JP2019511048A - 検出された脅威イベントに基づく識別情報のセキュリティと封じ込め - Google Patents
検出された脅威イベントに基づく識別情報のセキュリティと封じ込め Download PDFInfo
- Publication number
- JP2019511048A JP2019511048A JP2018545933A JP2018545933A JP2019511048A JP 2019511048 A JP2019511048 A JP 2019511048A JP 2018545933 A JP2018545933 A JP 2018545933A JP 2018545933 A JP2018545933 A JP 2018545933A JP 2019511048 A JP2019511048 A JP 2019511048A
- Authority
- JP
- Japan
- Prior art keywords
- security
- alert
- identification information
- user identification
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Abstract
【課題】警告ソースからのセキュリティ警告をコンシュームする。【解決手段】警告ソースは識別情報プロバイダーにセキュリティ警告を送出する。各セキュリティ警告は、警告ユーザ識別情報及びセキュリティ脅威と関連する。ユーザ識別情報が安全なリソースへのアクセスを要求する場合、識別情報プロバイダーは、ユーザ識別情報を警告ユーザ識別情報と照合することなどにより、ユーザ識別情報と関連するセキュリティ警告を検索する。セキュリティ警告及びセキュリティ方針に基づいて、識別情報プロバイダーはユーザ識別情報に様々なセキュリティ動作を実行する。識別情報プロバイダーは、ユーザ識別情報の安全なリソースへのアクセスを拒否し、又は安全なリソースへのアクセスが提供される前に、追加の認証要素を要求する。又は識別情報プロバイダーは、ユーザ識別情報を封じ込めることなしに、安全なリソースへのアクセスを提供する。【選択図】図2
Description
ユーザは、ネットワーク上の安全なリソースまたはアプリケーションにアクセスするために、デスクトップコンピュータ、スマートフォン、タブレット及びノートブックなどの電子装置を使用することを試みる。例えば、あるユーザは、インターネットを介して安全なウェブサイトにアクセスするようデスクトップコンピュータ上のブラウザに指示する。そのユーザは、ユーザ識別情報と関連付けられ、使用される電子装置は、終端装置と呼ばれる。ユーザが希望するコンテンツを含む安全なリソース、アプリケーション又はウェブサイトへのアクセスは、コンピュータ装置、サービス又はアプリケーションにより制御される。
セキュリティの脆弱性を減らすために、ユーザ識別情報が厳密に確認され、セキュリティ脅威により侵害(comprised)されていない場合のみ、安全なリソースへのアクセスが提供されるべきである。それに対し、ユーザ識別情報がセキュリティ脅威により侵害されていると検出された場合、安全なリソースへのアクセスは自由に提供されるべきではない。
コンピュータ端末やモバイル装置などの終端装置のユーザは、自身のユーザ識別情報を通して、安全なウェブサイトなどの安全なリソースへのアクセスを取得することを試みる。ユーザは、自身の終端装置が不正アクセスされている、又はマルウェアに感染されていることに気付いていない。あるいは、ユーザ識別情報は、フィッシング攻撃などを通して、盗まれていて、別の悪意あるユーザが、安全なリソースにアクセスすることを試みようとして、そのユーザ識別情報を使用している。このため、安全なリソースへのアクセスを要求するために使用されている装置よりむしろ、ユーザ識別情報のリアルタイムな封じ込め(containment)を提供する必要がある(なぜなら、悪意あるユーザが別の装置上で盗まれたユーザ識別情報をまさに使用している可能性があるためである)。
ユーザ識別情報を封じ込めることは、非常に状況特有(例えば、只今発生しているか、又は先程発生した事例)な悪意ある活動に対する保護を可能にする高厳密性(high fidelity)のアプローチである。これを行うための1つの方法は、脅威検出装置又はマルウェア検出フィード(feed)などの警告ソースに、関連するセキュリティ脅威に対してユーザ識別情報を監視させることである。警告ソースは、サードパーティの脅威検出製品とすることができる。例えば、警告ソースは、フィッシング電子メールのターゲットとなるユーザを監視する。ユーザがフィッシングリンクをクリックした場合、ユーザ識別情報は侵害されたと見なされ、警告ソースは警告を送出する。
識別情報プロバイダーは、脅威データと共にセキュリティイベント/警告を受信し、コンシュームする。そして、識別情報プロバイダーは、オリジナルのセキュリティイベント/警告に基づき、安全なリソースを管理している組織が許容しようとするリスクのレベルに応じて、識別情報を制御する。高厳密性の警告/イベントに関連した重大なセキュリティリスクの場合、組織は、(標準のユーザ名やパスワードに加えて追加のワンタイムパスワードや生体情報などを要求することにより)認証するために必要な全てのユーザ識別情報のセキュリティレベルを引き上げるセキュリティ方針を実施することを選択する。識別情報プロバイダーは、ユーザアカウントを無効にする、又はユーザに認証の第2の要素を提供させることにより、個々のユーザ識別情報を隔離又は封じ込めすることもできる。このため、本開示の実施例は、警告を受信し、警告を評価し、及び警告に基づきユーザ識別情報にセキュリティ方針を実施することが可能なシステムと方法に関連する。
ここに記載されるシステムと方法は、それぞれ、幾つかの態様を有し、それらのうちの単一のものが、その望ましい特性に対して単独に関与するわけではない。本開示の範囲を限定することなく、幾つかの非限定的な特徴が簡潔に記載される。
システムはハードウェアプロセッサを有する予め構築されたアプライアンス又はサーバを備えてもよいが、幾つかの実施例において、システムは、(仮想イメージをサポートする任意の標準コンピューティングシステム上でアプライアンスをエミュレートするために使用することができるVMWareイメージなど)仮想アプライアンスを備えることもできる、ということに留意されたい。アプライアンス及び/又はクライアント装置のその他の構成、特徴、機能及びオプションに関する更なる情報及び背景については、それぞれが、全ての目的のためにそれらの全てが参照によってここに援用される、米国特許第8,327,142号、第8,301,877号、第8,707,031号、第8,613,067号、第8,510,816号、第8,769,651号や2014年2月18日に出願された米国仮特許出願第61/941286号を参照されたい。
幾つかの実施例によれば、コンピューティングアプライアンスは、警告ソースからのセキュリティ警告をコンシュームするよう記載される。システムは、1つ以上のプロセッサ、コンピュータ読み取り可能メモリ、及びコンピュータ読み取り可能メモリに格納された実行可能命令を含む認証プログラムを有することができる。実行可能命令は、前記1つ以上のプロセッサに少なくとも、コンピュータネットワーク上の警告ソースからセキュリティ警告を受信し、前記セキュリティ警告は、セキュリティ脅威及び警告ユーザ識別情報と関連し、前記セキュリティ警告から前記警告ユーザ識別情報を導出し、前記セキュリティ警告及びセキュリティプロトコルに基づいてセキュリティ動作を決定し、安全なリソースにアクセスするための要求を前記コンピュータネットワーク上で受信し、前記要求はユーザ識別情報と関連し、前記警告ユーザ識別情報と関連する前記決定されたセキュリティ動作を確認するため、前記ユーザ識別情報を前記警告ユーザ識別情報と照合し、前記ユーザ識別情報に対して前記決定されたセキュリティ動作を実施するよう指示する。
幾つかの実施例において、セキュリティ動作を決定するために、前記実行可能命令は、前記1つ以上のプロセッサに、前記セキュリティプロトコルで定義される動作カテゴリ内に前記セキュリティ警告を分類するよう更に指示し、前記セキュリティプロトコルは少なくとも2つの動作カテゴリを含む。幾つかの実施例において、前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、前記セキュリティ動作が前記ユーザ識別情報の前記安全なリソースへのアクセスを拒否することを含む拒否アクセスカテゴリと、前記セキュリティ動作が前記ユーザ識別情報から少なくとも1つの追加のセキュリティ要素を要求することを含む強化セキュリティカテゴリと、を含む。幾つかの実施例において、前記少なくとも1つの追加のセキュリティ要素は、ユーザ名、パスワード、ワンタイムパスワード又は生体認証の少なくとも1つを含む。幾つかの実施例において、前記ユーザ識別情報が前記警告ユーザ識別情報に対応することができない場合、前記実行可能命令は、前記1つ以上のプロセッサに、前記安全なリソースへのアクセスを前記ユーザ識別情報に提供するよう更に指示する。幾つかの実施例において、前記警告ソースは、マルウェア検出フィードである。
幾つかの実施例によれば、コンピュータ化された方法は、導出される資格情報をターゲット装置に提供するよう記載される。方法は、コンピュータの命令を実行する1つ以上のハードウェアプロセッサにより、コンピュータネットワーク上の警告ソースからセキュリティ警告を受信するステップであって、前記セキュリティ警告はセキュリティ脅威及び警告ユーザ識別情報と関連する、ステップと、前記セキュリティ警告から前記警告ユーザ識別情報を導出するステップと、前記セキュリティ警告及びセキュリティプロトコルに基づいてセキュリティ動作を決定するステップと、安全なリソースにアクセスするための要求を前記コンピュータネットワーク上で受信するステップであって、前記要求はユーザ識別情報と関連する、ステップと、前記警告ユーザ識別情報と関連する前記セキュリティ警告を獲得するため、前記ユーザ識別情報を前記警告ユーザ識別情報と照合するステップと、前記ユーザ識別情報に対して前記決定されたセキュリティ動作を実施するステップと、を含む。
幾つかの実施例において、前記セキュリティ動作を決定するステップは、前記セキュリティプロトコルで定義される動作カテゴリ内に前記セキュリティ警告を分類するステップを含み、前記セキュリティプロトコルは少なくとも2つの動作カテゴリを含む。幾つかの実施例において、前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、前記セキュリティ動作が前記ユーザ識別情報の前記安全なリソースへのアクセスを拒否することを含む拒否アクセスカテゴリと、前記セキュリティ動作が前記ユーザ識別情報から少なくとも1つの追加のセキュリティ要素を要求することを含む強化セキュリティカテゴリと、を含む。幾つかの実施例において、前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、前記セキュリティ動作が前記安全なリソースへのアクセスを前記ユーザ識別情報に提供することを含む許可アクセスカテゴリを含む。幾つかの実施例において、前記少なくとも1つの追加のセキュリティ要素は、ユーザ名、パスワード、ワンタイムパスワード又は生体認証の少なくとも1つを含む。幾つかの実施例において、前記ユーザ識別情報を前記警告ユーザ識別情報と照合するステップが不成功である場合、前記安全なリソースへのアクセスを前記ユーザ識別情報に提供するステップを更に含む。幾つかの実施例において、前記警告ソースは、マルウェア検出フィードである。
幾つかの実施例によれば、コンピュータ化された方法は、セキュリティ警告を送出し、及びコンシュームするよう記載される。方法は、コンピュータの命令を実行する1つ以上のハードウェアプロセッサにより、セキュリティ脅威を検出するステップであって、前記セキュリティ脅威はユーザ識別情報と関連する、ステップと、セキュリティ警告を生成するステップであって、前記セキュリティ警告は前記セキュリティ脅威及び警告ユーザ識別情報と関連し、前記警告ユーザ識別情報は前記ユーザ識別情報に基づく、ステップと、前記セキュリティ警告をコンピュータネットワーク上に送信するステップと、前記セキュリティ警告をコンピュータネットワーク上で受信するステップと、前記セキュリティ警告から前記警告ユーザ識別情報を導出するステップと、前記セキュリティ警告及びセキュリティプロトコルに基づいてセキュリティ動作を決定するステップと、安全なリソースにアクセスするための要求を前記コンピュータネットワーク上で受信するステップであって、前記要求はユーザ識別情報と関連する、ステップと、前記警告ユーザ識別情報と関連する前記セキュリティ警告を獲得するため、前記ユーザ識別情報を前記警告ユーザ識別情報と照合するステップと、前記ユーザ識別情報に対して前記決定されたセキュリティ動作を実施するステップと、を含む。
幾つかの実施例において、前記セキュリティ脅威を検出するステップは、終端装置上のマルウェアを監視するステップを含み、前記終端装置は、コンピューティング装置、スマートフォン、タブレット又はノートブックコンピュータを含む。幾つかの実施例において、前記セキュリティ動作を決定するステップは、前記セキュリティプロトコルで定義される動作カテゴリ内に前記セキュリティ警告を分類するステップを含み、前記セキュリティプロトコルは少なくとも2つの動作カテゴリを含む。幾つかの実施例において、前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、前記セキュリティ動作が前記ユーザ識別情報の前記安全なリソースへのアクセスを拒否することを含む拒否アクセスカテゴリと、前記セキュリティ動作が前記ユーザ識別情報から少なくとも1つの追加のセキュリティ要素を要求することを含む強化セキュリティカテゴリと、を含む。幾つかの実施例において、前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、前記セキュリティ動作が前記安全なリソースへのアクセスを前記ユーザ識別情報に提供することを含む許可アクセスカテゴリを含む。幾つかの実施例において、前記少なくとも1つの追加のセキュリティ要素は、ユーザ名、パスワード、ワンタイムパスワード又は生体認証の少なくとも1つを含む。幾つかの実施例において、前記ユーザ識別情報を前記警告ユーザ識別情報と照合するステップが不成功である場合、前記安全なリソースへのアクセスを前記ユーザ識別情報に提供するステップを更に含む。
以下の図及び関連する記載は、本開示の実施例を説明するために提供され、特許請求の範囲を限定するものではない。本開示の態様及び多くの付随する効果は、添付の図面と併せ、以下の詳細な説明を参照することにより、より容易に認識され、同時により良く理解される。
特定の好ましい実施形態及び実施例が以下に示されるが、発明の主題は、特に開示された実施形態を超えて、その他の代替の実施形態及び/又は用途、その変形及び等価物に及ぶ。このため、ここに添付される特許請求の範囲は、以下に記載される特定の実施形態のいずれにも制限されない。例えば、ここに記載される何らかの方法又はプロセスにおいて、その方法又はプロセスの行為又は動作が、ある適切なシーケンスで実行されてもよく、ある特定の開示されたシーケンスに必ずしも限定されない。特定の実施形態の理解に役に立つような方法で、様々な動作が複数の個別の動作として順に記載される。しかし、記載の順番は、それらの動作が順番に左右されることを暗示していると解釈すべきではない。さらに、ここに記載される構成、システム及び/又は装置は、統合されたコンポーネント又は別個のコンポーネントとして具体化されてもよい。様々な実施形態を比較する目的のため、これら実施形態の特定の態様及び効果が記載される。全てのこのような態様又は効果が、何らかの特定の実施形態により必ずしも達成される訳ではない。このため、例えば、ここに更に教示又は示唆されるようなその他の態様又は効果を必ずしも達成することなしに、ここに教示されるような1つの効果又は一群の効果を達成又は最適化する方法で、様々な実施形態を実行することができる。
用語
ここで考察されるシステム及び方法の理解を容易にするため、以下に幾つかの用語が定義される。以下で定義される用語は、ここで使用されるその他の用語と同様に、制限なしに、与えられた定義、用語の一般的及び慣例的な意味、及び/又はそれぞれの用語に対するその他の暗黙的な意味を含むように広く解釈すべきである。このため、以下の定義は、これら用語の意味を制限するものではなく、例示的な定義を提供するだけである。
ここで考察されるシステム及び方法の理解を容易にするため、以下に幾つかの用語が定義される。以下で定義される用語は、ここで使用されるその他の用語と同様に、制限なしに、与えられた定義、用語の一般的及び慣例的な意味、及び/又はそれぞれの用語に対するその他の暗黙的な意味を含むように広く解釈すべきである。このため、以下の定義は、これら用語の意味を制限するものではなく、例示的な定義を提供するだけである。
データベース又はデータストア:特に、リレーショナルデータベース(例えば、オラクルデータベース、SQLデータベース、mySQLデータベースなど)、active directory/LDAPディレクトリ、スプレッドシート、XMLファイル、及びテキストファイルを含み、しかしこれらに制限されないデータを格納及び/又は体系化するための任意のデータ構造に対する広義語。様々な用語「データベース」、「データストア」及び「データソース」は、本開示において、同義で使用できる。
ユーザ識別情報:固有で個々のユーザに関連する識別情報を参照するために使用される広義語である。ユーザアカウント名又は番号、セキュリティ資格情報(credential)又は証明書、又は電子メールなどのその他の識別情報が参照される。
安全なリソース:アクセスのためにユーザ識別情報又は資格情報の検証又は認証を要求するコンピュータベースのリソースに対する広義語である。これは、ローカル、企業又はクラウドのリソース(即ち、何らかのウェブ、ネットワーク、モバイル又はクラウドのリソース)とすることができる。
終端装置:安全なリソースにアクセスすることができる電子又はコンピューティング装置に対する広義語である。終端装置は、携帯電話、スマートフォン、タブレット、ラップトップ、ノートブック、クロムブックなどを含むことができる。
警告ソース:セキュリティ警告を生成し、送出する装置、サービス又はアプリケーション。セキュリティ警告は、セキュリティ警告をトリガーするユーザ識別情報に関連する。警告ソースは、脅威検出器/保護器となり得る。警告ソースは、セキュリティ脅威を発見し、それに基づきセキュリティ警告を生成/送出するため、コンピュータネットワーク又は終端装置を監視することができる。警告ソースは、マルウェア検出フィードとすることができ、マルウェアに感染した装置を検出し、脅威の特性(nature)と潜在的リスクの両方を決定することができる。
識別情報プロバイダー:セキュリティ警告を受信する装置、サービス又はアプリケーション。識別情報プロバイダーは、セキュリティプロトコルに基づいて、各セキュリティ警告に関連するセキュリティリスクを評価するためにセキュリティ警告をコンシュームする。識別情報プロバイダーは、セキュリティプロトコルに基づいて、各セキュリティ警告に対して取るための適切な動作を識別することもできる。識別情報プロバイダーは、安全なリソースへの門番として動作し、安全なリソースにアクセスするためにユーザ及び/又はユーザ識別情報から要求を受信することができる。識別情報プロバイダーは、ユーザ識別情報に実施するための適切な動作を決定するために、セキュリティ警告内のユーザ識別情報を検索することができる。
セキュリティプロトコル:識別情報プロバイダーを統制する予め決められた規則のセットである。セキュリティプロトコルは、安全なリソースへのアクセスを試みているユーザ識別情報に、識別情報プロバイダーにおけるどのような行動を取るかを特定することができる。例えば、セキュリティプロトコルは、各カテゴリに結び付いた行動(例えば、アクセスを拒否する、セキュリティを強化する、アクセスを許可する)を伴う予め決められたカテゴリのセット(例えば、高リスク、中リスク、低リスク)とすることができる。安全なリソースにアクセスするための要求を受信すると、識別情報プロバイダーは、セキュリティプロトコルを参考にして、取るための適切な行動を決定するために、予め決められたカテゴリの1つにユーザ識別情報を分類することを試みることができる。
図の記載
本開示の実施例は、添付の図面を参照して記載され、全体を通して、同等の符号は同等の要素を参照する。ここに提示される記載において使用される専門用語は、単に本開示のある特定の実施例の詳細な説明と併せて利用されているため、制限又は限定的な何らかの方法で解釈されることを目的としたものではない。更に、先に及び/又は以下に記載の本開示の実施例は、幾つかの新たな特徴を含み、それらの単一のものは、その望ましい特性に全ての責任を負うものではなく、又は、ここに記載される本開示の実施例を実行することに不可欠なものではない。
本開示の実施例は、添付の図面を参照して記載され、全体を通して、同等の符号は同等の要素を参照する。ここに提示される記載において使用される専門用語は、単に本開示のある特定の実施例の詳細な説明と併せて利用されているため、制限又は限定的な何らかの方法で解釈されることを目的としたものではない。更に、先に及び/又は以下に記載の本開示の実施例は、幾つかの新たな特徴を含み、それらの単一のものは、その望ましい特性に全ての責任を負うものではなく、又は、ここに記載される本開示の実施例を実行することに不可欠なものではない。
1.実装環境例
図1を参照すると、例となるコンピュータネットワーク10は、様々なデータ処理装置又はコンピュータ12、14を含む。詳細には、コンピュータ12は、クライアント装置として機能するパーソナルコンピュータ又はワークステーションであり、中央処理ユニット、記憶装置などを収容するシステムユニット16を含むことができる。コンピュータ12は、ディスプレイユニット18、及びキーボード20aとマウス20bなどの入力装置20を含むこともできる。
図1を参照すると、例となるコンピュータネットワーク10は、様々なデータ処理装置又はコンピュータ12、14を含む。詳細には、コンピュータ12は、クライアント装置として機能するパーソナルコンピュータ又はワークステーションであり、中央処理ユニット、記憶装置などを収容するシステムユニット16を含むことができる。コンピュータ12は、ディスプレイユニット18、及びキーボード20aとマウス20bなどの入力装置20を含むこともできる。
システムユニット16は、制御を変更する入力装置20からの様々な入力及び中央処理ユニットにより実行される予めプログラムされた命令のフローを受信し、そのような実行の結果はディスプレイユニット18上に示されるものと理解される。本発明の1つの実施例において、クライアント装置12又はコンピューティング装置12としても呼ばれるクライアントコンピュータ12は、例えば、携帯電話又はタブレットやノートブックコンピュータなどのその他の携帯電子装置を含むこともできる。
コンピュータ14は、クライアントコンピュータ12にデータ又はサービスを提供するサーバとすることができる。これに関して、用語「クライアント」は、データ又はサービスの要求元装置(requestor)としてのコンピュータ12の役割を参照するものと理解され、一方、用語「サーバ」は、そのようなデータ又はサービスを提供するためのサーバ14の役割を参照するものと理解される。更に、コンピュータ12は、1つのトランザクションにおいてデータ又はサービスを要求し、別のトランザクションにおいてデータ又はサービスを提供し、このため、その役割をクライアントからサーバに、又はその逆に変換することも可能である。ここで用いられるような用語「サーバ」は、セキュア・ソケット・レイヤ/トランスポート・レイヤ・セキュリティ(SSL/TLS)仮想プライベートネットワーク(VPN)など、それを通して従来のサーバ14が遠隔クライアントにデータ及びアプリケーションを提供するネットワーク化されたサービスと一般的に参照することもできると更に理解される。
コンピュータ12、14は、ネットワーク接続24を介して、インターネット22などの広域ネットワークに接続される。クライアントコンピュータ12からの要求及びサーバコンピュータ14からの要求されたデータは、ネットワーク接続24を介して伝達される。本発明の1つの実施例によれば、サーバコンピュータ14はウェブサーバであり、クライアントコンピュータ12は、サーバコンピュータ14により提供されるドキュメントをディスプレイユニット18上に視覚的にレンダリングするマイクロソフト・インターネット・エクスプローラなどのウェブブラウジングアプリケーションを含む。図1に示されるネットワーク・トポロジーは、例示のみの目的で提示され、限定の目的で提示されるものではなく、本開示の範囲から逸脱することなしに、ローカル及び/又は広域ネットワークのその他のタイプが容易に置換できるものと認識される。任意の既知のデータ送信プロトコルが、ネットワーク接続24及びインターネット22に対して利用できると理解される。
各サーバ14は、図2、3(以下に記載)における識別情報プロバイダー214と同類であり、又は図4における警告評価412若しくはセキュリティ方針実施414を実行するサーバであり、又は図5におけるセキュリティ方針512により管理されるものとすることができる。サーバ14は、安全なリソースにアクセスするために、セキュリティ警告を受信し、ユーザ識別情報から要求を受信することができるソフトウェアを配備することができる。サーバ14は、セキュリティ警告をコンシュームし、セキュリティプロトコルに基づいてセキュリティ動作を決定するためにセキュリティ警告を評価し、及び安全なリソースへのユーザ識別情報のアクセスを提供又はユーザ識別情報を封じ込めの一方を行うことができるソフトウェアを配備することができる。
本発明の1つの実施例において、各サーバ14は、ウェブサーバ、オンライン企業又はホスティング(hosting)サービスとすることができる。サーバ14は、警告評価及び方針実施コンポーネントを実行することができる。この警告評価及び方針実施コンポーネントは、安全なリソースへのユーザアクセスを承認するかどうか、又はユーザを封じ込める若しくは隔離するかどうかを決定するために、サードパーティフィードからセキュリティ警告を受け取ることができる。
幾つかの実施例において、警告評価及び方針実施コンポーネントは、サーバ14にインストールされたウェブプラグインなどのプラグインソフトウェアコンポーネントである。本発明のその他の態様は、ネットワーク接続24を介してサーバ14にダウンロード可能なサーバコンポーネントを考慮している。警告評価及び方針実施機能は、選択的に、サーバ14とインターフェースで接続されたスタンドアロン装置に実装することができる。
2.識別情報のセキュリティ及び封じ込め環境例
図2は、本開示の実施例による例示的な識別情報のセキュリティ及び封じ込め環境を説明するブロック図である。
図2は、本開示の実施例による例示的な識別情報のセキュリティ及び封じ込め環境を説明するブロック図である。
ユーザ202は、安全なリソース216にアクセスすることに関心がある。安全なリソース216は、ローカル、企業又はクラウドのリソース(例えば、何らかのウェブ、ネットワーク、モバイル又はクラウドのリソース)とすることができる。安全なリソース216は、アプリケーション、ウェブサイト又はデータストアとすることができる。安全なリソース216は、ユーザ202がアクセスを希望するデータを有し、あるいは安全なリソース216は、ユーザ202が利用を希望するサービスを提供する役割を果たすことができる。
ユーザ202は、終端装置206にアクセスすることができる。終端装置206は、安全なリソース216にアクセスできる任意の電子装置である。終端装置206は、デスクトップコンピュータ、携帯電話、タブレット、ノートブックコンピュータなどとすることができる。ユーザは、例えば、終端装置206上のブラウザ内のユニフォーム・リソース・ロケータ(URL)に入ることにより、又は安全なリソース216にアクセスするように設定された終端装置206にインストールされたソフトウェアアプリケーションを開くことにより、安全なリソース216にアクセスすることを試みるよう終端装置206に指示することができる。
ユーザ202は、識別情報204などのユーザ識別情報と関連することができる。識別情報204は、ユーザアカウントとすることができ、ユーザアカウントは、ユーザ202により設定される。ユーザアカウントは、ユーザ202と関連する特性又は属性と結び付けることができる。ユーザ202は、識別情報204などの関連するユーザ識別情報を伴う終端装置206を使用することができる。識別情報204は、終端装置206自体にログインする又はアクセスするために使用することができる。また、識別情報204は、安全なリソース216にログインする又はアクセスするために使用することもできる。終端装置206は、セキュリティ検査又は識別情報認証処理の間に安全なリソース216に識別情報204を提供することができる。
終端装置206は、終端脅威検出212により監視される。終端脅威検出212は、1つ以上のコンピューティング装置及び/又はソフトウェアアプリケーションとすることができる。終端脅威検出212は、終端装置206上のセキュリティ脆弱性(フィッシング、マルウェア、ソーシャル・エンジニアリングなど)を検出することができる。終端脅威検出212は、脅威動作主体の活動の兆候又は指標を監視し、重大性、正確性及び状況について脅威イベントを調査することにより、終端装置206がいつ侵害されたかをリアルタイムで検出することができる。終端脅威検出212は、識別情報204がいつ侵害されたかを検出することができる。終端脅威検出212は、終端装置206又は識別情報204のどちらかが侵害された場合、識別情報プロバイダー214にリアルタイムで警告を送出することができる。警告は、侵害の性質及び侵害された関連する識別情報204を記述することができる。
識別情報204は、ネットワーク208などのネットワーク上で使用される。ネットワーク208は、インターネットであり、又は企業又はローカルネットワークとすることができる。ネットワーク208は、ネットワーク脅威検出210により監視される。ネットワーク脅威検出210は、1つ以上のコンピューティング装置及び/又はソフトウェアアプリケーションとすることができる。ネットワーク脅威検出210は、終端脅威検出212と同様の役割を実行することができ、識別情報204がいつ侵害されたかを決定することができる。ネットワーク脅威検出210は、ネットワーク208又は識別情報204のどちらかが侵害された場合、識別情報プロバイダー214にリアルタイムで警告を送出することができる。警告は、侵害の性質及び侵害された関連する識別情報204を記述することができる。
識別情報プロバイダー214は、ネットワーク脅威検出210及び終端脅威検出212からリアルタイムで警告を受信し、コンシュームすることができる。ユーザ202、又はその他の人物が、識別情報204を用いて安全なリソース216にアクセスを試みる場合、識別情報プロバイダー214は、サードパーティの脅威検出製品からのセキュリティイベント又は警告をコンシュームし、識別情報204(これは、ユーザアカウントとすることができる)に対するアクセスを制御することができる。識別情報プロバイダー214は、セキュリティイベント又は警告と関連するリスクのレベルに応じて、識別情報204に対するアクセスを制御することができる。例えば、識別情報プロバイダー214は、幾つかのセキュリティイベントに対して識別情報204を完全に閉鎖することができる。その他のセキュリティイベントに対して、識別情報プロバイダー214は、追加の認証要素又は資格情報を要求することなどにより、識別情報204に対するセキュリティのレベルを強化することができる。そして、ユーザ202が識別情報204に関連する追加の要素を提供する、又は識別情報204に関連するセキュリティ警告がなかった場合、識別情報プロバイダー214は、識別情報204に対する安全なリソース216へのアクセスを提供することができる。識別情報プロバイダー214は、シングルサインオン(SSO)トークンを提供するなど、安全なリソース216へのアクセスを承認するトークン又は証明書を発行することができる。
3.識別情報プロバイダーの配置例
図3Aと3Bは、識別情報プロバイダーがユーザ識別情報に対する安全なリソースへのアクセスをどのように制御するかを説明するフローチャートである。
図3Aと3Bは、識別情報プロバイダーがユーザ識別情報に対する安全なリソースへのアクセスをどのように制御するかを説明するフローチャートである。
図3Aを参照すると、識別情報204(ユーザアカウントなど)は、安全なリソース216に試み、アクセスするために使用される。識別情報204は、終端装置206上で使用され、終端装置は、安全なリソース216(コンピュータ、携帯電話、タブレット又はノートブックコンピュータなど)にアクセスできる任意の電子装置とすることができる。
終端装置206は、インターネット22を通じて安全なリソース216に接続することを試みる。しかし、幾つかの実施例において、終端装置206は、安全なリソース216にアクセスするためにインターネット22に接続する必要がない。例えば、安全なリソース216は、終端装置206と同じローカルエリアネットワーク上とすることができる。終端装置206は、そのネットワークを通じて安全なリソース216に接続することを試みる。
しかし、安全なリソース216へのアクセスが終端装置206及び識別情報204に承認される前に、識別情報プロバイダー214は、識別情報204に関するセキュリティ検査を実行することができる。識別情報プロバイダー214は、識別情報204に関連する警告22をコンシュームすることができる。警告22は、識別情報プロバイダー214が識別情報204に関連するリスクを決定することを支援するセキュリティ警告とすることができる。
予め決められたセキュリティ方針に基づき、識別情報プロバイダー214は、警告及び識別情報204に関連するリスクのレベルに従い異なる動作を実行することができる。高忠実性のイベント又は警告を伴う重大なセキュリティリスクなどの高度のリスク対し、セキュリティ方針は、安全なリソース216へのアクセスを完全に拒否することにより、ユーザアカウント又は識別情報がそれらのアカウントを封じ込めることを指示することができる。セキュリティ方針は、現在のリスクのレベルに基づき、ユーザアカウント認証に対するセキュリティのレベルが増加するよう指示することもできる。例えば、最も低いレベルのリスクにおいて、識別情報プロバイダー214は、ユーザ名及びパスワードを要求することにより、安全なリソース216へのアクセスを提供することができる。より高いレベルのリスクにおいて、識別情報プロバイダー214は、ユーザ名及びパスワードに加え、ユーザ識別情報204と関連する追加の認証要素を要求することにより、安全なリソース216へのアクセスを提供することができる。追加の認証要素の幾つかの非限定的な例は、ワンタイムパスワード(OTP)又は生体認証を含む。
図3Bを参照すると、安全なリソース216にアクセスしている識別情報204に対する処理は、重要な違い:安全なリソース216との接続が仮想プライベートネットワーク(VPN)VPN302を通じて行われる、を伴い似ている。識別情報204は、インターネット22に接続し、及びVPN302に接続することができる終端装置206で利用される。終端装置206はVPN302に接続し、識別情報204はVPN302にログインすることを試みるために使用される。
識別情報プロバイダー214は、VPN302と動作するように構成される。識別情報プロバイダー214は、識別情報204を調べ、警告22などの識別情報と関連する警告をコンシュームする。警告22は、サードパーティの脅威検出サービス、アプリケーション又は装置により提供されてもよい。識別情報プロバイダー214は、警告22に関連するリスクレベルを決定するために警告22を評価し、関連するセキュリティリスクがある場合、識別情報プロバイダー214は、予め決められたセキュリティ方針に基づき識別情報204を封じ込めることができる。識別情報204は、VPN302へのアクセスを完全に拒否することができ、又は適切な強化されたワークフローが、封じ込められた識別情報204を用いている任意のユーザ又はエンティティに提供される。封じ込めを中断するために、識別情報204に関連する追加の認証要素が識別情報プロバイダー214に提供される必要がある。
4.警告をコンシュームする
図4は、本開示の1つの実施例に従い、セキュリティ方針を実施するために、識別情報プロバイダーがどのように警告をコンシュームするかを説明するフローチャートである。
図4は、本開示の1つの実施例に従い、セキュリティ方針を実施するために、識別情報プロバイダーがどのように警告をコンシュームするかを説明するフローチャートである。
脅威検出402は、クラウド、アクロス(across)ネットワークサービス内のインターネットゲートウェイ、及び/又は終端装置又はクライアント上のウェブ/セキュリティ脅威に対して検出又は保護をするよう構成された装置、アプリケーション又はサービスとすることができる。脅威検出402は、ネットワークの複数のコンポーネントにわたり脅威の重層的(multi-layered)検出を提供することができる。脅威検出402は、1つ以上の脅威検出装置、アプリケーション及び/又はサービスとすることもできる。
ブロック406において、脅威検出402は、ユーザ識別情報に関連する脅威を検出する。例えば、脅威検出402は、ユーザ識別情報を使いログインしたデスクトップコンピュータがマルウェアに感染されていることを検出することができる。その他の例として、脅威検出402は、ユーザ識別情報がフィッシング電子メールの標的となっていることを検出することができる。脅威検出402は、ユーザ識別情報のユーザがフィッシングリンクをクリックして、ユーザ識別情報が侵害されているかどうかを検出することができる。
ブロック408において、脅威検出402は、識別情報プロバイダー404に警告を送ることができる。警告は、ユーザ識別情報が侵害されているという何らかのセキュリティイベント又は指示を記述する。このため、警告は、ユーザ識別情報とリンクされる。
ブロック410において、識別情報プロバイダー404は、脅威検出402から警告を受信する。
ブロック412において、識別情報プロバイダー404は、警告とユーザ識別情報に関連するリスクのレベルを決定するため、警告を評価する。
ブロック414において、識別情報プロバイダー404は、警告の評価に基づき、予め決められたセキュリティ方針を実施することができる。そして、ブロック416において、識別情報プロバイダー404は、ユーザ識別情報に対する安全なリソースへのアクセスを提供する。代わりに、ブロック418において、識別情報プロバイダー404は、ユーザ識別情報に対する安全なリソースへのアクセスを拒否する。代わりに、ブロック420において、識別情報プロバイダー404は、ユーザ識別情報の認証におけるセキュリティを強化する。ユーザ識別情報に関連する更なる認証要素は、識別情報プロバイダー404が安全なリソースへのアクセスを承認する前に要求される。
図5は、本開示の1つの実施例に従い、どの様に警告が評価されるかを説明するフローチャートである。
ブロック412において、図4に示されるものと同様の識別情報プロバイダーは、警告に関連するユーザ識別情報に対してどの様にセキュリティ方針を実施するかを決定するために、受信された警告を評価することができる。識別情報プロバイダーは、ブロック502、504、506及び508など、警告を評価するために様々なサブブロックを実行することができる。この図において、ブロック502、504、506及び508は、示されたトップダウンの順序だけでなく、任意の順序で実行することができる。例えば、識別情報プロバイダーは、ブロック504において警告の重要性を確認する前に、ブロック506において警告をログに保存することができる。あるいは、識別情報プロバイダーは、ブロック506において警告をログに保存する前に、まずブロック504において警告の重要性を確認することができる。
ブロック502において、識別情報プロバイダーは、警告識別情報を得るために、警告からユーザ識別情報を導出することができる。脅威検出器から送出された警告は、ユーザアカウント(即ち、「jsmith」)などのユーザ識別情報に関連する。警告は、既知のフィッシングリンクを不注意にクリックしたアカウントのユーザなど、セキュリティ違反又はイベントのために、「jsmith」が侵害されている可能性があることを識別情報プロバイダーに通知することができる。この例では、識別情報プロバイダーは、「jsmith」を警告識別情報として識別するために警告を処理する。
ブロック508において、識別情報プロバイダーは、安全なリソースにアクセスしようとしているユーザにより提供されるユーザ識別情報を受信する。ユーザ識別情報は、テキストフィールド内にユーザアカウント名を記入することなどにより、ユーザにより手動で提供される、あるいはユーザ識別情報は、資格情報又は証明書を通じてなど、ユーザにより使用される終端装置により自動で提供される。そして、識別情報プロバイダーは、受信されたユーザ識別情報を各警告に関連した導出された警告識別情報と照合することにより、全ての警告内の受信されたユーザ識別情報を調べる。受信されたユーザ識別情報が導出された警告識別情報と同一のフォーマット及び構造である場合、これは単純な処理であろう。例えば、識別情報プロバイダーがユーザからユーザ識別情報「jsmith」を受信する場合、識別情報プロバイダーは、「jsmith」の導出された警告識別情報を有する警告と「jsmith」を照合することを試みる。識別情報プロバイダーは、受信されたユーザ識別情報と警告内の類似した警告識別情報との間でファジー照合を実行するよう構成することもできる。これは、異なるフォーマット又は構造を有する受信された識別情報と警告識別情報を説明している。例えば、ユーザはそのフルネームを提供するため、識別情報プロバイダーは、「John Smith」の受信されたユーザ識別情報を受信する。しかし、同一のユーザ識別情報に関連する警告識別情報は、「jsmith」である。識別情報プロバイダーは、最良(best-case)評価又は推定を行うことにより、受信されたユーザ識別情報と任意の警告識別情報との間の不完全な照合を行うように構成することができる。
ブロック504において、識別情報プロバイダーは、警告にどのような動作を取るべきかを確認する。どの動作を取るべきかを規定し、識別情報プロバイダーに指示する予め決められたセキュリティ方針512がある。図において、セキュリティ方針512は、高セキュリティリスクに対応する警告を有するユーザ識別情報に対して、ユーザアカウントが無効にされることを明記する。セキュリティ方針512は、中セキュリティリスクに対して、識別情報プロバイダーがユーザ名、パスワード及び追加の認証要素を要求できることを明記する。セキュリティ方針512は、低セキュリティリスクに対して、識別情報プロバイダーがユーザ名及びパスワードのみを要求することを明記する。セキュリティ方針512は、各タイプの警告がどのレベルのセキュリティリスクであるかを定義することができ、又はセキュリティ方針512は、各警告に対するリスクスコアを計算するための識別情報プロバイダーにおける方法を定義することができ、又はセキュリティ方針512は、計算されたリスクスコアなどに基づいて、識別情報プロバイダーが各個別の警告をセキュリティリスクの適切なカテゴリに分類することを許可することもできる。
ブロック506において、警告及び警告識別情報(関連するユーザ識別情報)は、ログ、データベース又はデータストアに格納することができる。このデータは、ユーザインタフェース510などの双方向性のユーザインタフェースを通じてアクセス可能である。ユーザインタフェース510は、識別情報プロバイダーが受信する全警告を見ることができる。ユーザインタフェース510は、ユーザが只今受信された警告を見ることができるように、時間フレームに基づいて、見るための警告をフィルターにかけることができる。ユーザインタフェース510がどのように見えるかの例が図6に示される。
5.警告を見るためのユーザインタフェース(図6)
図6は、本開示の1つの実施例に従い、警告を見るための双方向性のユーザインタフェースの例を示す。
図6は、本開示の1つの実施例に従い、警告を見るための双方向性のユーザインタフェースの例を示す。
この図において、10個の警告の例が、それらの対応するユーザ識別情報(導出された警告識別情報)と共に表形式で示される。各列は単一の警告を表し、警告に関連する属性又は特性を表す各欄を有する。時間欄602、IPアドレス欄604、警告ソース欄606、警告タイプ欄608、導出された識別情報欄610及び識別情報動作欄612がある。
時間欄602は、警告が受信された時間を示す。幾つかの実施例において、時間欄602は、各警告が送出又は生成された時間を示すことができる。幾つかの実施例において、時間欄602は、各警告に関連する特定の日又は時間を示すことができる。これは、ユーザが、より最近の又はリアルタイムの警告より、過去の警告を見ることを許容し、識別情報プロバイダーは、識別情報を封じ込めるために、過去の警告を利用するよう構成される。
IPアドレス欄604は、警告に関連するIPアドレスを示す。例えば、ユーザは、終端装置の識別情報を使用し、終端装置はIPアドレスを持つネットワークと接続される。IPアドレス欄604は、その接続のIPアドレスを示すであろう。図6において、IPアドレス欄604は、示された全ての警告が同一のローカルエリアネットワーク上の装置と関連することを知らせる類似のIP「128.134.X.X」を全てが有しているIPアドレスを示す。
警告ソース欄606は、サードパーティの脅威検出装置、サービス、アプリケーション又はプロバイダーなどからの送出された警告のソースを示すことができる。示された例において、警告ソースは、FireEye NX、Palo Alto Wildfire及びCisco AMPを含んでいる。その他の脅威検出又は脅威保護サービスを警告ソースとして使用することができる。特定の警告ソースは、警告に関連するユーザ識別情報に取るべき適切な動作を決定するために、警告を適切なリスクレベルに分類するセキュリティ方針又は方法に組み込むことができる。
警告タイプ欄608は、警告ソースにより送出された警告のタイプを示す。警告のタイプは、どの様に又はなぜ警告が生成されて、送出されたかに関する情報を提供する。例えば、図は、「ネットワーク−マルウェア」及び「電子メール−マルウェア」の警告タイプを有する。「ネットワーク−マルウェア」警告タイプは、ネットワークにアクセスしている間にマルウェアにより侵害されたユーザ識別情報の結果として、警告が生成されたことを示す。「電子メール−マルウェア」警告タイプは、電子メールを介してユーザ識別情報に送信されたマルウェアを識別した結果として、警告が生成されたことを示す。
導出された識別情報欄610は、各警告(警告識別情報)に関連する導出されたユーザ識別情報を示す。例えば、図は、10個の異なる識別情報「jsmith」、「bdavis」、「cericson」、「jlong」、「dfrederick」、「egallagher」、「fhenry」、「gingridson」、「hjacobson」及び「kmiller」と関連する10個の警告を示す。
識別情報動作欄612は、図5に示されるセキュリティ方針512など、セキュリティ方針に従い指示される動作とすることができる。例えば、図は、「強化された(Stepped−Up)」及び「拒否された(Denied)」の動作を示す。「強化された」識別情報動作は、識別情報プロバイダーが、導出された識別情報に対応するユーザ識別情報からの追加のセキュリティ要素を要求すべきことを表す。そのため、示された第1の警告に基づいて、「jsmith」識別情報を使用するユーザが識別情報プロバイダーにより安全保証された安全なリソースにアクセスすることを試みた場合、識別情報プロバイダーは、そのユーザが安全なリソースへのアクセスを提供される前に、追加のセキュリティ要素を要求するであろう。「拒否された」識別情報動作は、識別情報プロバイダーが導出された識別情報に対応する任意のユーザ識別情報へのアクセスを拒否すべきことを表す。そのため、示された第2の警告に基づいて、「bdavis」識別情報を使用するユーザが安全なリソースにアクセスすることを試みた場合、識別情報プロバイダーはユーザへのアクセスを完全に拒否するであろう。
示されたユーザインタフェースにおいて、警告を調査することを課せられた調査者は、その活動に関連するログイン活動の全てを見るために特定のユーザ識別情報を掘り下げることができる。例えば、導出された識別情報欄610内のユーザ識別情報の項目は、その特定の識別情報に関連するログイン活動を見るためにクリックすることができるリンクとすることができる。調査者が「jsmith」をクリックする場合、「jsmith」に対するログイン活動が表示される。ログイン活動は表形式で表示され、ログイン時間、ソースIPアドレス、ユーザがアクセスを試みているアプリケーション、ログインイベントタイプ、及びそのイベントが成功したか否かなどの欄を含む。ログインイベントタイプの例は、パスワードチャレンジ(challenge)、ワンタイムパスワードチャレンジ、ユーザ名チャレンジ、又はログイン及び認証の一般に認められた方法を含むことができる。
調査者は、特定の安全なIPアドレスと関連するログイン活動の全てを見るためにそのIPアドレスを掘り下げることもできる。例えば、IPアドレス欄604内のIPアドレスは、その特定のIPアドレスに関連するログイン活動を見るためにクリックすることができるリンクとすることができる。調査者が「128.134.12.111」をクリックする場合、そのIPアドレスに関連するログイン活動が表示される。ログイン活動は表形式で表示され、ログイン時間、ユーザ名、ユーザがアクセスを試みているアプリケーション、ログインイベントタイプ、及びそのイベントが成功したか否かなどの欄を含む。更なる特定の例として、「128.134.12.111」をクリックすることは、IPアドレスが「jsmith」と「bdavis」の両方の元でログインすることを試みるために使用されたことを明らかにすることができる。
実装と更なる態様
前節で記述したプロセス、方法及びアルゴリズムの各々は、コンピュータハードウェアを備える1つ以上のコンピュータシステム又はコンピュータプロセッサによって実行されたコードモジュールにおいて具体化されてもよいし、又は該コードモジュールによって完全に若しくは部分的に自動化されてもよい。プロセス及びアルゴリズムは、特定用途向け回路内で、部分的に又は全体として、代替的に実装されてもよい。開示したプロセスは、各々がプロセッサ及びメモリを含むことができる1つ以上のコンピューティング装置によって実行されるソフトウェアの制御下で実行されてもよい。
前節で記述したプロセス、方法及びアルゴリズムの各々は、コンピュータハードウェアを備える1つ以上のコンピュータシステム又はコンピュータプロセッサによって実行されたコードモジュールにおいて具体化されてもよいし、又は該コードモジュールによって完全に若しくは部分的に自動化されてもよい。プロセス及びアルゴリズムは、特定用途向け回路内で、部分的に又は全体として、代替的に実装されてもよい。開示したプロセスは、各々がプロセッサ及びメモリを含むことができる1つ以上のコンピューティング装置によって実行されるソフトウェアの制御下で実行されてもよい。
従って、前述のものが様々な実施形態を対象にする一方で、その他の及び更なる実施形態は、その基本的な範囲から逸脱することなしに考え出されてもよい。例えば、本開示の態様は、ハードウェア若しくはソフトウェア、又はハードウェアとソフトウェアとの組み合わせで実装されてもよい。本開示の実施形態は、コンピュータシステムによる利用のためにプログラムプロダクトとして実装されてもよい。プログラムプロダクトのプログラムは、実施形態(本明細書に記載された方法を含む)の機能を定義し、様々なコンピュータ読み取り可能な記憶媒体上に収納されていてもよい。例示的なコンピュータ読み取り可能な記憶媒体は、(i)情報が永続的に格納される非書き込み可能記憶媒体(例えば、CD−ROMドライブによって読み取り可能なCD−ROMディスク、フラッシュメモリ、ROMチップ又は任意のタイプのソリッドステート非揮発性半導体メモリなど、コンピュータ内の読み出し専用メモリ装置)と、(ii)変更可能な情報が格納される書き込み可能な記憶媒体(例えば、ハードディスクドライブ又は任意のタイプのソリッドステートランダムアクセス半導体メモリ)とを含むが、但し限定はされない。前節で記述したプロセス、方法及びアルゴリズムの各々は、コンピュータハードウェアを備える1つ以上のコンピュータシステム又はコンピュータプロセッサによって実行されたコードモジュールにおいて具体化されてもよいし、又は該コードモジュールによって完全に若しくは部分的に自動化されてもよい。プロセス及びアルゴリズムは、特定用途向け回路内で、部分的に又は全体として、代替的に実装されてもよい。
上記の様々な機能及びプロセスは、互いに独立して用いられてもよいし、又は様々な方法で組み合わされてもよい。全ての組み合わせ及び部分的組み合わせは、この開示の範囲内にあるように意図される。更に、ある特定の方法又は処理ブロックは、幾つかの実装において省略されてもよい。本明細書に記述された方法及びプロセスは、いかなる特定のシーケンスにも限定されず、それに関連するブロック又は状態は、適切なその他のシーケンスにおいて実行されることができる。例えば、記述されたブロック又は状態は、特別に開示されたもの以外の順序で実行されてもよいし、あるいは複数のブロック又は状態は、単一のブロック又は状態に組み合わされてもよい。ブロック又は状態の例は、直列に、並列に、又は他の何らかの方式で実行されてもよい。ブロック又は状態は、開示された例示的な実施形態に追加されてもよいし、又は開示された例示的な実施形態から取り除かれてもよい。本明細書に記述されたシステム及びコンポーネントの例は、記述されたものとは異なって構成されてもよい。例えば、エレメントが、開示された例示的な実施形態に対して追加されてもよいし、開示された例示的な実施形態から除去されてもよいし、又は開示された例示的な実施形態と比較して再配置されてもよい。
本明細書に記述された及び/又は添付された図面に描写されたフローダイヤグラム内の任意のプロセス記述、エレメント又はブロックは、プロセス内に特定の論理機能又はステップを実装するための1つ以上の実行可能命令を含むモジュール、セグメント又はコードの部分を潜在的に表現するものとして理解されるべきである。代替の実装例は、本明細書に記載された実施形態の範囲内に含まれ、ここで、エレメント又は機能が、当業者によって理解され得るように、含まれる機能に応じて、実質的に同時又は逆順を含んで、図示又は論じられたものから削除され、逸脱して実行されてもよい。
特に言及しない限り、又は使用される文脈内で他の意味で理解されない限り、数ある中でも「できる(can)」「できた(could)」「だろう(might)」又は「してもよい(may)」などの条件付きの言語は、ある特定の実施形態は、ある特定の機能、エレメント、及び/又はステップを含むが、その一方で他の実施形態はそれらを含まない、ということを示唆するように概して意図される。従って、そのような条件付き言語は、 これらの機能、エレメント及び/又はステップがいずれかの特定の実施形態において含まれる若しくは実行されるべきものであるか否かに関わらず、機能、エレメント及び/又はステップが1つ又は複数の実施形態に何らかの形で必要であること、又は、1つ又は複数の実施形態が必然的にユーザ入力又はプロンプトを伴うか否かを決定するロジックを含むことを、概して暗示するようには意図されない。
本明細書に用いられる用語「備える(comprising)」は、排他的な解釈よりも、むしろ包括的な解釈を与えられるべきである。例えば、1つ以上のプロセッサを備える汎用コンピュータは、他のコンピュータコンポーネントを除くようには解釈されるべきでないし、場合によっては、数ある中でも、メモリ、入出力装置、及び/又はネットワークインタフェースのような、コンポーネントを含んでもよい。
Claims (20)
- 警告ソースからのセキュリティ警告をコンシュームするためのコンピューティングアプライアンスであって、
1つ以上のプロセッサと、
コンピュータ読み取り可能メモリと、
前記コンピュータ読み取り可能メモリに格納された実行可能命令を含む認証プログラムと、を備え、
前記実行可能命令は、前記1つ以上のプロセッサに少なくとも、
コンピュータネットワーク上の警告ソースからセキュリティ警告を受信し、前記セキュリティ警告は、セキュリティ脅威及び警告ユーザ識別情報と関連し、
前記セキュリティ警告から前記警告ユーザ識別情報を導出し、
前記セキュリティ警告及びセキュリティプロトコルに基づいてセキュリティ動作を決定し、
安全なリソースにアクセスするための要求を前記コンピュータネットワーク上で受信し、前記要求はユーザ識別情報と関連し、
前記警告ユーザ識別情報と関連する前記決定されたセキュリティ動作を確認するため、前記ユーザ識別情報を前記警告ユーザ識別情報と照合し、
前記ユーザ識別情報に対して前記決定されたセキュリティ動作を実施するよう指示する、コンピューティングアプライアンス。 - セキュリティ動作を決定するために、前記実行可能命令は、前記1つ以上のプロセッサに、前記セキュリティプロトコルで定義される動作カテゴリ内に前記セキュリティ警告を分類するよう更に指示し、前記セキュリティプロトコルは少なくとも2つの動作カテゴリを含む、請求項1に記載のコンピューティングアプライアンス。
- 前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、
前記セキュリティ動作が前記ユーザ識別情報の前記安全なリソースへのアクセスを拒否することを含む拒否アクセスカテゴリと、
前記セキュリティ動作が前記ユーザ識別情報から少なくとも1つの追加のセキュリティ要素を要求することを含む強化セキュリティカテゴリと、
を含む、請求項2に記載のコンピューティングアプライアンス。 - 前記少なくとも1つの追加のセキュリティ要素は、ユーザ名、パスワード、ワンタイムパスワード又は生体認証の少なくとも1つを含む、請求項3に記載のコンピューティングアプライアンス。
- 前記ユーザ識別情報が前記警告ユーザ識別情報に対応することができない場合、前記実行可能命令は、前記1つ以上のプロセッサに、前記安全なリソースへのアクセスを前記ユーザ識別情報に提供するよう更に指示する、請求項1に記載のコンピューティングアプライアンス。
- 前記警告ソースは、マルウェア検出フィードである、請求項1に記載のコンピューティングアプライアンス。
- 導出される資格情報をターゲット装置に提供するためのコンピュータ化された方法であって、
コンピュータの命令を実行する1つ以上のハードウェアプロセッサにより、
コンピュータネットワーク上の警告ソースからセキュリティ警告を受信するステップであって、前記セキュリティ警告はセキュリティ脅威及び警告ユーザ識別情報と関連する、ステップと、
前記セキュリティ警告から前記警告ユーザ識別情報を導出するステップと、
前記セキュリティ警告及びセキュリティプロトコルに基づいてセキュリティ動作を決定するステップと、
安全なリソースにアクセスするための要求を前記コンピュータネットワーク上で受信するステップであって、前記要求はユーザ識別情報と関連する、ステップと、
前記警告ユーザ識別情報と関連する前記セキュリティ警告を獲得するため、前記ユーザ識別情報を前記警告ユーザ識別情報と照合するステップと、
前記ユーザ識別情報に対して前記決定されたセキュリティ動作を実施するステップと、を含む、コンピュータ化された方法。 - 前記セキュリティ動作を決定するステップは、前記セキュリティプロトコルで定義される動作カテゴリ内に前記セキュリティ警告を分類するステップを含み、前記セキュリティプロトコルは少なくとも2つの動作カテゴリを含む、請求項7に記載のコンピュータ化された方法。
- 前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、
前記セキュリティ動作が前記ユーザ識別情報の前記安全なリソースへのアクセスを拒否することを含む拒否アクセスカテゴリと、
前記セキュリティ動作が前記ユーザ識別情報から少なくとも1つの追加のセキュリティ要素を要求することを含む強化セキュリティカテゴリと、
を含む、請求項8に記載のコンピュータ化された方法。 - 前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、前記セキュリティ動作が前記安全なリソースへのアクセスを前記ユーザ識別情報に提供することを含む許可アクセスカテゴリを含む、請求項8に記載のコンピュータ化された方法。
- 前記少なくとも1つの追加のセキュリティ要素は、ユーザ名、パスワード、ワンタイムパスワード又は生体認証の少なくとも1つを含む、請求項9に記載のコンピュータ化された方法。
- 前記ユーザ識別情報を前記警告ユーザ識別情報と照合するステップが不成功である場合、前記安全なリソースへのアクセスを前記ユーザ識別情報に提供するステップを更に含む、請求項7に記載のコンピュータ化された方法。
- 前記警告ソースは、マルウェア検出フィードである、請求項7に記載のコンピュータ化された方法。
- セキュリティ警告を送出し、及びコンシュームするためのコンピュータ化された方法であって、
コンピュータの命令を実行する1つ以上のハードウェアプロセッサにより、
セキュリティ脅威を検出するステップであって、前記セキュリティ脅威はユーザ識別情報と関連する、ステップと、
セキュリティ警告を生成するステップであって、前記セキュリティ警告は前記セキュリティ脅威及び警告ユーザ識別情報と関連し、前記警告ユーザ識別情報は前記ユーザ識別情報に基づく、ステップと、
前記セキュリティ警告をコンピュータネットワーク上に送信するステップと、
前記セキュリティ警告をコンピュータネットワーク上で受信するステップと、
前記セキュリティ警告から前記警告ユーザ識別情報を導出するステップと、
前記セキュリティ警告及びセキュリティプロトコルに基づいてセキュリティ動作を決定するステップと、
安全なリソースにアクセスするための要求を前記コンピュータネットワーク上で受信するステップであって、前記要求はユーザ識別情報と関連する、ステップと、
前記警告ユーザ識別情報と関連する前記セキュリティ警告を獲得するため、前記ユーザ識別情報を前記警告ユーザ識別情報と照合するステップと、
前記ユーザ識別情報に対して前記決定されたセキュリティ動作を実施するステップと、を含む、コンピュータ化された方法。 - 前記セキュリティ脅威を検出するステップは、終端装置上のマルウェアを監視するステップを含み、前記終端装置は、コンピューティング装置、スマートフォン、タブレット又はノートブックコンピュータを含む、請求項14に記載のコンピュータ化された方法。
- 前記セキュリティ動作を決定するステップは、前記セキュリティプロトコルで定義される動作カテゴリ内に前記セキュリティ警告を分類するステップを含み、前記セキュリティプロトコルは少なくとも2つの動作カテゴリを含む、請求項14に記載のコンピュータ化された方法。
- 前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、
前記セキュリティ動作が前記ユーザ識別情報の前記安全なリソースへのアクセスを拒否することを含む拒否アクセスカテゴリと、
前記セキュリティ動作が前記ユーザ識別情報から少なくとも1つの追加のセキュリティ要素を要求することを含む強化セキュリティカテゴリと、
を含む、請求項16に記載のコンピュータ化された方法。 - 前記セキュリティプロトコル内の前記少なくとも2つの動作カテゴリは、前記セキュリティ動作が前記安全なリソースへのアクセスを前記ユーザ識別情報に提供することを含む許可アクセスカテゴリを含む、請求項16に記載のコンピュータ化された方法。
- 前記少なくとも1つの追加のセキュリティ要素は、ユーザ名、パスワード、ワンタイムパスワード又は生体認証の少なくとも1つを含む、請求項17に記載のコンピュータ化された方法。
- 前記ユーザ識別情報を前記警告ユーザ識別情報と照合するステップが不成功である場合、前記安全なリソースへのアクセスを前記ユーザ識別情報に提供するステップを更に含む、請求項14に記載のコンピュータ化された方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/061,846 US9769209B1 (en) | 2016-03-04 | 2016-03-04 | Identity security and containment based on detected threat events |
US15/061,846 | 2016-03-04 | ||
PCT/US2017/020487 WO2017151946A1 (en) | 2016-03-04 | 2017-03-02 | Identity security and containment based on detected threat events |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019511048A true JP2019511048A (ja) | 2019-04-18 |
Family
ID=59722861
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018545933A Pending JP2019511048A (ja) | 2016-03-04 | 2017-03-02 | 検出された脅威イベントに基づく識別情報のセキュリティと封じ込め |
Country Status (5)
Country | Link |
---|---|
US (2) | US9769209B1 (ja) |
EP (1) | EP3423981A4 (ja) |
JP (1) | JP2019511048A (ja) |
AU (1) | AU2017225793A1 (ja) |
WO (1) | WO2017151946A1 (ja) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10325259B1 (en) | 2014-03-29 | 2019-06-18 | Acceptto Corporation | Dynamic authorization with adaptive levels of assurance |
US10387980B1 (en) | 2015-06-05 | 2019-08-20 | Acceptto Corporation | Method and system for consumer based access control for identity information |
US10091194B2 (en) * | 2016-05-12 | 2018-10-02 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
US10305891B2 (en) | 2016-05-12 | 2019-05-28 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
US10783518B1 (en) * | 2016-06-29 | 2020-09-22 | Wells Fargo Bank, N.A | Systems and methods for third party token based authentication |
US10715533B2 (en) | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
US11316895B1 (en) * | 2016-10-20 | 2022-04-26 | United Services Automobile Association (Usaa) | Method of generating and using credentials to detect the source of account takeovers |
EP3322149B1 (en) * | 2016-11-10 | 2023-09-13 | Tata Consultancy Services Limited | Customized map generation with real time messages and locations from concurrent users |
US10542018B1 (en) * | 2016-12-27 | 2020-01-21 | Wells Fargo Bank, N.A. | Security breach notification |
US10628585B2 (en) * | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
US10516688B2 (en) * | 2017-01-23 | 2019-12-24 | Microsoft Technology Licensing, Llc | Ransomware resilient cloud services |
US11367323B1 (en) | 2018-01-16 | 2022-06-21 | Secureauth Corporation | System and method for secure pair and unpair processing using a dynamic level of assurance (LOA) score |
US10956543B2 (en) | 2018-06-18 | 2021-03-23 | Oracle International Corporation | System and method for protecting online resources against guided username guessing attacks |
US20200120083A1 (en) * | 2018-10-12 | 2020-04-16 | Ca, Inc. | Time-based detail degradation for authorization scopes |
US11096059B1 (en) | 2019-08-04 | 2021-08-17 | Acceptto Corporation | System and method for secure touchless authentication of user paired device, behavior and identity |
KR102260272B1 (ko) * | 2019-12-12 | 2021-06-03 | 한국과학기술정보연구원 | 보안 정보 가시화 장치, 보안 정보 가시화 방법 및 보안 정보를 가시화 하는 프로그램을 저장하는 저장매체 |
US11329998B1 (en) | 2020-08-31 | 2022-05-10 | Secureauth Corporation | Identification (ID) proofing and risk engine integration system and method |
WO2022120840A1 (en) * | 2020-12-11 | 2022-06-16 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for improving security |
CN112769849B (zh) * | 2021-01-19 | 2023-06-09 | 杭州迪普科技股份有限公司 | 一种病毒确诊与阻断的方法、系统、设备及存储介质 |
US11902330B1 (en) * | 2021-06-16 | 2024-02-13 | Juniper Networks, Inc. | Generating a network security policy based on a user identity associated with malicious behavior |
US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100324248B1 (ko) | 2000-04-15 | 2002-02-21 | 박규식 | 지문을 이용한 인터넷 인증 시스템 및 그 방법 |
KR20060040155A (ko) | 2004-11-04 | 2006-05-10 | 현대정보기술주식회사 | 지문인증기반의 데이터 보안 시스템 및 방법 |
US7681234B2 (en) * | 2005-06-30 | 2010-03-16 | Microsoft Corporation | Preventing phishing attacks |
US8695097B1 (en) | 2007-08-28 | 2014-04-08 | Wells Fargo Bank, N.A. | System and method for detection and prevention of computer fraud |
EP2676197B1 (en) | 2011-02-18 | 2018-11-28 | CSidentity Corporation | System and methods for identifying compromised personally identifiable information on the internet |
US9298890B2 (en) * | 2012-03-20 | 2016-03-29 | Facebook, Inc. | Preventing unauthorized account access using compromised login credentials |
US20140380475A1 (en) * | 2013-06-25 | 2014-12-25 | International Business Machines Corporation | User centric fraud detection |
US9098809B2 (en) * | 2013-08-30 | 2015-08-04 | Internet Brands, Inc. | System and method of semi-automated velocity-based social network moderation |
US9407652B1 (en) * | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
KR101851680B1 (ko) | 2015-12-03 | 2018-04-24 | 네이버비즈니스플랫폼 주식회사 | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
-
2016
- 2016-03-04 US US15/061,846 patent/US9769209B1/en active Active
-
2017
- 2017-03-02 EP EP17760837.9A patent/EP3423981A4/en active Pending
- 2017-03-02 AU AU2017225793A patent/AU2017225793A1/en not_active Abandoned
- 2017-03-02 JP JP2018545933A patent/JP2019511048A/ja active Pending
- 2017-03-02 WO PCT/US2017/020487 patent/WO2017151946A1/en active Application Filing
- 2017-09-15 US US15/706,475 patent/US10158675B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US10158675B2 (en) | 2018-12-18 |
AU2017225793A1 (en) | 2018-09-13 |
US9769209B1 (en) | 2017-09-19 |
US20180103065A1 (en) | 2018-04-12 |
EP3423981A1 (en) | 2019-01-09 |
EP3423981A4 (en) | 2019-10-02 |
WO2017151946A1 (en) | 2017-09-08 |
US20170257397A1 (en) | 2017-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10158675B2 (en) | Identity security and containment based on detected threat events | |
US10223524B1 (en) | Compromised authentication information clearing house | |
US9838384B1 (en) | Password-based fraud detection | |
US10505980B2 (en) | Secured user credential management | |
US10176318B1 (en) | Authentication information update based on fraud detection | |
US20140380478A1 (en) | User centric fraud detection | |
US11947704B2 (en) | Tagging and auditing sensitive information in a database environment | |
US11775678B2 (en) | Tagging and auditing sensitive information in a database environment | |
US20150213449A1 (en) | Risk-based control of application interface transactions | |
US11546376B2 (en) | Systems and methods for securing user domain credentials from phishing attacks | |
US20230155817A1 (en) | Managing secret values using a secrets manager | |
US11595372B1 (en) | Data source driven expected network policy control | |
CN111382422B (zh) | 在非法访问用户数据的威胁下更改账户记录的密码的系统和方法 | |
US20230315890A1 (en) | Call location based access control of query to database | |
US10320829B1 (en) | Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network | |
US10313384B1 (en) | Mitigation of security risk vulnerabilities in an enterprise network | |
CA3043983A1 (en) | Tagging and auditing sensitive information in a database environment | |
Wang | Detection & prevention of vulnerabilities in web applications |