JP2021507375A - コンテキストリスク監視 - Google Patents

コンテキストリスク監視 Download PDF

Info

Publication number
JP2021507375A
JP2021507375A JP2020532756A JP2020532756A JP2021507375A JP 2021507375 A JP2021507375 A JP 2021507375A JP 2020532756 A JP2020532756 A JP 2020532756A JP 2020532756 A JP2020532756 A JP 2020532756A JP 2021507375 A JP2021507375 A JP 2021507375A
Authority
JP
Japan
Prior art keywords
network
communication
devices
risk
indicator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020532756A
Other languages
English (en)
Other versions
JP7212688B2 (ja
Inventor
タル ペレド
タル ペレド
シュロミット タッサ
シュロミット タッサ
オレン ネチュシュタン
オレン ネチュシュタン
アリエル ビトン
アリエル ビトン
Original Assignee
フォアスカウト テクノロジーズ インコーポレイテッド
フォアスカウト テクノロジーズ インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by フォアスカウト テクノロジーズ インコーポレイテッド, フォアスカウト テクノロジーズ インコーポレイテッド filed Critical フォアスカウト テクノロジーズ インコーポレイテッド
Publication of JP2021507375A publication Critical patent/JP2021507375A/ja
Application granted granted Critical
Publication of JP7212688B2 publication Critical patent/JP7212688B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/14Digital output to display device ; Cooperation and interconnection of the display device with other functional units
    • G06F3/147Digital output to display device ; Cooperation and interconnection of the display device with other functional units using display panels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

デバイス監視及びデバイスリスク監視のためのシステム、方法、及び関連技術について記載される。特定の態様では、セキュリティリスクに関連するインジケータは、関連する高いセキュリティリスクを有する第1のデバイスと第2のデバイスとの間の通信に基づいて設定される。インジケータは保存することができ、セキュリティアクションを実行するための基準として使用することができる。【選択図】図4

Description

関連出願の相互参照
本出願は、2017年12月14日出願の米国特許出願第15/841,956号の利益を主張するものであり、その内容全体は、引用により本明細書に組み込まれる。
本開示の態様及び実施構成は、デバイス監視に関し、より具体的には、通信ネットワーク経由で通信可能に結合されたデバイスのリスクを監視することに関する。
技術の進歩に伴って、通信ネットワークに接続されるデバイスの数及び多様性が急激に増加している。各デバイスは、それ自体がそれぞれの脆弱性を有する場合があり、これによって、ネットワークが不正侵入又は他のリスクに晒される可能性がある。ネットワーク上の各デバイスの脆弱性を理解することは、通信ネットワークを監視又はセキュアにして、認可されていないデバイス又は不正なデバイスがネットワークリソースにアクセスするのを防止するのに有用とすることができる。
本開示の態様及び実施構成は、以下に与えられる詳細な説明及び本開示の様々な態様及び実施構成についての添付図面からより完全に理解されることになるが、これらは、本開示を特定の態様又は実施構成に限定するものと解釈すべきではなく、単に説明及び理解のためのものである。
本開示の1つの実施構成による例示的な通信ネットワークを示す。 本開示の態様及び実施構成による、ネットワーク上のデバイスの監視及びデバイスリスクの追跡に使用される例示的なネットワークグラフを示す。 本開示の一実施構成による、ネットワークに通信可能に結合されたデバイスの様々なリスクレベルを示すネットワークグラフを含む例示的なグラフィカルユーザインタフェースを示す。 本開示の一実施構成による、デバイス監視のための方法の態様のフローチャートを示す。 本開示の一実施構成による、デバイスリスク監視のためのシステムの例示的なコンポーネントを示す。 本開示の一実施構成による、例示的なコンピュータシステムを示すブロック図である。
本開示の態様及び実施構成は、デバイス監視に関する。開示されるシステム及び方法は、その他の分野のなかでも、ネットワークセキュリティに関して利用することができる。より具体的には、認可されていないデバイス又はユーザによるネットワークリソースへのアクセスは、高まりつつある重大な問題であることは理解できる。同時に、ネットワーク接続デバイス(スマートフォン、タブレット、テレビ、セキュリティカメラ、ウェアラブルデバイスなど)の急増により、認可されたユーザ又はデバイスにとってネットワークリソースへのアクセスを効果的に管理することが困難になる可能性がある。従って、本明細書では、コンテキスト(デバイス間通信、帯域幅利用、プロトコル使用、及び挙動プロファイルを含む)に基づくデバイスの継続中の監視及び場合によっては、デバイスコンテキストに基づいて1又は2以上の措置(例えば、ネットワークアクセスの変更)を講じることを可能にする、システム、方法、及び技法が、様々な実施構成で記載される。
既存の方法論は、ネットワーク構造を考慮することなくデバイスを個別に監視する場合がある。すなわち、ネットワーク上のデバイスは、各デバイスがネットワーク内でどのように接続されているかに基づいて解析されていない。従って、この情報は、デバイスとネットワークとの間の異なる関係を表していない基本的なセグメント化情報を含む。
ネットワークに対する多くの攻撃は、ネットワークのデバイスにわたって横断的に進む場合があり、従って、デバイスは、分離状態で解析されるべきでないことは理解される。デバイスがどのようにネットワークに接続されているか、及びデバイスが他のどのデバイスに接続されているかは、攻撃(例えば、ネットワークにわたって移動する場合がある攻撃など)から保護するため又は攻撃を遅延させるのに極めて重要とすることができる。従って、実施形態は、リスクをより正確に評価するためにデバイスがどのように通信可能に結合されるかを含むコンテキストを決定する。これにより、実施形態は、デバイスがどのように通信可能に結合されるかに基づいて、コンテキストネットワークアクセス制御を提供することができる。
実施形態は、デバイスが通信するか又は接続されている他のデバイスに基づいて、デバイスに関する情報を収集し、これによってデバイスに関するネットワークコンテキストを決定するように動作可能なネットワーク監視デバイスを含むことができる。ネットワークコンテキストは、様々な情報を相互に関連付けて、ネットワークトポロジ及びデバイス機能の理解を可能にし、アクション(例えば、ネットワークアクセスの変更を含む1又は2以上のセキュリティアクション)を実行することを可能にするのに使用することができる。
従って、実施形態は、デバイスのネットワークコンテキストを学習して、ネットワークプロファイルを含む情報を決定し、この情報を各デバイスの挙動と組み合わせて、デバイスをより効果的に監視する。ネットワーク接続及びネットワーク上のデバイス間の通信、並びに接続特性(例えば、プロトコル、帯域幅利用など)の使用は、デバイス及びネットワークの挙動に関する情報を収集するのに使用することができる。このことは、デバイスのセキュリティ状態(例えば、オペレーティングシステム(OS)、存在するアプリケーション、実行中のアプリケーション、又はこれら両方、脆弱性、パッチレベル、通信、挙動などを含む)のより完全な評価を可能にする。1又は2以上の他のデバイスとのデバイスの通信接続を考慮することにより、デバイスコンテキストに基づいて正確なアクセス及びコンプライアンス決定を行うことを可能にする多層情報が提供される。これによって、セキュリティオペレータ又は管理者は、膨大な量のネットワーク情報を取捨選択して、重要なデバイス(例えば、低リスクレベルを上回るデバイス)、又は脆弱である可能性がありネットワークを侵害するのに使用される可能性のあるデバイスに集中させることができるようになる。
幾つかの実施形態では、ネットワークグラフは、ネットワーク上の様々なデバイスがどのようにして互いに通信するかに基づいて決定される。ネットワークグラフは、デバイスがどのようにして通信するかに基づいて生成でき、このネットワークグラフの各ノードは、最初は低リスクに設定される。次に、ネットワーク上の各デバイスに対してスキャンを実行して、リスクレベルを決定することができる。高リスクとしてのデバイスの決定は、1又は2以上のセキュリティ特性又はセキュリティ体制に基づくことができる。例えば、スキャンは、デバイスがポリシーの1又は2以上の条件(例えば、旧式のアンチウイルス定義又は存在するマルウェア)を満たしている場合に、このデバイスが高リスクであるとみなされるというポリシーに基づくことができる。ポリシーの1又は2以上の条件を満たさないデバイスは、低リスクとみなすことができる。
また、高リスクとしてのデバイスの決定は、セキュリティ侵害インジケータ(IOC)に基づいて決定することもできる。IOCは、高信頼度でコンピュータ侵入を示すアーティファクト(例えば、ネットワーク上で又はオペレーティングシステムにおいて観測される)である。IOCは、ウイルスシグネチャ、インターネットプロトコル(IP)アドレス、マルウェアファイルのMD5ハッシュ、ユニフォームリソースロケータ(URL)(例えば、悪意のあるウェブサイトとの通信要求)、ボットネットコマンド及び制御サーバのドメイン名、異常なネットワークトラフィック、異常な特権ユーザアカウントアクティビティ、ログイン異常、データベース読み取り量の増加、疑わしいレジストリ又はシステムファイル変更、異常なドメインネームシステム(DNS)要求、及び人間以外の挙動を示すWebトラフィックを含み、又はこれらの組み合わせとすることができる。IOCは更に、時間依存とすることができる(例えば、IOCが誤検出であると判定された場合、又は監視されるIOCに関するユーザ構成基準をIOCが満たさない場合、又は1又は2以上のパケット又はイベントの特定のシーケンスが、ネットワーク上で観測される場合、IOCは削除することができる)。
ネットワークグラフは、各デバイスのリスクレベル、例えば、どのデバイスのリスクが変化する(例えば、将来)可能性が高いかを判定するのに使用することができる。例えば、デバイスAがマルウェアに感染していると判定されたときに、デバイスAとの通信接続をデバイスBが有することに基づいて、このデバイスBは、マルウェアに感染しているというリスクがあり、従って高くなったリスクレベルにあるとみなすことができる。このような情報は、デバイスBとの接続を使用してデバイスBがマルウェアに感染する前に、危険に晒されるデバイスAのネットワークアクセスをブロックすることによって、ネットワークへの攻撃を封じ込めるか又は制限するのに使用することができる。
ネットワークグラフは更に、どのデバイスが低リスクになったか(例えば、パッチが適用されたデバイス、脅威に対して効果的に予防しているデバイス、又は危険にさらされたコンポーネントを再インストールによって置き換えたデバイス)を決定するのに使用することができる。別の実施例として、デバイスAがパッチ管理システムであり、デバイスBがデバイスAとの通信接続を有する場合、この通信接続を用いて、デバイスAがデバイスBにパッチを適用することを示唆することができる。このことは、パッチが適用される可能性が高く(例えば、迅速にパッチが適用され)、これによって脅威から保護される可能性がより高いデバイスを決定するのに使用することができる。
従って、実施形態は、高リスクレベルと低リスクレベルとの間に第3のリスクレベルを追加することができる。第3のリスクレベルは、中リスクと呼ばれ、高リスクとみなされるデバイスと隣接するか又はそれとの通信接続(例えば、過去の又は開放された通信接続)を有する1又は2以上のデバイスを含むことができる。このことは、中リスク及び高リスクのデバイスに集中させることができるため、ネットワーク上でより集中した監視及びアクションを実行することを可能にする。実施形態は更に、高、中、及び低リスクレベルに加えて、追加のリスクレベルをサポートすることができる。
「ホットゾーン」と呼ばれるグループは、高リスクデバイスと、高リスクデバイスの近隣デバイス(例えば、すぐ隣のデバイス)とを含み、この近隣デバイスは、セキュリティ解析を追跡して集中させることできる中リスクデバイスある。従って、ホットゾーンは、1又は2以上の高リスクデバイス及びこれらに隣接する中リスクデバイスのセットの論理和集合とすることができる。直近のデバイスは、高リスクデバイスと通信した(例えば、直接又は間接的に、例えば、ネットワークスイッチ又は他の通信デバイスを介して)デバイスとすることができる。近隣デバイスは更に、1又は2以上の他のデバイス(例えば、或るデバイスとそのデバイスの隣デバイスとの間に存在できる1又は2以上のネットワークスイッチ又は他のデバイス)経由で特定のデバイスと通信したデバイスとすることができる。幾つかの実施形態では、近隣デバイスは、ポリシーによって規定することができる。例えば、高リスクデバイスとの通信情報を受信又は送信したデバイスは、近隣デバイスである可能性がある。近隣デバイスはまた、事前に選択された1又は2以上のプロトコル(例えば、リモートデスクトッププロトコル(RDP)、サーバメッセージブロック(SMB)プロトコル、Windows(商標)マネジメントインスツルメンテーション(WMI)プロトコル、Windows(商標)リモート管理(WinRM)、又はセキュアシェル(SSH))を使用して高リスクデバイスと通信することによって規定することもできる。
リスクレベル(例えば、ポリシーに準拠していない)に応じたデバイスのグループ化、及びグループからの又はグループへの接続を表示できるようにすることは、デバイスのよりスマートな検出及び監視を可能にする。よりスマートな制御は、ホットゾーン内のデバイス又はセグメント上でアクションを開始できるという理由から可能になり、これにより高リスクデバイスに限定されない。例えば、高リスクデバイスと通信した各デバイスは、スキャン又はブロック(例えば、ネットワークリソースから)することができる。このことは、リスクが増大する特定のピンポイントのネットワーク領域に対してより頻繁なチェック及びより厳密な制御を可能にする。また、ネットワークグラフの視覚化は、異なるレベルの表示及びフィルタリングを用いてサポートされる。
幾つかの実施形態では、デバイスリスクのグレード又はスコアは、1又は2以上の因子の組み合わせを使用して計算される。これらの因子は、本明細書で説明する様々な情報要素(例えば、デバイス及び通信情報)と、デバイスから高リスクデバイスまでの通信経路の長さと、通信の性質に関連する追加情報(例えば、使用プロトコル、転送データ、帯域幅)とを含むことができる。
本明細書で説明される様々な通信は、クライアント特性としてのセッション又はサーバ特性としてのセッションに関して説明することができる。クライアントの特性としてのセッションは、デバイスが、別のデバイスからネットワークトラフィック(例えば、1又は2以上のパケット)を受け取り、このネットワークトラフィックがフィルタの条件を満たすことを示す。サーバとしてのセッションは、デバイスが、別のデバイスに送られたネットワークトラフィックを生成し、このネットワークトラフィックが、フィルタの条件を満たすことを示す。フィルタは、送信元IPアドレス、送信先IPアドレス、サーバポート、プロトコル、帯域幅、ペイロードなどに基づくことができる。実施形態は、他の方法又は特性での通信に基づいて(例えば、ネットワークトラフィックのスニッフィングによって、ネットワークトラフィックを監視することに基づいて)、処理、解析、利用、及び決定を行うことができることが理解される。
幾つかの実施形態では、近隣デバイスは、非準拠デバイス又は高リスクデバイスに対するクライアントとしてのセッションの特性(例えば、NetFlow情報)、又は高リスクデバイスからのサーバとしてのセッションの特性の何れかを有するデバイスである。また、近隣デバイスは、非準拠デバイス又は高リスクデバイス(例えば、ネットワークトラフィックの監視又はスニッフィングに基づいて決定された)との間で1又は2以上のパケットを送信又は受信したデバイスとすることができる。言い換えると、デバイスが、高リスクとして識別されたデバイスにデータを送ったか、又は高リスクと識別されたデバイスからデータを受け取った場合、該デバイスはホットゾーン内に存在する。特性としてのセッションは、監視されている通信の方向のフィルタリングを可能にするために、データ転送が、高リスクデバイスへのものであるか又は高リスクデバイスからのものであるかを判定するのに使用することができる。使用される通信は更に、jFlow、sFlow、FlowLogs、ファイアウォールイベントなどを含むことができる。
従って、近隣デバイスは、別のデバイスから通信情報を受け取ること又は他のデバイスに通信情報を送ることに基づくことができる。第1のデバイスが高リスクとみなされる場合に、第1のデバイスと通信した第2のデバイスは、中リスク又は疑わしいとみなすことができる。従って、第2のデバイスは、低リスクであると判定される前に、より厳密にスキャン又は検査することができる。高リスクデバイスである(例えば、ポリシーに基づいて)デバイスと通信(例えば、クライアントとしてのセッション又はサーバとしてのセッション)しているデバイスは、侵入されていない、感染していないなどの可能性があるが、将来のセキュリティ侵害のリスクが高まることに起因して、疑わしいとみなされてより厳密に又は完全に監視又は検査される必要がある。各デバイスのリスクレベルは、時間と共に変化する可能性があり、各デバイスの近隣デバイスは、時間と共に変化する可能性があることは理解される。
従って、実施形態は、何れかの方向の通信を使用して、デバイスが高リスクデバイスの近隣デバイスであるか否かを判定することができる。例えば、高リスクデバイスから別のデバイスへの通信は、デバイスが近隣デバイスであると判定するのに使用することができる。デバイスから高リスクデバイスへの通信は、デバイスが近隣デバイスであることを判定するのに使用することができる。実施形態は、1つのデバイスから複数のデバイスへの通信(例えば、マルチキャスト)に基づいて近隣デバイスを決定することをサポートすることができる。
実施形態は更に、クライアントの特性としてのセッションに基づく1又は2以上のデバイスのリストの決定をサポートすることができる。例えば、クライアントの特性としてセッションの使用は、高リスクデバイス、中リスクデバイス、又は1又は2以上のリスクレベルの1又は2以上の特定のデバイスから通信を受け取った近隣デバイスを決定するのに使用することができる。これは、クライアント特性としてのセッション及びサーバ特性としてのセッションの両方の特性に基づいて近隣デバイスを決定するよりも短い時間で、中リスクデバイス又は疑わしいデバイスを決定するのに使用することができる。
実施形態は更に、ファイアウォール及びSIEMシステムを含む外部(例えば、サードパーティ)システムからの情報を収集することができる。例えば、デバイスに関連するセキュリティ侵害インジケータ(IOC)は、デバイスを高リスクであると判定するための基準とすることができる。デバイスは更に、脆弱性又は他のリスクに関連する挙動について検査又は探索することができる。別の実施例として、デバイスに関連するIOCが存在し、1又は2以上のパケットが異常な接続(例えば、疑わしい外部サーバとの接続)と共に観測された場合、このことは、デバイスが高リスクであると判定するのに使用することができる。
従って、本明細書で様々な実施構成で説明されるのは、リスクレベル及びデバイス間通信に基づくデバイス及び通信監視及びアクション(例えば、1又は2以上の通知アクション又はセキュリティアクション)の実行を可能にするシステム、方法、技法、及び関連技術である。本明細書で説明するように、様々な情報要素が、ネットワークデバイス及びネットワークトラフィックから収集されて、デバイスを監視してリスクレベルを決定するためコンテキスト情報を提供することができる。
記載される技術は、限定されるものではないが、ネットワークセキュリティ、監視、及びポリシー施行を含む複数の技術分野における特定の技術的課題及び長年にわたる障害に関し、これらに対処することは理解できる。更に、記載される技術は、言及される技術的課題及びこれら言及される技術分野における満たされていない要求に対する特定の技術的解決策を提供することは理解できる。
幾つかの実施形態では、追加のデバイス情報源が、デバイスのリスクレベルを監視及び決定するのに使用することができる。エージェントが、デバイス(例えば、パーソナルコンピュータ(PC)又はサーバ)上に存在する場合には、エージェントは、詳細なデバイス情報(例えば、開放通信接続、実行中のサービス、その他)を収集し提供することができる。エージェントが、例えば、モバイルデバイス上に存在しない場合には、例えば、脆弱性評価(VA)システム、高度脅威検出(ATD)システム、モバイルデバイス管理(MDM)システム、ファイアウォール(FW)システム、スイッチシステム、及びアクセスポイント(AP)システムなどの他システムからのデータを用いて、追加情報を収集することができる。
図1は、本開示の1つの実施構成による例示的な通信ネットワーク100を示す。通信ネットワーク100は、ネットワーク監視デバイス102と、ネットワークデバイス104と、集約デバイス106と、システム150と、デバイス120及び130と、ネットワーク結合デバイス122a及び122bと、を含む。デバイス120及び130、並びにネットワーク結合デバイス122a及び122bは、限定されるものではないが、コンピューティングシステム、ラップトップ、スマートフォン、サーバ、モノのインターネット(IoT)デバイス、監視制御及びデータ取得(SCADA)デバイス、オペレーショナルテクノロジー(OT)デバイス、キャンパスデバイス、データセンタデバイス、エッジデバイスなどを含む様々なデバイスの何れかとすることができる。通信ネットワーク100のデバイスは、有線及び無線接続を含む様々な方法で通信することができ、様々なプロトコルのうちの1又は2以上を使用できる店に留意されたい。
ネットワークデバイス104は、集約デバイス106、システム150、ネットワーク監視デバイス102、デバイス120及び130、並びにネットワーク結合デバイス122a−122bの間の通信を促進するように構成された1又は2以上のネットワークデバイスとすることができる。ネットワークデバイス104は、1又は2以上のネットワークスイッチ、アクセスポイント、ルータ、ファイアウォール、ハブ、その他とすることができる。
ネットワーク監視デバイス102は、高リスクデバイス(例えば、存在するマルウェア、ウイルス感染、旧式のウイルス定義、旧式のマルウェア定義など)を決定すること、中リスクデバイスを決定すること、及び低リスクデバイスを決定することを含む、様々なタスクで動作可能とすることができる。中リスクデバイスは、1又は2以上の高リスクデバイスと通信するデバイスである。低リスクデバイスは、高リスクデバイスと通信しておらず、脆弱性を有しない(例えば、ポリシー又はその他の脆弱性情報に基づく)デバイスである。ネットワーク監視デバイス102は、中リスク又は高リスクであると決定されている1又は2以上のデバイスに基づいて、本明細書で説明する1又は2以上のアクションを開始することができる。
ネットワーク監視デバイス102は、コンピューティングシステム、ネットワークデバイス(例えば、ルータ、ファイアウォール、アクセスポイント)、ネットワークアクセス制御(NAC)デバイス、侵入防止システム(IPS)、侵入検知システム(IDS)、詐欺デバイス、クラウドベースのデバイス、仮想マシンベースのシステム、その他とすることができる。ネットワーク監視デバイス102は、ネットワークデバイス104を通って流れるネットワークトラフィック(例えば、ポートミラーリング、NetFlowなど)を受信するようにネットワークデバイス104に通信可能に結合することができる。幾つかの実施形態では、ネットワーク監視デバイス102は、前述のデバイスのうちの1又は2以上を含むことができる。様々な実施形態では、ネットワーク監視デバイス102は更に、高可用性及び障害回復をサポートすることができる(例えば、1又は2以上の冗長デバイスを介して)。
幾つかの実施形態では、中リスクとしてのデバイスの決定は、特定のプロトコル(例えば、Samba、ハイパーテキスト転送プロトコル(HTTP)、SSH、ファイル転送プロトコル(FTP)、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ユーザデータグラムプロトコル(UDP)、Telnet、セキュアソケットレイヤ/トランスポートレイヤセキュリティ上のHTTP、サーバメッセージブロック(SMB)、ポイントツーポイントプロトコル(PPP)、リモートデスクトッププロトコル(RDP)、windowsマネジメントインスツルメンテーション(WMI)、Windowsリモート管理(WinRM)など)を使用して、デバイスが高リスクデバイスと通信していることに基づくことができる。例えば、ファイル共有プロトコルを介して高リスクデバイス(旧式のウイルス定義を有するデバイス)と低リスクデバイスとの間に通信がある場合に、低リスクデバイスは、中リスクデバイスであると判定することができる。幾つかの実施形態では、通信に使用されるプロトコルは、ポリシーによって指定でき、これによって、特定のプロトコルを使用しているデバイスが中リスクであると判定されることが可能になる。また、追跡されるプロトコルは、中リスクのデバイスを決定するための特定のプロトコルを通じた通信を監視するためのフィルタとして使用することもできる。従って、プロトコルの選択は、リスクを伴う(例えば、マシンをリスクにさらす)又は感染の可能性がある種類の通信を選択する際の細粒性を可能にする。このことは、デバイスが使用する各プロトコルの通信を解析するよりも、中リスクデバイスの決定をより効率的にすることができる。
デバイスのリスクレベルの決定は、リスクに従ってデバイスをグループ化するためのグループ(例えば、高リスク、中リスク、低リスクグループ)の生成と、ネットワーク上のアクティビティの集中的検出(例えば、ネットワークに散在するリスク増加アクティビティの監視を可能にすること)、及び非準拠又は高リスクデバイス及び他のタイプのリスクの識別のより高度な細粒性を可能にする。中リスクレベルは更に、危険に晒される次のデバイスである可能性がある1又は2以上のデバイスに集中させることを可能にする。従って、セキュリティを確保するために制御アクション(例えば、ネットワークアクセスの変更、アクセスのブロック、新しいパッチ又はアップデートのインストール、デバイスのフォーマットなど)に集中させることができるので、より効率的又はよりスマートな制御が可能になる。グループの生成、ネットワーク上のアクティビティのより適切な検出、及び非準拠又は高リスクデバイスの識別は、中リスクデバイスを決定することなく行うことができることが理解される。
ホットゾーン(例えば、高リスクデバイス及び中リスクデバイス)では、より頻繁なチェックを行うことができる。従って、追加のチェックリソースは、低リスクを超えたレベルを有するデバイスに集中させることができる。例えば、ネットワーク上のデバイスの全体的なチェック又は掃引は、低リスクレベルを上回るリスクレベルを有するデバイスのよりターゲットを絞ったチェックの方を選択して回避することができる。
実施形態は、様々なリスクレベルを視覚的に描写又は表示することができる。例えば、デバイス及びリスクレベルは、リスト又はネットワークグラフとして表示することができる。幾つかの実施形態では、それぞれの色が各リスクレベルに関連付けられる。例えば、灰色又は緑色は、低リスクデバイスに関連し、黄色は、中リスクデバイスに関連付けられ、赤色は、高リスクデバイスに関連付けることができる。赤色に関連付けられるデバイスは、デバイスが条件(例えば、ウイルス感染)を満たすこと又はポリシーの条件(例えば、最新のアンチウイルス定義を有しないこと)を満たさないことに基づいて決定することができる。
ネットワーク監視デバイス102によるデバイスの監視は、トラフィック解析、外部システム又はリモートシステム(例えば、システム150)からの情報、エージェント(例えば、エージェント140)からの情報、集約デバイス(例えば、集約デバイス106)との通信(例えば、問い合わせ)、及びデバイス自体への問い合わせを含む1又は2以上の情報要素の組み合わせに基づくことができ、これらは、本明細書において更に説明される。ネットワーク監視デバイス102は、1又は2以上のアプリケーションプログラミングインタフェース(API)を使用して、集約デバイス106、デバイス120、デバイス130、又はシステム150と通信するように動作可能とすることができる。
1又は2以上の外部又はサードパーティシステム(例えば、システム150)からの情報は更に、デバイスのリスクレベル及びアクション(例えば、通知アクション又はセキュリティアクション)を実行するか否かを決定することに使用することができる。例えば、システムログ又はフロー制御情報源が、高リスクデバイスと通信した1又は2以上のデバイスを決定するのに使用することができる。外部又はサードパーティシステムは、デバイス上でスキャン又はチェックを実行して、リスクレベル(例えば、高リスクレベル又は低リスクレベル)を決定するのに使用することもできる。
ネットワーク監視デバイス102は、通信する(例えば、ネットワーク設計又は管理者に従って)ことにはなっていないが通信しているデバイスを決定することができ、これによって、ネットワークトポロジがリスクを伴うか否かを示すことができる。例えば、ネットワークの多くのデバイス又は大部分のデバイスが、単一のデバイスと通信していると判定された場合、このことは、この単一のデバイスが他の極めて多くのデバイスと通信できる(又はこれに接続できる)ことを示すことができ、従って、このデバイスが不正侵入を受けた場合には重大なリスクを与える。このことは、ネットワークが適切にセグメント化されておらず、従って、ネットワークの異なる部分間の適切なブロック及び保護を受けられないことを反映することができる。別の実施例として、単一のデバイスが高リスクであると判定され、ネットワークの他のデバイスが中リスクであると判定された場合、このことは、単一のウイルス感染がネットワークの残りの部分に広がることがネットワークアーキテクチャによって防止されないので、このネットワークアーキテクチャが極めてリスクを伴うことを示すことができる。
幾つかの実施形態では、1又は2以上のデバイスは、互いに通信するものとして視覚的に描写され、これによって、ネットワーク全体にわたる通信接続を示すことができる。このことを利用して、分離されていると考えられるネットワークが分離されていないことを示すことができる。例えば、実施形態は、複数のネットワークに関連するネットワークグラフを受け取り、次いで、図示のデバイス間の通信を用いたグラフを出力するように動作可能とすることができ、これによって、これらのネットワークが分離されている(例えば、ネットワーク設計によって離隔されている)と考えられるにもかかわらず、ネットワークが互いに通信することができることが示される。
ネットワーク監視デバイス102は更に、どのデバイスが重大なリスクをもたらす可能性があるかを判定することで動作可能とすることができる。例えば、プリンタは、USBデバイスを悪意のあるソフトウェアプログラムに結合することなどによって攻撃される場合があり、プリンタは、高リスクであると判定でき、ネットワーク上のデバイスの大部分が、このプリンタと通信していることに基づいて危険に晒されている可能性がある。
ネットワークモニタ102は更に、デバイス間で試みられた通信を可視化することができる。例えば、デバイスAがデバイスBと通信できないように、ネットワークが設計されている場合に、実施形態は、デバイスAがデバイスBと通信する試みを監視することができる(例えば、通信がブロックされたことを示すルータファイアウォールアクセス制御リスト(ACL)のログに基づいて))。次に、デバイスAのネットワークアクセスは、デバイスBと通信する多数の試みに基づいて制限する(例えば、ポリシーに基づいて)ことができ、このことは、デバイスA危険にさらされた又は増加したリスクを示すことができる。幾つかの実施形態では、ポリシーは、監視される試行通信に基づいて、ますます攻撃的又は制限的なアクションを規定するのに使用することができる。様々な実施形態では、1又は2以上のアクションは、デバイスBとの通信を何度も試みているデバイスAと通信した(例えば、それと隣接する)デバイスに対して行うことができる。試みられた通信は、例えばネットワークグラフ又はリストで、視覚的に描写することができ、これによって、設計されたように機能し、ネットワーク構成の検証として機能するネットワーク構成の視覚的確認が可能になる。従って、実施形態は、デバイス間の通信に関して本明細書で説明したものと同様の方法で、試みられた通信の監視及び試みられた通信に対する応答をサポートする。
ネットワークモニタ102は更に、クラウド内のデバイスのリスクレベルを決定することができる。例えば、クラウド内のデバイスのログ又はその他のネットワーク情報(例えば、ネットワークトラフィック)は、高リスクレベルを有するデバイスと通信した1又は2以上のデバイスを決定するのに使用することができる。
ネットワーク監視デバイス102は、1又は2以上の情報源を使用してデバイスリスクレベルを決定することができる。ネットワーク監視デバイス102は、ネットワークトラフィックのスニッフィング又は受動的観測及びその解析に基づいて通信情報にアクセスすることができる。ネットワークモニタ102はまた、ネットワークインタフェースを介したネットワークトラフィックの追跡を可能にするフロープロトコル(例えば、当初カリフォルニア州サンノゼのシスコシステムズ(Cisco Systems)からのNetFlow、s−Flow、Jflow、Netstream、Cflow、及びRflow)に基づいて通信情報にアクセスすることもできる。幾つかの実施形態では、アプリケーションプログラミングインタフェース(API)は、フロープロトコルプラグインと共に使用されて、フロープロトコルデータにアクセスすることができる。ネットワーク監視デバイス102は更に、デバイス間の通信を決定するために、ネットワークトラフィックの1又は2以上のログを使用することができる。
幾つかの実施形態では、ネットワーク監視デバイス102は、近隣グループ内の高リスクデバイスと通信した1又は2以上のデバイスをグループ化することができる。アクション(例えば、通知、例えば、HTTP通知、ポータル制限アクセス、ITチケット、電子メール、SMSなど、又はネットワークアクセスの変更)は、高リスクと通信したことに基づいて近隣グループに適用することができる。グループは動的に決定されて、時間と共に変化することができる。グループは、1又は2以上のポリシーを適用するのに使用することができる。例えば、ネットワーク監視デバイス102が、非準拠デバイスの近隣グループを決定することができ、ポリシーは、グループのメンバーである各デバイスに適用することができる。
ネットワーク監視デバイス102は、通信を動的に、周期的に、又はこれらの組み合わせで監視することができる。従って、ネットワーク監視デバイス102は、高リスク、中リスク、及び低リスクであるデバイスを動的に決定することができる。従って、1又は2以上のデバイスが、時間と共にリスクレベルを変化させ、ホットゾーングループに出入りする可能性がある。例えば、アンチウイルスソフトウェアがデバイスからアンインストールされたときに、そのデバイスは、高リスクであると判定され、もはやアンチウイルスソフトウェアを有しないデバイスと通信した近隣デバイスは、中リスクであると判定されることになる。アンチウイルスソフトウェアが削除されたデバイスからアンチウイルスソフトウェアをインストールすると、そのデバイスは、低リスクであると判定され、アンチウイルスソフトウェアが削除されたデバイスと通信するデバイスは、低リスクであると判定されることになる。別の実施例として、デバイスAが、高リスクデバイスとして分類されなかった最初の期間、及びこの最初の期間の後の2番目の期間中、デバイスAがデバイスBと通信した場合には、デバイスAは、高リスクに分類され、デバイスBは、高リスクとして分類することができる。デバイスBの増加リスク分類は、たとえデバイスA及びデバイスBが或る期間(例えば、しばらくの間、又は場合によっては更に長期間)通信していないとしても、決定することができる。デバイスBの増加リスク分類は、デバイスAからデバイスBへの通信の1又は2以上が、デバイスBのセキュリティを危険にさらした可能性に基づいて監視される必要があるデバイスとして、デバイスBをマーク付け又はフラグ付けすることができる。
幾つかの実施形態では、ネットワーク監視デバイス102は、高リスク(又は他のリスクレベル)であると判定されたデバイスから離れた複数の分離度であるデバイスのリスクを評価することができる。例えば、デバイスAが、高リスクであると判定され、デバイスBと通信した場合に、デバイスBは、中リスクであると判定でき、デバイスBと通信したデバイス(デバイスAを含まない)は、中リスクであると判定される。例えば、デバイスBと通信したがデバイスAとは通信しなかったデバイスCは、高リスクデバイスAから2分離度であることに基づいて、中リスクであると判定することができる。言い換えると、高リスクデバイス(例えば、デバイスA)の近隣デバイス(例えば、デバイスB)の近隣デバイス(例えば、デバイスC)は、中リスクであると判定することができる。
幾つかの実施形態では、異なる色は、高リスクデバイスからより離れた分離度であるデバイスに関連することができる。例えば、ピンク色又は緑色は、高リスクデバイスから離れた1又は2以上のデバイスであるデバイスを視覚的に描写するのに使用することができる。
ネットワーク監視デバイス102は、デバイスのリスクレベルを決定することにおいてデバイス間のトラフィックの帯域幅を解析することができる。このトラフィック帯域幅は、或る期間追跡された帯域幅利用のベースラインに基づいて決定することができる。例えば、2つのデバイスが、通常、これらのデバイス間の低トラフィック量を有するが、次に、通信帯域幅利用における大きなスパイクが観測された場合には、これら2つのデバイスは、中リスクであるか又は疑わしいと判定され、更なる監視を必要とする。別の実施例として、プリンタが、通常大量のデータを受け取り、比較的少量のデータを送ることが観測された場合、及び、プリンタが、現在大量のデータを送っていることが観測されたときに、プリンタは、高リスク又は中リスク又は疑わしいと判定することができ、更なる解析を必要とする。1つの実施形態では、ネットワーク監視デバイス102のオペレータは、1又は2以上のデバイスに割り当てられたリスクレベルを無効にすることができる(例えば、リスクレベルが誤検出に基づいている場合)。
ネットワーク監視デバイス102は更に、通信のパターンに基づいてデバイスのリスクを決定することができる。例えば、ネットワーク監視デバイス102は、モバイルデバイス及び特定のポートを識別するのに使用される特定のHTTPユーザエージェント文字列に基づいてネットワークトラフィックを監視して、特定のプロトコル及びデバイスタイプからのトラフィックを監視することができる。特定のHTTPユーザエージェント文字列及び特定のポートを使用するデバイスは、監視され、比較的少量のデータを送り、次に、わずかな時間待った後で別の比較的少量のデータを送るパターンで送信していることを見つけることができる。この通信パターンが、既知のウイルス又はボットネットに類似している場合には、デバイスは、中リスクであるか又は疑わしいと判断され、更なる解析を必要とする。別の実施例として、新しいプロキシデバイスがネットワークに追加され、多くのデバイスが、突然この新しいプロキシデバイスと通信している場合には、このデバイスは、中リスクがあると判定され、更なる解析を必要とする。例えば、プロキシデバイスに関する情報を含む通知は、IT管理者に送ることができる。
また、デバイス間の定期的な通信に関連するプロトコルは、デバイス間の通信が疑わしいか、又は更なる解析を必要とするかを判定するのに使用することもできる。例えば、2つのデバイスが、通常、第1のプロトコルを使用して通信し(例えば、観測されたネットワークトラフィックに基づいて)、別のプロトコルでの通信に切り替わる場合に、これらのデバイスは、中リスクであると判定されるか、又は更なる解析を必要とすることができる。
幾つかの実施形態では、閾値は、デバイスが中リスクであるか否かを判定するのに使用することができる。例えば、2つのデバイス間の異常な帯域幅利用に関する閾値が存在することができる。別の実施例として、ネットワーク上の5つのデバイスが、特定のプロトコルに関連する帯域幅閾値又はトラフィック閾値を超過する場合には、これら5つのデバイスは、高リスクであると判定され、赤色の点で描写することができる。次に、これら5つのデバイスは、ネットワークアクセスを変更すること(例えば、5つのデバイスのVLANを変更すること)に基づいて、ネットワークから切断することができる。
幾つかの実施形態では、ネットワーク監視デバイス102は、本明細書で言及される複数の基準に基づいてデバイスリスクスコアを決定することができる。例えば、これらの基準は、デバイスが高リスクデバイスと直接通信したか否か、デバイスからのトラフィック帯域幅が、予期されるトラフィック帯域幅から逸脱しているか否か、デバイスのプロトコル使用が、予期されるプロトコルから逸脱しているか否かなどを含むことができる。様々な実施形態では、ネットワークデバイスモニタ102のオペレータは、様々なリスクグループにデバイスを追加すること、移動すること、又はこれらのリスクグループからデバイスを削除することができる。実施形態は、複数のリスクグループ又はホットゾーンをサポートすることができる。
幾つかの実施形態では、ネットワーク監視デバイス102は、高リスクデバイスに隣接するホットゾーン又はデバイスグループから特定のデバイスを除外するように動作可能とすることができる。例えば、ネットワーク監視デバイス102は、中リスクであるとみなされるものから、ネットワークアクセス制御(NAC)デバイス、NAC管理デバイス、ルータ、又はその他のネットワーキングデバイスを除外するように動作可能とすることができる。ポート及びプロトコルは、特定のネットワークトラフィックを、高リスクデバイスと通信したデバイスを決定することにおいて考慮から除外するのに使用することができる。ネットワーク監視デバイス102は、デバイスを静的又は動的に除外することができる(例えば、ホットゾーンにあることから医療デバイスを除外することができる)。
ネットワーク監視デバイス102はまた、ネットワーク100全体にわたってデバイスの様々な状態を監視するように動作することができる。例えば、ネットワーク監視デバイス102は、各デバイスのパッチ状態を監視することができ、これによって、パッチサーバ上にインストールされたパッチが、ネットワーク上の各デバイスに伝わるに従って追跡してそれを視覚的に描写することができる。パッチのないデバイスは、赤色で表示され、その一方、パッチが適用されたデバイスは、緑色で描写することができる。従って、実施形態は、アップデート、パッチなどがネットワーク全体に伝わることを追跡して保証するのに使用することができる。
ネットワーク監視デバイス102は更に、様々なデバイス間の接続の追跡に基づいて、管理、機密データ、企業、非武装地帯(DMZ)システム又はデバイス間に分離又はエアギャップが存在するか否かを判定するように動作することができる。例えば、企業は、OTシステムとITシステムとを完全に分離することを望むこと場合がある。ネットワーク監視デバイス102は、OTデバイスと通信する各デバイス及びITデバイスと通信する各デバイスを監視して、ITデバイス及びOTデバイスが分離されていること(例えば、OTデバイスとのITデバイスの通信がないこと、及びその逆)を検証することができる。
ネットワークモニタデバイスは、デバイスの挙動プロファイルを使用してデバイスのリスクの決定を決定することもできる。例えば、デバイスがサーモスタット又は照明システムであり、デバイスが、通常、比較的少量のデータを一定間隔で送る場合である。デバイスが比較的大量のデータを不規則な間隔で別のデバイスに送るものとして検出されると、このデバイスは、中リスク又は高リスクであると判定され、更なる解析を受ける。従って、デバイスは、挙動プロファイル、プロトコル、ネットワークアクティビティ、トラフィック量を含むネットワークコンテキストに基づいて分類することができる。
ネットワーク監視デバイス102は、法医学分析に使用できるデバイスの挙動を保存することができる。保存されたデータは、攻撃がネットワークを通じてどのように広がるかを決定するのに使用することができる。データはまた、別のシステム(例えば、システム150)に送ることができる。データは、別のシステムによる解析分析の準備が整ったシステムに保存することができる。
デバイス130は、エージェント140を含むことができる。エージェント140は、デバイス130に関連する情報を収集して、この情報をネットワーク監視デバイス102に送るように構成されたハードウェアコンポーネント、ソフトウェアコンポーネント、又はこれらの幾つかの組み合わせとすることができる。これらの情報は、オペレーティングシステム、バージョン、パッチレベル、ファームウェアバージョン、シリアル番号、ベンダ(例えば、製造業者)、型式、資産タグ、デバイスで実行されるソフトウェア(アンチウイルスソフトウェア、マルウェア検出ソフトウェア、オフィスアプリケーション、ウェブブラウザ、通信アプリケーションなど)、デバイス上でアクティブであるか又は構成されているサービス、開放ポート、又はデバイスが通信するように構成された(例えば、デバイス上で実行されるサービスに関連する)ポート、媒体アクセス制御(MAC)アドレス、プロセッサ使用率、一意の識別子、コンピュータ名、アカウントアクセスアクティビティなどを含むことができる。エージェント140は、デバイス130と、エージェント140がデバイス130から利用できる情報とに基づいて、異なるレベル及び情報要素を提供するように構成することができる。エージェント140は、デバイス130に関連する情報のログを保存することができる。ネットワーク監視デバイス102は、エージェント140からのエージェント情報を利用することができる。
システム150は、ネットワーク監視デバイス102からの(例えば、それから分離された)1又は2以上の外部、リモート、又はサードパーティシステムとすることができ、デバイス120及び130並びにネットワーク結合デバイス122a及び122bに関する情報を有することができる。システム150は、脆弱性評価(VA)システム、脅威検出(TD)システム、モバイルデバイス管理(MDM)システム、ファイアウォール(FW)システム、スイッチシステム、アクセスポイントシステムなどを含むことができる。ネットワーク監視デバイス102は、本明細書で説明するように、システム150と通信して、デバイス120及び130並びにネットワーク結合デバイス122a及び122bに関する情報を周期的に得るように構成することができる。例えば、システム150は、デバイス120がコンピュータウイルス又は他のIOCを有するか否かを判定するように構成された脆弱性評価システムとすることができる。
脆弱性評価(VA)システムは、デバイスの脆弱性を識別、定量化、及び優先順位付け(ランク付けなど)するように構成することができる。VAシステムは、デバイスの資産及び能力又はリソースを分類して、定量化可能な値(又は少なくともランク順序)及び重要度をリソースに割り当てて、各リソースの脆弱性又は可能性のある脅威を識別することができる。VAシステムは、ネットワークモニタ102によって使用される前述の情報を提供することができる。
高度脅威検出(ATD)又は脅威検出(TD)システムは、他のセキュリティ制御が通過を許可した通信を検査するように構成することができる。ATDシステムは、限定されるものではないが、ソースレピュテーション、実行可能な解析、脅威レベルプロトコル解析などのデバイスに関する情報を提供することができる。従って、ATDシステムは、疑わしいファイルが、ネットワーク監視デバイス102によって監視されているデバイスにダウンロードされたか否かを報告することができる。
モバイルデバイス管理(MDM)システムは、モバイルデバイス、例えば、スマートフォン、タブレットコンピュータ、ラップトップ、及びデスクトップコンピュータを管理するように構成することができる。MDMシステムは、オペレーティングシステム、アプリケーション(例えば、実行中、存在、又はこれら両方)、データ、モバイルデバイスの構成設定値、及びアクティビティ監視を含む、MDMシステムによって管理されるモバイルデバイスに関する情報を提供することができる。MDMシステムは、詳細なモバイルデバイス情報を得るのに使用でき、この情報は、次に、ネットワーク監視デバイス102によるデバイス監視(例えば、デバイス通信を含む)に使用することができる。
ファイアウォール(FW)システムは、セキュリティルールに基づいて着信及び発信ネットワークトラフィックを監視及び制御するように構成することができる。FWシステムは、セキュリティルールに違反する試み(例えば、セグメントにわたって許可されていないアカウントアクセス)及び監視されるデバイスのネットワークトラフィックを含む、監視されるデバイスに関する情報を提供することができる。
スイッチ又はアクセスポイント(AP)システムは、ネットワークスイッチ又はアクセスポイント、例えば、ワイヤレスアクセスポイント、又はこれらの組み合わせを含む、様々なネットワークデバイス(例えば、ネットワークデバイス104又は集約デバイス106)の何れかとすることができ、ネットワークへのデバイスアクセスを提供するように構成される。例えば、スイッチ又はAPシステムは、MACアドレス情報、アドレス解決プロトコル(ARP)テーブル情報、デバイス命名情報、トラフィックデータなどをネットワーク監視デバイス102に提供することができ、これらの情報は、デバイスを監視すること及び1又は2以上のデバイスのネットワークアクセスを制御することに使用できる。スイッチ又はAPシステムは、本明細書で説明するように、IoTデバイス又は他のデバイス(例えば、ZigBee(商標)、Bluetooth(商標)など)と通信するための1又は2以上のインタフェースを有することができる。従って、VAシステム、ATDシステム、及びFWシステムは、アクセスされて、リアルタイムで監視されているデバイスの脆弱性、脅威、及びユーザ情報を得ることができ、これらの情報は、次に、デバイスのリスクレベルを判定するのに使用することができる。
集約デバイス106は、ネットワーク結合デバイス122a及び122bと通信して、ネットワーク結合デバイス122a及び122bへのネットワークアクセスを提供するように構成することができる。集約デバイス106は更に、ネットワーク結合デバイス122a及び122bに関する情報(例えば、オペレーティングシステム、デバイス名、存在するアプリケーション、実行中のアプリケーション、又はこれら両方、脆弱性、パッチレベルなど)をネットワーク監視デバイス102に提供するように構成することができる。集約デバイス106は、限定されるものではないが、Bluetooth(商標)、Wi−Fi(商標)、ZigBee(商標)、無線周波数識別(RFID)、ライトフィデリティ(Li−Fi)、Z−Wave、スレッド、ロングタームエボリューション(LTE)、Wi−Fi(商標)HaLow、HomePlug、Multimedia over Coax Alliance (MoCA)、及びイーサネットを含む複数の技術規格又はプロトコルを通じて多種多様のデバイスと通信するように構成されたワイヤレスアクセスポイントとすることができる。例えば、集約デバイス106は、イーサネット接続経由でネットワークデバイス104に結合されて、無線接続経由でネットワーク結合デバイス122a及び122bに結合することができる。集約デバイス106は、独自の拡張又は変更を伴う標準プロトコルを使用してネットワーク結合デバイス122a及び122bと通信するように構成することができる。
集約デバイス106は更に、ネットワーク結合デバイス122a及び122bのアクティビティ及び特性についてのログ情報をネットワーク監視デバイス102に提供することができる。ログ情報は、特に、安定したネットワーク環境(例えば、ネットワーク上のデバイスのタイプが頻繁に変化しない場合)に信頼性のあるものとすることができる。
図2は、本開示の態様及び実施構成による、ネットワーク上のデバイスの監視及びデバイスリスクの追跡に使用される例示的なネットワークグラフ200を示す。例示的なネットワークグラフ200は、ネットワーク(例えば、ネットワーク100)上のデバイス(例えば、デバイス120から130)を表す交点又はノード202から246を含む。ノード間のエッジ又は線は、デバイス間の通信に関連する。各ノードのリスクレベル及びノードのグループ化を含むネットワークグラフ200は、ネットワークに通信可能に結合されたデバイスを監視するように動作可能なデバイス(例えば、ネットワーク監視デバイス102)によって決定することができる。
ノード246及び202は、ポリシーの要件を満たしているデバイスを表す。例えば、ノード246及び202で表されるデバイスは、旧式の(例えば、1日以上経過した)ウイルス定義を有する場合、又はアンチスパイウェアソフトウェアをインストールさせていない場合がある。ポリシーに基づいて、これらのデバイスは、本明細書で説明するように、高リスクであると決定することができる(例えば、ネットワーク監視デバイス102によって)。ノード202及び246は、高リスクであることに基づいて、グラフィカルユーザインタフェースに赤色で表示することができる。
ノード204から210に関連するデバイスは、ノード202に関連するデバイスと通信したと判定され、ノード202に関連するデバイスと通信したことに基づいて、中リスクであるか又は疑わしいと判定される。ノード202から210は、ノード202に関連するデバイスと通信したことに基づいて、本明細書で説明するようにホットゾーン又はグループ260にグループ化される。
ノード240から244に関連するデバイスは、ノード246に関連するデバイスと通信したと判定され、ノード246に関連するデバイスと通信したことに基づいて、中リスクであるか又は疑わしいと判定される。ノード240から244は、ノード246に関連するデバイスと通信したことに基づいて、本明細書で説明するようにホットゾーン又はグループ250にグループ化される。ノード204から201及び240から244は、中リスクであることに基づいて、グラフィカルユーザインタフェースに黄色で表示することができる。
図3は、本開示の一実施構成による、ネットワークに通信可能に結合されたデバイスの様々なリスクレベルを示すネットワークグラフを含む例示的なグラフィカルユーザインタフェース300を示す。例示的なグラフィカルユーザインタフェース300は、ネットワーク(例えば、ネットワーク100)における通信を監視するデバイス(例えば、ネットワーク監視デバイス102)によって決定されるデバイス通信(例えば、デバイス120から130)を表すネットワークグラフを含む。例示的なグラフィカルユーザインタフェース300は、高リスク及び中リスクデバイスを有し選択されたホットゾーン又はグループを表す。
例示的なグラフィカルユーザインタフェース300は、デバイスを表す様々なノードを含む。例示的なグラフィカルユーザインタフェース300は、各ノードに関連するIPアドレスを含み、このIPアドレスは、そのノードに関連するデバイスのIPアドレスである。例えば、ノード302は、10.42.1.43のIPアドレスを有するデバイスを表し、ノード306は、10.42.1.152のIPアドレスを有するデバイスを表し、ノード308は、10.42.1.81のIPアドレスを有するデバイスを表す。ノード310は、216.89.51.3のIPアドレスを有するデバイスを表し、ノード312は、216.89.51.2のIPアドレスを有するデバイスを表す。例示的なグラフィカルユーザインタフェース300は、独立したネットワーク内に存在するデバイス及び単にこれら自身の間で通信しているデバイスを表すことができる。例えば、10.41.x.xアドレス範囲と216.x.x.xアドレス範囲内にあるデバイスは、独立したネットワーク上に存在すること、これらのデバイスのそれぞれのIPアドレス範囲内にあるデバイスと通信しているデバイスとすることができる。
例示的なグラフィカルユーザインタフェース300のネットワークグラフの線又はエッジは、2つのノード間のトラフィックの方向を矢印で示し、トラフィックの量を線の太さで示す。例えば、2つのノード間のトラフィックの大部分は、1つのノードから別のノードに向かう線上の矢印で示すことができる。線304は、ノード302とノード306とのの間の通信トラフィックの大部分がノード302からノード306に向かうことを表す。幾つかの実施形態では、線の太さはまた、帯域幅を示すのに使用することもでき、2つのデバイス間のより太い線は、より多くのトラフィックを示す。
幾つかの実施形態では、例示的なグラフィカルユーザインタフェース300におけるノードの大きさは、ノードが受け取るネットワークトラフィックの相対量を表す。例えば、このノード306は、比較的より小さいノード302又はノード308と比較して複数のノードからより多くのトラフィックを受け取ったため、ノード306は、より大きい。
例示的なグラフィカルユーザインタフェース300のネットワークグラフのノードは更に、リスクレベルに従って色付けすることができる。例えば、ノード306は、本明細書で説明するように、ポリシーに基づいて高リスクであると判定され、赤色に色付けすることができる。ノード302及び308は、本明細書で説明するように、ノード306との通信に基づいて中リスクであると判定され、黄色に色付けすることができる。線の太さ、ノードの大きさ、色、及び例示的なグラフィカルユーザインタフェース300の他の視覚的態様は、通信及びノードの様々な態様を区別するように様々な方法でカスタマイズできことが理解される。
幾つかの実施形態では、グラフィカルユーザインタフェースの要素は、グループ、IP範囲、トラフィックフィルタリング、セグメント、ポート、帯域幅(例えば、ビット毎秒(bps)単位)、パケット転送速度(例えば、パケット毎秒(pps)単位)、マッチしたポリシー、及び開始時刻から終了時刻に基づく、グループ(例えば、ポリシーに関連)の選択及びホットゾーン表示のフィルタリングを可能にすることができる。様々な実施形態では、1又は2以上のチェックボックス又はセレクタは、グラフのエッジ上のポート又はプロトコルの表示を可能にするように動作可能とすることができる。より多くのデータがグラフのエッジ上に示されるので、ズーム機能が、ズームインして、ネットワークの特定の部分及び関連データを閲覧するのに使用することができる。
図4を参照すると、フローチャート400は、様々な実施形態によって使用される例示的な機能を示している。特定の機能ブロック(「ブロック」)がフローチャート400に開示されているが、このようなブロックは一例である。すなわち、実施形態は、様々な他のブロック、又はフローチャート400に列挙されたブロックの変形例を実行するのによく適している。フローチャート400におけるブロックは、提示されたものと異なる順序で実行でき、フローチャート400におけるブロックのすべてが実行されなくてもよいことが理解される。
図4は、本開示の一実施構成による、デバイス監視のための方法の態様のフローチャートを示す。フローチャート400の様々な部分は、デバイス(例えば、ネットワーク監視デバイス102)の異なるコンポーネント(例えば、システム500のコンポーネント)によって実行することができる。フローチャート400は、デバイスを監視し、リスクレベルを決定し、任意選択で(例えば、ポリシーに従って)セキュリティアクションを実行する処理を示している。
ブロック402において、ネットワークに通信可能に結合された1又は2以上のデバイスが評価される。この評価は、受動的方法(例えば、ネットワークトラフィック監視)又は能動的方法(例えば、インストールされたソフトウェア又は他の特性についてデバイス自体に問い合わせること、又は他のシステム(例えば、システム150)に問い合わせること)を含むことができる。デバイスは、ポリシーの1又は2以上の条件を満たす又は満足させるデバイスが、高リスクレベルにあると判定されるポリシーに従って評価することができる。例えば、ポリシーは、アンチウイルス定義が1日以上経過しているという条件、又はアンチスパイウェアがインストールされていないという条件を有することができる。
ブロック404において、第1のデバイスに関連する第1のインジケータがアクセスされる。デバイスの評価の結果にアクセスでき、デバイスが高リスクであるというインジケータにアクセスすることができる。高リスクであると判定されたデバイスが存在しい場合には、ブロック402が実行され得る。
ブロック406において、第1のデバイスに関連する通信情報がアクセスされる。本明細書で説明するように、高リスクデバイスに関連する通信情報にアクセスすることができる。通信情報は、高リスクデバイスとの間の通信の詳細を含むことができる。
ブロック408において、第2のデバイスが、第1のデバイスと通信していると判定される。本明細書で説明するように、高リスクデバイスと通信したデバイスは、通信情報の解析に基づいて識別される。
ブロック410において、第2のデバイスに関連する第2のインジケータが設定される。本明細書で説明するように、高リスクデバイスと通信したデバイスに関連するリスクインジケータ又はリスクレベルは、中リスクレベルに設定することができる。
ブロック412において、第2のデバイスに関連する第2のインジケータが保存される。本明細書で説明するように、第2のデバイスが中リスクレベルであることを示す第2のインジケータは、後でアクセスされるように(例えば、ネットワークグラフで、例えばグラフィカルユーザインタフェース300の一部分として表示するために)保存することができる。
ブロック414において、1又は2以上のセキュリティアクションが、任意選択で実行される。セキュリティアクションは、通知(例えば、HTTP通知、アクセスを制限できるポータル経由での通知、ITチケット、電子メール、SMS、又はこれらの組み合わせ)、ネットワークアクセスの変更、アップデート又はパッチシステムの開始などを含むことができる。セキュリティアクションは、高リスクデバイス及び中リスクデバイスに対して実行することができる。幾つかの実施形態では、1つのセキュリティアクションが、高リスクデバイスに適用でき、別のセキュリティアクションが、中リスクデバイスに適用できる。
また、セキュリティアクションは、マルウェアが、デバイス、又はデバイスに関連する他のIOCで検出された場合、又は何らかの未知プロセスがデバイス上で実行されている場合に、高リスクデバイスで実行することもできる。次に、セキュリティアクションが開始して、IT部門に通知することができる。従って、ポリシーは、幾つかのイベント又は条件(例えば、ポリシーに対する違反、予期しない帯域幅利用、予期しないプロトコル使用など)に基づいて、通知(例えば、HTTP通知、アクセスを制限できるポータル経由での通知、ITチケット、電子メール、SMS、又はこれらの組み合わせ)、セキュリティアクション、又はこれらの組み合わせをトリガーすることができる。
幾つかの実施形態では、セキュリティアクションは、様々な機能を実行するために他のシステムに信号を送ることを含むことができる。例えば、ネットワークの1又は2以上の部分へのデバイスのアクセスを制限するようにファイアウォールに信号を送ることができる。アンチマルウェアスキャン又はアンチウイルススキャンは、通知を送る前に、デバイス上で開始することができる(例えば、通知は、マルウェア又はウイルスを見つけるスキャンの何れかを条件とすることができる)。
ブロック416において、第1及び第2のインジケータを表示することができる。本明細書で説明するように、第1及び第2のインジケータに関連するリスクレベルは、グラフィカルユーザインタフェース(例えば、グラフィカルユーザインタフェース300)の一部分として表示することができる(例えば、ネットワークグラフ内の赤色又は黄色のノードとして)。
ブロック418において、例えば、高リスクレベルを有する、解析される追加のデバイスが存在するか否かを判定する。追加の高リスクデバイスが存在する場合には、この追加のデバイスと通信した(例えば、中リスクであると判定できる)デバイスが存在するか否かを判定することができる。追加の高リスクデバイスが存在する場合に、ブロック408が実行され得る。追加の高リスクデバイスが存在しない場合には、ブロック402が実行され得る。
図5は、様々な実施形態によって使用される例示的なコンポーネントを示す。システム500内の特定のコンポーネントが開示されているが、このようなコンポーネントは一例であることを理解されたい。すなわち、本発明の実施形態は、様々な他のコンポーネント、又はシステム500に列挙されたコンポーネントの変形例を有するのによく適している。システム500内のコンポーネントは、提示されたもの以外の他のコンポーネントと共に動作することができ、システム500のコンポーネントのすべてが、システム500の目標を達成するために必要であるは限らないとすることができる。
図5は、本開示の一実施構成による、デバイスリスク監視のためのシステムの例示的なコンポーネントを示す。例示的なシステム500は、ネットワーク通信インタフェース502、外部システムインタフェース504、エージェントインタフェース506、トラフィックアナライザ508、リスク決定コンポーネント510、表示コンポーネント512、通知コンポーネント516、及びポリシーコンポーネント518を含む。システム500のコンポーネントは、コンピューティングシステム又は他の電子デバイス(例えば、ネットワーク監視デバイス102)又は仮想マシンの一部分とすることができ、ネットワークに通信可能に結合された1又は2以上のデバイスのリスクを監視するように動作することができる。例えば、システム500は更に、メモリと、このメモリに動作可能に結合された処理デバイスとを含むことができ、この処理デバイスは、システム500のコンポーネントの機能を実行すること、又はそのコンポーネントを実行することができる。システム500のコンポーネントは、監視されているデバイスに関連する様々なデータにアクセスして、デバイスに関連するリスクレベルを決定することができる。システム500のモジュール性は、コンポーネントが独立していることを可能にし、他のコンポーネントに影響を与えることなく、個々のコンポーネントをイネーブル又はディスエーブルするか、又はコンポーネントを拡張/アップグレードする柔軟性を可能にし、これによって、スケーラビリティ及び拡張性が提供されることが理解される。システム500は、フローチャート400の1又は2以上のブロックを実行することができる。
通信インタフェース502は、本明細書において説明するように、ネットワークに結合された1又は2以上のデバイス(例えば、ネットワークデバイス104)と通信するように動作することができ、これらのデバイスは、システム500に結合されており、ネットワークに結合されたデバイスに関する情報(例えば、1又は2以上のデバイスの通信に関連する情報)を受け取るか又はそれにアクセスする。通信インタフェース502は、デバイスがネットワークに結合されると、1又は2以上のコンポーネントと協働して、デバイスの監視、及びデバイスに関連するリスクの決定を開始するように動作可能とすることができる。
外部システムインタフェース504は、1又は2以上のサードパーティ、リモート、又は外部システムと通信して、解析又は評価されるデバイスに関する情報にアクセスするように動作可能である。外部システムインタフェース504は更に、アクセスされた情報をデータストアに保存することができる。例えば、外部システムインタフェース504は、1又は2以上のサードパーティシステムからのIOC情報にアクセスして、アクセスされた情報をデータストアに保存することができる。外部システムインタフェース504は、脆弱性評価(VA)システム、高度脅威検出(ATD)システム、モバイルデバイス管理(MDM)システム、ファイアウォール(FW)システム、スイッチシステム、アクセスポイント(AP)システムと通信するように動作可能とすることができる。外部システムインタフェース504は、APIを使用してサードパーティシステムに問い合わせを行うことができる。例えば、外部システムインタフェース504は、デバイスに関する情報について、又はファイアウォールに通信可能に結合されたデバイスのリストについて、ファイアウォールに問い合わせを行うことができる。幾つかの実施形態では、外部システムインタフェース504は、デバイス(例えば、高リスクデバイス)に関連する通信の情報についてファイアウォール又は他のシステムに問い合わせを行うことができる。
エージェントインタフェース506は、デバイスに関する情報を収集することができるデバイスのエージェント(例えば、エージェント140)と通信するように動作可能とすることができる。エージェントインタフェース506は、本明細書で説明するように、エージェントによって収集された情報(例えば、ローカルにインストールされたソフトウェアに関する情報、パッチ又はアップデートに関する情報など)を受け取ること又はそれにアクセスすることができる。
トラフィックアナライザ508は、監視されているデバイスとの間のネットワークトラフィックの解析を実行する(例えば、リアルタイムで)ように構成される。トラフィックアナライザ508は、ネットワークトラフィックのパケットにアクセスし(例えば、受動的に)、ネットワークトラフィックを解析するように動作可能なパケットエンジンを有することができる。例えば、通信要求に関連するパケットは、アクセスされ解析されて、デバイスが別のデバイスとの通信を開始しているか、又は別のデバイスから通信要求を受け取っているかを判定することができる。トラフィックアナライザ508は、能動的又は受動的なトラフィック解析又はこれらの組み合わせを実行するように構成することができる。トラフィックアナライザ508は更に、1又は2以上のデバイス(例えば、ネットワークデバイス104、システム150、又は集約デバイス106)から、又は監視されているデバイスからのトラフィックログにアクセスしてそれを解析することができる。トラフィックアナライザ508は更に、例えば、トラフィック解析がサードパーティシステムによって実行される場合に、監視されているデバイスに関連するトラフィック解析データにアクセスすることができる。
リスク決定コンポーネント510は、本明細書で説明するように、ネットワークに結合された1又は2以上のデバイスに関連するリスク情報にアクセスしてそれを管理(例えば、保存及び更新)するように構成される。リスク決定コンポーネント510は更に、本明細書で説明するように、1又は2以上のデバイスに関連する通信情報を使用して、高リスクデバイスと通信し、従って、中リスクであるか又は疑わしいと判定されるデバイスを決定するように構成される。
表示コンポーネント512は、本明細書で説明するように、任意選択で、様々なリスクレベル(例えば、リスク決定コンポーネント510によって決定される)を表すためのグラフィカルユーザインタフェース又は他のインタフェース(例えば、コマンドラインインタフェース)を表示するように構成される。幾つかの実施形態では、表示コンポーネント512は、グラフィカルユーザインタフェース(例えば、グラフィカルユーザインタフェース300)の一部分として表示するためのネットワークグラフを決定することができる。
通知コンポーネント516は、本明細書で説明するように、デバイスが高リスクもしくは中リスクであると判定されたか、又はポリシーの1又は2以上の条件を満たすことに基づいて通知を開始するように動作可能である。この通知は、本明細書で説明するように、様々な通知、例えば、ITチケット、電子メール、SMS、HTTP通知、アクセスを制限できるポータル経由での通知などの何れかとすることができる。
ポリシーコンポーネント518は、本明細書で説明するように、1又は2以上の修復アクション又はセキュリティアクションを開始又はトリガーするように動作可能である。ポリシーコンポーネント518は更に、コンプライアンス状態をチェックすること、開放ポートを見つけることなどを含む他の機能を実行するように構成することができる。ポリシーコンポーネント518は、本明細書で説明するように、ネットワークアクセスを制限し、パッチシステム又はサービスに信号を送り、更新システム又はサービスに信号を送り、1又は2以上のコンプライアンス問題に対処するためのアクションを開始することができる。従って、ポリシーコンポーネント518は、とりわけ、デバイスのネットワークアクセスを自動的にパッチ適用し、自動的に更新し、自動的に制限することができる。
アクションは、ネットワークアクセスを特定のレベルに制限すること(例えば、完全、制限、又はネットワークアクセスなし)と、修復アクション(例えば、パッチシステム又はサービスのトリガー、更新システム又はサービスのトリガー、サードパーティ製品のアクションのトリガーなど)と、情報アクション(例えば、ユーザ又はIT管理者への電子メール通知の送信、又はコンプライアンスのレベルを反映するITチケットの生成)と、ログアクション(例えば、コンプライアンスレベルのロギング又は保存)とを含むことができる。
システム500は、命令が符号化された非一時的コンピュータ可読媒体に保存されたソフトウェアとすることができ、この命令は、処理デバイスによって実行されたときに、この処理デバイスに、第1のデバイスに関連する第1のインジケータにアクセスさせ、第1のデバイスに関連する通信情報にアクセスさせる。第1のインジケータは、高くなったセキュリティリスクを示す。命令は更に、処理デバイスに、通信情報に基づいて第1のデバイスと通信している第2のデバイスを決定させることができる。通信情報は、第2のデバイスから第1のデバイスへの通信に関連する情報を含むことができる。命令は更に、処理デバイスに、第1のデバイスに関連する情報に基づいて、第2のデバイスに関連する第2のインジケータを設定させ、第2のデバイスに関連する第2のインジケータを保存させることができる。
幾つかの実施形態では、命令は更に、処理デバイスに、第2のインジケータに基づいてセキュリティアクションを実行させることができる。様々な実施形態では、第2のデバイスから第1のデバイスへの通信は、第2のデバイスから第1のデバイスへの試みられた通信を含む。幾つかの実施形態では、第2のインジケータは、選択されたプロトコルに関連する通信に基づいて決定される。
図6は、マシンに、本明細書で説明する方法のうちの任意の1又は2以上を実行させるための命令セットを実行できるコンピュータシステム600の例示的な形態でのマシンの図式表現を示す。代替実施形態では、マシンは、ローカルエリアネットワーク(LAN)、イントラネット、エクストラネット、又はインターネット内の他のマシンに接続(例えば、ネットワーク接続)することができる。マシンは、クライアントサーバネットワーク環境ではサーバもしくはクライアントマシンの能力で、又はピアツーピア(又は分散型)ネットワーク環境ではピアマシンとして動作することができる。マシンは、パーソナルコンピュータ(PC)、タブレットPC、セットトップボックス(STB)、携帯情報端末(PDA)、携帯電話、Webアプライアンス、サーバ、ネットワークルータ、スイッチもしくはブリッジ、ハブ、アクセスポイント、ネットワークアクセス制御デバイス、又はそのマシンによって行われるアクションを指定する一連の命令を実行できる(順次又はそれ以外の方法で)任意のマシンとすることができる。更に、単一のマシンのみが示されているが、「マシン」という用語はまた、本明細書で説明する方法のうちの1又は2以上を実行するための命令のセット(複数のセット)を個別に又は共同で実行するマシンの任意の集合体を含むものと解釈されたい。1つの実施形態では、コンピュータシステム600は、1又は2以上のデバイスを監視し、デバイスリスクを決定するように構成されたネットワーク監視デバイス102などのサーバを表すことができる。
例示的なコンピュータシステム600は、処理デバイス602と、メインメモリ604(例えば、読み出し専用メモリ(ROM)、フラッシュメモリ、ダイナミックランダムアクセスメモリ(DRAM))と、スタティックメモリ606(例えば、フラッシュメモリ、スタティックランダムアクセスメモリ(SRAM)など)と、バス630経由で互いに通信するデータストレージデバイス618とを含む。本明細書で説明する様々なバスを介して提供される信号の何れかは、他の信号と時分割多重化され、1又は2以上の共通バスを介して提供することができる。更に、回路コンポーネント又はブロック間の相互接続は、バス又は単一信号線として示すことができる。代替的に、バスの各々は、1又は2以上の単一信号線とすることができ、代替的に、単一信号線の各々は、バスとすることができる。
処理デバイス602は、マイクロプロセッサ、中央処理装置、又は同様のものなどの1又は2以上の汎用処理デバイスを表す。より具体的には、処理デバイスは、複雑命令セットコンピューティング(CISC)マイクロプロセッサ、縮小命令セットコンピュータ(RISC)マイクロプロセッサ、超長命令語(VLIW)マイクロプロセッサ、他の命令セットを実装するプロセッサ、又は命令セットの組み合わせを実装するプロセッサでとすることができる。処理デバイス602はまた、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、デジタル信号プロセッサ(DSP)、ネットワークプロセッサ、又は同様のものなどの1又は2以上の専用処理デバイスとすることもできる。処理デバイス602は、本明細書で説明する動作及びステップを実行するために、図5に示されているシステム500の一例であり得る処理ロジック626を実行するように構成される。
データストレージデバイス618は、機械可読記憶媒体628を含むことができ、本明細書に記載の機能の方法の何れか1又は2以上を具体化する命令622(例えば、ソフトウェア)の1又は2以上のセットが、この機械可読記憶媒体上に保存され、この命令は、処理デバイス602にデバイスモニタ500を実行させる命令を含む。命令622はまた、コンピュータシステム600によるその実行中に、完全に又は少なくとも部分的に、メインメモリ604内又は処理デバイス602内に常駐することができ、メインメモリ604及び処理デバイス602はまた、機械可読記憶媒体を構成する。命令622は更に、ネットワークインタフェースデバイス608経由でネットワーク620を介して送信又は受信することができる。
機械可読記憶媒体628はまた、本明細書で説明するように、デバイス監視のための方法を実行するための命令を保存するのに使用することもできる。機械可読記憶媒体628は、例示的な実施形態では単一の媒体であるように示されているが、「機械可読記憶媒体」という用語は、1又は2以上の命令セットを保存する単一の媒体又は複数の媒体(例えば、集中型又は分散型データベース、又は、関連するキャッシュ及びサーバ)を含むものと解釈されたい。機械可読媒体は、機械(例えば、コンピュータ)によって読み取り可能な形式(例えば、ソフトウェア、処理アプリケーション)で情報を保存するための任意の機構を含む。機械可読媒体は、限定されるものではないが、磁気記憶媒体(例えば、フロッピーディスケット)、光記憶媒体(例えば、CD−ROM)、光磁気記憶媒体、読み出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、消去可能プログラム可能メモリ(例えば、EPROM及びEEPROM)、フラッシュメモリ、又は電子命令を保存するのに適した別のタイプの媒体を含むことができる。
前述の説明は、本開示の幾つかの実施形態の十分な理解をもたらすように特定のシステム、コンポーネント、方法などの例などの多数の具体的な詳細を説明している。しかしながら、当業者であれば、本開示の少なくとも幾つかの実施形態は、これらの具体的な詳細なしに実施できることが明らかであろう。他の例では、本開示を不必要に不明確にしないように、公知のコンポーネント又は方法は、詳細に説明されないか、又は単純なブロック図の形式で提示される。従って、説明する具体的な詳細は、単なる例示である。特定の実施形態は、これらの例示的な詳細と異なるものとすることができ、依然として、本開示の範囲内であることが意図されている。
本明細書全体にわたる「1つの実施形態」又は「一実施形態」への言及は、これらの実施形態に関連して説明する特定の特徴、構造、又は特性が少なくとも1つの実施形態に含まれることを意味する。従って、本明細書全体にわたる様々な場所での「1つの実施形態において」又は「一実施形態において」という語句の出現は、必ずしもすべてが同じ実施形態を指しているとは限らない。加えて、「又は」という用語は、排他的な「又は」ではなく、包含的な「又は」を意味することが意図されている。
更に、幾つかの実施形態は、機械可読媒体が1つより多いコンピュータシステムに保存され、及び/又はこれによって実行される分散型コンピューティング環境で実施することができる。加えて、コンピュータシステム間で転送される情報は、これらのコンピュータシステムを接続する通信媒体を介して引き出すこと又は送り出すことができる。
特許請求される主題の実施形態は、限定されるものではないが、本明細書で説明する様々な動作を含む。これらの動作は、ハードウェアコンポーネント、ソフトウェア、ファームウェア、又はこれらの組み合わせによって実行することができる。
本明細書における方法の動作は、特定の順序で示され説明されているが、各方法の動作の順序は、特定の動作が逆の順序で実行できるように、又は特定の動作が、少なくとも部分的に、他の動作と同時に実行できるように変更することができる。別の実施形態では、別個の動作の命令又は下位動作は、断続的に又は交互に行うことができる。
要約書に記載されているものを含む、本発明の例示された実施構成についての上記の説明は、網羅的であること、又は本発明を開示された厳密な形態に限定することを意図するものではない。本発明の特定の実施構成及び実施例は、本明細書では例示目的で説明されているが、当業者が認識するように、本発明の範囲内で様々な同等の変更が可能である。「例」又は「例示的」という用語は、本明細書では、一例、事例、又は例証としての役割を果たすことを意味するために使用される。本明細書において「例」又は「例示的」として説明される任意の態様又は設計は、必ずしも、他の態様又は設計よりも好ましい又は好都合であると解釈されてはならない。そうではなく、「例」又は「例示的」という用語の使用は、概念を具体的に提示することを意図している。本出願で使用されている「又は」という用語は、排他的な「又は」ではなく、包含的な「又は」を意味することを意図している。すなわち、別段の指定のない限り、又は文脈から明らかでない限り、「Xは、A又はBを含む」は、自然な網羅的置換の何れかを意味することが意図されている。すなわち、XがAを含む、XがBを含む、又はXがA及びBの両方を含む場合に、前述の例の何れの条件下でも、「Xは、A又はBを含む」は満たされる。加えて、本出願及び特許請求の範囲で使用される冠詞「a」及び「an」は、別段の指定のない限り、又は文脈から明らかに単数形と指示されない限り、一般に「1又は2以上」を意味するように解釈されたい。本明細書を通した「一実施形態」又は「1つの実施形態」或いは「一実施構成」又は「1つの実施構成」という用語の使用は、そのようなものとして記載されていない限り、同じ実施形態又は実施構成を意味することを意図するものではない。更に、本明細書で使用される「第1」、「第2」、「第3」、「第4」などの用語は、異なる要素を区別するためのラベルを意味するものであり、必ずしもこれらの数値指定による順序を表す意味を有しない場合がある。

Claims (20)

  1. 第1のデバイスに関連し且つセキュリティリスクレベルを示す第1のインジケータにアクセスするステップと、
    前記第1のデバイスに関連する通信情報にアクセスするステップと、
    処理デバイスによって、前記通信情報に基づいて前記第1のデバイスと通信している第2のデバイスを決定するステップと、
    前記第1のデバイスに関連する情報に基づいて、前記第2のデバイスに関連する第2のインジケータを設定するステップと、
    前記第2のデバイスに関連する前記第2のインジケータを保存するステップと、
    を含む方法。
  2. 前記第2のインジケータに基づいて前記第2のデバイス上でアクションを実行するステップを更に含む、請求項1に記載の方法。
  3. 前記第1のデバイスとの前記第2のデバイスの通信は、前記第1のデバイスから前記第2のデバイスに送られる通信を含む、請求項1に記載の方法。
  4. 前記第1のデバイスとの前記第2のデバイスの通信は、前記第2のデバイスから前記第1のデバイスに送られる通信を含む、請求項1に記載の方法。
  5. 前記第1のデバイスとの前記第2のデバイスの通信は、前記第1のデバイスから前記第2のデバイスへの試みられた通信を含む、請求項1に記載の方法。
  6. 前記第2のデバイスに関連する第2のインジケータは、中リスクレベルを示す、請求項1に記載の方法。
  7. 前記第2のデバイスに関連する前記第2のインジケータを表示するステップを更に含む、請求項1に記載の方法。
  8. 前記第2のインジケータは、前記第1のデバイスと前記第2のデバイスとの間の通信に関連する帯域幅利用に基づいて設定される、請求項1に記載の方法。
  9. 前記第1のデバイスと前記第2のデバイスとの通信は、プロトコルに関連する、請求項1に記載の方法。
  10. メモリと、
    前記メモリに動作可能に結合された処理デバイスと、
    を備えるシステムであって、
    前記処理デバイスは、
    第1のデバイスに関連し且つ高いセキュリティリスクを示す第1のインジケータにアクセスし、
    前記第1のデバイスに関連する通信情報にアクセスし、
    前記処理デバイスによって、前記第1のデバイスから該第1のデバイスと通信している第2のデバイスへの通信に関連する情報を含む前記通信情報に基づいて、前記第2のデバイスを決定し、
    前記第1のデバイスに関連する情報に基づいて、前記第2のデバイスに関連する第2のインジケータを設定し、
    前記第2のデバイスに関連する前記第2のインジケータを保存する、
    ことを特徴とするシステム。
  11. 前記処理デバイスは更に、前記第2のインジケータに基づいてセキュリティアクションを実行する、請求項10に記載のシステム。
  12. 前記第1のデバイスから前記第2のデバイスへの通信は、前記第1のデバイスから前記第2のデバイスへの試みられた通信を含む、請求項10に記載のシステム。
  13. 前記第2のデバイスに関連する前記第2のインジケータは、中リスクレベルを示す、請求項10に記載のシステム。
  14. 前記処理デバイスは更に、第1の色に関連する前記第1のインジケータと第2の色に関連する前記第2のインジケータとを表示する、請求項10に記載のシステム。
  15. 前記第2のインジケータは、前記第1のデバイスと前記第2のデバイスとの間の通信に関連する帯域幅利用に基づいて設定される、請求項10に記載のシステム。
  16. 前記第2のインジケータは、前記プロトコルに関連する通信に基づいて決定される、請求項10に記載のシステム。
  17. 命令が符号化された非一時的コンピュータ可読媒体であって、前記命令は、処理デバイスによって実行されたときに、前記処理デバイスに対して、
    第1のデバイスに関連し且つ高いセキュリティリスクを示す第1のインジケータにアクセスし、
    前記第1のデバイスに関連する通信情報にアクセスし、
    前記処理デバイスによって、前記第1のデバイスと通信している第2のデバイスから前記第1のデバイスへの通信に関連する情報を含む前記通信情報に基づいて、前記第2のデバイスを決定し、
    前記第1のデバイスに関連する情報に基づいて、前記第2のデバイスに関連する第2のインジケータを設定し、
    前記第2のデバイスに関連する前記第2のインジケータを保存する、
    ようにする、ことを特徴とする非一時的コンピュータ可読媒体。
  18. 前記処理デバイスは更に、前記第2のインジケータに基づいてセキュリティアクションを実行する、請求項17に記載の非一時的コンピュータ可読媒体。
  19. 前記第2のデバイスから前記第1のデバイスへの通信は、前記第2のデバイスから前記第1のデバイスへの試みられた通信を含む、請求項17に記載の非一時的コンピュータ可読媒体。
  20. 前記第2のインジケータは、選択されたプロトコルに関連する通信に基づいて決定される、請求項17に記載の非一時的コンピュータ可読媒体。
JP2020532756A 2017-12-14 2018-10-12 コンテキストリスク監視 Active JP7212688B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/841,956 US10839084B2 (en) 2017-12-14 2017-12-14 Contextual risk monitoring
US15/841,956 2017-12-14
PCT/US2018/055609 WO2019118056A1 (en) 2017-12-14 2018-10-12 Contextual risk monitoring

Publications (2)

Publication Number Publication Date
JP2021507375A true JP2021507375A (ja) 2021-02-22
JP7212688B2 JP7212688B2 (ja) 2023-01-25

Family

ID=64083171

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020532756A Active JP7212688B2 (ja) 2017-12-14 2018-10-12 コンテキストリスク監視

Country Status (6)

Country Link
US (2) US10839084B2 (ja)
EP (1) EP3725054B1 (ja)
JP (1) JP7212688B2 (ja)
AU (1) AU2018383439B2 (ja)
CA (1) CA3083913C (ja)
WO (1) WO2019118056A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7433323B2 (ja) 2019-01-10 2024-02-19 シグニファイ ホールディング ビー ヴィ 照明ネットワークのセキュアな動作を提供する方法

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10904282B2 (en) * 2017-08-08 2021-01-26 American International Group, Inc. System and method for assessing cybersecurity risk of computer network
US10855702B2 (en) 2018-06-06 2020-12-01 Reliaquest Holdings, Llc Threat mitigation system and method
US11709946B2 (en) 2018-06-06 2023-07-25 Reliaquest Holdings, Llc Threat mitigation system and method
US10979447B2 (en) * 2018-08-30 2021-04-13 Ordr Inc. Presenting, at a graphical user interface, device photos and risk categories associated with devices in a network
US11252175B2 (en) * 2018-10-26 2022-02-15 Accenture Global Solutions Limited Criticality analysis of attack graphs
US11159555B2 (en) 2018-12-03 2021-10-26 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11277432B2 (en) * 2018-12-03 2022-03-15 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11184385B2 (en) 2018-12-03 2021-11-23 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
US11283825B2 (en) 2018-12-03 2022-03-22 Accenture Global Solutions Limited Leveraging attack graphs of agile security platform
US11281806B2 (en) 2018-12-03 2022-03-22 Accenture Global Solutions Limited Generating attack graphs in agile security platforms
USD926809S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926810S1 (en) 2019-06-05 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926782S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926200S1 (en) 2019-06-06 2021-07-27 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
USD926811S1 (en) 2019-06-06 2021-08-03 Reliaquest Holdings, Llc Display screen or portion thereof with a graphical user interface
US11956279B2 (en) * 2019-06-12 2024-04-09 Jfrog Ltd Cyber-security in heterogeneous networks
US11695795B2 (en) 2019-07-12 2023-07-04 Accenture Global Solutions Limited Evaluating effectiveness of security controls in enterprise networks using graph values
US11388175B2 (en) * 2019-09-05 2022-07-12 Cisco Technology, Inc. Threat detection of application traffic flows
US10754506B1 (en) * 2019-10-07 2020-08-25 Cyberark Software Ltd. Monitoring and controlling risk compliance in network environments
EP3872665A1 (en) 2020-02-28 2021-09-01 Accenture Global Solutions Limited Cyber digital twin simulator for security controls requirements
US11184402B2 (en) * 2020-03-25 2021-11-23 International Business Machines Corporation Resource access policy enforcement using a hypergraph
US11533332B2 (en) 2020-06-25 2022-12-20 Accenture Global Solutions Limited Executing enterprise process abstraction using process aware analytical attack graphs
US11411976B2 (en) 2020-07-09 2022-08-09 Accenture Global Solutions Limited Resource-efficient generation of analytical attack graphs
US11483213B2 (en) 2020-07-09 2022-10-25 Accenture Global Solutions Limited Enterprise process discovery through network traffic patterns
US11516222B1 (en) * 2020-09-28 2022-11-29 Amazon Technologies, Inc. Automatically prioritizing computing resource configurations for remediation
US11831675B2 (en) 2020-10-26 2023-11-28 Accenture Global Solutions Limited Process risk calculation based on hardness of attack paths
US11973790B2 (en) 2020-11-10 2024-04-30 Accenture Global Solutions Limited Cyber digital twin simulator for automotive security assessment based on attack graphs
US11863401B2 (en) 2021-02-22 2024-01-02 Ordr Inc. Visualization system for private networks and devices
US11880250B2 (en) 2021-07-21 2024-01-23 Accenture Global Solutions Limited Optimizing energy consumption of production lines using intelligent digital twins
US11895150B2 (en) 2021-07-28 2024-02-06 Accenture Global Solutions Limited Discovering cyber-attack process model based on analytical attack graphs

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009512922A (ja) * 2005-10-20 2009-03-26 インターナショナル・ビジネス・マシーンズ・コーポレーション ユーザのネットワーク活動に基づいたコンピュータ・セキュリティの動的調整のための方法およびシステム
JP2015095159A (ja) * 2013-11-13 2015-05-18 日本電信電話株式会社 評価方法及び評価装置
JP2015127843A (ja) * 2013-11-28 2015-07-09 日本電信電話株式会社 通信制御装置、通信制御方法、および通信制御プログラム
JP2018160170A (ja) * 2017-03-23 2018-10-11 富士通株式会社 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6642524B2 (en) * 2002-01-09 2003-11-04 Ge Medical Systems Global Technology Company, Llc Scintillator sealing for solid state X-ray detector
US7512649B2 (en) * 2002-03-22 2009-03-31 Sun Microsytems, Inc. Distributed identities
WO2005107150A1 (en) * 2004-04-30 2005-11-10 Research In Motion Limited Message service indication system and method
US7962960B2 (en) * 2005-02-25 2011-06-14 Verizon Business Global Llc Systems and methods for performing risk analysis
JP4886245B2 (ja) * 2005-08-26 2012-02-29 株式会社東芝 放射線検出器
US20080224883A1 (en) * 2007-03-15 2008-09-18 Motorola, Inc. Selection of mobile station alert based on social context
US8850043B2 (en) * 2009-04-10 2014-09-30 Raytheon Company Network security using trust validation
US8204448B2 (en) * 2009-08-07 2012-06-19 Clearwire Ip Holdings Llc Channel condition based signal quality feedback bandwidth allocation
CN102427359B (zh) * 2011-12-06 2014-03-26 四川和芯微电子股份有限公司 插值电路及插值系统
US9686302B2 (en) * 2013-12-30 2017-06-20 Anchorfree, Inc. System and method for security and quality assessment of wireless access points
US9584536B2 (en) * 2014-12-12 2017-02-28 Fortinet, Inc. Presentation of threat history associated with network activity
US9736165B2 (en) 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
US9900162B2 (en) * 2015-11-11 2018-02-20 At&T Mobility Ii Llc System and method for wireless network management
WO2017147411A1 (en) * 2016-02-25 2017-08-31 Sas Institute Inc. Cybersecurity system
US10460103B2 (en) * 2016-09-20 2019-10-29 International Business Machines Corporation Security for devices connected to a network
US9935818B1 (en) * 2017-05-02 2018-04-03 At&T Intellectual Property I, L.P. Diagnostic traffic generation for automatic testing and troubleshooting
US10944771B2 (en) * 2017-05-03 2021-03-09 Servicenow, Inc. Computing resource identification
US20190089611A1 (en) * 2017-09-20 2019-03-21 Cisco Technology, Inc. Switch health index for network devices
US11347879B2 (en) * 2018-09-07 2022-05-31 Truist Bank Determining the relative risk for using an originating IP address as an identifying factor

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009512922A (ja) * 2005-10-20 2009-03-26 インターナショナル・ビジネス・マシーンズ・コーポレーション ユーザのネットワーク活動に基づいたコンピュータ・セキュリティの動的調整のための方法およびシステム
JP2015095159A (ja) * 2013-11-13 2015-05-18 日本電信電話株式会社 評価方法及び評価装置
JP2015127843A (ja) * 2013-11-28 2015-07-09 日本電信電話株式会社 通信制御装置、通信制御方法、および通信制御プログラム
JP2018160170A (ja) * 2017-03-23 2018-10-11 富士通株式会社 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7433323B2 (ja) 2019-01-10 2024-02-19 シグニファイ ホールディング ビー ヴィ 照明ネットワークのセキュアな動作を提供する方法

Also Published As

Publication number Publication date
AU2018383439A1 (en) 2020-06-25
AU2018383439B2 (en) 2024-05-09
JP7212688B2 (ja) 2023-01-25
EP3725054C0 (en) 2023-07-05
EP3725054B1 (en) 2023-07-05
US20210056212A1 (en) 2021-02-25
US10839084B2 (en) 2020-11-17
US20190188389A1 (en) 2019-06-20
CA3083913A1 (en) 2019-06-20
EP3725054A1 (en) 2020-10-21
WO2019118056A1 (en) 2019-06-20
CA3083913C (en) 2024-03-19

Similar Documents

Publication Publication Date Title
JP7212688B2 (ja) コンテキストリスク監視
US11349867B2 (en) Rogue device detection including mac address spoofing detection
US11463482B2 (en) Adaptive access control management
US20220103592A1 (en) Enhanced risk assessment
US20210099473A1 (en) Anomaly detection including property changes
US20230269140A1 (en) Dynamic segmentation management
US20220092087A1 (en) Classification including correlation
US20240022592A1 (en) Visibility and scanning of a variety of entities
US20230319095A1 (en) Assessing entity risk based on exposed services
US20230370479A1 (en) Automatic generation of attack patterns for threat detection
US11792093B2 (en) Generating network system maps based on network traffic
US20230319075A1 (en) Network access control from anywhere
US11765066B2 (en) Configurable network traffic parser
US20240064158A1 (en) Automatic threat actor attribution based on multiple evidence
US20230319094A1 (en) Matching common vulnerabilities and exposures

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211012

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220905

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230113

R150 Certificate of patent or registration of utility model

Ref document number: 7212688

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150