JP2020514903A - 動的ネットワークセキュリティポリシーを施行するためのシステム及び方法 - Google Patents

動的ネットワークセキュリティポリシーを施行するためのシステム及び方法 Download PDF

Info

Publication number
JP2020514903A
JP2020514903A JP2019548990A JP2019548990A JP2020514903A JP 2020514903 A JP2020514903 A JP 2020514903A JP 2019548990 A JP2019548990 A JP 2019548990A JP 2019548990 A JP2019548990 A JP 2019548990A JP 2020514903 A JP2020514903 A JP 2020514903A
Authority
JP
Japan
Prior art keywords
network
computing device
endpoint computing
protection system
segment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019548990A
Other languages
English (en)
Inventor
リー・チン
チェン・ジョセフ
アムランド・トーリー
チェン・ミン・ハオ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2020514903A publication Critical patent/JP2020514903A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

動的ネットワークセキュリティポリシーを施行するためのコンピュータ実装方法は、(i)ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視することと、(ii)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスに関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出することと、(iii)ネットワークパケットの疑わしい送信に基づいて、ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正することと、(iv)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシーを施行することと、を含み得る。様々な他の方法、システム、及びコンピュータ可読媒体も開示される。

Description

ネットワークコンピューティングシステム、特に組織又は企業向けは、多くの場合、悪意のある攻撃がネットワーク内で広がるのを防止するために厳格なネットワークセキュリティを必要とする。例えば、マルウェアに感染し、信頼できるネットワークに接続された単一のコンピューティングデバイスは、同じネットワーク上の他のデバイスに対するセキュリティ脆弱性を生成し得る。従来、ネットワークマネージャ及び様々なソフトウェアは、ネットワーク又はネットワークセグメントのセキュリティの監視を提供するために使用され得る。これらのマネージャは、ネットワーク上のアクティビティを監視し、エンドポイントデバイスへの及びエンドポイントデバイスからのネットワークトラフィックの制御を通じてセキュリティポリシーを施行し得る。
しかしながら、ネットワークマネージャは必ずしもセキュリティポリシーを適時に更新できない場合がある。例えば、セキュリティポリシーは、エンドポイントデバイス構成の突然の変化、又は予想外のトラフィックの出現を考慮しない場合がある。それに加えて、ネットワーク上の個々のエンドポイントデバイスは、ネットワークマネージャのセキュリティポリシーと不適合であり得る独自の特定のセキュリティ要件又はポリシーを有し得る。更に、組織内の異なるネットワークセグメントは、異なるポリシーを必要とする場合があり、エンドポイントデバイスは、これらの異なるポリシーのそれぞれに準拠しない場合がある。例えば、金融部門のネットワークは、顧客サービス部門のネットワークよりも厳格なポリシーを有し得る。顧客サービスネットワークから金融ネットワークへ移動する従業員のエンドポイントデバイスは、新しいネットワークセグメントのポリシーに突然非準拠になり得る。したがって、本開示は、動的ネットワークセキュリティポリシーを施行するためのシステム及び方法に対するニーズを特定し、それに対処する。
以下で更に詳細に説明するように、本開示は、動的ネットワークセキュリティポリシーを施行するための様々なシステム及び方法を記載する。一実施例では、動的ネットワークセキュリティポリシーを施行するためのコンピュータ実装方法は、(i)ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視することと、(ii)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスに関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出することと、(iii)ネットワークパケットの疑わしい送信に基づいて、ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正することと、(iv)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシーを施行することと、を含んでもよい。
一実施形態では、エンドポイントコンピューティングデバイスは、ネットワークセグメントに接続されている間にネットワークトラフィック保護システムとペアリングすることができるソフトウェアを実行するコンピューティングデバイスを含んでもよい。
いくつかの実施例では、ネットワークパケットの疑わしい送信を検出することは、ネットワークパケットを傍受することを含んでもよい。これらの実施例では、ネットワークパケットの疑わしい送信を検出することはまた、エンドポイントコンピューティングデバイスの予期されるネットワークトラフィックプロファイルに基づいて、ネットワークパケットの送信が疑わしいと判定することを含んでもよい。
いくつかの実施形態では、ネットワークセグメントに対するネットワークセキュリティポリシーを修正することは、エンドポイントコンピューティングデバイスをブロックすること、及び/又はネットワークトラフィックを制限することを含んでもよい。それに加えて、又は代替的に、ネットワークセキュリティポリシーを修正することは、エンドポイントコンピューティングデバイスをデバイスのブラックリストに追加すること、及び/又はネットワークパケットの疑わしい送信の完了を防止することを含んでもよい。
一実施例では、修正されたネットワークセキュリティポリシーを施行することは、修正されたネットワークセキュリティポリシーを、ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスにプッシュすること、及び/又はネットワークトラフィックが修正されたネットワークセキュリティポリシーに従うことを保証することを含んでもよい。それに加えて、又は代替的に、修正されたネットワークセキュリティポリシーを施行することは、ネットワークセグメントに接続された非準拠のエンドポイントコンピューティングデバイスを制限することを含んでもよい。
いくつかの実施形態では、コンピュータ実装方法は、関連するネットワークセグメントを監視する関連するネットワークトラフィック保護システムに、修正されたネットワークセキュリティポリシーを送信することを更に含んでもよい。これらの実施形態では、関連するネットワークセグメントは、ネットワークセグメントを含むネットワークセグメントのクラスタ内に第2のネットワークセグメントを含んでもよい。
一実施例では、コンピュータ実装方法は、ネットワークパケットの疑わしい送信に関連する少なくとも1つのソフトウェアアプリケーションを識別することと、エンドポイントコンピューティングデバイスからソフトウェアアプリケーションに関する追加情報を要求することと、追加情報に基づいてセキュリティアクションを実施することと、を更に含んでもよい。この実施例では、セキュリティアクションは、エンドポイントコンピューティングデバイスのユーザの改ざんを検出すること、ソフトウェアアプリケーションのインストールにおける異常を検出すること、ソフトウェアアプリケーションが悪意のあるものであり得ると判断すること、ソフトウェアアプリケーションに関するユーザアクティビティのログを要求すること、及び/又はエンドポイントコンピューティングデバイスを制限することを含んでもよい。
一実施形態では、上述の方法を実装するためのシステムは、(i)ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視する、メモリに記憶された監視モジュールと、(ii)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスに関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出する、メモリに記憶された検出モジュールと、(iii)ネットワークパケットの疑わしい送信に基づいて、ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正する、メモリに記憶された修正モジュールと、(iv)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシーを施行する、メモリに記憶された施行モジュールと、を含んでもよい。それに加えて、システムは、監視モジュール、検出モジュール、修正モジュール、及び施行モジュールを実行する少なくとも1つのプロセッサを含んでもよい。
一部の実施例では、上述の方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、コンピューティングデバイスに、(i)ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されたネットワークパケットを監視させ、(ii)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスに関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出させ、(iii)ネットワークパケットの疑わしい送信に基づいて、ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正させ、かつ、(iv)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシーを施行させ得る、1つ以上のコンピュータ実行可能命令を含んでもよい。
一実施例では、動的ネットワークセキュリティポリシーを施行するための追加のコンピュータ実装方法は、(i)ネットワークセキュリティエージェントによって、エンドポイントコンピューティングデバイスによるネットワークに接続する試みを検出することと、(ii)ネットワークセキュリティエージェントによって、ネットワークを管理するネットワークトラフィック保護システムとペアリングすることを試みることと、(iii)ネットワークトラフィック保護システムとペアリングする試みに基づいて、ネットワークに対するネットワークセキュリティポリシーのセットを受信することと、(iv)ネットワークに対するネットワークセキュリティポリシーの受信したセットに準拠するように、エンドポイントコンピューティングデバイスに対するセキュリティポリシーの元のセットを修正することと、(v)ネットワークに接続する試みを完了することと、を含んでもよい。この例では、追加のコンピュータ実装方法は、ペアリングされたネットワークトラフィック保護システムにセキュリティ機能をオフロードすることを更に含んでもよい。
いくつかの実施形態では、ネットワークトラフィック保護システムとペアリングすることを試みることは、ネットワークセキュリティエージェントとネットワークトラフィック保護システムとの間で相互認証プロセスを実施することを含んでもよい。
一実施例では、ネットワークセキュリティポリシーのセットは、エンドポイントコンピューティングデバイスのユーザに対するユーザ固有のポリシー、及び/又はネットワークに対するネットワーク固有のポリシーを含んでもよい。それに加えて、又は代替的に、ネットワークセキュリティポリシーのセットは、エンドポイントコンピューティングデバイスに対するデフォルトポリシーを含んでもよい。
一実施形態では、セキュリティポリシーの元のセットを修正することは、セキュリティポリシーの元のセットを、ネットワークセキュリティポリシーの受信したセットに置き換えること、及び/又はネットワークセキュリティポリシーの受信したセットをセキュリティポリシーの元のセットに追加することを含んでもよい。それに加えて、又は代替的に、セキュリティポリシーの元のセットを修正することは、ネットワークセキュリティポリシーの受信したセットに準拠するようにセキュリティポリシーの元のセットの一部を改訂することを含んでもよい。
いくつかの実施例では、追加のコンピュータ実装方法は、ネットワークトラフィック保護システムから、ネットワークの少なくとも1つの位置属性を受信することを更に含んでもよい。これらの実施例では、ネットワークの位置属性は、ネットワークの物理的位置及び/又はネットワークのタイプを含んでもよい。これらの実施例では、追加のコンピュータ実装方法はまた、ネットワークの位置属性及びネットワークトラフィック保護システムとペアリングする試みに基づいて、ネットワークの信頼性を計算することと、ネットワークの計算された信頼性基づいて、エンドポイントコンピューティングデバイスに対する少なくとも1つのセキュリティポリシーを修正することと、を含んでもよい。
いくつかの実施形態では、追加のコンピュータ実装方法は、ネットワークセキュリティエージェントによって、ネットワークからの切断を検出することを更に含んでもよい。これらの実施形態では、追加のコンピュータ実装方法は、エンドポイントコンピューティングデバイスのセキュリティポリシーの元のセットを再適用することを含んでもよい。
一実施例では、動的ネットワークセキュリティポリシーを施行するための追加のシステムは、(i)ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視し、(ii)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスと関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出し、(iii)ネットワークパケットの疑わしい送信に基づいて、ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正し、かつ、(iv)ネットワークトラフィック保護システムによって、ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシーを施行するように構成された、ネットワークコンピューティングデバイスを含んでもよい。それに加えて、エンドポイントコンピューティングデバイスは、(i)ネットワークセキュリティエージェントによって、ネットワークセグメントに接続する試みを検出し、(ii)ネットワークセキュリティエージェントによって、ネットワークセグメントを管理するネットワークトラフィック保護システムとペアリングすることを試み、(iii)ネットワークトラフィック保護システムとペアリングする試みに基づいて、ネットワークセグメントに対するネットワークセキュリティポリシーのセットを受信し、(iv)ネットワークセグメントに対する受信したネットワークセキュリティポリシーの受信したセットに準拠するように、エンドポイントコンピューティングデバイスに対するセキュリティポリシーの元のセットを修正し、かつ、(v)ネットワークセグメントに接続する試みを完了するように構成されてもよい。
上述の実施形態のいずれかによる特徴は、本明細書に記載される一般原理に従って、互いに組み合わせて使用されてもよい。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことによって更に十分に理解されるだろう。
添付の図面は、いくつかの例示的な実施形態を図示するものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。
動的ネットワークセキュリティポリシーを施行するための例示的なシステムのブロック図である。 動的ネットワークセキュリティポリシーを施行するための追加の例示的なシステムのブロック図である。 動的ネットワークセキュリティポリシーを施行するための例示的な方法のフローチャートである。 ネットワークセグメントの例示的クラスタにおける修正されたネットワークセキュリティポリシーの例示的な伝搬のブロック図である。 例示的なエンドポイントコンピューティングデバイス上の例示的なソフトウェアアプリケーションの検出に応答して実施される、例示的なセキュリティアクションのブロック図である。 例示的なエンドポイントコンピューティングデバイスと例示的なネットワークとの間の例示的なペアリングのブロック図である。 例示的な位置属性に基づいて計算された例示的なネットワーク信頼性のブロック図である。 動的ネットワークセキュリティポリシーを施行するための追加の例示的な方法のフローチャートである。 本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステムのブロック図である。 本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングネットワークのブロック図である。
図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の「特許請求の範囲」内にある全ての修正物、等価物、及び代替物を網羅する。
本開示は、概して、動的ネットワークセキュリティポリシーを施行するためのシステム及び方法を目的とする。以下でより詳細に説明するように、ネットワークトラフィックを監視及び傍受することによって、本明細書に記載されるシステム及び方法は、ネットワーク内のセキュリティポリシーの動的調整を可能にし得る。例えば、ネットワークトラフィックをエンドポイントデバイスの予期されるトラフィックプロファイルと比較することによって、開示されるシステム及び方法は、特定のデバイスに関するトラフィックが疑わしいかどうかを判定し、そのデバイスに関するソフトウェアコンプライアンスの問題の検出を可能にし得る。セキュリティポリシーをエンドポイントデバイスにプッシュし、非準拠のデバイスのネットワークトラフィックをブロックすることによって、本明細書に記載されるシステム及び方法は、次いで、同じネットワーク上の他のデバイスに対するネットワークセキュリティを保証し得る。
更に、同じ組織内のネットワークセグメントなどの関連するネットワークセグメントをクラスタリングすることによって、開示されるシステム及び方法は、階層構造内のセグメント又はクラスタにわたってセキュリティポリシーを伝搬し得る。いくつかの実施例では、本明細書に記載されるシステム及び方法は、ネットワークトラフィック保護システムとエンドポイントデバイスとをペアリングして、エンドポイントデバイスが一部のネットワークセキュリティ応答性を信頼できるネットワークトラフィック保護システムにオフロードすることを可能にし得る。開示されるシステム及び方法はまた、エンドポイントデバイスが、ネットワーク又は接続するネットワークのタイプに基づいて、ローカルセキュリティポリシーを動的に調整することを可能にし得る。
それに加えて、本明細書に記載されるシステム及び方法は、デバイスがネットワークに接続され、ネットワークトラフィックの安全性を保証するときに、ネットワークセキュリティポリシーへの準拠を施行することによって、コンピューティングデバイスの機能を改善し得る。これらのシステム及び方法はまた、ネットワークマネージャ及びエンドポイントデバイスを相互に認証することによって、ネットワークセキュリティ及びエンドポイントセキュリティの分野を改善し得る。このように、これらのシステム及び方法は、ネットワークの脅威に自動的に応答するリアルタイムな動的ネットワークセキュリティを提供し得る。
以下に、図1及び図2を参照して、動的ネットワークセキュリティポリシーを施行するための例示的なシステムの詳細な説明を提供する。対応するコンピュータ実装方法の詳細な説明も図3に関連して提供される。ネットワークセグメントの例示的なクラスタにおける修正されたネットワークセキュリティポリシーの例示的な伝搬の詳細な説明は、図4に関連して提供される。例示的なエンドポイントコンピューティングデバイス上の例示的なソフトウェアアプリケーションの検出に応答して実施される例示的なセキュリティアクションの詳細な説明も、図5に関連して提供される。それに加えて、例示的なエンドポイントコンピューティングデバイスと例示的なネットワークとの間の例示的なペアリングの詳細な説明は、図6に関連して提供される。更に、例示的な位置属性に基づいて計算された例示的なネットワーク信頼性の詳細な説明は、図7に関連して提供される。追加の対応するコンピュータ実装方法の詳細な説明は、図8に関連して提供される。最後に、本明細書に記載の実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明が、それぞれ、図9及び図10に関連して提供される。
図1は、動的ネットワークセキュリティポリシーを施行するための例示的なシステム100のブロック図である。本明細書で使用するとき、用語「セキュリティポリシー」は、一般に、コンピューティングデバイス又はシステムのセキュリティを管理するための規則又は制約のセットを指す。とりわけ、本明細書で使用するとき、用語「ネットワークセキュリティポリシー」は、一般に、コンピュータネットワーク上のコンピューティングデバイスのアクセス又は行為を対象とするセキュリティポリシーを指す。
図1に図示されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、以下でより詳細に説明するように、モジュール102は、ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視する監視モジュール104を含んでもよい。本明細書で使用するとき、用語「ネットワークトラフィック保護システム」及び「ネットワークマネージャ」は、概して、トラフィック分類、帯域幅管理、及びポリシー施行で使用されるデバイス又はソフトウェアを指し、これは、ネットワークパケット及び/若しくはトラフィックを遅延させるか又は優先して、所望のネットワークポリシーへの準拠を保証する方法を含み得る。本明細書で使用するとき、用語「ネットワークパケット」は、概して、ネットワークを介して送信され得るデータの単位を指す。更に、本明細書で使用するとき、用語「ネットワークセグメント」は、概して、物理的又は論理的手段によって他のセグメント又は残りのネットワークから分離され得るネットワークの一部を指す。
図1のモジュール102は、ネットワークトラフィック保護システムによって、ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスに関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出する検出モジュール106を追加的に含んでもよい。モジュール102はまた、ネットワークパケットの疑わしい送信に基づいて、ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正する修正モジュール108を含んでもよい。モジュール102は、ネットワークトラフィック保護システムによって、ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシーを施行する、施行モジュール110を更に含んでもよい。別々の要素として図示されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール若しくはアプリケーション又は複数のモジュール若しくはアプリケーションの部分を表し得る。
特定の実施形態では、図1のモジュール1002のうちの1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、より詳細に後述するように、モジュール102のうちの1つ以上は、図2に示されるデバイス(例えば、ネットワークコンピューティングデバイス202)などの1つ以上のコンピューティングデバイスに記憶され、その上で作動するように構成されている、モジュールを表し得る。図1のモジュール102のうちの1つ以上はまた、1つ以上のタスクを実施するように構成されている1つ以上の専用コンピュータの全て又は一部を表し得る。図2のネットワークコンピューティングデバイス202の一部として図示されているが、図1のモジュール102のうちの1つ以上は、ネットワークコンピューティングデバイス202及び/又はネットワーク(例えば、図2のネットワークセグメント204及び/又は図6のネットワーク602)を管理するために、別個のネットワークマネージャデバイス(例えば、図2のネットワークトラフィック保護システム208)によって実行されてもよい。
図1に示すように、例示的なシステム100はまた、メモリ140などの1つ以上のメモリデバイスも含み得る。メモリ140は、一般に、データ及び/又はコンピュータ可読命令を記憶することができる任意のタイプ又は形態の揮発性又は不揮発性の記憶デバイス又は媒体を表す。一実施例では、メモリ140は、モジュール102のうちの1つ以上を記憶、ロード、及び/又は維持してもよい。メモリ140の例としては、非限定的に、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、フラッシュメモリ、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、光ディスクドライブ、キャッシュ、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他の好適な記憶メモリが挙げられる。
図1に示すように、例示的なシステム100はまた、物理プロセッサ130などの1つ以上の物理プロセッサも含み得る。物理プロセッサ130は、一般に、コンピュータ可読命令を解釈及び/又は実行することができる任意のタイプ又は形態のハードウェア実装処理ユニットを表す。一実施例では、物理プロセッサ130は、メモリ140に記憶されているモジュール102のうちの1つ以上にアクセスし、かつ/又はそれを変更することができる。それに加えて、又は代替的に、物理プロセッサ130は、動的ネットワークセキュリティポリシーの施行を容易にするために、モジュール102のうちの1つ以上を実行し得る。物理プロセッサ130の例としては、非限定的に、マイクロプロセッサ、マイクロコントローラ、中央処理装置(CPU)、ソフトコアプロセッサを実装するフィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、それらのうちの1つ以上の部分、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他の好適な物理プロセッサが挙げられる。
図1に示すように、例示的なシステム100はまた、データベース120などの1つ以上のデータベースを含んでもよい。一実施例では、データベース120は、ネットワーク及び/又はネットワークセグメントを保護するための1つ以上のルールを含み得るネットワークセキュリティポリシー122を記憶するように構成されてもよい。データベース120は、単一のデータベース若しくはコンピューティングデバイスの部分、又は複数のデータベース若しくはコンピューティングデバイスの部分を表してもよい。例えば、データベース120は、図2のネットワークコンピューティングデバイス202の一部を表し得る。あるいは、図1のデータベース120は、図2のネットワークコンピューティングデバイス202、エンドポイントコンピューティングデバイス206(1)、及び/又はエンドポイントコンピューティングデバイス206(2)などのコンピューティングデバイスがアクセスできる1つ以上の物理的に別個のデバイスを表し得る。例えば、データベース120は、ネットワークセグメント204上に存在し、ネットワークコンピューティングデバイス202によってアクセスされてもよい。別の例として、データベース120は、ネットワークセグメント204又は別のネットワーク接続を介してネットワークコンピューティングデバイス202のようなネットワークマネージャによってアクセスされ得る、クラウドストレージなどの外部ストレージであってもよい。
図1の例示的なシステム100は、様々な方法で実装され得る。例えば、例示的なシステム100のうちの全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示すように、システム200は、ネットワークセグメント204を介してネットワークコンピューティングデバイス202と通信するエンドポイントコンピューティングデバイス206(1)及びエンドポイントコンピューティングデバイス206(2)を含んでもよい。一実施例では、モジュール102の機能のうちの全て又は一部は、コンピューティングデバイス202、ネットワークトラフィック保護システム208、及び/又は任意の他の好適なコンピューティングシステムによって実施されてもよい。
より詳細に後述するように、図1によるモジュール102のうちの1つ以上は、ネットワークコンピューティングデバイス202の少なくとも1つのプロセッサによって実行されるとき、ネットワークコンピューティングデバイス202がネットワーク上のエンドポイントデバイスを保護することを可能にし得る。例えば、以下でより詳細に説明するように、監視モジュール104は、ネットワークトラフィック保護システム208によって、ネットワークセグメント204上で送信されるネットワークパケットを監視し得る。検出モジュール106は、ネットワークトラフィック保護システム208によって、ネットワークセグメント204に接続されたエンドポイントコンピューティングデバイス206(1)に関連付けられたネットワークパケット212の疑わしい送信を検出し得る。修正モジュール108は、ネットワークパケット212の疑わしい送信に基づいて、ネットワークセグメント204に対するネットワークセキュリティポリシー122を修正し得る。施行モジュール110は、ネットワークセグメント204に接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシー216を施行し得る。
図2の例では、以下でより詳細に説明するように、ネットワークコンピューティングデバイス202は、ネットワークトラフィック保護システム208など、インストールされたネットワークマネージャソフトウェアを有してもよい。ネットワークコンピューティングデバイス202は、ネットワークトラフィック保護システム208を使用して、それぞれ、ネットワークセキュリティエージェント210(1)及びネットワークセキュリティエージェント210(2)を使用してネットワークトラフィック保護システム208とペアリングされるエンドポイントコンピューティングデバイス206(1)及び206(2)のネットワークトラフィックを監視し得る。本明細書で使用するとき、用語「ネットワークセキュリティエージェント」は、概して、特定のデバイスのネットワークセキュリティを管理又は制御するのに役立つソフトウェアを指す。
図2のネットワークコンピューティングデバイス202は、次いで、エンドポイントコンピューティングデバイス206(1)によって送信されたネットワークパケット212を検出し、ネットワークパケット212が疑わしいことを判定し得る。次に、ネットワークコンピューティングデバイス202は、ネットワークセキュリティポリシー122を、疑わしいネットワークパケット212の検出に応答して修正されたネットワークセキュリティポリシー126となるように修正し得る。最後に、ネットワークコンピューティングデバイス202は、修正されたネットワークセキュリティポリシー216をエンドポイントコンピューティングデバイス206(1)及び206(2)にプッシュすることによって、修正されたネットワークセキュリティポリシー216を施行し得る。
図2のネットワークコンピューティングデバイス202は、概して、コンピュータネットワークを管理することができる任意のタイプ又は形態のコンピューティングデバイスを表す。例えば、ネットワークコンピューティングデバイス202は、ネットワークトラフィック保護システムソフトウェアを実行するインラインネットワークデバイスを表し得る。ネットワークコンピューティングデバイス202の追加の例としては、非限定的に、モデム、ルータ、ネットワークブリッジ、ネットワークゲートウェイ、スイッチ、ネットワークハブ、トラフィックシェーピングデバイス、並びに/又はネットワークトラフィックの監視及び/若しくはネットワークセキュリティサービスを提供する他のデバイスが挙げられる。図2では単一のエンティティとして示されているが、ネットワークコンピューティングデバイス202は、互いに連携して働く及び/又は動作する複数のデバイスを含み得る及び/又はそれらを表し得る。
エンドポイントコンピューティングデバイス206(1)及び206(2)は、概して、コンピュータ実行可能命令を読み取ることが可能な、任意のタイプ又は形態のコンピューティングデバイスを表す。例えば、エンドポイントコンピューティングデバイス206(1)及び206(2)は、ネットワークセキュリティエージェントソフトウェアを実行するエンドポイントデバイスを表し得る。エンドポイントコンピューティングデバイス206(1)及び206(2)の追加の例としては、非限定的に、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらのうちの1つ以上の組み合わせ、及び/又は他の任意の好適なコンピューティングデバイスが挙げられる。
図2のネットワークセグメント204及び図6のネットワーク602は、概して、通信又はデータ転送を容易にすることができる任意の媒体又はアーキテクチャを表す。一実施例では、ネットワークセグメント204及び/又はネットワーク602は、ネットワークコンピューティングデバイス202とエンドポイントコンピューティングデバイス206(1)及び206(2)との間の通信を容易にし得る。この実施例では、ネットワークセグメント204及び/又はネットワーク602は、無線接続及び/又は有線接続を使用して、通信又はデータ転送を容易にしてもよい。ネットワークセグメント204及び/又はネットワーク602の例としては、非限定的に、イントラネット、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、Global System for Mobile Communications(GSM(登録商標))ネットワーク)、それらのうちの1つ以上の部分、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他の好適なネットワークが挙げられる。
図3は、動的ネットワークセキュリティポリシーを施行するための例示的なコンピュータ実装方法300のフローチャートである。図3に示されるステップは、図1のシステム100、図2のシステム200、及び/又はそれらのうちの1つ以上の変形形態若しくは組み合わせを含む、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施され得る。一実施例では、図3に示されるステップの各々は、アルゴリズムを表してもよく、そのアルゴリズムの構造は、複数のサブステップを含み、かつ/又はそれらによって表され、それらの実施例が以下により詳細に提供される。
図3に示すように、ステップ302において、本明細書に記載されるシステムのうちの1つ以上は、ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視し得る。例えば、監視モジュール104は、図2のネットワークコンピューティングデバイス202の一部として、ネットワークトラフィック保護システム208によって、ネットワークセグメント204上で送信されるネットワークパケットを監視し得る。
監視モジュール104は、様々な方法でネットワークパケットを監視し得る。いくつかの実施例では、ネットワークコンピューティングデバイス202は、ネットワークセグメント204の一部としてネットワークトラフィック保護システム208を実行するインラインネットワークデバイスを表し得る。これらの実施例では、ネットワークコンピューティングデバイス202は、ネットワークセグメント204のセキュリティ機能の一部又は全てを管理し得る。他の実施例では、ネットワークコンピューティングデバイス202は、図10のシステム100を実行するクライアント1010など、ネットワークパケットを遠隔監視する、有線又は無線接続を介してネットワークセグメント204に接続された別個のデバイスであってもよい。あるいは、ネットワークトラフィック保護システム208は、ネットワークトラフィックを明確に傍受及び/又は管理するネットワークコンピューティングデバイス202上で作動するソフトウェアではなく、別個のハードウェアデバイスを表し得る。
図3に戻ると、ステップ304において、本明細書に記載されるシステムのうちの1つ以上は、ネットワークトラフィック保護システムによって、ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスに関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出し得る。例えば、検出モジュール106は、図2のネットワークコンピューティングデバイス202の一部として、ネットワークトラフィック保護システム208によって、ネットワークセグメント204に接続されたエンドポイントコンピューティングデバイス206(1)に関連付けられたネットワークパケット212の疑わしい送信を検出し得る。
検出モジュール106は、様々な方法でネットワークパケット212の疑わしい送信を検出し得る。一実施形態では、エンドポイントコンピューティングデバイス206(1)は、ネットワークセグメント204に接続されている間にネットワークトラフィック保護システム208(例えば、ネットワークセキュリティエージェント210(1))とペアリングすることができるソフトウェアを実行し得る。本明細書で使用するとき、用語「ペアリング」は、概して、デバイスが通信し得るように、2つ以上のデバイスを接合するプロセスを指す。この実施形態では、ネットワークトラフィック保護システム208は、ネットワークコンピューティングデバイス202がエンドポイントデバイスに対するネットワークセキュリティを管理し得るように、ネットワークセグメント204への接続時に全てのエンドポイントデバイスがネットワークコンピューティングデバイス202とペアリングすることを必要とし得る。ネットワークトラフィック保護システム208を介してネットワークコンピューティングデバイス202とペアリングされないデバイスは、ブロックされてもよく、ないしは別の方法で制限されてもよい。
図8は、動的ネットワークセキュリティポリシーを施行するための追加の例示的なコンピュータ実装方法800のフローチャートである。図8に示されるステップは、図1のシステム100、図2のシステム200、及び/又はそれらのうちの1つ以上の変形形態若しくは組み合わせを含む、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施され得る。一実施例では、図8に示されるステップのそれぞれは、アルゴリズムを表してもよく、そのアルゴリズムの構造は、複数のサブステップを含み、かつ/又はそれらによって表され、それらの実施例が以下により詳細に提供される。
図8に示すように、ステップ802において、本明細書に記載されるシステムのうちの1つ以上は、ネットワークセキュリティエージェントによって、エンドポイントコンピューティングデバイスによるネットワークに接続する試みを検出し得る。ステップ804において、本明細書に記載されるシステムは、ネットワークセキュリティエージェントによって、ネットワークを管理するネットワークトラフィック保護システムとペアリングすることを試み得る。次に、ステップ806において、本明細書に記載されるシステムは、ネットワークトラフィック保護システムとペアリングする試みに基づいて、ネットワークに対するネットワークセキュリティポリシーのセットを受信し得る。ステップ808において、本明細書に記載されるシステムは、次いで、ネットワークに対するネットワークセキュリティポリシーの受信したセットに準拠するように、エンドポイントコンピューティングデバイスに対するセキュリティポリシーの元のセットを修正し得る。ステップ810において、本明細書に記載されるシステムは、最終的に、ネットワークに接続する試みを完了し得る。
例えば、図6に示すように、エンドポイントコンピューティングデバイス206は、ネットワークセキュリティエージェント210によって、エンドポイントコンピューティングデバイス206によるネットワーク602に接続する試みを検出し得る。この実施例では、ネットワーク602は、図2のネットワークセグメント204などのネットワーク又はネットワークセグメントを表し得る。次いで、エンドポイントコンピューティングデバイス206は、ネットワークセキュリティエージェント210によって、ネットワーク602を管理するネットワークトラフィック保護システム208とペアリングすることを試み(例えば、ペアリングの試み604)得る。エンドポイントコンピューティングデバイス206はまた、ペアリングの試み604に基づいて、ネットワーク602に対するネットワークセキュリティポリシーのセット606を受信し得る。次に、エンドポイントコンピューティングデバイス206は、ネットワークセキュリティポリシーのセット606に準拠するように、エンドポイントコンピューティングデバイス206に対するセキュリティポリシー608の元のセットを修正し得る。最後に、エンドポイントコンピューティングデバイス206は、ネットワーク602に接続する試みを完了し得る。
上の実施例では、ペアリングの試み604は、ネットワークセキュリティエージェント210とネットワークトラフィック保護システム208との間で相互認証プロセスを実施することを含み得る。本明細書で使用するとき、用語「相互認証」は、概して、2つ以上のデバイス及び/又はコンピューティングシステムが互いに認証又は識別するプロセスを指す。特に、ネットワークセキュリティエージェント及びネットワークトラフィック保護システムは、それぞれ、エンドポイントコンピューティングデバイス及びネットワークコンピューティングデバイスを相互に認証し得る。
いくつかの実施形態では、ネットワークセキュリティポリシーのセット606は、エンドポイントコンピューティングデバイス206のユーザに対するユーザ固有のポリシー、ネットワーク602に対するネットワーク固有のポリシー、及び/又はエンドポイントコンピューティングデバイス206に対するデフォルトポリシーを含み得る。例えば、相互認証がエンドポイントコンピューティングデバイス206のユーザを識別する場合、ネットワークトラフィック保護システム208は、ユーザポリシーの中央データベース及び/又は別の信頼できるネットワークトラフィック保護システムからユーザ固有のポリシーを取得し得る。これらの実施形態では、ネットワーク固有のポリシーは、ネットワークのタイプ、又はネットワーク602を介して送信される情報のタイプに依存し得る。ネットワーク固有のポリシーは、ネットワークトラフィック保護システム208からネットワーク602に固有のポリシーとして受信されてもよく、又はネットワーク602のためのネットワークセキュリティエージェント210によって選択されてもよい。追加の実施形態では、ネットワーク602は、エンドポイントコンピューティングデバイス206とペアリングすることができなくてもよく、及び/又はネットワークトラフィック保護システムを実行しなくてもよい。これらの追加の実施形態では、エンドポイントコンピューティングデバイス206は、ネットワーク602に接続されている間に、セキュリティポリシーの元のセット608など、エンドポイントコンピューティングデバイス206に対するデフォルトポリシーを使用してもよい。例えば、デフォルトポリシーは、非検証又は非セキュアなネットワークのためにより厳格なポリシーを含み得る。あるいは、エンドポイントコンピューティングデバイス206は、ネットワーク固有のポリシーよりも多くのセキュリティ制御を含むデフォルトポリシーを保持し得る。
いくつかの実施例では、エンドポイントコンピューティングデバイス206は、セキュリティポリシーの元のセット608をネットワークセキュリティポリシーのセット606と置き換えることによって、セキュリティポリシーの元のセット608を修正し得る。それに加えて、又は代替的に、エンドポイントコンピューティングデバイス206は、ネットワークセキュリティポリシー606のセットをセキュリティポリシーの元のセット608に追加し得る。他の実施例では、エンドポイントコンピューティングデバイス206は、ネットワークセキュリティポリシーのセット606に準拠するように、セキュリティポリシーの元のセット608の一部を改訂し得る。例えば、ネットワーク602は、セキュリティポリシーの元のセット608よりも多くの制限を有するセキュリティポリシーを施行する金融ネットワークであり得る。エンドポイントコンピューティングデバイス206は、次いで、セキュリティポリシー608の元のセットを修正して、ネットワーク602に対するネットワークセキュリティポリシー606のセットの制限と一致するようにセキュリティを高め得る。
更に、図6に示すように、エンドポイントコンピューティングデバイス206は、ペアリングの結果として、ネットワークトラフィック保護システム208にセキュリティ機能610をオフロードし得る。本明細書で使用するとき、用語「セキュリティ機能」は、概して、セキュリティポリシーを施行又は実装するためにとられるアクションを指す。上記の例では、エンドポイントコンピューティングデバイス206は、ネットワークトラフィック保護システム208が、ネットワークセキュリティポリシーのセット606に基づいて、金融ウェブサイトのトラフィックをどのように、いつブロックするかを判定することを可能にし得る。別の例として、ネットワークセキュリティエージェント210は、ネットワーク602が、ネットワークトラフィック保護システム208とのペアリングに基づいて信頼できるネットワークであると判定し得、その結果、ネットワークトラフィック保護システム208を信頼して、エンドポイントコンピューティングデバイス206に対するネットワークセキュリティを提供し、それによってセキュリティ機能610の制御を放棄し得る。
一実施形態では、エンドポイントコンピューティングデバイス206は、ネットワーク602に接続する試みを完了する前に、ネットワークトラフィック保護システム208から、ネットワーク602の1つ以上の位置属性を受信し得る。この実施形態では、ネットワーク602の位置属性は、ネットワーク602の物理的位置及び/又はネットワークのタイプを含み得る。それに加えて、エンドポイントコンピューティングデバイス206は次いで、ネットワーク602の位置属性及びペアリングの試み604に基づいて、ネットワーク602の信頼性を計算し得る。次に、エンドポイントコンピューティングデバイス206は、ネットワーク602の計算された信頼性に基づいて、ネットワークセキュリティポリシーのセット606及び/又はセキュリティポリシーの元のセット608内のポリシーなど、エンドポイントコンピューティングデバイス206に対する1つ以上のセキュリティポリシーを修正し得る。
図7に示すように、ネットワークセキュリティエージェント210は、ネットワークトラフィック保護システム208から物理的位置(例えば、「Columbus Coffee Shop」)及びネットワークのタイプ(例えば、「公共」)を有する位置属性702を受信し得る。この例では、ネットワークセキュリティエージェント210は、位置属性702と、ペアリングの試み604(例えば、「失敗」)と、を使用して、ネットワーク602の信頼性704が低いと判定し得る。ネットワークセキュリティエージェント210は次いで、ネットワーク602上のエンドポイントコンピューティングデバイス206による全てのトランザクションを可能にするセキュリティポリシー706(1)を、ネットワーク602上の金融トランザクションを明確にブロックするセキュリティポリシー706(2)に修正し得る。
更なる実施例では、位置属性702は、ネットワーク602が信頼できるネットワークであるかどうかに関する情報を含み得る。図7の例では、公共のコーヒーショップネットワークは、信頼できないネットワークと見なすことができる。それに加えて、ペアリングの試み604の失敗はまた、信頼できないネットワークを示し得る。他の実施例では、ネットワークトラフィック保護システム208とペアリングする能力は、計算された信頼性704を増加させ得る。セキュリティポリシー706(2)は、信頼できないネットワークに対してより制限的であり、及び/又は信頼できるネットワークに対してより寛大であり得る。このように、エンドポイントコンピューティングデバイスは、ネットワーク602又はネットワークセグメント204などのネットワークへの初期接続中にネットワークセキュリティポリシーを作成及び/又は受信し得る。
図2の例に戻ると、検出モジュール106は、ネットワークパケット212を傍受し、エンドポイントコンピューティングデバイス206(1)の予期されるネットワークトラフィックプロファイル214に基づいて、ネットワークパケット212の送信が疑わしいと判定することによって、ネットワークパケット212の疑わしい送信を検出し得る。予期されるネットワークトラフィックプロファイル214は、様々な方法で計算され得る。いくつかの実施形態では、ネットワークトラフィック保護システム208は、エンドポイントコンピューティングデバイス206(1)に関連付けられたトラフィックに対する履歴データを使用して、エンドポイントコンピューティングデバイス206(1)の標準的な挙動を計算してもよい。あるいは、ネットワークセキュリティエージェント210(1)は、エンドポイントコンピューティングデバイス206(1)のトラフィックを追跡し、予期されるネットワークトラフィックプロファイル214をネットワークトラフィック保護システム208に送信してもよい。別の実施形態では、ネットワークトラフィック保護システム208は、トラフィックプロファイルの中央データベースから予期されるネットワークトラフィックプロファイル214を要求及び受信してもよい。例えば、ネットワークトラフィック保護システム208は、全ての従業員エンドポイントデバイスに対する期待値及び/又は準拠要件の企業データベースに問い合わせてもよい。更なる実施形態では、エンドポイントコンピューティングデバイス206(1)の予期されるネットワークトラフィックプロファイル214は、エンドポイントコンピューティングデバイス206(2)など、準拠していることが知られている同様のエンドポイントデバイスに基づいてもよい。
図3に戻ると、ステップ306において、本明細書に記載されるシステムのうちの1つ以上は、ネットワークパケットの疑わしい送信に基づいて、ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正し得る。例えば、修正モジュール108は、図2のネットワークコンピューティングデバイス202の一部として、ネットワークパケット212の疑わしい送信に基づいて、ネットワークセグメント204に対するネットワークセキュリティポリシー122を修正し得る。
修正モジュール108は、様々な方法でネットワークセキュリティポリシー122を修正し得る。いくつかの実施例では、修正モジュール108は、エンドポイントコンピューティングデバイス206(1)をブロックし、及び/又はネットワークトラフィックを制限するように修正されたネットワークセキュリティポリシー216を作成することによって、ネットワークセグメント204に対するネットワークセキュリティポリシー122を修正してもよい。これらの実施例では、ネットワークトラフィック保護システム208とエンドポイントコンピューティングデバイス206(1)との間のペアリングは、ネットワークパケット212の疑わしい送信により、終了することができる。それに加えて、又は代替的に、修正モジュール108は、エンドポイントコンピューティングデバイス206(1)をデバイスのブラックリストに追加してもよい。これらの実施例では、デバイスのブラックリストは、複数のネットワークセグメント上のエンドポイントコンピューティングデバイス206(1)によるネットワークパケットの疑わしい送信を防止するために、複数のネットワークコンピューティングデバイスによって使用されてもよい。更なる実施例では、修正モジュール108は、分析のためにネットワークパケット212を傍受した後に、ネットワークパケット212の疑わしい送信が完了することをリアルタイムで防止してもよい。これらの実施例では、ネットワークトラフィック保護システム208は、全てのネットワークトラフィックを再調査してから続行可能にし得る。
図3に戻ると、ステップ308において、本明細書に記載されるシステムのうちの1つ以上は、ネットワークトラフィック保護システムによって、ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシーを施行し得る。例えば、施行モジュール110は、図2のネットワークコンピューティングデバイス202の一部として、ネットワークトラフィック保護システム208によって、ネットワークセグメント204に接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシー216を施行し得る。
施行モジュール110は、様々な方法で修正されたネットワークセキュリティポリシー216を施行し得る。一実施形態では、施行モジュール110は、修正されたネットワークセキュリティポリシー216をエンドポイントコンピューティングデバイス206(1)及び/又は206(2)にプッシュすることによって、修正されたネットワークセキュリティポリシー216を施行してもよい。本明細書で使用するとき、用語「プッシュ」は、概して、送信者がプロセスを開始するコンテンツ又はデータを送信する方法を指す。例えば、施行モジュール110は、エンドポイントコンピューティングデバイスの更新されたブラックリストをエンドポイントコンピューティングデバイス206(1)及び/又は206(2)に送信してもよい。それに加えて、又は代替的に、施行モジュール110は、ネットワークトラフィックが、修正されたネットワークセキュリティポリシー216に従うことを保証し、かつ/又はエンドポイントコンピューティングデバイス206(1)などの非準拠のエンドポイントコンピューティングデバイスを制限してもよい。例えば、エンドポイントコンピューティングデバイス206(1)は、修正されたネットワークセキュリティポリシー216を受け入れない場合があり、施行モジュール110はその後、エンドポイントコンピューティングデバイス206(1)からのトラフィックを制限してもよい。更に、これらの実施形態では、ネットワークトラフィック保護システム208は、修正されたネットワークセキュリティポリシー216に基づいてネットワークセグメント204に関するネットワークトラフィック及びネットワークパケットを監視し続けてもよい。
いくつかの実施例では、本明細書に記載されるシステムは、関連するネットワークセグメントを監視する関連するネットワークトラフィック保護システムに、修正されたネットワークセキュリティポリシー216を送信することを更に含んでもよい。例えば、修正されたネットワークセキュリティポリシー216は、脅威であると判定されたエンドポイントデバイスのブラックリストを含んでもよく、ネットワークトラフィック保護システム208は、エンドポイントデバイスをブロックすることによってセキュリティを改善し得る他のネットワークトラフィック保護システムにブラックリストを送信してもよい。これらの実施例では、関連するネットワークセグメントは、ネットワークセグメント204を含むネットワークセグメントのクラスタ内に第2のネットワークセグメントを含んでもよい。このように、本明細書に記載されるシステムは、ネットワークセグメントのクラスタに対する修正されたネットワークセキュリティポリシー216を施行することによって、ネットワークセキュリティポリシー122にリアルタイムの変更を伝搬し得る。
図4に示すように、ネットワークセグメント204(1)上のネットワークトラフィック保護システム208(1)は、ネットワークセグメント204(1)上の別のネットワークトラフィック保護システム208(2)、及びクラスタ402(1)内の関連するネットワークセグメント204(2)上のネットワークトラフィック保護システム208(3)に修正されたネットワークセキュリティポリシー216を送信し得る。それに加えて、第2のクラスタ402(2)(例えば、ネットワークトラフィック保護システム208(4)及びネットワークトラフィック保護システム208(5))上のネットワークトラフィック保護システムは、修正されたネットワークセキュリティポリシー216を受信し得ない。この例では、クラスタ402(1)は、企業ネットワーク内の金融部門のネットワークセグメントを表し得、クラスタ402(2)は、顧客サービス部門のネットワークセグメントを表し得る。修正されたネットワークセキュリティポリシー216は、クラスタ402(1)内のネットワークセグメントに適用され得るが、クラスタ402(2)(例えば、ネットワークセグメント204(3)及びネットワークセグメント204(4))には適用され得ない、金融トランザクションに対するセキュリティを高めることを含み得る。このように、ネットワークトラフィック保護システム208(1)は、修正されたネットワークセキュリティポリシー216が適用されるネットワークトラフィック保護システムのみに、修正されたネットワークセキュリティポリシー216を送信し得る。別の実施例では、クラスタは、異なる組織のネットワークを表し得、ネットワークトラフィック保護システム208(1)は、同じ組織内の他のネットワークトラフィック保護システムのみと通信することが可能であってもよい。このように、修正されたネットワークセキュリティポリシー216は、クラスタの階層に基づいてネットワークセグメントにわたって伝搬することができる。
一実施形態では、本明細書に記載されるシステムは、ネットワークパケット212の疑わしい送信に関する1つ以上のソフトウェアアプリケーションを識別し、エンドポイントコンピューティングデバイス206からソフトウェアアプリケーションに関する追加情報を要求し、追加情報に基づいてセキュリティアクションを実施することを更に含んでもよい。本明細書で使用するとき、用語「ソフトウェアアプリケーション」は、概して、特定の機能又はタスクを実施するように設計され、エンドポイントデバイス上にインストール、展開、実行、及び/ないしは別の方法で実装することができるソフトウェアプログラムを指す。特に、ソフトウェアアプリケーションは、ネットワーク接続を介してデータを要求及び/又は送信することが可能であり得る。
上の実施形態では、セキュリティアクションとしては、エンドポイントコンピューティングデバイス206のユーザの改ざんを検出すること、ソフトウェアアプリケーションのインストールにおける異常を検出すること、ソフトウェアアプリケーションが悪意のあるものであり得ると判定すること、ソフトウェアアプリケーションに対するユーザアクティビティのログを要求すること、及び/又はネットワークセグメント204上のネットワークトラフィックをブロックするなど、エンドポイントコンピューティングデバイス206を制限することが挙げられ得る。これらの実施形態では、ネットワークパケット212の疑わしい送信は、ソフトウェアアプリケーションの不正確なインストール、及び/又はユーザの改ざんによって引き起こされる非準拠を示し得る。
図5に示すように、エンドポイントコンピューティングデバイス206は、ネットワークパケット212を送信し得るソフトウェアアプリケーション502を含んでもよい。ネットワークコンピューティングデバイス202上のネットワークトラフィック保護システム208は、次いで、ネットワークパケット212を傍受し、エンドポイントコンピューティングデバイス206上のネットワークセキュリティエージェント210からソフトウェアアプリケーション502に関する追加情報504を要求し得る。ネットワークトラフィック保護システム208は、次いで、追加情報504に基づいてセキュリティアクション506を実行し得る。例えば、ネットワークトラフィック保護システム208は、追加情報504が、ソフトウェアアプリケーション502が誤ってインストールされたことを示唆していると判定し、ソフトウェアアプリケーション502の新しいインストールを要求するためにセキュリティアクション506を実施し得る。別の実施例として、ネットワークトラフィック保護システム208は、ソフトウェアアプリケーション502が潜在的なセキュリティの脅威であると判定し、その後、セキュリティアクション506を実施して、エンドポイントコンピューティングデバイス206がソフトウェアアプリケーション502からネットワークパケットを送信することを阻止し得る。あるいは、ネットワークセキュリティエージェント210は、ソフトウェアアプリケーション502のユーザの改ざんを示唆するユーザアクションのログを含む追加情報504を送信する場合がある。この場合、セキュリティアクション506は、将来の準拠を要求するために、ユーザのアクションについて管理者に警告することを含んでもよい。この実施例では、管理者は、ユーザの監督者であってもよく、ユーザによる非準拠のアクションに関する警告を要求することができる。
別の実施例では、ネットワークトラフィック保護システム208は、エンドポイントコンピューティングデバイス206上のソフトウェアアプリケーションのネットワークトラフィックに基づいて、ソフトウェアアプリケーション502に関して予期されるネットワークトラフィックが欠落していることを判定し得る。この実施例では、ネットワークトラフィック保護システム208は、ネットワークトラフィックを図2の予期されるネットワークトラフィックプロファイル214と比較して、エンドポイントコンピューティングデバイス206上のソフトウェアアプリケーション502に対する非準拠を検出し得る。追加情報504を要求し、エンドポイントコンピューティングデバイス206のそれぞれのネットワークパケットに関連付けられたソフトウェアアプリケーションを識別することにより、ネットワークトラフィック保護システム208は、次いで、ネットワークトラフィックが欠落している又は疑わしい1つ以上のソフトウェアアプリケーションを識別し、疑わしいトラフィックを再媒介するために適切なセキュリティアクションを実施し得る。例えば、従業員エンドポイントコンピューティングデバイスは、あるソフトウェアアプリケーションを実行するために会社に必要とされ得、欠落しているネットワークトラフィックは、ソフトウェアアプリケーションの欠落している又は不正確な構成を示し得る。
いくつかの実施形態では、図6の例と同様に、本明細書に記載されるシステムは、ネットワークセキュリティエージェント210によって、ネットワーク602からの切断を検出し、エンドポイントコンピューティングデバイス206に対するセキュリティポリシー608の元のセットを再適用することを更に含んでもよい。これらの実施形態では、エンドポイントコンピューティングデバイス206は、ネットワーク602から切断した後に、及び/又は新しいネットワーク若しくはネットワークセグメントに転送されたときにネットワークセキュリティポリシーの新しいセットを受け入れた後に、以前のセキュリティポリシーに戻ってもよい。例えば、エンドポイントコンピューティングデバイス206は、組織内で金融クラスタ402(1)から顧客サービスクラスタ402(2)に移動するときに、図4のネットワークセグメント204(1)から切断し、ネットワークセグメント204(3)に接続してもよい。この実施例では、エンドポイントコンピューティングデバイス206は、次いで、顧客サービスクラスタ402(2)のセキュリティポリシーを受け入れ、もはや適用されない金融クラスタ402(1)のセキュリティポリシーを放棄し得る。
上述のように、本明細書に記載されるシステムは、概して、エンドポイントコンピューティングデバイス上で作動するネットワークセキュリティエージェントによって、エンドポイントコンピューティングデバイスによるネットワーク又はネットワークセグメントに接続する試みを検出するように構成された1つ以上のエンドポイントコンピューティングデバイスを含んでもよい。例えば、ネットワークセグメントに接続することを試みるエンドポイントコンピューティングデバイスは、次いで、エンドポイントコンピューティングデバイス上で作動するネットワークセキュリティエージェントによって、ネットワークセグメントを管理するネットワークトラフィック保護システムとペアリングすることを試み得、ネットワークトラフィック保護システムとペアリングする試みに基づいて、ネットワークセグメントに対するネットワークセキュリティポリシーのセットを受信し得る。この実施例では、エンドポイントコンピューティングデバイスは、ネットワークセグメントに対するネットワークセキュリティポリシーの受信したセットに準拠するように、エンドポイントコンピューティングデバイスに対するセキュリティポリシーの元のセットを修正してもよい。ネットワークセキュリティエージェントがネットワークトラフィック保護システムとペアリングし、それに準拠することができれば、エンドポイントコンピューティングデバイスは、ネットワークセグメントに接続する試みを完了することが可能になり得る。複数のエンドポイントコンピューティングデバイスが、ネットワークセグメントに接続されている間に同じネットワークトラフィック保護システムとペアリングし得る。
上の実施例では、ネットワークコンピューティングデバイスは、ネットワークトラフィック保護システムを実行してもよく、ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視するように構成されてもよい。ネットワークコンピューティングデバイスは、ネットワークトラフィック保護システムによって、ネットワークセグメントに接続された上記のエンドポイントコンピューティングデバイスに関連付けられた1つ以上のネットワークパケットの疑わしい送信を検出し、その疑わしい送信に基づいて、ネットワークセグメントに対する1つ以上のネットワークセキュリティポリシーを修正してもよい。この実施例では、ネットワークコンピューティングデバイスは、次いで、修正されたネットワークセキュリティポリシーへの準拠を保証するため、ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する修正されたネットワークセキュリティポリシーを施行し得る。ネットワークコンピューティングデバイスはまた、ネットワークセグメントのクラスタ全体にわたる準拠を保証するため、ネットワークトラフィック保護システムを介して、同じネットワークセグメント又はクラスタ内の関連するネットワークセグメント上の他のネットワークトラフィック保護システムに修正されたネットワークセキュリティポリシーを送信し得る。それに加えて、上の実施例では、ネットワークコンピューティングデバイスは、エンドポイントコンピューティングデバイスから疑わしいネットワークパケットを生成している可能性のあるソフトウェアアプリケーションに関する追加情報を要求し、その追加情報を使用してエンドポイントコンピューティングデバイス上でセキュリティアクションを実施し得る。これらの実施例では、ネットワークトラフィック保護システムは、ネットワークセグメント上のトラフィックを管理し、接続されたエンドポイントデバイスによる潜在的に悪意のあるトラフィックの検出に基づいて、ネットワークセキュリティポリシーを動的に調整し得る。
図3の方法300及び図8の方法800に関連して上で説明したように、開示されるシステム及び方法は、エンドポイントデバイスに対するネットワークセキュリティポリシーを施行することによって、エンドポイント及びネットワークセキュリティの両方を改善し得る。具体的には、開示されたシステム及び方法は、エンドポイントコンピューティングデバイス上で動作するネットワークセキュリティエージェントをネットワークコンピューティングデバイス上で作動するネットワークトラフィック保護システムとペアリングして、ネットワーク又はネットワークセグメントのネットワークトラフィックの準拠を保証し得る。
信頼できるネットワークトラフィック保護システムとのペアリングにより、本明細書に記載されるシステム及び方法は、エンドポイントコンピューティングデバイスがネットワークセキュリティエージェントからネットワークトラフィック保護システムに一部のネットワークセキュリティ機能をオフロードすることを可能にし得る。例えば、公共のコーヒーショップネットワークが、ネットワークセキュリティエージェントが相互に認証し得る信頼できるネットワークトラフィック保護システムソフトウェアを実行している場合、エンドポイントコンピューティングデバイスは、ネットワークトラフィック保護システムを実行しない別のネットワークよりもそのネットワークを信頼する可能性が高くなり得る。加えて、特定のネットワークに接続されている間にネットワーク固有のセキュリティポリシーを維持することによって、開示されるシステム及び方法は、次いで、デバイスがネットワークを去った後に、エンドポイントコンピューティングデバイス上のリソースを解放して、パフォーマンスを合理化し得る。
いくつかの実施例では、本明細書に記載されるシステム及び方法はまた、ネットワークコンピューティングデバイスが、エンドポイントコンピューティングデバイスのネットワークトラフィックを監視し、異常なトラフィックを検出することを可能にし得る。例えば、ネットワークコンピューティングデバイス上で作動するネットワークトラフィック保護システムは、エンドポイントコンピューティングデバイスが疑わしいネットワークトラフィックで危殆化されていることを検出した場合、ネットワークポリシーを更新して、そのエンドポイントコンピューティングデバイスをブロックし、ネットワークセグメントに接続された他のエンドポイントコンピューティングデバイス上で更新されたポリシーを施行して、他のエンドポイントコンピューティングデバイスが、ネットワークセグメント上のセキュリティ情報の更新を適時に受信するようにし得る。開示されるシステム及び方法はまた、疑わしいネットワークトラフィックに基づいて、危殆化されたエンドポイントコンピューティングデバイス上のネットワークセキュリティエージェントからの、危殆化され得るソフトウェアに関する追加情報を明確に要求し得る。この実施例では、開示されるシステム及び方法は、危殆化されたエンドポイントコンピューティングデバイスの設定情報又はレジストリアクセスを必要とせずに、ソフトウェアコンプライアンスの問題を検出し得る。更に、本明細書に記載されるシステム及び方法は、異なるネットワークセグメント及びクラスタのネットワークタイプに基づいてネットワークセキュリティポリシーの階層を作成及び伝搬し得る。例えば、開示されるシステム及び方法は、金融ネットワークセグメント上の1つのネットワークトラフィック保護システムから別の金融ネットワークセグメント上の別のネットワークトラフィック保護システムにセキュリティポリシーの更新を送信し、組織内の他の無関係な部門のネットワークセグメントには送信しないようにし得る。
上で詳述したように、ネットワーク及びネットワークセグメント上のネットワークトラフィック保護システムからローカルネットワークセキュリティポリシーを受け入れることによって、開示されるシステム及び方法は、あるネットワークから別のネットワークに切り替わるときに、エンドポイントコンピューティングデバイスに対するセキュリティポリシーのより動的な調整を提供し得る。更に、セキュリティポリシーの変更をネットワークトラフィック保護システムからエンドポイントコンピューティングデバイスにリアルタイムでプッシュすることによって、開示されるシステム及び方法は、ネットワークに対するセキュリティの更新を施行する適時性を改善し得る。このように、本明細書に記載されるシステム及び方法は、管理介入なしに、ネットワークセキュリティポリシーのエンドポイントデバイスへのプロビジョニングを改善し得る。
図9は、本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム910のブロック図である。例えば、コンピューティングシステム910のうちの全て又は一部は、単独で又は他の要素と組み合わせてのいずれかで、本明細書に記載されるステップのうちの1つ以上(図3及び/又は図8に示されるステップのうちの1つ以上など)を実施し得、及び/又はそれを実施するための手段であり得る。コンピューティングシステム910のうちの全て又は一部はまた、本明細書に記載及び/若しくは図示される任意の他のステップ、方法、若しくはプロセスを実施してもよく、並びに/又はそれを実施するための手段であってもよい。
コンピューティングシステム910は、コンピュータ可読命令を実行することができる任意のシングル又はマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム910の例としては、非限定的に、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム910は、少なくとも1つのプロセッサ914及びシステムメモリ916を含んでもよい。
プロセッサ914は、一般に、データを処理すること又は命令を解釈及び実行することができる任意のタイプ又は形態の物理的処理ユニット(例えば、ハードウェア実装型中央処理ユニット)を表す。特定の実施形態では、プロセッサ914は、ソフトウェアアプリケーション又はモジュールから命令を受信し得る。これらの命令は、プロセッサ914に、本明細書に記載及び/又は図示される例示的な実施形態のうちの1つ以上の機能を実施させ得る。
システムメモリ916は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる任意のタイプ又は形態の揮発性又は不揮発性の記憶デバイス又は媒体を表す。システムメモリ916の例としては、非限定的に、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、フラッシュメモリ、又は任意の他の好適なメモリデバイスが挙げられる。必須ではないが、特定の実施形態では、コンピューティングシステム910は、揮発性メモリユニット(例えば、システムメモリ916など)、及び不揮発性記憶デバイス(例えば、詳細に後述するような、一次記憶デバイス932など)の両方を含んでもよい。一実施例では、図1のモジュール102のうちの1つ以上は、システムメモリ916内にロードされ得る。
一部の実施例では、システムメモリ916は、プロセッサ914による実行のために、オペレーティングシステム924を記憶及び/又はロードし得る。一実施例では、オペレーティングシステム924は、コンピュータハードウェア及びソフトウェアリソースを管理し、並びに/又はコンピューティングシステム910上のコンピュータプログラム及び/若しくはアプリケーションに共通のサービスを提供する、ソフトウェアを含み得る及び/又はそれを表し得る。オペレーティングシステム624の例としては、非限定的に、LINUX、JUNOS、MICROSOFT WINDOWS(登録商標)、WINDOWS(登録商標) MOBILE、MAC OS、APPLEのIOS、UNIX(登録商標)、GOOGLE CHROME OS、GOOGLEのANDROID(登録商標)、SOLARIS、それらのうちの1つ以上の変形形態、及び/又は任意の他の好適なオペレーティングシステムが挙げられる。
特定の実施形態では、例示的なコンピューティングシステム910はまた、プロセッサ914及びシステムメモリ916に加えて、1つ以上の構成要素又は要素も含み得る。例えば、図9に示すように、コンピューティングシステム910は、メモリコントローラ918、入力/出力(I/O)コントローラ920、及び通信インターフェース922を含み得、これらのそれぞれは、通信基盤912を介して相互接続され得る。通信基盤912は、一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ又は形態の基盤を表す。通信基盤912の例としては、非限定的に、通信バス(産業標準構成(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
メモリコントローラ918は、一般に、メモリ若しくはデータを扱うこと、又はコンピューティングシステム910の1つ以上の構成要素間の通信を制御すること、ができる、任意のタイプ又は形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ918は、通信基盤912を介して、プロセッサ914、システムメモリ916、及びI/Oコントローラ920の間の通信を制御してもよい。
I/Oコントローラ920は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することができる、任意のタイプ又は形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ920は、プロセッサ914、システムメモリ916、通信インターフェース922、ディスプレイアダプタ926、入力インターフェース930、及び記憶インターフェース934などの、コンピューティングシステム910の1つ以上の要素間におけるデータの転送を制御又は容易にし得る。
図9に示すように、コンピューティングシステム910はまた、ディスプレイアダプタ926を介してI/Oコントローラ920に連結された少なくとも1つのディスプレイデバイス924も含み得る。ディスプレイデバイス924は、一般に、ディスプレイアダプタ926によって転送された情報を視覚的に表示することができる、任意のタイプ又は形態のデバイスを表す。同様に、ディスプレイアダプタ926は、一般に、ディスプレイデバイス924上に表示するために通信基盤912から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成されている任意のタイプ又は形態のデバイスを表す。
図9に示すように、例示的なコンピューティングシステム910はまた、入力インターフェース930を介してI/Oコントローラ920に連結された少なくとも1つの入力デバイス928も含み得る。入力デバイス928は、一般に、コンピュータ又は人間のいずれかが生成した入力を例示的なコンピューティングシステム910に提供することができる任意のタイプ又は形態の入力デバイスを表す。入力デバイス928の例としては、非限定的に、キーボード、ポインティングデバイス、音声認識デバイス、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他の入力デバイスが挙げられる。
それに加えて、又は代替的に、例示的なコンピューティングシステム910は、追加のI/Oデバイスを含み得る。例えば、例示的なコンピューティングシステム910は、I/Oデバイス936を含み得る。この実施例では、I/Oデバイス936は、コンピューティングシステム910との人間の相互作用を容易にするユーザインターフェースを含み得る及び/又はそれを表し得る。I/Oデバイス936の例としては、非限定的に、コンピュータマウス、キーボード、モニタ、プリンタ、モデム、カメラ、スキャナ、マイクロフォン、タッチスクリーンデバイス、それらのうちの1つ以上の変形形態若しくは組み合わせ、及び/又は任意の他のI/Oデバイスが挙げられる。
通信インターフェース922は、例示的なコンピューティングシステム910と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ又は形態の通信デバイス又はアダプタを幅広く表す。例えば、特定の実施形態では、通信インターフェース922は、コンピューティングシステム910と、追加のコンピューティングシステムを含む私設又は公衆ネットワークとの間の通信を容易にし得る。通信インターフェース922の例としては、非限定的に、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び任意の他の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース922は、インターネットなどのネットワークへの直接リンクを介してリモートサーバへの直接接続を提供し得る。通信インターフェース922はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通して、このような接続を間接的に提供してもよい。
特定の実施形態では、通信インターフェース922はまた、外部バス又は通信チャネルを介したコンピューティングシステム910と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成されたホストアダプタも表し得る。ホストアダプタの例としては、非限定的に、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース922はまた、コンピューティングシステム910が分散型又はリモートコンピューティングに関与することを可能にしてもよい。例えば、通信インターフェース922は、実行のために、リモートデバイスから命令を受信しても、リモートデバイスに命令を送信してもよい。
一部の実施例では、システムメモリ916は、プロセッサ914による実行のために、ネットワーク通信プログラム938を記憶及び/又はロードし得る。一実施例では、ネットワーク通信プログラム938は、コンピューティングシステム910が、別のコンピューティングシステム(図9には図示せず)とのネットワーク接続942を確立すること、及び/又は通信インターフェース922を介して他のコンピューティングシステムと通信すること、を可能にする、ソフトウェアを含み得る及び/又はそれを表し得る。この実施例では、ネットワーク通信プログラム938は、ネットワーク接続942を介して他のコンピューティングシステムに送信される発信トラフィックの流れを指示し得る。それに加えて、又は代替的に、ネットワーク通信プログラム938は、プロセッサ914と関連してネットワーク接続942を介して他のコンピューティングシステムから受信された着信トラフィックの処理を指示し得る。
図9にはこのようには示されていないが、ネットワーク通信プログラム938は、代替的に、通信インターフェース922に記憶及び/又はロードされ得る。例えば、ネットワーク通信プログラム938は、通信インターフェース922に組み込まれたプロセッサ及び/又は特定用途向け集積回路(ASIC)によって実行されるソフトウェア及び/又はファームウェアの少なくとも一部分を含み得る及び/又はそれを表し得る。
図9に示すように、例示的なコンピューティングシステム910はまた、記憶インターフェース934を介して通信基盤912に連結された、一次記憶デバイス932及びバックアップ記憶デバイス933も含み得る。記憶デバイス932及び933は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス932及び933は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであり得る。記憶インターフェース934は、一般に、記憶デバイス932及び933とコンピューティングシステム910の他の構成要素との間でデータを転送するための、任意のタイプ又は形態のインターフェース又はデバイスを表す。一実施例では、図1のデータベース120は、一次記憶デバイス932内に記憶及び/又はロードされ得る。
特定の実施形態では、記憶デバイス932及び933は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を記憶するように構成された取り外し可能な記憶ユニットから読み取る及び/又はそれに書き込むように構成され得る。好適な取り外し可能な記憶ユニットの例としては、非限定的に、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス932及び933はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令がコンピューティングシステム910内にロードされることを可能にするための、他の同様の構造体又はデバイスを含んでもよい。例えば、記憶デバイス932及び933は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み書きするように構成され得る。記憶デバイス932及び933はまた、コンピューティングシステム910の一部であってもよく、又は他のインターフェースシステムを通してアクセスされる別個のデバイスであってもよい。
他の多くのデバイス又はサブシステムが、コンピューティングシステム910に接続され得る。反対に、図9に示す構成要素及びデバイスの全てが、本明細書に記載及び/又は図示される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムはまた、図9に示されるものとは異なる方法で相互接続されてもよい。コンピューティングシステム910はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェア構成を用いてもよい。例えば、本明細書で開示する例示的な実施形態のうちの1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。「コンピュータ可読媒体」という用語は、本明細書で使用するとき、一般に、コンピュータ可読命令を格納又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、非限定的に、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY(登録商標))ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、並びに他の分散システムなどの非一時的媒体が挙げられる。
コンピュータプログラムを包含するコンピュータ可読媒体は、コンピューティングシステム910内にロードされ得る。コンピュータ可読媒体に記憶されたコンピュータプログラムのうちの全て又は一部は、次いで、システムメモリ916内に、並びに/又は記憶デバイス932及び933の様々な部分内に記憶され得る。プロセッサ914によって実行されるとき、コンピューティングシステム910内にロードされたコンピュータプログラムは、プロセッサ914に、本明細書に記載及び/若しくは図示される例示的な実施形態のうちの1つ以上の機能を実施させ得、並びに/又はそれらを実施するための手段とならせ得る。それに加えて、又は代替的に、本明細書に記載及び/又は図示される例示的な実施形態のうちの1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム910は、本明細書に開示される例示的な実施形態のうちの1つ以上を実装するように適合されたASICとして構成され得る。
図10は、クライアントシステム1010、1020、及び1030、並びにサーバ1040及び1045がネットワーク1050に連結され得る例示的なネットワークアーキテクチャ1000のブロック図である。上で詳述したように、ネットワークアーキテクチャ1000のうちの全て又は一部は、単独で又は他の要素と組み合わせてのいずれかで、本明細書に開示されるステップのうちの1つ以上(図3及び/又は図8に示されるステップのうち1つ以上など)を実施し得、及び/又はそれを実施するための手段であり得る。ネットワークアーキテクチャ1000のうちの全て又は一部はまた、本開示に記載される他のステップ及び特徴を実施するために使用されてもよく、並びに/又はそれを実施するための手段であってもよい。
クライアントシステム1010、1020、及び1030は、一般に、図9の例示的なコンピューティングシステム910など、任意のタイプ又は形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ1040及び1045は、一般に、様々なデータベースサービスを提供する及び/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ又はデータベースサーバなどのコンピューティングデバイス又はシステムを表す。ネットワーク1050は、一般に、例えば、イントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信ネットワーク又はコンピュータネットワークを表す。一実施例では、クライアントシステム1010、1020、及び/若しくは1030、並びに/又はサーバ1040及び/若しくは1045は、図1のシステム100のうちの全て又は一部を含み得る。
図10に示すように、1つ以上の記憶デバイス1060(1)〜(N)は、サーバ1040に直接取り付けられ得る。同様に、1つ以上の記憶デバイス1070(1)〜(N)は、サーバ1045に直接取り付けられ得る。記憶デバイス1060(1)〜(N)及び記憶デバイス1070(1)〜(N)は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。特定の実施形態では、記憶デバイス1060(1)〜(N)及び記憶デバイス1070(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用してサーバ1040及び1045と通信するように構成されたネットワーク接続ストレージ(NAS)デバイスを表し得る。
サーバ1040及び1045はまた、ストレージエリアネットワーク(SAN)ファブリック1080に接続されてもよい。SANファブリック1080は、一般に、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ又は形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック1080は、サーバ1040及び1045と、複数の記憶デバイス1090(1)〜(N)及び/又はインテリジェント記憶アレイ1095と、の間の通信を容易にし得る。SANファブリック1080はまた、記憶デバイス1090(1)〜(N)及びインテリジェント記憶アレイ1095が、クライアントシステム1010、1020、及び1030にローカルに取り付けられたデバイスとして現れるような方式で、ネットワーク1050並びにサーバ1040及び1045を介して、クライアントシステム1010、1020、及び1030と、記憶デバイス1090(1)〜(N)及び/又はインテリジェント記憶アレイ1095と、の間の通信を容易にし得る。記憶デバイス1060(1)〜(N)及び記憶デバイス1070(1)〜(N)と同様に、記憶デバイス1090(1)〜(N)及びインテリジェント記憶アレイ1095は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。
特定の実施形態では、図10の例示的なコンピューティングシステム1010を参照すると、図10の通信インターフェース1022などの通信インターフェースは、それぞれのクライアントシステム1010、1020、及び1030とネットワーク1050との間の接続を提供するために使用され得る。クライアントシステム1010、1020、及び1030は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ1040又は1045上の情報にアクセスすることが可能であり得る。かかるソフトウェアは、クライアントシステム1010、1020、及び1030が、サーバ1040、サーバ1045、記憶デバイス1060(1)〜(N)、記憶デバイス1070(1)〜(N)、記憶デバイス1090(1)〜(N)、又はインテリジェント記憶アレイ1095によってホストされたデータにアクセスすることを可能にし得る。図10は、データを交換するために(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は図示される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ1040、サーバ1045、記憶デバイス1060(1)〜(N)、記憶デバイス1070(1)〜(N)、記憶デバイス1090(1)〜(N)、インテリジェント記憶アレイ1095、又はこれらの任意の組み合わせ上にロードされ、これらによって実行され得る。本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ1040に記憶され、サーバ1045によって実行され、ネットワーク1050を通じてクライアントシステム1010、1020、及び1030に分散されてもよい。
上で詳述したように、コンピューティングシステム910及び/又はネットワークアーキテクチャ1000の1つ以上の構成要素は、単独で又は他の要素と組み合わせてのいずれかで、動的ネットワークセキュリティポリシーを施行するための例示的な方法の1つ以上のステップを実施し得、及び/又はそれを実施するための手段であり得る。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書に記載及び/又は図示されるそれぞれのブロック図の構成要素、フローチャートの工程、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせ)の構成を使用して実装されてもよい。それに加えて、同じ機能性を達成するように他の多くのアーキテクチャを実装することができるので、他の構成要素内に包含される構成要素のいかなる開示も、本質的に例示と見なされるべきである。
一部の実施例では、図1の例示的なシステム100のうちの全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表してもよい。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供してもよい。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であってもよい。本明細書に記載する様々な機能は、リモートデスクトップ環境又は他の任意のクラウドベースのコンピューティング環境を通して提供されてもよい。
様々な実施形態では、図1の例示的なシステム100のうちの全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナンシーを容易にしてもよい。換言すれば、本明細書に記載するソフトウェアモジュールは、本明細書に記載する機能のうちの1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載するソフトウェアモジュールのうちの1つ以上は、2つ以上のクライアント(例えば、顧客)がサーバ上で作動しているアプリケーションを共有するのを可能にするように、サーバをプログラムしてもよい。このようにプログラムされたサーバは、複数の顧客(即ち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有してもよい。本明細書に記載するモジュールのうちの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
様々な実施形態によれば、図1の例示的なシステム100のうちの全て又は一部は、仮想環境内で実装されてもよい。例えば、本明細書に記載するモジュール及び/又はデータは、仮想機械内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想機械」という用語は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。それに加えて、又は代替的に、本明細書に記載するモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という用語は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しを、仮想化層内の場所にリダイレクトしてもよい。
一部の実施例では、図1の例示的なシステム100のうちの全て又は一部は、モバイルコンピューティング環境の部分を表してもよい。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダ、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実装されてもよい。一部の実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する制限されたプラットフォーム、アプリケーションのインストールを(例えば、認可されたアプリケーションストアからのみ生じるように)制限する制御などを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
それに加えて、図1の例示的なシステム100のうちの全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という用語は、データの保護、組織化、及び/又は記憶を指してもよい。情報管理のためのシステムの例としては、非限定的に、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができる。
一部の実施形態では、図1の例示的なシステム100のうちの全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という用語は、保護されたデータに対するアクセスの制御を指してもよい。情報セキュリティのためのシステムの例としては、非限定的に、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどを挙げることができる。
一部の実施例によれば、図1の例示的なシステム100のうちの全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という用語は、不正及び/若しくは違法な使用、アクセス、並びに/又は制御からのエンドポイントシステムの保護を指してもよい。エンドポイント保護のためのシステムの例としては、非限定的に、アンチマルウェアシステム、ユーザ認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができる。
本明細書に記載及び/又は図示されるプロセスパラメータ及び工程の順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に図示及び/又は記載される工程は特定の順序で図示又は考察されることがあるが、これらの工程は、必ずしも図示又は考察される順序で実施される必要はない。本明細書に記載される及び/又は図示される様々な例示的な方法はまた、本明細書に記載される及び/又は図示される工程のうちの1つ以上を省略してもよく、又は開示されるものに加えて追加の工程を含んでもよい。
種々の実施形態が、完全に機能的なコンピューティングシステムに関連して本明細書に記載され及び/又は図示されているが、これら例示的な実施形態のうちの1つ以上は、実際に配布を行うために使用されるコンピュータ可読記憶媒体の特定のタイプに関わらず、多様な形態のプログラム製品として配布され得る。本明細書に開示される実施形態はまた、特定のタスクを実施するソフトウェアモジュールを使用して実装されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに記憶されてもよい、スクリプト、バッチ、若しくは他の実行可能ファイルを含んでもよい。一部の実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態のうちの1つ以上を実施するようにコンピューティングシステムを構成してもよい。
それに加えて、本明細書に記載するモジュールのうちの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態へと変換してもよい。例えば、本明細書に記載のモジュールのうちの1つ以上は、変換対象のネットワークパケットを受信し、そのネットワークパケットを変換し、変換結果を記憶デバイス又は出力デバイスに出力し、変換結果を使用して疑わしいネットワークトラフィックを識別し、変換結果をサーバ又はデータベースに格納し得る。それに加えて、又は代替的に、本明細書に列挙されるモジュールのうちの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、並びに/あるいは別の方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの他の任意の部分を、1つの形態から別の形態へと変換してもよい。
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を他の当業者が最良に利用するのを可能にするために提供されてきた。この例示的な記載は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(即ち、他の要素若しくは構成要素を介する)の両方を許容するものとして解釈されるものである。それに加えて、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈されるものである。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と互換性があり、同じ意味を有する。

Claims (29)

  1. 動的ネットワークセキュリティポリシーを施行するためのコンピュータ実装方法であって、前記方法の少なくとも一部は、少なくとも1つのプロセッサを含むネットワークコンピューティングデバイスによって実施され、前記方法は、
    ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視することと、
    前記ネットワークトラフィック保護システムによって、前記ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスと関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出することと、
    前記ネットワークパケットの前記疑わしい送信に基づいて、前記ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正することと、
    前記ネットワークトラフィック保護システムによって、前記ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する前記修正されたネットワークセキュリティポリシーを施行することと、を含む、方法。
  2. 前記エンドポイントコンピューティングデバイスが、前記ネットワークセグメントに接続されている間に前記ネットワークトラフィック保護システムとペアリングすることができるソフトウェアを実行するコンピューティングデバイスを含む、請求項1に記載の方法。
  3. 前記ネットワークパケットの前記疑わしい送信を検出することが、
    前記ネットワークパケットを傍受することと、
    前記エンドポイントコンピューティングデバイスの予期されるネットワークトラフィックプロファイルに基づいて、前記ネットワークパケットの前記送信が疑わしいと判定することと、を含む、請求項1に記載の方法。
  4. 前記ネットワークセグメントに対する前記ネットワークセキュリティポリシーを修正することが、
    前記エンドポイントコンピューティングデバイスをブロックすることと、
    ネットワークトラフィックを制限することと、
    前記エンドポイントコンピューティングデバイスをデバイスのブラックリストに追加することと、
    前記ネットワークパケットの前記疑わしい送信が完了するのを防止することと、のうちの少なくとも1つを含む、請求項1に記載の方法。
  5. 前記修正されたネットワークセキュリティポリシーを施行することが、
    前記修正されたネットワークセキュリティポリシーを、前記ネットワークセグメントに接続された前記エンドポイントコンピューティングデバイスにプッシュすることと、
    ネットワークトラフィックが前記修正されたネットワークセキュリティポリシーに従うことを保証することと、
    前記ネットワークセグメントに接続された非準拠のエンドポイントコンピューティングデバイスを制限することと、のうちの少なくとも1つを含む、請求項1に記載の方法。
  6. 前記修正されたネットワークセキュリティポリシーを、関連するネットワークセグメントを監視する関連するネットワークトラフィック保護システムに送信することを更に含む、請求項1に記載の方法。
  7. 前記関連するネットワークセグメントが、前記ネットワークセグメントを含むネットワークセグメントのクラスタ内の第2のネットワークセグメントを含む、請求項6に記載の方法。
  8. 前記ネットワークパケットの前記疑わしい送信に関連する少なくとも1つのソフトウェアアプリケーションを識別することと、
    前記エンドポイントコンピューティングデバイスから前記ソフトウェアアプリケーションに関する追加情報を要求することと、
    前記追加情報に基づいてセキュリティアクションを実施することと、を更に含む、請求項1に記載の方法。
  9. 前記セキュリティアクションが、
    前記エンドポイントコンピューティングデバイスのユーザの改ざんを検出することと、
    前記ソフトウェアアプリケーションのインストールにおける異常を検出することと、
    前記ソフトウェアアプリケーションが悪意のあるものであり得ると判定することと、
    前記ソフトウェアアプリケーションに関するユーザアクティビティのログを要求することと、
    前記エンドポイントコンピューティングデバイスを制限することと、のうちの少なくとも1つを含む、請求項8に記載の方法。
  10. 動的ネットワークセキュリティポリシーを施行するためのシステムであって、前記システムは、
    ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視する、メモリに記憶された監視モジュールと、
    前記ネットワークトラフィック保護システムによって、前記ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスに関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出する、メモリに記憶された検出モジュールと、
    前記ネットワークパケットの前記疑わしい送信に基づいて、前記ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正する、メモリに記憶された修正モジュールと、
    前記ネットワークトラフィック保護システムによって、前記ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する前記修正されたネットワークセキュリティポリシーを施行する、メモリに記憶された施行モジュールと、
    前記監視モジュール、前記検出モジュール、前記修正モジュール、及び前記施行モジュールを実行する少なくとも1つのプロセッサと、を備える、システム。
  11. 前記エンドポイントコンピューティングデバイスが、前記ネットワークセグメントに接続されている間に前記ネットワークトラフィック保護システムとペアリングすることができるソフトウェアを実行するコンピューティングデバイスを含む、請求項10に記載のシステム。
  12. 前記検出モジュールは、
    前記ネットワークパケットを傍受することと、
    前記エンドポイントコンピューティングデバイスの予期されるネットワークトラフィックプロファイルに基づいて、前記ネットワークパケットの前記送信が疑わしいものであると判定することと、によって、前記ネットワークパケットの前記疑わしい送信を検出する、請求項10に記載のシステム。
  13. 前記修正モジュールは、前記ネットワークセグメントに対する前記ネットワークセキュリティポリシーを、
    前記エンドポイントコンピューティングデバイスをブロックすることと、
    ネットワークトラフィックを制限することと、
    前記エンドポイントコンピューティングデバイスをデバイスのブラックリストに追加することと、
    前記ネットワークパケットの前記疑わしい送信が完了するのを防止することと、のうちの少なくとも1つによって修正する、請求項10に記載のシステム。
  14. 前記施行モジュールは、前記修正されたネットワークセキュリティポリシーを、
    前記修正されたネットワークセキュリティポリシーを、前記ネットワークセグメントに接続された前記エンドポイントコンピューティングデバイスにプッシュすることと、
    ネットワークトラフィックが前記修正されたネットワークセキュリティポリシーに従うことを保証することと、
    前記ネットワークセグメントに接続された非準拠のエンドポイントコンピューティングデバイスを制限することと、のうちの少なくとも1つによって施行する、請求項10に記載のシステム。
  15. 前記修正されたネットワークセキュリティポリシーを、関連するネットワークセグメントを監視する関連するネットワークトラフィック保護システムに送信することを更に含む、請求項10に記載のシステム。
  16. 前記関連するネットワークセグメントが、前記ネットワークセグメントを含むネットワークセグメントのクラスタ内の第2のネットワークセグメントを含む、請求項15に記載のシステム。
  17. 前記ネットワークパケットの前記疑わしい送信に関連する少なくとも1つのソフトウェアアプリケーションを識別することと、
    前記エンドポイントコンピューティングデバイスから前記ソフトウェアアプリケーションに関する追加情報を要求することと、
    前記追加情報に基づいてセキュリティアクションを実施することと、を更に含む、請求項10に記載のシステム。
  18. 前記セキュリティアクションが、
    前記エンドポイントコンピューティングデバイスのユーザの改ざんを検出することと、
    前記ソフトウェアアプリケーションのインストールにおける異常を検出することと、
    前記ソフトウェアアプリケーションが悪意のあるものであり得ると判定することと、
    前記ソフトウェアアプリケーションに関するユーザアクティビティのログを要求することと、
    前記エンドポイントコンピューティングデバイスを制限することと、のうちの少なくとも1つを含む、請求項17に記載のシステム。
  19. 1つ以上のコンピュータ実行可能命令を含む非一時的コンピュータ可読媒体であって、前記1つ以上のコンピュータ実行可能命令は、ネットワークコンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
    ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視させ、
    前記ネットワークトラフィック保護システムによって、前記ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスと関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出させ、
    前記ネットワークパケットの前記疑わしい送信に基づいて、前記ネットワークセグメントの少なくとも1つのネットワークセキュリティポリシーを修正させ、
    前記ネットワークトラフィック保護システムによって、前記ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する前記修正されたネットワークセキュリティポリシーを施行させる、非一時的コンピュータ可読媒体。
  20. 前記エンドポイントコンピューティングデバイスが、前記ネットワークセグメントに接続されている間に前記ネットワークトラフィック保護システムとペアリングすることができるソフトウェアを実行するコンピューティングデバイスを含む、請求項19に記載の非一時的コンピュータ可読媒体。
  21. 動的ネットワークセキュリティポリシーを施行するためのコンピュータ実装方法であって、前記方法の少なくとも一部は、少なくとも1つのプロセッサを含むエンドポイントコンピューティングデバイスによって実施され、前記方法は、
    ネットワークセキュリティエージェントによって、前記エンドポイントコンピューティングデバイスによるネットワークに接続する試みを検出することと、
    前記ネットワークセキュリティエージェントによって、前記ネットワークを管理するネットワークトラフィック保護システムとペアリングすることを試みることと、
    前記ネットワークトラフィック保護システムとペアリングする前記試みに基づいて、前記ネットワークに対するネットワークセキュリティポリシーのセットを受信することと、
    前記ネットワークに対する前記ネットワークセキュリティポリシーの受信したセットに準拠するように、前記エンドポイントコンピューティングデバイスに対するセキュリティポリシーの元のセットを修正することと、
    前記ネットワークに接続する前記試みを完了することと、を含む、方法。
  22. 前記ネットワークトラフィック保護システムとペアリングすることを試みることが、前記ネットワークセキュリティエージェントと前記ネットワークトラフィック保護システムとの間で相互認証プロセスを実施することを含む、請求項21に記載の方法。
  23. 前記ネットワークセキュリティポリシーのセットが、
    前記エンドポイントコンピューティングデバイスのユーザに対するユーザ固有のポリシーと、
    前記ネットワークに対するネットワーク固有のポリシーと、
    前記エンドポイントコンピューティングデバイスに対するデフォルトポリシーと、のうちの少なくとも1つを含む、請求項21に記載の方法。
  24. 前記セキュリティポリシーの元のセットを修正することが、
    前記セキュリティポリシーの元のセットを前記ネットワークセキュリティポリシーの受信したセットと置き換えることと、
    前記ネットワークセキュリティポリシーの受信したセットを前記セキュリティポリシーの元のセットに追加することと、
    前記ネットワークセキュリティポリシーの受信したセットに準拠するように、前記セキュリティポリシーの元のセットの一部を改訂することと、のうちの少なくとも1つを含む、請求項21に記載の方法。
  25. 前記ペアリングされたネットワークトラフィック保護システムにセキュリティ機能をオフロードすることを更に含む、請求項21に記載の方法。
  26. 前記ネットワークトラフィック保護システムから、前記ネットワークの少なくとも1つの位置属性を受信することと、
    前記ネットワークの前記位置属性及び前記ネットワークトラフィック保護システムとペアリングする前記試みに基づいて、前記ネットワークの信頼性を計算することと、
    前記ネットワークの前記計算された信頼性に基づいて、前記エンドポイントコンピューティングデバイスに対する少なくとも1つのセキュリティポリシーを修正することと、を更に含む、請求項21に記載の方法。
  27. 前記ネットワークの前記位置属性が、
    前記ネットワークの物理的位置と、
    ネットワークのタイプと、のうちの少なくとも1つを含む、請求項26に記載の方法。
  28. 前記ネットワークセキュリティエージェントによって、前記ネットワークからの切断を検出することと、
    前記エンドポイントコンピューティングデバイスに対する前記セキュリティポリシーの元のセットを再適用することと、を更に含む、請求項21に記載の方法。
  29. 動的ネットワークセキュリティポリシーを施行するためのシステムであって、
    ネットワークコンピューティングデバイスであって、
    ネットワークトラフィック保護システムによって、ネットワークセグメント上で送信されるネットワークパケットを監視し、
    前記ネットワークトラフィック保護システムによって、前記ネットワークセグメントに接続されたエンドポイントコンピューティングデバイスと関連付けられた少なくとも1つのネットワークパケットの疑わしい送信を検出し、
    前記ネットワークパケットの前記疑わしい送信に基づいて、前記ネットワークセグメントに対する少なくとも1つのネットワークセキュリティポリシーを修正し、かつ、
    前記ネットワークトラフィック保護システムによって、前記ネットワークセグメントに接続された全てのエンドポイントコンピューティングデバイスに対する前記修正されたネットワークセキュリティポリシーを施行するように構成されている、ネットワークコンピューティングデバイスと、
    前記エンドポイントコンピューティングデバイスであって、
    ネットワークセキュリティエージェントによって、前記エンドポイントコンピューティングデバイスによる前記ネットワークセグメントに接続する試みを検出し、
    前記ネットワークセキュリティエージェントによって、前記ネットワークセグメントを管理する前記ネットワークトラフィック保護システムとペアリングすることを試み、
    前記ネットワークトラフィック保護システムとペアリングする前記試みに基づいて、前記ネットワークセグメントに対するネットワークセキュリティポリシーのセットを受信し、
    前記ネットワークセグメントに対する前記ネットワークセキュリティポリシーの受信したセットに準拠するように、前記エンドポイントコンピューティングデバイスに対するセキュリティポリシーの元のセットを修正し、かつ、
    前記ネットワークセグメントに接続する前記試みを完了するように構成されている、エンドポイントコンピューティングデバイスと、備える、システム。
JP2019548990A 2017-03-22 2018-03-19 動的ネットワークセキュリティポリシーを施行するためのシステム及び方法 Pending JP2020514903A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/465,636 2017-03-22
US15/465,636 US10868832B2 (en) 2017-03-22 2017-03-22 Systems and methods for enforcing dynamic network security policies
PCT/US2018/023194 WO2018175352A1 (en) 2017-03-22 2018-03-19 Systems and methods for enforcing dynamic network security policies

Publications (1)

Publication Number Publication Date
JP2020514903A true JP2020514903A (ja) 2020-05-21

Family

ID=61911704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019548990A Pending JP2020514903A (ja) 2017-03-22 2018-03-19 動的ネットワークセキュリティポリシーを施行するためのシステム及び方法

Country Status (5)

Country Link
US (1) US10868832B2 (ja)
EP (1) EP3603005B1 (ja)
JP (1) JP2020514903A (ja)
CN (2) CN110521179B (ja)
WO (1) WO2018175352A1 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10868832B2 (en) 2017-03-22 2020-12-15 Ca, Inc. Systems and methods for enforcing dynamic network security policies
FR3079380A1 (fr) * 2018-03-26 2019-09-27 Orange Gestion securitaire d'un reseau de communication local comprenant au moins un objet communicant.
US11070632B2 (en) * 2018-10-17 2021-07-20 Servicenow, Inc. Identifying computing devices in a managed network that are involved in blockchain-based mining
US10972508B1 (en) * 2018-11-30 2021-04-06 Juniper Networks, Inc. Generating a network security policy based on behavior detected after identification of malicious behavior
US11048793B2 (en) 2018-12-05 2021-06-29 Bank Of America Corporation Dynamically generating activity prompts to build and refine machine learning authentication models
US11036838B2 (en) 2018-12-05 2021-06-15 Bank Of America Corporation Processing authentication requests to secured information systems using machine-learned user-account behavior profiles
US11159510B2 (en) 2018-12-05 2021-10-26 Bank Of America Corporation Utilizing federated user identifiers to enable secure information sharing
US11120109B2 (en) 2018-12-05 2021-09-14 Bank Of America Corporation Processing authentication requests to secured information systems based on machine-learned event profiles
US11113370B2 (en) 2018-12-05 2021-09-07 Bank Of America Corporation Processing authentication requests to secured information systems using machine-learned user-account behavior profiles
US11176230B2 (en) 2018-12-05 2021-11-16 Bank Of America Corporation Processing authentication requests to secured information systems based on user behavior profiles
EP3959612A4 (en) * 2019-04-25 2022-12-14 Liqid Inc. POLICY-BASED DYNAMIC SETTINGS OF COMPUTING UNITS
CN111132206A (zh) * 2019-12-30 2020-05-08 深圳市高德信通信股份有限公司 一种连接无线网络设备的无线网络系统
US11533337B2 (en) * 2020-05-05 2022-12-20 Salesforce.Com, Inc. MULP: a multi-layer approach to ACL pruning
US11442776B2 (en) 2020-12-11 2022-09-13 Liqid Inc. Execution job compute unit composition in computing clusters
AU2021269362A1 (en) * 2020-12-18 2022-07-07 The Boeing Company Systems and methods for real-time network traffic analysis
US20220269792A1 (en) * 2021-02-24 2022-08-25 Supreeth Hosur Nagesh Rao Implementing a multi-dimensional unified security and privacy policy with summarized access graphs
US11374838B1 (en) * 2021-03-29 2022-06-28 Mellanox Technologies, Ltd. Using a data processing unit (DPU) as a pre-processor for graphics processing unit (GPU) based machine learning
CN113411303B (zh) * 2021-05-12 2022-06-03 桂林电子科技大学 基于层次聚类和层次分析法的评估指标体系构建方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004152251A (ja) * 2002-09-04 2004-05-27 Hitachi Ltd セキュリティに関する情報を更新する方法、クライアント、サーバ、及び管理端末
JP2006019824A (ja) * 2004-06-30 2006-01-19 Kddi Corp セキュア通信システム、管理装置および通信端末
JP2007174406A (ja) * 2005-12-22 2007-07-05 Fujitsu Ltd 不正アクセス防止装置および不正アクセス防止プログラム
JP2007251772A (ja) * 2006-03-17 2007-09-27 Nec Corp ネットワークへの不正接続防止システム及び方法並びにそのプログラム
US20090177675A1 (en) * 2008-01-07 2009-07-09 Global Dataguard, Inc. Systems and Methods of Identity and Access Management
US20160269442A1 (en) * 2015-03-13 2016-09-15 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US20160294870A1 (en) * 2015-03-30 2016-10-06 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US7603716B2 (en) * 2004-02-13 2009-10-13 Microsoft Corporation Distributed network security service
US20060193300A1 (en) * 2004-09-16 2006-08-31 Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) Method and apparatus for monitoring multiple network segments in local area networks for compliance with wireless security policy
US7673341B2 (en) 2004-12-15 2010-03-02 Microsoft Corporation System and method of efficiently identifying and removing active malware from a computer
CN100342692C (zh) * 2005-09-02 2007-10-10 杭州华三通信技术有限公司 入侵检测装置和入侵检测系统
CN101505302A (zh) * 2009-02-26 2009-08-12 中国联合网络通信集团有限公司 安全策略的动态调整方法和系统
US20120137367A1 (en) 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
US8789174B1 (en) 2010-04-13 2014-07-22 Symantec Corporation Method and apparatus for examining network traffic and automatically detecting anomalous activity to secure a computer
US8806638B1 (en) * 2010-12-10 2014-08-12 Symantec Corporation Systems and methods for protecting networks from infected computing devices
US8627438B1 (en) * 2011-09-08 2014-01-07 Amazon Technologies, Inc. Passwordless strong authentication using trusted devices
US8793790B2 (en) * 2011-10-11 2014-07-29 Honeywell International Inc. System and method for insider threat detection
CN102316122B (zh) * 2011-10-21 2014-12-17 福建伊时代信息科技股份有限公司 基于协同方式的内网安全管理方法
WO2013177311A1 (en) * 2012-05-23 2013-11-28 Observable Networks, Llc System and method for continuous device profiling (cdp)
US9154479B1 (en) * 2012-09-14 2015-10-06 Amazon Technologies, Inc. Secure proxy
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
WO2015103338A1 (en) * 2013-12-31 2015-07-09 Lookout, Inc. Cloud-based network security
WO2015167479A1 (en) * 2014-04-29 2015-11-05 Hewlett-Packard Development Company, L.P. Efficient routing in software defined networks
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
TW201600997A (zh) * 2014-06-30 2016-01-01 萬國商業機器公司 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品
WO2016014178A1 (en) * 2014-07-21 2016-01-28 Heilig David Identifying malware-infected network devices through traffic monitoring
US20160191549A1 (en) 2014-10-09 2016-06-30 Glimmerglass Networks, Inc. Rich metadata-based network security monitoring and analysis
US9621579B2 (en) * 2014-11-21 2017-04-11 Symantec Corporation Systems and methods for protecting against unauthorized network intrusions
US9961105B2 (en) * 2014-12-31 2018-05-01 Symantec Corporation Systems and methods for monitoring virtual networks
US10291506B2 (en) 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US20170063927A1 (en) * 2015-08-28 2017-03-02 Microsoft Technology Licensing, Llc User-Aware Datacenter Security Policies
GB2551972B (en) * 2016-06-29 2019-09-18 Sophos Ltd Endpoint malware detection using an event graph
US10334039B2 (en) * 2016-08-11 2019-06-25 Symantec Corporation Network device clusters
US10868832B2 (en) 2017-03-22 2020-12-15 Ca, Inc. Systems and methods for enforcing dynamic network security policies

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004152251A (ja) * 2002-09-04 2004-05-27 Hitachi Ltd セキュリティに関する情報を更新する方法、クライアント、サーバ、及び管理端末
JP2006019824A (ja) * 2004-06-30 2006-01-19 Kddi Corp セキュア通信システム、管理装置および通信端末
JP2007174406A (ja) * 2005-12-22 2007-07-05 Fujitsu Ltd 不正アクセス防止装置および不正アクセス防止プログラム
JP2007251772A (ja) * 2006-03-17 2007-09-27 Nec Corp ネットワークへの不正接続防止システム及び方法並びにそのプログラム
US20090177675A1 (en) * 2008-01-07 2009-07-09 Global Dataguard, Inc. Systems and Methods of Identity and Access Management
US20160269442A1 (en) * 2015-03-13 2016-09-15 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US20160294870A1 (en) * 2015-03-30 2016-10-06 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
CN107431712A (zh) * 2015-03-30 2017-12-01 亚马逊技术股份有限公司 用于多租户环境的网络流日志
JP2018510576A (ja) * 2015-03-30 2018-04-12 アマゾン・テクノロジーズ、インコーポレイテッド マルチテナント環境のためのネットワークフローログ

Also Published As

Publication number Publication date
US20180278648A1 (en) 2018-09-27
CN110521179A (zh) 2019-11-29
CN110521179B (zh) 2022-06-03
EP3603005A1 (en) 2020-02-05
WO2018175352A1 (en) 2018-09-27
CN114697129A (zh) 2022-07-01
CN114697129B (zh) 2024-03-29
EP3603005B1 (en) 2023-11-01
US10868832B2 (en) 2020-12-15

Similar Documents

Publication Publication Date Title
EP3603005B1 (en) Systems and methods for enforcing dynamic network security policies
JP6689992B2 (ja) 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法
JP2020509511A (ja) 悪意のあるコンピューティングイベントを検出するためのシステム及び方法
JP6596596B2 (ja) ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法
US11223636B1 (en) Systems and methods for password breach monitoring and notification
US9485271B1 (en) Systems and methods for anomaly-based detection of compromised IT administration accounts
CN111712814B (zh) 用于监测诱饵以保护用户免受安全威胁的系统和方法
US10097560B1 (en) Systems and methods for automatically adjusting user access permissions based on beacon proximity
JP7144544B2 (ja) 周辺デバイスへのアクセスを制御するためのシステム及び方法
JP2020510939A (ja) データ損失防止ポリシーを施行するためのシステム及び方法
US10277625B1 (en) Systems and methods for securing computing systems on private networks
US11012452B1 (en) Systems and methods for establishing restricted interfaces for database applications
US11176276B1 (en) Systems and methods for managing endpoint security states using passive data integrity attestations
US10462672B1 (en) Systems and methods for managing wireless-network deauthentication attacks
US9300691B1 (en) Systems and methods for enforcing secure network segmentation for sensitive workloads
US11048809B1 (en) Systems and methods for detecting misuse of online service access tokens
US11005867B1 (en) Systems and methods for tuning application network behavior
US9461984B1 (en) Systems and methods for blocking flanking attacks on computing systems
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations
US10498701B2 (en) Systems and methods for dynamically varying web application firewall security processes based on cache hit results
US11366903B1 (en) Systems and methods to mitigate stalkerware by rendering it useless
US11128665B1 (en) Systems and methods for providing secure access to vulnerable networked devices
US9560028B1 (en) Systems and methods for filtering interprocess communications
US10819748B2 (en) Systems and methods for enforcing data loss prevention policies on endpoint devices
US11436372B1 (en) Systems and methods for protecting user privacy

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190908

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190908

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20190913

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20201005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201208

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210629