JP2021005165A - インシデントシナリオ生成装置及びインシデントシナリオ生成システム - Google Patents

インシデントシナリオ生成装置及びインシデントシナリオ生成システム Download PDF

Info

Publication number
JP2021005165A
JP2021005165A JP2019117704A JP2019117704A JP2021005165A JP 2021005165 A JP2021005165 A JP 2021005165A JP 2019117704 A JP2019117704 A JP 2019117704A JP 2019117704 A JP2019117704 A JP 2019117704A JP 2021005165 A JP2021005165 A JP 2021005165A
Authority
JP
Japan
Prior art keywords
attack
scenario
information
incident
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019117704A
Other languages
English (en)
Inventor
哲郎 鬼頭
Tetsuo Kito
哲郎 鬼頭
倫宏 重本
Michihiro Shigemoto
倫宏 重本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019117704A priority Critical patent/JP2021005165A/ja
Priority to PCT/JP2020/023641 priority patent/WO2020262122A1/ja
Priority to US17/617,668 priority patent/US20220164438A1/en
Publication of JP2021005165A publication Critical patent/JP2021005165A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】情報システムに対してサイバー攻撃がどのように進行するかを表すインシデントシナリオを自動的に生成することができるインシデントシナリオ生成装置及びインシデントシナリオ生成システムを提供する。【解決手段】インシデントシナリオ生成装置101は、シナリオ生成機能301、攻撃パーツDB302、シナリオDB303、システム構成DB304及びシナリオ表示機能305を有する。シナリオ生成機能301は、ユーザ端末102からの指示を受け、攻撃パーツDB302に格納された攻撃パーツ情報とシステム構成DB304に格納されたシステム構成情報とに基づいてインシデントシナリオを生成する。シナリオDB303は、シナリオ生成機能301が生成したインシデントシナリオを格納する。【選択図】図3

Description

本発明は、インシデントシナリオ生成装置及びインシデントシナリオ生成システムに関する。
新しい脆弱性の発見や新しい攻撃手法の発生などサイバー攻撃は年々進化し続けている。このような状況の下、情報システムがサイバー攻撃に対する防御機能を備えているか、サイバー攻撃を受けた際に被害がどこまで広がるか、という問題は組織において重要な関心ごととなっている。
情報システムに対してサイバー攻撃がどのように進行するかを表すインシデントシナリオの生成には、実システムに対するペネトレーションテスト、システム構成情報を元にした机上でのリスクアセスメント等の手段がある。
しかしながら、いずれも現状は経験を持った技術者が手動で実施している。ペネトレーションテストでは、実際に情報システムに対して攻撃を実施する関係上、正確性は高いがシステムに悪影響を与える可能性を考慮すると十分な分析が実施できないことがある。また、机上でのリスクアセスメントは、十分な時間をかけて行われるものである。
このように、インシデントシナリオを生成しようとした場合、迅速な分析、幅広い分析が困難である。このような問題を解決する技術として、特許文献1に記載されているような技術がある。特許文献1では、基本攻撃シナリオを定義しておき、それを元にシステム構成に合った個別攻撃シナリオを生成する。
WO2017−12604号公報
特許文献1では、基本攻撃シナリオを事前に定義しなくてはならない。このため、新しいシナリオを作成する際には手動で基本シナリオを作成する必要がある。また、新しい攻撃手法等が出現した場合、基本シナリオとして定義しなくてはその攻撃手法を用いたシナリオを生成することはできない。
本発明の目的は、インシデントシナリオ生成装置において、インシデントシナリオを自動的に生成することにある。
本発明の一態様のインシデントシナリオ生成装置は、演算装置と記憶装置を有し、情報システムに対して攻撃がどのように進行するかを表すインシデントシナリオを生成するインシデントシナリオ生成装置であって、前記記憶装置は、攻撃パーツ情報を格納する攻撃パーツデータベースと前記情報システムのシステム構成情報を格納するシステム構成データベースとを有し、前記演算装置は、前記攻撃パーツデータベースに格納された前記攻撃パーツ情報と前記システム構成データベースに格納された前記システム構成情報とに基づいて前記インシデントシナリオを生成することを特徴とする。
本発明の一態様のインシデントシナリオ生成システムは、インシデントシナリオ生成装置と、攻撃パーツデータベース記憶装置と、システム構成データベース記憶装置とがネットワークを介して接続されたインシデントシナリオ生成システムであって、前記攻撃パーツデータベース記憶装置は、攻撃パーツ情報を格納する攻撃パーツデータベースを記憶し、前記システム構成データベース記憶装置は、情報システムのシステム構成情報を格納するシステム構成データベースを記憶し、前記インシデントシナリオ生成装置は、前記攻撃パーツデータベースに格納された前記攻撃パーツ情報と前記システム構成データベースに格納された前記システム構成情報とに基づいて、前記情報システムに対して攻撃がどのように進行するかを表すインシデントシナリオを生成することを特徴とする。
本発明の一態様によれば、インシデントシナリオ生成装置において、インシデントシナリオを自動的に生成することができる。
インシデントシナリオ生成装置、ユーザ端末及びインターネットを含むネットワークシステムを示すブロック図である。 インシデントシナリオ生成装置のハードウェアを示すブロック図である。 インシデントシナリオ生成装置の論理的な構成を示すブロック図である。 インシデントシナリオ生成機能の処理を示すフロー図である。 ネットワーク到達可能端末取得処理のフロー図である。 実施可能な攻撃パーツピックアップ処理のフロー図である。 攻撃パーツデータベース(DB)を示す説明図である。 シナリオDBを示す説明図である。 システム構成DBの機器テーブルを示す説明図である。 システム構成DBのネットワーク接続テーブルを示す説明図である。 システム構成DBのネットワークフィルタテーブルを示す説明図である。 シナリオ表示機能の画面を示す説明図である。 インシデントシナリオ生成システムの構成を示す図である。
以下、図面を用いて、実施例について説明する。尚、図面および明細書においてデータベースを「DB」と省略する場合がある。
図1は、インシデントシナリオ生成装置101、ユーザ端末102、ネットワーク103を含むネットワークシステム100を示すブロック図である。
ネットワークシステム100は、インシデントシナリオ生成装置101、組織の従業員が利用するユーザ端末102が組織内ネットワーク103を介して接続されている。ユーザ端末102はネットワークシステム100内に複数存在していてもよい。また、図示していないが、インシデントシナリオ生成装置101を運用する組織内のその他のコンピュータ機器やネットワーク装置、インシデントシナリオ生成装置101を管理する管理者が利用するコンピュータなどがネットワーク103に接続されていてもよい。
図2を参照して、インシデントシナリオ生成装置101のハードウェアの構成について説明する。
インシデントシナリオ生成装置101は、通信装置201、入力装置202、表示装置203、演算装置204、メモリ205及び記憶装置206を有する。
通信装置201は、ネットワークカードなどのネットワークインタフェースである。通信装置201は、ネットワーク103を介して他の装置からデータを受信し、受信したデータを演算装置204へ送る。そして、通信装置201は、演算装置204によって生成されたデータを、ネットワーク103を介して他の装置へ送信する。
入力装置202は、キーボードまたはマウス等の装置であり、ユーザによる情報の入力を受け付けるための装置である。表示装置203は、LCD(Liquid Crystal Display)等の装置であり、管理者に情報を出力するための装置である。
記憶装置206は、ハードディスク等の装置であり、演算装置204が実行するプログラムおよび演算装置204が使用するデータ等を格納する。メモリ205は、一時的にデータ等が読み出される記憶領域である。
演算装置204は、記憶装置206に格納されたプログラムを実行して各装置を制御する。演算装置204は、入力装置202および表示装置203を制御し、入力装置202から入力されたデータを受け付け、表示装置203へデータを出力する。記憶装置206に格納されるプログラムは、演算装置204によって、記憶装置206からメモリ205に読み出され、メモリ205において実行される。
演算装置204は、プログラムを記憶装置206から読み出すが、他の例として、CDもしくはDVD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、磁気記録媒体、または、半導体メモリ等の記録媒体からプログラムを読み出してもよい。また他の例として、他の装置から、通信媒体を介して、プログラムを読み出してもよい。通信媒体とは、ネットワークまたはこれらを伝搬するディジタル信号または搬送波を示す。
図1に示すユーザ端末102のハードウェア構成は、図2に示すインシデントシナリオ生成装置101と同じハードウェア構成であるか、それに相当する構成を有する。このため、ユーザ端末102のハードウェア構成は図示しない。
図3を参照して、インシデントシナリオ生成装置101の論理的な構成について説明する。
インシデントシナリオ生成装置101は、シナリオ生成機能301、攻撃パーツDB302、シナリオDB303、システム構成DB304及びシナリオ表示機能を有する。シナリオ生成機能301は、ユーザ端末102からの指示を受け、インシデントシナリオ生成処理を実施する。攻撃パーツDB302は、インシデントシナリオの構成要素である攻撃パーツを格納するデータベースである。シナリオDB303は、シナリオ生成機能301が生成したインシデントシナリオを格納するデータベースである。
システム構成DB304は、インシデントシナリオを生成する対象となる情報システムのシステム構成情報(機器テーブル、ネットワーク接続テーブル、ネットワークフィルタテーブル)を格納するデータベースである。シナリオ表示機能305は、ユーザ端末102からの支持を受け、生成したインシデントシナリオをシナリオDB303から読み出し、ユーザ端末102の画面に表示するためのデータを返送する。
図4のフローチャートを参照して、シナリオ生成機能301の処理について説明する。
まず、ステップS401で、初期攻撃パーツと初期攻撃対象を取得する。当該情報は、例えば、ユーザ端末102から指示され入力として与えられる。その他、開始時にローカルファイルシステムもしくはリモートサービスにアクセスして初期攻撃パーツと初期攻撃対象を取得する方式にしてもよい。
続いてステップS402で、初期攻撃対象を現在の位置およびアクセス済みとして記憶する。現在の位置とは、インシデントシナリオの中でどのコンピュータまで攻撃が進行しているかを表す情報である。
続いてステップS403に進み、現在の位置から到達可能な端末で未アクセスのものを取得する。以降、そのような端末を標的端末と呼ぶ。ステップS403の詳細は後述する。
続いてステップS404で、ステップS403の結果標的端末があるかどうかをチェックする。標的端末がある場合、ステップS405に進み、現在の位置から標的端末に対して実施可能な攻撃パーツをピックアップする。ステップS405の詳細は後述する。ステップS406に進み、ステップS405で攻撃パーツをピックアップできたかどうかチェックする。ピックアップできていた場合、ステップS407に進み、標的端末を現在の位置として記憶する。これは、攻撃の結果、標的端末まで攻撃が進行した、ということを意味する。
続いてステップS408で、標的端末をアクセス済みとして記憶する。続いてステップS409で、現状記憶しているシナリオにピックアップした攻撃パーツを追加し、ステップS403に戻る。
ステップS406で、攻撃パーツがピックアップできていなかった場合、ステップS410でローカルに対して実施可能な攻撃パーツをピックアップする。ステップS410の詳細については後述する。その後ステップS409に進む。ステップS404で標的端末がなかった場合、現状記憶しているシナリオをシナリオDB303に出力し、処理を終了する。
図5は、本実施例1のシナリオ生成機能301のフローチャート内ステップS403のネットワーク到達可能端末取得処理を示すフローチャートである。
処理が開始されると、ステップS501で現在の位置(以下A)とアクセス済み情報を取得する。続いてステップS502で、システム構成DB304から機器リストを取得する。
続いてステップS503で、システム構成DB304からネットワーク接続情報を取得する。続いてステップS504で、機器リストから一つ選択し、Bとする。続いてステップS505で、AとBがネットワーク的に接続されているかどうかをチェックする。この時、ステップS503で取得したネットワーク接続情報を用いる。ステップS505でAとBがネットワーク的に接続されている場合、ステップS506に進み、Bがアクセス済みかどうかチェックする。
Bがアクセス済みでなかった場合、ステップS507に進み、Bを標的端末として返却し、処理を終了する。ステップS505でAとBがネットワーク的に接続されていない場合、もしくはステップS506でBがアクセス済みであった場合、ステップS508に進み、機器リストに残りがあるかどうかチェックする。残りがある場合、ステップS509に進み、機器リストの残りから1つ選択し、新たなBとし、ステップS505に戻る。ステップS508で機器リストに残りがなかった場合、ステップS510に進み、標的端末なしという結果を返却し、処理を終了する。
図6は、シナリオ生成機能301のフローチャート内ステップS405の実施可能な攻撃パーツピックアップ処理を示すフローチャートである。
まず、ステップS601で現在の位置(以下A)と標的端末(以下B)を取得する。続いてステップS602で、システム構成DB304からネットワーク接続情報を取得する。続いてステップS603で、システム構成DB304から、ネットワークフィルタ情報を取得する。続いてステップS604で、攻撃パーツDB302から種別がリモート(Remote)な攻撃パーツリストを取得する。続いてステップS605で取得した攻撃パーツリストから1つ選択する。
続いてステップS606で、AからBへの当該攻撃が成功するかどうかをチェックする。当該攻撃が成功する、とは、当該攻撃の前提条件が満たされており、当該攻撃の攻撃内容の通信がネットワーク上でフィルタされない場合を示す。攻撃が成功する場合、ステップS607に進み当該攻撃を出力リストに追加する。続いてステップS608で攻撃パーツリストに残りがあるかどうかチェックする。残りがある場合、ステップS609に進み、攻撃パーツリストの残りから1つ選択し、ステップS606に戻る。
ステップS606で攻撃が成功しない場合、ステップS608に進む。ステップS608で、攻撃パーツリストに残りがない場合、ステップS610に進み、出力リストを返却し、処理を終了する。
シナリオ生成機能301のフローチャート内ステップS410の実施可能な攻撃パーツピックアップ処理は、図6に示したステップS405の処理フローと類似のため、図示を省略する。図6との違いは、AとBが同一の端末でありネットワーク関連の処理が不要である点、ステップS604で取得する攻撃が、種別がLocalであるもの、という点である。
図7を参照して、は、攻撃パーツDB302の内容について説明する。
攻撃パーツDB302は、攻撃パーツ識別子701、攻撃前提条件702、攻撃種別703、攻撃内容704、得られる情報705から構成される。攻撃パーツ識別子701は、攻撃パーツを一意に定める識別子である。攻撃前提条件702は、当該攻撃パーツによる攻撃が成功するために満たしておかなくてはならない条件を示すものである。攻撃種別703は、当該攻撃パーツの攻撃対象が、あるコンピュータを起点としたときに、当該コンピュータ自身(Local)か当該コンピュータとは異なるコンピュータ(Remote)かを示す情報である。攻撃内容704は、当該攻撃パーツによる攻撃の際に行われる攻撃内容を示すものである。得られる情報705は、当該攻撃パーツによる攻撃が成功した場合に得られる情報である。
図8を参照して、シナリオDB303の内容について説明する。
シナリオDB303は、シナリオ識別子801、シナリオ内順番802、攻撃起点803、攻撃内容804、攻撃対象805、取得情報806から構成される。シナリオ識別子801は、シナリオを一意に識別するための識別子である。シナリオ内順番802は、シナリオ識別子801で識別されるシナリオの中で当該エントリが何番目に実行される攻撃であるかを示す情報である。攻撃起点803は、当該エントリで攻撃の起点となる端末の情報を示す。
攻撃内容804は、当該エントリで実行される攻撃の内容を示すものであり、攻撃パーツDB302の攻撃内容704の情報が格納される。本実施例では、攻撃内容を具体的に表現しているが、この箇所に攻撃パーツDB302の攻撃パーツ識別子701を格納する、すなわち、具体的な情報は格納せず、攻撃パーツDB302への参照情報を格納するような構成になっていてもよい。攻撃対象805は当該エントリで攻撃の対象となる端末の情報を示す。攻撃対象が自分自身(攻撃パーツの攻撃種別がLocal)の場合は、Localとなる。取得情報806は、当該エントリで実行される攻撃により得られる情報を示す。
図9を参照して、システム構成DB304の機器テーブルの内容について説明する。
システム構成DB304の機器テーブルは、機器ID901、機器名称902、ハードウェア情報903、ソフトウェア情報904、IPアドレス905、保持情報906から構成される。機器ID901は、機器を一意に示す識別子である。機器名称902は、機器の名称である。ハードウェア情報903は、当該機器がどのようなハードウェア上のものであるかを表す情報である。ソフトウェア情報904は、当該機器に導入されているソフトウェアとそのバージョンを含んだ情報である。IPアドレス905は、当該機器に割り当てられているIPアドレスの情報である。保持情報906は、当該機器に保持されている情報であり、当該機器の権限を取得することで得られる情報である。
図10を参照して、システム構成DB304のネットワーク接続テーブルの内容について説明する。
システム構成DB304のネットワーク接続テーブルは、ネットワーク上のどのIPアドレス(ネットワークアドレス)とIPアドレス(ネットワークアドレス)が通信可能であるか、といった接続情報を格納するものである。システム構成DB304のネットワーク接続テーブルは、接続情報ID1001、第1のネットワーク要素1002、第2のネットワーク要素1003から構成される。接続情報ID1001は、ネットワーク接続情報を一意に識別するための識別子である。第1のネットワーク要素1002と第2のネットワーク要素1003は、それぞれIPアドレスもしくはネットワークアドレスであり、第1のネットワーク要素1002と第2のネットワーク要素1003で示されたIPアドレス(ネットワークアドレス)間の通信が可能であるという意味になる。
図11を参照して、システム構成DB304のネットワークフィルタテーブルの内容について説明する。
システム構成DB304のネットワーク接続テーブルは、ネットワーク間にIDS(Intrusion Detection System)やFW(FireWall)などの装置があり、通信の一部がフィルタされる場合にその情報を示すものである。システム構成DB304のネットワークフィルタテーブルは、フィルタID1101、第1のネットワーク要素1102、第2のネットワーク要素1103、フィルタ内容1104から構成される。フィルタID1101は、ネットワークフィルタ情報を一意に識別するための識別子である。
第1のネットワーク要素1102と第2のネットワーク要素1103は、それぞれIPアドレスもしくはネットワークアドレスであり、第1のネットワーク要素1102と第2のネットワーク要素1103で示されたIPアドレス(ネットワークアドレス)間の通信に対してフィルタ内容1104のフィルタが適用される、という意味になる。フィルタ内容1104は、通信を許可する条件を設定し、それ以外の通信をブロックするホワイトリスト型のフィルタでもよいし、通信をブロックする条件を設定し、それ以外の通信を許可するブラックリスト型のフィルタでもよい。
図12を参照して、シナリオ表示機能305の表示する画面について説明する。
シナリオ表示機能305は、シナリオDB303に格納されたシナリオのうち1つの内容を表示するシナリオ表示画面1200を出力する。シナリオDB303に格納されたシナリオのうちどれを表示対象とするかは、例えばユーザからの指示によって決定する。シナリオ表示画面1200は、シナリオのサマリ1201、シナリオの内容1202、ネットワークマップ上でのシナリオ表示1203を有する。シナリオ表示機能305は、攻撃パーツDB302、シナリオDB303、システム構成DB304から情報を取得し、シナリオのサマリ1201、シナリオの内容1202、シナリオ表示1203を描画する。
シナリオの内容1202には、表示対象となったシナリオの内容が時系列順に列挙される。これは図12の例では次の通りである。
順番1として、コンピュータXを起点として「マルウェア実行」という攻撃内容をLocal(コンピュータX自身)を対象に実行し、取得情報としてコンピュータXのユーザ権限を得る。
続いて順番2として、コンピュータXを起点として「ID/Passwordを窃取」という攻撃内容をLocal(コンピュータX自身)を対象に実行し、取得情報としてコンピュータXのユーザのID/Passwordを得る。
続いて順番3として、コンピュータXを起点として「ログイン」という攻撃内容をコンピュータYを対象に実行し、取得情報としてコンピュータYのユーザ権限を得る。
続いて順番4として、コンピュータYを起点として「CVE−2019−XXXXの脆弱性を攻略して権限昇格」をLocal(コンピュータY自身)を対象に実行し、取得情報としてコンピュータYの管理者権限を得る。
続いて順番5として、コンピュータYを起点として「ActiveDirectoryから権限取得」という攻撃内容をLocal(コンピュータY自身)を対象に実行し、取得情報としてコンピュータZの管理者の認証情報を得る。
続いて順番6として、コンピュータYを起点として「ログイン」という攻撃内容をコンピュータZを対象に実行し、取得情報としてコンピュータZの管理者権限を得る。続いて順番7として、コンピュータZを起点として「情報探索」という攻撃内容をLocal(コンピュータZ自身)を対象に実行し、取得情報として社外秘情報を取得する。このようにして、コンピュータXから侵入し、最終的にコンピュータZで社外秘情報を窃取するというシナリオ内容が表現される。
実施例1のインシデントシナリオ生成装置101では、シナリオの起点となる攻撃パーツを指定し、そこから実施可能な攻撃パーツを追加していくことでシナリオを拡張している。一方、シナリオの生成方法としては、最終的な結果を定義し、そこに至る過程を導出することでシナリオを拡張する方法も考えられ、実施例2では、そのような方法でシナリオを生成する構成とする。
実施例2では、シナリオ生成機能301の処理フローが、実施例1の場合とは逆の順序となったようになる。すなわち、最終的な到達点(取得情報など)を最初に定め、そこに至る攻撃パーツをピックアップし、攻撃可能な端末を取得することで最終的な到達点の一歩前の地点を導出し、これを繰り返す事でシナリオを生成する。
実施例2の構成とすることで、最終的な事象からシナリオを生成することができるようになり、サイバー攻撃対応訓練のシナリオ作成に活用することが出来る。
実施例2においても実施例1と同様に、インシデントシナリオ生成装置101はシナリオ表示機能305を有し、シナリオ表示機能305は図12に示す画面を表示する。シナリオ表示機能305は、シナリオDB303に格納されたシナリオのうち1つの内容を表示するシナリオ表示画面1200を出力する。シナリオDB303に格納されたシナリオのうちどれを表示対象とするかは、例えばユーザからの指示によって決定する。
シナリオ表示画面1200は、シナリオのサマリ1201、シナリオの内容1202、ネットワークマップ上でのシナリオ表示1203を有する。シナリオ表示機能305は、攻撃パーツDB302、シナリオDB303、システム構成DB304から情報を取得し、シナリオのサマリ1201、シナリオの内容1202、シナリオ表示1203を描画する。
シナリオの内容1202には、表示対象となったシナリオの内容が時系列順に列挙される。これは図12の例では次の通りである。
順番1として、コンピュータXを起点として「マルウェア実行」という攻撃内容をLocal(コンピュータX自身)を対象に実行し、取得情報としてコンピュータXのユーザ権限を得る。
続いて順番2として、コンピュータXを起点として「ID/Passwordを窃取」という攻撃内容をLocal(コンピュータX自身)を対象に実行し、取得情報としてコンピュータXのユーザのID/Passwordを得る。
続いて順番3として、コンピュータXを起点として「ログイン」という攻撃内容をコンピュータYを対象に実行し、取得情報としてコンピュータYのユーザ権限を得る。
続いて順番4として、コンピュータYを起点として「CVE−2019−XXXXの脆弱性を攻略して権限昇格」をLocal(コンピュータY自身)を対象に実行し、取得情報としてコンピュータYの管理者権限を得る。
続いて順番5として、コンピュータYを起点として「ActiveDirectoryから権限取得」という攻撃内容をLocal(コンピュータY自身)を対象に実行し、取得情報としてコンピュータZの管理者の認証情報を得る。
続いて順番6として、コンピュータYを起点として「ログイン」という攻撃内容をコンピュータZを対象に実行し、取得情報としてコンピュータZの管理者権限を得る。
続いて順番7として、コンピュータZを起点として「情報探索」という攻撃内容をLocal(コンピュータZ自身)を対象に実行し、取得情報として社外秘情報を取得する。このようにして、コンピュータXから侵入し、最終的にコンピュータZで社外秘情報を窃取するというシナリオ内容が表現される。
実施例1および実施例2では、1台の装置でインシデントシナリオを生成していた。しかし、インシデントシナリオ生成装置101が有するシナリオ生成機能301、攻撃パーツDB302、シナリオDB303、システム構成DB304、シナリオ表示機能305を、それぞれ1台の装置による機能とし、各機能をネットワークを介して接続するような構成としていてもよい。
実施例3によるインシデントシナリオ生成システム1300の構成図を図13に示す。
インシデントシナリオ生成システム1300は、複数の装置がネットワークを介して接続されているネットワークシステムであり、シナリオ生成装置1301、攻撃パーツDB記憶装置1302、シナリオDB記憶装置1303、システム構成DB記憶装置1304、シナリオ表示装置1305、およびそれらを接続するネットワーク1306から構成される。
シナリオ生成装置1301は、通信装置201、入力装置202、表示装置203、演算装置204、メモリ205、および、記憶装置206を備える。通信装置201は、ネットワークカードなどのネットワークインタフェースである。通信装置201は、ネットワーク1306を介して他の装置からデータを受信し、受信したデータを演算装置204へ送る。そして、通信装置201は、演算装置204によって生成されたデータを、ネットワーク1306を介して他の装置へ送信する。
入力装置202は、キーボードまたはマウス等の装置であり、ユーザによる情報の入力を受け付けるための装置である。表示装置203は、LCD(Liquid Crystal Display)等の装置であり、管理者に情報を出力するための装置である。
記憶装置206は、ハードディスク等の装置であり、演算装置204が実行するプログラムおよび演算装置204が使用するデータ等を格納する。メモリ205は、一時的にデータ等が読み出される記憶領域である。
演算装置204は、記憶装置206に格納されたプログラムを実行し、振分装置105に備わる各装置を制御する。演算装置204は、入力装置202および表示装置203を制御し、入力装置202から入力されたデータを受け付け、表示装置203へデータを出力する。記憶装置206に格納されるプログラムは、演算装置204によって、記憶装置206からメモリ205に読み出され、メモリ205において実行される。
演算装置204は、プログラムを記憶装置206から読み出すが、他の例として、CDもしくはDVD等の光学記録媒体、MO等の光磁気記録媒体、テープ媒体、磁気記録媒体、または、半導体メモリ等の記録媒体からプログラムを読み出してもよい。また、他の例として、他の装置から、通信媒体を介して、プログラムを読み出してもよい。通信媒体とは、ネットワークまたはこれらを伝搬するディジタル信号または搬送波を示す。
攻撃パーツDB記憶装置1302、シナリオDB記憶装置1303、システム構成DB記憶装置1304、シナリオ表示装置1305のハードウェア構成は、シナリオ生成装置1301のハードウェア構成と同一である。各装置のハードウェア構成は、前述の構成に限定するものではなく、各装置がそれぞれの機能を実現可能な範囲内において異なっていてもよい。
上記実施例によれば、ある情報システムに対するサイバー攻撃の経路を洗い出すことができ、サイバー攻撃を受けた際の影響範囲を特定することができる。
また、最終的に発生させる事象を選択し、そこに至るサイバー攻撃の経路を導出することで、予測される攻撃に対する防御の検討やサイバー攻撃対応訓練のシナリオ作成に活用できる。
101 インシデントシナリオ生成装置
301 シナリオ生成機能
302 攻撃パーツDB
303 シナリオDB
304 システム構成DB
305 シナリオ表示機能
1300 インシデントシナリオ生成システム
1301 シナリオ生成装置
1302 攻撃パーツDB記憶装置
1303 シナリオDB記憶装置
1304 システム構成DB記憶装置
1305 シナリオ表示装置
1306 ネットワーク

Claims (12)

  1. 演算装置と記憶装置を有し、情報システムに対して攻撃がどのように進行するかを表すインシデントシナリオを生成するインシデントシナリオ生成装置であって、
    前記記憶装置は、
    攻撃パーツ情報を格納する攻撃パーツデータベースと、
    前記情報システムのシステム構成情報を格納するシステム構成データベースと、を有し、
    前記演算装置は、
    前記攻撃パーツデータベースに格納された前記攻撃パーツ情報と前記システム構成データベースに格納された前記システム構成情報とに基づいて、前記インシデントシナリオを生成することを特徴とするインシデントシナリオ生成装置。
  2. 前記演算装置は、
    前記攻撃パーツ情報と前記システム構成情報に基づいて、1番目の攻撃を起点として、前記1番目の攻撃の第1の攻撃内容と第1の攻撃対象を定め、
    前記第1の攻撃対象を起点として、2番目の攻撃の第2の攻撃内容と第2の攻撃対象を定めることにより、実施可能な前記攻撃の前記攻撃パーツ情報を順序追加することを特徴とするインシデントシナリオ生成装置。
  3. 前記演算装置は、
    前記攻撃パーツ情報と前記システム構成情報に基づいて、最終的な起点に至るための第1の攻撃内容と第1の攻撃対象を定め、
    前記第1の攻撃対象を起点として、前記最終的な起点に至るための第2の攻撃内容と第2の攻撃対象を定めることにより、実施可能な前記攻撃の前記攻撃パーツ情報を順序追加することを特徴とする請求項1に記載のインシデントシナリオ生成装置。
  4. 前記システム構成データベースは、
    前記システム構成情報として、ネットワーク上で通信可能なIPアドレスを規定する接続情報と、通信の一部がフィルタされていることを示すネットワークフィルタ情報とを格納することを特徴とする請求項1に記載のインシデントシナリオ生成装置。
  5. 前記演算装置は、
    前記ネットワークフィルタ情報を用いて、実施可能な前記攻撃を絞り込むことを特徴とする請求項4に記載のインシデントシナリオ生成装置。
  6. 前記攻撃パーツデータベースは、
    前記攻撃パーツ情報として、前記攻撃が成功するために満たすべき条件を規定した攻撃前提条件と、攻撃対象が一つの端末を起点としたときに、前記端末自身か前記端末とは異なる端末かを示す情報である攻撃種別と、前記攻撃の際に行われる攻撃内容と、前記攻撃が成功した場合に得られる情報とを格納することを特徴とする請求項1に記載のインシデントシナリオ生成装置。
  7. 前記演算装置は、
    前記攻撃前提条件が満たされている前記攻撃を攻撃候補として抽出することを特徴とする請求項6に記載のインシデントシナリオ生成装置。
  8. 前記記憶装置は、
    前記インシデントシナリオを格納するシナリオデータベースを更に有し、
    前記シナリオデータベースは、
    前記インシデントシナリオとして、前記攻撃の起点となる端末の情報を示す攻撃起点と、実行される前記攻撃の内容を示す攻撃内容と、実行される前記攻撃の対象を示す攻撃対象とを格納し、
    前記シナリオデータベースに格納された前記インシデントシナリオは、端末の画面に表示されることを特徴とする請求項1に記載のインシデントシナリオ生成装置。
  9. 前記インシデントシナリのサマリと、前記インシデントシナリオの内容と、ネットワークマップ上での前記インシデントシナリオとが前記端末の画面に表示されることを特徴とする請求項8に記載のインシデントシナリオ生成装置。
  10. インシデントシナリオ生成装置と、攻撃パーツデータベース記憶装置と、システム構成データベース記憶装置とがネットワークを介して接続されたインシデントシナリオ生成システムであって、
    前記攻撃パーツデータベース記憶装置は、
    攻撃パーツ情報を格納する攻撃パーツデータベースを記憶し、
    前記システム構成データベース記憶装置は、
    情報システムのシステム構成情報を格納するシステム構成データベースを記憶し、
    前記インシデントシナリオ生成装置は、
    前記攻撃パーツデータベースに格納された前記攻撃パーツ情報と前記システム構成データベースに格納された前記システム構成情報とに基づいて、前記情報システムに対して攻撃がどのように進行するかを表すインシデントシナリオを生成することを特徴とするインシデントシナリオ生成システム。
  11. シナリオ表示装置と、シナリオデータベース記憶装置とが更にネットワークを介して接続され、
    前記シナリオデータベース記憶装置は、
    前記インシデントシナリオを格納するシナリオデータベースを記憶し、
    前記シナリオデータベースは、
    前記インシデントシナリオとして、前記攻撃の起点となる端末の情報を示す攻撃起点と、実行される前記攻撃の内容を示す攻撃内容と、実行される前記攻撃の対象を示す攻撃対象とを格納し、
    前記シナリオ表示装置は、
    前記シナリオデータベースに格納された前記インシデントシナリオを表示することを特徴とする請求項10に記載のインシデントシナリオ生成システム。
  12. 前記シナリオ表示装置は、
    前記インシデントシナリのサマリと、前記インシデントシナリオの内容と、ネットワークマップ上での前記インシデントシナリオを表示することを特徴とする請求項11に記載のインシデントシナリオ生成システム。
JP2019117704A 2019-06-25 2019-06-25 インシデントシナリオ生成装置及びインシデントシナリオ生成システム Pending JP2021005165A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019117704A JP2021005165A (ja) 2019-06-25 2019-06-25 インシデントシナリオ生成装置及びインシデントシナリオ生成システム
PCT/JP2020/023641 WO2020262122A1 (ja) 2019-06-25 2020-06-16 インシデントシナリオ生成装置及びインシデントシナリオ生成システム
US17/617,668 US20220164438A1 (en) 2019-06-25 2020-06-16 Incident scenario generation device and incident scenario generation system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019117704A JP2021005165A (ja) 2019-06-25 2019-06-25 インシデントシナリオ生成装置及びインシデントシナリオ生成システム

Publications (1)

Publication Number Publication Date
JP2021005165A true JP2021005165A (ja) 2021-01-14

Family

ID=74061962

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019117704A Pending JP2021005165A (ja) 2019-06-25 2019-06-25 インシデントシナリオ生成装置及びインシデントシナリオ生成システム

Country Status (3)

Country Link
US (1) US20220164438A1 (ja)
JP (1) JP2021005165A (ja)
WO (1) WO2020262122A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023166614A1 (ja) * 2022-03-02 2023-09-07 日本電気株式会社 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4733885B2 (ja) * 2001-09-29 2011-07-27 株式会社東芝 脆弱性評価プログラム、方法及びシステム
JP2008257577A (ja) * 2007-04-06 2008-10-23 Lac Co Ltd セキュリティ診断システム、方法およびプログラム
JP2012208863A (ja) * 2011-03-30 2012-10-25 Hitachi Ltd 脆弱性判定システム、脆弱性判定方法、および、脆弱性判定プログラム
US9154479B1 (en) * 2012-09-14 2015-10-06 Amazon Technologies, Inc. Secure proxy
US10789367B2 (en) * 2014-04-18 2020-09-29 Micro Focus Llc Pre-cognitive security information and event management
US10805340B1 (en) * 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
CN106161333B (zh) * 2015-03-24 2021-01-15 华为技术有限公司 基于sdn的ddos攻击防护方法、装置及系统
US10645107B2 (en) * 2017-01-23 2020-05-05 Cyphort Inc. System and method for detecting and classifying malware
JPWO2019093059A1 (ja) * 2017-11-10 2020-10-01 国立研究開発法人産業技術総合研究所 脅威分析装置、脅威分析方法、及び脅威分析プログラム
US11050785B2 (en) * 2018-08-25 2021-06-29 Mcafee, Llc Cooperative mitigation of distributed denial of service attacks originating in local networks

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023166614A1 (ja) * 2022-03-02 2023-09-07 日本電気株式会社 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

Also Published As

Publication number Publication date
WO2020262122A1 (ja) 2020-12-30
US20220164438A1 (en) 2022-05-26

Similar Documents

Publication Publication Date Title
JP6680840B2 (ja) 不正デジタル証明書の自動検出
US11831785B2 (en) Systems and methods for digital certificate security
US9178899B2 (en) Detecting automated site scans
CN101588247A (zh) 用于检测服务器的漏洞的系统和方法
US9059987B1 (en) Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network
JPWO2010038650A1 (ja) モバイル端末の実行機能管理システム、方法、およびプログラム
Chen et al. Digital forensics in social networks and the cloud: Process, approaches, methods, tools, and challenges
US20180034780A1 (en) Generation of asset data used in creating testing events
JP5936798B2 (ja) ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法
CN113645253A (zh) 一种攻击信息获取方法、装置、设备及存储介质
CN111343188A (zh) 一种漏洞查找方法、装置、设备和存储介质
WO2015029464A1 (ja) 模擬装置、情報生成装置、模擬方法、模擬プログラム、環境提供システム、環境提供方法及びプログラム
Pratama et al. Open source intelligence testing using the owasp version 4 framework at the information gathering stage (case study: X company)
CN105069366B (zh) 一种账户登录和管理方法及装置
Johansen Digital forensics and incident response: Incident response techniques and procedures to respond to modern cyber threats
WO2020262122A1 (ja) インシデントシナリオ生成装置及びインシデントシナリオ生成システム
CN112115103A (zh) 文件地址显示方法、装置、电子设备及可读存储介质
US11989294B2 (en) Detecting and preventing installation and execution of malicious browser extensions
JP7078562B2 (ja) 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置
JP7384208B2 (ja) セキュリティリスク分析支援装置、方法、及びプログラム
CN113886837A (zh) 一种漏洞检测工具可信度验证方法和系统
JP6369249B2 (ja) 不正アクセス検出システム、不正アクセス検出方法および不正アクセス検出プログラム
James An exploration in forensic evidence in a cloud computing environment
WO2023073952A1 (ja) セキュリティ分析装置、セキュリティ分析方法、及びコンピュータ読み取り可能な記録媒体
JP6125280B2 (ja) 属性情報管理装置及び属性情報管理方法