JP2020194265A - System for managing information security attack and defense plan - Google Patents

System for managing information security attack and defense plan Download PDF

Info

Publication number
JP2020194265A
JP2020194265A JP2019098503A JP2019098503A JP2020194265A JP 2020194265 A JP2020194265 A JP 2020194265A JP 2019098503 A JP2019098503 A JP 2019098503A JP 2019098503 A JP2019098503 A JP 2019098503A JP 2020194265 A JP2020194265 A JP 2020194265A
Authority
JP
Japan
Prior art keywords
report
hacker
information
analysis
individual report
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019098503A
Other languages
Japanese (ja)
Other versions
JP6847460B2 (en
Inventor
徐千洋
Qian-Yang Xu
陳仁偉
ren-wei Chen
林逸
Yi Lin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Klickklack Information Security Co Ltd
Original Assignee
Klickklack Information Security Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Klickklack Information Security Co Ltd filed Critical Klickklack Information Security Co Ltd
Priority to JP2019098503A priority Critical patent/JP6847460B2/en
Publication of JP2020194265A publication Critical patent/JP2020194265A/en
Application granted granted Critical
Publication of JP6847460B2 publication Critical patent/JP6847460B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

To provide a system for managing an information security attack and defense plan.SOLUTION: The system includes a hacker side 10, a monitor side 20, and a manager side 30. The hacker side executes a hacking action in an actual world to hack a target website via a monitoring and control server 50. The monitor side monitors the hacker side. The manager side prepares an analysis platform being in communicative connection to the monitoring and control server. The hacker side and the monitor side generate a first individual report and a second individual report respectively in accordance with information logged during the hacking action in the actual world and transmit the first individual report and the second individual report respectively to the analysis platform via a target group for the purpose of analysis.EFFECT: The manager side generates a summary report including defects and fragility in information security and transmits the summary report to the target group to enable the target group to objectively and effectively evaluate the summary report.SELECTED DRAWING: Figure 2

Description

本発明は管理システムに関し、特に、情報セキュリティ攻撃および防御計画を管理するシステムに関する。 The present invention relates to a management system, particularly to a system that manages information security attacks and defense plans.

現在、市販の一般的な情報セキュリティ管理システムでは、ほとんどの場合、テストおよび/またはプロダクトセキュリティ検査を通じてウェブサイトセキュリティリスクを評価している。これらの大半は手動で行なわれるか、情報ロギングしか行なわないツールによって行なわれる。
情報セキュリティ管理システムの提供業者によってはハッキング攻撃のために実際のハッカーを雇い、ハッキング結果をハッカーから得る場合がある。しかし、ほとんどの場合で、ハッカーの接近およびハッキング結果は情報セキュリティ管理の分野の提供業者にとっては信用に足るものではない。 Today, most popular information security management systems on the market assess website security risks through testing and / or product security inspections. Most of these are done manually or by tools that only log information.
Some information security management system providers hire real hackers for hacking attacks and obtain hacking results from hackers. However, in most cases, hacker approaches and hacking outcomes are unreliable to providers in the field of information security management.

名称が「情報セキュリティ監視および防御のためのコンピュータプログラムプロダクトおよび方法」である台湾特許第I515599号(以下、先行技術Aと称する)に開示されているように、先行技術Aは、仮想レイヤおよび仮想マシンに適合し、情報比較ステップおよび正常シーケンスステップを実行し、シーケンスが正常シーケンスステップをパスできない場合にシーケンスを異常シーケンスと判定するためにクラウド仮想プラットフォームを設けるのに用いられるコンピュータデバイスに関する。
さらに、名称が「情報セキュリティリスクホストの高速スクリーニングのための方法およびシステム」である台湾特許第I560569号(以下、先行技術Bと称する)に開示されているように、先行技術Bの方法は、ホスト情報収集、疑わしいファイルと悪意のあるファイルデータベース中のファイルとの比較、リスク値の計算、リスクの高いホストのスクリーニング、および評価報告の生成を主に含む。 Prior art A is a virtual layer and virtual, as disclosed in Taiwan Patent I515599 (hereinafter referred to as Prior Art A), whose name is "Computer Program Products and Methods for Information Security Monitoring and Defense." It relates to a computer device used to set up a cloud virtual platform to fit a machine, perform information comparison steps and normal sequence steps, and determine a sequence as an abnormal sequence if the sequence cannot pass the normal sequence step.
Further, as disclosed in Taiwan Patent I560569 (hereinafter referred to as Prior Art B), whose name is "Methods and Systems for High-Speed Screening of Information Security Risk Hosts", the method of Prior Art B is: It mainly includes host information gathering, comparing suspicious files with files in malicious file databases, calculating risk values, screening high-risk hosts, and generating assessment reports.

前述の説明から分かるように、先行技術Aも先行技術Bもハッキングの発生前の防止手段に注目しており、予防対策にすぎず、したがって、ハッカーの実際のハッキング行為および接近を対象として、効果的で信用度が高くきわめて安全性が高い解析結果は得られない。情報セキュリティ管理システムの当該提供業者によって雇われるハッカーによって策定される従来の技術の予防対策から生じる、信用できず疑わしいという課題に鑑みて、課題に取り組むのにより優れた解決手段を提供する必要がある。 As can be seen from the above explanation, both Prior Art A and Prior Art B are focusing on preventive measures before the occurrence of hacking, which are merely preventive measures, and therefore are effective for the actual hacking behavior and approach of the hacker. It is not possible to obtain analysis results that are highly reliable, highly reliable, and extremely safe. Given the unreliable and suspicious challenges that arise from traditional technology precautions developed by hackers hired by relevant providers of information security management systems, we need to provide better solutions to tackle the challenges. ..

台湾特許第I515599号公報Taiwan Patent No. I515599 台湾特許第I560569号公報Taiwan Patent No. I560569

本発明の目的は、客観的かつ効果的に概要報告を作成するためのハッカー、監視者および第三者による監視監査対策に関し、概要報告の評価結果の信用度および安全性を確実に改善する、情報セキュリティ攻撃および防御計画を管理するシステムを提供することである。 An object of the present invention is to ensure that the credibility and safety of the evaluation results of the summary report are improved with respect to the monitoring audit measures by hackers, observers and third parties for objectively and effectively preparing the summary report. It is to provide a system for managing security attacks and defense plans.

前述の目的を達成するために、情報セキュリティ攻撃および防御計画を管理するシステムは監視制御サーバ、ハッカー側、監視者側および管理者側を含む。 To achieve the above objectives, the systems that manage information security attack and defense plans include monitoring and control servers, hackers, observers and administrators.

監視制御サーバは対象の団体によって用意される対象ウェブサイトに通信接続される。 The monitoring and control server communicates with the target website prepared by the target organization.

ハッカー側は監視制御サーバに通信接続され、現実世界でのハッキング行動を実行して対象ウェブサイトにハッキングする。 The hacker side is connected to the monitoring control server by communication, executes hacking actions in the real world, and hacks the target website.

監視者側はハッカー側に通信接続される。 The observer side is connected to the hacker side by communication.

管理者側は監視者側に通信接続され、解析プラットフォームおよび監視制御サーバを用意する。解析プラットフォームは監視者側および監視制御サーバに通信接続される。 The administrator side is connected to the monitor side by communication, and prepares an analysis platform and a monitoring control server. The analysis platform is communicated to the observer side and the monitoring control server.

ハッカー側および監視者側は、現実世界でのハッキング行動中にロギングされた情報にしたがって第1の個別報告および第2の個別報告をそれぞれ作成して第1の個別報告および第2の個別報告を対象の団体に送信し、対象の団体は記録情報を作成して第1の個別報告、第2の個別報告および記録情報を、管理者側によって用意される解析プラットフォームに渡して、管理者側は情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して概要報告を対象の団体に送信する。 The hacker side and the observer side prepare the first individual report and the second individual report according to the information logged during the hacking action in the real world, and make the first individual report and the second individual report, respectively. It is sent to the target organization, and the target organization creates the record information and passes the first individual report, the second individual report and the record information to the analysis platform prepared by the administrator side, and the administrator side Create a summary report that includes flaws and vulnerabilities in information security and send the summary report to the target organization.

前述のシステムに基づけば、ハッカー側が現実世界でのハッキング行動を実行して監視制御サーバを通じて対象ウェブサイトにハッキングし、同時に監視者側がハッカー側を監視し、管理者側が解析プラットフォームおよび監視制御サーバを用意する。解析プラットフォームが監視者側および監視制御サーバに通信接続される。ハッカー側および監視者側が、現実世界でのハッキング行動中にロギングされた情報にしたがって第1の個別報告および第2の個別報告をそれぞれ作成する。第1の個別報告および第2の個別報告が対象の団体を通じて解析のために解析プラットフォームに送られる。したがって、その後、管理者側が情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して概要報告を対象の団体に送信できる。したがって、概要報告を客観的かつ効果的に評価でき、評価された結果の信用度および安全性を改善できる。 Based on the above system, the hacker side executes the hacking action in the real world and hacks to the target website through the monitoring control server, and at the same time, the monitoring side monitors the hacker side, and the administrator side monitors the analysis platform and the monitoring control server. prepare. The analysis platform is communicated to the observer side and the monitoring control server. The hacker side and the observer side prepare a first individual report and a second individual report according to the information logged during the hacking action in the real world, respectively. The first and second individual reports are sent to the analysis platform for analysis through the subject body. Therefore, after that, the administrator can create a summary report including defects and vulnerabilities in information security and send the summary report to the target organization. Therefore, the summary report can be evaluated objectively and effectively, and the credibility and safety of the evaluated result can be improved.

添付の図面とあわせて参照すれば、以下の詳細な説明から、本発明の他の目的、効果および新規の特徴がより明確になる。 With reference to the accompanying drawings, the following detailed description will clarify other objects, effects and novel features of the invention.

本発明に係る情報セキュリティ攻撃および防御計画を管理するシステムのシステムアーキテクチャを示す機能ブロック図である。It is a functional block diagram which shows the system architecture of the system which manages the information security attack and defense plan which concerns on this invention. 図1のシステムの適用を示す機能ブロック図である。It is a functional block diagram which shows the application of the system of FIG. 図1のシステムに関与する者を示す機能ブロック図である。It is a functional block diagram which shows the person who is involved in the system of FIG. 図1のシステムの監視制御サーバに関連するネットワーキング環境を示す機能ブロック図である。It is a functional block diagram which shows the networking environment related to the monitoring control server of the system of FIG.

図1を参照して、本発明に係る情報セキュリティ攻撃および防御計画を管理するシステムは、ハッカー側10、監視者側20、管理者側30、対象ウェブサイト40、監視制御サーバ50および解析プラットフォーム60を含む。
対象ウェブサイト40は対象の団体によって用意される。監視制御サーバ50は対象ウェブサイト40に通信接続される。ハッカー側10は現実世界でのハッキング行動を実行して、監視制御サーバ50を通じて対象ウェブサイト40にハッキングする。監視者側20はハッカー側10を監視する。管理者側30はハッカー側10および監視者側20を監査する。管理者側30は解析プラットフォーム60および監視制御サーバ50を用意する。解析プラットフォーム60は監視者側20および監視制御サーバ50に通信接続される。 With reference to FIG. 1, the system for managing the information security attack and defense plan according to the present invention includes a hacker side 10, a monitor side 20, an administrator side 30, a target website 40, a monitoring control server 50, and an analysis platform 60. including.
The target website 40 is prepared by the target organization. The monitoring control server 50 is communicated and connected to the target website 40. The hacker side 10 executes a hacking action in the real world and hacks into the target website 40 through the monitoring control server 50. The observer side 20 monitors the hacker side 10. The administrator side 30 audits the hacker side 10 and the observer side 20. The administrator side 30 prepares the analysis platform 60 and the monitoring control server 50. The analysis platform 60 is communicated and connected to the observer side 20 and the monitoring control server 50.

ハッカー側10および監視者側20が現実世界でのハッキング行動中にロギングされた情報にしたがって第1の個別報告および第2の個別報告をそれぞれ作成して、第1の個別報告および第2の個別報告を解析のために対象の団体を介して解析プラットフォーム60にそれぞれ送信する。これにより、管理者側30が情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して概要報告を対象の団体に送信し、対象の団体が客観的かつ効果的に概要報告を評価することが可能になる。これにより得られる利点は、関与する行動集団に対するより高い信用度、より高い安全性、最小限のリソース消費、より効果的な統括管理、対象ウェブサイトドメインに対する侵入テスト、およびハッカーを完全に再現したサイバー攻撃を含むことができる。 The hacker side 10 and the observer side 20 prepare the first individual report and the second individual report according to the information logged during the hacking action in the real world, respectively, and the first individual report and the second individual report are prepared. The report is sent to the analysis platform 60 via the target organization for analysis. As a result, the administrator side 30 can create a summary report including defects and vulnerabilities in information security, send the summary report to the target organization, and the target organization can objectively and effectively evaluate the summary report. It will be possible. The benefits of this are higher credibility for the behavioral groups involved, higher security, minimal resource consumption, more effective control, penetration testing of targeted website domains, and cyber that fully replicates hackers. Can include attacks.

図2および図3を参照する。ハッカー側10(ハッカー1、行動集団A)は第1のハッカーによって操作される第1のコンピュータによって構成されて、監視制御サーバ50に通信接続されており、監視者側20(ハッカー2、行動集団B)は第2のハッカーによって操作される第2のコンピュータによって構成されて、ハッカー側10に通信接続されており、管理者側30(行動集団C)は管理員によって操作される第3のコンピュータで構成されて、監視者側20に通信接続される。管理者側30は、現実世界でのハッキング行動中に生成される情報をロギングするだけでなく、現実世界でのハッキング行動を実行した結果にしたがってアフター・アクション・レビュー(AAR)処理も実行する。 See FIGS. 2 and 3. The hacker side 10 (hacker 1, action group A) is composed of a first computer operated by the first hacker, is communicatively connected to the monitoring control server 50, and the observer side 20 (hacker 2, action group A). B) is composed of a second computer operated by a second hacker, is communication-connected to the hacker side 10, and the administrator side 30 (action group C) is a third computer operated by an administrator. It is composed of and is connected to the observer side 20 by communication. The administrator side 30 not only logs the information generated during the hacking action in the real world, but also executes the after-action review (AAR) process according to the result of executing the hacking action in the real world.

本実施の形態では、監視者側20がSSL(セキュア・ソケット・レイヤ)アクセスログなどの安全なプロトコルの情報にしたがってパケットロギングを実行し、ロギングされたパケットを解析した後に第2の個別報告を作成する。ハッカー側10および監視者側20が第1の個別報告および第2の個別報告を対象の団体にそれぞれ送信する。その後、対象の団体が記録情報を作成して、管理者側30によって用意された解析プラットフォーム60に第1の個別報告、第2の個別報告および記録情報を解析のために渡す。これらの個別報告および記録情報は、管理者側30が情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して概要報告を対象の団体に送ることがなされるように設けられるものである。
対象ウェブサイト40がSSL暗号機能を有する場合、特定のSSL接続から別のSSL接続になるのに応じて変更され、ハッカー側10と対象ウェブサイト40との間にある中間の監視制御サーバ50には利用不可である動的鍵(鍵A)を用いるようにSSL暗号機能を予め構成することで、監視制御サーバ50はハッカー側10と対象ウェブサイト40との間のSSL接続を用いたSSLトラフィックを解読できない。動的鍵の問題に対処するために、管理者側30は静的鍵(鍵B)を生成して静的鍵をハッカー側10および監視制御サーバ50に与える。したがって、ハッカー側10は静的鍵を用いてハッカー側10と対象ウェブサイト40との間のSSL接続を用いたSSLトラフィックを暗号化できる。この結果、監視制御サーバ50はハッカー側10と対象ウェブサイト40との間のSSL接続を用いたSSLトラフィックを完全に解読して記録できる。前述の記録情報は、セキュリティ情報イベント管理(Security Information and Event Management)(SIEM)、侵入防止システム(Intrusion Prevention System)(IPS)、侵入検知システム(Intrusion Detection System)(IDS)、ウェブ・アプリケーション・ファイアウォール(Web Application Firewall)(WAF)またはウェブアクセスログに関連する情報を含む。 In the present embodiment, the observer side 20 executes packet logging according to the information of a secure protocol such as SSL (Secure Socket Layer) access log, analyzes the logged packet, and then issues a second individual report. create. The hacker side 10 and the observer side 20 send the first individual report and the second individual report to the target organization, respectively. After that, the target organization creates the record information and passes the first individual report, the second individual report, and the record information to the analysis platform 60 prepared by the administrator side 30 for analysis. These individual reports and recorded information are provided so that the administrator side 30 can prepare a summary report including defects and vulnerabilities in information security and send the summary report to the target organization.
When the target website 40 has the SSL encryption function, it is changed according to the change from a specific SSL connection to another SSL connection, and the intermediate monitoring control server 50 between the hacker side 10 and the target website 40 is used. By preconfiguring the HTTPS encryption function to use the unusable dynamic key (key A), the monitoring control server 50 uses the SSL connection between the hacker side 10 and the target website 40 for SSL traffic. Cannot be decrypted. In order to deal with the problem of the dynamic key, the administrator side 30 generates a static key (key B) and gives the static key to the hacker side 10 and the monitoring control server 50. Therefore, the hacker side 10 can use the static key to encrypt the SSL traffic using the SSL connection between the hacker side 10 and the target website 40. As a result, the monitoring control server 50 can completely decode and record the SSL traffic using the SSL connection between the hacker side 10 and the target website 40. The above-mentioned recorded information includes security information event management (SIEM), intrusion prevention system (IPS), intrusion detection system (Intrusion Detection System) (IPS), intrusion detection system (Intrusion Detection System) (IDS), and web. (Web Application System) (WAF) or contains information related to the web access log.

解析プラットフォーム60は解析モジュール61をさらに有する。対象の団体は第1の個別報告、第2の個別報告および記録情報を解析モジュール61に送信する。その後、解析モジュール61は第1の個別報告、第2の個別報告および記録情報にしたがって概要報告を作成して概要報告を対象の団体に送信する。 The analysis platform 60 further includes an analysis module 61. The target group transmits the first individual report, the second individual report, and the recorded information to the analysis module 61. After that, the analysis module 61 prepares a summary report according to the first individual report, the second individual report, and the recorded information, and transmits the summary report to the target organization.

さらに、第1の個別報告、第2の個別報告および記録情報を得ると、解析プラットフォーム60の解析モジュール61は情報セキュリティにおける欠陥および脆弱性を含む概要報告の生成の際にクロスケース分析(cross−case analysis)処理を実行する。本実施の形態では、クロスケース分析処理はハッキング法解析および情報漏えい解析を含む。したがって、管理者側30が概要報告を作成し、記録情報群を記録し、概要報告および記録情報にしたがってAAR処理を実行することが可能になる。 Further, upon obtaining the first individual report, the second individual report and the recorded information, the analysis module 61 of the analysis platform 60 cross-case analysis (cross-) in generating a summary report including defects and vulnerabilities in information security. case analysis) Process is executed. In this embodiment, the cross-case analysis process includes a hacking method analysis and an information leakage analysis. Therefore, the administrator side 30 can create a summary report, record the recorded information group, and execute the AAR process according to the summary report and the recorded information.

本実施の形態では、管理者側30によって監視制御サーバ50が用意される。図4を参照して、監視制御サーバ50はルータ51を介して複数のネットワークデバイス52に通信接続される。複数のネットワークデバイス52はVPN(Virtual Private Network)、SSL VPNなどの、各ローカルエリアネットワーク(LAN)および各ワイドエリアネットワーク(WAN)中のネットワーキング装置を含む。 In the present embodiment, the monitoring control server 50 is prepared by the administrator side 30. With reference to FIG. 4, the monitoring control server 50 is communicated and connected to the plurality of network devices 52 via the router 51. The plurality of network devices 52 include networking devices in each local area network (LAN) and each wide area network (WAN), such as VPN (Virtual Private Network) and SSL VPN.

本実施の形態を適用することで、ハッカー側10が現実世界でのハッキング行動を実行して、監視制御サーバ50を通じて対象ウェブサイト40にハッキングすることが可能になる。一方で、監視者側20はハッカー側10を監視でき、管理者側30はハッカー側10および監視者側20を監査する。管理者側30が解析プラットフォーム60および監視制御サーバ50を用意するものであるので、概要報告を客観的な手法で評価できる。解析プラットフォーム60は監視者側20および監視制御サーバ50に接続される。
現実世界でのハッキング行動中に得られる記録情報にしたがってハッカー側10および監視者側20が第1の個別報告および第2の個別報告をそれぞれさらに作成する。対象の団体が第1の個別報告および第2の個別報告を解析プラットフォーム60に送って、解析プラットフォーム60がこれらに対して客観的な解析を実行した後、管理者側30が概要報告を作成する。これにより、概要報告に対して客観的かつ効果的な解析が確実に遂行され、また、関与する行動集団に対するより高い信用度、より高い安全性、最小限のリソース消費、より効果的な統括管理、対象ウェブサイトドメインに対する侵入テスト、およびハッカーを完全に再現したサイバー攻撃を含む利点が得られる。 By applying this embodiment, the hacker side 10 can execute a hacking action in the real world and hack into the target website 40 through the monitoring control server 50. On the other hand, the observer side 20 can monitor the hacker side 10, and the administrator side 30 audits the hacker side 10 and the observer side 20. Since the administrator side 30 prepares the analysis platform 60 and the monitoring control server 50, the summary report can be evaluated by an objective method. The analysis platform 60 is connected to the observer side 20 and the monitoring control server 50.
The hacker side 10 and the observer side 20 further prepare a first individual report and a second individual report according to the recorded information obtained during the hacking action in the real world. The target organization sends the first individual report and the second individual report to the analysis platform 60, and after the analysis platform 60 performs an objective analysis on these, the administrator side 30 creates a summary report. .. This ensures an objective and effective analysis of the summary report, as well as higher credibility, higher security, minimal resource consumption, and more effective control of the action groups involved. Benefits include penetration testing of targeted website domains and cyberattacks that perfectly mimic hackers.

本発明の多数の特徴および効果が本発明の構成および機能の詳細とともに前述の説明に示されているが、本開示は例示的にすぎない。本発明の原理の範囲内で、添付の請求項に表現されている用語の広義の一般的な意味によって示される最大範囲まで、細部、特に、形状、寸法および部品の配置に関して変更を行なってもよい。 Although many features and effects of the present invention are set forth in the above description along with details of the constitution and function of the present invention, the present disclosure is merely exemplary. Within the principles of the present invention, changes may be made to the maximum extent indicated by the broad general meaning of the terms expressed in the appended claims, in particular with respect to shape, dimensions and arrangement of parts. Good.

Claims (8)

情報セキュリティ攻撃および防御計画を管理するシステムであって、
対象の団体によって用意される対象ウェブサイトに通信接続される監視制御サーバと、
前記監視制御サーバに通信接続され、現実世界でのハッキング行動を実行して前記対象ウェブサイトにハッキングするハッカー側と、
前記ハッカー側に通信接続される監視者側と、
前記監視者側に通信接続され、解析プラットフォームおよび前記監視制御サーバを用意する管理者側であって、前記解析プラットフォームは前記監視者側および前記監視制御サーバに通信接続される、管理者側と、を備えるシステムにおいて、
前記ハッカー側および前記監視者側は、前記現実世界でのハッキング行動中にロギングされた情報にしたがって第1の個別報告および第2の個別報告をそれぞれ作成して前記第1の個別報告および前記第2の個別報告を前記対象の団体に送信し、
前記対象の団体は記録情報を作成して前記第1の個別報告、前記第2の個別報告および前記記録情報を、前記管理者側によって用意される前記解析プラットフォームに渡し、
前記管理者側は情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して前記概要報告を前記対象の団体に送信することを特徴とする、
システム。 A system that manages information security attack and defense plans
A monitoring and control server that communicates with the target website prepared by the target organization,
A hacker who is connected to the monitoring control server by communication, executes a hacking action in the real world, and hacks to the target website.
The observer side who is connected to the hacker side by communication,
An administrator side who is communication-connected to the observer side and prepares an analysis platform and the monitoring control server, and the analysis platform is a communication connection to the observer side and the monitoring control server. In a system equipped with
The hacker side and the observer side prepare a first individual report and a second individual report according to the information logged during the hacking action in the real world, respectively, and the first individual report and the first individual report. Send the individual report of 2 to the target organization,
The target group creates record information and passes the first individual report, the second individual report, and the recorded information to the analysis platform prepared by the administrator.
The administrator side prepares a summary report including defects and vulnerabilities in information security, and sends the summary report to the target organization.
system. 前記監視者側は安全なプロトコルの情報にしたがってパケットロギングを実行して前記第2の個別報告を作成することを特徴とする請求項1に記載のシステム。 The system according to claim 1, wherein the observer side executes packet logging according to the information of the secure protocol to prepare the second individual report. 前記対象ウェブサイトがSSL(セキュア・ソケット・レイヤ)暗号機能を有する場合、前記ハッカー側と前記対象ウェブサイトとの間のSSL接続を用いたSSLトラフィックを前記監視制御サーバが解読できないようにする動的鍵を用いるように前記暗号機能を予め構成し、前記管理者側は静的鍵を生成して前記静的鍵を前記ハッカー側および前記監視制御サーバに与えて、前記ハッカー側は前記静的鍵を用いて前記ハッカー側と前記対象ウェブサイトとの間の前記SSL接続を用いたSSLトラフィックを解読しかつ前記監視制御サーバは前記ハッカー側と前記対象ウェブサイトとの間の前記SSL接続を用いた前記SSLトラフィックを暗号化して記録することを特徴とする請求項1に記載のシステム。 When the target website has an SSL (Secure Socket Layer) encryption function, an operation that prevents the monitoring control server from decrypting SSL traffic using an SSL connection between the hacker side and the target website. The encryption function is configured in advance so as to use a target key, the administrator side generates a static key and gives the static key to the hacker side and the monitoring control server, and the hacker side is the static. The key is used to decrypt the SSL traffic using the SSL connection between the hacker side and the target website, and the monitoring control server uses the SSL connection between the hacker side and the target website. The system according to claim 1, wherein the SSL traffic is encrypted and recorded. 前記管理者側は前記現実世界でのハッキング行動中に生成される情報をロギングし、前記現実世界でのハッキング行動を実行した結果にしたがってアフター・アクション・レビュー(AAR)処理を実行することを特徴とする請求項1に記載のシステム。 The administrator side logs information generated during the hacking action in the real world, and executes an after-action review (AAR) process according to the result of executing the hacking action in the real world. The system according to claim 1. 前記記録情報は、セキュリティ情報イベント管理(SIEM)、侵入防止システム(IPS)、侵入検知システム(IDS)、ウェブ・アプリケーション・ファイアウォール(WAF)またはウェブアクセスログに関連する情報を含むことを特徴とする請求項3に記載のシステム。 The recorded information includes information related to security information event management (SIEM), intrusion prevention system (IPS), intrusion detection system (IDS), web application firewall (WAF), or web access log. The system according to claim 3. 前記解析プラットフォームは解析モジュールをさらに有し、前記対象の団体は前記解析モジュールに前記第1の個別報告、前記第2の個別報告および前記記録情報を送信し、前記解析モジュールは前記第1の個別報告、前記第2の個別報告および前記記録情報にしたがって前記概要報告を作成して前記概要報告を前記対象の団体に送信することを特徴とする請求項1〜5のいずれか1項に記載のシステム。 The analysis platform further has an analysis module, the target organization transmits the first individual report, the second individual report and the recorded information to the analysis module, and the analysis module is the first individual report. The invention according to any one of claims 1 to 5, wherein the summary report is prepared according to the report, the second individual report, and the recorded information, and the summary report is transmitted to the target organization. system. 前記第1の個別報告、前記第2の個別報告および前記記録情報を得ると、前記解析プラットフォームの前記解析モジュールは情報セキュリティにおける前記欠陥および脆弱性を含む前記概要報告の生成の際にクロスケース分析(cross−case analysis)処理を実行することを特徴とする請求項6に記載のシステム。 Once the first individual report, the second individual report and the recorded information are obtained, the analysis module of the analysis platform performs cross-case analysis in generating the summary report including the flaws and vulnerabilities in information security. (Cross-case analysis) The system according to claim 6, wherein the process is executed. 前記クロスケース分析処理はハッキング法解析および情報漏えい解析を含むことを特徴とする請求項7に記載のシステム。 The system according to claim 7, wherein the cross-case analysis process includes a hacking method analysis and an information leakage analysis.
JP2019098503A 2019-05-27 2019-05-27 A system that manages information security attack and defense plans Active JP6847460B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019098503A JP6847460B2 (en) 2019-05-27 2019-05-27 A system that manages information security attack and defense plans

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019098503A JP6847460B2 (en) 2019-05-27 2019-05-27 A system that manages information security attack and defense plans

Publications (2)

Publication Number Publication Date
JP2020194265A true JP2020194265A (en) 2020-12-03
JP6847460B2 JP6847460B2 (en) 2021-03-24

Family

ID=73547573

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019098503A Active JP6847460B2 (en) 2019-05-27 2019-05-27 A system that manages information security attack and defense plans

Country Status (1)

Country Link
JP (1) JP6847460B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116664266A (en) * 2023-06-19 2023-08-29 北京惠朗时代科技有限公司 Financial signature safety management system based on Internet

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
JP2015534155A (en) * 2012-08-29 2015-11-26 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. Security scan based on dynamic taint

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015534155A (en) * 2012-08-29 2015-11-26 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. Security scan based on dynamic taint
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116664266A (en) * 2023-06-19 2023-08-29 北京惠朗时代科技有限公司 Financial signature safety management system based on Internet
CN116664266B (en) * 2023-06-19 2024-01-30 北京惠朗时代科技有限公司 Financial signature safety management system based on Internet

Also Published As

Publication number Publication date
JP6847460B2 (en) 2021-03-24

Similar Documents

Publication Publication Date Title
CN103842965B (en) Malware analysis system
JP6527590B2 (en) System and method for detecting covert channel network intrusion based on offline network traffic
Kesh et al. A framework for analyzing e‐commerce security
US20130347085A1 (en) Data exfiltration attack simulation technology
Mozumder et al. Cloud computing security breaches and threats analysis
Henry Penetration testing: protecting networks and systems
Vitti et al. Current issues in cloud computing security and management
Salau et al. Towards a Threat Model and Security Analysis for Data Cooperatives.
Brumă Cloud security audit–issues and challenges
US11108806B2 (en) System for managing information security attack and defense planning
JP6847460B2 (en) A system that manages information security attack and defense plans
Saranya et al. Securing the cloud: an empirical study on best practices for ensuring data privacy and protection
Enigbokan et al. Managing cybercrimes through the implementation of security measures
TWI663523B (en) Management system for information security offensive and defensive planning
Yacob Securing sensitive data in the cloud: a new era of security through zero trust principles
Robles et al. Survey of non-malicious user actions that introduce network and system vulnerabilities and exploits
Leszczyna et al. Cybersecurity controls
Hedemalm An empirical comparison of the market-leading IDS's
Pareta et al. An integrated approach for effective intrusion detection with elasticsearch
Singh et al. CCNA Security 210-260 Certification Guide: Build your knowledge of network security and pass your CCNA Security exam (210-260)
TWI738078B (en) Penetration test monitoring server and system
Sibiya Digital forensic model for a cloud environment
Sahoo et al. Syslog a Promising Solution to Log Management.
Jaeger et al. Access control and data separation metrics in cloud infrastructures
Haber et al. Industrial Control Systems (ICS)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190528

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200721

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210224

R150 Certificate of patent or registration of utility model

Ref document number: 6847460

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250