JP2020524870A - 企業サイバー・セキュリティ・リスク管理及びリソース・プランニング - Google Patents

企業サイバー・セキュリティ・リスク管理及びリソース・プランニング Download PDF

Info

Publication number
JP2020524870A
JP2020524870A JP2020520843A JP2020520843A JP2020524870A JP 2020524870 A JP2020524870 A JP 2020524870A JP 2020520843 A JP2020520843 A JP 2020520843A JP 2020520843 A JP2020520843 A JP 2020520843A JP 2020524870 A JP2020524870 A JP 2020524870A
Authority
JP
Japan
Prior art keywords
security
company
enterprise
threat
asset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020520843A
Other languages
English (en)
Other versions
JP6906700B2 (ja
Inventor
ガノール、イド
Original Assignee
ガノール、イド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ガノール、イド filed Critical ガノール、イド
Publication of JP2020524870A publication Critical patent/JP2020524870A/ja
Application granted granted Critical
Publication of JP6906700B2 publication Critical patent/JP6906700B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04847Interaction techniques to control parameter settings, e.g. interaction with sliders or dials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • G06Q10/06315Needs-based resource requirements planning or analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04842Selection of displayed objects or displayed text elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Development Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Human Computer Interaction (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Sub-Exchange Stations And Push- Button Telephones (AREA)
  • Meter Arrangements (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

システムは、企業に関連するネットワーク関係セキュリティ・ポリシー510とプロシージャ520とを記憶するためのメモリと、ディスプレイと、少なくとも1つのデバイスとを含む。デバイスは、企業のネットワークに関連する企業アクティビティを監視すること560と、企業アクティビティに基づいて、企業がセキュリティ・ポリシー及びプロシージャを遵守しているかどうかを決定することとを行うように構成される。デバイスはまた、企業アクティビティと、企業がセキュリティ・ポリシー及びプロシージャを遵守しているかどうかとに基づいて、企業の資産についてリスク・エクスポージャ・メトリックを計算すること530と、リスク・エクスポージャ・メトリックを識別するグラフィカル・ユーザ・インターフェース(GUI)を、ディスプレイに出力することとを行うように構成される。デバイスはまた、企業のネットワーク化デバイスのうちの少なくとも1つに対する変更を開始するための入力、又はネットワーク化デバイスのうちの少なくとも1つに対する変更を行うためのプランの生成を開始するための入力を、GUIを介して受信すること540を行うように構成され得る。【選択図】図5

Description

本出願は、その内容が参照により本明細書に組み込まれる、2017年6月23日に出願された米国仮特許出願第62/523,944号、及び2018年6月22日に出願された米国出願第16/015,524号に基づいて、米国特許法第119条の下での優先権を主張する。
企業は、高度さと複雑さが増した、ますます多くのサイバー脅威にさらされるようになっており、また、強化された規制及びプライバシー法/法令の対象になっている。大半の企業は、セキュリティ・リスク管理の観点から、そのような脅威、規制及びプライバシー法を処理するための態勢を備えていない。
たとえば、企業は、一般に、サイバー・セキュリティを管理するための単一又は複数の信頼すべきロケーション/システムにおいて情報を管理し、記憶するためのセキュリティ・インフラストラクチャの欠如という問題を抱えている。結果として、企業は、それらの有益な会社機密情報又は顧客のデータが、悪意のある意図をもつ部外者及びインサイダーにさらされることに対してますます脆弱になった。さらに、企業は、しばしば、それらの資産に対する全ての脅威に気づいておらず、一般に、そのような脅威に対する企業の潜在的エクスポージャを定量化することができない。その上、企業は、企業のセキュリティ・インフラストラクチャ及び投資の成功又は失敗を攻撃成功の確率低減に関して測定することができない。
本明細書で説明するシステム、デバイス及び方法が実装され得る、例示的な環境を示す図である。 図1のデバイスのうちの1つ又は複数の中に実装された構成要素の例示的な構成を示す図である。 図1のデバイスのうちの1つ又は複数の中に含まれる論理構成要素の例示的な構成を示す図である。 例示的な実装形態に従って生成された、例示的なグラフィカル・ユーザ・インターフェースを示す図である。 例示的な実装形態に従って生成された、例示的なグラフィカル・ユーザ・インターフェースを示す図である。 例示的な実装形態による、図3に示された様々な構成要素による処理を示す流れ図である。 例示的な実装形態における、企業のための例示的な攻撃シナリオ、緩和関係問題及び質問並びに技術的対応を示す図である。 例示的な実装形態における、企業のための例示的な攻撃シナリオ、緩和関係問題及び質問並びに技術的対応を示す図である。 例示的な実装形態における、企業のための例示的な攻撃シナリオ、緩和関係問題及び質問並びに技術的対応を示す図である。 例示的な実装形態における、企業のための例示的な攻撃シナリオ、緩和関係問題及び質問並びに技術的対応を示す図である。 セキュリティ・ステータス情報を閲覧することに関連する例示的な処理を示す流れ図である。 例示的な実装形態による、例示的なグラフィカル・ユーザ・インターフェースを示す図である。 例示的な実装形態による、別の例示的なユーザ・インターフェースを示す図である。 例示的な実装形態による、サイバー・セキュリティ情報を生成し、表示することに関連する例示的なユーザ・インターフェースを示す図である。 例示的な実装形態による、サイバー・セキュリティ情報を生成し、表示することに関連する例示的なユーザ・インターフェースを示す図である。 例示的な実装形態による、サイバー・セキュリティ情報を生成し、表示することに関連する例示的なユーザ・インターフェースを示す図である。 例示的な実装形態による、シミュレーションを動作させることに関連する例示的なユーザ・インターフェースを示す図である。
以下の詳細な説明は、添付の図面を参照する。異なる図面中の同じ参照番号は同じ又は類似の要素を同定し得る。また、以下の詳細な説明は本発明を限定しない。代わりに、本発明の範囲は添付の特許請求の範囲及びそれらの等価物によって定義される。
本明細書で説明する実装形態は、複数のソースからデータを収集し、処理し、様々なサイバー脅威に対する会社の資産のエクスポージャ並びに/又は規制及びプライバシー法のコンプライアンスのレベルを定量化するための方法、システム並びにコンピュータ・プログラム製品を提供する。一実装形態では、企業サイバー・リソース・プランニング(ECRP:enterprise cyber resource planning)システムは、権限を有する人員が、高い、全体的なレベルにあり、またグラニュラリティの複数のレベル(たとえば、各特定の脅威についての各個別資産についての脅威レベル)にある特定のサイバー脅威に対する会社の資産のエクスポージャ・レベルを閲覧すること、並びに必要とされる規制及びプライバシー法のコンプライアンスのレベルを閲覧することを可能にする、グラフィカル・ユーザ・インターフェース(GUI:graphical user interface)を提供する。ECRPシステムはまた、会社の資産のリスク・エクスポージャを低減するために、並びに/又は規制及びプライバシー法のコンプライアンスのレベルを高めるために、最適化されたサイバー・セキュリティ作業計画を生成し得る。
たとえば、ECRPシステムなどの本明細書で説明するシステムは、企業のセキュリティ措置に基づいて会社/企業の資産についての推定リスク・エクスポージャを生成し、そのリスク・エクスポージャをユーザに表示する。一実装形態では、ユーザは、ワークステーション/クライアント・システムを介して、企業の資産に関連するリスクを低減するサイバー・セキュリティ作業計画を要求し得る。システム/サーバは、資産に関連する識別子と、資産についての所望のエクスポージャ・レベルとを含み得る、ユーザ要求を受信する。システムは、要求された資産のエクスポージャ・レベルに基づいて、最適化された作業計画を生成する。システムはまた、要求されたエクスポージャ・レベルを達成するための、時間単位のマンパワー支出と、新しい機器のコストを含み得る金銭的支出などとを含む、リソース支出を推定し得る。
例示的な実装形態では、(本明細書で「システム」又は「プラットフォーム」とも呼ばれる)ECRPシステムは、重要企業資産に関する有益なサイバー脅威情報を提供する幾つかの簡略化された様態で、担当情報技術(IT:information technology)セキュリティ人員に推定リスク・エクスポージャを提示する、グラフィカル・ユーザ・インターフェース(GUI)を提供する。GUIはまた、セキュリティ人員が、単一のロケーション/ユーザ・インターフェースから、及び/又は複数のユーザ・インターフェースを介して複数のロケーションから、企業セキュリティを監督し、管理することを可能にし得る。さらに、システムは、リソースの配置に関する勧告を生成し、また、リスク・エクスポージャを緩和するための措置を開始し得る。記録の単一のプラットフォーム又はシステムを介して、複数のソースからのデータを集約することによって、適切なセキュリティ人員は、会社資産のエクスポージャを最小化する及び/又は防止するために、並びに企業が、準拠法、プライバシー要件及び規制並びに企業の担当セキュリティ管理者によって設定されたセキュリティ・ポリシーに準拠しているようにするために、企業セキュリティ管理の全ての態様を定義し、管理し、コントロールすることができる。
本明細書で使用する用語「資産」は、データ又はインフラストラクチャ要素/機器を含む、任意の企業資産を含むように解釈されるべきである。データは、たとえば、人的資源(HR:human resources)データ、企業によって顧客に提供される商品及び/又はサービスのコスト、知的財産、顧客リスト、従業員及び/又は顧客の個人情報などを含み得る。インフラストラクチャは、企業によって所有される又は管理されるサーバ、ルータ、プロセッサ、通信リンク、インターフェース、ネットワーク・デバイス、データベース、アプリケーションなど、ハードウェア及び/又はソフトウェアを含み得る。
本明細書で使用する用語「企業」は、それの中で従業員のコンピュータ/ワークステーションが、ローカル・エリア・ネットワーク(LAN:local area network)、ワイド・エリア・ネットワーク(WAN:wide area network)、インターネット、公衆交換電話網などのネットワークを介して相互接続された、中小企業/会社、教育機関、政府機関、大法人など、任意のエンティティを含むように解釈されるべきである。企業は、複数の物理的ロケーション並びに複数の相互接続された有線及び無線ネットワークを含み得る。企業は、企業に商品及び/又はサービスを供給するサプライヤ及び/又はベンダーをも含み得る。
一実装形態では、ECRPシステムは、担当当事者(たとえば、最高情報セキュリティ・オフィス(CISO:Chief Information Security Office)、最高財務責任者(CFO:Chief Financial Officer)、最高経営責任者(CEO:Chief Executive Officer)、データ保護責任者(DPO:Data Protection Officer)、最高リスク責任者(CRO:Chief Risk Officer)などのチーフ(C:Chief)レベル・エグゼクティブ、ボード・メンバー、セキュリティ・マネージャ又は会社のセキュリティを管理することを担当する他の当事者)が、セキュリティ・ポリシー/業務が遵守されているかどうかを決定し、(たとえば、ISO27001、ペイメント・カード・インダストリー(PCI:Payment Card Industry)規格、欧州一般データ保護規則(GDPR:European General Data Protection Regulation)規格、米国標準技術研究所(NIST:National Institute of Standards and Technology)規格、インターネット・セキュリティ・センター(CIS:Center of Internet Security)規格などの)規制の会社コンプライアンスを認証し、監査及び評価を実施し、並びに/又は監査/評価が定期的に実行されているかどうかを決定し、リソース・プランニング及びセキュリティ・タスク/アクティビティ優先順位付けを実行し、及び/又は検証し、セキュリティ・リスク管理プロシージャを実行し及び/又は検証し、従業員アウェアネス・プログラムを運営し、及び/又はそれが守られていることを検証し、セキュリティ予算を検証し及び/又は監査し、セキュリティ・コントロールを実施し、及びそれが守られていることを検証し、リアルタイム・サイバー・セキュリティ・ユーザ・インターフェース/ダッシュボードに対するアクセスを与えるなど、日常的なアクティビティを管理することを可能にする。このようにして、(たとえば、CISO、Cレベル・エグゼクティブ、セキュリティ・マネージャなどの)担当当事者は、全て単一のプラットフォームから、セキュリティ問題の部分的又は包括的なエンドツーエンドの理解を得、セキュリティに対する全体的なセキュリティ業務を管理し、リスクを緩和することが可能であり得る。
たとえば、幾つかの実装形態では、CISOなどの担当当事者は、企業セキュリティの完全な又は包括的な概観とは対照的に、企業についてのセキュリティ問題の一部分のみを閲覧することを選択し得る。この状況において、CISOは、セキュリティ業務チームがCISOの指示を遵守していることを検証するために、特定のセキュリティ問題に関連する特定のユーザ・インターフェース又はダッシュボードを選択し得る。このようにして、CISOは、セキュリティ・ポリシーが十分に遵守されていないときなどに、介入のために問題分野を速やかに特定することが可能であり得る。
本明細書で説明する実装形態では、システムは、リアルタイムの様態でセキュリティ関係プロシージャを処理し、企業アクティビティを監視する。たとえば、新しい脅威が世界中のいずれかのロケーションで外部企業において(たとえば、グローバルなウイルス又はランサムウェア・プログラムのゼロデイ攻撃)、又は企業の内部で発生し、ECRPシステム130によって、企業人員によって、又は侵入検知システム(IDS:intrusion detection system)若しくは任意の他の手段によって自動的に検出された場合、情報はプラットフォームに入力され得、プラットフォームは、リアルタイム又はほぼリアルタイムで脅威レベル及び資産リスク・エクスポージャを再計算することが可能である。
さらに、システムは、担当当事者がリアルタイム又はほぼリアルタイムで企業の資産に関連するリスク・エクスポージャ情報を閲覧することを可能にする、幾つかのGUIを提供する。本明細書で説明するシステムは、処理/通信データ、電子メールなどのための会社ルール/プロシージャなどの企業に関連する入力、並びに企業が配置するIDS、侵入防止システム(IPS:intrusion prevention system)、ファイアウォールなどのセキュリティのタイプに関する情報を受信する。プラットフォーム/システムは、次いで、受信されたデータに基づいて、企業の資産のリスク・エクスポージャを計算し、及び/又は予測し得る。
システムはまた、セキュリティ人員が、新しいネットワーク・セキュリティ・リソースを配置すること、既存のネットワーク・セキュリティ・リソースを再構成すること、並びに/又は新しいセキュリティ・コントロール及び/若しくはプロシージャを実施することによってなど、リスク管理が改善される必要がある分野のより完全なアイデアを得ることを可能にするために、規模、業種などの企業の特性を識別するプロファイリング機構を使用して、資産のリスク・エクスポージャを事業/活動の同じ一般領域における他社と比較し得る。一実装形態では、リスク・エクスポージャは、0〜100パーセントにわたるパーセンテージ値として定義され得、0パーセントは無リスク又は極めて低いリスクに対応し、100パーセントは非常に高いリスクに対応する。他の実装形態では、リスク・エクスポージャは、非常に低い、低い、中間、高い、非常に高いなどの相対語で定義され得る。本明細書で説明する実装形態では、システムは、GUIを介して、脅威を緩和するための勧告を与え、及び/又は自動的に、ネットワーク・セキュリティ設備を再配置し、新しいセキュリティ設備(たとえば、ファイアウォール)を配置し、適切な人員にアラート/通信を送り、全ての若しくは特定のユーザ・デバイス110から企業資産を隔離し、若しくはそれらへのアクセスをブロックするなど、脅威を緩和するための措置を自動的に開始し得る。幾つかの実装形態では、「非常に低い」若しくは「低い」と決定されたリスク・エクスポージャについては、勧告が生成されることもされないこともあり、及び/又は「高い」若しくは「非常に高い」と決定されたリスク・エクスポージャについては、緩和措置が自動的に開始され得る。
本明細書で説明する実装形態は、CISO、Cレベル・エグゼクティブなどの担当当事者に、企業のネットワーク・リソースについてのサイバー関係の意思決定を行うための重要な業務上の知識を身に付けさせるために、技術ベース・ソリューション、及び論理ベース・ソリューションを提供する。本明細書で使用する用語「リソース」は、ハードウェア・デバイス/システム、ソフトウェア・デバイス/システム、ネットワーク資産、セキュリティ・デバイスなどを含むように解釈されるべきである。本明細書で説明するシステムはまた、企業の許容エクスポージャ・レベルに基づいてセキュリティを最適化しながら、日常のセキュリティ業務を管理するための強力な全企業規模ツールの効率向上をもたらす。
図1は、それの中に本明細書で説明するシステム及び方法が実装され得る、例示的な環境100のブロック図である。環境100は、ユーザ・デバイス110−1〜110−N、ネットワーク・デバイス120、企業サイバー・リソース・プランニング(ECRP)システム130、ERCPシステム・エージェント132、ネットワーク140及び150並びに悪意のあるデバイス160−1〜160−Nを含み得る。ネットワーク140に関連付けられる/接続されているものとして示されている要素(たとえば、ユーザ・デバイス110−1〜110−N、ネットワーク・デバイス120及びECRPシステム・エージェント132)は、企業のデバイス及び資産の一部分を表し得る。ネットワーク140に関連するものとして図1に示されたデバイスの番号は、簡略化のために与えられている。企業は、企業の資産の一部である数千のデバイスを含み得ることを理解されたい。用語「企業」及び「会社」は、以下の説明において互換的に使用される。
(個別にユーザ・デバイス110−x又は110と呼ばれ、総称してユーザ・デバイス110と呼ばれる)ユーザ・デバイス110−1〜110−Nは、それぞれ、無線又はセルラー電話デバイス(たとえば、データ処理機能をもつ従来型の携帯電話)、スマート・フォン、無線電話を含むことができるパーソナル・デジタル・アシスタント(PDA:personal digital assistant)などのモバイル・デバイスを含み得る。ユーザ・デバイス110は、パーソナル・コンピュータ(PC:personal computer)、ラップトップ、タブレット・コンピュータ、ノートブック、ネットブック、ウェアラブル・コンピュータ(たとえば、腕時計、眼鏡など)、ゲーム・プレイ・デバイス、音楽再生デバイス、テレビジョン、家庭用電気器具デバイス、住宅監視デバイス、カメラなど、任意のタイプのコンピュータ・デバイス又はシステムをも含み得る。ユーザ・デバイス110は、通信機能を含み得るセンサー、アクチュエータ、ホーム・オートメーション・デバイスなど、モノのインターネット(IoT:Internet of Things)デバイス又は「スマート」デバイスをさらに含み得る。たとえば、IoTデバイスは、マシンツーマシン(M2M:machine−to−machine)インターフェースを介して、他のデバイスと無線で通信するマシン・タイプ通信(MTC:machine type communication)デバイスを含み得る。
ユーザ・デバイス110は、会社電子メール・サーバ、プリンタ又はプリント・サーバ、ファイアウォール(FW:firewall)、ネットワーク・アクセス制御(NAC:network access control)デバイス、侵入検出システム(IDS)、侵入防止システム(IPS)、ウェブ/電子メール・フィルタリング・デバイス、アンチウイルス・ソフトウェアを動作させるデバイス、契約情報、知的財産情報、内部通信、人的資源情報、財務情報、所有権戦略情報などの会社の機密情報を記憶するデータベースなど、他の会社デバイス/資産をも含み得る。
ユーザ・デバイス110は、事業、法人、教育機関などに関連する企業ローカル・エリア・ネットワーク(LAN)又はワイド・エリア・ネットワーク(WAN)であり得るネットワーク140など、LAN又はWANの一部であり得る。ユーザ・デバイス110は、有線、無線、光接続又はこれらの技法の組合せなど、任意の従来の技法を介して、環境100中のネットワーク140及び他のデバイス(たとえば、ネットワーク・デバイス120、ECRPシステム130、ECRPシステム・エージェント132、ネットワーク150など)に接続し得る。ユーザ・デバイス110及びユーザ・デバイス110に関連する者(たとえば、ユーザ・デバイス110を保持又は使用する当事者、ユーザ・デバイス110の所有者)は、以下の説明において、総称してユーザ・デバイス110と呼ばれることがある。
ネットワーク・デバイス120は、ネットワーク150などの外部ネットワークと通信するためにネットワーク140を介して接続されたデバイスのためのゲートウェイとして働く、ブロードバンド・ルータ又はゲートウェイ・デバイスに対応し得る。ネットワーク・デバイス120は、企業ネットワーク140への/からの通信のためのハブとして働き得る。たとえば、ネットワーク・デバイス120は、ネットワーク140及び/又は150を介してユーザ・デバイス110からの通信をそれらの適切な宛先にルーティングし、ネットワーク140及び/又は150からの通信を受信し、通信を適切なユーザ・デバイス110にルーティングするためのローカル・ルータとして働き得る。ネットワーク・デバイス120は、サイバー攻撃をブロックすることを試みるためのファイアウォール、侵入検知システム及び/又は侵入防止システムをも含み得る。
(本明細書でシステム130又はプラットフォーム130とも呼ばれる)ECRPシステム130は、ネットワーク140及び/又はネットワーク150に関連する企業のために企業セキュリティを管理することに関連する1つ又は複数のコンピューティング・デバイスを含み得る。たとえば、ECRPシステム130は、セキュリティ人員(たとえば、CISO)が、企業セキュリティを管理し、企業が企業セキュリティに関する会社ポリシー及びプロシージャに従っているようにすることを可能にする、企業セキュリティ管理(ESM:enterprise security management)プラットフォームに対応し得る。ECRPシステム130は、セキュリティ人員が、単一のプラットフォームを介してリスクを容易に管理し、緩和することを可能にする、サイバー・リソース・プランニング機能をも含み得る。
たとえば、ECRPシステム130は、以下で詳細に説明するように、セキュリティ人員が、リアルタイムで閲覧すべき企業の資産/システムの部分を(たとえば、粒度の細かいレベルで)選択し、レポートを実行し、日常のセキュリティ業務が実行されているかどうかを決定し、会社セキュリティ・ポリシー及び/又はセキュリティ・コントロールが守られているかどうかを決定することなどを可能にし得る。ECRPシステム130は、管理人員(たとえば、CISO)及び/又は様々なセキュリティ業務チームの間の協調のためのプラットフォームをさらに提供し得る。
ECRPシステム130は、(たとえば、ネットワーク150及び/又は140を介して環境100中の他のデバイスに接続された)「クラウド内に」常駐し、サービスとしてのソフトウェア(SaaS:Software as a Service)モデルを介して、ネットワーク140に関連する企業、及び/又は他の企業に提供され得る。この実装形態では、ECRPシステム・エージェント132は、以下でより詳細に説明するように、それを介して企業における人員が、リスク・エクスポージャ、脅威レベル、作業計画などを取得するためにECRPシステム130と通信することができる、コンピュータ(たとえば、ラップトップ・コンピュータ、パーソナル・コンピュータ、モバイル・コンピューティング・デバイスなど)、ワークステーション、又は通信機能をもつ任意のデバイスを含む。
一実装形態では、ECRPシステム130は、2つの主要な論理構成要素又は機能要素、すなわち、1)グラフィカル・ユーザ・インターフェース(GUI)及びGUIをサポートする全ての論理構成要素/モジュール、データベースなど、並びに2)ECRPシステム・エージェント132など、企業ネットワーク140に結合されたエージェントを含む。ECRPシステム・エージェント132は、アクティブ・ディレクトリ、セキュリティ・デバイス及びアプリケーション、チケッティング・システム(たとえば、問題に対処するためのトラブル・チケッティング・システム)、企業リソース・プランニング(ERP:enterprise resource planning)システム、セキュリティ走査デバイスなど、企業上のインフラストラクチャに接続するように構成される。ECRPシステム・エージェント132はまた、ECRPエンジン/モジュールに入力データを与えるために、企業ネットワーク上の要素のセキュリティ・ステータスを精査/監視することを目的とするシミュレータを管理し、実行し得る。
例示的な実装形態では、ECRPシステム130によって実行されるそのようなシミュレーションは、たとえば、以下を含み得る。
1)メール攻撃シミュレーション − 悪意のある電子メールに対する防御
メール攻撃シミュレーションの目的は、企業の現在のソリューションが企業を保護しているかどうか及びどの程度保護しているかなど、企業の電子メール・セキュリティ仮定を試すことである。そのようなシミュレーションを実行することは、企業人員が保護されていると考えるものと比較して、実際に何が保護又は防御されているかを企業人員が識別することを可能にする。このシミュレーションでは、ECRPシステム130は、既知の現実の攻撃をシミュレートする複数のタイプの電子メールを送ることによって、電子メール・セキュリティ・コントロール及び/又は企業電子メール・ポリシーをテストする。ECRPシステム130は、様々なシナリオにおけるリスク・レベルを決定するために、たとえば、ユーザ・デバイス110のメール・ボックスにどの電子メールが到着するかを決定する。
2)ウェブ攻撃シミュレーション − 悪意のあるウェブサイトに対する防御
ウェブ攻撃シミュレーションの目的は、企業の現在のソリューションが企業を保護しているかどうか及びどの程度保護しているかなど、企業のブラウジング・セキュリティ仮定を試すことである。これは、企業人員が保護されていると考えるものと比較して、様々なシナリオにおけるリスクを識別することを含めて、実際に何が保護又は防御されているかを企業人員が識別することを可能にする。このシミュレーションでは、ECRPシステム130は、ウェブから様々なタイプのファイルをダウンロードし、暗号化されたトラフィック、及び規格外トラフィック/ポートを用いて何が起こるかをチェックすることによってなど、悪意のあるウェブサイトへのアクセスをシミュレートすることによって、企業のブラウジング・セキュリティ・コントロール及び/又はポリシーをテストする。ECRPシステム130は、様々なシナリオにおけるリスク・レベルを決定するために、どの攻撃が成功するかを決定する。
3)データ漏洩シミュレーション − データ漏洩に対する防御
データ漏洩シミュレーションの目的は、企業の現在のソリューションが企業を保護しているかどうか及びどの程度保護しているかなど、企業のデータ・セキュリティ仮定を試すことである。これは、企業人員が保護/防御されていると考えるものと比較して、データ漏洩に対するリスクを識別することを含めて、実際に何が保護又は防御されているかを企業人員が識別することを可能にする。
4)エンドポイント攻撃シミュレーション
エンドポイント攻撃シミュレーションの目的は、企業の現在のソリューション及びハードニング構成がエンドポイント及びネットワークを保護しているかどうか並びにどの程度保護しているかなど、企業のエンドポイント・セキュリティ仮定を試すことである。これは、企業人員が保護/防御されていると考えるものと比較して、リスクを識別することを含めて、実際に何が保護されているかを企業人員が識別することを可能にする。このシミュレーションでは、ECRPシステム130は、ユーザのエンドポイント上に足がかりを得たハッカーによって実行され得る可能なラテラル・ムーブメントをシミュレートすることによって、設定されている企業のエンドポイント・セキュリティ・ハードニング並びにコントロール及びポリシーをテストする。ECRPシステム130は、成功した攻撃に基づいて、様々なシナリオにおけるリスク・レベルを決定する。
5)アウェアネス・シミュレーション
アウェアネス・シミュレーションの目的は、企業の現在のアウェアネスの状態が、企業が仮定する通りであるかどうかなど、企業のユーザ・アウェアネス仮定を試すことである。このシミュレーションでは、ECRPシステム130は、たとえば、仮定に基づいて、フィッシング電子メール・キャンペーンのセットを選定する。ECRPシステム130はフィッシング・キャンペーンを実行し、結果を追跡する。
6)資産セグメント化シミュレーション
資産セグメント化シミュレーションの目的は、資産が、違反の可能性を低減する方法でセグメント化されているかどうかをテストすることである。このシミュレーションでは、ECRPシステム130は、特定の企業資産を選定し、資産が、資産関係情報を取得するために幾つかのセキュリティ違反を必要とするのとは対照的に、単一の違反によって発見されやすいかどうかを決定する。
図1に戻ると、ネットワーク150は、データ、音声及び/又はビデオ信号を受信及び送信することが可能である1つ又は複数の有線、無線及び/又は光ネットワークを含み得る。たとえば、上記で説明したように、ネットワーク150は、ネットワーク140を介して接続されたユーザ・デバイス110にインターネット・アクセスを与えるインターネット・サービス・プロバイダ(ISP:Internet Service Provider)に関連し得る。一実装形態では、ネットワーク150は、1つ又は複数の公衆交換電話網(PSTN:public switched telephone network)又は他のタイプの交換ネットワークを含み得る。ネットワーク150は、1つ又は複数の無線ネットワークをも含み得、また、無線信号を受信し、無線信号を意図された宛先に向けて転送するための幾つかの送信タワーを含み得る。ネットワーク150は、1つ又は複数の衛星ネットワーク、インターネット・プロトコル(IP:Intemet protocol)ベース・ネットワーク、LAN、WAN、パーソナル・エリア・ネットワーク(PAN:personal area network)、WiFiネットワーク、Bluetooth(登録商標)ネットワーク、イントラネット、インターネット、又はデータを送信することが可能である別のタイプのネットワークなど、1つ又は複数のパケット交換ネットワークをさらに含み得る。ネットワーク150は、たとえば、データ、音声、及び/又はマルチメディア・サービスを提供するために、ユーザ・デバイス110に無線パケット交換サービスと無線インターネット・プロトコル(IP)接続とを提供する。
(個別に悪意のあるデバイス160−x又は160と呼ばれ、総称して悪意のあるデバイス160と呼ばれる)悪意のあるデバイス160−1〜160−Nは、たとえば、ネットワーク140を介して、サイバー攻撃又は企業に関連する情報を不正に取得する試みに関与し得る、任意のタイプのデバイスを含み得る。たとえば、悪意のあるデバイス160は、それぞれ、無線又はセルラー電話デバイス(たとえば、データ処理機能をもつ従来型の携帯電話)、スマート・フォン、無線電話を含むことができるパーソナル・デジタル・アシスタント(PDA)、パーソナル・コンピュータ(PC)、ラップトップ、タブレット・コンピュータ、ノートブック、ネットブック、ウェアラブル・コンピュータ(たとえば、腕時計、眼鏡など)、ゲーム・プレイ・デバイス、音楽再生デバイス、テレビジョン、家庭用電気器具デバイス、住宅監視デバイス、カメラ、通信機能を含み得るセンサー、アクチュエータ、ホーム・オートメーション・デバイスなどのモノのインターネット(IoT)デバイス又は「スマート」デバイスなどの任意のタイプのコンピュータ・デバイス又はシステムなどのモバイル・デバイスを含み得る。さらに、幾つかの事例では、ユーザ・デバイス110のうちの1つ又は複数は、(たとえば、ボットネット攻撃において別のエンティティによって乗っ取られる、不満を抱く従業員に関連するなど)悪意のあるデバイスとして働き得る。
図1に示された例示的な構成は簡略化のために与えられる。一般的な環境は、図1に示されたよりも多い又は少ないデバイスを含み得ることを理解されたい。たとえば、上記で説明したように、環境100は、多数の(数百又はそれを超える)ユーザ・デバイス110、ネットワーク・デバイス120、ECRPシステム130、ECRPシステム・エージェント132、ネットワーク140及び150並びに悪意のあるデバイス160を含み得る。さらに、環境100は、ユーザ・デバイス110にデータ/通信をルーティングすることを支援するeノードB、基地局、スイッチ、ゲートウェイ、ルータ、監視デバイスなど、追加の要素を含み得る。
環境100中の特定の構成要素によって実行されるものとして、様々な機能について以下で説明する。他の実装形態では、1つのデバイスによって実行されるものとして説明されている様々な機能は別のデバイス若しくは複数の他のデバイスによって実行され得、及び/又は複数のデバイスによって実行されるものとして説明されている様々な機能は単一のデバイスによって組み合わせられ、実行され得る。さらに、ネットワーク140とネットワーク150とは別個のネットワークとして示されているが、他の実装形態では、これらのネットワーク又はこれらのネットワークの部分は単一のネットワーク中に含まれ得る。
図2は、ECRPシステム130の例示的な構成を示す。ユーザ・デバイス110、ネットワーク・デバイス120、ECRPシステム・エージェント132など、環境100中の他のデバイスは同様の様態で構成され得る。図2を参照すると、ECRPシステム130は、バス210と、プロセッサ220と、メモリ230と、入力デバイス240と、出力デバイス250と、通信インターフェース260とを含み得る。バス210は、システム130の要素間の通信を可能にする経路を含み得る。
プロセッサ220は、命令を解釈し、実行し得る1つ又は複数のプロセッサ、マイクロプロセッサ、又は処理論理を含み得る。メモリ230は、プロセッサ220による実行のための情報及び命令を記憶し得るランダム・アクセス・メモリ(RAM:random access memory)又は別のタイプの動的記憶デバイスを含み得る。メモリ230は、プロセッサ220による使用のための静的情報及び命令を記憶し得る読取り専用メモリ(ROM:read only memory)デバイス又は別のタイプの静的記憶デバイスをも含み得る。メモリ230はソリッド・ステート・ドライブ(SDD:solid state drive)をさらに含み得る。メモリ230は、磁気及び/又は光記録媒体(たとえば、ハード・ディスク)並びにそれの対応するドライブをも含み得る。
入力デバイス240は、キーボード、キーパッド、マウス、ペン、マイクロフォン、タッチ・スクリーン、音声認識及び/又はバイオメトリック機構など、ユーザが情報を入力することを可能にする機構を含み得る。入力デバイス240は、アンチウイルス・システム/プラットフォーム、ネットワーク・アクセス制御(NAC)システム、脆弱性スキャナ、セキュリティ情報及びイベント管理(SIEM:Security Information and Event Management)システムなど、他のセキュリティ・プラットフォームからの入力を可能にする機構をも含み得る。出力デバイス250は、ディスプレイ(たとえば、液晶ディスプレイ(LCD:liquid crystal display)、プリンタ、スピーカーなどを含む、ユーザに情報を出力する機構を含み得る。幾つかの実装形態では、タッチ・スクリーン・ディスプレイが入力デバイスと出力デバイスの両方として働き得る。
通信インターフェース260は、システム130(又は図1中の他の構成要素)が有線、無線又は光機構を介して他のデバイスと通信するために使用する1つ又は複数のトランシーバを含み得る。たとえば、通信インターフェース260は、ネットワーク140及び/又は150を介して無線周波数(RF:radio frequency)データを送信及び受信するための1つ又は複数のRF送信機、受信機及び/又はトランシーバ並びに1つ又は複数のアンテナを含み得る。通信インターフェース260は、ネットワーク140又は別のネットワークなどのネットワーク中の要素(たとえば、ユーザ・デバイス110、ネットワーク・デバイス120、ECRPシステム・エージェント132)と通信するためのモデム若しくはLANへのイーサネット(登録商標)・インターフェース又は他の機構をも含み得る。
図2に示された例示的な構成は簡略化のために与えられる。システム130は、図2に示されたよりも多いか又は少ないデバイスを含み得ることを理解されたい。例示的な実装形態では、システム130(又はECRPシステム・エージェント132など、環境100中の他のデバイス)は、メモリ230などのコンピュータ可読媒体中に含まれた命令のシーケンスを実行するプロセッサ220に応答して動作を実行する。コンピュータ可読媒体は物理又は論理メモリ・デバイスとして定義され得る。ソフトウェア命令は、通信インターフェース260を介して、別のコンピュータ可読媒体(たとえば、ハード・ディスク・ドライブ(HDD:hard disk drive)、SSDなど)から、又は別のデバイスから、メモリ230中に読み込まれ得る。代替的に、本明細書で説明する実装形態によるプロセスを実装するために、ハードワイヤード回路がソフトウェア命令の代わりに又はそれと組み合わせて使用され得る。したがって、本明細書で説明する実装形態はハードウェア回路とソフトウェアとの特定の組合せに限定されない。
図3は、ECRPシステム130中に実装された論理構成要素又はモジュールの例示的な機能ブロック図である。例示的な実装形態では、図3に示された構成要素の全て又はそれらのうちの幾つかは、メモリ230中に記憶されたソフトウェア命令を実行するプロセッサ220によって実装され得る。
図3を参照すると、ECRPシステム130は、ユーザ・インターフェース/ダッシュボード論理310と、セキュリティ・ポリシー及びプロシージャ論理320と、サイバー・リスク管理及び戦略プランニング論理330と、監査及びセキュリティ・コントロール論理340と、セキュリティ業務論理350と、ガバナンス、規制及びコンプライアンス(GRC:governance,regulations and compliance)論理、障害回復(DR:disaster recovery)/事業継続性プランニング(BCP:business continuity planning)論理及び従業員アウェアネス論理360と、知識ベース及び報告論理370と、機械学習及びプロファイリング論理380と、通信論理390とを含む。代替実装形態では、これらの構成要素又はこれらの構成要素の一部分はECRPシステム130に対して外部に位置し得る。
ユーザ・インターフェース論理310は、ユーザ(たとえば、CISO、ネットワーク・セキュリティ・マネージャ、事業主など)が、企業のセキュリティ・ポリシー、規制及びプライバシー法のコンプライアンスを決定するために企業のセキュリティの様々な態様を閲覧することを可能にするための論理を含み得る。たとえば、CISOは、企業資産のセキュリティ/保護に関連するポリシーが適切に守られているかどうかに関する情報を閲覧すること、企業のセキュリティ予算に関する予算情報(たとえば、監査が定時に割り当てられた予算内で実行されているかどうか)を閲覧すること、企業セキュリティ・コンプライアンスに関連するデータ/知識ベースを閲覧し、現在又は過去のサイバー脅威のステータスと、サイバー脅威の処理に関する企業ポリシーが企業のポリシーに従って実行されたかどうかとを閲覧することなどを望むことがある。ユーザ・インターフェース論理310はまた、CISOが、ファイアウォール、ネットワーク・アクセス制御デバイス、アンチウイルス・ソフトウェア、侵入検知システムなど、企業における様々なセキュリティ・システム/デバイス、又は会社の企業ネットワーク中の資産のいずれかに関する検索クエリを入力し、担当セキュリティ人員/チームが、リスクを緩和するための会社ポリシー/プロシージャに従って彼らのタスク/機能を実行しているかどうかを識別することを可能にし得る。
幾つかの実装形態では、ユーザ・インターフェース論理310はまた、適切なセキュリティ業務チームが、セキュリティ業務チームによって実行された特定のタスク/機能に関する情報を入力することを可能にする。たとえば、あるセキュリティ業務チームが、ユーザ・デバイス110のためのソフトウェアのマンスリー・アップグレードを実行した(たとえば、アンチウイルス・ソフトウェアをアップグレードした)場合、その特定のセキュリティ業務チームは、ユーザ・インターフェース論理310にアクセスし、その情報をシステム130に入力し得る。別の実例として、別のセキュリティ業務チームが、ネットワーク資産へのアクセスを制限するためにそのネットワーク資産のそれのセグメント化を完了した場合、セキュリティ業務チームはユーザ・インターフェース論理310を介してその情報を入力し得る。このようにして、ECRPシステム130は、セキュリティ業務チームとセキュリティ・マネージャ(たとえば、CISO)との間の協調を可能にし得る。すなわち、ユーザ・インターフェース論理310を介して情報が入力されると、CISOは、様々なセキュリティ・チームによって実行されたタスク/機能を認識し得る。他の実装形態では、図3に示されたユーザ・インターフェース論理310及び他の論理/モジュールは、(図3に示されていない)他のデバイス/システムから、企業に関連する様々なセキュリティ業務チームによって実行されたセキュリティ・タスク/アクティビティに関する情報を取得し、情報を処理し、情報をCISO又は他の管理人員に利用可能にし得る。
実例として、特定のネットワーク資産を保護するためにファイアウォールの使用を要求し、権限を有する人員がデータにアクセスすることのみを可能にするように、企業内の特定のタイプのデータをセグメント化することを要求する、特定のセキュリティ規格(たとえば、PCI規格)に企業が従っていると仮定する。この場合、CISOは、企業が適切な企業セキュリティ規格を遵守しているようにするために、ファイアウォール及びネットワーク・セグメント化コンプライアンスに関する情報を検索し得る。そのような場合、CISOは、ファイアウォール及び/又はネットワーク・セグメント化に関連するユーザ・インターフェース/ダッシュボード論理310によって与えられるグラフィカル・ユーザ・インターフェース(GUI)又はダッシュボードを使用し、企業が特定のセキュリティ・ポリシー/規格を遵守しているかどうかに関する情報を取得し得る。
例示的な一実装形態では、ユーザ・インターフェース/ダッシュボード論理310は、担当当事者が企業の資産に関連するリスク・エクスポージャ情報を閲覧することを可能にするグラフィカル・ユーザ・インターフェース(GUI)を与え得る。たとえば、図4Aは、ユーザ・インターフェース/ダッシュボード論理310によって生成された例示的なGUI/ダッシュボード400を示す。図4Aを参照すると、GUI400は、企業(たとえば、この例ではAcme Corp. Ltd)の高レベル・エグゼクティブによって閲覧されることが意図された「エグゼクティブ・ダッシュボード」である。GUI400は、ユーザが、ダッシュボード・ビューと、作業計画ビューと、資産ビューと、脅威ビューと、コンプライアンス・ビューと、リスク管理ビューと、違反ビューと、セキュリティ・コントロール・ビューと、セキュリティ・レイヤ・ビューと、アウェアネス・ビュー、ポリシー及びプロシージャ・ビューと、同僚勧誘ビューと、CISO eストア・ビューとを選択することを可能にする選択エリア410を含む。ユーザ・インターフェース論理310によって与えられる他のGUIでは、選択エリア410は追加の及び/又は異なる選択を含み得る。この実例では、ダッシュボード・ビューが選択されている。
ダッシュボード・ビューは、ユーザが、投資対エクスポージャ・ビューと、資産リスク・エクスポージャ・ビューと、同業他社との比較ビューとを選択することを可能にするタブ・エリア420を含む。GUI400では、同業他社との比較ビューが選択されている。GUI400のエリア430は、最高スコア及び同業他社のスコアについて、資産エクスポージャ、アウェアネス、防御レイヤ、ポリシー及びプロシージャ、規制及びプライバシー・コンプライアンス、セキュリティ及び業務並びに脅威など、様々なリスクのグラフィカル表現を含む。エリア440は、表形式のエリア430と同様の情報を含む。エリア430及び440中に表示されている情報は、以下で説明するように、図3に示された他の論理によって実行される動作とともにユーザ・インターフェース/ダッシュボード論理310によって生成される。
図4Aを参照すると、Acme Corp.の資産エクスポージャ・スコアは、76パーセントの産業スコアと比較して、42パーセントである。上記で説明したように、0パーセントのスコアは脅威なし/ほとんどなしを示し得、100パーセントのスコアは最も高い脅威レベルを示し得る。脅威、規制及びプライバシー・コンプライアンス、従業員のアウェアネス、防御レイヤ、セキュリティ業務、ポリシー及びプロシージャのスコアは、それぞれ、62、33、24、27、21及び75であり、それぞれ、83、16、50、49、51及び46である同業他社の値(たとえば、平均値)とともに示されている。資産のエクスポージャ対同業他社/平均を示すグラフィカルと表の両方を与えることは、資産エクスポージャなどの様々な分野に関して、企業が不十分であり得るところをセキュリティ人員が速やかに決定することを可能にする。たとえば、図4Aでは、ポリシー及びプロシージャについての企業のスコアは、産業スコアの46よりもかなり高い75である。このことは、企業が、そのカテゴリーについての企業の脅威レベルを低減するためのアクションを起こす必要があることを意味し得る。
ECRPシステム130は、たとえば、同様のタイプの事業を識別することに関連するプロファイリング論理/機構を使用して、複数のソースから同じ/類似のタイプの事業における他社についての資産エクスポージャ情報を取得し得る。たとえば、ECRPシステム130は、特定の企業/システム・オーナーによって実施された数千の監査及び浸入テストからのデータを集約することによって、セキュリティ・インシデント、配置などに関する情報/データを収集し、比較する第三者を介して、他社からの情報を取得し得る。ECRPシステム130はまた、企業におけるECRPシステム130の各配置から他社情報を取得し得る。この場合、ECRPシステム130を使用/配置している企業は、この様態で企業のデータのいずれかが使用されるより前に、ECRPシステム130が同業他社資産リスク及び脅威情報を生成する目的のために、ECRPシステム130との集約された未認識/匿名データの共有の承認を与えることを要求される。
図4Bは、ユーザ・インターフェース/ダッシュボード論理310によって生成された別の例示的なGUIを示す。図4Bを参照すると、GUI450は、投資対エクスポージャ・エリア460と、資産エクスポージャ・エリア462と、セキュリティの状態対他社エリア464と、脅威エリア466と、コンプライアンス・ステータス・エリア468とを含む。年次投資対エクスポージャ・エリア460は、支出を増加させることが、どのようにエクスポージャを低減することができるかをグラフィカルに示す。資産エクスポージャ・エリア462は、顧客のデータ、内部人的資源(HR:human resources)データ、財務データ、実施予定のキャンペーン、生産公式、企業リソース・プランニング(ERP)データセンター及びオフィス365などの様々な資産タイプについてのパーセンテージ・リスク・エクスポージャを示す棒グラフを与える。エリア464は、企業リスク・エクスポージャ及び平均産業リスク・エクスポージャのグラフィカル表現を与える。エリア466は、ランサムウェア、フィッシング、インサイダー脅威、データ漏洩、サービス妨害、ワーム、及びウェブサイト改ざんなどの様々なタイプの脅威、並びにそれらの発生する確率を示す。コンプライアンス・エリア468は、ISO27001、GDPR、SOX(セキュリティ)、PCI−DSS及びNISTなど、様々な規格のパーセント・コンプライアンスを示す。
GUI400及び/又は450を閲覧することによって、企業に関連する担当当事者は、複数の異なるシステムへのアクセスを要求すること及び/又は企業セキュリティの特定の態様を担当する人々を呼び出すことなしに、効率的な方法で、脅威レベル、エクスポージャ・レベルなどを速やかに確認することができる。さらに、システム130によって与えられるGUIはまた、有利には、企業セキュリティを担当する当事者が、必要とされる情報を取得するために異なる当事者に接触するのにかなりの時間を費やす必要なしに、企業セキュリティに対する任意の必要な変更を行うことを可能にする。
セキュリティ・ポリシー及びプロシージャ論理320は、企業のためのセキュリティ業務/プロシージャに関連する論理を含み得る。たとえば、サイバー・リスク管理並びにセキュリティ・ポリシー及びプロシージャ論理320は、特定のユーザ・デバイス110が、会社機密情報/データベースにアクセスすること、外部ネットワークにアクセスすることなどを許可されているかどうかなど、ポリシー情報を記憶し得る。セキュリティ・ポリシー及びプロシージャ論理320はまた、ユーザが、電子メールに添付されたファイルをダウンロードし、実行すること、企業の外部に位置するウェブサイトからダウンロードされたファイルを実行すること、社外の個人からの未承諾の通信を受信することなどを許可されているかどうかなど、企業ネットワーク中のユーザ行動に関するポリシー情報を記憶し得る。セキュリティ・ポリシー及びプロシージャ論理320はまた、企業が遵守する特定の産業セキュリティ規格を識別する情報を記憶し得る。セキュリティ・ポリシー及びプロシージャ論理320は、企業/会社のための企業プロシージャが遵守されているかどうかを決定するために、図3に示された他の論理又はモジュールによって使用され得る。たとえば、サイバー・リスク管理及び戦略プランニング論理330並びに/又は機械学習及びプロファイリング論理380は、当該の情報を表示するためのユーザ・インターフェース論理/ダッシュボード論理310(たとえば、GUI400、GUI450など)によって使用される資産リスク・エクスポージャ及び脅威エクスポージャ措置を生成するために、セキュリティ・ポリシー及びプロシージャ論理320中に記憶された情報を使用し得る。
(本明細書において、サイバー・リスク管理論理330及び/又は戦略プランニング論理330とも呼ばれる)サイバー・リスク管理及び戦略プランニング論理330は、サイバー攻撃を緩和すること、特定のセキュリティ規格に従うことなどを含む、リスクを計算し、セキュリティを管理することに関する企業の戦略を識別するための論理を含み得る。サイバー・リスク管理及び戦略プランニング論理330中に記憶された情報は、企業の戦略的セキュリティ計画が遵守されているかどうかを決定するために、CISO又は他の上級経営陣によって使用され得る。たとえば、サイバー・リスク管理及び戦略プランニング論理330並びに/又は監査及びセキュリティ・コントロール論理340は、企業が最新のアンチウイルス・ソフトウェアをインストールしているかどうか、適正な場所にファイアウォールを設置しているかどうかなどを決定するために、サイバー・リスク管理及び戦略プランニング論理330中に記憶された情報を使用し得る。別の実例として、サイバー・リスク管理及び戦略プランニング論理330は、特定のユーザ・デバイス110又は全体的なネットワーク・セキュリティに対するアップグレードが、セキュリティ・ポリシー及びプロシージャ論理320中に記憶された情報に従って定期的に実行されたかどうかを識別し得る。
例示的な実装形態では、サイバー・リスク管理及び戦略プランニング論理330は、企業が、企業のサイバー作業計画とセキュリティ投資とを所望の重要事業資産のリスク・エクスポージャに整合させること、企業のリスク・エクスポージャを同業他社及び競合者と比較すること、企業全体の脅威レベルを評価すること、継続的なリアルタイムのサイバー・セキュリティ・リスク・ステータスを閲覧すること、行動方針(たとえば、作業計画、緩和措置、予算)を提言し、優先順位を付けること、コンプライアンス・アクティビティ及び規制コントロールを統制すること、インシデント・フォローアップ、アウェアネス・プログラム、セキュリティ・コントロール、ポリシー及びプロシージャを含む日常のCISOのタスク及び職責を管理することなどを可能にするために、機械学習及びプロファイリング論理380とインターフェースし得る。
監査及びセキュリティ・コントロール論理340は、企業のセキュリティ・ポリシーが適切に執行され、検証されているかどうかを識別すること、並びに脆弱度及び資産のエクスポージャを検出するためのセキュリティ調査、監査及び浸入テストを管理することのための論理を含み得る。そのような監査及び調査は、発見及び勧告を報告する目的のためにECRPシステム130に対するアクセスを与えられる第三者によって実施され得る。たとえば、監査及びセキュリティ・コントロール論理340は、サイバー攻撃への企業の対応が、サイバー・リスク管理及び戦略プランニング論理330中に記憶された企業の戦略ポリシーに従って処理されたかどうかを決定し得る。監査及びセキュリティ・コントロール論理340はまた、特定のセキュリティ業務チームが、企業ポリシーに従って及び/又はセキュリティ規格(たとえば、ISO27001、PCI、NIST、GDPRなど)に従って、十分なセキュリティ(たとえば、ファイアウォール、IDSなど)をもたらしたかどうかを示す情報を与え得る。監査及びセキュリティ・コントロール論理340は、ソフトウェア・アップグレード又はパッチが、企業ポリシーに従って周期的に(たとえば、30日ごとに)インストールされたかどうか、従業員セキュリティ・アウェアネス・プログラムが企業ポリシーに従って運営されているかどうかなどをさらに決定し得る。
セキュリティ業務論理350は、企業に関するセキュリティ業務情報を記憶し、企業のセキュリティ業務人員が企業のセキュリティ業務ポリシーを遵守しているかどうかを決定し得る。たとえば、セキュリティ業務論理350は、潜在的に悪意のあるデバイス160及び(たとえば、ユーザ・デバイス110からの)内部のサイバー脅威が、会社秘密/機密情報を取得できないようにするために、適切なセキュリティ業務チーム/人員が様々なセキュリティ・デバイス、ユーザ・デバイス110などに対するアップグレードなどのルーチン・タスクを適切に実行しているかどうかを決定し得る。セキュリティ業務論理350はまた、CISO又は他のネットワーク・セキュリティ人員が各セキュリティ・チームの企業セキュリティ・ポリシーの業務上のコンプライアンスを検討することを可能にするための情報をログ記録し得る。
企業ガバナンス、規制、管理及びコンプライアンス(GRC)、障害回復及び事業継続性プランニング(DR/BCP)、並びに従業員アウェアネス論理360は、企業資産の脅威及びエクスポージャを識別すること、並びに企業人員が単一のプラットフォーム/システムからリスクを管理及び緩和することを可能にすることに関連する論理を含み得る。たとえば、GRC論理360は、企業のリスク・コンプライアンス・ポリシーが遵守されているかどうかを決定するための論理を含み得る。実例として、GRC論理360は、新たに特定されたマルウェアを緩和するために、様々なユーザ・デバイス110にソフトウェア及び/又はハードウェア・アップグレードが定期的にインストールされているかどうかを決定し得る。さらに、DR/BCP論理360は、バックアップ電子メール・サーバが動作可能であり、定期的にテストされているかどうかなど、企業の障害回復及び事業継続性プランニング・ポリシーが設定及び遵守されているかどうかを決定し得る。
知識ベース及び報告論理370は、企業セキュリティを管理することに関する会社の専門知識を記憶する論理を含み得る。知識ベース論理370は、作業計画とレポートとを生成するために機械学習論理及びプロファイリング論理380とインターフェースし得る。たとえば、知識ベース及び報告論理370は、CISO又は他の人員がカスタマイズされたレポートを生成することを可能にすることを含む、様々なレポートを生成し、記憶するための論理を含み得る。たとえば、報告論理370は、(たとえば、毎日、毎週、毎月など)周期的にセキュリティ・データベースに記憶された情報にアクセスし、セキュリティ・レポートを自動的に生成し得る。報告論理370はまた、ユーザ(たとえば、CISO)が企業の特定のセキュリティ・コンプライアンス問題を識別するレポートをカスタマイズすることを可能にし得る。
機械学習論理及びプロファイリング論理380は、入力、ルール(たとえば、セキュリティ・ポリシー及びプロシージャ論理320と、サイバー・リスク管理及び戦略プランニング論理330と、知識ベース及び報告論理370とに記憶されたルール)を分析し、たとえば、企業の資産についての資産リスク・エクスポージャ・レベル及び特定の脅威についての脅威エクスポージャ・レベルを特定するリスク予測情報を生成するためのベイズ統計及び/又はモデルなどの機械学習アルゴリズムを含み得る。機械学習論理及びプロファイリング論理380はまた、以下で詳細に説明するように、資産のリスク・エクスポージャと、脅威エクスポージャと、規制及びプライバシー法コンプライアンスとを計算又は予測し、サイバー脅威を低減するための作業計画を生成するために、図3に示された他の論理からの入力、並びにユーザ・インターフェース/ダッシュボード論理310を介して入力された人間の人員からの入力など、受信された入力に基づいてリスク及び資産エクスポージャ・レベルを緩和することに関連する作業計画を生成し得る。機械学習及びプロファイリング論理380はまた、産業、規模、従業員の数、セキュリティ・エクスポージャなど、共通の属性をもつ企業のプロファイルのクラスタ又はグループを用いて企業をプロファイリングし得る。
通信論理390は、環境100中の他のデバイスに/から情報を送信及び受信するための論理を含み得る。たとえば、通信論理390は、複数のソース(たとえば、図3に示されていないセキュリティ管理チーム/システム)からデータを収集し、適切なセキュリティ人員によるそれの使用を促進する様態でデータを処理し、提示するために、図3に示された論理要素310〜380に情報を与え得る。
通信論理390はまた、企業人員に/からセキュリティ・アラートを送信及び受信し得る。たとえば、通信論理390は、新しいサイバー脅威発生に応答して全てのユーザ・デバイス110/企業人員にセキュリティ・アラートを送信し得る。通信論理390はまた、特定の脅威レベル又は資産エクスポージャ・レベルに応答して企業マネージャにセキュリティ・アラートを送信し得る。
図3はシステム130の例示的な構成要素を示すが、他の実装形態では、システム130は、図3に示されているよりも少ない構成要素、異なる構成要素、異なって配列された構成要素、又は追加の構成要素を含み得る。さらに、図3中の構成要素のうちの1つによって実行されるものとして説明された機能は、システム130の構成要素のうちの別の1つ又は複数によって代替的に実行され得る。
図5は、一実装形態による、システム130によって実行される例示的な処理を示す流れ図である。処理は、1つ又は複数のセキュリティ・ポリシーを生成し、記憶することで開始し得る(ブロック510)。たとえば、セキュリティ人員は、企業内でセキュリティ・ポリシーを検討するためにセキュリティ・ポリシー及びプロシージャ論理320を使用し得る。そのようなセキュリティ・ポリシーは、通信のタイプ、通信に関連するデータの量、アクセス・レベル情報などを定義するテンプレートを与え得る。CISO又は他の担当セキュリティ人員は、企業の資産及びネットワークのための特定のセキュリティ・ポリシー及びプロシージャを生成するために、これらのテンプレートを使用し得る。他の実装形態では、セキュリティ・ポリシー及びプロシージャ論理320は、(図3に示されていない)他のシステム/デバイスから、特定のセキュリティ規格(たとえば、ISO27001、PCI、NIST、GDPR)に関連するポリシー、企業セキュリティ・チームなどによって使用される様々な資産/システムに関連するポリシーなど、セキュリティ・ポリシー及びセキュリティ・コントロールを取得し、セキュリティ・ポリシーを記憶し得る。
処理は、続いてセキュリティ・プロシージャを生成し、記憶することを行い得る(ブロック520)。たとえば、セキュリティ人員は、サイバー・リスク管理及び戦略プランニング論理330並びに/又はルーチン・セキュリティ監査業務がどのように実行されるべきであるかから、サイバー脅威への対応がどのように処理されるべきであるかまでにわたる、企業セキュリティ・プロシージャを記憶するためにサイバー・リスク管理及び戦略プランニング論理330を使用することができる。一実装形態では、ポリシー及びプロシージャ論理320は、企業プロシージャを設定することに関連するGUIを介してCISO又は他のセキュリティ人員によって与えられる情報に基づいて、セキュリティ・プロシージャのためのテンプレートを自動的に生成し得る。他の実装形態では、セキュリティ・ポリシー及びプロシージャ論理320は、(図3に示されていない)他のシステム/デバイスから企業のセキュリティ・ポリシーに関連するセキュリティ・プロシージャを取得し、セキュリティ・プロシージャを記憶し得る。
システム130は様々な脅威を識別し得る(ブロック530)。たとえば、企業に直面する数百の潜在的なサイバー脅威があり得る。例示的な実装形態では、企業に関連する人員は、一定数の最も危険な及び/又は起こりやすい脅威を特定し得る。たとえば、セキュリティ人員は、10から20までのいずれかで最も危険な及び/又は起こりやすい脅威を特定し得る。各脅威シナリオは、次いで、企業資産の機密性、完全性及び可用性に対するそれの「悪」影響に関する0〜100(又は1〜5)のスケールで測定され得、0のスコアは全く/ほとんど影響なしに対応し、100のスコアは最大の影響に対応する。実例として、ランサムウェア攻撃は、成功した場合、企業自体の資産への企業のアクセスをブロックし得るので、ランサムウェア攻撃は、機密性に関して0のスコアを、完全性に関して0のスコアを、可用性に関して100のスコアを有し得る。
さらに、脅威が発生するためには、脅威は、一般に、幾つかのステップ(たとえば、S1〜Sn、ここでnはステップの数を表す)を踏んで発生する。一般に、脅威の悪影響は、完全な影響を生じるある点に到達するまで脅威の進行を通じて高められる。影響が完全になると、システム130は損害を決定し、回復措置を特定する。たとえば、一実装形態では、攻撃の各ステップS1〜Snについて、システム130は、幾つかの防止アクティビティP(S1)…P(S1)、P(S2)…P(S2)…、P(Sn)…P(Sn)を特定し、ここでx、y及びzは、各それぞれのステップについての防止アクティビティの数を表し、並びにx、y及びzは、特定の防止ステップに応じて、同じ数又は異なる数であることができる。各防止アクティビティは、攻撃の対応するステップに影響を与え、及び/又はそれの発生を防ぎ得る。そのような事例では、防止アクティビティは機密性、完全性及び/又は可用性スコアを低下させる。
さらに、P(S1)からP(S1)までの各防止アクティビティについて、システム130は、防止アクティビティのそれらの値/影響を決定するために使用されるコントロールに関連する、質問に対する応答又は測定を与える、質問又はチェック/コントロールQ(C1)…Q(Cn)のリストを記憶し得る。
例示的な実装形態では、システム130は、各資産を、以下のタイプ、すなわち、データ、インフラストラクチャ又はアプリケーションのうちの1つとして定義する。システム130はまた、各資産に、機密性、完全性及び可用性に関する「重大度」のレベルを割り当て得る。たとえば、システム130は、人的資源(HR)データに、機密性について高いレベルの重大度(たとえば、1〜5のスケールで5)を、可用性に関して重大でないレベル(たとえば、1〜5のスケールで1)を、完全性に関して大いに重要なレベルの重大度(たとえば、1〜5のスケールで4)を割り当て得る。
サイバー・リスク管理及び戦略プランニング論理330は、このようにして選択された脅威(たとえば、10〜20の特定された脅威)の各々を処理し、各脅威についてスコアを生成し得る(ブロック530)。サイバー・リスク管理及び戦略プランニング論理330はまた、企業によって実施された防止アクティビティに基づいて、機密性、完全性及び可用性についてのスコアを低減し得る。たとえば、電子メール攻撃についての初期脅威スコアは、(そのような脅威が発生する可能性が非常に高いことを示す)95のスコアを与えられ得る。企業が、電子メールを介して受信されたファイルをダウンロードし、実行することを禁止する、厳格な電子メール・ポリシーを採用した場合、サイバー・リスク管理及び戦略プランニング論理330は、スコアを、たとえば、35に低減し得る。
実例として、ある脅威又は攻撃シナリオは、それの中で悪意のある者が会社機密情報を取得することを試みる電子メール攻撃であり得る。この実例では、サイバー・リスク管理及び戦略プランニング論理330は、図6Aに示されているように、電子メール攻撃に関連するステップを特定し得る。図6Aを参照すると、表600、列610において8つのステップが特定されている。サイバー・リスク管理及び戦略プランニング論理330は、様々な実装形態におけるサブステップを含む、より多い又はより少ないステップを特定し得ることを理解されたい。ステップ1(S1)は、添付ファイルをもつ電子メールを受信するユーザ・デバイス110のうちの1つを含み得、ステップ2は、ビジュアル・ベーシック(VB:visual basic)スクリプトを実行するユーザ・デバイス110を含み得る。ステップ3は、Mimikatzなどの悪意のあるプログラムをダウンロードし、実行するユーザ・デバイス110を含み得る。ステップ4では、悪意のあるプログラム(たとえば、この例ではMimikatz)がローカル管理者パスワードを収集する。ステップ5は、Mimikatzが、ローカル管理者パスワードをもつウィンドウズ(登録商標)・マネジメント・インフラストラクチャ(WMI:Windows(登録商標) Management Infrastructure)を用いて企業のネットワークを走査し、アクセス可能なデバイス(たとえば、ユーザ・デバイス110のうちの1つ)上でMimikatzを実行することを含む。ステップ6では、Mimikatzがドメイン管理者認証情報を取得し、ステップ7は、ドメイン・ネーム・サーバ(DNS:domain name server)トンネリングによるコマンド・アンド・コントロール(C&C:command and control)サーバを介したデータの漏洩を含む。ステップ8は、ローカル・サーバ上に高度持続的脅威(APT:advanced persistent threat)ウェブシェルを作成することを含む。図6Aを参照すると、ステップの各々は、列620に示された対応するエクスポージャ・レベルを含み得る。システム130は、各ステップが発生する可能性に基づいてエクスポージャ・レベルを生成し得る。たとえば、企業は外部エンティティ/クライアントとインターフェースし得、したがって、図6Aに示されているように、ステップ1の可能性は100%になり得る。したがって、電子メール攻撃シナリオ中の各ステップの可能性は特定の企業に基づく。
サイバー・リスク管理及び戦略プランニング論理330はまた、図6Bに示されているように、電子メール攻撃に関連する緩和関係問題を特定し得る(ブロック540)。図6Bを参照すると、サイバー・リスク管理及び戦略プランニング論理330は、表640、列642中に緩和関係問題を記憶し得る。たとえば、ステップ1に関して、列642はセキュリティ・アウェアネスを示す。セキュリティ・アウェアネスは、企業がセキュリティ・アウェアネス行動又は措置を定期的に議論し、及び/又は促進しているかどうかを指し得る。S2に関して、列642は、実行/マクロ・ファイルをブロックするためのウェブの厳格な電子メール・ポリシーを示す。S3に関して、列642は、実行ファイルのダウンロードをブロックするためのウェブ・ポリシーを示す。S4に関して、列642は、パワーシェルの実行を拒否するための厳格なエンドポイント・ハードニングを示す。S5に関して、列642は、ラテラル・ムーブメントをブロックするように構成された内部ファイアウォール(FW)及び/又はホスト侵入防止システム(HIPS:host intrusion prevention system)を有することを示す。S6に関して、列642は、厳格にセキュリティ保護されたジャンプ・サーバ上でのみドメイン管理者認証情報の使用を可能にすることを示す。S7に関して、列642は、境界FWに、アプリケーション・レベルでDNSトラフィックをチェックさせ、実DNSトラフィックのみを許可させることを示す。S8に関して、列642は、インターネット・アクセスをもつサーバ上でファイル整合性監視を実施することを示す。これらの緩和関係アクションは、電子メール攻撃についての脅威エクスポージャ・レベルを低減するために企業によって検討及び/又は実行され得る。たとえば、実行/マクロ・ファイルをブロックするための電子メール・ポリシーを実施することは、電子メール攻撃の脅威レベルをかなりの量だけ(たとえば、95パーセントから10パーセントにまで)低減し得る。
サイバー・リスク管理及び戦略プランニング論理330はまた、各脅威について緩和のレベルを決定する、攻撃に関連する質問を記憶し得る(ブロック540)。たとえば、図6Cを参照すると、サイバー・リスク管理及び戦略プランニング論理330は、列652及び654を含む表650を記憶し得る。図6Cを参照すると、列652は、企業が継続的なアウェアネス・プログラムを有するかどうかと、企業がマクロ/実行ファイルを承諾するための電子メール・ポリシーを有するかどうかと、企業が全ての実行可能なダウンロードをブロックするかどうかとを問う質問を記憶し得る。列652はまた、ユーザがパワーシェルを実行することができるかどうかと、企業がHIPSを有するかどうかと、ITチームが、ユーザが彼らのデスクトップ・コンピュータ/ワークステーションにログインするときには使用されない、専用ドメイン管理者アカウントを有するかどうかと、境界FWが、プロキシがある場合でも、全てのトラフィックが通過することを可能にするように構成されているかどうかと、安全な情報及びイベント管理/安全なオペレーション・センター(SIEM/SOC:secure information and event management/secure operations center)が実装されているかどうかとの質問を記憶し得る。
列654は、企業が周期的に(たとえば、四半期に1度)フィッシング・シミュレーションを実行しているかどうか、企業が電子メール・サンドボックス・ソリューションを有するか、企業が共有ウェブ・ストレージへのアクセスをブロックするか、サーバ・メッセージ・ブロック(SMB:server message block)サイニングが無効にされているか、及び企業がユーザからのWMIアクセスを拒否するように構成された内部FWを有するかなど、追加の質問を記憶し得る。列654は、ITチームが、インフラストラクチャを管理するためにセキュリティ保護されたジャンプ・サーバを使用しているか、境界FWがアプリケーション・レベルでDNSトラフィックをチェックするように構成されているか、及び企業が異常検出システムを有するかなどの質問をさらに含み得る。
サイバー・リスク管理及び戦略プランニング論理330は、質問への回答と電子メール攻撃のステップとに基づいて、技術評価、セキュリティ監査、浸入テスト及び他の類似のプロシージャを生成し得る。代替的に、サイバー・リスク管理及び戦略プランニング論理330は、質問への特定の回答には関係しないが、図6B、列642中で言及される緩和のレベルを検出する必要に基づく技術評価を生成し得る。図6Dを参照すると、サイバー・リスク管理及び戦略プランニング論理330は、電子メール攻撃のステップに関連する情報を記憶する列672を含む表670を記憶し得る。ステップ1(S1)について、フィッシング監査が必要とされ得、S2について、プラットフォームは、添付ファイルをもつ幾つかの異なるタイプの電子メールを送り、何が受信されたかを決定する必要があり得る。S3について、プラットフォームは、複数のタイプのファイルをダウンロードする/悪意のあるサイトにアクセスすることを試みる必要があり得る。S4について、プラットフォームは、パワーシェル・ファイルを実行することを試み、次いで、ウェブからファイル・タイプをダウンロードすることを試みる必要があり得る。S5について、プラットフォームは、ローカル管理者認証情報を要求し、次いで、ネットワーク上でラテラル・ムーブメントを模倣する必要があり得る。S7について、プラットフォームは、DNSトンネリングを用いてネットワークから接続を実行することを試みる必要があり得る。この例では、ステップ6及び8は特定の技術評価情報を含まないことがある。このようにして、システム130は、企業がそのような攻撃を実際にどのように処理するかを決定するために、可能なアクション/応答として、攻撃の様々なステップに関連する技術評価を生成し得る。
システム130は、セキュリティ責任者、マネージャなどの企業に関連する人員に、表650(図6C)中に示された質問を与え、たとえば、ユーザ・インターフェース/ダッシュボード論理310を介してシステム130に回答を入力し得る(ブロック550)。サイバー・リスク管理及び戦略プランニング論理330は、次いで、HR資産、知的財産資産、専有情報、組織情報、契約情報、財務データ、顧客データなど、資産の各々について資産リスク・エクスポージャ・スコアを生成し得る(ブロック550)。サイバー・リスク管理及び戦略プランニング論理330はまた、企業アクティビティと、緩和関係アクティビティに関連する回答とに基づいて、特定された脅威の各々について脅威エクスポージャ・スコアを生成し得る(ブロック550)。たとえば、上記で説明したように、サイバー・リスク管理及び戦略プランニング論理330が、表650中に記憶された質問への回答が、企業が実行ファイルをブロックするための電子メール・ポリシーを執行していることを示すと決定した場合、サイバー・リスク管理及び戦略プランニング論理330は、電子メール攻撃についての脅威スコアを著しく低減し得る。サイバー・リスク管理及び戦略プランニング論理330並びに/又は機械学習及びプロファイリング論理380は、各脅威についての最終的な脅威スコアを生成するために、特定された脅威の各々について同様の計算を実行し得る。
システム130はまた、記憶されたセキュリティ・ポリシー及びプロシージャに従って、セキュリティ・コンプライアンスについて企業を自動的に監視し得る(ブロック560)。たとえば、監査及びセキュリティ・コントロール論理340及びセキュリティ業務論理350は、適切なセキュリティ・チームが企業ポリシー及びプロシージャに従って彼らのタスクを実行しているかどうかを決定するために、記憶されたセキュリティ・ポリシー/プロシージャに基づいてリアルタイムで企業のセキュリティを監視し得る。実例として、企業ポリシーは、企業についてのセキュリティの潜在的ギャップを特定するために、外部の会社が6ヶ月ごとにセキュリティ調査を実行すべきことを示し得る。この場合、適切なセキュリティ・チームは、外部の会社によって特定された問題を検討し、深刻度に従って問題に優先度を付け、特定された問題を修正するための勧告を与えることになる。CISO又は他のセキュリティ・マネージャは、次いで、セキュリティ問題/ギャップを修正及び/又は緩和するために、適切なセキュリティ業務チームにタスクを割り当て得る。監査及びセキュリティ・コントロール論理340は、外部の会社が適切な周期内で(たとえば、6ヶ月ごとに)セキュリティ評価調査を実行したかどうか、セキュリティ業務チームに割り当てられた緩和タスクが実行されたかどうか、及び/又はタスクが定時に与えられた予算内で実行されたかどうかを決定し得る。特定の業務/プロシージャが、企業ポリシー/プロシージャに従って実行されていない状況では、ユーザ・インターフェース/ダッシュボード論理310は、電子メールを介してCISOにシグナリングする、テキスト・アラート、スクリーン・ポップを介してなど、適切なアラートを与え得る。
別の実例として、企業ポリシーは、いかなるユーザ(たとえば、ユーザ・デバイス110)も(たとえば、セキュリティ保護されていないネットワークを介して)リモートでネットワーク140に接続することができないことを示し得る。この場合、適切なセキュリティ・チームは、いかなるユーザも、リモート・アクセスを可能にするソフトウェアをインストールすることができないようにファイアウォールを構成すべきである。監査及びセキュリティ・コントロール論理340は、適切なセキュリティ・チームがリモート・アクセス禁止を明示するポリシーを遵守しており、コンプライアンスを確保するために、企業のための全てのデバイスがチェックされたことを適切に文書化したことを検証し得る。
システム130はまた、セキュリティ人員が単一のロケーション又は複数のロケーションからネットワーク・セキュリティ・コンプライアンスを閲覧し、全体的な企業セキュリティを管理すること及び/又は問題を特定することを可能にし得る。図7は、一実装形態による、システム130によって実行される例示的な処理を示す流れ図である。CISOがシステム130とインターフェースしており、企業についての全体的なリスクを閲覧する、監査が周期的に行われているかどうか、ネットワーク140中に十分なセキュリティ・デバイスが配置されているかどうか、従業員セキュリティ・アウェアネス・プログラムが運営されているかどうかなどを決定するなど、企業におけるリスクが企業ポリシーに従って管理されているかどうかを決定することを望んでいると仮定する。この場合、CISOは、ユーザ・インターフェース/ダッシュボード論理310にアクセスし、企業セキュリティに関連するダッシュボード又はインターフェース・スクリーンを閲覧し得る(ブロック710)。
図8は、ユーザ・インターフェース/ダッシュボード論理310によって出力された例示的なGUI/ダッシュボード800を示す。図8を参照すると、GUI800は、エリア810において幾つかの選択可能なアイコン/インターフェース要素を含み、ホーム・アイコン/要素と、セキュリティ業務アイコン/要素と、資産アイコン/要素と、GRCアイコン/要素と、監査アイコン/要素と、アウェアネス・アイコン/要素と、DR/BCPアイコン/要素とを含む。CISOは、特定の項目に関する追加の情報を取得するために、エリア810におけるこれらのアイコン/要素のいずれかを選択し得る。たとえば、GUI800は、GRC要素の選択に関連するエリア820におけるグラフを含む。この場合、グラフ820は、一般的な産業脅威ステータスと比較した、時間期間(すなわち、この例では1ヶ月)にわたる企業脅威ステータスの比較を与える。このようにして、CISO、事業主又はCレベル・エグゼクティブは、ベンチマーク/一般的な産業脅威レベルと比較した、企業における脅威ステータスの簡略な概観を取得することが可能であり得る。
GUI800は、会社の上位資産のエクスポージャ、重要プロセスのエクスポージャ、及び上位の脅威など、特定のタイプのエクスポージャを示すエリア830をさらに含み得る。例示的な実装形態では、エクスポージャはパーセンテージとしてGRC論理360によって生成され得、100%が全面的なエクスポージャ(たとえば、保護なし)であり、0%がエクスポージャなしである。たとえば、エリア830は、上位資産が41%のエクスポージャを有し、重要プロセスが61%のエクスポージャを有し、上位の脅威が32%のエクスポージャを有することを示している。CISOは、上位資産エクスポージャに関する追加の情報を得るためにエリア832中のドロップダウン・メニューをクリックし得る。
GUI800は、以下でより詳細に説明するように、当事者がスライダー842を移動/ドラッグすることによって特定の資産のエクスポージャを変更することの影響を判断することを可能にする、エリア840におけるエクスポージャ・スライダーをも含み得る。
ユーザが追加の情報を得るためにエリア832において選択を与えると仮定する。この場合、ユーザ・インターフェース/ダッシュボード論理310は追加の情報を与える。たとえば、図9は、人的資源資産が50%、知的財産(IP:intellectual property)が70%、契約が35%、財務データが20%、顧客のデータベースが30%など、上位資産についてのエクスポージャを示すGUI900を示している。幾つかの実装形態では、CISOは、特定の資産/資産クラス及び対応するエクスポージャに関するさらなる情報を得るために、GUI800中に示された特定の資産のいずれかを選択し得る。
図7に戻ると、処理は、続いてCISOがセキュリティ・ステータスと、タスクと、潜在的アクションとを検討することを行い得る(ブロック720)。たとえば、セキュリティ業務論理350は、特定の企業資産(たとえば、給与情報を含む従業員個人情報などの会社機密情報を記憶するデータベース)に対する適切なネットワーク・セグメント化が企業ポリシーに従って実行されていないことを決定し得る。この場合、CISOは、是正を必要とする及び/又は追加の注意を要する企業セキュリティ問題を速やかに閲覧することが可能であり得る。
CISOが上位10資産についてのエクスポージャの変更をシミュレートすることを望んでいると仮定する(ブロック730)。この場合、CISOは、スライダー842を選択し、エクスポージャ・レベルの低減をシミュレートするためにはスライダーを左側に向かって、又はエクスポージャ・レベルの増加をシミュレートするためには右側に向かって移動し得る。この実例では、CISOが上位10資産のエクスポージャ・レベルの41%から15%への低減をシミュレートすることを望んでいると仮定する。サイバー・リスク管理及び戦略プランニング論理330は、入力を受け、エクスポージャ・レベルを15%のレベルに低減するためにどのステップが関わるかを示す作業計画を生成するために、機械学習及びプロファイリング論理380とインターフェースし得る(ブロック740)。作業計画は、新しい機器(たとえば、ファイアウォール、侵入検知システムなど)を配置しなければならないこと、並びに計画を実施するための時間及びコストのリソースを示し得る。ユーザ・インターフェース論理310は、次いで、別のGUIを介して作業計画を出力し得る(ブロック740)。このようにして、CISOは、作業計画を生成するためにかなりのリソースを費やす必要なしに、脅威エクスポージャ・レベルに対する変更が実現可能であるかどうかを確認することが可能であり得る。
ECRPシステム130はまた、ECRPシステム130又は他のデバイスを介して閲覧するためのレポートを自動的に生成し、出力し得る(ブロック750)。たとえば、知識ベース及び報告論理370は、ユーザ・インターフェース/ダッシュボード論理310を介した出力のために周期的にレポートを生成し得る。報告論理370はまた、通信論理390を介して適切な当事者にレポートを送信し得る。CISOは、ダッシュボード800を介してレポートを閲覧し、カスタマイズされたレポートを作成するためのオプションをも有し得る。さらに、ECRPシステム130は、CISOが企業セキュリティの部分的又は包括的なエンドツーエンド・ビューを得ることを可能にし、それによって、企業セキュリティ・コンプライアンス及び是正を必要とする問題の1日当たり24時間監視を実現する、様々なセキュリティ管理及び/又は監査関係機能を自動的に(たとえば、人的介入なしに)実行するように構成され得る。このようにして、CISOは、ダッシュボード800を介して特定の企業セキュリティ問題のステータスを検討することが可能であり得る。すなわち、CISOは単一のプラットフォーム(たとえば、システム130)から当該の情報を閲覧し得る。有利には、このことは企業セキュリティを管理することに関連する単一のプラットフォーム又は記録のシステムをCISOに与える。
幾つかの実装形態では、ユーザ・インターフェース論理310は、ポリシーを変更すること、ファイアウォールを追加することなど、実行され得る特定のアクティビティをユーザが識別することを可能にし得る。サイバー・リスク管理及び戦略プランニング論理330は、次いで、実行されているアクティビティに基づいて資産のエクスポージャにおける予測される変化を計算し得る。このようにして、CISOは、企業内で企図され得る特定のアクティビティを識別し、アクティビティが実際に実行された場合に、資産リスク・レベル低減を決定し得る。
さらに、CISOは、セキュリティ・ポリシー及びプロシージャを遵守していない企業内の特定の分野又は部門を特定することが可能であり得る。幾つかの実装形態では、システム130は、そのような条件が検出されたときに、適切な人員への通信を自動的に生成し、送信し得る。
またさらに、幾つかの実装形態では、ユーザ・インターフェース論理310は、人員が特定のユーザに表示されるべきインターフェース/GUIをカスタマイズすることを可能にし得る。たとえば、HRデータに関連する当事者は、HRデータについての資産エクスポージャ・パーセンテージと、産業平均エクスポージャ・パーセンテージと、エクスポージャ・パーセンテージを低減することに関連する作業計画とを表示するように、HR資産エクスポージャに関連するGUIをカスタマイズすることが可能であり得る。このようにして、ユーザ・インターフェース論理310は、ユーザが、その特定のユーザのためにどのデータが表示されるべきであるかを(たとえば、ドロップダウン・メニューを介して)選択することを可能にする。
上記で説明したように、ECRPシステム130は、企業に関連する人員がネットワーク130を介したECRPシステム・エージェント132を介してECRPシステム130にアクセスすることを可能にし得る。他の実装形態では、ECRPシステム130は企業においてローカルにインストールされ得、その場合、企業人員はECRPシステム130にローカルにアクセスし得る。
また上記で説明したように、ECRPシステム130は、企業人員が資産エクスポージャ及びリスク情報を取得することを可能にするための幾つかのGUIを含み得る。図10〜図12は、エクスポージャ及び脅威レベル情報を生成し、表示することを支援するためのユーザ・インターフェース/ダッシュボード論理310を介して与えられ得る例示的なGUIを示す。図10を参照すると、GUI1000は、質問エリア1010と、サイバー・エクスポージャ・エリア1020とを含む。質問エリア1010は、「あなたはどのくらい頻繁にフィッシング・テスト/キャンペーンを実施しているか」、「あなたはサイバー・インシデントに遭遇したか」など、企業人員に与えられる幾つかの質問を含む。サイバー・エクスポージャ・エリア1020は、資産エクスポージャと、アウェアネスと、防御レイヤと、ポリシー及びプロシージャと、規制コンプライアンスと、セキュリティ・コンプライアンスと、脅威とのグラフィカル表現を含む。サイバー・エクスポージャ・エリア1020はまた、表形式の情報を含む。この実例では、ECRPシステム130によって生成された、それぞれ、50、22及び45の緩和コンプライアンス・スコア、セキュリティ業務スコア及び脅威スコアが表示されている。
図11は、たとえば、ユーザがGUI1000中の「次に」ボタンを選択したことに応答して、ユーザ・インターフェース/ダッシュボード論理310によって与えられる別のGUIを示す。図11を参照すると、GUI1100は、質問エリア1110と、サイバー・エクスポージャ・エリア1120とを含み得る。質問エリア1110は、「会社に幾つのサーバがあるか」、「あなたはネットワーク・セグメント化を有するか」など、追加の質問を含む。質問エリア1110はまた、ファイアウォール、NAC、コンテンツ・フィルタリング、SIEM/SOCなど、企業によってインストールされたセキュリティ・デバイスのタイプに関する質問を含む。サイバー・エクスポージャ・エリア1120は、GUI1000のエリア1020中に表示される項目と同様のグラフィカル表現及び表形式を含む。この例では、システム130によって生成された62の資産エクスポージャ・スコアが表示されている。
図12は、たとえば、ユーザがGUI1100上の「次に」ボタンを選択したことに応答して、ユーザ・インターフェース/ダッシュボード論理310によって与えられる別のGUIを示す。図12を参照すると、GUI1200は、産業エクスポージャ・エリア1210と、企業エクスポージャ・エリア1220とを含む。産業エクスポージャ・エリア1210は、産業/他社会社平均を表示し、企業サイバー・エクスポージャ・エリア1220は、資産、アウェアネス、防御レイヤ、ポリシー及びプロシージャ、規制コンプライアンス、セキュリティ業務及び脅威についての企業のエクスポージャ及びリスク・スコアを、全体的な総スコアとともに表示する。このようにして、担当セキュリティ人員は、GUI1200を閲覧し、たとえば、個別スコア及び/又は他社スコアとの比較に基づいて、即時の注意を必要とし得る分野を速やかに識別し得る。さらに、産業エクスポージャ・エリア1210を企業エクスポージャ・エリア1220と比較することによって、企業人員(たとえば、Cレベル・エグゼクティブ)は、企業人員のパフォーマンス及び/又は有効性を測定することが可能であり得る。たとえば、エリア1210における産業/他社スコアがエリア1220における企業のスコアを上回っている場合、このことは、企業人員が十分にパフォーマンスを上げていないことを示し得る。
また上記で説明したように、ECRPシステム130は様々なシミュレーションを実行し得る。図13は、ユーザ・インターフェース/ダッシュボード論理310によって与えられる例示的なGUIを示す。図13を参照すると、GUI1300は、シミュレーション・エリア1310と、サイバー・エクスポージャ・エリア1320とを含む。シミュレーション・エリア1310は、電子メール攻撃と、ウェブ攻撃と、データ漏洩と、アウェアネスと、資産セグメント化とについての選択入力を含む。これらの入力のいずれかを選択することによって、企業人員は対応するシミュレーションを実行し得る。応答して、ECRPシステム130は、シミュレーションを実行し、別のGUIを介して結果を表示する。サイバー・エクスポージャ・エリア1320は、上位10資産と、作業計画ステータスと、脅威と、規制と、企業対他社ステータスと、予算使用とについてのエクスポージャを含む。
上記で説明したように、幾つかの実装形態では、ECRPシステム130は、新しいセキュリティ機器(たとえば、ファイアウォール、IDS、IPSなど)を配置する、ネットワーク・セキュリティ機器などを再配置する、新しいプロシージャ及び/又はポリシーなどを自動的に開始するなど、脅威を緩和するための措置を自動的に開始し得る。さらに、幾つかの実装形態では、ECRPシステム130は、資産エクスポージャ情報が潜在的な問題を特定したときに、自動的に措置を開始し得る。たとえば、しきい値レベルを上回る特定の資産のエクスポージャ・レベルを特定したことに応答して、ECRPシステム130はまた、資産エクスポージャを緩和するために、新しいセキュリティ機器(たとえば、ファイアウォール、IDS、IPS)を配置すること、適切な人員にアラート/通信を送ること、エクスポージャがしきい値レベルを上回っている特定の企業資産を隔離すること又はそれへのアクセスをブロックすることなどを自動的に行い得る。このようにして、ECRPシステム130は、企業が特定の問題を潜在的に特定することが可能になるまで、自動的に措置を取り得る。
さらに、本明細書で説明する実装形態は、小会社から大法人までを含み得る企業からの入力を受信することに言及する。さらに、幾つかの実装形態では、ECRPシステム130は、機械学習及びプロファイリング論理380を使用する各企業のためのプロファイリング機構/論理を含む。ECRPシステム130は、共通の基準/特性と類似のサイバー・リスク・エクスポージャとをもつクラスタに企業をプロファイリングする。たとえば、ECRPシステム130にアクセスする新しい企業に関連する「オンボーディング」プロセスの一部として、ECRPシステム130は、たとえば、産業/業種、規模、地理的位置、事務所の数、IT人員の数、セキュリティ予算、競合者などに基づいて、企業に幾つかの質問を与え、企業についてのプロファイルを作成する。このようにして、ECRP130は、企業の他社を識別するためにプロファイルを使用する。
結論
本明細書で説明する実装形態は、企業資産、コンプライアンス、予算、専門知識などを管理し、企業資産についてのリスク・エクスポージャと、特定のサイバー脅威についてのリスク・エクスポージャとを定量化するための企業サイバー・セキュリティ・リスク管理及びセキュリティ業務管理を与える、記録のシステム(SOR:system of records)を含む。このようにして、セキュリティ人員、事業主、CISO、Cレベル・エグゼクティブなどは、スマートなサイバー意思決定、企業セキュリティのリアルタイム監視及び分析、より詳細には、企業の規制、プライバシー法、ポリシー、プロシージャ及びリスク管理目標の企業のコンプライアンスを管理することを可能にする、包括的でフレキシブルなデータ駆動型のプラットフォームを与えられる。この技術実装型ソリューションは、企業が単一のプラットフォームの下にセキュリティ管理を統合し、それによって、より効果的に攻撃を妨害することを可能にし得る。
例示的な実装形態の上記の説明は例及び説明を与えるが、網羅的であること又は実施例を開示されている厳密な形態に限定することを意図するものではない。変更及び変形は、上記説明に照らして可能であり、又は実施例の実施から得られ得る。
たとえば、図3に関して説明した実装形態では、ECRPシステム130は、「クラウド内に」位置しており、SaaSモデルを介して利用可能であるものとして説明された。他の実装形態では、ECRPシステム130は企業の構内に与えられ/位置し得る。どちらの場合にも、CISOなどのセキュリティ・マネージャ、及びセキュリティ業務チームは、所望のサイバー・セキュリティ情報を取得するために(たとえば、リモートで又は直接)ECRPシステム130にアクセスし得る。
さらに、CISOなどのネットワーク人員がECRPシステム130と対話することを可能にする特徴について上記で説明した。ECRPシステム130にアクセスする権限を有するユーザ又は当事者は、当該の情報を取得するためにECRPシステム130と対話し得ることを理解されたい。幾つかの実装形態では、各ユーザによって取得される情報のレベルは企業内又は企業外の自身の地位に基づき得る。たとえば、セキュリティ・マネージャは自身の部門に関する情報を取得することが可能であり得、一方、Cレベル・エグゼクティブは企業の全ての部署に関する情報を取得することが可能であり得る。
またさらに、本明細書で説明する実装形態は、サイバー・セキュリティと、リスク管理と、リソース・プランニングとを管理するための単一のプラットフォーム/ロケーションを与えるECRPシステム130に言及する。幾つかの実装形態では、ECRPシステム130は、複数のECRPシステム・エージェントを介してアクセスされる複数のECRPシステム130を介して複数のロケーションにわたって広がる様々な当事者にそのような機能を与え得る。
さらに、特定のユーザ・インターフェース、レポート、論理などに関する特徴について上記で説明した。他の実装形態では、異なるユーザ・インターフェース、レポート、論理などが、特定の企業要件に基づいて与えられ得る。
さらに、図5及び図7に関して一連の行為について説明したが、他の実装形態では行為の順序が異なり得、他の行為も可能であり得る。その上、非従属的な行為は並行して実施され得る。
上記で説明した様々な特徴は、図中に示された実装形態において、ソフトウェア、ファームウェア、及びハードウェアの多くの異なる形態で実施され得ることが明らかになろう。様々な特徴を実施するために使用される実際のソフトウェア・コード又は専用制御ハードウェアは限定的なものではない。したがって、特徴の動作及び挙動は、特定のソフトウェア・コードと無関係に説明されたものであり、当業者は、本明細書での説明に基づく様々な特徴を実施するためにソフトウェアと制御ハードウェアとを設計することが可能であろうことを理解されたい。
さらに、本発明の幾つかの部分は、1つ又は複数の機能を実行する「論理」として実装され得る。この論理は、1つ又は複数のプロセッサ、マイクロプロセッサ、特定用途向け集積回路、フィールド・プログラマブル・ゲート・アレイ若しくは他の処理論理などのハードウェア、ソフトウェア、又はハードウェアとソフトウェアの組合せを含み得る。
例示的な実装形態の上記の説明は、例及び説明を与えるが、網羅的であること又は本発明を開示されている厳密な形態に限定することを意図するものではない。変更及び変形は、上記の教示に照らして可能であり、又は本発明の実施から得られ得る。
本出願の説明中で使用されたいかなる要素、行為、又は命令も、そのように明示的に説明されていない限り、本発明に不可欠又は必須であるとして解釈されるべきではない。また、本明細書で使用する際、冠詞「a」は、1つ又は複数の項目を含むことが意図されている。さらに、フレーズ「に基づいて」は、別段に明記されていない限り、「に少なくとも部分的に基づいて」を意味することが意図されている。

Claims (20)

  1. 企業に関連するネットワーク関係セキュリティ・ポリシー及びプロシージャを記憶するように構成されたメモリと、
    ディスプレイと、
    少なくとも1つのデバイスと
    を備えるシステムであって、前記少なくとも1つのデバイスが、
    前記メモリ中に記憶された前記セキュリティ・ポリシー及びプロシージャに従って、複数の前記企業のネットワーク化デバイスに関連する企業アクティビティを監視し、
    前記企業アクティビティに基づいて、前記企業が前記メモリ中に記憶された前記セキュリティ・ポリシー及びプロシージャを遵守しているかどうかを決定し、
    前記企業アクティビティと、前記企業が前記セキュリティ・ポリシー及びプロシージャを遵守しているかどうかとに基づいて、前記企業の少なくとも1つの資産についてリスク・エクスポージャ・メトリックを計算し、
    前記少なくとも1つの資産に関連する前記リスク・エクスポージャ・メトリックを識別する情報を与えるグラフィカル・ユーザ・インターフェース(GUI:graphical user interface)を、前記ディスプレイに出力し、
    前記複数の前記企業のネットワーク化デバイスのうちの少なくとも1つに対する変更を開始すること、又は前記複数の前記企業のネットワーク化デバイスのうちの少なくとも1つに対する変更を行うプランの生成を開始することのうちの少なくとも1つを行うための入力を、前記GUIを介して受信する
    ように構成された、システム。
  2. 前記少なくとも1つのデバイスが、
    前記企業アクティビティに基づいて、少なくとも1つのセキュリティ脅威に関連する脅威確率を計算し、
    前記ディスプレイを介して、前記脅威確率を出力する
    ようにさらに構成された、請求項1に記載のシステム。
  3. 前記少なくとも1つのセキュリティ脅威が複数のセキュリティ脅威を含み、前記少なくとも1つのデバイスが、
    前記複数のセキュリティ脅威の各々についての脅威確率を生成し、
    前記ディスプレイを介して、前記複数のセキュリティ脅威の各々についての前記脅威確率を出力する
    ようにさらに構成された、請求項2に記載のシステム。
  4. 前記少なくとも1つのセキュリティ脅威に関連する前記脅威確率を計算するときに、前記少なくとも1つのデバイスが、
    前記少なくとも1つのセキュリティ脅威にスコアを適用し、
    前記少なくとも1つのセキュリティ脅威に対して、前記企業によって実行された緩和関係行為を識別し、
    前記識別された緩和関係行為に基づいて、前記少なくとも1つのセキュリティ脅威についての前記スコアを低減する
    ように構成された、請求項2に記載のシステム。
  5. 前記少なくとも1つのデバイスが、
    他の企業のうちの少なくとも1つについての、又は前記企業に関連する産業についての第2のリスク・エクスポージャ・メトリックを取得し、
    前記GUIを介して、前記企業についての前記リスク・エクスポージャ・メトリックと前記第2のリスク・エクスポージャ・メトリックとの比較を出力する
    ように構成された、請求項1に記載のシステム。
  6. 前記少なくとも1つの資産が複数の資産を備え、前記少なくとも1つのデバイスが、
    前記GUIを介して、前記複数の資産の各々についての前記リスク・エクスポージャ・メトリックを出力する
    ように構成されたプロセッサを備える、請求項1に記載のシステム。
  7. 前記少なくとも1つのデバイスが、
    前記GUIを介して、ユーザが前記少なくとも1つの資産についての前記リスク・エクスポージャ・メトリックを変更することを可能にするために、選択可能な入力を与え、
    前記選択可能な入力を介して、前記リスク・エクスポージャ・メトリックに対する変更を受信し、
    前記リスク・エクスポージャ・メトリックに対する前記変更を達成するために、前記企業に関連するプランを生成する
    ように構成されたプロセッサを備える、請求項1に記載のシステム。
  8. 前記プランを生成するときに、前記プロセッサが、前記GUIを介して、前記企業についての追加のリソースの配置、又は前記企業についての前記セキュリティ・ポリシー及びプロシージャにおける変更のうちの少なくとも1つを示すように構成された、請求項7に記載のシステム。
  9. 前記少なくとも1つのデバイスが、
    新しいセキュリティ脅威を識別する入力を受信し、
    前記入力を受信したことに応答して、前記少なくとも1つの資産についての新しいリスク・エクスポージャ・メトリックを自動的に生成する
    ようにさらに構成された、請求項1に記載のシステム。
  10. 前記少なくとも1つのデバイスが、
    実行されるべき前記企業に関連する少なくとも1つのアクティビティを識別し、
    前記少なくとも1つのアクティビティが実行された場合に、前記少なくとも1つの資産についての前記リスク・エクスポージャ・メトリックにおける予想される低減を計算するように構成されたプロセッサを備える、請求項1に記載のシステム。
  11. 前記少なくとも1つのデバイスが、
    前記記憶されたセキュリティ・ポリシー及びプロシージャを十分に遵守していない、前記企業に関連する分野又は部門のうちの少なくとも1つを識別し、
    前記記憶されたセキュリティ・ポリシー及びプロシージャを十分に遵守していない分野又は部門の前記識別された少なくとも1つに応答して、通信を自動的に送信する
    ように構成されたプロセッサを備える、請求項1に記載のシステム。
  12. 前記プロセッサが、
    前記監視された企業アクティビティに基づいて実行されなかったセキュリティ・アップグレード又は変更を識別する
    ようにさらに構成された、請求項11に記載のシステム。
  13. 前記プロセッサが、
    ユーザが、前記セキュリティ・ポリシー及びプロシージャの企業コンプライアンスを監視することに関連するカスタマイズ可能なディスプレイを生成することを可能にする
    ようにさらに構成された、請求項11に記載のシステム。
  14. セキュリティ監視システムを介して、メモリ中に記憶されたネットワーク関係セキュリティ・ポリシー及びプロシージャに従って企業アクティビティを監視することと、
    前記企業アクティビティに基づいて、前記企業が前記記憶されたセキュリティ・ポリシー及びプロシージャを遵守しているかどうかを決定することと、
    前記企業アクティビティと、前記企業が前記セキュリティ・ポリシー及びプロシージャを遵守しているかどうかとに基づいて、前記企業の少なくとも1つの資産についてリスク・エクスポージャ・メトリックを計算することと、
    前記少なくとも1つの資産に関連する前記リスク・エクスポージャ・メトリックを識別する情報を与えるグラフィカル・ユーザ・インターフェース(GUI)を、ディスプレイに出力することと、
    複数の前記企業のネットワーク化デバイスのうちの少なくとも1つに対する変更を開始すること、又は複数の前記企業のネットワーク化デバイスのうちの少なくとも1つに対する変更を行うためのプランの生成を開始することのうちの少なくとも1つを行うための入力を、前記GUIを介して受信することと
    を含む方法。
  15. 前記企業アクティビティに基づいて、少なくとも1つのセキュリティ脅威に関連する脅威確率を計算することと、
    前記ディスプレイを介して、前記脅威確率を出力することと
    をさらに含む、請求項14に記載の方法。
  16. 前記少なくとも1つのセキュリティ脅威が複数のセキュリティ脅威を含み、前記方法が、
    前記複数のセキュリティ脅威の各々についての脅威確率を生成することと、
    前記ディスプレイを介して、前記複数のセキュリティ脅威の各々についての前記脅威確率を出力することと
    をさらに含む、請求項15に記載の方法。
  17. 前記GUIを介して、ユーザが前記少なくとも1つの資産についての前記リスク・エクスポージャ・メトリックを変更することを可能にするために、選択可能な入力を与えることと、
    前記選択可能な入力を介して、前記リスク・エクスポージャ・メトリックに対する変更を受信することと、
    前記リスク・エクスポージャ・メトリックに対する前記変更を達成するために、前記企業に関連するプランを生成することと
    をさらに含む、請求項14に記載の方法。
  18. 新しいセキュリティ脅威を識別する入力を受信することと、
    前記入力を受信したことに応答して、前記少なくとも1つの資産について新しいリスク・エクスポージャ・メトリックを自動的に生成することと
    をさらに含む、請求項14に記載の方法。
  19. 実行されるべき前記企業に関連する少なくとも1つのアクティビティを識別することと、
    前記少なくとも1つのアクティビティが実行された場合に、前記少なくとも1つの資産についての前記リスク・エクスポージャ・メトリックにおける予想される低減を計算することと
    をさらに含む、請求項14に記載の方法。
  20. プロセッサによって実行されたときに、前記プロセッサに、
    メモリ中に記憶されたネットワーク関係セキュリティ・ポリシー及びプロシージャに従って、複数の企業のネットワーク化デバイスに関連する企業アクティビティを監視することと、
    前記企業アクティビティに基づいて、前記企業が前記記憶されたセキュリティ・ポリシー及びプロシージャを遵守しているかどうかを決定することと、
    前記企業アクティビティと、前記企業が前記セキュリティ・ポリシー及びプロシージャを遵守しているかどうかとに基づいて、前記企業の少なくとも1つの資産についてリスク・エクスポージャ・メトリックを計算することと、
    前記少なくとも1つの資産に関連する前記リスク・エクスポージャ・メトリックを識別する情報を与えるグラフィカル・ユーザ・インターフェース(GUI)を、ディスプレイに出力することと
    を行わせる命令を記憶する、非一時的コンピュータ可読媒体。
JP2020520843A 2017-06-23 2018-06-22 企業サイバー・セキュリティ・リスク管理及びリソース・プランニング Active JP6906700B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201762523944P 2017-06-23 2017-06-23
US62/523,944 2017-06-23
US16/015,524 US11057417B2 (en) 2017-06-23 2018-06-22 Enterprise cyber security risk management and resource planning
PCT/IB2018/000784 WO2018234867A1 (en) 2017-06-23 2018-06-22 CORPORATE CYBERSECURITY RISK MANAGEMENT AND RESOURCE PLANNING
US16/015,524 2018-06-22

Publications (2)

Publication Number Publication Date
JP2020524870A true JP2020524870A (ja) 2020-08-20
JP6906700B2 JP6906700B2 (ja) 2021-07-21

Family

ID=64692842

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020520843A Active JP6906700B2 (ja) 2017-06-23 2018-06-22 企業サイバー・セキュリティ・リスク管理及びリソース・プランニング

Country Status (5)

Country Link
US (2) US11057417B2 (ja)
EP (1) EP3643036B1 (ja)
JP (1) JP6906700B2 (ja)
IL (2) IL300653B1 (ja)
WO (1) WO2018234867A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023135979A1 (ja) * 2022-01-17 2023-07-20 株式会社Ciso セキュリティ診断システム

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10248915B2 (en) * 2008-03-07 2019-04-02 International Business Machines Corporation Risk profiling for enterprise risk management
EP3619911A4 (en) * 2017-05-03 2021-01-13 Ndustrial.Io, Inc. DEVICE, SYSTEM AND METHOD FOR PROVIDING SENSORS
WO2019097382A1 (en) 2017-11-15 2019-05-23 Xm Cyber Ltd. Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign
US11457030B2 (en) 2018-02-20 2022-09-27 Darktrace Holdings Limited Artificial intelligence researcher assistant for cybersecurity analysis
US10817604B1 (en) 2018-06-19 2020-10-27 Architecture Technology Corporation Systems and methods for processing source codes to detect non-malicious faults
US10749890B1 (en) 2018-06-19 2020-08-18 Architecture Technology Corporation Systems and methods for improving the ranking and prioritization of attack-related events
CA3103022A1 (en) * 2018-06-28 2020-01-02 Jo Lynn J. Clemens System and method to monitor, alert and predict precursory behavior
US11601442B2 (en) 2018-08-17 2023-03-07 The Research Foundation For The State University Of New York System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy
US11122059B2 (en) * 2018-08-20 2021-09-14 Bank Of America Corporation Integrated resource landscape system
WO2020043610A1 (en) * 2018-08-28 2020-03-05 Koninklijke Philips N.V. De-identification of protected information
US10805154B2 (en) * 2018-10-16 2020-10-13 Hartford Fire Insurance Company Secure configuration management system
US11093619B2 (en) * 2018-10-27 2021-08-17 International Business Machines Corporation Automated fixups based on partial goal satisfaction
GB201820853D0 (en) * 2018-12-20 2019-02-06 Palantir Technologies Inc Detection of vulnerabilities in a computer network
US11429713B1 (en) * 2019-01-24 2022-08-30 Architecture Technology Corporation Artificial intelligence modeling for cyber-attack simulation protocols
US11128654B1 (en) 2019-02-04 2021-09-21 Architecture Technology Corporation Systems and methods for unified hierarchical cybersecurity
US11734636B2 (en) * 2019-02-27 2023-08-22 University Of Maryland, College Park System and method for assessing, measuring, managing, and/or optimizing cyber risk
CN109993412A (zh) * 2019-03-01 2019-07-09 百融金融信息服务股份有限公司 风险评估模型的构建方法及装置、存储介质、计算机设备
US11625482B2 (en) 2019-03-18 2023-04-11 Recorded Future, Inc. Cross-network security evaluation
US20210288977A1 (en) * 2019-03-19 2021-09-16 Fortinet, Inc. Contextual security recommendations for optimization and security best practices in a data network security fabric
US20210336985A1 (en) * 2019-03-19 2021-10-28 Fortinet, Inc. Alerts for and remediation of virus outbreaks in a data network security fabric
US20210288994A1 (en) * 2019-03-19 2021-09-16 Fortinet, Inc. Proactive detection of vulnerabilities in a data network security fabric
US11675915B2 (en) * 2019-04-05 2023-06-13 International Business Machines Corporation Protecting data based on a sensitivity level for the data
US11182800B2 (en) * 2019-04-08 2021-11-23 Bank Of America Corporation Controlling enterprise software policy compliance assessment processes based on quantum combinations of assessment elements
CN110059984A (zh) * 2019-04-30 2019-07-26 深信服科技股份有限公司 安全风险识别方法、装置、设备及存储介质
US20200364346A1 (en) * 2019-05-08 2020-11-19 Battelle Memorial Institute Secure design and development: intertwined management and technological security assessment framework
CA3142747A1 (en) * 2019-06-10 2020-12-17 Conquest Technology Services Corp Software application for continually assessing, processing, and remediating cyber-risk in real time
US11403405B1 (en) 2019-06-27 2022-08-02 Architecture Technology Corporation Portable vulnerability identification tool for embedded non-IP devices
KR20210003667A (ko) * 2019-07-02 2021-01-12 현대자동차주식회사 M2m 시스템에서 보호 데이터를 처리하는 방법 및 장치
US11232384B1 (en) * 2019-07-19 2022-01-25 The Boston Consulting Group, Inc. Methods and systems for determining cyber related projects to implement
US10915367B1 (en) 2019-07-23 2021-02-09 Capital One Services, Llc Executing computing modules using multi-coring
US10789103B1 (en) * 2019-09-06 2020-09-29 Capital One Services, Llc Executing computing modules using multi-coring
US11411978B2 (en) * 2019-08-07 2022-08-09 CyberConIQ, Inc. System and method for implementing discriminated cybersecurity interventions
US11755742B2 (en) * 2019-08-28 2023-09-12 Johnson Controls Tyco IP Holdings LLP Building management system with cyber health dashboard
EP4028964A4 (en) * 2019-09-09 2023-09-27 Reliaquest Holdings, LLC THREAT MITIGATION SYSTEM AND METHODS
USD969819S1 (en) * 2019-09-17 2022-11-15 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
US10754506B1 (en) * 2019-10-07 2020-08-25 Cyberark Software Ltd. Monitoring and controlling risk compliance in network environments
US11301354B2 (en) * 2019-10-09 2022-04-12 Microsoft Technology Licensing, Llc Root cause discovery system
US11444974B1 (en) 2019-10-23 2022-09-13 Architecture Technology Corporation Systems and methods for cyber-physical threat modeling
US11829484B2 (en) * 2019-11-04 2023-11-28 Monaco Risk Analytics Inc Cyber risk minimization through quantitative analysis of aggregate control efficacy
US11831670B1 (en) * 2019-11-18 2023-11-28 Tanium Inc. System and method for prioritizing distributed system risk remediations
US11503075B1 (en) 2020-01-14 2022-11-15 Architecture Technology Corporation Systems and methods for continuous compliance of nodes
US11575700B2 (en) 2020-01-27 2023-02-07 Xm Cyber Ltd. Systems and methods for displaying an attack vector available to an attacker of a networked system
US20210286879A1 (en) * 2020-03-13 2021-09-16 International Business Machines Corporation Displaying Cyber Threat Data in a Narrative
US11503047B2 (en) 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
US11582256B2 (en) 2020-04-06 2023-02-14 Xm Cyber Ltd. Determining multiple ways for compromising a network node in a penetration testing campaign
US11777992B1 (en) 2020-04-08 2023-10-03 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US11720686B1 (en) 2020-04-08 2023-08-08 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with risk-entity facing cybersecurity alert engine and portal
US11706241B1 (en) 2020-04-08 2023-07-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US11868478B2 (en) * 2020-05-18 2024-01-09 Saudi Arabian Oil Company System and method utilizing machine learning to predict security misconfigurations
US20210366052A1 (en) * 2020-05-22 2021-11-25 Kovrr Risk Modeling, Ltd. System and method for catastrophic event modeling
US11816461B2 (en) * 2020-06-30 2023-11-14 Paypal, Inc. Computer model management system
US20220021581A1 (en) * 2020-07-20 2022-01-20 FireScope, Inc. Baseline network dependency mapping and alerting
US11563764B1 (en) 2020-08-24 2023-01-24 Tanium Inc. Risk scoring based on compliance verification test results in a local network
US11546368B2 (en) * 2020-09-28 2023-01-03 T-Mobile Usa, Inc. Network security system including a multi-dimensional domain name system to protect against cybersecurity threats
WO2022093007A1 (en) * 2020-10-28 2022-05-05 Nexagate Sdn Bhd An improved computer implemented system and method for cybersecurity management platform of a monitored network
US11552984B2 (en) * 2020-12-10 2023-01-10 KnowBe4, Inc. Systems and methods for improving assessment of security risk based on personal internet account data
US20220188717A1 (en) * 2020-12-15 2022-06-16 International Business Machines Corporation Determining risk mitigation measures from assessed risks
CN112565287B (zh) * 2020-12-18 2023-05-12 深信服科技股份有限公司 资产暴露面确定方法、装置、防火墙及存储介质
US20220269792A1 (en) * 2021-02-24 2022-08-25 Supreeth Hosur Nagesh Rao Implementing a multi-dimensional unified security and privacy policy with summarized access graphs
US11973788B2 (en) * 2021-03-08 2024-04-30 Tenable, Inc. Continuous scoring of security controls and dynamic tuning of security policies
US11824886B2 (en) * 2021-04-29 2023-11-21 Google Llc Determining the exposure level of vulnerabilities
US11310282B1 (en) 2021-05-20 2022-04-19 Netskope, Inc. Scoring confidence in user compliance with an organization's security policies
US11481709B1 (en) * 2021-05-20 2022-10-25 Netskope, Inc. Calibrating user confidence in compliance with an organization's security policies
US11444951B1 (en) 2021-05-20 2022-09-13 Netskope, Inc. Reducing false detection of anomalous user behavior on a computer network
CN113472775B (zh) * 2021-06-29 2023-07-14 深信服科技股份有限公司 一种暴露面确定方法、系统及存储介质
US20220414679A1 (en) * 2021-06-29 2022-12-29 Bank Of America Corporation Third Party Security Control Sustenance Model
US20230084126A1 (en) * 2021-09-15 2023-03-16 Sam Barhoumeh Systems and Methods for an Enterprise Computing Platform
FR3128544B1 (fr) 2021-10-21 2024-04-12 Isie Systeme d’analyse de la securite informatique d’un systeme d’information
CN114338407B (zh) * 2022-03-09 2022-05-27 深圳市蔚壹科技有限公司 一种用于企业信息安全的运维管理方法
CN114638548B (zh) * 2022-05-09 2022-09-30 浙江国利网安科技有限公司 一种工业控制系统的风控方法、装置及电子设备
US11947682B2 (en) 2022-07-07 2024-04-02 Netskope, Inc. ML-based encrypted file classification for identifying encrypted data movement
FR3139965A1 (fr) 2022-09-18 2024-03-22 Isie Dispositif d’analyse de la conformite informatique d’un ensemble de systemes d’information distincts
US11757923B1 (en) * 2022-10-11 2023-09-12 Second Sight Data Discovery, Inc. Apparatus and method for intelligent processing of cyber security risk data

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008004498A1 (fr) * 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
JP2015519652A (ja) * 2012-05-01 2015-07-09 ターセーラ, インコーポレイテッド 動的証明に基づいてモバイルセキュリティを提供するためのシステムおよび方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7290275B2 (en) * 2002-04-29 2007-10-30 Schlumberger Omnes, Inc. Security maturity assessment method
SG115533A1 (en) * 2003-04-01 2005-10-28 Maximus Consulting Pte Ltd Risk control system
US20070180490A1 (en) * 2004-05-20 2007-08-02 Renzi Silvio J System and method for policy management
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US20080047016A1 (en) * 2006-08-16 2008-02-21 Cybrinth, Llc CCLIF: A quantified methodology system to assess risk of IT architectures and cyber operations
US20090144095A1 (en) * 2007-02-28 2009-06-04 Shahi Gurinder S Method and system for assessing and managing biosafety and biosecurity risks
WO2008141327A1 (en) * 2007-05-14 2008-11-20 Sailpoint Technologies, Inc. System and method for user access risk scoring
US8166551B2 (en) * 2007-07-17 2012-04-24 Oracle International Corporation Automated security manager
JP5559306B2 (ja) * 2009-04-24 2014-07-23 アルグレス・インコーポレイテッド 対話的グラフを用いた予測モデリングのための企業情報セキュリティ管理ソフトウェア
US20130325545A1 (en) * 2012-06-04 2013-12-05 Sap Ag Assessing scenario-based risks
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
US9954883B2 (en) * 2012-12-18 2018-04-24 Mcafee, Inc. Automated asset criticality assessment
US9699209B2 (en) * 2014-12-29 2017-07-04 Cyence Inc. Cyber vulnerability scan analyses with actionable feedback
US9571524B2 (en) * 2015-01-20 2017-02-14 Cisco Technology, Inc. Creation of security policy templates and security policies based on the templates
CA2968710A1 (en) * 2016-05-31 2017-11-30 Valarie Ann Findlay Security threat information gathering and incident reporting systems and methods

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008004498A1 (fr) * 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
JP2015519652A (ja) * 2012-05-01 2015-07-09 ターセーラ, インコーポレイテッド 動的証明に基づいてモバイルセキュリティを提供するためのシステムおよび方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023135979A1 (ja) * 2022-01-17 2023-07-20 株式会社Ciso セキュリティ診断システム
JP7360101B2 (ja) 2022-01-17 2023-10-12 株式会社Ciso セキュリティ診断システム

Also Published As

Publication number Publication date
EP3643036B1 (en) 2023-08-09
US20210329025A1 (en) 2021-10-21
WO2018234867A1 (en) 2018-12-27
IL271525B2 (en) 2023-07-01
IL271525B1 (en) 2023-03-01
IL300653A (en) 2023-04-01
IL300653B1 (en) 2024-02-01
IL271525A (en) 2020-02-27
US11057417B2 (en) 2021-07-06
US11936676B2 (en) 2024-03-19
JP6906700B2 (ja) 2021-07-21
US20180375892A1 (en) 2018-12-27
EP3643036C0 (en) 2023-08-09
EP3643036A1 (en) 2020-04-29

Similar Documents

Publication Publication Date Title
US11936676B2 (en) Enterprise cyber security risk management and resource planning
US10454935B2 (en) Method and system to detect discrepancy in infrastructure security configurations from translated security best practice configurations in heterogeneous environments
US11411980B2 (en) Insider threat management
US20220394052A1 (en) Method and system for online user security information event management
Bhardwaj et al. A framework to define the relationship between cyber security and cloud performance
US10521590B2 (en) Detection dictionary system supporting anomaly detection across multiple operating environments
Madsen Zero-trust–An Introduction
Flynn et al. Cloud service provider methods for managing insider threats: Analysis phase ii, expanded analysis and recommendations
Shrestha et al. Study on security and privacy related issues associated with BYOD policy in organizations in Nepal
Lincke et al. Modeling security risk with three views
Yadav et al. A Comprehensive Survey of IoT-Based Cloud Computing Cyber Security
US11683350B2 (en) System and method for providing and managing security rules and policies
Sailakshmi Analysis of Cloud Security Controls in AWS, Azure, and Google Cloud
US20220311805A1 (en) System and Method for Providing and Managing Security Rules and Policies
Pillutla et al. A Survey of Security Concerns, Mechanisms and Testing in Cloud Environment
Udaykumar Design And Deploy Secure Azure Environment
Viegas et al. Corporate Information Security Processes and Services
US20230336573A1 (en) Security threat remediation for network-accessible devices
Udayakumar Design and Deploy an Identify Solution
Dimitrios Security information and event management systems: benefits and inefficiencies
Mansoor Intranet Security
Udayakumar Design and Deploy a Respond Solution
Irfan et al. Information Security Framework Targeting DDOS attacks in Financial Institutes
Τσάβος Risk assessment and risk management in a cloud based company
Diamond et al. Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200220

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210325

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210422

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210513

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210608

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210629

R150 Certificate of patent or registration of utility model

Ref document number: 6906700

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150