JP2018516419A - 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム - Google Patents
標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム Download PDFInfo
- Publication number
- JP2018516419A JP2018516419A JP2018505577A JP2018505577A JP2018516419A JP 2018516419 A JP2018516419 A JP 2018516419A JP 2018505577 A JP2018505577 A JP 2018505577A JP 2018505577 A JP2018505577 A JP 2018505577A JP 2018516419 A JP2018516419 A JP 2018516419A
- Authority
- JP
- Japan
- Prior art keywords
- threat information
- item
- local
- repository
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 54
- 230000000694 effects Effects 0.000 claims description 31
- 230000009471 action Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 230000008439 repair process Effects 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 2
- 230000002265 prevention Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 14
- 230000006399 behavior Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 7
- 238000012512 characterization method Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000005067 remediation Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 210000000987 immune system Anatomy 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000013442 quality metrics Methods 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
識別されたサイバー脅威情報を標準化された安全なフォーマットで共有するためのコンピュータ化されたシステム及び方法である。サイバー脅威情報の共有により、悪意のある者が採用した方法が用いられる可能性のある標的に伝えることにより、そのようなサイバー攻撃を悪意のある者が複製することを防ぎ、方法に対する防止手段の実行を手助けする。標準化されたフォーマットでサイバー脅威情報分配することで、このシステム及び方法により、加入エンティティが自動的に分析し、他の加入エンティティにより共有されるサイバー脅威情報に対する防止手段を実行することが可能になる。このシステム及び方法によりまた、共有している脅威情報及び共有しているエンティティを、エンティティのセキュリティ及び高い評価を保持するために、安全な方法で管理する。【選択図】図3
Description
(関連出願の相互参照)
本特許出願は、2015年4月17日出願の米国仮特許出願番号62/149,121について、35U.S.C.セクション119(e)に基づく利益を受けるものであり、そのすべてを本出願に組み込むものとする。
本特許出願は、2015年4月17日出願の米国仮特許出願番号62/149,121について、35U.S.C.セクション119(e)に基づく利益を受けるものであり、そのすべてを本出願に組み込むものとする。
本発明は、公共施設が標準化されたフォーマットでサイバー脅威情報を安全に交換し、分配し、そして受け取るようにするためのコンピュータで実施されるシステム及び方法に関する。より詳しくは、本発明は、a)サイバー脅威情報を分散型ローカルリポジトリ同士で直接的に安全に交換させるのみならず、中央リポジトリと分散型ローカルリポジトリとの間で安全に交換させるシステム、及び、b)サイバー脅威情報を公共施設同士で安全に交換させる標準化された方法に関する。
過去数十年にわたって、公共施設も個人も含めて、世界経済は、ますますコンピュータ化されたシステムに依存するようになってきている。毎日コンピュータシステム及びユーザにより作られるデータ量は、すでに大量になっており(2012年では、1日当たり約2.5エクサバイト)、個人及び公共施設のコンピュータシステムへの依存は、最近の携帯デバイス、クラウドコンピューティング、及びいわゆる「モノのインターネット」によりさらに増大すると見込まれている。
このようにコンピュータの能力が増大することで生産性及び効率が上がるという利点がある一方、(ハッカー、サイバー犯罪者、巧妙な組織化された犯罪集団、及びテロリストを含む)悪事を働く者に対する動機づけも増大させている。これらの悪事を働く者は、さまざまな理由により、コンピュータ化されたシステムのセキュリティをしばしば破ろうとする。例えば、このような悪事を働く者は、個人情報の着服、企業からの企業秘密の取得、政府の秘密事項や軍事機密の暴露、或いは、公共施設の重要な構造基盤への危害をもくろむことがある。
このようなサイバー脅威は、数が増えているだけでなく、その複雑性や影響力も大きくなっている。「クラウド中の」リポジトリにデータを置いている公共施設は、情報を盗まれる可能性及び、単一のリポジトリにアクセス権を得たハッカーにより危機に陥る可能性に直面している。従業員に安全なコンピュータ化されたシステムにアクセスすることのできるパーソナル携帯デバイスを使うことを許可している会社は、これら個人のパーソナルスマートフォンに導入された有害ソフトに対して脆弱性を有する。サイバー攻撃により加えられる潜在的な損害の可能性が増大しているので、悪意のあるエンティティによりそのような攻撃を加える方法もまた増えている。
個人や公共施設が直面しているサイバー攻撃の脅威は、深刻なものとなる可能性があると思われる一方、悪意のある者に対する防御は単純なものとすることができる。すなわち、対象となる個人と公共施設との間でサイバー脅威情報を公然と共有することである。サイバー脅威情報を共有し分配するシステムは、一人のメンバーにより検出されたサイバー攻撃の攻撃源及び攻撃方法を共有することで「免疫システム」としての役割を果たすことができ、システムの残りのメンバーにはこのようなサイバー脅威に対して「予防接種」を行うことができることになる。例えば、悪意のあるIPアドレスを情報共有システムの他のユーザに分配することができ、このユーザはこのIPアドレスが自分たちのネットワークにアクセスすることを防止することができる。検出されたマルウェアのファイルネームの一部を他の会社と共有することができ、他の会社は従業員にこの悪意のあるソフトウェアをパーソナル機器にダウンロード又はインストールしないよう警告することができる。従って、サイバー攻撃が成功しても、この成功した攻撃についての情報を共有することは、サイバー攻撃を行った者の将来行おうとする企てを検出し防止することの手助けとなる。
脅威の共有という概念は単純であると思われる一方、脅威情報の共有を通じてサイバー脅威に効果的に立ち向かうシステム及び方法を実装する試みは不十分であった。例えば、米国国土安全保障省のCybersecurity and Information Sharing and Collaboration Program(CISCP)は、現時点のセキュリティの脅威及びシステムの脆弱性、システムへの脅威に立ち向かい処置する方法、及び一般大衆への最良のプラクティスについて共有する文書を発行することで、サイバー脅威に立ち向かおうとしてきた。CISCPの提言は有益であるが、エンティティは、各文書に記載された脅威に対して手動で対処しなければならず、特定した修復方法を手動で実行しなければならず、時間とコストの掛かる処理となっている。1つのCISCP情報文書を処理するために平均7時間かかり、全CISCP情報文書を処理するために1つの施設当たり数千万ドルのコストが必要と見積もられている。その結果、参加しているエンティティは、CISCPにより発行されたサイバー脅威の一部に対して処理し防止しているのみである。
既存のサイバー脅威共有ネットワークの他の例として、Research and Education Networking Information Sharing and Analysis Center(REN−ISAC)があり、研究及び高等教育施設の国際的な共同体である。残念ながら、REN−ISACのメンバーである単科大学や総合大学は、REN-ISACは、標準化されたフォーマットで脅威情報を共有していないので、CISCPのように脅威情報を自動的に共有し処理するようになっていない。メンバーである学校は、好みのどのような独自のフォーマットででも脅威情報を共有することができ、他のメンバーである施設に各脅威情報を手動で処理し作用させるという時間のかかる処理を強要する。
組織が直面する増大するサイバー脅威を手動で処理するコスト(時間資源および経済資源の両方)が増大しているので、特定されたサイバー脅威に対する防衛的対策の実行のみならず、サイバー脅威情報の共有及び処理を自動化する方法が必要とされている。脅威情報共有システムを自動化することにより、これらのコンピュータ化したシステムの力が、脅威となる悪意を持つエンティティに対して発揮される。同時に、しかしながら、サイバー脅威による攻撃は細心の注意を払うべき特性を有するので、施設や個人は、細心の注意を払うべきプライバシー、セキュリティ、及び、世評に損傷を与えるのを防止するために、共有すべき検出されたサイバー脅威、脅威の共有方法、共有している他のエンティティについて制御する能力を有することが望ましい。
本発明は、特定の実施の形態において、観測された事象又は特性を共通言語で記述する第1の項目を、脅威情報を保存し分配するための第1のリポジトリにて作成するステップと、脅威情報を保存し分配するための少なくとも1つの他のリポジトリに前記第1の項目を分配するステップとを含む、脅威情報を分配するためのコンピュータ化された方法を指向するものである。
本発明の特定の実施の形態において、前記第1の項目を作成するステップには、前記観測された事象又は特性を前記第1のリポジトリのカスタマイズされた言語で記述する既存の項目を、前記観測された事象又は特性を前記共通言語で記述する前記第1の項目に変換するステップが含まれる。
本発明の特定の実施の形態において、前記コンピュータ化された方法には、脅威情報を保存し分配するための少なくとも1つの他のリポジトリにおいて、前記観測された事象又は特性を前記少なくとも1つの他のリポジトリのカスタマイズされた言語で記述する第2の項目に、前記第1の項目を変換するステップがさらに含まれる。
本発明の特定の実施の形態において、前記共通言語STIX言語であり、前記第1の項目は、TAXII仕様に従い分配される。本発明のさらなる特定の実施の形態において、前記第1の項目は、例えば、観測された事象又は特性、対応する観測された活動のパターン、前記観測された事象又は特性に関連づけられた一連の関連するシステム又はネットワーク活動、観測可能な事象又は特性を引き起こすエンティティの振る舞い又はやり方の説明、前記観測可能な事象又は特性の潜在的な被害者の脆弱性、弱点、又は、構成上の問題、前記観測可能な事象又は特性による影響を防止し、緩和し、修復するためにとることのできる特定のアクション、前記観測可能な事象又は特性を引き起こすエンティティにより実施される関連する活動、及び、前記観測可能な事象又は特性の原因を引き起こすエンティティ、についての記述を含有する。
本発明の特定の実施の形態において、前記第1の項目を分配するステップには、前記第1の項目を他の複数のリポジトリに伝送するステップが含まれ、前記第1のリポジトリ及び前記他の複数のリポジトリは、アクセス管理グループのメンバーである。
本発明の特定の実施の形態において、前記コンピュータ化された方法には、少なくとも1つの他のリポジトリにおいて、前記第1の項目を手動分析または自動分析するステップが含まれる。本発明のさらなる実施の形態において、前記第1の項目を自動分析するステップには、前記観測された事象又は特性に対する応答を実行するか否かを自動的に決定するステップが含まれる。
本発明の特定の実施の形態において、前記コンピュータ化された方法には、前記脅威情報を保存し分配するための前記第1のリポジトリにおいて、複数の観測された事象又は特性を分析するステップがさらに含まれる。本発明のさらなる特定の実施の形態において、前記コンピュータ化された方法には、前記複数の観測された事象又は特性を記述する複数の項目を分析することにより、異なるタイプの情報のグループから少なくとも1つの情報について判断するステップがさらに含まれ、前記異なるタイプの情報には、例えば、前記観測された事象又は特性のうち少なくとも1つを引き起こすエンティティの振る舞い又はやり方の説明、前記観測された事象又は特性のうち少なくとも1つ被害者の脆弱性、弱点、又は、構成上の問題、前記観測された事象又は特性のうち少なくとも1つによる影響を防止し、緩和し、修復するためにとることのできる特定のアクション、前記観測された事象又は特性のうち少なくとも1つを引き起こすエンティティ、及び将来観測される事象又は特性のうち少なくとも1つの予測が含まれる。本発明のさらなる特定の実施の形態において、前記コンピュータ化された方法には、前記少なくとも1つの情報を前記複数の項目のうちの少なくとも1つに追加するステップがさらに含まれる。
本発明の特定の実施の形態において、前記コンピュータ化された方法には、前記観測された事象又は特性を記述する前記第1の項目に品質基準を割り当てるステップがさらに含まれる。本発明のさらなる特定の実施の形態において、信頼性基準は、自動的に割り当てられ、そして、前記観測された事象又は特性を記述する前記第1の項目の作成を引き起こすエンティティの正体、前記観測された事象又は特性のタイプ、前記観測された事象又は特性に関連付けられた関連する一連のシステム又はネットワーク活動、及び、前記観測された事象又は特性の原因を引き起こすエンティティのうちの少なくとも1つに基づく。
本発明は、特定の実施の形態において、脅威情報を保存し分配するためのコンピュータ化されたシステムを指向するものであり、前記システムには、脅威情報を保存し分配するための中央リポジトリ、脅威情報を保存し分配するための複数のローカルリポジトリ、及び、前記中央リポジトリと前記複数のローカルリポジトリとを接続するネットワークが含まれ、前記ネットワークは、脅威情報の項目を前記複数のローカルリポジトリのうちの少なくとも1つから前記中央リポジトリへ伝送し、そして、脅威情報の項目を前記中央リポジトリから前記複数のローカルリポジトリのうちの少なくとも1つへ伝送する。
本発明の特定の実施の形態において、脅威情報を保存し分配するための前記中央リポジトリは、例えば、脅威情報を前記中央リポジトリに伝送するメーカー独自のフィード、脅威情報を前記中央リポジトリに伝送する公的なフィード、及び脅威情報を前記中央リポジトリに伝送する政府のフィードのうちの少なくとも1つと接続されている。
本発明の特定の実施の形態において、脅威情報を保存し分配するための前記複数のローカルリポジトリは、例えば、脅威情報を前記中央リポジトリに伝送するメーカー独自のフィード、脅威情報を前記中央リポジトリに伝送する公的なフィード、及び脅威情報を前記中央リポジトリに伝送する政府のフィードのうちの少なくとも1つと接続されている。
本発明の特定の実施の形態において、前記複数のローカルリポジトリのうちの第1の1つは、脅威情報の項目のうちの少なくとも1つを前記ネットワークを通じて前記中央リポジトリを介して前記複数のローカルリポジトリのうちの少なくとも第2の1つに伝送する。
本発明の特定の実施の形態において、前記複数のローカルリポジトリのうちの第1の1つは、脅威情報のうちの少なくとも1つを前記ネットワークを通じて、直接、前記複数のローカルリポジトリのうちの第2の1つに伝送する。
本発明は、特定の実施の形態において、自動的に脅威情報を交換するためのコンピュータ化されたシステムを指向するものであり、少なくとも1つのマルチコアプロセッサを具備する集中型サーバーであって、前記集中型サーバーは、複数の集中化された脅威情報を含有する中央リポジトリを司り、前記中央リポジトリMongoDBデータベースを具備し、前記集中型サーバーは、SSL認証を有することを特徴とする集中型サーバーと、複数の分散サーバーであって、前記分散サーバーの各々は、複数の局部的な脅威情報を含有するローカルリポジトリを司り、前記集中型サーバーは、SSL暗号化を用いて、前記複数の集中化された脅威情報のうちの少なくとも一部を前記複数の局部的な脅威情報の少なくとも一部と交換することで、前記複数の分散サーバーの各々と同期することを特徴とする分散サーバーとを含む。
特定の実施の形態において、前記複数の分散サーバーのうちの少なくとも第1の分散サーバーもまた、SSL暗号化を用いて、前記第1の分散サーバーのローカルリポジトリからの前記複数の局部的な脅威情報のうちの一部を前記第2の分散サーバーのローカルリポジトリからの前記複数の局部的な脅威情報のうちの一部と交換することで、前記複数の分散サーバーのうちの少なくとも第2の分散サーバーと同期する。
本発明は、特定の実施の形態において、安全に脅威情報を交換する方法を指向するものであり、第1の分散サーバーにて、マシンリーダブル言語にて脅威情報の第1の項目を入力するステップと、前記第1の分散サーバーのTAXIIインターフェースにて、脅威情報の前記第1の項目を前記マシンリーダブル言語から前記STIX言語に変換するステップと、前記第1の分散サーバーのTAXIIインターフェースにて、前記変換された脅威情報の第1の項目を、SSL暗号化を用いて、集中化されたサーバーに伝送するステップと、暗号化された脅威情報の第2の項目を受け取るステップであって、前記第2の項目は、STIX言語によるものであり、SSL暗号化を用いて暗号化がなされていることを特徴とするステップと、前記STIX言語による前記第2の項目のXMLスキーマを検証するステップと、前記STIX言語による暗号化された前記第2の項目を分析するステップと、前記第2の項目を前記STIXフォーマットからマシンリーダブルフォーマットに変換するステップと、前記変換された第2の項目をローカルリポジトリに挿入するステップであって、前記ローカルリポジトリはMongoDBデータベースであることを特徴とするステップと、を含む。
上述したように、REN‐ISACやCISCPのような例示した脅威情報を共有するための既存の関連付けでは、脅威情報を第1の手動の処理により処理し、処理した脅威情報を(通常、カスタマイズされた又は独自の言語又はフォーマットでメンバーに)分配することで、関連性を共有する他のメンバーと脅威情報を共有する。これらの他のメンバーは、次に、受け取った脅威情報をカスタマイズされた言語から他のメンバーのシステムが理解できる1以上の言語に変換しなければならない。
本発明は、複数の異なるリポジトリに脅威情報を保存し分配するためのコンピュータ化された方法及びシステムを指向するものであり、前記情報は、共通言語でそのリポジトリに分配されリポジトリの間で交換される。共通言語で脅威情報を分配することにより、異なるリポジトリを操作するメンバー個人、公共施設、組織、会社、及び、機関は、サイバー脅威情報の自動化された共有を通じてより効率的にサイバー攻撃の影響を防止し和らげることが出来る。そのようなシステムの1つは、Financial Services−Information Sharing and Analysis Center(FS−ISAC)のサイバー情報リポジトリである。このリポジトリは、https://www.fsisac.com/sites/default/files/Avalanche%20One-Sheet%2020Nov2013.pdfで入手可能であり、参照としてすべてを本願に組み込むこととした「Cyber Intelligence Sharing Vision」で記述されている。
すでに生じたサイバー攻撃のタイプ、攻撃をどのように検出し認識することが出来るか、このような攻撃を(まだ生じていない場合は)防止することが出来るか、又は(もう生じている場合は)緩和することが出来るかを明確にすることにより、脅威情報共有システムのメンバーエンティティは、これらの攻撃により生じる損害を限定すること、又は(理想的な状況では)このようなことが全く生じないようにすることが出来る。同様に、脅威となる悪意のある者、その対象と目的、(歴史的に用いてきた方策、技術、及び、手法における形態の)その能力、及び、それらの悪意のある者が標的とする弱点のタイプ、誤った設定、又は弱点を明確にすることにより、メンバーエンティティは、予想される脅威及び脅威の背後にある悪意のある者を特定することによりとるべき防御手段の優先順位を付けることが出来る。
本発明のいくつかの実施の形態において、脅威情報を共有するためのシステム及び方法は完全に自動化され、他のエンティティにより受け取られた脅威情報を自動的に識別し、フィルタリングし、そして、適切に対応するだけでなく、(行動のパターンを認識することにより)将来の脅威を予測してあらかじめ対処し、システム内で脅威が実行される前に適切な防止及び防御手段を適用することが出来る。
図1は、「ハブアンドスポークシステム」として知られている本発明の脅威情報共有システム及び方法の第1の特定の例示的実施の形態100を示す。このタイプのシステム100において、1以上の中央リポジトリ102と複数のユーザ104a、104b、104c、及び104dは、共通言語で脅威情報の項目と通信し、これらの脅威情報の項目を共通の仕様に従い分配する。
1以上の中央リポジトリ102は、それぞれ1以上のサーバーで動作することが出来る。本発明のいくつかの実施の形態において、各サーバーは少なくとも1つのマルチコアプロセッサを動作させる。本発明のいくつかの実施の形態において、中央リポジトリ102は、1以上のサーバーにロードされ動作するソフトウェアイメージである。
本発明のいくつかの実施の形態において、中央リポジトリ102は、ドキュメント指向のNoSQLデータベースである。本発明の特定の実施の形態において、ドキュメント指向のNoSQLデータベースはMongoDBデータベースである。
「ハブアンドスポーク」スタイルのシステム100において、システムは、中央リポジトリ102に加えて、複数のメンバーエンティティ104a、104b、104c、及び104dを動作させる。本発明の実施の形態において、中央リポジトリ102は集中化されたサーバーで動作し、メンバーエンティティ104a、104b、104c、及び104dは、1以上の分散サーバーで動作し、インターネットのようなネットワークを介して中央リポジトリに接続される。
システム100中のローカルエンティティ104a、104b、104c、及び104dには、個人、会社、政府機関、及び、団体が含まれる。ローカルエンティティ104a、104b、104c、及び104dの各々は、それぞれ1以上のセンサー及び制御装置106a、106b、106c、及び106dから脅威情報の項目を受け取る。本発明の特定の実施の形態において、これらのセンサー及び制御装置106a、106b、106c、及び106dは、リアルタイムに既知の及び未知のサイバー攻撃及び事象を監視し、特定し、場所を示すことが出来るセキュリティ情報及び事象管理(SIEM)技術である。そのような監視の例として、不法侵入、異常、脆弱性の検出が含まれる。
SIEMセンサー及び制御装置106a、106b、106c、及び106dが事象又は特性を観測すると、本発明の特定の実施の形態において、これらのSIEMセンサー及び制御装置106a、106b、106c、及び106dは、特定のローカルエンティティにより用いられるマシン・リーダブルなカスタマイズされた言語にてこれらの事象又は特性を記述する脅威情報の1以上の項目を作成する。脅威情報のこれらの項目は、ローカルエンティティ104a、104b、104c、及び104dにて自動又は手動にて作成されさらに詳細なメタデータをローカルエンティティ104a、104b、104c、及び104dにより作成された情報の特定の項目に付け加えることが出来る。
これらの情報の1以上の項目を作成した後、ローカルエンティティ104a、104b、104c、及び104dは、これらの脅威情報の項目を脅威情報の項目を記述するためにマシン・リーダブルなカスタマイズされた言語からシステム100により用いられる共通言語に変換する。いったん変換されると、脅威情報の項目は、情報の伝送のための共通仕様に従い各ローカルエンティティ104a、104b、104c、及び104dから集中化されたリポジトリ102に伝送される。
本発明の特定の実施の形態において、脅威情報の項目は、情報の伝送のための共通仕様及び暗号プロトコルに従い伝送される。本発明の実施の形態において、脅威情報の伝送の間にシステム100により用いられる暗号プロトコルはセキュア・ソケット・レイヤー(SSL)、又は、トランスポート層セキュリティ(TLS)であり、中央リポジトリ102は、SSL又はTLS認証を有する集中化されたサーバーにて動作する。
脅威情報の項目を受け取った後、本発明の特定の実施の形態において、集中化されたリポジトリ102は、共通言語で記述された脅威情報の1以上の項目のXMLスキーマを有効にし、次いで受け取った脅威情報の項目をフィルタリングし分析する。特定の実施の形態において、フィルタリングには、重複し、又は不正確な、又は破損した脅威情報の項目を除去し、系統化し、構造化し、中央リポジトリ102に保存するために受け取った脅威情報の項目を仕分けし、分類することを含むことが出来る。
本発明の実施の形態において、受け取った脅威情報の項目の中央リポジトリ102での分析には、(以下に限定するものではないが)受け取った脅威情報の項目を先に保存してある脅威情報の項目と比較するステップと、受け取った脅威情報の項目に付加的なメタデータを追加するステップと、受け取った脅威情報の項目及び保存してある脅威情報の項目のパターンを測定するステップと、これらの脅威情報の項目の関係を形成し分解するステップと、中央リポジトリ102にて、受け取った脅威情報の項目及び保存してある脅威情報に基づき将来の予測を行うステップと、を含むことが出来る。
例えば、中央リポジトリ102で行われる分析により中央リポジトリ102は、振る舞い又はやり方の説明又は、複数の観測された事象又は特性、脆弱性、弱点、又は、これらの複数の観測された事象又は特性のうちの少なくとも1つの被害者の構成上の問題、これらの複数の観測された事象又は特性の影響を防止し、緩和し、又は修復するためにとることができる特定の操作、これらの複数の観測された事象又は特性のうちの少なくとも1つを引き起こすエンティティの説明を確定することができ、及び/又は、脅威情報のすでに観測された項目と関連する少なくとも1つの将来の事象又は特性の予測を行うことができる。
本発明の特定の実施の形態において、この分析は、自動化されたソフトウェア又はハードウェアツールにより、中央リポジトリ102にて自動的に行うことができる。本発明の他の実施の形態において、この分析は、コンピュータ化されたソフトウェア及びハードウェアツールの助けを借り又は借りないで中央リポジトリ102を操作する人による分析手段により行われる。
受け取り保存した脅威情報の項目を分析することに加えて、中央リポジトリ102はまた、脅威情報の項目をローカルエンティティ104a、104b、104c、及び104dに分配することもできる。
本発明の特定の実施の形態において、中央リポジトリ102は、このリポジトリ102に保存されているすべての脅威情報の項目をローカルエンティティ104a、104b、104c、及び104dに分配する。本発明の他の実施の形態において、中央リポジトリ102は、それぞれローカルエンティティ104a、104b、104c、及び104dの各々に分配すべき脅威情報の固有のサブセットを決定することができる。
本発明のいくつかの実施の形態において、ローカルエンティティ104a、104b、104c、及び104dが検出された脅威情報の項目を計画通り同期させて中央リポジトリ102に供給するのと同時に、脅威情報の項目を中央リポジトリ102からローカルエンティティ104a、104b、104c、及び104dへと分配することができる。本発明の他の実施の形態において、ローカルエンティティ104a、104b、104c、及び104dは、脅威情報の新しい項目が作成するのと同時にリアルタイムで、脅威情報の項目を中央リポジトリ102に「プッシュ」し、要求に応じて脅威情報の項目を中央リポジトリ102から「プル」する。同様に、中央リポジトリ102は、必要に応じて脅威情報の項目をローカルエンティティ104a、104b、104c、及び104dに「プッシュ」することができ、要求に応じて脅威情報の項目をローカルエンティティ104a、104b、104c、及び104dから「プル」することができる。
一旦脅威情報の項目がローカルエンティティ104a、104b、104c、及び104dで受け取られると、これらの脅威情報の項目は、ローカルエンティティ104a、104b、104c、及び104dの各々で用いられるカスタマイズされたマシンリーダブル言語に変換することができ、SIEMセンサー及び制御装置106a、106b、106c、及び106dに提供され、これらのセンサー及び制御装置106a、106b、106c、及び106dが、受け取られた脅威情報に記述され予測されたサイバー脅威に対する修復手段及び防止手段を実行することができるようにする。
一旦ローカルエンティティ104a、104b、104c、又は104dが脅威情報の項目を受け取ると、そのローカルエンティティ104a、104b、104c、又は104dが、脅威情報の項目についてさらなる情報又は事情を要求した場合、ローカルエンティティは、さらなる情報を求めて脅威情報の項目を提供するエンティティと接触することができる。本発明のいくつかの実施の形態において、しかしながら、脅威又は攻撃にさらされているエンティティ自体が、そのエンティティ及び/又はそのメンバーに対して、注意すべきものであり、又は有害であり、厄介である可能性があるという事実により、脅威情報の項目を提供する元のエンティティ/リポジトリ104a、104b、104c、又は104dそのものが安全性と匿名性を保たれる。
脅威情報の項目の出所が匿名となっているこれらの実施の形態において、システム中のすべてのエンティティ及び/又はリポジトリに送られる脅威情報の項目に関連付けられたコード又は識別子を含むメッセージである、「情報要求」(「RFI」)をローカルエンティティ104a、104b、104c、又は104dは送りだすことができる。このメッセージの出所であるエンティティ又はリポジトリだけがこの特定のコード/識別子を含有するので、RFIにより、システム中のエンティティが脅威情報の項目についての追加の事情、詳細、その他の情報を要求することができる一方、脅威情報の項目の元の出所の匿名性を維持する。いくつかの実施の形態において、RFIを受け取る脅威情報の項目の元の出所に対してさえ、RFIの出所も匿名となる。他の実施の形態において、RFIの出所は公然であり明白である。
図2は、「アクセス管理」又は「トラスト」グループ212、及び、ローカルリポジトリ204a、204b、及び204cを組み入れた「ハブアンドスポークシステム」の第2の例示的実施の形態200を示す。中央リポジトリ202と同様に、これらのローカルリポジトリ204a、204b、及び204cは、SIEMセンサー及び制御装置206a、206b、208a、208b、及び208cにより検出された脅威情報の項目を保存し、フィルタリングし、分析し、そして分配することができる。
本発明の特定の実施の形態において、カスタマイズされたマシンリーダブル言語で脅威情報の項目を作成し処理する208a、208b、及び208cのようなSIEMセンサー及び制御装置の代わりに、206a及び206bのようないくつかのSIEMセンサー及び制御装置は脅威情報共有システム200の共通言語にて脅威情報の項目を作成し影響を与える。本発明のこの実施の形態において、204a及び204bのようなローカルリポジトリは、脅威情報の項目を中央リポジトリ202に伝送する前に、SIEMセンサー及び制御装置206a及び206bから受け取った情報を変換する必要がない。
しばしば「トラストグループ」として知られる「アクセス管理グループ」212は、エンティティを困らせるか或いは、エンティティのプライバシー、評判、動作、資源、又はセキュリティを棄損する、細心の注意を払うべき脅威情報又はメーカー独自の脅威情報の特定のカテゴリーにアクセスする権限を与えられたエンティティ及び/又はリポジトリのグループを定義する。エンティティは、必要な多くの又は少数のアクセス管理グループ212のメンバーとすることができ、各アクセス管理グループ212は、そのグループ212中の他のエンティティからの様々なプライバシーレベルの情報にアクセスすることができるので特定のエンティティのグループを指定することができる。
この例示的実施の形態において、アクセス管理グループ212には、ローカルリポジトリ204a、204b、及び204cと中央リポジトリ202とが含まれるが、ローカルエンティティ210は含まれない。この実施の形態において、一般公衆に暴露されてしまった場合、施設運用204aにおける評判に害を与えると思われる、ローカルリポジトリ204aにより検出された脅威情報は、アクセス管理グループ212の外部にあるローカルエンティティ210とではなく、リポジトリ202、204a、及び204bとのみ共有される。一方、ローカルリポジトリ204aのSIEMセンサー206a及び208aにより検出された細心の注意を払う必要のない情報は、ローカルエンティティ210を含むシステム200のすべてのエンティティと共有される。
本発明の特定の実施の形態において、アクセス管理グループは、United States Computer Emergency Readiness Team(US‐CERT)のTraffic Light Protocol(TLP)に従い動作する。TLPは、https://www.us-cert.gov/sites/default/files/TLP.pdfで見ることができる「TLP:Traffic Light Protocol」により記述され、そのすべてを本出願に組み込むものとする。
本発明のこれらの実施の形態において、本発明の脅威情報共有システムには、エンティティ及び/又はリポジトリの1以上の「コミュニティ」を含むことができ、各コミュニティは、1以上のアクセス管理グループ212を含有することができる。コミュニティは、1以上の管理者により作成すること及び/又は動作させるができる。これらの実施の形態において、コミュニティは、公衆のコミュニティ(メンバーエンティティ及び/又はリポジトリではない人に対して可視的であり、参加のために管理者からの許可を必要としないコミュニティ)、メーカー独自のコミュニティ(メンバーエンティティ及び/又はリポジトリではない人に対して可視的であり、参加のために管理者からの許可を必要とするコミュニティ)、又は秘密コミュニティ(メンバーエンティティ及び/又はリポジトリではない人に対して可視的でなく、参加のために管理者からの許可を必要とするコミュニティ)であることができる。
いくつかの実施の形態では、コミュニティの1以上の管理者は、特定のコミュニティに対してTLPの動作をカスタマイズすることができる。例えば、TLP標準により、「赤」とコード化された情報は、最初に開示された特定の交流、ミーティング、又は会話以外では、外部の団体とは共有されない。従って、例示的実施の形態において、コミュニティの管理者はそのコミュニティに対しTLPをカスタマイズすることができ、リポジトリ又はエンティティが脅威情報共有システムを介して「赤」とコード化された脅威情報の項目の分配を試みた場合、脅威情報のこの項目が脅威情報共有システムにより自動的に排除されるように、すなわち、そのような細心の注意を払うべき情報が偶然に又は認可されずに分配されることを自動的に防ぐようにすることができる。他の例示的実施の形態において、コミュニティの管理者はそのコミュニティに対しTLPをカスタマイズすることができ、「黄」又は「アンバー」とコード化された脅威情報の項目を、脅威情報のこれらの項目の表示にアクセスしないエンティティ又はリポジトリにより修復することが可能である場合、「黄」又は「アンバー」とコード化された脅威情報の項目が情報共有システムにより自動的に排除されるようにすることができる。
図3は、「ハブアンドスポーク」に加えて「ピアツーピア」システムとして知られている、本発明の脅威情報共有システム及び方法の第3の例示的実施の形態300を示す。この例示的システム300において、ローカルリポジトリ304a、304b、304c及びローカルエンティティ306は、SIEMセンサー及び制御装置308a、308b、308c、及び308dにより検出された脅威情報を中央リポジトリ302に提供することができ、中央リポジトリ302は、(図1及び2に示すように)受け取った脅威情報の項目を他のローカルサーバーに「ハブアンドスポーク」モードで分配することができる。
「ハブアンドスポーク」モードに加え、しかしながら、例示的脅威情報共有システム300はまた「ピアツーピアモード」でも動作することができ、ローカルリポジトリ304aは、図3で示されるようにローカルリポジトリ304bのような他のローカルリポジトリと直接脅威情報を共有することができる。
本発明のいくつかの実施の形態において、ローカルリポジトリ304a及び304bは、予定した時刻に、保持する脅威情報と同期させることができる。本発明の他の実施の形態において、ローカルリポジトリ304a及び304bは、要求により、リアルタイムで、脅威情報の項目をお互いに「プッシュ」又は「プル」することができる。例えば、ローカルリポジトリ304aは、脅威情報の項目を直接複数の他の(304bのような)ローカルリポジトリにピアツーピアモードで同時に「プッシュ」することができる。
本発明の特定の実施の形態において、集中化されたサーバーは必要ではなく、ローカルリポジトリ304a、304b、及び304cは完全にピアツーピアモードで動作することができ、脅威情報を自分たちで直接交換する。
上述したいくつかの本発明のピアツーピアの実施の形態において、ローカルリポジトリ304a、304b、及び304cはそれぞれ、他のローカルリポジトリ304a、304b、及び304cからアクセスできるように、自分達独自の脅威情報の項目の「フィード」を発行することができる。いくつかの実施の形態において、これらのフィードのすべて又はサブセットは、ローカルリポジトリ304a、304b、又は304cのオペレータが、接続又は記名するために、他のローカルリポジトリのフィードのリストにアクセスすることができるディレクトリ(不図示)中に登録することができる。いくつかの実施の形態において、ローカルリポジトリ304a、304b、又は304cのオペレータは、ディレクトリ中に登録されたすべてのフィードのリストをブラウズし、検索基準を満足するディレクトリ中のフィードを検索し、及び/又はオペレータのリポジトリとの類似性及びこれらの提案されたフィードを提供するリポジトリに基づき、ディレクトリ自身により提案された1以上のフィードを見ることができる。オペレータは、登録された「記名する」ためのディレクトリから1以上のフィードを選択することができ、これらの1以上の記名するべきフィードに、脅威情報の発行された項目のすべて又はサブセットを自動的にオペレータのリポジトリにプッシュするか又は、オペレータのリポジトリに、脅威情報の発行された項目のすべて又はサブセットを記名するべきフィードから自動的に「プル」する。
図4は、脅威情報を共有するためのコンピュータ化されたシステム400の例示的実施の形態を示す。中央リポジトリ402は、ネットワークを介して、ローカルリポジトリ404a及び404bと、ローカルエンティティ406とに接続される。
この例示的システム400において、ローカルリポジトリ404a及び404bに加えて、集中化されたサーバー402もまたネットワークを介して、脅威情報の出所に公然とアクセス可能にし、ネットワークを介して集中化されたサーバー402に脅威アプリケーションを伝送するよう構成された、公的なフィード414に接続される。集中化されたサーバー402はまた、支払いと引き換えに商品化された脅威情報を提供するメーカー独自のフィード412、及び脅威情報を受け取るのに十分な国の秘密取扱許可を有する402のような、これらのエンティティに脅威情報を提供する政府のフィード408と接続される。ローカルリポジトリ404a及び404bはまた、公的なフィード414、メーカー独自のフィード412、及び政府のフィード408と直接接続することができる。
公的なフィード414、メーカー独自のフィード412、及び政府のフィード408に加えて、情報共有システム400の集中化されたサーバー402はまた、1以上の他の情報共有システム411の1以上の集中化されたサーバー410に接続される。例えば、情報共有システムは、防衛施設のための情報システム共有システム、エネルギー施設のためのシステム、及び/又は、教育施設のためのシステムに(少なくとも一部の)脅威情報を接続及び共有することができる。
ローカルリポジトリ404bは、システム400で用いられる共通言語で脅威情報を提供するローカルSIEM制御装置及びセンサー418a及び418bからの、及び、ローカルリポジトリ404bのSIEM分析及び緩和ツール416に対して慣例となっているマシンリーダブル言語で脅威情報を提供するローカルSIEM制御装置及びセンサー420a及び420bからの脅威情報を受け取る。
本発明の特定の実施の形態において、脅威情報を保存し分配する複数のリポジトリで用いられる共通言語は、Structured Threat Information eXpression(STIX)言語である。STIX言語は、http://stix.mitre.org/about/documents/STIX_Whitepaper_vl.1.pdfで見つけることができ、すべてを本出願に組み込むものとする「Standardizing Cyber Threat Intelligence Information with STIX」で記述されている。
いくつかの実施の形態において、STIX言語は、eXtensible Markup Language(XML)スキーマを用いて実行される。しかし、セマンティック・ウェブ(RDF/OWL)、JSON−centric、及びプロトコル・バッファによる実行を含む、他の可能性のある実施も想定される。
STIX言語は、各々が別々のサイバー脅威情報の特徴を表す多数の異なるタイプの「構成」で作り上げられた構造を用いて観察された事象又は特性を記述することで、構造化されたサイバー脅威情報を伝達する。各構成は他の構成と相互に関係づけられ、別の詳細なサイバー脅威情報を提供する。
STIX言語の「ベース」構成は、「可観測」である。可観測性は、コンピュータ及びネットワークの動作に対して適切なステートフルな特性又は事象である。可観測性の例として(これらに限定されるわけではないが)、(ファイルネーム、ハッシュ、又はサイズのような)ファイルについての情報、レジストリキー値(又はキーの作成又は削除)、開始した又は変更したサービス、送られた(又は受け取った)HTTPリクエスト、受け取った(又は送られた)イーメール、特定のIPアドレスのネットワークトラフィック、特定のポートでの通信、が含まれる。特定の実施の形態において、STIXは可観測性を表すためにCyber Observable eXpressionスキーマを用いる。
CyBOXは、サイバー可観測性についての標準化された忠実度の高い情報をコード化し伝達するためのスキーマである。CyBOXスキーマは、「Cyber Observable expression − CybOX:サイバー可観測性についての1つの構造化言語」、これは、http://makingsecuritymeasurable.mitre.org/docs/cybox-intro-handout.pdfで見つけることができ、そのすべてを本出願に組み込むものとする。
STIX言語の他の構成は「インジケーター」である。インジケーターは、可観測性の特定のパターンについての情報を伝達し、文脈上の情報と結合し、サイバーセキュリティの文脈内で関心のある振る舞いを表現するためのものである。インジケーターは、例えば、方策、手法、手順(TTP)(他の構成のタイプ)にマッピングすることが潜在的にできる、可観測性の1以上のパターンからなる。このインジケーターは、(これらに限定されるわけではないが)、インジケーターの主張の信頼性、限定の取り扱い、時間窓の有効性、起こりうるインパクト、インジケーターの見どころ、検出のための構造化されたテスト機能、関連するキャンペーン、推奨される操作指針、関連するインジケーター、及びインジケーターの出所を記述するメタデータを含むことができる。
他のSTIX言語の構造は、「インシデント」である。インシデントは、どのようにこのインシデントに応答するかについての調査中に発見又は決定された情報とともに、インジケーターが組織に影響を与える離散的なインスタンスである。インシデントには(例えば)、時間関連情報、インシデントの関係者、インシデントの影響を受けるアセット、インシデントの影響の評価、関連するインジケーター、関連する可観測性、インシデントにおける1以上のTTPの影響力、1以上の脅威の原因となった者(別のタイプの構成)、意図した効果、(もしあれば)インシデントと妥協したものの特性、採用された敏感な操作計画(別のタイプの構成)、インシデントの特徴付けの信頼性、インシデントの取り扱いにおける手引き、インシデント情報の出所、及び、インシデントの間それに応答した操作の記録のようなデータが含まれる。
他の構成は、方策、手法、又は手順(TTP)であり、サイバー当事者の振る舞い又はやり方の説明である。この構成は、さまざまな段階で敵対者が行うことを特徴づける情報を含有する。TTP構成に含まれる情報には、(これらに限定するものではないが)公然化された特定の敵対者の振る舞い(例えば、攻撃パターン、マルウェア、功績)、てこにした資源(例えば、ツール、社会資本、人)、標的とされた被害者についての情報(例えば、誰が、何を、どこで)、関連する標的とされた目標(他の構成)、その振る舞いにより意図された効果、関連する「キルチェーン」フェーズ、ハンドリングの手引き、及び、TTP情報の出所が含まれる。
説明目的のため、TTPの例として、開封すると実行される悪意のあるコードを含有する添付書類とともに可能性のある被害者にターゲット・イーメールを送ることで、クレジットカードの信任状を盗み取るマルウェアを用いること、そのコードを用いたキーストロークからクレジットカード情報を捕捉すること、及びhttpを使ってこのクレジットカード情報を伝送するために命令・制御サーバーと通信することが含まれる。別の例では、オープンソースにより調査すること、最新のアンチビールス検出をバイパスするマルウェアを伴う社交的に設計されたイーメール及び書面をうまく作ること、これらの個人にこれらの書面/イーメールの信ぴょう性を確信させる命令・制御サーバー及びイーメールを確立することにより潜在的な騙されやすい個人を特定する。
本発明の特定の実施の形態において、CybOXスキーマは、TTPツール及びインフラストラクチャを特徴づけるために用いることができる。本発明の他の実施の形態において、Malware Attribute Enumeration and Characterization(MAEC)言語をTTPマルウェアを特徴づけるために用いることができる。MAEC言語は、http://maec.mitre.org/about/docs/MAEC_Overview.pdfで見つけることができる「MAEC言語:オーバービュー」で記述されており、そのすべてを本出願に組み込むものとする。本発明の他の実施の形態において、Common Attack Pattern Enumeration and Classification(CAPEC)スキーマがTTP攻撃パターンを特徴づけるために用いられる。CAPECスキーマは、「Common Attack Pattern Enumeration and Classification − CAPEC」に記載されており、これは、http://makingsecuritymeasurable.mitre.org/docs/capec-intro-handout.pdfで見つけることができ、そのすべてを本出願に組み込むものとする。
STIX言語におけるもう1つの構成は攻撃活動であり、インシデント及び/又はTTPを通し、おそらく組織を横断して対象物を追跡する1以上の攻撃者のインスタンス(別のタイプの構成)を表す。攻撃活動の構成内に含まれる情報には、(これらに限定されるものではないが)1以上の攻撃者により意図されたことが疑われる影響、攻撃活動内で用いられる関連するTTP、攻撃活動の一部だと信じられる1以上のインシデント、攻撃活動に寄与したと思われる1以上の攻撃者、特定の攻撃活動に関連すると思われる他の攻撃活動、攻撃活動の意図及び特徴の特定における確度、攻撃活動に対応して行われる活動、攻撃活動についての情報の出所、及び、攻撃活動及びその成分インシデントの扱いについての手引きが含まれる。
STIX言語における他の構成は攻撃者であり、1以上の悪意のある者又はサイバー攻撃の脅威の原因となる敵対者についての特徴づけであり、推定されるこれらの者の意図及びこれまで観察されてきた振る舞いが含まれる。攻撃者の構成内の情報には、(これらに限定されるものではないが)攻撃者の身元についての特徴づけ、疑うべき攻撃者の動機、攻撃者がかかわったと信じられている1以上の今までの(又は現在の)攻撃活動、攻撃者と関係していると信じられているか又は攻撃者と関係していることが知られている他の攻撃者、攻撃者の特徴についての主張の確度、及び、攻撃者の情報についての出所が含まれる。
STIX言語における他の構成は搾取ターゲットであり、攻撃者のTTPが利用することで、ターゲットとされる(又はされていた)可能性のあるソフトウェア、システム、ネットワーク、又は構造中の潜在的な脆弱性又は弱点を表す。搾取ターゲットには、(これらに限定されるものではないが)脆弱性の識別又は特徴づけ、弱点の識別又は特徴づけ、構成の識別又は特徴づけ、1以上の潜在的なCourseOfAction(別のタイプの構成)、搾取ターゲットの情報の出所、及び取り扱いの手引きを表す。
本発明の特定の実施の形態において、明らかにされた脆弱性のプライバシーは、Open Source Vulnerability Database(OSVDB)を用いて識別され、その識別子はCommon Vulnerabilities and Exposures(CVE)辞書で組み立てられる。本発明の特定の実施の形態において、Common Vulnerability Reporting Framework(CVRF)フレームワークは、公然とは認識されていない脆弱性(いわゆる「ゼロデイ脆弱性」)の構造的特性を詳述するために用いられ、Common Weakness Enumeration(CWE)は、弱点の識別のために用いられ、Common Configuration Enumeration(CCE)は、構成上の問題の識別のために用いられる。
STIX言語における他の構成は、CourseOfAction(COA)であり、これは、サイバー脅威に対処するためにとるべき1以上の具体的な手段を表現するものである。COAは、1以上の搾取ターゲットに対処するか、又は、インシデントの影響を撃退又は緩和するために、修正的(すでに生じたサイバー脅威に対処するために動作する)又は予防的(将来的、まだ生じていな将来のサイバー脅威を防止するために動作する)とすることができる。COAには、(これらに限定されるものではないが)サイバー脅威管理における対応する段階(例えば、搾取ターゲットの修復、又はインシデントに対する応答)、COAのタイプ、COAの記述、COAの対象、(IPSルール又は自動化されたパッチ又は修復のような)COAの構造的表現、COAで生じうる効果、COAで生じうるコスト、推定されるCOAの効果、COAの観測可能なパラメータ、及び取り扱いの手引きが含まれる。
各タイプの構成中に含まれる種々の特有の情報及び、構成同士の種々の相互関係を上述したが、STIX言語における構成は独立であり、柔軟性を有し、再利用可能なので、上述の記載は単に説明のための記述である。STIXの構成の各タイプは、各タイプにより記述された特定のサイバー脅威の状況により必要とされるものと同じくらい少なく(ゼロの場合も含む)又は同じくらい多くのSTIXの構成と関連付けることができる。加えて、各STIXの構成は、特徴を示すための特定の特性又は項目を記述するのに必要な少ない(又は多くの)情報、及び情報のタイプを含有することができる。
本発明の特定の実施の形態において、品質基準、又は品質スコアは、自動的にSTIX言語の構成に割り当てることができる。この品質基準は、STIX言語の構成内に含まれる情報の有効性及び精度の尺度であり、構成を提供するリポジトリにより(又は構成を受け取るリポジトリにより)構成に自動的に割り当てることができ、又は、脅威情報共有システムのユーザにより手動で割り当てることができる。
本発明の特定の実施の形態において、品質基準は、STIX言語の構成に自動又は手動で割り当てられている信頼基準又は信頼スコアに基づく。信頼基準は、(これらに限定されるものではないが)観測された事象又は特性を記述する第1の項目を作成する責務を負っていたエンティティの身元、観測された事象又は特性のタイプ、観測された事象又は特性と関連づけられた一連の関係あるシステム又はネットワーク活動、及び、観測された事象又は特性を生じさせる原因となったエンティティを含む要因に基づくことができる。
例えば、最初に脅威を観測したエンティティがサイバー攻撃を正確に特徴づける長い歴史的な記録を持つ場合は、構成中に含まれる情報が正確であることについて高い信頼基準及び品質基準がある可能性があり、この構成は、一般的で簡単に特定できる脅威のタイプを記述し、最近生じそして識別され確認された多くの類似する脅威があり、サイバー脅威の原因であると特定された悪意のあるエンティティは、同様のサイバー脅威を起こした長いよく知られた歴史的な記録を有する。
一方、サイバー脅威を特定したエンティティが情報共有ネットワークに参加したばかりであり、正確にサイバー脅威を特定した経歴がない場合(又は、逆にエンティティが長い間メンバーであり、サイバー脅威を特定することにおいて、正確性についてひどい記録がある場合)、そのSTIX言語の構成について信頼基準及び品質基準は比較的低くなる。同様に、サイバー脅威が今まで見られなかったタイプ又は十分理解できなかったタイプである場合、又は、サイバー脅威を引き起こした攻撃者が今まで見られなかった場合、又は予想できない振る舞い又は混沌とした振る舞いで有名な場合は、低い信頼基準/品質基準となることがある。
本発明の特定の実施の形態において、メンバーエンティティは、低い信頼基準/品質基準スコアを持つ構成に対して、その脅威情報に対して自動的に応答しないこと、又は、低品質の脅威情報をフィルタリングして無視することで応答することを選択することができる。逆に、メンバーエンティティは、高い信頼基準/品質基準スコアを持つ構成に対して、その情報に対す応答を自動的に実行するか又は、さらなる分析のためにその情報にフラグを立てることで応答することを選択することができる。
本発明のいくつかの実施の形態において、リポジトリは、STIX言語に脅威情報を保存又は作成することが出来る。本発明の他の実施の形態において、リポジトリは、カスタマイズされた又はメーカー独自のマシンリーダブルフォーマットで脅威情報を保存又は作成することが出来、情報共有システム中の他のリポジトリとの互換性を持たせるために、脅威情報を伝送する前にSTIX言語へと構文解析するか、又は脅威情報を受け取った後にSTIX言語から構文解析する必要がある。いくつかの実施の形態において、リポジトリにより作成されたか又は保存された、いくつかの情報はSTIX言語である一方、他の情報は、カスタマイズされた又はメーカー独自のマシンリーダブルフォーマットで同じリポジトリにて作成されたか又は保存される。STIX言語で作成されたか又は保存された情報は、さらに処理されることなく他のリポジトリに伝送することが出来る一方、カスタマイズされた又はメーカー独自のフォーマットで作成されたか又は保存された情報は、他のリポジトリに伝送する前にSTIX言語に変換しなければならない。
本発明の情報共有システムを通して作成され処理されるデータが大量であるため、システム及び/又はローカルリポジトリは、脅威情報の項目にアクセスしクエリーを行うため、脅威情報を理解しやすく/予備処理すること及び索引を付けることが出来る。
本発明の特定の実施の形態において、観測された事象又は特性を記述する1以上の項目は、Trusted Automated eXchange of Indicator Information(TAXII)仕様を用いて脅威情報を保存し分配するためにリポジトリ間で分配される。
TAXII仕様は、http://taxii.mitre.org/specif1cations/versionl.l/TAXII_Overview.pdfで見つけることが出来る「TAXII Overview, Version 1.1」、http://taxii.mitre.org/specifications/versionl.l/TAXII_Services_Specification.pdfで見つけることが出来る「TAXII Services Specification, Version 1.1」、http://taxii.mitre.org/specifications/version1.0/http1.0/TAXII_HTTPProtocolBinding_Specification.pdfで見つけることが出来る「TAXII HTTP Protocol Binding Specification, Version 1.0」、及び、http://taxii.mitre.org/specif1cations/versionl.l/TAXII_XMLMessageBinding_Specif1cation.pdfで見つけることが出来る「TAXII XML Message Binding Specification, Version 1.1」で記載され、そのすべてを本出願に組み込むものとする。
TAXII仕様は、メンバー間で脅威情報の項目の共有を可能とするサービス及びメッセージの交換(例えば、概念、プロトコル、メッセージ)を定義する。TAXIIによるサービス及びメッセージの交換は、脅威情報のネットワークプロトコル、メッセージフォーマット、コンテンツタイプ、及びクエリータイプの実施を共有するためのシステムの詳細とは別に定義される。これにより、メンバーが他のメンバーと同じタイプのネットワークプロトコル又はメッセージフォーマットを共有する必要のないシステムに加わることが出来る。異なるネットワークプロトコル又はメッセージフォーマットを用いる2人のメンバーがTAXIIメッセージ及びサービスを用いている場合、彼らはお互いに直接通信することが出来ないが、TAXIIゲートウェイを通じて通信することが出来、2人のメンバーは脅威情報の交換が可能になる。
脅威情報の項目の出所となる(人、組織、代理人、会社のような)エンティティは、TAXII仕様で、「プロデューサー」として定義される。脅威情報の項目の受信者であるエンティティは、TAXII仕様で、「消費者」として定義される。これらの役割はお互いに排他的ではなく、1つのエンティティは、TAXII仕様において、プロデューサーであり、かつ脅威情報の消費者の両者であることが出来る。
TAXII仕様は、いくつかの異なる「機能単位」を必要とする。各機能単位は、TAXII仕様における役割を定める要素であるが、各機能単位は別々のソフトウェア/ハードウェアを必要とせず、単一のソフトウェア又はハードウェアプリケーションが複数の機能単位を包含することが出来、或いは複数のアプリケーションが協同して単一の機能単位として作用する。
1つの機能単位は、TAXII Transfer Agent(TTA)であり、ネットワークに接続された機能単位は、ネットワークを介してTAXIIメッセージを送信及び/又は受信し、他のTTAと相互作用するネットワークに接続された機能単位である。他の機能単位は、TAXII Message Handler(TMH)であり、入ってきたTAXIIメッセージの構文解析し出てゆくTAXIIメッセージを組み立てる、TAXIIメッセージを作成し消費する機能単位である。TMHは、ネットワークを介して伝送させるためにTAXIIメッセージをTTAに提供し、TTAは、ネットワークを介して他のTTAからTTAにより受け取った、TMHからのTAXIIメッセージを提供する。この構成により、TTAは(TMHの知らない可能性のある)ネットワークプロトコルの詳細を扱うことが出来、TMHは、(TTAの知らない可能性のある)TAXIIメッセージの内容の詳細を扱うことが出来る。
TAXII仕様は、TAXIIシステム中の単一のプロデューサー又は消費者又は消費者のすべてのTAXII機能単位を「TAXIIアーキテクチャ」として記述する。TAXIIアーキテクチャには、TTA及びTMHの外部にあるTAXIIアーキテクチャ中のすべての機能単位を含む、TTA、TMH、及び「TAXIIバックエンド」が含まれる。これらの機能単位は、(これらに限定するものではないが)データ保存、加入者管理、アクセス管理の決定、及び、配布に先立つフィルタリングを含むタスクに関与することが出来る。TAXII仕様は、TAXIIバックエンドがTMHと互換性を持たねばならないこととは別に、TAXIIバックエンド中でこれらの機能がどのように実施されるかについての要件を指示するものではない。このような柔軟性により、TAXII仕様の個人開発者が、どのTAXIIバックエンド能力が自分たちのエンティティに必要なのか、及びどのように自分たちのリポジトリ中でこの機能を実行することを望むのかについて決定することが出来る。
本発明のいくつかの実施の形態において、すでにTMHにより送られ受け取ったTAXIIメッセージと互換性があるフォーマットを満たす脅威情報をTAXIIバックエンド内の機能単位は保存し、受取、作成することが出来る。本発明の他の実施の形態において、TAXIIバックエンドの機能単位は、TMHにより送られ受け取ったTAXIIメッセージと互換性があることを確かめるために構文解析しなければならない、カスタマイズされた、又はメーカー独自のフォーマットで脅威情報を作成し又は保存することが出来る。いくつかの実施の形態において、TAXIIバックエンドにより作成され又は保存された、いくつかの情報はTAXIIと互換性があるかもしれないが、他の情報は、同じTAXIIバックエンドによりカスタマイズされたフォーマット又はメーカー独自のフォーマットで作成され保存され、その情報がTMHへと又はTMHから送信されるときTAXII互換性を持たせるために処理されなければならない。
本発明の実施の形態は説明のために記載したものである。当業者であればこの記載から記載された実施の形態は限定するためのものではないこと、本発明の種々の実施の形態及びその均等物を広く保護するために、このような変更や修正を含む添付の特許請求の範囲の技術思想及び範囲によりより限定される変更や修正により実行することが出ることを認識するであろう。
Claims (24)
- 少なくとも1つのマルチコアプロセッサを具備する集中型サーバーであって、
前記集中型サーバーは、複数の集中化された脅威情報を含有する中央リポジトリを司り、前記中央リポジトリはMongoDBデータベースを具備し、
前記集中型サーバーは、SSL認証を有することを特徴とする、
集中型サーバーと、
複数の分散サーバーであって、
前記分散サーバーの各々は、複数の局部的な脅威情報を含有するローカルリポジトを司ることを特徴とする、
複数の分散サーバーと、
を具備し、
前記集中型サーバーは、SSL暗号化を用いて、前記複数の集中化された脅威情報のうちの少なくとも一部を前記複数の局部的な脅威情報の少なくとも一部と交換することで、前記複数の集中化された脅威情報を前記複数の分散サーバーの各々に含まれる前記複数の局部的な脅威情報と同期させるよう構成されていることを特徴とする、
自動的に脅威情報を交換するためのコンピュータ化されたシステム。 - 前記複数の分散サーバーのうちの少なくとも第1の分散サーバーは、前記第1の分散サーバーのローカルリポジトリからの前記複数の局部的な脅威情報のうちの少なくとも一部を少なくとも1つの他の分散サーバーのローカルリポジトリからの前記複数の局部的な脅威情報のうちの少なくとも一部と交換することで、前記第1の分散サーバーに含まれる前記複数の局部的な脅威情報を前記少なくとも1つの他の分散サーバーに含まれる前記複数の局部的な脅威情報と同期させるよう構成されていることを特徴とする、請求項1に記載のコンピュータ化されたシステム。
- 前記集中型サーバーと前記複数の分散サーバーとを接続するネットワークをさらに具備し、
前記ネットワークは、TAXII仕様に基づき、前記集中型サーバーと前記複数の分散サーバーとの間で、複数の局部的な脅威情報を伝送するよう構成されていることを特徴とする、請求項1に記載のコンピュータ化されたシステム。 - 第1の分散サーバーにおいて、
マシンリーダブル言語にて脅威情報の第1の項目を作成するステップと、
前記脅威情報の第1の項目を前記マシンリーダブル言語からSTIX言語に変換するステップと、
前記第1の分散サーバーのTAXIIインターフェースにて、SSL暗号化を用いて、前記変換された脅威情報の第1の項目を集中化されたサーバーへ安全に伝送するステップと、
前記第1の分散サーバーのTAXIIインターフェースにて、暗号化された脅威情報の第2の項目を受け取るステップであって、前記第2の項目はSTIX言語になっており、SSL暗号化を用いて暗号化されていることを特徴とする、ステップと、
前記暗号化された脅威情報の第2の項目のXMLスキーマを検証するステップと、
前記第2の項目を前記STIX言語から前記マシンリーダブル言語に変換するステップと、
前記変換された第2の項目をローカルリポジトリに挿入するステップであって、前記ローカルリポジトリは、MongoDBデータベースであることを特徴とするステップと、
を具備する、安全に脅威情報を交換するためのコンピュータ化された方法。 - 脅威情報を保存し分配する第1のリポジトリにて、観測された事象又は特性を共通言語で記述する第1の項目を作成するステップと、
脅威情報を保存し分配するために少なくとも1つの他のリポジトリに前記第1の項目を分配するステップと、
を具備する脅威情報を分配するためのコンピュータ化された方法。 - 前記第1の項目を作成するステップは、前記第1のリポジトリのカスタマイズされた言語で、観測された事象又は特性を記述する既存の項目を、共通言語で観測された事象又は特性を記述する前記第1の項目に変換するステップを具備することを特徴とする、請求項5に記載のコンピュータ化された方法。
- 前記第1の項目を、脅威情報を保存し分配するために少なくとも1つの他のリポジトリにて、前記少なくとも1つの他のリポジトリのカスタマイズされた言語で前記観測された事象又は特性を記述する第2の項目に変換するステップをさらに具備することを特徴とする、請求項5に記載のコンピュータ化された方法。
- 前記共通言語は前記STIX言語であり、TAXII仕様に基づき前記第1の項目が分配されることを特徴とする、請求項5に記載のコンピュータ化された方法。
- 前記第1の項目は、
(a)観測された事象又は特性、
(b)対応する観測された活動のパターン、
(c)前記観測された事象又は特性に関連づけられた一連の関連するシステム又はネットワーク活動、
(d)前記観測された事象又は特性の原因を引き起こすエンティティ、
(e)前記観測された事象又は特性を引き起こす前記エンティティの振る舞い又はやり方の説明、
(f)前記観測された事象又は特性の潜在的な被害者の脆弱性、弱点、又は、構成上の問題、
(g)前記観測された事象又は特性による影響を防止し、緩和し、修復するためにとることのできる特定のアクション、及び
(h)前記観測された事象又は特性を引き起こす前記エンティティにより実施される関連する活動、
のうちの1以上の記述を含むことを特徴とする、請求項8に記載のコンピュータ化された方法。 - 前記第1の項目を分配するステップは、前記第1の項目を他の複数のリポジトリに伝送するステップを具備し、前記第1のリポジトリ及び前記他の複数のリポジトリは、アクセス管理グループのメンバーであることを特徴とする、請求項5に記載のコンピュータ化された方法。
- 前記少なくとも1つの他のリポジトリにおいて、前記第1の項目を手動分析または自動分析するステップをさらに具備することを特徴とする、請求項5に記載のコンピュータ化された方法。
- 前記第1の項目を自動分析するステップは、前記観測された事象又は特性に対する応答を実行するか否かを自動的に決定するステップを具備することを特徴とする、請求項11に記載のコンピュータ化された方法。
- 前記観測された事象又は特性に対する応答を自動的に実行するステップをさらに具備することを特徴とする、請求項12に記載のコンピュータ化された方法。
- 前記脅威情報を保存し分配するための前記第1のリポジトリにおいて、複数の観測された事象又は特性を記述する複数の項目を分析するステップをさらに具備することを特徴とする、請求項5に記載のコンピュータ化された方法。
- 前記複数の観測された事象又は特性を記述する前記複数の項目を分析することにより、(a)前記複数の観測された事象又は特性のうちの少なくとも1つを引き起こすエンティティの振る舞い又はやり方の説明、
(b)前記複数の観測された事象又は特性のうちの少なくとも1つについての、被害者の脆弱性、弱点、又は、構成上の問題、
(c)前記複数の観測された事象又は特性のうちの少なくとも1つによる影響を防止し、緩和し、修復するためにとることのできる特定のアクション、
(d)前記複数の観測された事象又は特性のうちの少なくとも1つを引き起こすエンティティ、及び
(e)将来観測される事象又は特性のうちの少なくとも1つの予測、
からなるグループから選択される少なくとも1つの情報について判断するステップをさらに具備することを特徴とする、請求項14に記載のコンピュータ化された方法。 - 前記少なくとも1つの情報を前記複数の項目のうちの少なくとも1つに追加するステップをさらに具備することを特徴とする、請求項15に記載のコンピュータ化された方法。
- 前記観測された事象又は特性を記述する前記第1の項目に品質基準を割り当てるステップをさらに具備することを特徴とする、請求項5に記載のコンピュータ化された方法。
- 前記品質基準は自動又は手動で前記第1の項目に割り当てられ、前記品質基準は前記第1の項目に先に割り当てられている少なくとも1つの信頼性基準に基づくことを特徴とする、請求項17に記載のコンピュータ化された方法。
- 前記少なくとも1つの信頼性基準は前記第1の項目に自動又は手動で割り当てられ、前記信頼性基準は、
(a)前記観測された事象又は特性を記述する前記第1の項目の作成を引き起こすエンティティの正体、
(b)前記観測された事象又は特性のタイプ、
(c)前記観測された事象又は特性に関連付けられた関連する一連のシステム又はネットワーク活動、及び
(d)前記観測された事象又は特性の原因を引き起こすエンティティ、
のうちの少なくとも1つに基づくことを特徴とする、請求項18に記載のコンピュータ化された方法。 - 脅威情報を保存し分配するための中央リポジトリと、
脅威情報を保存し分配するための複数のローカルリポジトリと、
前記中央リポジトリと前記複数のローカルリポジトリとを接続するネットワークと、
を具備し、
前記ネットワークは、脅威情報の1以上の項目を前記複数のローカルリポジトリのうちの少なくとも1つから前記中央リポジトリへ伝送するよう構成され、そして、脅威情報の1以上の項目を前記中央リポジトリから前記複数のローカルリポジトリのうちの少なくとも1つへ伝送するよう構成されていることを特徴とする、
脅威情報を保存し分配するためのコンピュータ化されたシステム。 - 脅威情報を保存し分配するための前記中央リポジトリは、
(a)脅威情報を前記中央リポジトリに伝送するよう構成されたメーカー独自のフィード、
(b)脅威情報を前記中央リポジトリに伝送するよう構成された公的なフィード、及び
(c)脅威情報を前記中央リポジトリに伝送するよう構成された政府のフィード、
のうちの少なくとも1つと接続されていることを特徴とする、請求項20に記載のコンピュータ化されたシステム。 - 脅威情報を保存し分配するための前記複数のローカルリポジトリのうちの 少なくとも1つは、
(a)脅威情報を前記中央リポジトリに伝送するよう構成されたメーカー独自のフィード、
(b)脅威情報を前記中央リポジトリに伝送するよう構成された公的なフィード、及び
(c)脅威情報を前記中央リポジトリに伝送するよう構成された政府のフィード、
のうちの少なくとも1つと接続されていることを特徴とする、請求項20に記載のコンピュータ化されたシステム。 - 前記複数のローカルリポジトリうちの第1の1つは、脅威情報の項目のうちの少なくとも1つを、前記ネットワークを通じて前記中央リポジトリを介して前記複数のローカルリポジトリのうちの少なくとも第2の1つに伝送するよう構成されていることを特徴とする、請求項20に記載のコンピュータ化されたシステム。
- 前記複数のローカルリポジトリのうちの第1の1つは、脅威情報のうちの少なくとも1つを前記ネットワークを通じて、直接、前記複数のローカルリポジトリのうちの第2の1つに伝送するよう構成されていることを特徴とする、請求項20に記載のコンピュータ化されたシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562149121P | 2015-04-17 | 2015-04-17 | |
| US62/149,121 | 2015-04-17 | ||
| PCT/US2016/027516 WO2016168452A1 (en) | 2015-04-17 | 2016-04-14 | Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2018516419A true JP2018516419A (ja) | 2018-06-21 |
| JP2018516419A5 JP2018516419A5 (ja) | 2020-01-23 |
| JP6736657B2 JP6736657B2 (ja) | 2020-08-05 |
Family
ID=57126834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018505577A Active JP6736657B2 (ja) | 2015-04-17 | 2016-04-14 | 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US10686828B2 (ja) |
| EP (1) | EP3284005B1 (ja) |
| JP (1) | JP6736657B2 (ja) |
| ES (1) | ES2984601T3 (ja) |
| IL (1) | IL255068B (ja) |
| SG (1) | SG11201708551WA (ja) |
| WO (1) | WO2016168452A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021099589A (ja) * | 2019-12-20 | 2021-07-01 | 株式会社日立製作所 | 情報セキュリティ支援システム、情報セキュリティ支援方法 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9886581B2 (en) * | 2014-02-25 | 2018-02-06 | Accenture Global Solutions Limited | Automated intelligence graph construction and countermeasure deployment |
| US10454963B1 (en) * | 2015-07-31 | 2019-10-22 | Tripwire, Inc. | Historical exploit and vulnerability detection |
| WO2017100534A1 (en) * | 2015-12-11 | 2017-06-15 | Servicenow, Inc. | Computer network threat assessment |
| WO2017104655A1 (ja) * | 2015-12-14 | 2017-06-22 | 日本電気株式会社 | 情報分析システム、情報分析方法、及び、記録媒体 |
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| JP6759572B2 (ja) | 2015-12-15 | 2020-09-23 | 横河電機株式会社 | 統合生産システム |
| US11470094B2 (en) | 2016-12-16 | 2022-10-11 | Sap Se | Bi-directional content replication logic for enterprise threat detection |
| US10764306B2 (en) * | 2016-12-19 | 2020-09-01 | Sap Se | Distributing cloud-computing platform content to enterprise threat detection systems |
| US10530794B2 (en) | 2017-06-30 | 2020-01-07 | Sap Se | Pattern creation in enterprise threat detection |
| JP6915457B2 (ja) * | 2017-08-28 | 2021-08-04 | 富士通株式会社 | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 |
| KR101929522B1 (ko) * | 2017-10-19 | 2018-12-17 | 주식회사 이글루시큐리티 | Stix 변환 장치 및 방법 |
| KR101916676B1 (ko) * | 2017-11-27 | 2018-11-08 | 한국인터넷진흥원 | 사이버 위협 인텔리전스 데이터를 수집하는 방법 및 그 시스템 |
| KR102384672B1 (ko) * | 2017-12-01 | 2022-04-11 | 한국전자통신연구원 | 보안 장비, 보안 위협 분석 장치 및 방법 |
| KR102081492B1 (ko) * | 2017-12-13 | 2020-02-25 | 건국대학교 산학협력단 | 사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치 |
| US10771239B2 (en) | 2018-04-18 | 2020-09-08 | International Business Machines Corporation | Biometric threat intelligence processing for blockchains |
| KR101964592B1 (ko) * | 2018-04-25 | 2019-04-02 | 한국전자통신연구원 | 보안위협 정보 공유 장치 및 방법 |
| CN108833389A (zh) * | 2018-06-05 | 2018-11-16 | 北京奇安信科技有限公司 | 一种情报数据共享处理方法及装置 |
| US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11297080B2 (en) | 2018-06-06 | 2022-04-05 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| WO2020026228A1 (en) * | 2018-08-01 | 2020-02-06 | Vdoo Connected Trust Ltd. | Firmware verification |
| US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
| US11546366B2 (en) | 2019-05-08 | 2023-01-03 | International Business Machines Corporation | Threat information sharing based on blockchain |
| USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| WO2021002885A1 (en) * | 2019-07-03 | 2021-01-07 | Cyber Team Six, Llc | Data breach prevention and remediation |
| US11201893B2 (en) * | 2019-10-08 | 2021-12-14 | The Boeing Company | Systems and methods for performing cybersecurity risk assessments |
| US11503047B2 (en) | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
| US12086261B2 (en) * | 2020-03-13 | 2024-09-10 | International Business Machines Corporation | Displaying cyber threat data in a narrative-like format |
| AU2021269370A1 (en) | 2020-12-18 | 2022-07-07 | The Boeing Company | Systems and methods for context aware cybersecurity |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| JP2014228978A (ja) * | 2013-05-21 | 2014-12-08 | アポプラスステーション株式会社 | 医療情報交換システム |
| US8914406B1 (en) * | 2012-02-01 | 2014-12-16 | Vorstack, Inc. | Scalable network security with fast response protocol |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070244981A1 (en) | 2002-06-27 | 2007-10-18 | Malden Matthew S | Disseminating information about security threats |
| US8200700B2 (en) | 2005-02-01 | 2012-06-12 | Newsilike Media Group, Inc | Systems and methods for use of structured and unstructured distributed data |
| US8631068B1 (en) | 2005-08-11 | 2014-01-14 | Myspace Music Llc | Peer-based communications system with scalable data model |
| US8010487B2 (en) * | 2008-06-27 | 2011-08-30 | Microsoft Corporation | Synchronization and collaboration within peer-to-peer and client/server environments |
| US9137258B2 (en) * | 2012-02-01 | 2015-09-15 | Brightpoint Security, Inc. | Techniques for sharing network security event information |
| US9710644B2 (en) * | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
| EP2951753A4 (en) | 2013-01-31 | 2016-09-21 | Hewlett Packard Entpr Dev Lp | TARGETED SECURITY ALERTS |
| US20140222885A1 (en) * | 2013-02-04 | 2014-08-07 | Uni-B Solutions Llc | System for real-time data processing |
| US9336265B2 (en) | 2013-08-06 | 2016-05-10 | Wal-Mart Stores, Inc. | System and method for processing web service transactions using timestamp data |
| US10205798B2 (en) | 2013-09-28 | 2019-02-12 | Mcafee, Llc | Merging multiple system trees over a data exchange layer |
| WO2015054617A1 (en) | 2013-10-11 | 2015-04-16 | Ark Network Security Solutions, Llc | Systems and methods for implementing modular computer system security solutions |
| US9313177B2 (en) | 2014-02-21 | 2016-04-12 | TruSTAR Technology, LLC | Anonymous information sharing |
-
2016
- 2016-04-14 SG SG11201708551WA patent/SG11201708551WA/en unknown
- 2016-04-14 JP JP2018505577A patent/JP6736657B2/ja active Active
- 2016-04-14 EP EP16780738.7A patent/EP3284005B1/en active Active
- 2016-04-14 ES ES16780738T patent/ES2984601T3/es active Active
- 2016-04-14 WO PCT/US2016/027516 patent/WO2016168452A1/en active Application Filing
- 2016-04-14 US US15/098,977 patent/US10686828B2/en active Active
-
2017
- 2017-10-16 IL IL255068A patent/IL255068B/en unknown
-
2020
- 2020-06-12 US US16/900,446 patent/US11115434B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| US8914406B1 (en) * | 2012-02-01 | 2014-12-16 | Vorstack, Inc. | Scalable network security with fast response protocol |
| JP2014228978A (ja) * | 2013-05-21 | 2014-12-08 | アポプラスステーション株式会社 | 医療情報交換システム |
Non-Patent Citations (1)
| Title |
|---|
| HOMELAND SECURITY SYSTEMS ENGINEERING AND DEVELOPMENT INSTITUTE: "Threat intelligence Sharing using STIX and TAXII", SECURITY 360 SPEAKER SLIDES 2014, JPN6020007338, 14 May 2014 (2014-05-14), pages 1 - 33, ISSN: 0004222411 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021099589A (ja) * | 2019-12-20 | 2021-07-01 | 株式会社日立製作所 | 情報セキュリティ支援システム、情報セキュリティ支援方法 |
| JP7245765B2 (ja) | 2019-12-20 | 2023-03-24 | 株式会社日立製作所 | 情報セキュリティ支援システム、情報セキュリティ支援方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| IL255068A0 (en) | 2017-12-31 |
| EP3284005B1 (en) | 2024-06-05 |
| US20160366174A1 (en) | 2016-12-15 |
| JP6736657B2 (ja) | 2020-08-05 |
| EP3284005A1 (en) | 2018-02-21 |
| IL255068B (en) | 2021-07-29 |
| US10686828B2 (en) | 2020-06-16 |
| EP3284005A4 (en) | 2018-12-19 |
| SG11201708551WA (en) | 2017-11-29 |
| WO2016168452A1 (en) | 2016-10-20 |
| ES2984601T3 (es) | 2024-10-30 |
| US11115434B2 (en) | 2021-09-07 |
| US20210185082A1 (en) | 2021-06-17 |
| EP3284005C0 (en) | 2024-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11115434B2 (en) | Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format | |
| Ryu et al. | A blockchain-based decentralized efficient investigation framework for IoT digital forensics | |
| US10887330B2 (en) | Data surveillance for privileged assets based on threat streams | |
| Casino et al. | Research trends, challenges, and emerging topics in digital forensics: A review of reviews | |
| Ariffin et al. | Indicators for maturity and readiness for digital forensic investigation in era of industrial revolution 4.0 | |
| Johnson et al. | Guide to cyber threat information sharing | |
| US20150172311A1 (en) | Collaborative system for cyber security analysis | |
| Ganesh et al. | A systematic literature review on forensics in cloud, IoT, AI & blockchain | |
| Rizov | Information sharing for cyber threats | |
| Salau et al. | Towards a Threat Model and Security Analysis for Data Cooperatives. | |
| Henriques et al. | A survey on forensics and compliance auditing for critical infrastructure protection | |
| Khan et al. | Towards augmented proactive cyberthreat intelligence | |
| Tyagi et al. | Digital Health Communication With Artificial Intelligence-Based Cyber Security | |
| Brotsis et al. | Blockchain meets Internet of Things (IoT) forensics: A unified framework for IoT ecosystems | |
| Ayedh M et al. | Systematic Literature Review on Security Access Control Policies and Techniques Based on Privacy Requirements in a BYOD Environment: State of the Art and Future Directions | |
| Shandilya et al. | Achieving Digital Resilience with Cybersecurity | |
| Kanth | Blockchain for use in collaborative intrusion detection systems | |
| Preuveneers et al. | Privacy-preserving correlation of cross-organizational cyber threat intelligence with private graph intersections | |
| Ajayi | Blockchain-Based Architecture for Secured Cyberattack Signatures and Features Distribution | |
| Ghauri | Digital Security Versus Private Information | |
| Stefan | The Use of Intelligent Technologies in the Development of Digital Transformation as a Government Strategy | |
| Velazquez | Examining Information Security Policy Violations, Rationalization of Deviant Behaviors, and Preventive Strategies | |
| Sekhar et al. | Cyber-security in society 5.0 | |
| Hedemalm | An empirical comparison of the market-leading IDS's | |
| Shahi | Tactics, Techniques and Procedures (TTPs) to Augment Cyber Threat Intelligence (CTI): A Comprehensive Study |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20180309 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20180309 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180926 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20180926 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190410 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190410 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191209 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200303 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200603 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200616 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200715 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6736657 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |