JP2018507641A - システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジン - Google Patents

システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジン Download PDF

Info

Publication number
JP2018507641A
JP2018507641A JP2017541599A JP2017541599A JP2018507641A JP 2018507641 A JP2018507641 A JP 2018507641A JP 2017541599 A JP2017541599 A JP 2017541599A JP 2017541599 A JP2017541599 A JP 2017541599A JP 2018507641 A JP2018507641 A JP 2018507641A
Authority
JP
Japan
Prior art keywords
risk
information
devices
risk assessment
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017541599A
Other languages
English (en)
Inventor
ダイエットリッチ,ケネス・ダブリュー.
ガデ,ガネシュ・ピー.
ボイス,エリック・ティー.
カーペンター,セス・ジー.
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell International Inc
Original Assignee
Honeywell International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell International Inc filed Critical Honeywell International Inc
Publication of JP2018507641A publication Critical patent/JP2018507641A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本開示は、関連のシステム及び方法を含んで、システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジンを提供する。方法は、コンピューティングシステム(100)内の複数のデバイス(130、132、134)の特性、及び複数のデバイスに関連した複数の事象を特定する情報を受信すること(305)を含む。方法は、複数のルールセット(230)を使用して情報を分析すること(310)を含む。方法は、分析に基づき、少なくとも1つのリスクアセスメント値を生成すること(315)を含み、少なくとも1つのリスクアセスメント値は、複数のデバイスの少なくとも1つのサイバーセキュリティリスクを特定する。少なくとも1つのリスクアセスメント値は、複数のデバイスの少なくとも1つのサイバーセキュリティリスクを特定する。方法は、ユーザインタフェース(250)に少なくとも1つのリスクアセスメント値を表示すること(320)を含む。

Description

関連出願の相互参照
[0001]本出願は、参照により本明細書に組み込まれる、2015年2月6日に出願された米国仮特許出願第62/113,075号の出願日の利益を主張する。
[0002]本開示は、概して、ネットワークセキュリティに関する。より詳細には、本開示は、システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジンに関する。
[0003]処理設備は、産業用プロセス制御及び自動化システムを使用して管理されることが多い。従来の制御及び自動化システムは、決まって、サーバ、ワークステーション、スイッチ、ルータ、ファイアウォール、安全システム、独自のリアルタイムコントローラ、及び産業用フィールドデバイスなど、様々なネットワーク化デバイスを含む。多くの場合、この機器は、いくつかの異なる販売業者から来るものである。産業環境において、サイバーセキュリティへの懸念が高まっており、これらの構成要素のいずれかにおける取り組まれていないセキュリティの脆弱性が、動作に支障を来すか又は産業用設備に危険状態を引き起こすように攻撃者によって付け込まれる可能性がある。
本開示は、上述の課題を解決するものである。
[0004]本開示は、関連のシステム及び方法を含んで、システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジンを提供する。方法は、コンピューティングシステム内の複数のデバイスの特性、及び複数のデバイスに関連した複数の事象を特定する情報を受信することを含む。方法は、複数のルールセットを使用して情報を分析することを含む。方法は、分析に基づき、少なくとも1つのリスクアセスメント値を生成することを含む。少なくとも1つのリスクアセスメント値は、複数のデバイスの少なくとも1つのサイバーセキュリティリスクを特定する。方法は、ユーザインタフェースに少なくとも1つのリスクアセスメント値を表示することを含む。
[0005]いくつかの実施形態において、複数のデバイスに関連付けられ、またそれらからデータを収集する、ソースデータ構成要素から、情報が受信される。いくつかの実施形態において、情報は、その情報を情報のタイプに従って共通フォーマットにフォーマットする正規化構成要素によって処理される。いくつかの実施形態において、リスクマネージャシステムがまた、分析に対応して、サイバーセキュリティリスク情報を1つ又は複数のターゲットデータ構成要素に伝送する。いくつかの実施形態において、リスクマネージャシステムがまた、分析に対応して、サイバーセキュリティリスク情報を、それぞれのターゲットデータ構成要素によって処理され得るフォーマットに変換する。いくつかの実施形態において、リスクマネージャシステムがまた、挙動を定義し、その挙動を複数のルールセットに適用し、複数のルールセットは、時間ベースのルール、累積ルール、及びインパクトルールのうちの少なくとも1つを含む。いくつかの実施形態において、リスクマネージャシステムがまた、複数のデバイスの階層にわたってリスクアセスメント値を集約する。
[0006]その他の技術上の特徴は、以下の図面、発明を実施するための形態、及び特許請求の範囲から、当業者には容易に明らかになるであろう。
[0007]本開示のより十分な理解のために、次に、以下の添付図面と併せて取り上げられる、以下の発明を実施するための形態に対して参照が行われる。
[0008]本開示による、例示的な産業用プロセス制御及び自動化システムを示す図である。 [0009]本開示による、産業用プロセス制御及び自動化システム又はその他のシステムにおけるセキュリティ問題を特定するための例示的なルールハンドリングインフラストラクチャを示す図である。 [0010]開示された実施形態による、プロセスのフローチャートを示す図である。
[0011]以下に述べられる図、また本特許書類において本発明の原理を説明するために使用される様々な実施形態は、単に例示としてのものであり、どのような形であれ本発明の範囲を限定するものとして解釈されるべきではない。本発明の原理が、任意のタイプの適切に構成されたデバイス又はシステムにおいて実施され得る、ということが当業者であれば理解するであろう。
[0012]以下の考察では、「SIEM」は、システムにおけるセキュリティ警報のリアルタイム分析を提供するテクノロジーを表す「セキュリティ情報及びイベント管理(Security Information and Event Management)」を指す。また、「SCOM」は、マイクロソフトコーポレーションから入手可能な、System Center Operations Managerのインフラストラクチャ監視ソフトウェアツールを指す。
[0013]図1は、本開示による、例示的な産業用プロセス制御及び自動化システム100を示す図である。図1に示されるように、システム100は、少なくとも1つの製品又はその他の材料(material)の生産又は処理を容易にする様々な構成要素を含む。例えば、システム100は、本明細書では、1つ又は複数のプラント101a〜101n内の構成要素にわたる制御を容易にするために使用される。各プラント101a〜101nは、少なくとも1つの製品又はその他の材料を生産するための1つ又は複数の製造設備などの、1つ又は複数の処理設備(又は、その1つ又は複数の部分)に相当する。一般に、各プラント101a〜101nは、1つ又は複数のプロセスを実装してもよく、個別に又はまとめてプロセスシステムと呼ばれることが可能である。プロセスシステムは、一般に、1つ又は複数の製品又はその他の材料を何らかの方法で処理するように構成された、任意のシステム又はその一部に相当する。
[0014]図1では、システム100は、プロセス制御のパデュー(Purdue)モデルを使用して実装される。パデューモデルでは、「レベル0」は、1つ又は複数のセンサ102aと1つ又は複数のアクチュエータ(actuator)102bを含み得る。センサ102及びアクチュエータ102bは、多種多様な機能のいずれかを果たすことが可能な、プロセスシステム内の構成要素に相当する。例えば、センサ102aは、温度、圧力、又は流量などのプロセスシステムにおける多種多様な特性を測定することができる。また、アクチュエータ102bは、プロセスシステムにおける多種多様な特性を修正することができる。センサ102a及びアクチュエータ102bは、任意の適切なプロセスシステム内の任意のその他の又は追加の構成要素に相当することができる。センサ102aのそれぞれは、プロセスシステムにおける1つ又は複数の特性を測定するのに適した任意の構造を含む。アクチュエータ102bのそれぞれは、プロセスシステムにおける1つ又は複数の条件下で動作するのに、又は1つ又は複数の条件に影響を及ぼすのに適した任意の構造を含む。
[0015]少なくとも1つのネットワーク104は、センサ102aとアクチュエータ102bに結合される。ネットワーク104は、センサ102a及びアクチュエータ102bとの相互作用を容易にする。例えば、ネットワーク104は、センサ102aからの測定データを伝送し、制御信号をアクチュエータ102bに提供することができる。ネットワーク104は、任意の適切なネットワーク又はネットワークの組合せに相当することができる。特定の例として、ネットワーク104は、イーサネット(登録商標)ネットワーク、電気信号ネットワーク(HART又はFOUNDATION Fieldbusネットワークなど)、空気制御信号ネットワーク、又は任意のその他のもしくは追加型のネットワークに相当することができる。
[0016]パデューモデルでは、「レベル1」は、ネットワークに104に結合される1つ又は複数のコントローラ106を含み得る。各コントローラ106は、特に、1つ又は複数のセンサ102aからの測定値を使用して、1つ又は複数のアクチュエータ102bの動作を制御し得る。例えば、コントローラ106は、1つ又は複数のセンサ102aから測定データを受信し、その測定データを使用して、1つ又は複数のアクチュエータ102b用の制御信号を生成することができる。各コントローラ106は、1つ又は複数のセンサ102aと相互作用し、かつ1つ又は複数のアクチュエータ102bを制御するのに適した任意の構造を含む。コントローラ106は、例えば、比例−積分−微分(PID:Proportional−integral−derivative)コントローラ、あるいは、ロバスト多変数予測制御テクノロジー(RMPCT:Robust Multivariable Predictive Control Technology)コントローラ、又はモデル予測制御(MPC:Model Predictive Control)もしくはその他の先進的予測制御(APC:Advanced Predictive Control)を実装するその他のタイプのコントローラなどの多変数コントローラに相当する可能性がある。特定の例として、各コントローラ106は、リアルタイムオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0017]2つのネットワーク108は、コントローラ106に結合される。ネットワーク108は、コントローラ106との間でデータのやり取りを行うなどによって、コントローラ106との相互作用を容易にする。ネットワーク108は、任意の適切なネットワーク又はネットワークの組合せに相当することができる。特定の例として、ネットワーク108は、ハネウェル・インターナショナル社(Honeywell International Inc.)からのフォルトトレラントイーサネット(登録商標)(FTE:Fault Tolerant Ethernet)ネットワークなどの、冗長ペアのイーサネット(登録商標)ネットワークに相当することができる。
[0018]少なくとも1つのスイッチ/ファイアウォール110は、ネットワーク108を、2つのネットワーク112に結合する。このスイッチ/ファイアウォール110は、1つのネットワークからのトラフィックを、もう一方のネットワークに伝送し得る。スイッチ/ファイアウォール110はまた、1つのネットワーク上のトラフィックが、もう一方のネットワークに達することを阻止し得る。スイッチ/ファイアウォール110は、ハネウェル制御ファイアウォール(CF9)デバイスなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク112は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
[0019]パデューモデルにおいて、「レベル2」は、ネットワーク112に結合された1つ又は複数の機械レベルのコントローラ114を含み得る。機械レベルのコントローラ114は、特定の産業用機器(ボイラ又はその他の機械など)に関連付けられることが可能な、コントローラ106、センサ102a、及びアクチュエータ102bの動作及び制御をサポートするために、様々な機能を果たす。例えば、機械レベルのコントローラ114は、センサ102aからの測定データ又はアクチュエータ102b用の制御信号などの、コントローラ106によって収集又は生成された情報のログを作成することができる。機械レベルのコントローラ114は、コントローラ106の動作を制御し、それによってアクチュエータ102bの動作を制御するアプリケーションを実行することもできる。さらに、機械レベルのコントローラ114は、コントローラ106へのセキュアなアクセスを提供することができる。機械レベルのコントローラ114のそれぞれは、1つの機械もしくはその他の個々の機器へのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。機械レベルのコントローラ114のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。示されていないが、種々の機械レベルのコントローラ114が、プロセスシステム内の種々の機器を制御するために使用され得る(この場合、各機器は、1つ又は複数のコントローラに106、センサ102a、及びアクチュエータ102bに関連付けられる)。
[0020]1つ又は複数のオペレータステーション116は、ネットワーク112に結合される。オペレータステーション116は、機械レベルのコントローラ114へのユーザアクセスを提供し、それによって、コントローラ106(また、場合によっては、センサ102a及びアクチュエータ102b)へのユーザアクセスを提供することのできる、コンピューティング又は通信デバイスに相当する。特定の例として、オペレータステーション116は、ユーザに、コントローラ106及び/又は機械レベルのコントローラ114によって収集された情報を使用して、センサ102a及びアクチュエータ102bの動作上の履歴を見直すことを可能にさせることができる。オペレータステーション116は、ユーザに、センサ102a、アクチュエータ102b、コントローラ106、又は機械レベルのコントローラ114の動作を調整することを可能にさせることもできる。さらに、オペレータステーション116は、コントローラ106又は機械レベルのコントローラ114によって生成された、警告、警報、又はその他のメッセージもしくは表示を受信し、表示することができる。オペレータステーション116のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション116のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0021]少なくとも1つのルータ/ファイアウォール118は、ネットワーク112を2つのネットワーク120に結合する。このルータ/ファイアウォール118は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク120は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
[0022]パデューモデルにおいて、「レベル3」は、ネットワーク120に結合された1つ又は複数のユニットレベルのコントローラ122を含み得る。各ユニットレベルのコントローラ122は、通常、1つのプロセスの少なくとも一部を実装するために共に動作する種々の機械の集合体に相当する、プロセスシステム内の1つのユニットに関連付けられる。ユニットレベルのコントローラ122は、下位レベル内の構成要素の動作及び制御をサポートするために様々な機能を果たす。例えば、ユニットレベルのコントローラ122は、下位レベル内の構成要素によって収集又は生成された情報のログを作成し、下部レベル内の構成要素を制御するアプリケーションを実行し、かつ下部レベル内の構成要素へのセキュアなアクセスを提供することができる。ユニットレベルのコントローラ122のそれぞれは、1つのプロセスユニット内の1つ又は複数の機械もしくはその他の機器へのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。ユニットレベルのコントローラ122のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。示されていないが、種々のユニットレベルのコントローラ122が、1つのプロセスシステム内の種々のユニットを制御するために使用され得る(この場合、各ユニットは、1つ又は複数の機械レベルのコントローラ114、コントローラ106、センサ102a、及びアクチュエータ102bに関連付けられる)。
[0023]ユニットレベルのコントローラ122へのアクセスは、1つ又は複数のオペレータステーション124によって提供され得る。オペレータステーション124のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション124のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0024]少なくとも1つのルータ/ファイアウォール126は、ネットワーク120を2つのネットワーク128に結合する。このルータ/ファイアウォール126は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク128は、FTEネットワークなどの任意の適切なネットワークに相当することができる。
[0025]パデューモデルにおいて、「レベル4」は、ネットワーク128に結合された1つ又は複数のプラントレベルのコントローラ130を含み得る。各プラントレベルのコントローラ130は、通常、同一、同様、又は種々のプロセスを実装する1つ又は複数のプロセスユニットを含み得る、プラント101a〜101nのうちの1つに関連付けられる。プラントレベルのコントローラ130は、下位レベル内の構成要素の動作及び制御をサポートするために様々な機能を果たす。特定の例として、プラントレベルのコントローラ130は、1つ又は複数の製造実行システム(MES:Manufacturing Execution System)アプリケーション、スケジューリングアプリケーション、又は任意のその他のもしくは追加のプラントもしくはプロセス制御アプリケーションを実行することができる。プラントレベルのコントローラ130のそれぞれは、1つのプロセスプラント内の1つ又は複数のプロセスユニットへのアクセスを提供するのに、それらの制御に、又はそれらに関する動作に適した任意の構造を含む。プラントレベルのコントローラ130のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。
[0026]プラントレベルのコントローラ130へのアクセスは、1つ又は複数のオペレータステーション132によって提供され得る。オペレータステーション132のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション132のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0027]少なくとも1つのルータ/ファイアウォール134は、ネットワーク128を1つ又は複数のネットワーク136に結合する。このルータ/ファイアウォール134は、セキュアなルータ又は組合せルータ/ファイアウォールなどの、ネットワーク間での通信を提供するのに適した任意の構造を含む。ネットワーク136は、エンタープライズ全体のイーサネット(登録商標)もしくはその他のネットワーク、又はより大型のネットワーク(インターネットなど)の全体もしくは一部などの、任意の適したネットワークに相当することができる。
[0028]パデューモデルにおいて、「レベル5」は、ネットワーク136に結合された1つ又は複数のエンタープライズレベルのコントローラ138を含み得る。各エンタープライズレベルのコントローラ138は、通常、複数のプラント101a〜101n用のプランニング動作を行い、かつそれらのプラント101a〜101nの様々な側面を制御することができる。エンタープライズレベルのコントローラ138はまた、プラント101a〜101n内の構成要素の動作及び制御をサポートするために様々な機能を果たす。特定の例として、エンタープライズレベルのコントローラ138は、1つ又は複数の注文処理アプリケーション、エンタープライズリソースプランニング(ERP:Enterprise Resource Planning)アプリケーション、先進的プランニング及びスケジューリング(APS:Advanced Planning and Scheduling)アプリケーション、又はその他のもしくは追加のエンタープライズ制御アプリケーションを実行することができる。エンタープライズレベルのコントローラ138のそれぞれは、1つ又は複数のプラントの制御部へのアクセスを提供するのに、それの制御に、又はそれに関する動作に適した任意の構造を含む。エンタープライズレベルのコントローラ138のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するサーバコンピューティングデバイスに相当することができる。本書類において、「エンタープライズ」という用語は、管理されるべき1つ又は複数のプラントもしくはその他の処理設備を有する組織を指す。1つのプラント101aが管理されるべきである場合、エンタープライズレベルのコントローラ138の機能性は、プラントレベルのコントローラ130に組み入れられることが可能である、ということに留意されたい。
[0029]エンタープライズレベルのコントローラ138へのアクセスは、1つ又は複数のオペレータステーション140によって提供され得る。オペレータステーション140のそれぞれは、システム100内の1つ又は複数の構成要素のユーザアクセス及び制御をサポートするのに適した任意の構造を含む。オペレータステーション140のそれぞれは、例えば、Microsoft Windowsオペレーティングシステムを実行するコンピューティングデバイスに相当することができる。
[0030]パデューモデルの様々なレベルは、1つ又は複数のデータベースなどのその他の構成要素を含むことができる。各レベルに関連したデータベースは、システム100のそのレベル又は1つもしくは複数のその他のレベルに関連した任意の適切な情報を格納することができる。例えば、ヒストリアン141が、ネットワーク136に結合されることが可能である。ヒストリアン141は、システム100についての様々な情報を格納する構成要素に相当することができる。ヒストリアン141は、例えば、生産のスケジューリング及び最適化の最中に使用される情報を格納することができる。ヒストリアン141は、情報を格納し、かつ情報の検索を容易にするのに適した任意の構造に相当する。ヒストリアン141は、ネットワーク136に結合された単一の集中型構成要素として示されているが、システム100内の他の場所に位置することが可能であり、又は複数のヒストリアンが、システム100内の様々な位置に分散されることが可能である。
[0031]特定の実施形態において、図1での様々なコントローラ及びオペレータステーションは、コンピューティングデバイスに相当してもよい。例えば、コントローラ106、114、122、130、138のそれぞれは、1つ又は複数の処理デバイス142と、処理デバイス142によって使用され、生成され、又は収集される命令及びデータを格納するための1つ又は複数のメモリ144を含むことができる。コントローラ106、114、122、130、138のそれぞれは、1つ又は複数のイーサネット(登録商標)インタフェースもしくは無線トランシーバなどの、少なくとも1つのネットワークインタフェース146も含むことができる。また、オペレータステーション116、124、132、140のそれぞれは、1つ又は複数の処理デバイス148と、処理デバイス148によって使用され、生成され、又は収集される命令及びデータを格納するための1つ又は複数のメモリ150を含むことができる。オペレータステーション116、124、132、140のそれぞれは、1つ又は複数のイーサネット(登録商標)インタフェースもしくは無線トランシーバなどの少なくとも1つのネットワークインタフェース152も含むことができる。
[0032]上記で示されたように、産業用プロセス制御及び自動化システムに関してサイバーセキュリティへの懸念が高まっている。システム100内の構成要素のいずれかにおける取り組まれていないセキュリティの脆弱性が、動作に支障を来すか又は産業用設備に危険状態を引き起こすように攻撃者によって付け込まれる可能性がある。しかしながら、多くの場合、オペレータは、特定の産業現場において稼動する全ての機器の完全な理解又は一覧表を有していない。結果として、制御及び自動化システムへの潜在的なリスク源を素早く決定するのがしばしば難しくなる。
[0033]本開示は、様々なシステムにおける潜在的な脆弱性を理解し、システム全体へのリスクに基づき脆弱性に優先順位を付け、さらに脆弱性を軽減するようユーザを導く、ソリューションの必要性を認識している。これは、図1における例では、リスクマネージャ154を用いて実装又はサポートされる、「ルールハンドリングインフラストラクチャ」を使用することにより(数ある方法の中でも)達成される。リスクマネージャ154は、システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジンを含む任意の適切な構造を含む。ここでは、リスクマネージャ154は、1つ又は複数の処理デバイス156、処理デバイス156によって使用、生成、又は収集される命令及びデータを格納するための1つ又は複数のメモリ158、及び少なくとも1つのネットワークインタフェース160を含む。各処理デバイス156は、マイクロプロセッサ、マイクロコントローラ、デジタル信号処理、フィールドプログラマブルゲートアレイ、特定用途向け集積回路、又は個別論理(discrete logic)に相当する可能性がある。各メモリ158は、ランダムアクセスメモリ又はフラッシュメモリなど、揮発性又は不揮発性格納検索デバイスに相当する可能性がある。各ネットワークインタフェース160は、イーサネット(登録商標)インタフェース、無線トランシーバ、又は外部通信を容易にするその他のデバイスに相当する可能性がある。リスクマネージャ154の機能性は、任意の適切なハードウェア、又はハードウェアとソフトウェア/ファームウェア命令との組合せを使用して実装される可能性がある。
[0034]図1は、産業用プロセス制御及び自動化システム100の1つの例を示すが、図1に対して、様々な変更が行われ得る。例えば、制御及び自動化システムは、任意の個数のセンサ、アクチュエータ、コントローラ、サーバ、オペレータステーション、ネットワーク、リスクマネージャ及びその他の構成要素を含むことができる。また、図1でのシステム100の構成及び配置は、単に例示としてのものである。構成要素は、特定の必要性に従って、任意のその他の適切な構成において、追加され、除外され、組み合わせられ、又は配置されることが可能である。さらに、特定の機能が、システム100の特定の構成要素によって果たされるとして、説明されている。このことは、単に例示としてのものである。一般に、制御及び自動化システムは、高度に構成可能であり、特性の必要性に従って、任意の適切な方法で構成されることが可能である。さらに、図1は、リスクマネージャ154の機能が使用されることが可能である、例示的な環境を示す。この機能性は、任意のその他の適切なデバイス又はシステムにおいて使用されることが可能である。
[0035]図2は、本開示による、産業用プロセス制御及び自動化システムにおけるセキュリティ問題を特定するための例示的なルールハンドリングインフラストラクチャ200を示す。インフラストラクチャ200は、リスクマネージャ154又は本明細書に開示されるように行うように構成されたその他の処理デバイスを使用して、サポート又は実装される可能性がある。このインフラストラクチャ200は、収集されたリスクデータを分析し、様々なリスク項目に対するルールに基づきリスク値を動的に生み出す。リスク値は、そこにおいてリスクが生じたか又は存在する、コンピューティングシステム内のデバイスに関連付けられる。
[0036]より危険な状態にある範囲を特定するのに役立つよう、複数のリスク値が、デバイス階層に集約され得る。様々な実施形態において、インフラストラクチャ200は、ユーザが、ルールインフラストラクチャを修正する必要なしに、セキュリティ製品(マカフィー又はシマンテック製品など)を追加かつ削除できるように構成される。ルールセットは、様々な実施形態において、同様なタイプの製品(アンチウィルス製品など)に対する同じルールが、ルールを修正する必要なく、その製品タイプのいずれの製品にも適用することができるように、一般的であり得る。
[0037]図2に示される例では、ルールハンドリングインフラストラクチャ200は、ソースデータ構成要素210、ターゲットデータ構成要素220、エンドポイントルールセット230、及びルールエンジンフレームワーク240を含んだ、論理的構成要素を含む。ルールハンドリングインフラストラクチャ200は、本明細書に説明されるような、情報を表示し、ユーザと対話するためのユーザインタフェース(GUI)250も含む。GUI250は、ルールエンジンフレームワーク240と直接インタフェースで接続するデバイス又はアプリケーションを介してルールハンドリングインフラストラクチャ200によって、ターゲットデータ構成要素220として機能するか又はそれに接続されるデバイス又はアプリケーションによって、又はその他の方法によってもたらされるようなデータを表示することができる。
[0038]ソースデータ構成要素210には、上りデータ(incoming data)用の個々の入力処理ユニット(データソース提供元212)が含まれる。上りデータは、それぞれが図2においてデータソース提供元212と表される、コンピューティングシステム(システム100などの)内の複数のデバイスの特性、及びその複数のデバイスに関連した複数の事象を特定する情報を含むことができる。ソースデータ構成要素210は、例えば、図1に示される様々なコンピューティング及びネットワーキング構成要素に関連付けられ、またそれらからデータを収集する可能性がある。色々な実装形態において、サポートされ得るデータソース提供元の個数に対する理論限界がある場合もあり、又はない場合もある。もちろん、データソース提供元の総個数を制限する可能性のあるハードウェアメモリ又はプロセッサスピードに基づく物理的限界があり得る。上りデータは、コンピューティングシステム内のデバイスのいずれも含んで、ルールエンジンがアクセスすることのできるいずれのソースからも来る可能性がある。上りデータは、以下からのデータを含む可能性がある(しかし、それらに限定されない):
・セキュリティソフトウェア(アンチウィルス、ホワイトリスティングなど)
・データ捕捉サブシステム(SIEM、SCOMなど)
・デバイス(ルータ、スイッチなど)
・コンピュータ(事象、動作など)
・データソース(データベース及びファイルを含むがそれらに限定されない)
・データを注入するアプリケーション(テスト、シミュレーションの際など)
・Webアプリケーション(Web API)
[0039]データソース提供元212は、そこから彼らがデータを手に入れているデバイス、ソフトウェア、又はその他の入力ソースについて特定であるとすることができる。それぞれは、入力ソースからどのようにデータを手に入れるかが分かるカスタムコードを含むことができる。データは、上りデータを受け取り、それをデータタイプに関連付けられた共通フォーマットにフォーマットする正規化構成要素214に渡され、それによって処理され得る。例えば、色々なアンチウィルスソフトウェア製品からのデータは、同様のデータ項目にグループ化され得、値は、共通値にフォーマットされ得る(アンチウィルスインストール済み、アンチウィルス有効など)。このデータは、ルールエンジンフレームワーク240が入手できるようにされ、エンドポイントルールセット230により使用される。
[0040]ターゲットデータ構成要素220は、ルールエンジンフレームワーク240によって生成された情報に関連付けられ、その情報を様々なデバイス又はシステムに提供することができる。例えば、システム100におけるセキュリティを管理するのに責任を負う担当者のモバイル又は固定コンピューティングデバイスと対話するのに、ターゲットデータ構成要素220が使用され得る。ターゲットデータ構成要素220には、サイバーセキュリティリスク情報など、ルールエンジンフレームワーク240によって生成された情報をそれぞれのターゲットデータ構成要素220によって処理され得るフォーマットに変換する、データソースアダプタ222が含まれ得る。一般に、ルールエンジンフレームワーク240への入力は、データソース提供元212からであり、ルールエンジンフレームワーク240からの出力は、ターゲットデータ構成要素220に提供される。
[0041]エンドポイントルールセット230は、ソースデータ構成要素210からのデータに適用される色々なルールを定義する。色々なデバイスの特性、及びデバイス(図1における様々なデバイスなど)に関わって起こる色々な事象を分析するのに、エンドポイントルールセット230内のルールが使用される。ルールは、また、ソースデータ構成要素210に関連するセキュリティの脆弱性又はその他の問題を示す値も生成することができる。例えば、デバイスの少なくとも1つのサイバーセキュリティリスクを特定する少なくとも1つのリスクアセスメント値を生成するのに、ルールが使用され得る。
[0042]様々な実施形態において、エンドポイントルールセット230は、ユーザによって定義される値を介してルールに対応付けられた構成データを手に入れる。これは、彼らが望めば、特定の現場の実装形態に、彼らの現場の必要性に合うようにルールを修正することを可能にさせる。例えば、現場は、そのゾーン内のデバイスがプラント運転又はその他の機能にとって絶対不可欠ではない、デバイスの色々な群又はゾーンを有する可能性がある。この場合、普通は高い値にランク付けされ得るあるタイプのリスクが、値がその高さではないように修正される可能性がある。これは、それほど重要ではないゾーンがより重要であり得るその他のゾーンを目立たなくすることを防ぐであろう。エンドポイントルールセット230は、任意の特定のデバイス又はサイバーセキュリティリスクに関連付けられたリスクアセスメント値を上げる又は下げるのに適用される特定のルールの一部として、重み付け係数又はその他のユーザ定義可能な構成データを含むことができる。
[0043]ルールエンジンフレームワーク240は、ルールハンドリングインフラストラクチャ200にとって主要な構成要素である。それは、ルールエンジン用のスタートアップタスクを統御し、このタクスは、以下を含む可能性がある。
・エンドポイントルールセット230を読み込むこと
・ソースデータ構成要素210を読み込むこと
・ターゲットデータ構成要素220を読み込みこと
・ルールごとの構成項目を手に入れること
・データモデルを初期化すること
[0044]デバイス用のデータモデルは、システムがセットアップされたときデータがどのように構成されたかに基づきデータをグループ化する階層ツリーを含むことができる。これは、リスク項目をグループ化し、インパクトリスクを階層ツリー内のその他の項目に割り当てることを可能にする。ルールエンジンが初期化されると、ルールエンジンは、それぞれの独立したソースデータ構成要素210の処理を統御するためになど、スレッドを始めることができる。ルールエンジンフレームワーク240は、ルールエンジン内の個々の構成要素に渡される内部データフォーマットを特定する、共通データアダプタのインターロップ(interop)構成要素も含む。これは、ルールエンジンフレームワーク240の内部のデータと、データソース提供元、データソースアダプタ、及びエンドポイントルールセット間で渡されるデータとを含む。
[0045]ルールエンジンフレームワーク240は、挙動242をルールセットにおいて定義されたルールを基に定義するための個々の特徴も含む。挙動242は、時間ベースのルール、累積ルール、及びインパクトルールをサポートするための挙動を含むことができるが、これらに限定されるものではない。時間ベースの挙動は、時間の経過に基づく何らかの特別な処理を有するルールを定義することを可能にする。累積ベースの挙動は、ルールのデータが何回処理されているかに基づくデータへの特別な処理を有するルールを定義することを可能にする。インパクトルールは、ルールが処理しているデバイスの階層ツリー内のその他のデバイスに対するリスクにインパクトを及ぼすルールを定義することを可能にする。
[0046]ルールエンジンフレームワーク240は、リスク範囲、PC、ゾーン、及び現場からのリスク項目を1つ又は複数の集約セット244に集約する能力をサポートしている。ルールセット計算に基づき、ルールエンジンフレームワーク240は、確認された最も高いリスクを特定のレベルに割り当て、例えば、それを、例えばGUI250に表示することができるようにすることができる。例えば、ゾーン集約記録は、ゾーン内で確認されたPC及びデバイス間で計算された最も高いリスク項目を表示する可能性がある。集約及び集約セット244の計算は全てのルール間で共通であり、したがって、エンドポイントルールセット230をより単純に、また軽量に(それほど複雑ではなく)することは、ルールエンジンフレームワーク240の役割である。
[0047]ルールエンジンフレームワークは、本明細書に説明されるような様々なプロセスを実行する、1つ又は複数のプロセッサ又はコントローラを使用して実装され得る、実行エンジン246を含む。これらは、機械可読媒体に格納された実行可能命令の制御下で実行され得る。
[0048]特に、このインフラストラクチャ200は、いくつかの独特な特徴を含むことができる。例えば、様々な実施形態において、ルールエンジンフレームワーク240又はエンドポイントルールセット230に対するいかなる変更も必要とせず、ソースデータ構成要素210及びターゲットデータ構成要素220が、必要に応じて追加され、また削除され得る。様々な実施形態において、ルールエンジンフレームワーク240に対するいかなる変更も必要とせず、エンドポイントルールセット230が追加されるか又は削除され得る。様々な実施形態において、ルールエンジンフレームワーク240は、統御する時間ベースのルール、累積ルール、インパクトルールなどを提供するルールセット230に適用され得る挙動を定義する。
[0049]いくつかの実施形態において、エンドポイントルールセット230は、一般的であり得、新しいソースデータ提供元を追加することは、ルールセットがそのデータソースタイプ(アンチウィルスなど)用にすでに存在する場合、エンドポイントルールセット230が修正されるよう要求することを必要としない。様々な実施形態において、ルールエンジンフレームワーク240は、最下レベル(PC又はデバイスレベルなど)からずっと最上(ゾーン、現場など)まで集約され得る、集約リスクアセスメント値を計算するための特徴を提供する。様々な実施形態において、データは、個々の項目に分割され、リスク項目として特定される。リスク項目は、それらに適用された個々のリスク係数を有し、それにより、いくつかのリスク項目がその他より重要であるようにさせる。
[0050]いくつかの実施形態において、ルールエンジンも、リスクを計算する(ただデータを収集するだけに加えて)。様々な実施形態において、リスク計算は、ISO27005のリスク管理規格(ISO/IEC27005:2011)又はその他の規格に基づくことがある。
[0051]図2は、産業用プロセス制御及び自動化システム又はその他のシステムにおけるセキュリティ問題を特定するためのルールハンドリングインフラストラクチャ200の一例を示すが、図2に様々な変更がなされてもよい。例えば、構成要素210〜250の機能的分割及び各構成要素210〜250内の機能的分割は、単に例示のためのものである。様々な構成要素又は下位構成要素が組み合わされ、さらにより小さく分割され、再構成され、又は省略される可能性があり、追加の構成要素又は下位構成要素が、特定の必要性に従って追加される可能性がある。
[0052]図3は、以下に総称して「リスクマネージャシステム」と呼ばれる、説明される通りに行うように構成された、例えば、リスクマネージャ154、ルールハンドリングインフラストラクチャ200、又はその他のデバイスによって行われ得る、開示された実施形態によるプロセス300のフローチャートを示す。
[0053]リスクマネージャシステムは、コンピューティングシステム内の複数のデバイスの特性、及び複数のデバイスに関連した複数の事象を特定する情報を受信する(305)。いくつかの実施形態において、情報は、複数のデバイスに関連付けられ、それらからデータを収集するソースデータ構成要素から受信される。いくつかの実施形態において、情報は、その情報を、その情報のタイプに従って共通フォーマットにフォーマットする正規化構成要素により処理される。
[0054]リスクマネージャシステムは、複数のルールセットを使用して情報を分析する(310)。いくつかの実施形態において、リスクマネージャシステムはまた、分析に対応して、サイバーセキュリティリスク情報を1つ又は複数のターゲットデータ構成要素に伝送する。いくつかの実施形態において、リスクマネージャシステムはまた、分析に対応して、サイバーセキュリティリスク情報を、それぞれのターゲットデータ構成要素によって処理され得るフォーマットに変換する。いくつかの実施形態において、リスクマネージャシステムはまた、挙動を定義し、その挙動を複数のルールセットに適用し、複数のルールセットは、時間ベースのルール、累積ルール、及びインパクトルールのうちの少なくとも1つを含む。
[0055]リスクマネージャシステムは、分析に基づき、少なくとも1つのリスクアセスメント値を生成し、少なくとも1つのリスクアセスメント値は、複数のデバイスの少なくとも1つのサイバーセキュリティリスクを特定する(315)。いくつかの実施形態において、リスクマネージャシステムはまた、複数のデバイスの階層にわたってリスクアセスメント値を集約する。
[0056]リスクマネージャシステムは、少なくとも1つのリスクアセスメント値を格納し、それをユーザに表示する(320)。
[0057]ここに示されるリスクマネージャ154及び/又はルールハンドリングインフラストラクチャ200は、以下の先に出願された特許出願及び同時出願の特許出願(それらの全てが参照により本明細書に組み込まれる)に説明されている様々な特徴の任意の組合せ又は全てと共に使用又は動作する可能性があることに留意されたい。
・「DYNAMIC QUANTIFICATION OF CYBER−SECURITY RISKS IN A CONTROL SYSTEM(制御システムにおけるサイバーセキュリティリスクの動的定量化)」という名称の米国特許出願第14/482,888号
・「ANALYZING CYBER−SECURITY RISKS IN AN INDUSTRIAL CONTROL ENVIRONMENT(産業制御環境におけるサイバーセキュリティリスクの分析)」という名称の米国仮特許出願第62/036,920号
・「NOTIFICATION SUBSYSTEM FOR GENERATING CONSOLIDATED,FILTERED,AND RELEVANT SECURITY RISK−BASED NOTIFICATIONS(統合され、フィルタ処理された、該当するセキュリティリスクベースの通知を生成するための通知サブシステム)」という名称の米国仮特許出願第62/113,221号、及び当該出願と同時に出願された同様の名称(整理番号H0048937−0115)の対応する非仮米国特許出願第14/871,521号
・「TECHNIQUE FOR USING INFRASTRUCTURE MONITORING SOFTWARE TO COLLECT CYBER−SECURITY RISK DATA(インフラストラクチャ監視ソフトウェアを使用してサイバーセキュリティリスクデータを収集するための技法)」という名称の米国仮特許出願第62/113,100号、及び当該出願と同時に出願された同様の名称(整理番号H0048943−0115)の対応する非仮米国特許出願第14/871,855号
・「INFRASTRUCTURE MONITORING TOOL FOR COLLECTING INDUSTRIAL PROCESS CONTROL AND AUTOMATION SYSTEM RISK DATA(産業用プロセス制御及び自動化システムリスクデータを収集するためのインフラストラクチャ監視ツール)」という名称の米国仮特許出願第62/113,186号、及び当該出願と同時に出願された同様の名称(整理番号H0048945−0115)の対応する非仮米国特許出願第14/871,732号
・「PATCH MONITORING AND ANALYSIS(パッチ監視及び分析)」という名称の米国仮特許出願第62/113,165号、及び当該出願と同時に出願された同様の名称(整理番号H0048973−0115)の対応する非仮米国特許出願第14/871,921号
・「APPARATUS AND METHOD FOR AUTOMATIC HANDLING OF CYBER−SECURITY RISK EVENTS(サイバーセキュリティリスクイベントの自動ハンドリング用の装置及び方法)」という名称の米国仮特許出願第62/113,152号、及び当該出願と同時に出願された同様の名称(整理番号H0049067−0115)の対応する非仮米国特許出願第14/871,503号
・「APPARATUS AND METHOD FOR DYNAMIC CUSTOMIZATION OF CYBER−SECURITY RISK ITEM RULES(サイバーセキュリティリスク項目ルールの動的カスタマイゼーション用の装置及び方法)」という名称の米国仮特許出願第62/114,928号、及び当該出願と同時に出願された同様の名称(整理番号H0049099−0115)の対応する非仮米国特許出願第14/871,605号
・「APPARATUS AND METHOD FOR PROVIDING POSSIBLE CAUSES,RECOMMENDED ACTIONS,AND POTENTIAL IMPACTS RELATED TO IDENTIFIED CYBER−SECURITY RISK ITEMS(特定されたサイバーセキュリティリスク項目に関連した考えられる原因、推奨される動作、及び潜在的なインパクトを提供するための装置及び方法)」という名称の米国仮特許出願第62/114,865号、及び当該出願と同時に出願された同様の名称(整理番号H0049103−0115)の対応する非仮米国特許出願第14/871,814号
・「APPARATUS AND METHOD FOR TYING CYBER−SECURITY RISK ANALYSIS TO COMMON RISK METHODOLOGIES AND RISK LEVELS(サイバーセキュリティリスク分析を共通リスク方法論及びリスクレベルに結び付けるための装置及び方法)」という名称の米国仮特許出願第62/114,937号、及び当該出願と同時に出願された同様の名称(整理番号H0049104−0115)の対応する非仮米国特許出願第14/871,136号
・「RISK MANAGEMENT IN AN AIR−GAPPED ENVIRONMENT(空隙環境におけるリスク管理)」という名称の米国仮特許出願第62/116,245号、及び当該出願と同時に出願された同様の名称(整理番号H0049081−0115)の対応する非仮米国特許出願第14/871,547号
[0058]いくつかの実施形態において、本特許書類において説明された様々な機能が、コンピュータ可読プログラムコードから形成され、かつコンピュータ可読媒体に埋め込まれたコンピュータプログラムによって実装又はサポートされる。「コンピュータ可読プログラムコード」という成句は、ソースコード、オブジェクトコード、及び実行可能コードを含む、任意のタイプのコンピュータコードを含む。「コンピュータ可読媒体」という成句は、読み取り専用メモリ(ROM:Read Only Memory)、ランダムアクセスメモリ(RAM:Random Access Memory)、ハードディスクドライブ、コンパクトディスク(CD:Compact Disc)、デジタルビデオディスク(DVD:Digital Video Disc)、又は任意のその他のタイプのメモリなどの、コンピュータによってアクセスされることが可能な任意のタイプの媒体を含む。「非一時的」コンピュータ可読媒体は、一時的電気信号又はその他の信号を伝送する、有線、無線、光、又はその他の通信リンクを含まない。非一時的コンピュータ可読媒体は、データが永続的に格納され得る媒体と、書き換え可能光ディスク又は消去可能メモリデバイスなどの、データが格納され、後で上書きされることが可能な媒体を含む。
[0059]本特許書類を通して使用されるいくつかの単語及び成句の定義を示すことは有益であり得る。「アプリケーション」及び「プログラム」という用語は、1つ又は複数のコンピュータプログラム、ソフトウェア構成要素、命令セット、手順、機能、オブジェクト、クラス、インスタンス、関連データ、又は適切なコンピュータコード(ソースコード、オブジェクトコード、又は実行可能コードを含む)での実装形態に適合されるそれらの一部を指す。「communicate(通信する)」という用語及びそれの派生語は、直接、間接両方の通信を含む。「include(含む)」、「comprise(含む、備える)」という用語、及びそれらの派生語は、制限なしの包含を意味する。「or(又は)」という用語は、包含的であり、「and/or(及び/又は)」を意味する。「associated with(に関連する)」という成句及びそれの派生語は、含む、〜内に含まれる、〜と相互接続する、包含する、〜内に包含される、〜に又は〜と接続する、〜に又は〜と結合する、〜と通信可能である、〜と連携する、相互配置する、並置する、〜に近接する、〜に又は〜と結び付けられる、有する、〜の特性を有する、〜への又は〜との関係を有する、あるいは同様のものを含むことを意味し得る。「at least one of(少なくとも1つの)」という成句は、項目リストで使用される場合、列挙された項目のうちの1つ又は複数の種々の組合せが使用され得る、またリスト内のただ1つの項目が必要とされ得ることを意味する。例えば、「at least one of: A,B,and C(A、B、及びCのうちの少なくとも1つの)」は、A、B、C、AとB、AとC、BとC、AとBとCの組合せのうちのいずれかを含む。
[0060]本開示は、特定の実施形態と、それに一般に関連する方法を説明したが、これらの実施形態及び方法の修正、置換が、当業者には明らかであろう。従って、例示的な実施形態の上の説明は、本開示を定義又は制約するものではない。その他の変更、代用、及び修正もまた、以下の特許請求の範囲によって定義されるような、本開示の趣旨及び範囲から外れない限り、可能である。

Claims (15)

  1. コンピューティングシステム(100)内の複数のデバイス(130、132、134)の特性、及び前記複数のデバイスに関連した複数の事象を特定する情報を受信するステップ(305)と、
    複数のルールセット(230)を使用して、前記情報を分析するステップ(310)と、
    前記分析に基づき、少なくとも1つのリスクアセスメント値を生成するステップ(315)であって、前記少なくとも1つのリスクアセスメント値が、前記複数のデバイスの少なくとも1つのサイバーセキュリティリスクを特定する、ステップ(315)と、
    ユーザインタフェース(250)に前記少なくとも1つのリスクアセスメント値を表示するステップ(320)とを含む方法。
  2. 前記情報が、前記複数のデバイスに関連付けられ、かつそれらからデータを収集するソースデータ構成要素(210)から受信される、請求項1に記載の方法。
  3. 前記情報が、前記情報を、前記情報のタイプに従って共通フォーマットにフォーマットする正規化構成要素(214)によって処理される、請求項1に記載の方法。
  4. 前記分析に対応して、サイバーセキュリティリスク情報を1つ又は複数のターゲットデータ構成要素(220)に伝送するステップをさらに含む、請求項1に記載の方法。
  5. 前記分析に対応して、サイバーセキュリティリスク情報を、それぞれのターゲットデータ構成要素(220)によって処理され得るフォーマットに変換するステップをさらに含む、請求項1に記載の方法。
  6. 挙動を定義し、前記挙動を前記複数のルールセット(230)に適用するステップであって、前記複数のルールセットが、時間ベースのルール、累積ルール、及びインパクトルールのうちの少なくとも1つを含む、ステップをさらに含む、請求項1に記載の方法。
  7. 前記複数のデバイス(130、132、134)の階層にわたってリスクアセスメント値を集約するステップをさらに含み、前記リスクアセスメント値がユーザ定義可能な構成データに従って重み付けされる、請求項1に記載の方法。
  8. コントローラ(156)と、
    ディスプレイ(250)とを備え、
    コンピューティングシステム(100)内の複数のデバイス(130、132、134)の特性、及び前記複数のデバイスに関連した複数の事象を特定する情報を受信するステップ(305)と、
    複数のルールセット(230)を使用して前記情報を分析するステップ(310)と、
    前記分析に基づき、少なくとも1つのリスクアセスメント値を生成するステップ(315)であって、前記少なくとも1つのリスクアセスメント値が前記複数のデバイスの少なくとも1つのサイバーセキュリティリスクを特定する、ステップ(315)と、
    ユーザインタフェース(250)に前記少なくとも1つのリスクアセスメント値を表示するステップ(320)とを行うように構成される、リスクマネージャシステム。
  9. 前記情報が、前記複数のデバイスに関連付けられ、かつそれらからデータを収集するソースデータ構成要素(210)から受信される、請求項8に記載のリスクマネージャシステム。
  10. 前記情報が、前記情報を、前記情報のタイプに従って共通フォーマットにフォーマットする正規化構成要素(214)によって処理される、請求項8に記載のリスクマネージャシステム。
  11. 前記リスクマネージャシステムがまた、前記分析に対応して、サイバーセキュリティリスク情報を1つ又は複数のターゲットデータ構成要素(220)に伝送する、請求項8に記載のリスクマネージャシステム。
  12. 前記リスクマネージャシステムがまた、前記分析に対応して、サイバーセキュリティリスク情報を、それぞれのターゲットデータ構成要素(220)によって処理され得るフォーマットに変換する、請求項8に記載のリスクマネージャシステム。
  13. 前記リスクマネージャシステムがまた、挙動を定義し、前記挙動を前記複数のルールセット(230)に適用し、前記複数のルールセットが、時間ベースのルール、累積ルール、及びインパクトルールのうちの少なくとも1つを含む、請求項8に記載のリスクマネージャシステム。
  14. 前記リスクマネージャシステムがまた、前記複数のデバイス(130、132、134)の階層にわたってリスクアセスメント値を集約し、前記リスクアセスメント値がユーザ定義可能な構成データに従って重み付けされる、請求項8に記載のリスクマネージャシステム。
  15. 実行されると、リスクマネージャシステムの1つ又は複数のプロセッサに、
    コンピューティングシステム(100)内の複数のデバイス(130、132、134)の特性、及び前記複数のデバイスに関連した複数の事象を特定する情報を受信するステップ(305)と、
    複数のルールセット(230)を使用して、前記情報を分析するステップ(310)と、
    前記分析に基づき、少なくとも1つのリスクアセスメント値を生成するステップ(315)であって、前記少なくとも1つのリスクアセスメント値が、前記複数のデバイスの少なくとも1つのサイバーセキュリティリスクを特定する、ステップ(315)と、
    ユーザインタフェース(250)に前記少なくとも1つのリスクアセスメント値を表示するステップ(320)とを行わせる、実行可能命令で符号化された非一時的機械可読媒体(158)。
JP2017541599A 2015-02-06 2016-02-02 システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジン Pending JP2018507641A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562113075P 2015-02-06 2015-02-06
US62/113,075 2015-02-06
US14/871,695 US20160234240A1 (en) 2015-02-06 2015-09-30 Rules engine for converting system-related characteristics and events into cyber-security risk assessment values
US14/871,695 2015-09-30
PCT/US2016/016159 WO2016126700A1 (en) 2015-02-06 2016-02-02 Rules engine for converting system-related characteristics and events into cyber-security risk assessment values

Publications (1)

Publication Number Publication Date
JP2018507641A true JP2018507641A (ja) 2018-03-15

Family

ID=56564597

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017541599A Pending JP2018507641A (ja) 2015-02-06 2016-02-02 システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジン

Country Status (6)

Country Link
US (1) US20160234240A1 (ja)
EP (1) EP3254413A4 (ja)
JP (1) JP2018507641A (ja)
CN (1) CN107431713B (ja)
AU (1) AU2016215503B2 (ja)
WO (1) WO2016126700A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107797869A (zh) * 2017-11-07 2018-03-13 携程旅游网络技术(上海)有限公司 数据流风险控制方法、装置、电子设备、存储介质
JP6901979B2 (ja) * 2018-02-21 2021-07-14 株式会社日立製作所 セキュリティ評価サーバおよびセキュリティ評価方法
US20190318095A1 (en) * 2018-04-17 2019-10-17 Conocophillips Company Anti-virus device for industrial control systems
US11184384B2 (en) * 2019-06-13 2021-11-23 Bank Of America Corporation Information technology security assessment model for process flows and associated automated remediation
CN111353892A (zh) * 2020-03-31 2020-06-30 中国建设银行股份有限公司 交易风险监控方法及装置
US20230291764A1 (en) * 2022-03-11 2023-09-14 Proofpoint, Inc. Content-based socially-engineered threat classifier

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7287280B2 (en) * 2002-02-12 2007-10-23 Goldman Sachs & Co. Automated security management
KR100623552B1 (ko) * 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
US7743421B2 (en) * 2005-05-18 2010-06-22 Alcatel Lucent Communication network security risk exposure management systems and methods
US20080047016A1 (en) * 2006-08-16 2008-02-21 Cybrinth, Llc CCLIF: A quantified methodology system to assess risk of IT architectures and cyber operations
WO2011063269A1 (en) * 2009-11-20 2011-05-26 Alert Enterprise, Inc. Method and apparatus for risk visualization and remediation
US10027711B2 (en) * 2009-11-20 2018-07-17 Alert Enterprise, Inc. Situational intelligence
US8712596B2 (en) * 2010-05-20 2014-04-29 Accenture Global Services Limited Malicious attack detection and analysis
US20120011077A1 (en) * 2010-07-12 2012-01-12 Bhagat Bhavesh C Cloud Computing Governance, Cyber Security, Risk, and Compliance Business Rules System and Method
US20130247205A1 (en) * 2010-07-14 2013-09-19 Mcafee, Inc. Calculating quantitative asset risk
US10805331B2 (en) * 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US9092616B2 (en) * 2012-05-01 2015-07-28 Taasera, Inc. Systems and methods for threat identification and remediation
US10026049B2 (en) * 2013-05-09 2018-07-17 Rockwell Automation Technologies, Inc. Risk assessment for industrial systems using big data
US9516041B2 (en) * 2013-07-25 2016-12-06 Bank Of America Corporation Cyber security analytics architecture
US10104109B2 (en) * 2013-09-30 2018-10-16 Entit Software Llc Threat scores for a hierarchy of entities
US9401926B1 (en) * 2013-10-31 2016-07-26 Fulcrum IP Services, LLC System and method for implementation of cyber security
CN103716177A (zh) * 2013-11-18 2014-04-09 国家电网公司 安全风险评估方法和装置
GB2520987B (en) * 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
US9712555B2 (en) * 2014-12-03 2017-07-18 Phantom Cyber Corporation Automated responses to security threats

Also Published As

Publication number Publication date
AU2016215503B2 (en) 2020-03-12
AU2016215503A1 (en) 2017-08-17
CN107431713A (zh) 2017-12-01
CN107431713B (zh) 2021-09-28
EP3254413A1 (en) 2017-12-13
EP3254413A4 (en) 2018-09-12
WO2016126700A1 (en) 2016-08-11
US20160234240A1 (en) 2016-08-11

Similar Documents

Publication Publication Date Title
US20160234242A1 (en) Apparatus and method for providing possible causes, recommended actions, and potential impacts related to identified cyber-security risk items
CN107431716B (zh) 用于生成合并的、经过滤的和基于相关安全风险的通知的通知子系统
US9800604B2 (en) Apparatus and method for assigning cyber-security risk consequences in industrial process control environments
JP2018507641A (ja) システム関連の特性及び事象をサイバーセキュリティリスクアセスメント値に変換するためのルールエンジン
CN108293074B (zh) 用于在物联网(iot)边缘器械中使用分布式系统架构(dsa)的装置和方法
CN107534654B (zh) 用于将网络安全风险分析连结到常见风险方法论和风险水平的装置和方法
CN110520810B (zh) 用于监测分布式工业控制系统的灵活分级模型
US10075475B2 (en) Apparatus and method for dynamic customization of cyber-security risk item rules
US20150066163A1 (en) System and method for multi-domain structural analysis across applications in industrial control and automation system
EP3338225A1 (en) System and method for providing multi-site visualization and scoring of performance against service agreement
JP2018504716A (ja) サイバーセキュリティリスク事象の自動ハンドリング用の装置及び方法
AU2016218274B2 (en) Risk management in an air-gapped environment
JP2018510544A (ja) インフラストラクチャ監視ソフトウェアを使用してサイバーセキュリティリスクデータを収集するための技法
CN107408184B (zh) 补丁监测和分析
AU2018258344A1 (en) Risk analysis to identify and retrospect cyber security threats
US20180314575A1 (en) Inferred detection of data replication errors of source applications by enterprise applications
WO2017031165A1 (en) System and method for providing high-level graphical feedback related to overall site performance and health
CN110506410B (zh) 没有范围限制的身份标识衍生的主关键字的复制