすことが多い。サイバーセキュリティリスク管理は、リスク管理情報が、システムを安全にするのにユーザを手助けするが、ユーザに新たな(場合によっては不断の)情報ストリームももたらすという点において、何ら違いはない。
[0031]開示された実施形態は、様々なシステムにおける潜在的な脆弱性を見極め、システム全体へのリスクに基づき脆弱性に優先順位を付け、さらに脆弱性を軽減するようユーザを導く、ソリューションを含む。これは、いくつかの実施形態では、リスクマネージャ154を使用して実現される。リスクマネージャ154は、システム100の要素と情報をやり取りするように構成された、例えば、オペレータステーション116、オペレータステーション124、オペレータステーション132、オペレータステーション140、又はその他のコントローラもしくはデータ処理システムを使用して実装され得る。本明細書に述べられる各オペレータステーションは、1つ又は複数のプロセッサもしくはコントローラ、メモリ、ハードドライブ又はその他などの不揮発性記憶デバイス、ディスプレイ、またキーボード、マウス、又はタッチスクリーンなどのユーザ入力デバイス、及び無線又は有線通信インタフェースのような構造要素を含むことができる。
[0032]とりわけ、リスクマネージャ154は、ユーザに有益なサイバーセキュリティ情報を提供することと、ユーザの必要とされる作業を最小限にすることとの釣り合いをとる。リスクマネージャ154は、サイバーセキュリティリスク事象の自動ハンドリングをサポートする任意の適切な構造を含む。この例では、リスクマネージャ154は、1つ又は複数の処理デバイス156、処理デバイス156によって使用、生成、又は収集される命令及びデータを格納するための1つ又は複数のメモリ158、及び有線又は無線インタフェースとして実装され得る少なくとも1つのネットワークインタフェース160を含む。各処理デバイス156は、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ、フィールドプログラマブルゲートアレイ、特定用途向け集積回路、又は個別論理(discrete logic)に相当する可能性がある。各メモリ158は、ランダムアクセスメモリ又はフラッシュメモリなど、揮発性又は不揮発性格納検索デバイスに相当する可能性がある。各ネットワークインタフェース160は、イーサネット(登録商標)インタフェース、無線トランシーバ、又は外部通信を容易にするその他のデバイスに相当する可能性がある。リスクマネージャ154の機能性は、任意の適切なハードウェア、又はハードウェアとソフトウェア/ファームウェア命令との組合せを使用して実装される可能性がある。
[0033]いくつかの実施形態において、ユーザに報告され得る2つのタイプのリスク項目、状態項目と事象がある。状態項目とは、確定状態(オン/オフ、有効/無効、又はインストール済み/未インストール)を有するリスク項目を意味し、管理しやすいことが多い。例えば、故障状態、失敗、又は、プロセスもしくはデバイスが正常に動いていないことを示すその他の状態などの悪い状態にある場合、状態項目は、根本的な原因が対処されるまで、リスクマネージャ154において有効のままであり得る。特定の例として、アンチウィルスソフトウェアが、本明細書に開示されたシステム又はコントローラ上で実行されているか否かを追跡する場合、リスクマネージャ154は、アンチウィルスプログラムが使用するサービスを追跡することができる。サービスが実行されていて、健全である場合、それにはリスクは考えられず、サービスが実行されていない場合、リスクが示され、サービスが再び実行されるまで、状態項目が有効のままである。
[0034]事象とは、通常、ユーザが対処するのがより困難である、特定の状態又は動作の発生を特定するリスク項目を意味する。事象は、通常、事象が起こった発生時刻又はその他の時刻を有するが、根本的な状態が削除されたか、又は削除状態が単には存在しないかどうかの表示を何ら提供しないことがある。事象例には、誰かがログイン中、間違ったパスワードを提供する場合などの認証失敗がある。オペレータは、認証失敗の通知を見る可能性があるが、それは、状態項目が通常そうであるように、単発事象として「消える」ことはない。
[0035]従来の事象管理システムでは、事象が通常一時的なものであることから、ユーザが、実際上、とにかく注意が喚起されるべきである場合、事象は、正規ユーザによって手動で確認される必要がある。事象を手動で確認する必要を避けるために、開示された実施形態によれば、リスクマネージャ154は、事象又はその他のリスク項目に関連付けられたリスク値が、事象が再発しない場合に経時的に減衰することを可能にする。事象が再発する場合、リスク値は、ベース値に戻ることができ、減衰期間が再び開始され得る。事象が頻繁に又は絶えず起こる場合、リスクマネージャ154は、リスク値を発生時のベース値より上に上げることによってなど、このような状態を考え、それに対処することができる。
[0036]特定の事象が減衰するのを可能にすることによって、システムのユーザが事象を見るのに十分長く、断続的な事象が現れることがあるが、ユーザは、事象を削除するための追加の手段を何ら講じる必要がないことがある。それらの性質によってより深刻な事象が起こり続ける場合があり、削除されないことになる。認証失敗の例に戻ると、ある人がパスワードを数回打ち間違うことは、再発しない、すぐに削除されるいくつかの単発の事象として現れる可能性がある。しかしながら、システムへのブルートフォースアタック(攻撃者が、正しいパスワードを「言い当てる」ことを望んで、続け様に多くの異なるパスワードを使用しようとする)は、その攻撃が何とかして対処されるまで有効のままである不断の事象ストリームと見なされる可能性がある。
[0037]減衰関数の1つの開示された実装形態は、線形減衰モデルを使用する。様々な実施形態において、指数関数的減衰などのその他の減衰モデルも使用され得ることに留意されたい。線形減衰モデルでは、ベースリスクスコアはRと表され、減衰期間はPと表され、事象が起こってから経過した時間量はtと表される。瞬間リスク値が、tの関数として、以下の区分関数で計算され得る:
t<Pの場合:Risk=f(t)=R(1−(t/P))
t≧Pの場合:Risk=f(t)=0
Pの値は、慎重に選ばれ、つまり、Pが長すぎると、事象が増強され、ユーザの視認性を乱す可能性があり、短すぎると、事象が一回起こり、ユーザに見られる前に消える可能性がある。いくつかの実施形態において、この問題に役立つ様々な手段が講じられる可能性がある。例えば、週末にわたって起こる事象が労働日の最初の日に依然として有効であるように、初期設定の減衰期間が比較的長い期間(3日間など)に設定される可能性がある。また、ユーザが、減衰期間を、彼らの特定のポリシーに適する値にカスタマイズする可能性がある。
[0038]図2は、以下に総称して「監視システム」と呼ばれる、本明細書に説明される通りにプロセスを行うように構成された、リスクマネージャ、オペレータステーションもしくはその他のコントローラ、コンピューティングシステム、又はデータ処理システムによって行われるような、開示された実施形態による事象処理及び減衰プロセスの例を示し、この場合、監視システムの処理デバイスは、以下に説明される動作のそれぞれを行うように構成される。方法200は、本開示に従い、サイバーセキュリティリスク事象に自動的に対処することができる。数ある動作の中でも特に、リスクマネージャ154は、制御及び自動化システム100に関連したサイバーセキュリティ脅威及び問題を特定することができ、リスクマネージャ154は、アラート表示、報告、電子メール、テキストメッセージ、アラート、及びその他を含むがこれらに限定されない、1つ又は様々な形態でユーザへの通知を生成することができる。リスクマネージャ154は、システムに対するサイバーセキュリティリスクについてのかなりの量の新規情報を提供することができるが、リスクマネージャ154は、ユーザが管理する別の情報ソースにも相当する。
[0039]監視システムは、第1の事象を検出する(205)。第1の事象は、具体的には(しかしこれらに限定されるものではなく)、ログインもしくはその他の承認試行の失敗、不正なソフトウェア実行試行、ネットワーク侵入試行などのシステムセキュリティ事象を含む、それに対してオペレータ又はその他のユーザが注意を喚起されるべきである特定の状態又は動作の発生とすることができ、第1の事象は、通常、監視システムが通信している特定のデバイスに関連している。これは、第1の事象を特定する情報を得ることを含むことができ、第1の事象は、コンピューティングシステム内のデバイスに関連しており、またデバイスに関連したサイバーセキュリティリスクを特定する。
[0040]監視システムは、第1の事象についての事象詳細を格納することができる(210)。事象詳細には、例えば、事象のタイプ、事象の日時、事象の結果(任意の監視システム応答などを含む)、事象を発生させたシステム、デバイス、もしくは構成要素、第1の事象を特定する任意のその他の情報、又はオペレータにとって有益と思われる任意のその他の詳細が含まれ得る。
[0041]第1の事象を検出することを受けて、監視システムは、第1の事象に対応するリスク項目を初期化し、そのリスク項目を完全リスク値に設定する(215)。完全リスク値は、新たな事象の「完全リスク」に相当すると理解される、100などの任意の値とすることができる。215の一環として、監視システムは、本明細書に説明されるように、アラートを表示するか又は通知を送信し、リスク項目とそのリスク値又は任意のその他の事象詳細を示すこともできる。これは、第1の事象に関連付けられるリスク値を定義することを含むことができ、第1の事象は、リスク値が本明細書に説明されるように閾値に合格するまで、有効のままである。
[0042]監視システムは、第1の事象に対応して、第2の事象(又はさらなる事象)が検出されたかどうかを判定する(220)。第2の事象は、例えば、第1の事象の繰り返しである、第1の事象と同じタイプの事象である(例えば、全く同じではないが、第2のログイン試行失敗)、第1の事象と同じプロセス、システム、もしくはデバイスにより発生している、又はその他により、第1の事象に対応する可能性があり、ユーザによって選択又は規定され得る。このような第2の対応する事象が検出される場合、プロセスは210に戻り、第1の事象に行った通りに第2の事象を処理する。いくつかの実施形態において、第1の事象に対応する複数の第2の(又はさらなる)事象が検出される場合、システムは、リスク値を、重大な進行中のリスクを示す値、例えば、完全リスク値より高い値に改めることができる。
[0043]監視システムは、経時的にリスク値を改める。例えば、第2の事象が何も検出されない場合、監視システムは、本明細書に説明されるように、減衰関数に従ってリスク値を下げる(225)。215の一環として、監視システムは、本明細書に説明されるように、アラートを表示するか又は通知を送信し、リスク項目とその下げられたリスク値又は任意のその他の事象詳細を示すこともできる。リスク値低減は、リスク値が所定の期間(例えば、3日間)にわたり徐々に下げられるように、規定の間隔(例えば、1時間当たり1回)で行われ得る。
[0044]監視システムは、リスク項目に対するリスク値がゼロ(又はその他の所定の閾値)に達したか又はそれに合格したかどうかを判定する(230)。そうではない場合、プロセスは、220に戻り、事象を検出することを続ける。
[0045]リスク項目に対するリスク値がゼロ又はその他の所定の閾値に達したか又はそれに合格したと判定するのを受けて、監視システムは、監視システムからリスク項目を削除する(235)。235の一環として、監視システムは、本明細書に説明されるように、アラートを表示するか又は通知を送信し、リスク項目とそのリスク値又は任意のその他の事象詳細を示し、またリスク項目が削除されたことを示すこともできる。
[0046]もちろん、図2の例に関して説明されるプロセスは、単一の事象とその対応する事象に対してであり、典型的な実装形態は、多くの事象を同時に処理することになる。このような場合、新たな事象が先に検出された第1の事象に対応する場合の「一致」を見つけるために、220において、任意の個数の先に検出された第1の事象に対して、それぞれの新たな事象が処理される。
[0047]いくつかの実施形態において、Webベースのアプリケーションプログラミングインタフェース(API:Application Programming Interface)が、図2に示された事象減衰プロセスをサポートするのに使用され得る。これらの実施形態では、ユーザから入力を得るのに使用され得る減衰アルゴリズムに関連する様々なフィールドを定義するのに、API用の構成ファイルが使用され得る。例えば、特定の実施形態において、以下の項目が構成ファイル内に定義される可能性がある:
・SecurityEventCacheAbsolutePeriodSeconds−絶対有効期間(秒)、
・SecurityEventCacheSlidingPeriodSeconds−スライディング有効期間(秒)、
・SecurityEventCacheExpirationPolicy−使用する有効期限ポリシー(スライディング又は絶対など)、及び
・SecurityEventCacheForceEventDecay−それが有効期限が切れたときにセキュリティ状態事象の減衰を押し進めるべきか否か(リスク係数がゼロに設定される)を示すフラグ
[0048]図1は、産業用プロセス制御及び自動化システム100の一例を示すが、図1に様々な変更がなされてもよい。例えば、制御及び自動化システムは、任意の個数のセンサ、アクチュエータ、コントローラ、サーバ、オペレータステーション、ネットワーク、リスクマネージャ、及びその他の構成要素を含む可能性がある。また、図1におけるシステム100の組み立て及び配置は、単に例示のためのものである。特定のニーズに従って、任意のその他の適切な構成で、構成要素が追加され、省略され、組み合わされ、又は置かれる可能性がある。さらに、特定の機能が、システム100の特定の構成要素によって行われるとして説明された。これは、単に例示のためのものである。一般に、制御及び自動化システムは、高度に構成可能であり、特定のニーズに従い任意の適切な方法で構成され得る。また、図1は、そこにおいてリスクマネージャ154の機能が使用され得る環境の例を示す。この機能性は、任意のその他の適切なデバイス又はシステムにおいて使用され得る。
[0049]図2は、サイバーセキュリティリスク事象の自動ハンドリングのための方法200の一例を示すが、図2に様々な変更がなされてもよい。例えば、図2に示される様々なステップが、重複する、並行して起こる、異なる順序で起こる、又は任意の回数起こる可能性がある。また、示されていないが、事象が繰り返し起こる場合に(閾値回数よりも多く、又は閾値頻度よりも頻繁に)リスク値を上げるのに、方法200における追加のループが使用される可能性がある。また、図2における「0」の閾値は、単に例示のためのものであり、任意のその他の適切な閾値が使用される可能性がある(事象のタイプにより異なる閾値を含む)。
[0050]ここでのリスクマネージャ154は、以下の先に出願された特許出願及び同時出願の特許出願(それらの全てが参照により本明細書に組み込まれる)に説明されている様々な特徴の任意の組合せ又は全てと共に使用又は動作する可能性があることに留意されたい:
・「DYNAMIC QUANTIFICATION OF CYBER−SECURITY RISKS IN A CONTROL SYSTEM(制御システムにおけるサイバーセキュリティリスクの動的定量化)」という名称の米国特許出願第14/482,888号
・「ANALYZING CYBER−SECURITY RISKS IN AN INDUSTRIAL CONTROL ENVIRONMENT(産業制御環境におけるサイバーセキュリティリスクの分析)」という名称の米国仮特許出願第62/036,920号
・「RULES ENGINE FOR CONVERTING SYSTEM−RELATED CHARACTERISTICS AND EVENTS INTO CYBER−SECURITY RISK ASSESSMENT VALUES(システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジン)」という名称の米国仮特許出願第62/113,075号、及び当該出願と同時に出願された同様の名称(整理番号H0048932−0115)の対応する非仮米国特許出願第14/871号
・「NOTIFICATION SUBSYSTEM FOR GENERATING CONSOLIDATED,FILTERED,AND RELEVANT SECURITY RISK−BASED NOTIFICATIONS(統合され、フィルタ処理された、該当するセキュリティリスクベースの通知を生成するための通知サブシステム)」という名称の米国仮特許出願第62/113,221号、及び当該出願と同時に出願された同様の名称(整理番号H0048937−0115)の対応する非仮米国特許出願第14/871,521号
・「TECHNIQUE FOR USING INFRASTRUCTURE MONITORING SOFTWARE TO COLLECT CYBER−SECURITY RISK DATA(インフラストラクチャ監視ソフトウェアを使用してサイバーセキュリティリスクデータを収集するための技法)」という名称の米国仮特許出願第62/113,100号、及び当該出願と同時に出願された同様の名称(整理番号H0048943−0115)の対応する非仮米国特許出願第14/871,855号
・「INFRASTRUCTURE MONITORING TOOL FOR COLLECTING INDUSTRIAL PROCESS CONTROL AND AUTOMATION SYSTEM RISK DATA(産業用プロセス制御及び自動化システムリスクデータを収集するためのインフラストラクチャ監視ツール)」という名称の米国仮特許出願第62/113,186号、及び当該出願と同時に出願された同様の名称(整理番号H0048945−0115)の対応する非仮米国特許出願第14/871,732号
・「PATCH MONITORING AND ANALYSIS(パッチ監視及び分析)」という名称の米国仮特許出願第62/113,165号、及び当該出願と同時に出願された同様の名称(整理番号H0048973−0115)の対応する非仮米国特許出願第14/871,921号
・「APPARATUS AND METHOD FOR DYNAMIC CUSTOMIZATION OF CYBER−SECURITY RISK ITEM RULES(サイバーセキュリティリスク項目ルールの動的カスタマイゼーション用の装置及び方法)」という名称の米国仮特許出願第62/114,928号、及び当該出願と同時に出願された同様の名称(整理番号H0049099−0115)の対応する非仮米国特許出願第14/871,605号
・「APPARATUS AND METHOD FOR PROVIDING POSSIBLE CAUSES,RECOMMENDED ACTIONS,AND POTENTIAL IMPACTS RELATED TO IDENTIFIED CYBER−SECURITY RISK ITEMS(特定されたサイバーセキュリティリスク項目に関連した考えられる原因、推奨される動作、及び潜在的なインパクトを提供するための装置及び方法)」という名称の米国仮特許出願第62/114,865号、及び当該出願と同時に出願された同様の名称(整理番号H0049103−0115)の対応する非仮米国特許出願第14/871,814号
・「APPARATUS AND METHOD FOR TYING CYBER−SECURITY RISK ANALYSIS TO COMMON RISK METHODOLOGIES AND RISK LEVELS(サイバーセキュリティリスク分析を共通リスク方法論及びリスクレベルに結び付けるための装置及び方法)」という名称の米国仮特許出願第62/114,937号、及び当該出願と同時に出願された同様の名称(整理番号H0049104−0115)の対応する非仮米国特許出願第14/871,136号
・「RISK MANAGEMENT IN AN AIR−GAPPED ENVIRONMENT(空隙環境におけるリスク管理)」という名称の米国仮特許出願第62/116,245号、及び当該出願と同時に出願された同様の名称(整理番号H0049081−0115)の対応する非仮米国特許出願第14/871,547号
[0051]いくつかの実施形態において、本特許書類において説明された様々な機能が、コンピュータ可読プログラムコードから形成され、かつコンピュータ可読媒体に埋め込まれたコンピュータプログラムによって実装又はサポートされる。「コンピュータ可読プログラムコード」という成句は、ソースコード、オブジェクトコード、及び実行可能コードを含む、任意のタイプのコンピュータコードを含む。「コンピュータ可読媒体」という成句は、読み取り専用メモリ(ROM:Read Only Memory)、ランダムアクセスメモリ(RAM:Random Access Memory)、ハードディスクドライブ、コンパクトディスク(CD:Compact Disc)、デジタルビデオディスク(DVD:Digital Video Disc)、又は任意のその他のタイプのメモリなどの、コンピュータによってアクセスされることが可能な任意のタイプの媒体を含む。「非一時的」コンピュータ可読媒体は、一時的電気信号又はその他の信号を伝送する、有線、無線、光、又はその他の通信リンクを含まない。非一時的コンピュータ可読媒体は、データが永続的に格納され得る媒体と、書き換え可能光ディスク又は消去可能メモリデバイスなどの、データが格納され、後で上書きされることが可能な媒体を含む。
[0052]本特許書類を通して使用されるいくつかの単語及び成句の定義を示すことは有益であり得る。「アプリケーション」及び「プログラム」という用語は、1つ又は複数のコンピュータプログラム、ソフトウェア構成要素、命令セット、手順、機能、オブジェクト、クラス、インスタンス、関連データ、又は適切なコンピュータコード(ソースコード、オブジェクトコード、又は実行可能コードを含む)での実装形態に適合されるそれらの一部を指す。「communicate(通信する)」という用語及びそれの派生語は、直接、間接両方の通信を含む。「include(含む)」、「comprise(含む、備える)」という用語、及びそれらの派生語は、制限なしの包含を意味する。「or(又は)」という用語は、包含的であり、「and/or(及び/又は)」を意味する。「associated with(に関連する)」という成句及びそれの派生語は、含む、〜内に含まれる、〜と相互接続する、包含する、〜内に包含される、〜に又は〜と接続する、〜に又は〜と結合する、〜と通信可能である、〜と連携する、相互配置する、並置する、〜に近接する、〜に又は〜と結び付けられる、有する、〜の特性を有する、〜への又は〜との関係を有する、あるいは同様のものを含むことを意味し得る。「at least one of(少なくとも1つの)」という成句は、項目リストで使用される場合、列挙された項目のうちの1つ又は複数の種々の組合せが使用され得る、またリスト内のただ1つの項目が必要とされ得ることを意味する。例えば、「at least one of: A,B,and C(A、B、及びCのうちの少なくとも1つの)」は、A、B、C、AとB、AとC、BとC、AとBとCの組合せのうちのいずれかを含む。
[0053]本開示は、特定の実施形態と、それに一般に関連する方法を説明したが、これらの実施形態及び方法の修正、置換が、当業者には明らかであろう。従って、例示的な実施形態の上の説明は、本開示を定義又は制約するものではない。その他の変更、代用、及び修正もまた、以下の特許請求の範囲によって定義されるような、本開示の趣旨及び範囲から外れない限り、可能である。

Claims (15)

  1. 監視システム(154)によって、コンピューティングシステム内のデバイスに関連した第1の事象を検出するステップ(205)と、
    前記事象を検出するのを受けて、前記監視システム(154)によって、前記第1の事象に対応するリスク項目を初期化し、前記リスク項目を完全リスク値に設定するステップ(215)と、
    前記第1の事象に対応し、前記監視システム(154)によって、第2の事象が検出されたか否かを判定するステップ(220)と、
    前記監視システム(154)によって、前記第2の事象が何も検出されなかったと判定するのを受けて、前記リスク値を経時的に改めるステップ(225)と、
    前記監視システム(154)によって、前記リスク項目に対する前記リスク値が閾値に合格したかどうかを判定するステップ(230)と、
    前記リスク値が前記閾値に合格するのを受けて、前記監視システム(154)によって、前記事象を削除するステップ(235)と、を含む方法。
  2. 前記監視システム(154)が、減衰関数に従い前記リスク値を下げることによって、前記リスク値を改める、請求項1に記載の方法。
  3. 前記減衰関数が、
    t<Pの場合:Risk=R(1−(t/P))
    t≧Pの場合:Risk=0、と定義され、
    ここで、Riskは調整されたリスク値を表し、Rは前記完全リスク値を表し、Pは減衰期間を表し、tは起こった前記第1の事象が検出されてから経過した時間量を表す、請求項2に記載の方法。
  4. 前記監視システム(154)が、前記第1の事象についての事象詳細も格納する(210)、請求項1に記載の方法。
  5. 前記第2の事象が検出されたと判定するステップ(220)を受けて、前記監視システムが、前記リスク値を改めない、請求項1に記載の方法。
  6. 複数の第2の事象が検出されたと判定するステップ(220)を受けて、前記監視システムが、前記リスク値を、重大な進行中のリスクを示す値に改める、請求項1に記載の方法。
  7. 前記監視システム(154)が、前記リスク項目及び前記リスク値を示すアラートを表示する、請求項1に記載の方法。
  8. 処理デバイス(156)と、
    メモリ(158)と、
    ネットワークインタフェース(160)と、を備え、
    コンピューティングシステム内のデバイスに関連した第1の事象を検出するステップ(205)と、
    前記事象を検出するのを受けて、前記第1の事象に対応するリスク項目を初期化し、前記リスク項目を完全リスク値に設定するステップ(215)と、
    前記第1の事象に対応し、第2の事象が検出されたか否かを判定するステップ(220)と、
    前記第2の事象が何も検出されなかったと判定するのを受けて、前記リスク値を経時的に改めるステップ(225)と、
    前記リスク項目に対する前記リスク値が閾値に合格したかどうかを判定するステップ(230)と、
    前記リスク値が前記閾値に合格するのを受けて、前記事象を削除するステップ(235)と、を行うように構成された、監視システム(154)。
  9. 前記監視システム(154)が、減衰関数に従い前記リスク値を下げることによって、前記リスク値を改める、請求項8に記載の監視システム。
  10. 前記減衰関数が、
    t<Pの場合:Risk=R(1−(t/P))
    t≧Pの場合:Risk=0、と定義され、
    ここで、Riskは調整されたリスク値を表し、Rは前記完全リスク値を表し、Pは減衰期間を表し、tは起こった前記第1の事象が検出されてから経過した時間量を表す、請求項9に記載の監視システム。
  11. 前記監視システム(154)が、前記第1の事象についての事象詳細も格納する(210)、請求項8に記載の監視システム。
  12. 前記第2の事象が検出されたと判定するステップ(220)を受けて、前記監視システム(154)が、前記リスク値を改めない、請求項8に記載の監視システム。
  13. 複数の第2の事象が検出されたと判定するステップ(220)を受けて、前記監視システム(154)が、前記リスク値を、重大な進行中のリスクを示す値に改める、請求項8に記載の監視システム。
  14. 前記監視システム(154)が、前記リスク項目及び前記リスク値を示すアラートを表示する、請求項8に記載の監視システム。
  15. 実行されると、監視システム(154)に、
    コンピューティングシステム内のデバイスに関連した第1の事象を検出するステップ(205)と、
    前記事象を検出するのを受けて、前記第1の事象に対応するリスク項目を初期化し、前記リスク項目を完全リスク値に設定するステップ(215)と、
    前記第1の事象に対応し、第2の事象が検出されたか否かを判定するステップ(220)と、
    前記第2の事象が何も検出されなかったと判定するのを受けて、前記リスク値を経時的に改めるステップ(225)と、
    前記リスク項目に対する前記リスク値が閾値に合格したかどうかを判定するステップ(230)と、
    前記リスク値が前記閾値に合格するのを受けて、前記事象を削除するステップ(235)と、を行わせる、コンピュータ可読プログラムコードで符号化された非一時的コンピュータ可読媒体(158)。
JP2017541601A 2015-02-06 2016-02-01 サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法 Active JP6522142B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562113152P 2015-02-06 2015-02-06
US62/113,152 2015-02-06
US14/871,503 US10021119B2 (en) 2015-02-06 2015-09-30 Apparatus and method for automatic handling of cyber-security risk events
US14/871,503 2015-09-30
PCT/US2016/015952 WO2016126604A1 (en) 2015-02-06 2016-02-01 Apparatus and method for automatic handling of cyber-security risk events

Publications (2)

Publication Number Publication Date
JP2018504716A true JP2018504716A (ja) 2018-02-15
JP6522142B2 JP6522142B2 (ja) 2019-05-29

Family

ID=56564565

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017541601A Active JP6522142B2 (ja) 2015-02-06 2016-02-01 サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法

Country Status (6)

Country Link
US (1) US10021119B2 (ja)
EP (1) EP3254437B1 (ja)
JP (1) JP6522142B2 (ja)
CN (1) CN107431717B (ja)
AU (1) AU2016215597B2 (ja)
WO (1) WO2016126604A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10803460B2 (en) * 2016-07-14 2020-10-13 International Business Machines Corporation Index of usability for a replacement payment card
EP3586259B1 (en) * 2017-02-27 2022-06-08 Ivanti, Inc. Systems and methods for context-based mitigation of computer security risks
US10999296B2 (en) * 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US11995593B2 (en) * 2018-11-28 2024-05-28 Merck Sharp & Dohme Llc Adaptive enterprise risk evaluation
US11095610B2 (en) * 2019-09-19 2021-08-17 Blue Ridge Networks, Inc. Methods and apparatus for autonomous network segmentation
US20210110319A1 (en) * 2019-10-09 2021-04-15 Battelle Memorial Institute Framework to quantify cybersecurity risks and consequences for critical infrastructure

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004318742A (ja) * 2003-04-21 2004-11-11 Hitachi Ltd 分散型サービス不能攻撃を防ぐネットワークシステム
US7984504B2 (en) * 2003-01-21 2011-07-19 Symantec Corporation Network risk analysis

Family Cites Families (125)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6266773B1 (en) 1998-12-31 2001-07-24 Intel. Corp. Computer security system
US20070008099A1 (en) 1999-09-01 2007-01-11 Nettalon Security Systems, Inc. Method and apparatus for remotely monitoring a site
WO2001084775A2 (en) 2000-04-28 2001-11-08 Internet Security Systems, Inc. System and method for managing security events on a network
GB2372673B (en) * 2001-02-27 2003-05-28 3Com Corp Apparatus and method for processing data relating to events on a network
US7287280B2 (en) 2002-02-12 2007-10-23 Goldman Sachs & Co. Automated security management
JP2005532606A (ja) 2001-12-31 2005-10-27 シタデル セキュリティ ソフトウェア インコーポレイテッド コンピュータの脆弱性を解決する自動化されたシステム
US7152105B2 (en) 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US20040030531A1 (en) 2002-03-28 2004-02-12 Honeywell International Inc. System and method for automated monitoring, recognizing, supporting, and responding to the behavior of an actor
US8087087B1 (en) 2002-06-06 2011-12-27 International Business Machines Corporation Management of computer security events across distributed systems
US7415503B2 (en) 2002-07-12 2008-08-19 Honeywell International Inc. Control interface agent system and method
US6952779B1 (en) 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US9009084B2 (en) 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US7136856B2 (en) 2002-12-04 2006-11-14 International Business Machines Corporation Multi-level security profile refresh
US7624422B2 (en) 2003-02-14 2009-11-24 Preventsys, Inc. System and method for security information normalization
US7627891B2 (en) 2003-02-14 2009-12-01 Preventsys, Inc. Network audit and policy assurance system
US8201256B2 (en) 2003-03-28 2012-06-12 Trustwave Holdings, Inc. Methods and systems for assessing and advising on electronic compliance
US7281270B2 (en) 2003-04-01 2007-10-09 Lockheed Martin Corporation Attack impact prediction system
US7451488B2 (en) 2003-04-29 2008-11-11 Securify, Inc. Policy-based vulnerability assessment
US20150033323A1 (en) 2003-07-01 2015-01-29 Securityprofiling, Llc Virtual patching system, method, and computer program product
KR100623552B1 (ko) 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
GB2410647A (en) 2004-01-31 2005-08-03 Hewlett Packard Development Co Identifying and Patching Vulnerabilities in a Network
CN100340084C (zh) 2004-04-28 2007-09-26 联想(北京)有限公司 一种实现设备分组及分组设备间交互的方法
US8020210B2 (en) 2004-06-09 2011-09-13 Verizon Patent And Licensing Inc. System and method for assessing risk to a collection of information resources
US7669180B2 (en) 2004-06-18 2010-02-23 International Business Machines Corporation Method and apparatus for automated risk assessment in software projects
US20060064740A1 (en) * 2004-09-22 2006-03-23 International Business Machines Corporation Network threat risk assessment tool
US20060085852A1 (en) 2004-10-20 2006-04-20 Caleb Sima Enterprise assessment management
US20060101517A1 (en) 2004-10-28 2006-05-11 Banzhof Carl E Inventory management-based computer vulnerability resolution system
US20060117388A1 (en) 2004-11-18 2006-06-01 Nelson Catherine B System and method for modeling information security risk
US7549162B2 (en) 2004-12-06 2009-06-16 At&T Intellectual Property I, L.P. Methods of providing security for data distributions in a data network and related devices, networks, and computer program products
US7715308B2 (en) 2004-12-09 2010-05-11 Honeywell International Inc. Fault tolerance in a wireless network
US7937462B2 (en) 2004-12-14 2011-05-03 International Business Machines Corporation Verification of correctness of networking aspects of an information technology system
JP4756865B2 (ja) 2005-01-11 2011-08-24 株式会社エヌ・ティ・ティ・ドコモ セキュリティグループ管理システム
US20060206941A1 (en) 2005-03-08 2006-09-14 Praesidium Technologies, Ltd. Communications system with distributed risk management
US7760908B2 (en) 2005-03-31 2010-07-20 Honeywell International Inc. Event packaged video sequence
EP1917778A2 (en) 2005-08-03 2008-05-07 Calyptix Security Systems and methods for dynamically learning network environments to achieve adaptive security
US8438643B2 (en) 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US8095984B2 (en) 2005-09-22 2012-01-10 Alcatel Lucent Systems and methods of associating security vulnerabilities and assets
US20070143851A1 (en) 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US8046755B2 (en) * 2005-12-30 2011-10-25 Sap Ag Deploying software based on a calculated deployment risk level
US7926102B2 (en) 2006-01-20 2011-04-12 International Business Machines Corporation Confidential content search engine method
US8387138B2 (en) 2006-03-21 2013-02-26 At&T Intellectual Property I, L.P. Security scanning system and method
US20080016339A1 (en) 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
US20080047016A1 (en) 2006-08-16 2008-02-21 Cybrinth, Llc CCLIF: A quantified methodology system to assess risk of IT architectures and cyber operations
JP2008112284A (ja) 2006-10-30 2008-05-15 Fujitsu Ltd 資源管理方法、資源管理システム、およびコンピュータプログラム
US8380841B2 (en) 2006-12-07 2013-02-19 Microsoft Corporation Strategies for investigating and mitigating vulnerabilities caused by the acquisition of credentials
US7937353B2 (en) 2007-01-15 2011-05-03 International Business Machines Corporation Method and system for determining whether to alter a firewall configuration
US7908660B2 (en) 2007-02-06 2011-03-15 Microsoft Corporation Dynamic risk management
WO2008103286A2 (en) 2007-02-16 2008-08-28 Veracode, Inc. Assessment and analysis of software security flaws
US7900259B2 (en) 2007-03-16 2011-03-01 Prevari Predictive assessment of network risks
US7996204B2 (en) 2007-04-23 2011-08-09 Microsoft Corporation Simulation using resource models
US20090024663A1 (en) 2007-07-19 2009-01-22 Mcgovern Mark D Techniques for Information Security Assessment
US9171282B2 (en) * 2007-10-22 2015-10-27 Oracle International Corporation Interactive complex event pattern builder and visualizer
US7962490B1 (en) 2008-01-07 2011-06-14 Amdocs Software Systems Limited System, method, and computer program product for analyzing and decomposing a plurality of rules into a plurality of contexts
US10248915B2 (en) 2008-03-07 2019-04-02 International Business Machines Corporation Risk profiling for enterprise risk management
EP2279465B1 (en) 2008-04-17 2014-04-02 Siemens Aktiengesellschaft Method and system for cyber security management of industrial control systems
CN101281230A (zh) * 2008-04-25 2008-10-08 奇瑞汽车股份有限公司 一种用于混合动力汽车高压系统的绝缘故障监测装置及方法
US8146134B2 (en) 2008-10-28 2012-03-27 Yahoo! Inc. Scalable firewall policy management platform
US8631081B2 (en) 2008-11-12 2014-01-14 YeeJang James Lin System and method for information risk management
US20100125911A1 (en) 2008-11-17 2010-05-20 Prakash Bhaskaran Risk Scoring Based On Endpoint User Activities
US8806632B2 (en) 2008-11-17 2014-08-12 Solarwinds Worldwide, Llc Systems, methods, and devices for detecting security vulnerabilities in IP networks
US8402546B2 (en) 2008-11-19 2013-03-19 Microsoft Corporation Estimating and visualizing security risk in information technology systems
US20140297495A1 (en) 2010-03-18 2014-10-02 Pankaj B. Dalal Multidimensional risk analysis
US8881272B2 (en) 2009-03-20 2014-11-04 Achilles Guard, Inc. System and method for selecting and applying filters for intrusion protection system within a vulnerability management system
US20100324945A1 (en) 2009-05-12 2010-12-23 Ronald Paul Hessing Data insurance system based on dynamic risk management
US20100318512A1 (en) 2009-06-16 2010-12-16 Ludwig Lester F Advanced geographic information system (gis) providing modeling, decision support, visualization, sonification, web interface, risk management, sensitivity analysis, sensor telemetry, field video, and field audio
US8473390B2 (en) * 2009-07-22 2013-06-25 Axa Equitable Funds Management Group, Llc Computerized method and system for managing a financial portfolio relative to market volatility
AU2010310482B2 (en) * 2009-10-23 2014-12-11 Siemens Industry, Inc. Method and system for event pattern detection
US8776168B1 (en) 2009-10-29 2014-07-08 Symantec Corporation Applying security policy based on behaviorally-derived user risk profiles
US10027711B2 (en) 2009-11-20 2018-07-17 Alert Enterprise, Inc. Situational intelligence
WO2011063269A1 (en) 2009-11-20 2011-05-26 Alert Enterprise, Inc. Method and apparatus for risk visualization and remediation
CN101706937A (zh) * 2009-12-01 2010-05-12 中国建设银行股份有限公司 电子银行风险监控方法及系统
US8494974B2 (en) 2010-01-18 2013-07-23 iSIGHT Partners Inc. Targeted security implementation through security loss forecasting
US8650129B2 (en) * 2010-01-20 2014-02-11 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transaction data in transit
US8712596B2 (en) 2010-05-20 2014-04-29 Accenture Global Services Limited Malicious attack detection and analysis
US20120011590A1 (en) 2010-07-12 2012-01-12 John Joseph Donovan Systems, methods and devices for providing situational awareness, mitigation, risk analysis of assets, applications and infrastructure in the internet and cloud
US20120011077A1 (en) 2010-07-12 2012-01-12 Bhagat Bhavesh C Cloud Computing Governance, Cyber Security, Risk, and Compliance Business Rules System and Method
WO2012012749A1 (en) 2010-07-23 2012-01-26 The Dun And Bradstreet Corporation Automated business and individual risk management and validation process
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US9296299B2 (en) * 2011-11-16 2016-03-29 Autoconnect Holdings Llc Behavioral tracking and vehicle applications
KR101060277B1 (ko) 2010-11-23 2011-08-29 (주)지인소프트 기업체의 부서별 기업구성원 pc를 차별관리하는 기업체용 통합관리 시스템 및 방법
CN102075356B (zh) * 2010-12-31 2013-11-06 深圳市永达电子股份有限公司 一种网络风险评估方法与系统
US8621637B2 (en) 2011-01-10 2013-12-31 Saudi Arabian Oil Company Systems, program product and methods for performing a risk assessment workflow process for plant networks and systems
DE102011000876A1 (de) 2011-02-22 2012-08-23 Dimensio Informatics Gmbh Netzwerktrennung
US8819833B2 (en) 2011-03-01 2014-08-26 Honeywell International Inc. Assured pipeline threat detection
US20120255003A1 (en) 2011-03-31 2012-10-04 Mcafee, Inc. System and method for securing access to the objects of an operating system
US9373267B2 (en) 2011-04-08 2016-06-21 Wombat Security Technologies, Inc. Method and system for controlling context-aware cybersecurity training
US20120268269A1 (en) * 2011-04-19 2012-10-25 Qualcomm Incorporated Threat score generation
US9811667B2 (en) 2011-09-21 2017-11-07 Mcafee, Inc. System and method for grouping computer vulnerabilities
US8856936B2 (en) 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
US8782472B2 (en) 2011-10-28 2014-07-15 Dell Products L.P. Troubleshooting system using device snapshots
US9749338B2 (en) 2011-12-19 2017-08-29 Verizon Patent And Licensing Inc. System security monitoring
US8973147B2 (en) 2011-12-29 2015-03-03 Mcafee, Inc. Geo-mapping system security events
US20130204783A1 (en) * 2012-01-09 2013-08-08 Ace Cash Express, Inc. System and method for performing remote check presentment (rcp) transactions by a check cashing company
US20130185191A1 (en) * 2012-01-13 2013-07-18 Shlomo COHEN GANOR Systems and method for correlating transaction events
US9668137B2 (en) 2012-03-07 2017-05-30 Rapid7, Inc. Controlling enterprise access by mobile devices
US8726393B2 (en) 2012-04-23 2014-05-13 Abb Technology Ag Cyber security analyzer
US8990948B2 (en) 2012-05-01 2015-03-24 Taasera, Inc. Systems and methods for orchestrating runtime operational integrity
US20140007244A1 (en) 2012-06-28 2014-01-02 Integrated Solutions Consulting, Inc. Systems and methods for generating risk assessments
US9461876B2 (en) * 2012-08-29 2016-10-04 Loci System and method for fuzzy concept mapping, voting ontology crowd sourcing, and technology prediction
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US20140137257A1 (en) 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
US20140236668A1 (en) 2012-11-16 2014-08-21 Medidata Solutions, Inc. Method and apparatus for remote site monitoring
US9071644B2 (en) 2012-12-06 2015-06-30 International Business Machines Corporation Automated security policy enforcement and auditing
US9477838B2 (en) 2012-12-20 2016-10-25 Bank Of America Corporation Reconciliation of access rights in a computing system
KR20140097691A (ko) 2013-01-29 2014-08-07 주식회사 아이디어웨어 서버 그룹핑 방법 및 장치와 기록매체
FR3002346B1 (fr) 2013-02-15 2015-03-06 Voluntis Procede et systeme de surveillance a distance d'un dispositif medical logiciel
US9467464B2 (en) 2013-03-15 2016-10-11 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
US9303786B2 (en) 2013-04-16 2016-04-05 Honeywell International Inc. Autonomous valve control and monitoring
US10026049B2 (en) 2013-05-09 2018-07-17 Rockwell Automation Technologies, Inc. Risk assessment for industrial systems using big data
US20140359777A1 (en) * 2013-05-31 2014-12-04 Fixmo, Inc. Context-aware risk measurement mobile device management system
US20150018984A1 (en) 2013-07-11 2015-01-15 General Electric Company Monitoring interface
US9516041B2 (en) 2013-07-25 2016-12-06 Bank Of America Corporation Cyber security analytics architecture
US20150032839A1 (en) 2013-07-26 2015-01-29 Netapp, Inc. Systems and methods for managing storage network devices
US10389760B2 (en) 2013-08-19 2019-08-20 Trend Micro Incorporated Adaptive network security policies
CN105556526B (zh) 2013-09-30 2018-10-30 安提特软件有限责任公司 提供分层威胁智能的非暂时性机器可读介质、系统和方法
US9401926B1 (en) 2013-10-31 2016-07-26 Fulcrum IP Services, LLC System and method for implementation of cyber security
GB2520987B (en) 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
WO2015128743A2 (en) 2014-02-21 2015-09-03 Safety Key Solutions FZ-LLC Worksite monitoring and management systems and platforms
CN204046720U (zh) * 2014-03-04 2014-12-24 深圳信息职业技术学院 一种安全监控系统
WO2015138513A1 (en) * 2014-03-11 2015-09-17 Vectra Networks, Inc. Detecting network intrusions using layered host scoring
US20160011921A1 (en) 2014-07-14 2016-01-14 General Electric Company Cyber secured airgap remote monitoring and diagnostics infrastructure
US9166999B1 (en) 2014-07-25 2015-10-20 Fmr Llc Security risk aggregation, analysis, and adaptive control
US9712555B2 (en) 2014-12-03 2017-07-18 Phantom Cyber Corporation Automated responses to security threats
US9901301B2 (en) * 2014-12-12 2018-02-27 Ebay Inc. Coordinating relationship wearables
US10311045B2 (en) 2015-01-26 2019-06-04 Microsoft Technology Licensing, Llc Aggregation/evaluation of heterogenic time series data

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7984504B2 (en) * 2003-01-21 2011-07-19 Symantec Corporation Network risk analysis
JP2004318742A (ja) * 2003-04-21 2004-11-11 Hitachi Ltd 分散型サービス不能攻撃を防ぐネットワークシステム

Also Published As

Publication number Publication date
EP3254437A1 (en) 2017-12-13
AU2016215597A1 (en) 2017-08-17
US20160234229A1 (en) 2016-08-11
JP6522142B2 (ja) 2019-05-29
AU2016215597B2 (en) 2020-02-27
EP3254437A4 (en) 2018-08-29
CN107431717B (zh) 2020-12-22
CN107431717A (zh) 2017-12-01
US10021119B2 (en) 2018-07-10
EP3254437B1 (en) 2021-04-07
WO2016126604A1 (en) 2016-08-11

Similar Documents

Publication Publication Date Title
JP6522142B2 (ja) サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法
CN107431716B (zh) 用于生成合并的、经过滤的和基于相关安全风险的通知的通知子系统
US9800604B2 (en) Apparatus and method for assigning cyber-security risk consequences in industrial process control environments
CN107950002B (zh) 用于工业设备的防护密码管理的系统和方法
US20160234242A1 (en) Apparatus and method for providing possible causes, recommended actions, and potential impacts related to identified cyber-security risk items
CN107534654B (zh) 用于将网络安全风险分析连结到常见风险方法论和风险水平的装置和方法
JP2018507641A (ja) システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジン
AU2016357206B2 (en) Deployment assurance checks for monitoring industrial control systems
AU2016218274B2 (en) Risk management in an air-gapped environment
EP3254438A1 (en) Technique for using infrastructure monitoring software to collect cyber-security risk data
AU2018258344A1 (en) Risk analysis to identify and retrospect cyber security threats
WO2018200330A1 (en) Inferred detection of data replication errors of source applications by enterprise applications

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171019

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180831

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190320

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190415

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190423

R150 Certificate of patent or registration of utility model

Ref document number: 6522142

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250