添付図面に示す本発明の実施形態を詳細に参照する。同じ参照番号は、同じまたは類似の部分、構成要素、または動作を参照するために、図面全体で使用される場合がある。
図1は、本開示の一実施形態によるサイバーセキュリティ保護システム100の簡略化された機能ブロック図を示す。サイバーセキュリティ保護システム100は、事前対応型の不審ドメイン警告システム110と、1つまたは複数の脅威情報更新デバイスとを備える。事前対応型の不審ドメイン警告システム110は、サイバーセキュリティリスクを有する可能性があるドメインについて関連するドメイン脅威インテリジェンスを生成し、結果として生じるドメイン脅威インテリジェンスを各脅威情報更新デバイスに提供する。各脅威情報更新デバイスは、事前対応型の不審ドメイン警告システム110によって生成されたドメイン脅威インテリジェンスに従って、1つまたは複数の対応するクライアントネットワークシステムに関連する警告メッセージを提供し得る。各脅威情報更新デバイスは、クライアントネットワークシステム内の様々なネットワーキングデバイスがセキュリティリスクのあるドメインにアクセスすることによるサイバー攻撃を受けることを回避するように、対応するクライアントネットワークシステムのネットワーク接続動作を管理するために、適切なネットワーク管理デバイスと協働し得る。
例えば、例示的な脅威情報更新デバイス120、130、140を、図1の実施形態に示す。脅威情報更新デバイス120は、対応するクライアントネットワークシステム150のネットワーク接続動作を管理するために、ネットワーク管理デバイス152と協働し得、脅威情報更新デバイス130は、対応するクライアントネットワークシステム160のネットワーク接続動作を管理するために、ネットワーク管理デバイス162と協働し得、脅威情報更新デバイス140は、対応するクライアントネットワークシステム170のネットワーク接続動作を管理するために、ネットワーク管理デバイス172と協働し得る。
図1における脅威情報更新デバイス、クライアントネットワークシステム、およびネットワーク管理デバイスの数量は、単に例示の目的のためのものであり、サイバーセキュリティ保護システム100内の前述のデバイスおよびネットワークシステムの数量を特定の数値に制限することを意図するものではないことに留意されたい。サイバーセキュリティ保護システム100内の脅威情報更新デバイス、クライアントネットワークシステム、およびネットワーク管理デバイスの数値は、要件を考慮して柔軟に変更され得る。例えば、脅威情報更新デバイス120は、クライアントネットワークシステム150のネットワーク接続動作を管理するために、複数のネットワーク管理デバイス152と協働し得、脅威情報更新デバイス130は、クライアントネットワークシステム160のネットワーク接続動作を管理するために、複数のネットワーク管理デバイス162と協働し得、脅威情報更新デバイス140は、クライアントネットワークシステム170のネットワーク接続動作を管理するために、複数のネットワーク管理デバイス172と協働し得る。
実際のアプリケーションにおいて、前述のクライアントネットワークシステム150、160、および170は、様々な規模の企業、学校、研究機関、政府機関、または非営利組織の内部ネットワークシステムであり得、特定の数量のメンバーデバイス(図1には示さず)をそれぞれ備える。各クライアントネットワークシステムのメンバーデバイスの数量は、一桁の数、数十、数百、または千を超える数であり得る。加えて、各クライアントネットワークシステムの複数のメンバーデバイスは、同じ地理的領域内に配置され得、または異なる地理的領域(例えば、異なる都市または国)内に配置され得る。
前述のネットワーク管理デバイス152、162、および172は、ルータ、ネットワークゲートウェイ、アクセスポイントなどの、様々な適切なネットワークアクセス権限制御デバイスを用いて実現され得る。代替的には、前述のネットワーク管理デバイス152、162、および172は、様々なクラウドシステム上に構成された様々な適切なリモートサーバまたはコンピューティングデバイス(例えば、様々なプライベートクラウドシステムまたはパブリッククラウドプラットフォーム上の仮想マシン、コンピューティングモジュール、またはアプリケーションモジュール)を用いて実現され得る。
本明細書および特許請求の範囲全体で使用される「メンバーデバイス」という用語は、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、サーバ、NAS(ネットワーク接続ストレージ)、スマートテレビ、スマートフォン、スマートスピーカなどの、適切なデータ通信プロトコルをサポートしながら動作するように特定のオペレーティングシステム(例えば、Windows、Linux(登録商標)、macOS、Android、Chrome OS、HarmonyOSなど)を実行することができる様々な電子機器を指す。前述のデータ通信プロトコルは、TCP/IP(伝送制御プロトコル/インターネットプロトコル)通信プロトコル、UDP(ユーザデータグラムプロトコル)通信プロトコル、IEEE802.11シリーズ通信プロトコル、Bluetoothシリーズ通信プロトコルなどの、様々な有線伝送プロトコルまたはワイヤレスデータ通信プロトコルであり得る。
各クライアントネットワークシステム内の個々のメンバーデバイスは、適切なデータ伝送メカニズム(例えば、イントラネット、またはそれぞれのクライアントネットワークシステム内のデータ伝送ケーブル)を介して、別の1つまたは複数のメンバーデバイスと様々なデータを直接または間接的に通信し得る。動作において、クライアントネットワークシステム内のメンバーデバイスの一部は、データ通信を行うために有線データ伝送方式を採用し得、メンバーデバイスの他の部分は、データ通信を行うためにワイヤレスデータ伝送方式を採用し得る。言い換えれば、異なるメンバーデバイスは、異なるデータ伝送方式を採用し得る。
図1の実施形態において、事前対応型の不審ドメイン警告システム110は、ドメイン情報監視デバイス112と、ドメイン情報記憶デバイス114と、セキュリティ脅威分析デバイス116とを備える。ドメイン情報監視デバイス112は、1つもしくは複数の所定の領域のドメイン登録情報を断続的に収集および監視し、ドメインのドメイン年齢を検査し、ならびに/またはドメインのドメインマッピング変動を監視するように配置される。ドメイン情報記憶デバイス114は、ドメイン情報監視デバイス112と結合され、ドメイン情報監視デバイス112によって収集されたドメイン登録情報および/またはドメイン情報監視デバイス112によって生成された監視記録を記憶するように動作可能に配置される。セキュリティ脅威分析デバイス116は、ドメイン情報監視デバイス112およびドメイン情報記憶デバイス114と結合され、ドメイン情報監視デバイス112およびドメイン情報記憶デバイス114の動作を制御するように動作可能に配置される。セキュリティ脅威分析デバイス116は、ドメイン情報監視デバイス112によって収集されたドメイン登録情報および/またはドメイン情報監視デバイス112によって生成された監視記録に従って、サイバーセキュリティリスクのあるドメインについて関連するドメイン脅威インテリジェンスを生成し、生成されたドメイン脅威インテリジェンスを、適切なネットワーク(例えば、プライベートネットワークまたはインターネット)を介して前述の脅威情報更新デバイス120、130、140に送信するようにさらに動作可能に配置される。
本明細書および特許請求の範囲全体で使用される「ドメイン年齢(domain age)」という用語は、ドメインがその登録から存在していた時間の長さを指す。実際には、時間の長さは、分、時間、日などの様々な適切な時間単位によって測定され得る。
実際には、前述のドメイン情報監視デバイス112およびセキュリティ脅威分析デバイス116の各々は、様々な単一のプロセッサモジュール、複数のプロセッサモジュールの組合せ、単一のコンピュータシステム、複数のコンピュータシステムの組合せ、単一のサーバ、複数のサーバの組合せ、またはネットワーク接続能力と、計算能力と、データ処理能力とを有するクラウドコンピューティングシステムを用いて実現され得る。ドメイン情報記憶デバイス114は、様々な揮発性記憶デバイス、不揮発性記憶デバイス、データベースシステム、またはクラウド記憶システムを用いて実現され得る。
図1に示すように、脅威情報更新デバイス120は、通信回路122と、処理回路124と、記憶回路126とを備える。脅威情報更新デバイス130は、通信回路132と、処理回路134と、記憶回路136とを備える。脅威情報更新デバイス140は、通信回路142と、処理回路144と、記憶回路146とを備える。
脅威情報更新デバイス120において、通信回路122は、対応するクライアントネットワークシステム150およびネットワーク管理デバイス152に結合され、事前対応型の不審ドメイン警告システム110から送信されたドメイン脅威インテリジェンスと、クライアントネットワークシステム150内の複数のメンバーデバイスのネットワーキング挙動記録とを受信するように、適切なネットワーク(例えば、クライアントネットワークシステム150のイントラネット、またはインターネット)を介して、セキュリティ脅威分析デバイス116、ネットワーク管理デバイス152、およびクライアントネットワークシステム150の複数のメンバーデバイスとのデータ通信を行うように動作可能に配置される。処理回路124は、通信回路122と結合される。処理回路124は、通信回路122の動作を制御し、クライアントネットワークシステム150内のメンバーデバイスのドメインアクセス挙動を検査するように、受信したネットワーキング挙動記録を処理するように動作可能に配置される。処理回路124はまた、それぞれのメンバーデバイスが特定のドメインにアクセスするのをブロックするように、事前対応型の不審ドメイン警告システム110から送信されたドメイン脅威インテリジェンスに従って、クライアントネットワークシステム150内のそれぞれのメンバーデバイスのドメインアクセス挙動を直接制御(またはネットワーク管理デバイス152を介して間接的に制御)し得る。記憶回路126は、処理回路124に結合され、通信回路122によって受信されたドメイン脅威インテリジェンスと、クライアントネットワークシステム150内のメンバーデバイスのネットワーキング挙動記録とを記憶するように動作可能に配置される。
実際のアプリケーションにおいて、前述の脅威情報更新デバイス120は、クライアントネットワークシステム150が属する組織内に設置され得、またはクライアントネットワークシステム150が属する組織外の他の地理的場所において設置され得る。例えば、前述の脅威情報更新デバイス120は、独立したハードウェア機器の形態においてクライアントネットワークシステム150内に設定され得る。いくつかのアプリケーションにおいて、別の例として、前述の脅威情報更新デバイス120は、様々な適切なリモートサーバ、または様々なクラウドシステム上に構成されたコンピューティングデバイス(例えば、様々なプライベートクラウドシステムまたはパブリッククラウドプラットフォーム上の仮想マシン、コンピューティングモジュール、またはアプリケーションモジュール)を用いて実現され得る。
サイバーセキュリティ保護システム100内の他の脅威情報更新デバイスの各々(例えば、脅威情報更新デバイス130および140)は、脅威情報更新デバイス120と同様の主要な構成および構造を有し得る。加えて、他の脅威情報更新デバイスの主回路の動作は、脅威情報更新デバイス120の対応する回路の動作と同様であり得、他の脅威情報更新デバイスの主回路間の接続は、脅威情報更新デバイス120の対応する回路間の接続と同様であり得る。
脅威情報更新デバイス120、130、および140は、実際の実装形態において完全に同じ回路構造を有することに限定されず、各脅威情報更新デバイスのそれぞれの回路の動作は、他の脅威情報更新デバイスの対応する回路の動作と完全に同じであることに限定されないことに留意されたい。
実際には、前述の通信回路122、132、および142の各々は、様々な有線伝送回路、ワイヤレス伝送回路、上記の2つの通信メカニズムを統合する混合回路、またはクラウド通信システムを用いて実現され得る。処理回路124、134、および144の各々は、単一のプロセッサモジュール、複数のプロセッサモジュールの組合せ、単一のコンピュータシステム、複数のコンピュータシステムの組合せ、単一のサーバ、複数のサーバの組合せ、またはクラウドコンピューティングシステムを用いて実現され得る。記憶回路126、136、および146の各々は、様々な揮発性記憶デバイス、不揮発性記憶デバイス、データベースシステム、またはクラウド記憶システムを用いて実現され得る。
サイバーセキュリティ保護システム100によって行われるドメイン脅威評価の動作について、図2~図3を参照することによって以下にさらに説明する。図2~図3は、本開示の一実施形態による、新たに登録されたドメインがセキュリティ脅威を有するかどうかを判定するための方法の簡略化されたフローチャートをまとめて示す。
図2および図3のフローチャートにおいて、特定のデバイスの名前の下の列内の動作は、特定のデバイスによって実行されるべき動作である。例えば、「事前対応型の不審ドメイン警告システム」というラベルの下の列内の動作は、事前対応型の不審ドメイン警告システム110によって実行されるべき動作であり、「脅威情報更新デバイス」というラベルの下の列内の動作は、それぞれの脅威情報更新デバイス120、130、および140によって実行されるべき動作である。同じ類似の配置は、後続のフローチャートにも適用される。
図2に示すように、サイバーセキュリティ保護システム100が動作するとき、事前対応型の不審ドメイン警告システム110は、動作202を実行し、脅威情報更新デバイス120、130、および140は、図2の動作204を実行し得る。
動作202において、事前対応型の不審ドメイン警告システム110のドメイン情報監視デバイス112は、1つまたは複数の所定の領域のドメイン登録情報を収集および監視する。例えば、ドメイン情報監視デバイス112は、ある地域、いくつかの地域、または全世界における新たに登録されたドメインの関連情報を検索するように、様々なタイプのネットワーク登録管理機関のウェブサイトまたはサーバに接続し得る。
別の例として、ドメイン情報監視デバイス112は、ドメインネームシステム監視デバイス102によって収集されたドメイン登録情報を受信するように、適切なプライベートネットワークまたはインターネットを介して1つまたは複数のドメインネームシステム監視デバイス102に接続し得る。実際には、前述のドメインネームシステム監視デバイス102は、様々な単一のプロセッサモジュール、複数のプロセッサモジュールの組合せ、単一のコンピュータシステム、複数のコンピュータシステムの組合せ、単一のサーバ、複数のサーバの組合せ、またはネットワーク接続能力と、計算能力と、データ処理能力とを有するクラウドコンピューティングシステムを用いて実現され得る。
前述のドメインネームシステム監視デバイス102は、事前対応型の不審ドメイン警告システム110のオペレータおよび/または管理者によって管理および動作される機器であり得る。代替的には、ドメインネームシステム監視デバイス102は、他のサードパーティサービスプロバイダによって管理および動作される機器であり得る。
実際のアプリケーションにおいて、事前対応型の不審ドメイン警告システム110の動作中、ドメイン情報監視デバイス112は、動作202をリアルタイムで実行し得、または動作202を断続的もしくは定期的に実行し得る。一般的な状況において、新しいドメインが登録されてから5分から10分以内に、ドメイン情報監視デバイス112は、前述の手法を利用することによって、新たに登録されたドメインの関連情報を取得することができる。
動作204において、脅威情報更新デバイス120、130、および140は、それぞれ、対応するクライアントネットワークシステム150、160、および170のネットワーキング挙動を監視し得る。例えば、脅威情報更新デバイス120は、クライアントネットワークシステム150内のそれぞれのメンバーデバイスのネットワーキング挙動記録を検出および収集し得る。実際には、脅威情報更新デバイス120の処理回路124は、システムログ、起動後に自動的に実行されるプロセス、ファイル実行記録、および/または特定のタイプのファイルのメタデータなどの、対応するメンバーデバイス内に記憶された特定の不揮発性データの内容にアクセスして分析するために、ネットワーク管理デバイス152、またはクライアントネットワークシステム150のそれぞれのメンバーデバイス内にインストールされた所定のアプリケーションを利用し得る。処理回路124は、通信回路122を介して、前述の特定のアプリケーションによって返されたデータを受信し得る。
メンバーデバイスのオペレーティングシステムがWindowsシステムである場合、例えば、ネットワーク管理デバイス152または前述の所定のアプリケーションは、メンバーデバイス内に記憶された、Windows Event Log、Autorun Registry Schedule Job、Prefetchキャッシュ、Shimcacheおよび/もしくはAmcache、ならびに/または.exe/.dll/.sysフォーマットのPEファイル(ポータブル実行可能ファイル)のメタデータなどにアクセスして分析し、脅威情報更新デバイス120の通信回路122に送信し得る。
別の例として、メンバーデバイスのオペレーティングシステムがLinuxシステムである場合、ネットワーク管理デバイス152または前述の所定のアプリケーションは、メンバーデバイス内に記憶された、“/var/log/"ディレクトリの下のログ項目、Systemd、SysV initスクリプト、crontab、Upstart、.phpもしくは.jspフォーマットの動的ウェブページ、シェルスクリプト、機密ファイル、コマンド履歴、syslog、および/または.so/.koフォーマットのELFファイル(実行可能かつリンク可能なフォーマットファイル)のメタデータなどにアクセスして分析し、脅威情報更新デバイス120の通信回路122に送信し得る。
別の例として、メンバーデバイスのオペレーティングシステムがmacOSシステムである場合、ネットワーク管理デバイス152または前述の所定のアプリケーションは、メンバーデバイス内に記憶された、“/var/log/"ディレクトリの下のログ項目、“/Library/LaunchAgents/"ディレクトリの下の記録、“/Library/LaunchDaemons/"ディレクトリの下の記録、シェルスクリプト、コマンド履歴、および/またはMach-Oファイル(Machオブジェクトファイル)のメタデータなどにアクセスして分析し、脅威情報更新デバイス120の通信回路122に送信し得る。
前述の不揮発性データに加えて、ネットワーク管理デバイス152または前述の所定のアプリケーションは、メンバーデバイスのメモリ内の現在の内容および/またはメンバーデバイスのネットワーク活動などの、動作204におけるメンバーデバイスの特定の揮発性データの内容を検出および分析し、脅威情報更新デバイス120の通信回路122に送信し得る。例えば、ネットワーク管理デバイス152または前述の所定のアプリケーションは、外部ネットワークとの接続に関するメンバーデバイスのステータスを照会するために、ネットワーク接続照会コマンド「netstat」を利用し得、メンバーデバイスがアクセスを試みるドメインを検出するために、様々な手法を利用し得る。
動作において、ネットワーク管理デバイス152、前述の所定のアプリケーション、または処理回路124は、ネットワーキング挙動記録になるようにメンバーデバイスの多数の活動記録からネットワーキング活動に関連付けられている可能性がある活動記録をフィルタリングし、それによって、後続の段階において処理回路124によって処理または分析されるデータ量を低減するように、メンバーデバイスに関連する前述の特定の不揮発性データおよび/または揮発性データの内容に対して予備分析を行うために、様々なフィルタリングおよび決定アルゴリズムを採用し得る。
脅威情報更新デバイス130および140は、脅威情報更新デバイス120の前述の手法を採用することによって、対応するクライアントネットワークシステム160および170のネットワーキング挙動をそれぞれ監視し得る。簡潔にするために、ここでは説明を繰り返さない。実際のアプリケーションにおいて、脅威情報更新デバイス120、130、および140は、様々な分析および決定を行うために、クライアントネットワークシステム150、160、および170のネットワーキング活動に関する監視記録を事前対応型の不審ドメイン警告システム110にそれぞれ送信し得る。
ドメイン情報監視デバイス112が新たに登録されたドメインを発見すると、ドメイン情報監視デバイス112は、新たに登録されたドメインの関連情報をドメイン情報記憶デバイス114内に記憶し、セキュリティ脅威分析デバイス116に通知し得る。
例えば、ドメイン情報監視デバイス112が新たに登録されたドメインを発見するたびに、ドメイン情報監視デバイス112は、新たに登録されたドメインの関連情報をドメイン情報記憶デバイス114内に直接記憶し、セキュリティ脅威分析デバイス116に通知し得る。
代替的には、ドメイン情報監視デバイス112が新たに登録されたドメインを発見するたびに、ドメイン情報監視デバイス112は、まず、新たに登録されたドメインの現在のドメイン年齢を検査し、次いで、新たに登録されたドメインの現在のドメイン年齢が第1のしきい値未満である場合にのみ、新たに登録されたドメインの関連情報をドメイン情報記憶デバイス114内に記憶し、セキュリティ脅威分析デバイス116に通知し得る。
動作206において、セキュリティ脅威分析デバイス116は、ドメイン情報監視デバイス112によって報告された新たに登録されたドメインを不審なドメインとみなし、新たに登録されたドメインを不審リスト(suspect list)に追加し得る。
動作208において、セキュリティ脅威分析デバイス116は、ネットワークを介して、不審リストを脅威情報更新デバイス120、130、および140に送信し得る。実際には、セキュリティ脅威分析デバイス116は、不審リストの内容が変更されると、最新の不審リストを脅威情報更新デバイス120、130、および140にリアルタイムで送信し得る。代替的には、セキュリティ脅威分析デバイス116は、現在の不審リストを脅威情報更新デバイス120、130、および140に断続的または定期的に送信し得る。
ドメイン情報監視デバイス112およびセキュリティ脅威分析デバイス116は、上記の動作202から動作208を繰り返し得る。
動作210において、脅威情報更新デバイス120、130、および140は、セキュリティ脅威分析デバイス116から送信された不審リストを受信するために、通信回路122、132、および142をそれぞれ利用し得る。
動作212において、脅威情報更新デバイス120、130、および140は、クライアントネットワークシステム150、160、および170内のいずれかのメンバーデバイスが不審リスト内のドメインにアクセスしようとしたかどうかを判定するために、対応するクライアントネットワークシステム150、160、および170内のメンバーデバイスのドメインアクセス挙動をそれぞれ検査し得る。
例えば、脅威情報更新デバイス120の処理回路124は、クライアントネットワークシステム150内のいずれかのメンバーデバイスが不審リスト内のドメインにアクセスしようとしたかどうかを判定するために、動作212において、クライアントネットワークシステム150内のそれぞれのメンバーデバイスの前述のネットワーキング挙動記録に従って、クライアントネットワークシステム150内のそれぞれのメンバーデバイスのドメインアクセス挙動を分析し得る。
別の例として、ネットワーク管理デバイス152は、外部ネットワークとクライアントネットワークシステム150内のそれぞれのメンバーデバイスとの間のすべてのネットワークパケットを複製し、複製されたパケットを脅威情報更新デバイス120の通信回路122に送信し得る。動作212において、脅威情報更新デバイス120の処理回路124は、メンバーデバイスが不審リスト内のドメインにアクセスしようとしたかどうかを判定するために、前述のネットワークパケットの宛先アドレスフィールドおよび/または送信元アドレスフィールドの内容をチェックし得る。
さらに別の例として、ネットワーク管理デバイス152は、クライアントネットワークシステム150内のそれぞれのメンバーデバイスと外部ネットワークとの間のすべてのネットワークパケットの宛先アドレスフィールドおよび/または送信元アドレスフィールドの内容を複製し、複製された内容を脅威情報更新デバイス120の通信回路122に送信し得る。動作212において、脅威情報更新デバイス120の処理回路124は、メンバーデバイスが不審リスト内のドメインにアクセスしようとしたかどうかを判定するために、前述のフィールドの内容をチェックし得る。
さらに別の例として、ネットワーク管理デバイス152は、メンバーデバイスが不審リスト内のドメインにアクセスしようとしたかどうかを判定するために、クライアントネットワークシステム150内のそれぞれのメンバーデバイスと外部ネットワークとの間のすべてのネットワークパケットの宛先アドレスフィールドおよび/または送信元アドレスフィールドの内容をチェックし、判定結果を脅威情報更新デバイス120の通信回路122に送信し得る。動作212において、脅威情報更新デバイス120の処理回路124は、ネットワーク管理デバイス152から送信された判定結果に従って、クライアントネットワークシステム150内のいずれかのメンバーデバイスが不審リスト内のドメインにアクセスしようとしたかどうかを迅速に調べ得る。
同様に、脅威情報更新デバイス130は、脅威情報更新デバイス120の前述の動作手法を採用することによって、対応するクライアントネットワークシステム160内のメンバーデバイスのドメインアクセス挙動を検査するために、1つまたは複数の対応するネットワーク管理デバイス162と協働し得る。さらに、脅威情報更新デバイス140は、脅威情報更新デバイス120の前述の動作手法を採用することによって、対応するクライアントネットワークシステム170内のメンバーデバイスのドメインアクセス挙動を検査するために、1つまたは複数の対応するネットワーク管理デバイス172と協働し得る。
図2に示すように、不審リストを脅威情報更新デバイス120、130、および140に送信した後に、セキュリティ脅威分析デバイス116は、脅威情報更新デバイス120、130、および140の検査結果を待つために動作214を実行する。
セキュリティ脅威分析デバイス116が、脅威情報更新デバイス120、130、および140がドメインアクセス通知を生成するのを待つ期間中、セキュリティ脅威分析デバイス116は、動作216を断続的または定期的に実行するようにドメイン情報監視デバイス112に指示し得る。
動作216において、ドメイン情報監視デバイス112は、不審リスト内のそれぞれの不審なドメインの現在のドメイン年齢を検査し得る。ドメイン情報監視デバイス112が、不審リスト内の特定の不審なドメインの現在のドメイン年齢が前述の第1のしきい値をまだ超えていないことを発見した場合、事前対応型の不審ドメイン警告システム110は、動作214および動作216を繰り返し得る。この状況において、セキュリティ脅威分析デバイス116は、特定の不審なドメインを観察し続けるために、特定の不審なドメインを不審リスト内に保持する。
逆に、ドメイン情報監視デバイス112が、不審リスト内の特定の不審なドメインの現在のドメイン年齢が前述の第1のしきい値を超えていることを発見した場合、ドメイン情報監視デバイス112は、特定の不審なドメインの現在のドメイン年齢が前述の第1のしきい値を超えている状況を、セキュリティ脅威分析デバイス116に通知する。この状況において、セキュリティ脅威分析デバイス116は、動作218を実行する。
動作218において、セキュリティ脅威分析デバイス116は、特定の不審なドメインがこれまで明らかなサイバーセキュリティ脅威を有していないと判定し、不審リストから特定の不審なドメインを削除する。次いで、セキュリティ脅威分析デバイス116は、更新された不審リストを脅威情報更新デバイス120、130、および140に送信するために、動作208を実行する。
前述の第1のしきい値の時間の長さは、セキュリティ脅威分析デバイス116が不審リスト内の不審なドメインのドメイン脅威リスクを評価する観察時間の長さと感度とに関連する。実際には、前述の第1のしきい値は、1時間半、2時間、3時間、5時間、10時間、12時間、15時間、18時間、24時間、36時間、48時間、50時間、60時間、72時間、80時間、96時間、100時間などの、1時間と120時間との間の時間の長さを有するように構成され得る。
前述の説明から理解できるように、ドメイン情報監視デバイス112が新たに登録されたドメインを発見した後、新たに登録されたドメインは、不審なドメインとみなされ、セキュリティ脅威分析デバイス116による観察のために不審リストに追加される。不審リスト内の特定の不審なドメインのドメイン年齢が前述の第1のしきい値を超える前に、セキュリティ脅威分析デバイス116は、任意のクライアントネットワークシステム内のメンバーデバイスがこれまで特定の不審なドメインにアクセスすることを試みていない場合であっても、観察のために特定の不審なドメインを不審リスト内に保持する。その間、脅威情報更新デバイス120、130、および140は、対応するクライアントネットワークシステムが特定の不審なドメインにアクセスすることをブロックしない。
特定の不審なドメインのドメイン年齢が第1のしきい値を超えているが、任意のクライアントネットワークシステムの任意のメンバーデバイスによってまだアクセスされていない場合、セキュリティ脅威分析デバイス116は、特定の不審なドメインを不審リストから削除することに留意されたい。そのような手法は、不審リスト内の不審なドメインの量を低減し、これは、ドメイン情報監視デバイス112の計算負荷、ストレージ要件、および/またはメモリ要件を低減するだけでなく、脅威情報更新デバイス120、130、および140が動作212における前述の検査動作を実行する際の、それらの計算負荷、ストレージ要件、および/またはメモリ要件も低減する。実験的テストによれば、例えば、前述の第1のしきい値を1時間と72時間との間の時間の長さを有するように構成することによって、ドメイン情報監視デバイス112ならびに脅威情報更新デバイス120、130、および140の計算負荷、ストレージ要件、および/またはメモリ要件は、サイバーセキュリティ保護システム100のセキュリティ保護性能を大幅に低下させることなく、効果的に低減され得、したがって、前述のデバイスは、保護性能とリソース利用効率とにおいてよりバランスの取れた構成を有することができる。
一方、図2に示すように、動作212を実行するとき、脅威情報更新デバイスのいずれかが、対応するクライアントネットワークシステム内のいずれかのメンバーデバイスが不審リスト内のドメインにアクセスしようとすることを発見すると、脅威情報更新デバイスは、対応するドメインアクセス通知を生成し、事前対応型の不審ドメイン警告システム110に送信するために、動作220を実行し得る。この状況において、セキュリティ脅威分析デバイス116は、脅威情報更新デバイスによって生成されたドメインアクセス通知を受信するために、動作222を実行する。
例示的な目的のために、以下では、脅威情報更新デバイス120の処理回路124が、前述の動作212を実行するときに、対応するクライアントネットワークシステム150内の1つまたは複数のメンバーデバイスが不審リスト内の不審なドメインSD1にアクセスしようとすることを発見すると仮定する。
この状況において、処理回路124は、不審なドメインSD1に対応するドメインアクセス通知を生成するために動作220を実行し、通信回路122を介してドメインアクセス通知をセキュリティ脅威分析デバイス116に送信する。一方、セキュリティ脅威分析デバイス116は、脅威情報更新デバイス120によって生成されたドメインアクセス通知を受信するために、動作222を実行する。
不審なドメインSD1のドメイン年齢が現時点では前述の第1のしきい値を超えておらず、これは、不審なドメインSD1がつい先ごろ登録された新たに登録されたドメインであることを意味することに留意されたい。一般に、ほとんどの通常のドメインは、登録後、妥当な長さの時間内に公式に公に利用されない。加えて、新たに登録されたドメインの管理者または所有者を除いて、ほとんどの他の人は、理論的には、新たに登録されたドメインの存在を認識しないはずであり、したがって、一般的な状況において、その人達が新たに登録されたドメインにアクセスしようとするために自分のネットワーク機器を利用することはありそうもない。
しかしながら、クライアントネットワークシステム150のメンバーデバイスは、不審なドメインSD1の現在のドメイン年齢が前述の第1のしきい値に達する前に、不審なドメインSD1にアクセスしようとしている。これは、明らかに、通常の新たに登録されたドメインの典型的な利用パターンではない。
したがって、前述の不審なドメインSD1に対応するドメインアクセス通知を受信した後、セキュリティ脅威分析デバイス116は、不審なドメインSD1をサイバーセキュリティリスクを有するドメインとみなす。例えば、不審なドメインSD1は、フィッシング電子メール、フィッシングウェブサイト、もしくはフィッシングテキストを利用することによってサイバー攻撃を行うときにハッカーによって利用される悪意のあるドメインであると判定され得るか、不審なドメインSD1は、トロイの木馬がクライアントネットワークシステム150のメンバーデバイス内に正常に埋め込まれているかどうかをテストするためにハッカーによって利用されるテストドメインであると判定され得るか、または不審なドメインSD1は、ユーザデバイス内に埋め込まれた悪意のあるプログラムコードが接続したい悪意のあるドメインであると判定され得る。
この状況において、セキュリティ脅威分析デバイス116は、不審なドメインSD1を警告リストに追加するために、図3の動作302を実行する。その間、セキュリティ脅威分析デバイス116は、不審なドメインSD1を前述の不審リストから削除し得るか、または不審なドメインSD1を不審リスト内に一定期間保持し得る。
動作304において、セキュリティ脅威分析デバイス116は、ネットワークを介して、警告リストを脅威情報更新デバイス120、130、および140に送信し得る。実際には、セキュリティ脅威分析デバイス116は、警告リストの内容が変更されるとすぐに、最新の警告リストを脅威情報更新デバイス120、130、および140に送信し得る。代替的には、セキュリティ脅威分析デバイス116は、現在の警告リストを脅威情報更新デバイス120、130、および140に断続的または定期的に送信し得る。
動作306において、脅威情報更新デバイス120、130、および140は、セキュリティ脅威分析デバイス116から送信された警告リストを受信するために、通信回路122、132、および142をそれぞれ利用し得る。
動作308において、脅威情報更新デバイス120、130、および140は、対応するクライアントネットワークシステム内のメンバーデバイスが警告リスト内のドメインにアクセスするのをブロックし得る。例えば、脅威情報更新デバイス120の処理回路124は、警告リスト内のドメインに関する、クライアントネットワークシステム150内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、または警告リスト内のドメインに関する、クライアントネットワークシステム150内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス152に指示し得る。
同様に、脅威情報更新デバイス130の処理回路134は、警告リスト内のドメインに関する、クライアントネットワークシステム160内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、または警告リスト内のドメインに関する、クライアントネットワークシステム160内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス162に指示し得る。脅威情報更新デバイス140の処理回路144は、警告リスト内のドメインに関する、クライアントネットワークシステム170内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、または警告リスト内のドメインに関する、クライアントネットワークシステム170内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス172に指示し得る。
この実施形態において、単一の脅威情報更新デバイス120のみが、不審なドメインSD1に対応するドメインアクセス通知をセキュリティ脅威分析デバイス116に送信し、他の脅威情報更新デバイス130および140が、不審なドメインSD1に対応するいかなるドメインアクセス通知もセキュリティ脅威分析デバイス116に送信しない場合であっても、セキュリティ脅威分析デバイス116は、不審なドメインSD1を警告リストに依然として追加し、脅威情報更新デバイス120、130、および140に、不審なドメインSD1に関する、クライアントネットワークシステム150、160、および170内のすべてのメンバー回路のアクセス権限をブロックすることを開始させるために、警告リストを脅威情報更新デバイス120、130、および140に送信する。
言い換えれば、不審なドメインSD1が単一のクライアントネットワークシステム150内の1つまたはいくつかのメンバーデバイスによってアクセスされたことが発見されただけであるが、不審なドメインSD1は、セキュリティ脅威分析デバイス116によって警告リストに依然として追加され、それによって、脅威情報更新デバイス120、130、および140に、クライアントネットワークシステム150、160、および170内のすべてのメンバー回路が不審なドメインSD1にアクセスするのをブロックすることを開始させる。
したがって、不審なドメインSD1が、真に、サイバー攻撃を行うためにハッカーによって利用される悪意のあるドメイン、トロイの木馬をテストするためにハッカーによって利用されるテストドメイン、または特定のユーザデバイス内に埋め込まれた悪意のあるプログラムコードが接続したい悪意のあるドメインである場合であっても、脅威情報更新デバイス120、130、および140が、セキュリティ脅威分析デバイス116によって提供されたセキュリティ脅威インテリジェンス(すなわち、警告リスト)に従って、クライアントネットワークシステム150、160、および170内のすべてのメンバー回路が不審なドメインSD1にアクセスするのをブロックすることを開始しているので、不審なドメインSD1が、クライアントネットワークシステム150、160、および170内の他のメンバーデバイスにさらなる被害を与えることは困難である。
前述の説明から理解できるように、(その現在のドメイン年齢が第1のしきい値をまだ超えていないので)不審なドメインSD1がつい先ごろ登録された場合であっても、セキュリティ脅威分析デバイス116は、脅威情報更新デバイス120、130、および140が、クライアントネットワークシステム150、160、および170が不審なドメインSD1にアクセスするのをブロックすることを開始する時点を大幅に早めるように、任意の脅威情報更新デバイスが、任意のクライアントネットワークシステム内の任意のメンバーデバイスが不審なドメインSD1にアクセスしようとすることを発見する限り、不審なドメインSD1を警告リストに追加する。
結果として、新たに登録された不審なドメインSD1を利用することによってハッカーによって行われるサイバー攻撃に対する障害を作成し、それによって、ハッカーがサイバー攻撃を行う難易度を効果的に高めることができる。
別の態様から、前述の事前対応型の不審ドメイン警告システム110は、事前対応型のサイバーセキュリティ保護をクライアントネットワークシステム150、160、および170に提供し、それによって、クライアントネットワークシステム150、160、および170のサイバーセキュリティ保護レベルを改善し得る。
明らかに、前述のサイバーセキュリティ保護メカニズムは、ハッカーに使用するより多くのドメインを登録することを強制するので、サイバー攻撃を実装する際のハッカーのコストを大幅に増加させ、それによって、ハッカーによって開始されるサイバー攻撃の可能性を低減することができる。
図3に示すように、警告リストを脅威情報更新デバイス120、130、および140に送信した後、セキュリティ脅威分析デバイス116は、次いで、警告リスト内の不審なドメインに関するさらなるセキュリティ脅威評価結果または特定のコマンドを待つために、動作310を実行する。
例示的な目的のために、警告リストに追加された不審なドメインSD1を、以下の説明のための例として取り上げる。
例えば、セキュリティ脅威分析デバイス116は、ドメイン情報記憶デバイス114内に記録されたドメイン情報、または脅威情報更新デバイス120、130、および140によって収集されたクライアントネットワークシステム150、160、および170のネットワーキング挙動記録に従って、不審なドメインSD1のセキュリティリスクをさらに評価するために、様々な適切なアルゴリズムまたは統計的手法を採用し得る。
別の例として、ドメイン情報監視デバイス112は、不審なドメインSD1が他のセキュリティ脅威評価組織またはセキュリティ保護サービスプロバイダによって不審なドメインとして判定されるかどうかを照会するために、適切なプライベートネットワークまたはインターネットを介して1つまたは複数の不審ドメイン情報収集デバイス104に接続され得、セキュリティ脅威分析デバイス116が不審なドメインSD1のセキュリティリスクに対するさらなる評価を行うことができるように、照会結果をセキュリティ脅威分析デバイス116に報告し得る。実際には、前述の不審ドメイン情報収集デバイス104は、様々な単一のプロセッサモジュール、複数のプロセッサモジュールの組合せ、単一のコンピュータシステム、複数のコンピュータシステムの組合せ、単一のサーバ、複数のサーバの組合せ、またはネットワーク接続能力と、計算能力と、データ応答能力とを有するクラウドコンピューティングシステムを用いて実現され得る。
さらに別の例として、ドメイン情報監視デバイス112は、不審なドメインSD1のドメイン所有者情報を検査するように、適切なプライベートネットワークまたはインターネットを介して1つまたは複数のドメイン所有者情報検出デバイス106に接続され得、検査結果をセキュリティ脅威分析デバイス116に報告し得る。セキュリティ脅威分析デバイス116は、不審なドメインSD1のセキュリティリスクをさらに評価するために、不審なドメインSD1のドメイン所有者情報を、他の様々なネットワークセキュリティ情報と組み合わせ得る。実際には、前述のドメイン所有者情報検出デバイス106は、様々な単一のプロセッサモジュール、複数のプロセッサモジュールの組合せ、単一のコンピュータシステム、複数のコンピュータシステムの組合せ、単一のサーバ、複数のサーバの組合せ、またはネットワーク接続能力と、計算能力と、データ応答能力とを有するクラウドコンピューティングシステムを用いて実現され得る。
前述の不審ドメイン情報収集デバイス104および/またはドメイン所有者情報検出デバイス106は、事前対応型の不審ドメイン警告システム110のオペレータおよび/または管理者によって管理および動作される機器であり得る。代替的には、不審ドメイン情報収集デバイス104および/またはドメイン所有者情報検出デバイス106は、他のサードパーティサービスプロバイダによって管理および動作される機器であり得る。
別の例として、セキュリティ脅威分析デバイス116は、サイバーセキュリティアナリストが様々なユーティリティまたは手法を利用することによって不審なドメインSD1に対するセキュリティ脅威評価を行った後、専門のサイバーセキュリティアナリストによって発行される特定のコマンドを待ち得る。例えば、特定のコマンドは、不審なドメインSD1を高いセキュリティリスクを有する危険なリストに追加するための設定コマンドであり得る。
セキュリティ脅威分析デバイス116が、不審なドメインSD1が高いセキュリティリスクを有することを示す特定のリスク評価結果を生成した場合、またはセキュリティ脅威分析デバイス116が、サイバーセキュリティアナリストによって発行された、不審なドメインSD1を危険リストに追加するための設定コマンドを受信した場合、セキュリティ脅威分析デバイス116は、動作312を実行する。
動作312において、セキュリティ脅威分析デバイス116は、前述の特定のリスク評価結果または設定コマンドに従って、不審なドメインSD1を危険リストに追加し得る。実際には、不審なドメインSD1を危険リストに追加した後、セキュリティ脅威分析デバイス116は、不審なドメインSD1を警告リストからオプションで削除し得る。
動作314において、セキュリティ脅威分析デバイス116は、ネットワークを介して、危険リストを脅威情報更新デバイス120、130、および140に送信し得る。実際には、セキュリティ脅威分析デバイス116は、危険リストの内容が変更されるとすぐに、最新の危険リストを脅威情報更新デバイス120、130、および140に送信し得る。代替的には、セキュリティ脅威分析デバイス116は、現在の危険リストを脅威情報更新デバイス120、130、および140に断続的または定期的に送信し得る。
動作316において、脅威情報更新デバイス120、130、および140は、セキュリティ脅威分析デバイス116から送信された危険リストを受信するために、通信回路122、132、および142をそれぞれ利用し得る。
動作318において、脅威情報更新デバイス120、130、および140は、対応するクライアントネットワークシステム内のメンバーデバイスが危険リスト内のドメインにアクセスするのをブロックし得る。例えば、脅威情報更新デバイス120の処理回路124は、危険リスト内のドメインに関する、クライアントネットワークシステム150内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、または危険リスト内のドメインに関する、クライアントネットワークシステム150内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス152に指示し得る。
同様に、脅威情報更新デバイス130の処理回路134は、危険リスト内のドメインに関する、クライアントネットワークシステム160内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、または危険リスト内のドメインに関する、クライアントネットワークシステム160内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス162に指示し得る。脅威情報更新デバイス140の処理回路144は、危険リスト内のドメインに関する、クライアントネットワークシステム170内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、または危険リスト内のドメインに関する、クライアントネットワークシステム170内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス172に指示し得る。
図3に示すように、セキュリティ脅威分析デバイス116が警告リスト内の不審なドメインに関するセキュリティ脅威評価結果または特定のコマンドを待っている期間において、セキュリティ脅威分析デバイス116は、動作320を断続的または定期的に実行するようにドメイン情報監視デバイス112に指示し得る。
動作320において、ドメイン情報監視デバイス112は、警告リスト内のそれぞれの不審なドメインの現在のドメイン年齢を検査し得る。ドメイン情報監視デバイス112が、警告リスト内の特定の不審なドメインの現在のドメイン年齢が第2のしきい値をまだ超えていないことを発見した場合、事前対応型の不審ドメイン警告システム110は、動作310および動作320を繰り返し得る。この状況において、セキュリティ脅威分析デバイス116は、特定の不審なドメインを警告リスト内に保持する。
逆に、ドメイン情報監視デバイス112が、警告リスト内の特定の不審なドメインの現在のドメイン年齢が前述の第2のしきい値を超えていることを発見した場合、ドメイン情報監視デバイス112は、特定の不審なドメインの現在のドメイン年齢が前述の第2のしきい値を超えている状況を、セキュリティ脅威分析デバイス116に通知する。この状況において、セキュリティ脅威分析デバイス116は、動作322を実行する。
動作322において、セキュリティ脅威分析デバイス116は、特定の不審なドメインのサイバーセキュリティ脅威が高くないと判定し、警告リストから特定の不審なドメインを削除する。次いで、セキュリティ脅威分析デバイス116は、更新された警告リストを脅威情報更新デバイス120、130、および140に送信するために、動作304を実行する。
前述の第2のしきい値の時間の長さは、セキュリティ脅威分析デバイス116が警告リスト内の不審なドメインのドメイン脅威リスクを評価する観察時間の長さと感度とに関連する。実際には、第2のしきい値は、前述の第1のしきい値以上になるように構成され得る。この実施形態において、第2のしきい値は、15時間、18時間、24時間、36時間、48時間、50時間、60時間、72時間、80時間、96時間、100時間、110時間、120時間、150時間、168時間、180時間、200時間などの、12時間と200時間との間の時間の長さを有するように構成され得る。
例として警告リスト内に追加された前述の不審なドメインSD1を取り上げると、不審なドメインSD1のドメイン年齢が前述の第2のしきい値を超える前に、セキュリティ脅威分析デバイス116は、セキュリティ脅威分析デバイス116が、不審なドメインSD1が高いセキュリティリスクを有することを示す特定のリスク評価結果をまだ生成しておらず、また、不審なドメインSD1を危険リストに追加するための、サイバーセキュリティアナリストによって発行された設定コマンドを受信していない限り、不審なドメインSD1を評価のために警告リスト内に保持する。その間、脅威情報更新デバイス120、130、および140は、対応するクライアントネットワークシステムが不審なドメインSD1にアクセスするのをブロックし続ける。
不審なドメインSD1のドメイン年齢が第2のしきい値を超えているが、セキュリティ脅威分析デバイスによって危険リストにまだ追加されていない場合、セキュリティ脅威分析デバイス116は、不審なドメインSD1のサイバーセキュリティ脅威が高くないと判定し、不審なドメインSD1を警告リストから削除することに留意されたい。そのような手法は、警告リスト内の不審なドメインの量を低減し、これは、ドメイン情報監視デバイス112および/またはセキュリティ脅威分析デバイス116の計算負荷、ストレージ要件、および/またはメモリ要件を低減するだけでなく、動作308における前述のブロック動作を実行する際の、脅威情報更新デバイス120、130、および140の計算負荷、ストレージ要件、および/またはメモリ要件も低減する。実験的テストによれば、例えば、前述の第2のしきい値を24時間と168時間との間の時間の長さを有するように構成することによって、ドメイン情報監視デバイス112、セキュリティ脅威分析デバイス116、ならびに脅威情報更新デバイス120、130、および140の計算負荷、ストレージ要件、および/またはメモリ要件は、サイバーセキュリティ保護システム100のセキュリティ保護性能を大幅に低下させることなく、効果的に低減され得、したがって、前述のデバイスは、保護性能とリソース利用効率とにおいてよりバランスの取れた構成を有することができる。
別の態様から、適切な条件が満たされたときに警告リストから不審なドメインを削除する前述の手法はまた、関連するセキュリティ分析および比較動作を実行するときの、セキュリティ脅威分析デバイス116ならびに脅威情報更新デバイス120、130、および140の計算効率および反応速度を効果的に改善し得る。
加えて、前述の説明から理解できるように、警告リスト内にリストされたこれらのドメインは、一時的にブロックされるべきドメインである。前述の説明において詳述したように、警告リスト内の特定のドメインのドメイン年齢が第2のしきい値を超えているが、特定のドメインが危険リストにまだ追加されていない場合、セキュリティ脅威分析デバイス116は、特定のドメインを警告リストから削除する。結果として、脅威情報更新デバイス120、130、および140は、対応するクライアントネットワークシステム150、160、および170内のメンバーデバイスが特定のドメインにアクセスすることを可能にする。
比較すると、危険リスト内にリストされたこれらのドメインは、セキュリティ脅威分析デバイス116または他の専門のサイバーセキュリティアナリストによって高いサイバーセキュリティ脅威を有するものとして判定されるので、これらのドメインは、慢性的にブロックされるか、または恒久的にブロックされるべきドメインである。
以下において、サイバーセキュリティ保護システム100によって行われる、異なる特性を有するドメインに関するドメイン脅威を評価する動作について、図4から図5を参照してさらに説明する。図4~図5は、本開示の一実施形態による、ある時間期間にわたって登録されたドメインがセキュリティ脅威を有するかどうかを判定するための方法の簡略化されたフローチャートをまとめて示す。
図2の動作の前述の説明から理解できるように、不審なドメインのドメイン年齢が前述の第1のしきい値を超えているが、それらが任意のクライアントネットワークシステム内の任意のメンバーデバイスによってまだアクセスされていない場合、セキュリティ脅威分析デバイス116は、不審なドメインを不審リストから削除する。一態様から、不審なドメインは、ある時間期間にわたって登録された(すなわち、それらのドメイン年齢は、前述の第1のしきい値を超えている)が、これまでのところ関係のある明らかなサイバーセキュリティリスクを有するとは考えられないドメインである。
しかしながら、ハッカーは、悪意のあるドメインを利用することによってサイバー攻撃を行うために、様々なスキルおよび多様な手法を使用し得る。ハッカーは、悪意のあるプログラムコードが埋め込まれたメンバーデバイスのローカルアドレスを指すように悪意のあるドメインのドメインマッピングを意図的に構成し、それによって、悪意のあるドメイン、および/またはメンバーデバイス内に埋め込まれた悪意のあるプログラムコードを隠そうとする場合があることがわかった。メンバーデバイス内に埋め込まれた悪意のあるプログラムコードは、特定の時間期間、ネットワークを介して外部の悪意のあるドメインにアクセスせず、これは、悪意のあるプログラムコードに、スリープモードまたはインキュベーションモードに留まるように振る舞わせるので、専門のサイバーセキュリティアナリストおよび既存のサイバーセキュリティ保護ユーティリティが前述のシナリオにおいて悪意のあるドメインおよび悪意のあるプログラムコードの存在を検出することは、非常に困難である。
その後、ハッカーが悪意のあるドメインのドメインマッピングを外部のIPアドレスに変更した場合、メンバーデバイスは、容易にサイバー攻撃を受け、攻撃を他の関連デバイスに拡散することさえある。
前述のサイバー攻撃によって引き起こされる可能性があるクライアントネットワークシステムへの損害を低減するために、サイバーセキュリティ保護システム100は、ある時間期間にわたって登録されたドメインがセキュリティ脅威を有するかどうかを判定するために、図4~図5に示す方法を採用し得る。
図4に示すように、サイバーセキュリティ保護システム100が動作するとき、事前対応型の不審ドメイン警告システム110は、図4の動作402を実行し得る。その間、脅威情報更新デバイス120、130、および140は、クライアントネットワークシステム150、160、および170内のメンバーデバイスが前述の警告リストおよび危険リスト内のドメインにアクセスするのをブロックするために、図2~図3のフローチャートに示す前述の方法に従って動作し続け得る。
動作402において、事前対応型の不審ドメイン警告システム110のドメイン情報監視デバイス112は、ある時間期間にわたって登録された(すなわち、それらのドメイン年齢が前述の第1のしきい値を超えた)複数の不審なドメインのドメインマッピング変動を監視し得る。例えば、ドメイン情報監視デバイス112は、特定の地域、いくつかの地域、または全世界における登録されたドメインのドメインマッピング情報を探索するために、様々なタイプのドメイン登録管理機関のウェブサイトまたはサーバに接続し得る。
別の例として、ドメイン情報監視デバイス112は、ドメインネームシステム監視デバイス102によって収集されたドメインマッピング情報を受信するように、適切なプライベートネットワークまたはインターネットを介して1つまたは複数のドメインネームシステム監視デバイス102に接続し得る。実際には、前述のドメインネームシステム監視デバイス102は、様々な単一のプロセッサモジュール、複数のプロセッサモジュールの組合せ、単一のコンピュータシステム、複数のコンピュータシステムの組合せ、単一のサーバ、複数のサーバの組合せ、またはネットワーク接続能力と、計算能力と、データ処理能力とを有するクラウドコンピューティングシステムを用いて実現され得る。
一実施形態において、不審なドメインの前述のドメインマッピングは、不審なドメインのAレコードまたは不審なドメインのAAAAレコードを含む。
別の実施形態において、AレコードまたはAAAAレコードに加えて、不審なドメインの前述のドメインマッピングは、不審なドメインのNSレコードおよび/または不審なドメインのMXレコードも含む。
不審なドメインのドメインマッピングが変化しない場合、ドメイン情報監視デバイス112は、不審なドメインのドメインマッピング情報を、その後の異なる時点において複数回、断続的または定期的に検査するように動作402を繰り返し、それによって、不審なドメインのドメインマッピングが変化するかどうかを監視し得る。
逆に、ドメイン情報監視デバイス112が、不審なドメインのドメインマッピングが変化したことを発見した場合、ドメイン情報監視デバイス112は、不審なドメインの新しいドメインマッピングの宛先アドレスが、所定のローカルアドレス、または複数の所定のローカルアドレスのうちの1つを指すかどうかをさらに検査するために、動作404を実行する。例えば、ドメイン情報監視デバイス112は、不審なドメインの新しいドメインマッピングが、第1の所定のローカルアドレス「127.0.0.1」、第2の所定のローカルアドレス「0.0.0.0」、または前述の2つのローカルアドレスのうちのいずれか1つを示すかどうかを検査し得る。
説明の便宜上、以下、不審なドメインが前述の不審なドメインSD1であると仮定する。
ドメイン情報監視デバイス112が、不審なドメインSD1の新しいドメインマッピングが前述の第1の所定のローカルアドレスまたは第2の所定のローカルアドレスを実際に指すことを発見した場合、ドメイン情報監視デバイス112は、不審なドメインSD1の関連情報をドメイン情報記憶デバイス114内に記憶し、対応する通知をセキュリティ脅威分析デバイス116に送信し得る。セキュリティ脅威分析デバイス116は、次いで、通知を受信した後、不審なドメインSD1を追跡リストに追加するために動作406を実行する。
逆に、ドメイン情報監視デバイス112が、不審なドメインSD1の新しいドメインマッピングがいかなる所定のローカルアドレスも指していないことを発見した場合、ドメイン情報監視デバイス112は、不審なドメインSD1の関連情報をセキュリティ脅威分析デバイス116に送信し得る。セキュリティ脅威分析デバイス116は、次いで、不審なドメインSD1の関連情報を受信した後、不審なドメインSD1が追跡リストに追加されたかどうかをさらに判定する。
不審なドメインSD1が追跡リストに追加されていない場合、セキュリティ脅威分析デバイス116は、不審なドメインSD1がセキュリティ脅威を有していないか、または不審なドメインSD1のセキュリティ脅威が低いと判断する。この状況において、セキュリティ脅威分析デバイス116は、不審なドメインSD1を破棄するために動作408を実行する。
逆に、不審なドメインSD1がすでに追跡リスト内にある場合、セキュリティ脅威分析デバイス116は、不審なドメインSD1を追跡リスト内に保持するために動作410を実行する。
セキュリティ脅威分析デバイス116は、各不審なドメインのドメインマッピング変動頻度が所定のレベルを超えているかどうかを判定するために、追跡リスト内に追加または保持された各不審なドメインのドメインマッピング変動頻度を監視するようにドメイン情報監視デバイス112に指示する。
したがって、ドメイン情報監視デバイス112は、不審なドメインのドメインマッピング変動頻度を監視するために、追跡リスト内の個々の不審なドメインについて動作412を実行する。
例として不審なドメインSD1を取り上げると、ドメイン情報監視デバイス112は、不審なドメインSD1の対応するドメインマッピング変動頻度を生成し、ドメインマッピング変動頻度を前述の所定のレベルと比較するために、不審なドメインSD1のドメインマッピング変動履歴を記録し、不審なドメインSD1のドメインマッピングが所定の長さの時間内に変化する回数を計算し得る。
不審なドメインSD1のドメインマッピング変動頻度が前述の所定のレベルを超えない場合、ドメイン情報監視デバイス112は、セキュリティ脅威分析デバイス116が不審なドメインSD1を追跡リストから削除するまで、不審なドメインSD1のドメインマッピング変動頻度が前述の所定のレベルを超えているかどうかを監視し続けるために、動作412を断続的または定期的に繰り返し得る。
逆に、不審なドメインSD1のドメインマッピング変動頻度が前述の所定のレベルを超えている場合、ドメイン情報監視デバイス112は、対応する通知をセキュリティ脅威分析デバイス116に送信する。
一般に、ほとんどの通常のドメインの管理者または所有者は、ドメインのドメイン年齢が特定のレベル(すなわち、前述の第2のしきい値)を超えた後、通常は、特定のローカルアドレスを指すようにドメインマッピングを修正しない。さらに、特定のローカルアドレスを指すようにドメインマッピングを変更した後、しばらくの間、ドメインマッピングを頻繁に変更することも意味がない。
しかしながら、不審なドメインSD1のドメインマッピングは、最初に、前述の第1の所定のローカルアドレスまたは第2の所定のローカルアドレスを指すように変更され、次いで、ドメインマッピング変動頻度は、前述の所定のレベルを超える。これは、明らかに、通常のドメインの典型的な利用パターンではない。
したがって、不審なドメインSD1のドメインマッピング変動頻度が前述の所定のレベルを超えたことを示す通知をドメイン情報監視デバイス112から受信した後、セキュリティ脅威分析デバイス116は、不審なドメインSD1を、サイバーセキュリティリスクを有するドメインと判断する。例えば、セキュリティ脅威分析デバイス116は、不審なドメインSD1がハッカーによって故意に隠された悪意のあるドメインであると判断し得る。
この状況において、セキュリティ脅威分析デバイス116は、不審なドメインSD1をブロックリストに追加するために図5の動作502を実行する。
動作504において、セキュリティ脅威分析デバイス116は、ネットワークを介して、ブロックリストを脅威情報更新デバイス120、130、および140に送信し得る。実際には、セキュリティ脅威分析デバイス116は、ブロックリストの内容が変更されるとすぐに、最新のブロックリストを脅威情報更新デバイス120、130、および140に送信し得る。代替的には、セキュリティ脅威分析デバイス116は、現在のブロックリストを脅威情報更新デバイス120、130、および140に断続的または定期的に送信し得る。
動作506において、脅威情報更新デバイス120、130、および140は、セキュリティ脅威分析デバイス116から送信されたブロックリストを受信するために、通信回路122、132、および142をそれぞれ利用し得る。
動作508において、脅威情報更新デバイス120、130、および140は、対応するクライアントネットワークシステム内のメンバーデバイスがブロックリスト内のドメインにアクセスするのをブロックし得る。例えば、脅威情報更新デバイス120の処理回路124は、ブロックリスト内のドメインに関する、クライアントネットワークシステム150内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、またはブロックリスト内のドメインに関する、クライアントネットワークシステム150内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス152に指示し得る。
同様に、脅威情報更新デバイス130の処理回路134は、ブロックリスト内のドメインに関する、クライアントネットワークシステム160内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、またはブロックリスト内のドメインに関する、クライアントネットワークシステム160内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス162に指示し得る。脅威情報更新デバイス140の処理回路144は、ブロックリスト内のドメインに関する、クライアントネットワークシステム170内のすべてのメンバーデバイスのアクセス権限を直接ブロックし得るか、またはブロックリスト内のドメインに関する、クライアントネットワークシステム170内のすべてのメンバーデバイスのアクセス権限をブロックするように、対応するネットワーク管理デバイス172に指示し得る。
この実施形態において、前述の脅威情報更新デバイス120、130、および140が、不審なドメインSD1に対応する任意のドメインアクセス通知または他のセキュリティ脅威参照情報をセキュリティ脅威分析デバイス116に送信しない場合であっても、不審なドメインSD1のドメインマッピング変動およびドメインマッピング変動頻度に関するドメイン情報監視デバイス112の監視結果が前述の条件を満たす限り、セキュリティ脅威分析デバイス116は、脅威情報更新デバイス120、130、および140に、不審なドメインSD1に関する、クライアントネットワークシステム150、160、および170内のすべてのメンバー回路のアクセス権限をブロックすることを開始させるために、不審なドメインSD1をブロックリストに追加し、ブロックリストを脅威情報更新デバイス120、130、および140に送信する。
言い換えれば、ハッカーが、不審なドメインSD1のドメインマッピングをときには所定のローカルアドレスを指すように故意に構成することによって、不審なドメインSD1、および/またはメンバーデバイス内に埋め込まれた悪意のあるプログラムコードを隠すそうとする場合であっても、その後、不審なドメインSD1のドメインマッピング変動頻度が所定のレベルを超えている限り、セキュリティ脅威分析デバイス116は、不審なドメインSD1をブロックリストに依然として追加することができる。
結果として、不審なドメインSD1および/または悪意のあるプログラムコードを隠そうとするハッカーの試みを破壊することができ、不審なドメインSD1を利用することによってハッカーによって行われるサイバー攻撃に対する障害を作成し、それによって、ハッカーがサイバー攻撃を行う難易度を効果的に高めることもできる。
さらに、前述のサイバーセキュリティ保護メカニズムは、ハッカーが異なる時間期間において同じ不審なドメインSD1を繰り返し利用することによってサイバー攻撃を行うことの難易度を高め、ハッカーに使用するより多くのドメインを登録することを強制し得るので、サイバー攻撃を実装する際のハッカーのコストを大幅に増加させ、それによって、ハッカーによって開始されるサイバー攻撃の可能性を低減することができる。
別の態様から、前述の事前対応型の不審ドメイン警告システム110は、事前対応型のサイバーセキュリティ保護をクライアントネットワークシステム150、160、および170に提供し、それによって、クライアントネットワークシステム150、160、および170のサイバーセキュリティ保護レベルを改善し得る。
図5に示すように、セキュリティ脅威分析デバイス116は、不審なドメインSD1のドメインマッピング変動を監視し続けるために、不審なドメインSD1をブロックリストに追加した後、動作510を実行するようにドメイン情報監視デバイス112に指示する。
動作510において不審なドメインSD1のドメインマッピング変動を監視するためにドメイン情報監視デバイス112によって採用される手法は、動作402において採用される前述の手法と実質的に同じである。簡潔にするために、ここでは説明を繰り返さない。
同様に、ドメイン情報監視デバイス112が、不審なドメインSD1のドメインマッピングが再び変化することを発見した場合、ドメイン情報監視デバイス112は、不審なドメインSD1の新しいドメインマッピングの現在の宛先アドレスが、前述の第1の所定のローカルアドレス、または前述の第2の所定のローカルアドレス、または前述の2つの所定のローカルアドレスのうちのいずれか1つを指すかどうかをさらに検査するために、動作512を実行する。
ドメイン情報監視デバイス112が、不審なドメインSD1の新しいドメインマッピングがいかなる所定のローカルアドレスも指していないことを発見した場合、ドメイン情報監視デバイス112は、不審なドメインSD1のドメインマッピング変動を監視し続けるために動作510を繰り返す。この状況において、セキュリティ脅威分析デバイス116は、不審なドメインSD1をブロックリスト内に依然として保持する。したがって、脅威情報更新デバイス120、130、および140は、クライアントネットワークシステム150、160、および170内のすべてのメンバーデバイスが不審なドメインSD1にアクセスするのをブロックし続ける。
逆に、ドメイン情報監視デバイス112が、不審なドメインSD1の新しいドメインマッピングが前述の第1の所定のローカルアドレスまたは第2の所定のローカルアドレスを再び指すことを発見した場合、ドメイン情報監視デバイス112は、対応する通知をセキュリティ脅威分析デバイス116に送信する。セキュリティ脅威分析デバイス116は、次いで、通知を受信した後、動作514を実行する。
動作514において、セキュリティ脅威分析デバイス116は、不審なドメインSD1によって引き起こされた以前のサイバーセキュリティ脅威が一時的に解除されたと判断する。これは、不審なドメインSD1の新しいドメインマッピングが前述の第1の所定のローカルアドレスまたは第2の所定のローカルアドレスを指すように変更された後、悪意のあるプログラムコードが外部の悪意のあるドメインに一時的にアクセスしないので、悪意のあるプログラムコードがメンバーデバイス内に埋め込まれた場合であっても、不審なドメインSD1が一時的にサイバーセキュリティ脅威を引き起こさないためである。
したがって、セキュリティ脅威分析デバイス116は、動作514においてブロックリストから不審なドメインSD1を削除するが、不審なドメインSD1を追跡リスト内に依然として保持する。この状況において、ドメイン情報監視デバイス112は、不審なドメインSD1のドメインマッピング変動頻度を監視し続けるために、前述の動作412を繰り返す。
前述の説明から理解できるように、不審なドメインSD1がブロックリストに追加された後、不審なドメインSD1のドメインマッピングが前述の第1の所定のローカルアドレスまたは第2の所定のローカルアドレスを指すように再び変更された場合、セキュリティ脅威分析デバイス116は、不審なドメインSD1によって引き起こされたサイバーセキュリティ脅威が一時的に解除されたと判断する。したがって、セキュリティ脅威分析デバイス116は、ブロックリストから不審なドメインSD1を削除する。そのような手法は、ブロックリスト内の不審なドメインの量を低減し、これは、ドメイン情報監視デバイス112および/またはセキュリティ脅威分析デバイス116の計算負荷、ストレージ要件、および/またはメモリ要件を低減するだけでなく、動作508における前述のブロック動作を実行する際の、脅威情報更新デバイス120、130、および140の計算負荷、ストレージ要件、および/またはメモリ要件も低減する。
別の態様から、適切な条件が満たされたときにブロックリストから不審なドメインを削除する前述の手法は、関連するセキュリティ分析および比較動作を実行するときの、セキュリティ脅威分析デバイス116ならびに脅威情報更新デバイス120、130、および140の計算効率および反応速度を効果的に改善することもできる。
加えて、図4から図5におけるフローチャートから理解できるように、ドメイン情報監視デバイス112が、不審なドメインSD1のドメインマッピング変動頻度がもう一度所定のレベルを超えたことを発見した場合、セキュリティ脅威分析デバイス116は、不審なドメインSD1をブロックリストに再びタイムリーに追加するために、図5の動作502を実行する。この状況において、脅威情報更新デバイス120、130、および140は、不審なドメインSD1に関する、クライアントネットワークシステム150、160、および170内のすべてのメンバー回路のアクセス権限を再びブロックし始める。
したがって、不審なドメインSD1が、真に、サイバー攻撃を行うためにハッカーによって利用される悪意のあるドメイン、トロイの木馬をテストするためにハッカーによって利用されるテストドメイン、または特定のユーザデバイス内に埋め込まれた悪意のあるプログラムコードが接続したい悪意のあるドメインである場合であっても、セキュリティ脅威分析デバイス116が、脅威情報更新デバイス120、130、および140に提供されるべきセキュリティ脅威インテリジェンス(すなわち、ブロックリスト)をタイムリーに更新し、したがって、不審なドメインSD1によってクライアントネットワークシステム150、160、170に引き起こされ得る損害を、非常に限られた範囲において効果的に制限することができるので、不審なドメインSD1が、クライアントネットワークシステム150、160、および170内の他のメンバーデバイスにさらなる損害を引き起こすことは困難である。
図4から図5における前述の手法を採用することによって、事前対応型の不審ドメイン警告システム110は、不審なドメインSD1が実質的な損害を引き起こす前に、脅威情報更新デバイス120、130、および140に、クライアントネットワークシステム150、160、および170内のすべてのメンバーデバイスが不審なドメインSD1にアクセスするのをブロックすることを開始させる機会を有する。結果として、サイバーセキュリティ保護システム100によって採用される前述のセキュリティ保護メカニズムは、ハッカーが不審なドメインSD1を利用することによって行いたいサイバー攻撃を完全に抑制することができ得る。
別の態様から、ある時間期間にわたって登録された不審なドメインが潜在的なサイバーセキュリティ脅威を有するかどうかを評価するために、図4から図5における前述の手法を採用することによって、古いドメインを利用することによってハッカーによって行われるサイバー攻撃に対する障害を作成し、それによって、ハッカーがサイバー攻撃を行う難易度を効果的に高めることができる。
明らかに、前述のサイバーセキュリティ保護メカニズムは、ハッカーに使用するより多くのドメインを登録することを強制するので、サイバー攻撃を実装する際のハッカーのコストを大幅に増加させ、それによって、ハッカーによって開始されるサイバー攻撃の可能性を低減することができる。
したがって、前述の事前対応型の不審ドメイン警告システム110は、事前対応型のサイバーセキュリティ保護をクライアントネットワークシステム150、160、および170に提供し、それによって、クライアントネットワークシステム150、160、および170のサイバーセキュリティ保護レベルを改善し得る。
前述のサイバーセキュリティ保護システム100のアーキテクチャは、実際の実装形態に対する制限ではなく、単に例示的な実施形態であることに留意されたい。例えば、前述のドメインネームシステム監視デバイス102、不審ドメイン情報収集デバイス104、および/またはドメイン所有者情報検出デバイス106の機能は、ドメイン情報監視デバイス112に統合され得る。この状況において、図1におけるドメインネームシステム監視デバイス102、不審ドメイン情報収集デバイス104、および/またはドメイン所有者情報検出デバイス106の機能ブロックは、省略され得る。
別の例について、ネットワーク管理デバイス152、162、および172の機能は、対応する脅威情報更新デバイス120、130、および140にそれぞれ統合され得る。この状況において、図1におけるネットワーク管理デバイス152、162、および172の機能ブロックは、省略され得る。
加えて、図4から図5の動作は、前述の実施形態における図2の動作の後に行われるが、これは、実際の実装形態に対する制限ではなく、単に例示的な実施形態である。例えば、サイバーセキュリティ保護システム100は、図2または図3における前述の動作を不審なドメインに対して事前に実行することなく、図4から図5における前述の手法を採用することによって、ある時間期間にわたって登録されたドメイン(すなわち、それらのドメイン年齢は、前述の第1のしきい値を超える)を不審なドメインと直接判断し、不審なドメインのセキュリティ脅威を評価し得る。
いくつかの用途において、図2の前述の動作204は、脅威情報更新デバイス120、130、および140の計算負荷を軽減するために省略され得る。結果として、脅威情報更新デバイス120、130、および140は、より単純なハードウェア構造、ソフトウェアモジュール、またはクラウドモジュールを用いて実現され得る。
特定の構成要素を指すために、説明および特許請求の範囲全体を通して特定の用語が使用される。当業者は、構成要素が異なる名前で呼ばれる場合があることを理解する。本開示は、名前は異なるが機能は異ならない構成要素間を区別することを意図していない。説明および特許請求の範囲において、「備える」という用語は、制限のない方法で使用され、したがって、「限定はしないが、含む」を意味すると解釈されるべきである。「結合」という用語は、任意の間接的または直接的な接続を包含することを意図している。したがって、本開示が、第1のデバイスが第2のデバイスと結合されていると述べた場合、それは、第1のデバイスが、他の中間デバイスまたは接続手段を用いて/用いずに、電気的接続、ワイヤレス通信、光通信、または他の信号接続を介して第2のデバイスに直接的または間接的に接続され得ることを意味する。
「および/または」という用語は、関連するリストされた項目のうちの1つまたは複数の任意のおよびすべての組合せを含み得る。加えて、本明細書における単数形「a」、「an」、および「the」は、文脈が明確にそうでないことを示さない限り、複数形も含むことを意図している。
本発明の他の実施形態は、本明細書において開示された発明の明細および実施についての考慮から、当業者にとって明らかであろう。明細および例は、以下の特許請求の範囲によって示される本発明の真の範囲および要旨を用いて例示としてのみ考慮されることが意図されている。