JP2022529220A - ロギングによる機密データの暴露の検出 - Google Patents

ロギングによる機密データの暴露の検出 Download PDF

Info

Publication number
JP2022529220A
JP2022529220A JP2021558907A JP2021558907A JP2022529220A JP 2022529220 A JP2022529220 A JP 2022529220A JP 2021558907 A JP2021558907 A JP 2021558907A JP 2021558907 A JP2021558907 A JP 2021558907A JP 2022529220 A JP2022529220 A JP 2022529220A
Authority
JP
Japan
Prior art keywords
cyber attack
rules
partial
chain
cyber
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021558907A
Other languages
English (en)
Other versions
JP7544738B2 (ja
Inventor
ラグヘブンドラ、アージュン ウドゥピ
スゥル、マティアス
シェイデラー、ティム
アイロルディ、ティツィアーノ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyndryl Inc
Original Assignee
Kyndryl Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyndryl Inc filed Critical Kyndryl Inc
Publication of JP2022529220A publication Critical patent/JP2022529220A/ja
Application granted granted Critical
Publication of JP7544738B2 publication Critical patent/JP7544738B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/15Correlation function computation including computation of convolution operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法が提供される。この方法は、一連のセキュリティ・イベントを受信することと、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、第1のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、第1の部分的サイバー攻撃のパターンにおける種類および属性を決定することとを含む。この方法は、第1の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することと、少なくとも1つの構成されたルールを、セキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加することとをさらに含む。

Description

本発明は、一般に、セキュリティ脅威を識別するための方法に関し、より詳細には、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法に関する。本発明は、サイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システム、ならびにコンピュータ・プログラム製品にさらに関する。
ITインフラストラクチャに対するセキュリティ攻撃は、企業のIT組織が今日直面する最も困難な課題の1つである。最高情報セキュリティ責任者(CISO:chief information security officer)の役割は、企業組織にとってますます重要になっている。市販されているセキュリティ情報イベント監視(SIEM:security information and event monitoring)ソリューションの大部分は、少なくとも組織の一部においてセキュリティ・インシデントにつながることがある潜在的なセキュリティ脅威を識別して検出するために、高度なスキルを持つ人員によって監視されて調整される、複雑な相関関係ルールのセットを必要とする。一般データ保護規則(GDPR:general data protection regulation)によれば、欧州連合において活動する企業は、顧客のデータを保護していないということが明らかになった場合、高額な金銭的負担が生じることがある。
莫大な数の取り込まれたセキュリティ・イベントが受信されてログ・ファイルに書き込まれている間に、同時に、リアルタイムにチェックされ、査定され、評価される必要がある条件および相互依存関係のセットに一致するように、相関関係の単語が、regex(regular expressions:正規表現)、フィルタ、およびしきい値に基づいて設計されるため、SIEM相関関係ルール・エンジン(SIEM correlation rule engine)は、通常、CPU時間およびメモリの要件の形態で、比較的高いシステム・リソース消費を要求する。
平均すると、典型的なIT(information technology:情報技術)環境内に加えて、セキュリティ・ソリューションの端末装置によって生成されるセキュリティ・イベントおよびログは、1k EPS(events per second:1秒当たりのイベント数)~100k EPSの間で変化することがあり、平均で約150~400の個別のルールのセットにわたって相互に関連付けられる必要があることがある。したがって、SIEMシステムの技術の大部分には、コンピュータ・システム・リソースに対する非常に高い要求が存在する。
最新のサイバー攻撃は、もはや個別のインシデントで構成されず、むしろ、最新のITインフラストラクチャを解析して突破し、利用するように設計された、一連の特定のステップを形成する。これらのサイバー攻撃チェーンは、文献において、「サイバー・キル・チェーン」または「サイバー攻撃キル・チェーン」とも呼ばれる。さらに、一連の関連するサイバー攻撃にわたって、潜在的なセキュリティ脅威をマッピングするための、セキュリティ・イベント間の相関関係は、追加のシステム・リソースを必要とし、低性能および適切に調整されていない相関関係ルールに起因して、システム性能の低下をもたらすこともある。
これらの複雑なサイバー攻撃の検出および修復は、通常、特定のインシデント・ステップのサイバー攻撃チェーン全体に関する異質の知識を必要とする。サイバー攻撃チェーンの完全な知識を持つことができなければ、コンピューティング・システムの不足しているセキュリティ侵害部分を危険にさらし、ハッカーがその違反行為を続行または再開することを許すことになる場合がある。
現在のSIEMシステムでは、相関関係ルールは、正規化された過去のセキュリティ・イベント・データのセットを、サイバー攻撃チェーンの段階の各々に沿っている可能性がある複数の値に対して照合するために、デプロイされ、有効化される。一例として、相関関係ルールの目的は、すべてのサイバー攻撃チェーンの段階を含んでいる脅威の状況およびサイバー攻撃を招く使用事例をサポートすることであり、これらのルールは、x*n*mのシステム・リソースDumontを使用して、事前に定義された「m」個の値のセットに対して、取り込まれて正規化された各イベント/ログ・エントリの「n」個の構文解析された属性のセットを検出するように構成される必要があり、「x」はサイバー攻撃チェーンの段階の数である。
このような状況において、一部の方法は、この難問に対処しようとした。文献WO2015/127472A2は、コンピュータ・ネットワーク環境内のマルウェアのイベントを監視するためのシステムおよび方法を開示している。この方法は、セキュリティ上のリスクに関係している疑いがあるネットワーク・トランザクションまたはコンピュータの動作に関するデータに従って複数の疑わしいオブジェクトを識別するステップを含む。疑わしいオブジェクトは、解析サービスを使用して1つまたは複数の汎用デジタル・コンピュータ上で動作する期待サービス(expectation service)に送信される。
さらに、文献米国特許出願公開第2018/0234445(A1)号は、コンピュータ・システムに関連付けられたエントリによって示される、挙動の異常を識別するデータを受信することを含む技術を開示している。この技術は、修正された異常を提供するための脅威インテリジェンスに少なくとも部分的に基づいて、挙動の異常をコンテキストに関連付けることを含む。修正された異常を分類するため、および挙動の異常を識別するために、機械学習が使用される。
しかし、これらの技術はすべて、多かれ少なかれ、無制限の計算能力を有することを仮定した。特にCPU時間およびメモリにおける、制限されたリソースの反映は、行われない。したがって、計算リソースの制限された可用性も考慮する、さらに最適化されたセキュリティ情報イベント監視ソリューションに対する必要性が残されている。
本発明の1つの態様によれば、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法を提供することができる。この方法は、一連のセキュリティ・イベントを受信することと、受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおける種類および属性も決定することとを含んでよい。
さらに、この方法は、第1の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することと、少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加することとを含んでもよい。
本発明の別の態様によれば、サイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視(SIEM)システムを提供することができる。このシステムは、一連のセキュリティ・イベントを受信するように適応された受信ユニットと、受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定するように適応された決定ユニットとを備えてよい。それによって、特定のサイバー攻撃チェーンが識別されてよい。決定ユニットは、識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおける種類および属性を決定するように適応されてもよい。
さらに、SIEMシステムは、第1の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成するように適応された構成ユニットと、少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加するように適応された追加モジュールとを備えてよい。
攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するための提案されたコンピュータ実装方法は、次の複数の優位性および技術的効果を提供することができる。
複数の段階のサイバー攻撃チェーンを検出し、場合によっては防止するために必要なコンピュータ・リソースを、大幅に減らすことができる。サイバー攻撃チェーンの最初の要素の検出は、あらゆる種類のセキュリティ侵害インジケータを識別するために、ルールの完全なセットを使用して実行されてよいが、サイバー攻撃チェーンの後の段階に属するその後の部分的サイバー攻撃は、セキュリティ侵害インジケータを識別して決定するために、ルールの削減されたセット、または場合によっては、ルールの変更されたセットのみを必要としてよい。
最初の部分的攻撃が受信された場合、限定された数の選択肢のみがサイバー攻撃チェーンに使用可能であることがあるということが知られているため、セキュリティ侵害インジケータを識別するための元の変更されていないルールの完全なセットを使用して、2番目の段階または3番目の段階(など)の部分的攻撃を徹底的に追及する必要がない。ルールのセットを変更し、特に削減するために、サイバー攻撃チェーンおよび一連の部分的攻撃に関する継承された知識が使用されてよい。
したがって、最初の部分的攻撃の後の、2番目以降の段階として意味のない部分的攻撃の決定が取り除かれてよい。これは、必要な計算リソースに大きな影響を与えることがあり、すなわち、同じ精度またはさらに良い精度で一連のサイバー攻撃を識別するために必要なCPU時間およびメモリの量が、大幅に少なくなる。この脅威インシデントの検出精度は、限られた量の計算リソースのみが使用可能であってよいため、実現し得る。本明細書で提案された概念を使用して、サイバー攻撃チェーンを識別するという同じ目標を達成するための計算リソースの大幅な削減を可能にすることができる。したがって、変更されていないルールのセットによってその後の部分的攻撃にも何度も繰り返して適用される、サイバー攻撃チェーンを検出するための最先端技術に従う方法と比較した場合、より小さく性能が低いコンピューティング・システムを使用しても、同じ結果を達成することができる。
以下では、本発明の概念の追加の実施形態が説明される。
1つの好ましい実施形態によれば、この方法は、受信された一連のセキュリティ・イベントにおいて、前のステップですでに決定されているサイバー攻撃チェーンの第2のサイバー攻撃における第2のセキュリティ侵害インジケータの検出のために構成された少なくとも1つのルールを適用することによって、相関関係エンジンを使用して第2のサイバー攻撃パターンを決定することを含んでもよい。サイバー・スレッド(cyber thread)の初期識別の後のこの第2のステップによって、ルールの完全なセットまたは拡張されたセットを常に使用する場合よりも少ない計算量で、特定のサイバー攻撃チェーンの検出が確認されてよい。
この方法の1つの有利な実施形態によれば、ルールのセットは、マルウェア特徴属性一覧(MAEC(malware attribute enumeration and characterization)と呼ばれる)および脅威情報構造化記述形式(STIX(structured threat information expressions)と呼ばれる)に関する情報を使用してよい。それによって、セキュリティ侵害インジケータと、サイバー攻撃チェーンの一部である攻撃パターンの間の関係の参照が使用されてよい。関連する情報が、提案された方法または関連するシステムあるいはその両方によってアクセス可能であるリポジトリに設定されてよい。
1つの許容される実施形態によれば、この方法は、新しいセキュリティ侵害インジケータを追加することによって、事前に定義されたルールのセットを継続的に更新することを含んでもよい。産業界には、定期的にセキュリティ防御センター(security defense centers)間で相互に情報を提供し、更新するための、実際にかなり良い方法が存在する。セキュリティ防御センターのうちの1つによって新しい攻撃パターンまたは攻撃キャンペーンが識別された後に、それに応じて、短期間に他のセンターに情報が提供されてよい。
この方法のさらに1つの好ましい実施形態によれば、少なくとも1つの構成されたルールをルールのセットに追加することは、相関関係ルール(特に、第1の攻撃には関係しないが、第2のさらに下流の攻撃には関係する相関関係ルール)を選択的に構成すること、もしくは有効化すること、またはその両方、ルールをグループ化すること、および/あるいは構成されて追加された少なくとも1つのルールを一般的ルールよりも優先することによって、実行されてよい。このようにして、サイバー・セキュリティ脅威に対する防御のための未来の挙動が定義されてよく、それによって、同時に、同じサイバー攻撃チェーンの未来のサイバー・セキュリティ攻撃(すなわち、専用の一連の部分的サイバー攻撃)の識別に必要な労力を大幅に減らすことができる。
この方法の任意選択的な実施形態によれば、下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することは、リポジトリからの、戦術技術プロシージャ(TTP:tactic-technique-procedure)識別ルール、マルウェア特徴属性一覧(MAEC)、および脅威情報構造化記述形式(STIX)に関するデータを使用することを含んでもよい。そのようなリポジトリは、各情報を最新に保つために、定期的に、必要な場合に、または要求に応じて、更新されてよい。
この方法の1つの許容される実施形態によれば、下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することは、識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおいて決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流のサイバー攻撃に関連する追加のルールを構成することを含んでもよい。ここで再び、未来の識別の労力を減らすため、および同時に、速度を増やすために、変更された方法で、識別された特定のサイバー攻撃チェーンの未来の部分的サイバー攻撃が予想されてよい。したがって、特定のサイバー攻撃チェーンのすべての段階に対するルールの完全な蓄積が有効化されてよい。
さらに別の有用な実施形態によれば、この方法は、1つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーすることを含んでもよい。この事前に定義された数は、「1」(すなわち、仮定されたサイバー攻撃チェーンの第1の部分的サイバー攻撃の識別の直後)であってよい。そのような警報によって、サイバー・セキュリティ責任者は、警戒することができ、必要な場合にSIEMシステムをより綿密に監視し、制御することができてよい。他の実施形態では、この警報は、2つまたは3つの部分的サイバー攻撃が同じサイバー攻撃チェーンに属することが識別された場合に、トリガーされてよい。したがって、SIEMシステムの活動の一部は、一緒に属している部分的サイバー攻撃のしきい値に達するまで自動的に動作してよく、一方、他のサイバー攻撃チェーンの場合、既知のサイバー攻撃チェーンの第1のサイバー攻撃を識別した直後に、警報がトリガーされてよい。
1つの追加の好ましい実施形態によれば、この方法は、特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということが決定された場合に、ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つの構成されたルールを削除することを含んでもよい。代替または改良の実施形態では、この方法は、少なくとも1つの構成されたルールを使用する相関関係エンジンが事前に定義された時間の間に(例えば、事前に定義された日数の後に)下流のサイバー攻撃パターンを決定しなかった場合、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つの構成されたルールを削除することを含んでよい。このようにして、多すぎる相関関係がチェックされて評価され、多くの時間とリソースを消費する必要がないように、ルールのセットが過剰に拡張されないことが保証されてよい。場合によっては必要とされなくなったそれらのルールを削除することによって、SIEMシステムは、クリーンで効果的な状態に保たれてよい。対応するサイバー攻撃パターンの観測がないことに関する情報が、マルウェア特徴属性一覧(MAEC)および脅威情報構造化記述形式のリポジトリにフィードバックされる。このようにして、より高いレベルの脅威の定義へのフィードバック・ループが確立されてよい。この提供によって、無駄がないリソースに適したSIEMシステムも保証する。
1つのさらに別の任意選択的な実施形態によれば、この方法は、ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃からの少なくとも1つの構成されたルールに関連するルールを、マルウェア特徴属性一覧および脅威情報構造化記述形式のリポジトリから削除することを含んでもよい。やはりこの提供によって、無駄がないリソースに適したSIEMシステムを保証することができる。
さらに、実施形態は、コンピュータまたは任意の命令実行システムによって、またはこれらに接続して使用するためのプログラム・コードを提供するコンピュータ使用可能媒体またはコンピュータ可読媒体からアクセスできる関連するコンピュータ・プログラム製品の形態を取ってよい。この説明の目的で、コンピュータ使用可能媒体またはコンピュータ可読媒体は、命令実行システム、命令実行装置、または命令実行デバイスによって、またはこれらに接続して使用するためのプログラムを格納するか、伝達するか、伝搬するか、または運ぶための手段を含むことができる任意の装置であってよい。
本発明の実施形態が、さまざまな対象を参照して説明されるということに注意するべきである。具体的には、一部の実施形態は、方法タイプの請求項を参照して説明され、他の実施形態は、装置タイプの請求項を参照して説明される。ただし、当業者は、前述の説明および以下の説明から、特に注記のない限り、対象の1つの種類に属している特徴の任意の組合せに加えて、異なる対象に関連する特徴間、特に、方法タイプの請求項の特徴間、および装置タイプの請求項の特徴間の任意の組合せも、本明細書内で開示されると見なされるということを推測するであろう。
上で定義された態様および本発明のその他の態様は、以下に記載された実施形態の例から明らかであり、実施形態の例を参照して説明されるが、本発明はこれらに限定されない。
以下の図面を参照し、本発明の好ましい実施形態について単なる例として説明する。
攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するための本発明のコンピュータ実装方法の実施形態のブロック図を示す図である。 サイバー攻撃チェーンの典型的なフェーズを示す図である。 従来のインシデント検出および提案された概念の基礎の比較のブロック図を示す図である。 動的に適応できるコンポーネントおよび固定されたコンポーネントを含むルール・セットの構造の実施形態のブロック図を示す図である。 主要な構成要素を使用して提案された概念の実施形態のブロック図を示す図である。 より詳細な視点から本発明の概念のステップを示すフローチャートのブロック図を示す図である。 攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システムのブロック図を示す図である。 提案された方法に関連するプログラム・コードを実行するのに適しており、図7に従うシステムを含んでいるコンピューティング・システムの実施形態のブロック図を示す図である。
この説明の文脈では、以下の規則、用語、または表現、あるいはその組合せを使用できる。
「セキュリティ脅威」という用語は、脆弱性を利用して情報技術システムのセキュリティを突破することがあり、したがって損害をもたらす可能性がある起こり得る危険を示してよい。この用語は、コンピュータ・セキュリティの技術分野に関連しており、侵入者または侵入システムによる可能性のある攻撃、許可されていないアクセス、またはコンピュータ・システムもしくはストレージ・システム内のデータの可能性のある破壊もしくは操作、あるいはコンピュータ、ストレージ、または通信システムの制御を引き継ぐことを表す。セキュリティ脅威は、通常、サイバー攻撃から生じる。
「サイバー攻撃チェーン」という用語は、コンピュータまたは同様のシステムに対する一連の下位攻撃を示してよい。この連続の各段階は、前の段階に基づく。一連のサイバー攻撃またはサイバー攻撃のチェーンの7段階を含み、18段階も含む、理論モデルが存在する。本明細書の中では、「一連の部分的サイバー攻撃」、「サイバー攻撃チェーン」という用語が、同意語として使用されることがある。
「一連のセキュリティ・イベント」という用語は、一連の部分的サイバー攻撃の各々が、セキュリティ対策の突破を確立することがあることを示してよく、セキュリティ対策のほとんどは、単にサイバー攻撃防御システムの探知能力の下で動作する。検出されていないことが多い攻撃の第1のセットは、最後の段階になって初めて、攻撃されたシステムの制御を引き継ぐために、可能性のあるターゲットを調査するように動作可能である。
「第1のサイバー攻撃パターン」という用語は、一連の部分的サイバー攻撃における攻撃の第1のアクションを示してよい。サイバー攻撃チェーンの7層モデルでは、この用語は、偵察段階または偵察フェーズに関連してよい。
「相関関係エンジン」という用語は、イベントを事前に定義されたパターンに関連付けることが可能にされたシステムを示してよく、すなわちこのシステムは、多数のイベントの意味を理解し、その大量の情報のうちの本当に重要な少数のイベントを正確に示すための技術である。このシステムは、イベントと事前に定義されたパターンの間の関係を探して解析することによって実現される。相関関係を検出するために、フィルタリング、集計、解析、マスキングなどの一連のアクションが必要になることがある。相関関係エンジンは、相関関係メカニズムを実行するように適応される。
「事前に定義されたルールのセット」という用語は、本明細書との関連においてルールのグループを示してよく、IT環境内のセキュリティ・システムのログ・イベントは、これらのルールを使用してサイバー攻撃の検出を試みる。
「セキュリティ侵害インジケータ(IoC:indicator of compromise)」という用語は、コンピュータ・フォレンジックおよびITセキュリティにおいて、ネットワーク上またはオペレーティング・システム内で観測された、高い信頼性でコンピュータ侵入を示すアーチファクトを示してよい。典型的なIoCは、ウイルス・シグネチャおよびIPアドレス、マルウェア・ファイルのMD5ハッシュ、あるいはボットネット・コマンドおよび制御サーバのURLまたはドメイン名である。インシデント対応およびコンピュータ・フォレンジックのプロセスにおいてIoCが識別された後に、それらのIoCは、侵入検出システムおよびウイルス対策ソフトウェアを使用して未来の攻撃の試みを早期に検出するために使用され得る。既知のインジケータは、通常、産業界内で交換される。
「下流」という用語は、現在の部分的サイバー攻撃の後の部分的サイバー攻撃を示してよい。例えば、現在の部分的サイバー攻撃が、期待される列または連続内で2番目である場合、下流の部分的サイバー攻撃は、2番目の後に続く(すなわち、3番目、4番目、5番目など)部分的サイバー攻撃である。
「マルウェア特徴属性一覧」(MAEC)(「マイク」と発音される)という用語は、挙動、アーチファクト、およびマルウェアのサンプル間の関係などの属性に基づいて、マルウェアに関する高忠実度の情報をエンコードして共有するために、コミュニティによって開発された構造化言語である。MAECは、マルウェアの説明に現在存在する曖昧さおよび不正確さを取り除くことによって、およびシグネチャへの依存を減らすことによって、(i)関連付け、統合、および自動化を可能にすることと、(ii)マルウェアに関する人間間、人間とツールの間、ツール間、およびツールと人間の間の情報伝達を改善することと、(iii)以前に観察されたマルウェアの事例に対する対応を活用する能力を有効にすることによって、対抗手段のより速い開発を可能にすることと、(iv)研究者によるマルウェア解析の努力の繰り返しの可能性を減らすこととを目指す。
「脅威情報構造化記述形式」(STIX)という用語は、サイバー・セキュリティに関連する表現のうちの収集された表現のリポジトリを示してよい。STIXは、サイバー脅威情報を表す構造化言語を定義して開発するために、コミュニティによって推進されている協調的な取り組みである。STIX言語は、可能性のあるサイバー脅威情報をすべて伝達し、できるだけ完全な表現、柔軟、拡張可能、自動化可能、および人間によって解読可能になることを目指す。関心があるすべての関係者が、オープンな協調的コミュニティの一部として、進化しつつあるSTIXに参加することが歓迎されている。STIXの使用事例は、(i)サイバー脅威を解析することと、(ii)サイバー脅威のインジケータのパターンを指定することと、(iii)サイバー脅威の防止および対応の活動を管理することと、(iv)サイバー脅威情報を共有することとを含む。
以下では、図について詳細に説明する。図内のすべての命令は概略図である。最初に、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するための本発明のコンピュータ実装方法の実施形態のブロック図が示される。その後、さらに別の実施形態に加えて、サイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システムの実施形態が説明される。
図1は、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法100の実施形態のブロック図を示している。方法100は、一連のセキュリティ・イベントを受信すること(102)を含む。これらのセキュリティ・イベントは、サイバー・セキュリティ監視システムまたはSIEMシステムのログ・ソースから受信されてよい。
方法100は、第1のステップとして、受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセット(特に、TTPルール、戦術技術プロシージャ識別ルール)を適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定すること(104)を含む。それによって、第1の部分的サイバー攻撃が、特定のサイバー攻撃チェーンを識別する。
さらに、方法100は、識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおいて、種類および属性(種類および属性のセットのうちの少なくとも1つ)を決定すること(106)を含む。このようにして、キャンペーンのシグネチャが受信されてよい。
さらに、方法100は、第1の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成すること(108)を含む。このようにして、この方法は、従来のSIEMシステムと比較した場合に、より少ないリソースを使用してより速く未来の部分的サイバー攻撃を識別できるように、未来の部分的サイバー攻撃を予想してSIEMシステムを準備する。
最後に重要なこととして、方法100は、少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加すること(110)を含む。
図2は、サイバー攻撃チェーンの典型的なフェーズの図200を示している。ランサムウェアまたはトロイの木馬のような典型的なサイバー・セキュリティ攻撃が、互いに依存し、前のステップからの情報を使用する特定の一連のアクションに従うということが分かっている。典型的な7ステップの方法は、以下を含む。
1 偵察 - 侵入者がターゲットを選択して調査し、ターゲット・ネットワークにおける脆弱性を識別しようとする。
2 悪意のある設計 - 侵入者が、ウイルスまたはワームなどの、1つまたは複数の脆弱性に合わせて調整されたリモート・アクセス・マルウェア・エージェントを作成する。
3 配信 - 侵入者が、(例えば、電子メールの添付ファイル、Webサイト、またはUSBドライブを介して)エージェントをターゲットに送信する。
4 利用 - マルウェア・エージェントのプログラム・コードが、脆弱性を利用するためにターゲット・ネットワークに対して実行するアクションをトリガーする。
5 インストール - マルウェア・エージェントが、侵入者によって使用可能なアクセス・ポイント(例えば、「バックドア」)をインストールする。
6 コマンドおよび制御 - マルウェアが、侵入者がターゲット・ネットワークに対する(キーボードで操作できる)永続的アクセス権限を持つことを可能にする。
7 目的に対するアクション - 侵入者が、データの抽出、データの破壊、または身代金のための暗号化などの、自分の目標を達成するためのアクションを実行する。
この知識を使用して、サイバー・セキュリティ・チェーンと戦うための労力を減らすことができる。従来の方法では、n個の異なるソースからのすべてのセキュリティ・イベント(特に、IPアドレス、電子メールID、ファイル・ハッシュ、URLなど)を、m個のマルウェア・キャンペーンからのセキュリティ侵害インジケータの完全に知られているリスト(特に、ここでもIPアドレス、電子メールID、ファイル・ハッシュ、URLなど)に対して構文解析する必要がある。この処理を、典型的なキャンペーンに含まれているステップの数だけ繰り返す必要があるため、IT環境を保護するには、7*n*m回の異なる決定を行う必要があり、多くのシステム・リソースの利用が必要になる。
本明細書で提案された概念を使用して、この労力を大幅に減らすことができる。n個の異なるソースからのセキュリティ・イベントの代わりに、IPアドレス、電子メールID、ファイル・ハッシュ、URLなどについて、n’個の異なるソースのサブセットから構文解析されたセキュリティ・イベントのみを検索する必要がある。この処理を、TTPに基づくm’個のマルウェア・キャンペーンのサブセットのセキュリティ侵害インジケータの既知のリストについて繰り返す必要があるため、7*n’*m’の積は、前述した7*n*m回の異なる決定の場合よりはるかに小さい。したがって、提案された概念は、サイバー・セキュリティ脅威に対する保護のためのシステム・リソースの利用を大幅に減らすことができる。
要するに、イベントを総当たりで処理する代わりに、洞察に基づく処理の能動的な調整が適用される。最適化された方法によって、サイバー攻撃チェーンのフット・プロテクション(foot protection)および関連付けが、事前に定義されたSIEMリソース制約の範囲内で、リアルタイムに実行され得る。
図3は、従来のインシデント検出および提案された概念の基礎の比較のブロック図300を示している。時間の矢印が図の上部で開始し、下部に下っていることに注意する。図の上半分は、受信セキュリティ・イベント302を監視する従来のSIEMシステム304を示している。従来の方法では、通常、以前の部分的サイバー攻撃に基づくどのルール・セットも採用せずに、管理が行われている。
したがって、「現在」の時間に新しいイベント306が受信された場合、従来のSIEMシステム304は、この新しいイベント306を、以前のセキュリティ・イベントが処理された方法で(すなわち、多かれ少なかれ静的ルールに従って)処理する。
図3の下半分には、提案された概念に従うSIEMシステム320が示されている。サイバー・セキュリティ・チェーンは、部分的サイバー攻撃を含む特定のフェーズに従って現れ、部分的サイバー攻撃の各々が、それ自体では脅威を表さないことがあるため、新しいイベント306は、SIEMシステム320によって、「現在」の時間の後に受信されることがある一連の部分的サイバー攻撃における第1のサイバー攻撃として識別されてよい。したがって、未来のイベント308、...、318は、完全なサイバー攻撃チェーンのさらなるフェーズであることがある。ここで、新しいイベント306に基づいて、本明細書で提案された方法および提案されたSIEMシステム320は、ルールを構成することによって、図3の場合には、識別されたサイバー・セキュリティ・チェーンに属することが知られている未来のイベント308、312、および318をより簡単に識別するように準備する。このようにして、部分的サイバー・セキュリティ攻撃のチェーンに基づくサイバー・セキュリティ攻撃の検出、識別、および確認が最適化されることができ、従来の方法と比較した場合に、より少ないリソースを使用して実行されることができる。
図4は、動的に適応できるコンポーネントおよび固定されたコンポーネントを含むルール・セットの構造の実施形態のブロック図400を示している。TTP識別ルール(TTP identifying rules)のセット402の各々は、n個のイベント属性を、m個のセキュリティ侵害インジケータと比較できるようにする。キャンペーン固有のルール404は、1つまたはごく少数のイベント属性のみを、セキュリティ侵害インジケータの短いリストと比較する。したがって、キャンペーン固有のルール404からの負荷は、一般的ルールによって引き起こされる負荷と比較してわずかである。最後に、一般的ルール406の各々は、m個のセキュリティ侵害インジケータとのn個のイベント属性の比較に関連している。
サイバー・セキュリティ攻撃は、サイバー・セキュリティ攻撃の異なるフェーズ(特に、フェーズ1~フェーズ7)内の一連の部分的サイバー・セキュリティ攻撃として現れることがある。フェーズP1~P7の各々に部分的サイバー・セキュリティ攻撃が存在することがあるが、各フェーズにおいて個別の部分的サイバー・セキュリティ攻撃が実行される必要がないことがある。したがって、キャンペーン3のみが、7つのフェーズの各々に関するルールを示している。他のキャンペーン(例えば、キャンペーン1、2、またはc)は、フェーズのサブセットに関するルールのみを示している。どのフェーズに関して新しい部分的サイバー・セキュリティ攻撃が予期され得るかということが、通常、知られているため、それらの特定のフェーズに対処することにおいて、相関関係エンジンのルールを構成して有効化することのみが必要であってよい。
一例として、ランサムウェア・キャンペーンについて考え、TTPデータベースは、ランサムウェア・キャンペーンに関して以下の情報を含んでいる。
・フェーズ1 - 偵察:悪意のあるIPアドレスa.b.c.dからのネットワーク・スキャン
・フェーズ2 - 悪意のある設計「あなた向けの電子メール」または「あなた向けの写真」という件名でドメイン@benefit-city.comから送信された電子メール
・フェーズ4 - 配信:ハッシュ・キー(ウイルス対策シグネチャ4CB5F)を持つマルウェア
・フェーズ4~7の詳細はまだ知られていない
キャンペーン・ルール「ランサムウェア」は、攻撃をトリガーする以下の3つの個別のルールを含む。
1.IP a.b.c.dに関するファイアウォール・イベント「拒否」の数>100(一般的な、ファイアウォール拒否イベントのしきい値に対して事前に定義された値)である場合
2.受信された電子メールのイベントが、送信者=「@benefit-city.com」かつ(件名=「あなた向けの電子メール」または件名=「あなた向けの写真」)と同様のものを含む場合、または
3.ハッシュ・キー=4CB5Fを持つ「ディスクに格納されたファイル」というウイルス対策イベントが検出された場合
この例のキャンペーン・ルールは、少数の既知の悪意のある値に対して少数の属性を非常に具体的にチェックするため、ルール・エンジンに対してわずかな負荷しか引き起こさない。図4の右側に、ルール実行の仮定された順序408が示されていることにも注意する。
図5は、主要な構成要素を使用して提案された概念の実施形態のブロック図500を示している。相関関係エンジン518およびTTP固有ルール・セット識別器520という2つの主要な構成要素が示されている。セキュリティ・イベントが、例えば1つまたは複数のセキュリティ・イベント・ログ(図示されていない)に対するアクセス権限として、イベント収集器502から受信される。相関関係エンジン518はTTP識別ルール506にアクセスし、TTP識別ルール506は、既知のセキュリティ侵害インジケータに対して受信イベントを照合する。既知のセキュリティ侵害インジケータは、TTP/MAEC識別器512が、関係を照会してマッピングし、TTP/MAECリポジトリ516からの追加の攻撃パターンを識別するのをトリガーする。セキュリティ侵害インジケータの照合が怪しいTTP(攻撃パターン)を識別した場合、ルール開発エンジン514が、追加のTTPをキャンペーン固有のルールの小さいセット508に変換し、相関関係エンジン518でこのセットを有効化する。
ルール実行器504が、サイバー攻撃パターン以外(例えば、内部関係者の脅威)を監視するように実装された一般的ルール510にもアクセスする(図4、408を比較する)。既知のTTP/MAEC識別器のブロック512およびサイバー攻撃チェーン用のルール開発エンジン514は、TTP固有ルール・セット識別器520の主要な構成要素である。
最後に、ブロック504で実行されたルールがセキュリティ脅威を識別した場合、警報生成器522がトリガーされてよい。
図6は、より詳細な視点から本発明の概念のステップを示すフローチャート600のブロック図を示している。
本発明の概念の方法は、可能性のあるセキュリティ・インシデントに関する完全なサイバー攻撃チェーンを検出するための相関関係ルールの動的メモリ割り当てをサポートする適応相関関係を可能にする以下のステップを含んでいる。
最初に、セキュリティ・イベント602が、1つまたは複数のイベント収集器を介してログ・ソースから収集された後に、イベント・プリプロセッサに送信される。次に、システム・リソースの可用性に基づいて相関関係エンジンを通るイベントの数を処理する相関関係エンジンのキュー・マネージャによって、セキュリティ・イベントが読み込まれて(604)処理される(606)。
その後、処理された(606)イベントが、相互関係キューを介して、相関関係ルール実行器(506を比較する)を通り、TTP識別ルールのセットが、相関関係ルール実行器に読み込まれる。キューからのイベントは、相関関係ルール実行器において、ルールによってチェックされる。イベントおよびTTP識別相関関係ルールに一致が存在する場合(「はい」の場合)、ルール・エンジンが、完全なチェーンのためのルールの作成または変更あるいはその両方に関して、TTPを解析する(616)。
さらに、ルール・エンジンは、TTP/MAECリポジトリ618を常にチェックし、TTP/MAECに基づいて新しいマルウェア・キャンペーンに適用できるルールを動的に開発する。有効化されたキャンペーン固有のルールは、TTPの攻撃パターンおよびセキュリティ侵害インジケータに関する最新の更新情報で定期的に更新される。
これに基づいて、サイバー攻撃チェーン全体に沿って追加の部分的サイバー・セキュリティ攻撃を監視するために、一連の追加のサイバー攻撃ルールがルール実行器に追加される(またはそれぞれ読み込まれる(620))。
決定中である場合(608)(一致が検出されなかった(「いいえ」の)場合)、キャンペーン固有のルール(図4、404を比較する)および追加として一般的ルール(図4、408を比較する)によって、受信されたイベントが処理され(610)、ルールの肯定的結果/決定に基づいて(612)、決定されたサイバー攻撃チェーンのレベルと共に、警報が有効化される(614)。
「はい」の決定の場合(608)、フローチャートの分岐「はい、未来の相関関係」にも続くということにも注意する。つまり、サイバー攻撃チェーン全体に沿って追加のサイバー・セキュリティ攻撃を監視するために、追加のサイバー攻撃チェーン・ルールがルール実行器に読み込まれる(622)。次に、ルールが、特定のサイバー攻撃チェーンに関する信頼度のマッピングに適用され(624を比較する)、ルールの結果に基づいて、決定されたサイバー攻撃チェーンのレベルと共に警報が有効化される(614)。
完全性のために、図7は、攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システム700のブロック図を示している。システム700は、一連のセキュリティ・イベントを受信するように適応された受信ユニット702と、受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用し、それによって特定のサイバー攻撃チェーンを識別することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定するように適応された決定ユニット704とを備えている。決定ユニット704は、識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおける種類および属性を決定するようにも適応される。
さらに、システム700はまた、第1の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成するように適応された構成ユニット706と、少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加するように適応された追加モジュール708とを備えている。
本発明の実施形態は、プログラム・コードを格納することまたは実行することあるいはその両方に適しているプラットフォームに関わらず、事実上、任意の種類のコンピュータと一緒に実装されてよい。図8は、一例として、提案された方法に関連するプログラム・コードを実行するのに適しているコンピューティング・システム800を示している。
コンピューティング・システム800は、適切なコンピュータ・システムの一例にすぎず、コンピュータ・システム800が上記で示された機能のいずれかを実装されること、または実行すること、あるいはその両方を行うことができるかどうかに関わらず、本明細書に記載された本発明の実施形態の使用または機能の範囲に関してどのような限定も示唆するよう意図されていない。コンピュータ・システム800には、他の多数の汎用または専用のコンピューティング・システム環境または構成と共に動作できるコンポーネントが存在する。コンピュータ・システム/サーバ800と共に使用するのに適した周知のコンピューティング・システム、環境、または構成、あるいはその組合せの例としては、パーソナル・コンピュータ・システム、サーバ・コンピュータ・システム、シン・クライアント、シック・クライアント、ハンドヘルドまたはラップトップ・デバイス、マイクロプロセッサ・システム、マイクロプロセッサベース・システム、セット・トップ・ボックス、プログラマブル・コンシューマ・エレクトロニクス、ネットワークPC、マイクロコンピュータ・システム、メインフレーム・コンピュータ・システム、およびこれらの任意のシステムまたはデバイスを含む分散クラウド・コンピューティング環境などが挙げられるが、これらに限定されない。コンピュータ・システム/サーバ800は、コンピュータ・システム700によって実行されているプログラム・モジュールなどの、コンピュータ・システムによって実行可能な命令との一般的な関連において説明されてよい。通常、プログラム・モジュールは、特定のタスクを実行するか、または特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、論理、データ構造などを含んでよい。コンピュータ・システム/サーバ800は、通信ネットワークを介してリンクされたリモート処理デバイスによってタスクが実行される、分散クラウド・コンピューティング環境で実行されてよい。分散クラウド・コンピューティング環境において、プログラム・モジュールは、メモリ・ストレージ・デバイスを含む、ローカルおよびリモートの両方のコンピュータ・システム・ストレージ媒体に配置されてよい。
図に示されているように、コンピュータ・システム/サーバ800は、汎用コンピューティング・デバイスの形態で示されている。コンピュータ・システム/サーバ800のコンポーネントは、1つまたは複数のプロセッサまたはプロセッシング・ユニット802、システム・メモリ804、およびシステム・メモリ804を含むさまざまなシステム・コンポーネントをプロセッサ802に結合するバス806を含むことができるが、これらに限定されない。バス806は、メモリ・バスまたはメモリ・コントローラ、ペリフェラル・バス、アクセラレーテッド・グラフィックス・ポート、およびさまざまなバス・アーキテクチャのいずれかを使用するプロセッサまたはローカル・バスを含む、複数の種類のバス構造のいずれかのうちの1つまたは複数を表す。例として、そのようなアーキテクチャは、ISA(Industry Standard Architecture)バス、MCA(Micro Channel Architecture)バス、EISA(Enhanced ISA)バス、VESA(Video Electronics Standards Association)ローカル・バス、およびPCI(Peripheral Component Interconnects)バスを含むが、これらに限定されない。コンピュータ・システム/サーバ800は、通常、さまざまなコンピュータ・システム可読媒体を含む。そのような媒体は、コンピュータ・システム/サーバ800によってアクセスできる任意の使用可能な媒体であってよく、揮発性および不揮発性媒体、取り外し可能および取り外し不可の媒体を含む。
システム・メモリ804は、ランダム・アクセス・メモリ(RAM:random access memory)808またはキャッシュ・メモリ810あるいはその両方などの、揮発性メモリの形態でのコンピュータ・システム可読媒体を含んでよい。コンピュータ・システム/サーバ800は、その他の取り外し可能/取り外し不可、揮発性/不揮発性のコンピュータ・システム・ストレージ媒体をさらに含んでよい。単に例として、取り外し不可、不揮発性の磁気媒体(図示されておらず、通常は「ハード・ドライブ」と呼ばれる)に対する読み取りと書き込みを行うために、ストレージ・システム812が提供されてよい。図示されていないが、取り外し可能、不揮発性の磁気ディスク(例えば、「フロッピー(R)・ディスク」)に対する読み取りと書き込みを行うための磁気ディスク・ドライブ、およびCD-ROM、DVD-ROM、またはその他の光媒体などの取り外し可能、不揮発性の光ディスクに対する読み取りと書き込みを行うための光ディスク・ドライブが提供されてよい。そのような例では、それぞれを、1つまたは複数のデータ媒体インターフェイスによってバス806に接続することができる。下で詳細に示され、説明されているように、メモリ804は、本発明の実施形態の機能を実行するように構成された(例えば、少なくとも1つの)プログラム・モジュールのセットを備える少なくとも1つのプログラム製品を含んでよい。
例えば、(少なくとも1つの)プログラム・モジュール816のセットを含んでいるプログラム/ユーティリティがメモリ804に格納されてよいが、これに限定されず、オペレーティング・システム、1つまたは複数のアプリケーション・プログラム、その他のプログラム・モジュール、およびプログラム・データも格納されてよい。オペレーティング・システム、1つまたは複数のアプリケーション・プログラム、その他のプログラム・モジュール、およびプログラム・データまたはこれらの組合せの各々は、ネットワーク環境の実装を含んでよい。プログラム・モジュール816は、通常、本明細書に記載された本発明の実施形態の機能または方法あるいはその両方を実行する。
コンピュータ・システム/サーバ800は、キーボード、ポインティング・デバイス、ディスプレイ820などの1つまたは複数の外部デバイス818、ユーザがコンピュータ・システム/サーバ800と情報をやりとりできるようにする1つまたは複数のデバイス、またはコンピュータ・システム/サーバ800が1つまたは複数の他のコンピューティング・デバイスと通信できるようにする任意のデバイス(例えば、ネットワーク・カード、モデムなど)、あるいはその組合せと通信してもよい。そのような通信は、入出力(I/O:Input/Output)インターフェイス814を介して行うことができる。さらに、コンピュータ・システム/サーバ800は、ローカル・エリア・ネットワーク(LAN:local area network)、一般的な広域ネットワーク(WAN:wide area network)、またはパブリック・ネットワーク(例えば、インターネット)、あるいはその組合せなどの1つまたは複数のネットワークと、ネットワーク・アダプタ822を介して通信してよい。図示されているように、ネットワーク・アダプタ822は、バス806を介してコンピュータ・システム/サーバ800の他のコンポーネントと通信してよい。図示されていないが、その他のハードウェア・コンポーネントまたはソフトウェア・コンポーネントあるいはその両方を、コンピュータ・システム/サーバ800と併用できるということが理解されるべきである。その例として、マイクロコード、デバイス・ドライバ、冗長プロセッシング・ユニット、外部ディスク・ドライブ・アレイ、RAIDシステム、テープ・ドライブ、およびデータ・アーカイブ・ストレージ・システムなどが挙げられるが、これらに限定されない。
さらに、サイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システム700が、バス・システム806に接続されてよい。
本発明のさまざまな実施形態の説明は、例示の目的で提示されているが、網羅的であることは意図されておらず、開示された実施形態に限定されない。記載された実施形態の範囲および思想を逸脱することなく多くの変更および変形が当業者にとって明らかであろう。本明細書で使用された専門用語は、実施形態の原理、実際の適用、または市場で見られる技術を超える技術的改良を最も適切に説明するため、または他の当業者が本明細書で開示された実施形態を理解できるようにするため選択されている。
本発明は、システム、方法、またはコンピュータ・プログラム製品、あるいはその組合せとして具現化されてよい。コンピュータ・プログラム製品は、プロセッサに本発明の態様を実行させるためのコンピュータ可読プログラム命令を含んでいるコンピュータ可読ストレージ媒体(または複数の媒体)を含んでよい。
この媒体は、電子、磁気、光、電磁気、赤外線、または伝搬媒体用の半導体システムであってよい。コンピュータ可読媒体の例としては、半導体メモリまたは固体メモリ、磁気テープ、取り外し可能・コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read-only memory)、剛体磁気ディスク、および光ディスクが挙げられる。光ディスクの現在の例としては、コンパクト・ディスク読み取り専用メモリ(CD-ROM:compact disk-read only memory)、コンパクト・ディスク読み取り/書き込み(CD-R/W:compact disk-read/write)、およびブルーレイディスクが挙げられる。
コンピュータ可読ストレージ媒体は、命令実行デバイスによって使用するための命令を保持および格納できる有形のデバイスであり得る。コンピュータ可読ストレージ媒体は、例えば、電子ストレージ・デバイス、磁気ストレージ・デバイス、光ストレージ・デバイス、電磁ストレージ・デバイス、半導体ストレージ・デバイス、またはこれらの任意の適切な組合せであってよいが、これらに限定されない。コンピュータ可読ストレージ媒体のさらに具体的な例の非網羅的リストは、ポータブル・コンピュータ・ディスケット、ハード・ディスク、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、消去可能プログラマブル読み取り専用メモリ(EPROM:erasable programmable read-only memoryまたはフラッシュ・メモリ)、スタティック・ランダム・アクセス・メモリ(SRAM:static random access memory)、ポータブル・コンパクト・ディスク読み取り専用メモリ(CD-ROM:compact disk read-only memory)、デジタル・バーサタイル・ディスク(DVD:digital versatile disk)、メモリ・スティック、フロッピー(R)・ディスク、パンチカードまたは命令が記録されている溝の中の隆起構造などの機械的にエンコードされるデバイス、およびこれらの任意の適切な組合せを含む。本明細書において使用されるとき、コンピュータ可読ストレージ媒体は、それ自体が、電波またはその他の自由に伝搬する電磁波、導波管またはその他の送信媒体を伝搬する電磁波(例えば、光ファイバ・ケーブルを通過する光パルス)、あるいはワイヤを介して送信される電気信号などの一過性の信号であると解釈されるべきではない。
本明細書に記載されたコンピュータ可読プログラム命令は、コンピュータ可読ストレージ媒体から各コンピューティング・デバイス/処理デバイスへ、またはネットワーク(例えば、インターネット、ローカル・エリア・ネットワーク、広域ネットワーク、または無線ネットワーク、あるいはその組合せ)を介して外部コンピュータまたは外部ストレージ・デバイスへダウンロードされ得る。このネットワークは、銅伝送ケーブル、光伝送ファイバ、無線送信、ルータ、ファイアウォール、スイッチ、ゲートウェイ・コンピュータ、またはエッジ・サーバ、あるいはその組合せを備えてよい。各コンピューティング・デバイス/処理デバイス内のネットワーク・アダプタ・カードまたはネットワーク・インターフェイスは、コンピュータ可読プログラム命令をネットワークから受信し、それらのコンピュータ可読プログラム命令を各コンピューティング・デバイス/処理デバイス内のコンピュータ可読ストレージ媒体に格納するために転送する。
本発明の動作を実行するためのコンピュータ可読プログラム命令は、アセンブラ命令、命令セット・アーキテクチャ(ISA:instruction-set-architecture)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、あるいは、Smalltalk(R)、C++などのオブジェクト指向プログラミング言語、および「C」プログラミング言語または同様のプログラミング言語などの従来の手続き型プログラミング言語を含む1つまたは複数のプログラミング言語の任意の組合せで記述されたソース・コードまたはオブジェクト・コードであってよい。コンピュータ可読プログラム命令は、ユーザのコンピュータ上で全体的に実行すること、ユーザのコンピュータ上でスタンドアロン・ソフトウェア・パッケージとして部分的に実行すること、ユーザのコンピュータ上で部分的におよびリモート・コンピュータ上で部分的に実行すること、あるいはリモート・コンピュータ上またはサーバ上で全体的に実行することができる。後者のシナリオでは、リモート・コンピュータは、ローカル・エリア・ネットワーク(LAN:local area network)または広域ネットワーク(WAN:wide area network)を含む任意の種類のネットワークを介してユーザのコンピュータに接続されてよく、または接続は、(例えば、インターネット・サービス・プロバイダを使用してインターネットを介して)外部コンピュータに対して行われてよい。一部の実施形態では、本発明の態様を実行するために、例えばプログラマブル論理回路、フィールドプログラマブル・ゲート・アレイ(FPGA:field-programmable gate arrays)、またはプログラマブル・ロジック・アレイ(PLA:programmable logic arrays)を含む電子回路は、コンピュータ可読プログラム命令の状態情報を利用することによって、電子回路を個別化するためのコンピュータ可読プログラム命令を実行してよい。
本発明の態様は、本明細書において、本発明の実施形態に従って、方法、装置(システム)、およびコンピュータ・プログラム製品のフローチャート図またはブロック図あるいはその両方を参照して説明される。フローチャート図またはブロック図あるいはその両方の各ブロック、およびフローチャート図またはブロック図あるいはその両方に含まれるブロックの組合せが、コンピュータ可読プログラム命令によって実装され得るということが理解されるであろう。
これらのコンピュータ可読プログラム命令は、コンピュータまたはその他のプログラム可能なデータ処理装置のプロセッサを介して実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作を実施する手段を作り出すべく、汎用コンピュータ、専用コンピュータ、または他のプログラム可能なデータ処理装置のプロセッサに提供されてマシンを作り出すものであってよい。これらのコンピュータ可読プログラム命令は、命令が格納されたコンピュータ可読ストレージ媒体がフローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作の態様を実施する命令を含んでいる製品を含むように、コンピュータ可読ストレージ媒体に格納され、コンピュータ、プログラム可能なデータ処理装置、または他のデバイス、あるいはその組合せに特定の方式で機能するように指示できるものであってもよい。
コンピュータ可読プログラム命令は、コンピュータ上、その他のプログラム可能な装置上、または別のデバイス上で実行される命令が、フローチャートまたはブロック図あるいはその両方の1つまたは複数のブロックに指定される機能/動作を実施するように、コンピュータ実装プロセスを生成するために、コンピュータ、その他のプログラム可能なデータ処理装置、または別のデバイスに読み込まれ、コンピュータ上、その他のプログラム可能な装置上、またはその他のデバイス上で一連の動作可能なステップを実行させるものであってもよい。
図内のフローチャートまたはブロック図あるいはその両方は、本発明のさまざまな実施形態に従って、システム、方法、およびコンピュータ・プログラム製品の可能な実装のアーキテクチャ、機能、および動作を示す。これに関連して、フローチャートまたはブロック図内の各ブロックは、規定された論理機能を実装するための1つまたは複数の実行可能な命令を備える、命令のモジュール、セグメント、または部分を表してよい。一部の代替の実装では、ブロックに示された機能は、図に示された順序とは異なる順序で発生してよい。例えば、連続して示された2つのブロックは、実際には、含まれている機能に応じて、実質的に同時に実行されるか、または場合によってはブロックが逆の順序で実行されてよい。ブロック図またはフローチャート図あるいはその両方の各ブロック、ならびにブロック図またはフローチャート図あるいはその両方に含まれるブロックの組合せは、規定された機能または動作を実行するか、または専用ハードウェアとコンピュータ命令の組合せを実行する専用ハードウェアベースのシステムによって実装できるということにも注意する。
本明細書で使用される専門用語は、特定の実施形態を説明することのみを目的としており、本発明を限定することを意図していない。本明細書で使用される単数形「ある(a)」、「1つの(an)」、および「その(the)」は、関連が特に明示的に示されない限り、複数形も含むことが意図されている。「備える」または「備えている」あるいはその両方の用語は、本明細書で使用される場合、記載された機能、完全体、ステップ、動作、要素、またはコンポーネント、あるいはその組合せの存在を示すが、1つまたは複数のその他の機能、完全体、ステップ、動作、要素、コンポーネント、またはこれらのグループ、あるいはその組合せの存在または追加を除外していないということが、さらに理解されるであろう。
下の特許請求の範囲内のすべての手段またはステップおよび機能要素の対応する構造、材料、動作、および均等物は、具体的に請求されるその他の請求された要素と組み合わせて機能を実行するための任意の構造、材料、または動作を含むことが意図されている。本発明の説明は、例示および説明の目的で提示されているが、網羅的であることは意図されておらず、開示された形態での発明に限定されない。本発明の範囲および思想を逸脱することなく多くの変更および変形が当業者にとって明らかである。本発明の原理および実際の適用を最も適切に説明するため、および他の当業者が、企図されている特定の用途に適しているようなさまざまな変更を伴う多様な実施形態に関して、本発明を理解できるようにするために、実施形態が選択されて説明されている。
要約すると、以下の番号付き項において規定されたさまざまな実施形態が説明された。
1.攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ実装方法であって、
一連のセキュリティ・イベントを受信することと、
受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、
識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおける種類および属性を決定することと、
第1の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することと、
少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加することと
を含む、コンピュータ実装方法。
2.受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第2のサイバー攻撃における第2のセキュリティ侵害インジケータの検出のために構成された少なくとも1つのルールを適用することによって、相関関係エンジンを使用して第2のサイバー攻撃パターンを決定することをさらに含む、第1項の方法。
3.ルールのセットがマルウェア特徴属性一覧および脅威情報構造化記述形式に関する情報を使用している、第1項または第2項の方法。
4.新しいセキュリティ侵害インジケータを追加することによって、事前に定義されたルールのセットを継続的に更新することをさらに含む、第3項の方法。
5.少なくとも1つの構成されたルールをルールのセットに追加することが、
相関関係ルールを選択的に構成すること、もしくは有効化すること、またはその両方、
ルールをグループ化すること、および/あるいは
構成されて追加された少なくとも1つのルールを一般的ルールよりも優先すること
によって実行される、第1項ないし第4項のいずれかの方法。
6.下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することが、
リポジトリからの戦術技術プロシージャ識別ルール、マルウェア特徴属性一覧、および脅威情報構造化記述形式に関するデータを使用することを含む、第1項ないし第5項のいずれかの方法。
7.下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することが、
識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおいて決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流の部分的サイバー攻撃に関連する追加のルールを構成することをさらに含む、第1項ないし第6項のいずれかの方法。
8.1つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーすることをさらに含む、第1項ないし第7項のいずれかの方法。
9.特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということが決定された場合に、ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つの構成されたルールを削除することをさらに含む、第1項ないし第8項のいずれかの方法。
10.少なくとも1つの構成されたルールを使用する相関関係エンジンが事前に定義された時間の間に下流のサイバー攻撃パターンを決定しなかった場合、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つの構成されたルールを削除することをさらに含む、第9項の方法。
11.ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つの構成されたルールに関連するルールを、マルウェア特徴属性一覧および脅威情報構造化記述形式のリポジトリから削除することを含む、第9項の方法。
12.攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのセキュリティ情報イベント監視システムであって、
一連のセキュリティ・イベントを受信するように適応された受信ユニットと、
受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別するように適応された決定ユニットであって、
識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおいて種類および属性を決定するようにも適応されている、決定ユニットと、
第1の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成するように適応された構成ユニットと、
少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加するように適応された追加モジュールと
を備える、セキュリティ情報イベント監視システム。
13.決定ユニットが、
受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第2のサイバー攻撃における第2のセキュリティ侵害インジケータの検出のために構成された少なくとも1つのルールを適用することによって、相関関係エンジンを使用して第2のサイバー攻撃パターンを決定するようにも適応される、第12項のシステム。
14.ルールのセットが、
マルウェア特徴属性一覧および脅威情報構造化記述形式に関する情報を使用するように適応される、第12項または第13項のシステム。
15.新しいセキュリティ侵害インジケータを追加することによって、事前に定義されたルールのセットを継続的に更新するように適応された更新ユニットをさらに含む、第14項のシステム。
16.追加モジュールが、
相関関係ルールを選択的に構成すること、もしくは有効化すること、またはその両方、
ルールをグループ化すること、および/あるいは
構成されて追加された少なくとも1つのルールを一般的ルールよりも優先すること
を実行するようにも適応される、第13項ないし第15項のいずれかのシステム。
17.構成ユニットによって使用される戦術技術プロシージャ識別ルール、マルウェア特徴属性一覧、および脅威情報構造化記述形式に関するデータを格納するためのリポジトリをさらに備える、第13項ないし第16項のいずれかのシステム。
18.下流の部分的サイバー攻撃のための少なくとも1つのルールを構成する場合、構成ユニットが、
識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおいて決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流のサイバー攻撃に関連する追加のルールを構成するようにも適応される、第13項ないし第17項のいずれかのシステム。
19.1つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーするように適応された警報ユニットをさらに備える、第13項ないし第18項のいずれかのシステム。
20.特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということが決定された場合に、ルールのセットにおいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つの構成されたルールを削除するように適応された削除モジュールをさらに備える、第13項ないし第19項のいずれかのシステム。
21.削除モジュールが、
少なくとも1つの構成されたルールを使用する相関関係エンジンが事前に定義された時間の間に下流のサイバー攻撃パターンを決定しなかった場合、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つの構成されたルールを削除するようにも適応される、第20項のシステム。
22.削除モジュールが、
事前に定義されたルールのセットから、少なくとも1つの構成されたルールに関連するルールを削除するようにも適応される、第20項のシステム。
23.攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ・プログラム製品であって、前記コンピュータ・プログラム製品が、プログラム命令が具現化されているコンピュータ可読ストレージ媒体を備えており、前記プログラム命令が、前記1つまたは複数のコンピューティング・システムに、
一連のセキュリティ・イベントを受信することと、
受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、
識別された特定のサイバー攻撃チェーンの第1の部分的サイバー攻撃のパターンにおける種類および属性を決定することと、
第1の部分的サイバー攻撃の攻撃パターンにおける種類および属性に基づいて、特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することと、
少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために相関関係エンジンによって使用される事前に定義されたルールのセットに追加することと
を実行させるように、1つまたは複数のコンピューティング・システムまたはコントローラによって実行可能である、コンピュータ・プログラム製品。

Claims (23)

  1. コンピュータ実装方法であって、
    一連のセキュリティ・イベントを受信することと、
    前記受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定し、それによって、特定のサイバー攻撃チェーンを識別することと、
    前記識別された特定のサイバー攻撃チェーンの前記第1の部分的サイバー攻撃のパターンにおける種類および属性を決定することと、
    前記第1の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成することと、
    前記少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加することと
    を含む、コンピュータ実装方法。
  2. 前記受信された一連のセキュリティ・イベントにおいて、前記サイバー攻撃チェーンの第2のサイバー攻撃における第2のセキュリティ侵害インジケータの検出のために前記構成された少なくとも1つのルールを適用することによって、前記相関関係エンジンを使用して第2のサイバー攻撃パターンを決定することをさらに含む、請求項1に記載の方法。
  3. 前記ルールのセットがマルウェア特徴属性一覧および脅威情報構造化記述形式に関する情報を使用する、請求項1または2に記載の方法。
  4. 新しいセキュリティ侵害インジケータを追加することによって、前記事前に定義されたルールのセットを継続的に更新することをさらに含む、請求項3に記載の方法。
  5. 前記少なくとも1つの構成されたルールを前記ルールのセットに追加することが、
    相関関係ルールを選択的に構成すること、もしくは有効化すること、またはその両方と、
    ルールをグループ化することと、
    前記構成されて追加された少なくとも1つのルールを一般的ルールよりも優先することと
    から成る群から選択されたアクションを実行することによって実行される、請求項1ないし4のいずれかに記載の方法。
  6. 下流の部分的サイバー攻撃のための前記少なくとも1つのルールを構成することが、
    リポジトリからの戦術技術プロシージャ識別ルール、マルウェア特徴属性一覧、および脅威情報構造化記述形式に関するデータを使用することを含む、請求項1ないし5のいずれかに記載の方法。
  7. 下流の部分的サイバー攻撃のための前記少なくとも1つのルールを構成することが、
    前記識別された特定のサイバー攻撃チェーンの前記第1の部分的サイバー攻撃の前記パターンにおいて前記決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流の部分的サイバー攻撃に関連する追加のルールを構成することをさらに含む、請求項1ないし6のいずれかに記載の方法。
  8. 1つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーすることをさらに含む、請求項1に記載の方法。
  9. 前記特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということが決定された場合に、前記ルールのセットにおいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための前記少なくとも1つの構成されたルールを削除することをさらに含む、請求項1ないし8のいずれかに記載の方法。
  10. 前記少なくとも1つの構成されたルールを使用する相関関係エンジンが事前に定義された時間の間に下流のサイバー攻撃パターンを決定しなかった場合、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための前記少なくとも1つの構成されたルールを削除することをさらに含む、請求項9に記載の方法。
  11. 前記ルールのセットにおいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つの構成されたルールに関連するルールを、マルウェア特徴属性一覧および脅威情報構造化記述形式のリポジトリから削除することをさらに含む、請求項9に記載の方法。
  12. コンピュータ・システムであって、
    プロセッサと、
    前記プロセッサによって実行するためのプログラム命令を格納するコンピュータ可読ストレージ・デバイスと
    を備え、前記プログラム命令が、
    一連のセキュリティ・イベントを受信する命令と、
    前記受信された一連のセキュリティ・イベントにおいて、サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定する命令であって、それによって、特定のサイバー攻撃チェーンを識別する、前記命令と、
    前記識別された特定のサイバー攻撃チェーンの前記第1の部分的サイバー攻撃のパターンにおける種類および属性を決定する命令と、
    前記第1の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成する命令と、
    前記少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加する命令と
    を含む、コンピュータ・システム。
  13. 決定する命令が、
    前記受信された一連のセキュリティ・イベントにおいて、前記サイバー攻撃チェーンの第2のサイバー攻撃における第2のセキュリティ侵害インジケータの検出のために前記構成された少なくとも1つのルールを適用することによって、前記相関関係エンジンを使用して第2のサイバー攻撃パターンを決定する命令を含む、請求項12に記載のシステム。
  14. 前記ルールのセットが、
    マルウェア特徴属性一覧および脅威情報構造化記述形式に関する情報を使用することを含む、請求項12または13に記載のシステム。
  15. 新しいセキュリティ侵害インジケータを追加することによって、前記事前に定義されたルールのセットを継続的に更新する命令をさらに含む、請求項14に記載のシステム。
  16. 追加する命令が、
    相関関係ルールを選択的に構成すること、もしくは有効化すること、またはその両方と、
    ルールをグループ化することと、
    前記構成されて追加された少なくとも1つのルールを一般的ルールよりも優先することと
    から成る群から選択されたアクションを実行する命令をさらに含む、請求項12ないし15のいずれかに記載のシステム。
  17. 構成する前記命令によって使用される戦術技術プロシージャ識別ルール、マルウェア特徴属性一覧、および脅威情報構造化記述形式に関するデータを格納するためのリポジトリをさらに備える、請求項12ないし16のいずれかに記載のシステム。
  18. 下流の部分的サイバー攻撃のための前記少なくとも1つのルールを構成する前記命令が、
    前記識別された特定のサイバー攻撃チェーンの前記第1の部分的サイバー攻撃の前記パターンにおいて前記決定された種類および属性に関連するサイバー攻撃チェーンの典型的な下流のサイバー攻撃に関連する追加のルールを構成する命令を含む、請求項12ないし17のいずれかに記載のシステム。
  19. 1つのサイバー攻撃チェーンに対応する事前に定義された数のその後の部分的セキュリティ攻撃が決定された後に、警報信号をトリガーする命令をさらに含む、請求項12ないし18のいずれかに記載のシステム。
  20. 前記特定のサイバー攻撃チェーンのリスク値が既定のリスクしきい値未満に減少したということの決定に応答して、前記ルールのセットにおいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための前記少なくとも1つの構成されたルールを削除する命令をさらに含む、請求項12ないし19のいずれかに記載のシステム。
  21. 削除する前記命令が、前記少なくとも1つの構成されたルールを使用する前記相関関係エンジンが事前に定義された時間の間に下流のサイバー攻撃パターンを決定しなかったということの決定に応答して、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための前記少なくとも1つの構成されたルールを削除することを含む、請求項20に記載のシステム。
  22. 削除する前記命令が、
    事前に定義されたルールのセットから、少なくとも1つの構成されたルールに関連するルールを削除する命令を含む、請求項20に記載のシステム。
  23. 攻撃パターンによって表された一連の部分的サイバー攻撃から成るサイバー攻撃チェーンを含んでいるセキュリティ脅威を動的に識別するためのコンピュータ・プログラム製品であって、前記コンピュータ・プログラム製品が、プログラム命令が具現化されているコンピュータ可読ストレージ媒体を備えており、前記プログラム命令が、方法を実行するために1つまたは複数のコンピューティング・システムまたはコントローラの1つまたは複数のプロセッサによって実行可能であり、前記プログラム命令が、
    一連のセキュリティ・イベントを受信する命令と、
    前記受信された一連のセキュリティ・イベントにおいて、前記サイバー攻撃チェーンの第1の部分的サイバー攻撃のセキュリティ侵害インジケータの検出のために事前に定義されたルールのセットを適用することによって、相関関係エンジンを使用して第1のサイバー攻撃パターンを決定する命令であって、それによって、特定のサイバー攻撃チェーンを識別する、前記命令と、
    前記識別された特定のサイバー攻撃チェーンの前記第1の部分的サイバー攻撃のパターンにおける種類および属性を決定する命令と、
    前記第1の部分的サイバー攻撃の攻撃パターンにおける前記種類および前記属性に基づいて、前記特定のサイバー攻撃チェーン内の下流の部分的サイバー攻撃のための少なくとも1つのルールを構成する命令と、
    前記少なくとも1つの構成されたルールを、情報技術システムに対するセキュリティ脅威を動的に識別するために前記相関関係エンジンによって使用される前記事前に定義されたルールのセットに追加する命令と
    を含む、コンピュータ・プログラム製品。
JP2021558907A 2019-04-18 2020-03-23 ロギングによる機密データの暴露の検出 Active JP7544738B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/387,632 US11431734B2 (en) 2019-04-18 2019-04-18 Adaptive rule generation for security event correlation
US16/387,632 2019-04-18
PCT/EP2020/058028 WO2020212093A1 (en) 2019-04-18 2020-03-23 Detecting sensitive data exposure via logging

Publications (2)

Publication Number Publication Date
JP2022529220A true JP2022529220A (ja) 2022-06-20
JP7544738B2 JP7544738B2 (ja) 2024-09-03

Family

ID=69960641

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021558907A Active JP7544738B2 (ja) 2019-04-18 2020-03-23 ロギングによる機密データの暴露の検出

Country Status (12)

Country Link
US (1) US11431734B2 (ja)
EP (1) EP3957042A1 (ja)
JP (1) JP7544738B2 (ja)
KR (1) KR102612500B1 (ja)
CN (1) CN113661693B (ja)
AU (1) AU2020257925B2 (ja)
BR (1) BR112021020850A2 (ja)
CA (1) CA3137249A1 (ja)
IL (1) IL286611A (ja)
MX (1) MX2021012614A (ja)
SG (1) SG11202109795WA (ja)
WO (1) WO2020212093A1 (ja)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10841337B2 (en) 2016-11-28 2020-11-17 Secureworks Corp. Computer implemented system and method, and computer program product for reversibly remediating a security risk
US10735470B2 (en) 2017-11-06 2020-08-04 Secureworks Corp. Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics
CN113544676B (zh) * 2019-03-12 2024-07-26 三菱电机株式会社 攻击估计装置、攻击估计方法和记录介质
EP3712721A1 (de) * 2019-03-19 2020-09-23 Siemens Aktiengesellschaft Sicherheitsrelevante diagnosemeldungen
US11431734B2 (en) 2019-04-18 2022-08-30 Kyndryl, Inc. Adaptive rule generation for security event correlation
US11418524B2 (en) * 2019-05-07 2022-08-16 SecureworksCorp. Systems and methods of hierarchical behavior activity modeling and detection for systems-level security
US11522877B2 (en) 2019-12-16 2022-12-06 Secureworks Corp. Systems and methods for identifying malicious actors or activities
US11669615B2 (en) * 2020-07-23 2023-06-06 Mcafee, Llc Skewness in indicators of compromise
US11588834B2 (en) * 2020-09-03 2023-02-21 Secureworks Corp. Systems and methods for identifying attack patterns or suspicious activity in client networks
US11539737B2 (en) * 2020-10-28 2022-12-27 Kyndryl, Inc. Adaptive security for resource constraint devices
CN112351017B (zh) * 2020-10-28 2022-08-26 北京奇虎科技有限公司 横向渗透防护方法、装置、设备及存储介质
AT523933B1 (de) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks
JP7427574B2 (ja) * 2020-11-30 2024-02-05 株式会社日立製作所 状態診断装置、及び状態診断方法
CN114650146A (zh) * 2020-12-02 2022-06-21 中国电信股份有限公司 攻击溯源方法及装置、计算机可存储介质
CN114697057B (zh) * 2020-12-28 2023-02-10 华为技术有限公司 获取编排剧本信息的方法、装置及存储介质
US11528294B2 (en) 2021-02-18 2022-12-13 SecureworksCorp. Systems and methods for automated threat detection
CN113259371B (zh) * 2021-06-03 2022-04-19 上海雾帜智能科技有限公司 基于soar系统的网络攻击事件阻止方法及系统
CN115473658B (zh) * 2021-06-10 2024-09-06 中国移动通信集团有限公司 网络攻击检测方法、装置、设备及存储介质
CN113591092B (zh) * 2021-06-22 2023-05-09 中国电子科技集团公司第三十研究所 一种基于漏洞组合的攻击链构建方法
CN113452700B (zh) * 2021-06-25 2022-12-27 阿波罗智联(北京)科技有限公司 处理安全信息的方法、装置、设备以及存储介质
CN113765915B (zh) * 2021-09-06 2023-04-21 杭州安恒信息技术股份有限公司 网络事件分析方法、系统、可读存储介质及计算机设备
JP7230146B1 (ja) 2021-09-24 2023-02-28 エヌ・ティ・ティ・コミュニケーションズ株式会社 車両セキュリティ分析装置、方法およびそのプログラム
US12034751B2 (en) 2021-10-01 2024-07-09 Secureworks Corp. Systems and methods for detecting malicious hands-on-keyboard activity via machine learning
CN114095274B (zh) * 2021-12-10 2023-11-10 北京天融信网络安全技术有限公司 一种攻击研判方法及装置
CN114430335B (zh) * 2021-12-16 2024-08-20 奇安信科技集团股份有限公司 web指纹匹配方法及装置
CN114301692B (zh) * 2021-12-29 2023-12-12 中国电信股份有限公司 攻击预测方法、装置、介质及设备
CN114124587B (zh) * 2022-01-29 2022-06-28 北京安帝科技有限公司 一种攻击链的处理方法、系统及电子设备
US12015623B2 (en) 2022-06-24 2024-06-18 Secureworks Corp. Systems and methods for consensus driven threat intelligence
CN114866355B (zh) * 2022-07-06 2023-04-28 浙江国利网安科技有限公司 一种报文流转发方法、装置、计算机设备
CN115883218B (zh) * 2022-12-02 2024-04-12 中国人民解放军国防科技大学 基于多模态数据模型的复合攻击链补全方法、系统及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005136526A (ja) * 2003-10-28 2005-05-26 Fujitsu Ltd 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
JP2018032355A (ja) * 2016-08-26 2018-03-01 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
WO2018198733A1 (ja) * 2017-04-27 2018-11-01 株式会社日立製作所 セキュリティ監視システム及びセキュリティ監視方法

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7644365B2 (en) 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
US9686293B2 (en) 2011-11-03 2017-06-20 Cyphort Inc. Systems and methods for malware detection and mitigation
WO2016014021A1 (en) * 2014-07-21 2016-01-28 Hewlett-Packard Development Company, L.P. Security indicator linkage determination
US9716721B2 (en) 2014-08-29 2017-07-25 Accenture Global Services Limited Unstructured security threat information analysis
US9882929B1 (en) * 2014-09-30 2018-01-30 Palo Alto Networks, Inc. Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US20160219066A1 (en) 2015-01-26 2016-07-28 Cisco Technology, Inc. Event correlation in a network merging local graph models from distributed nodes
US10298607B2 (en) 2015-04-16 2019-05-21 Nec Corporation Constructing graph models of event correlation in enterprise security systems
AU2016204068B2 (en) * 2015-06-17 2017-02-16 Accenture Global Services Limited Data acceleration
US9516052B1 (en) 2015-08-01 2016-12-06 Splunk Inc. Timeline displays of network security investigation events
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10641585B2 (en) 2016-03-08 2020-05-05 Raytheon Company System and method for integrated and synchronized planning and response to defeat disparate threats over the threat kill chain with combined cyber, electronic warfare and kinetic effects
US20170289191A1 (en) * 2016-03-31 2017-10-05 Acalvio Technologies, Inc. Infiltration Detection and Network Rerouting
US20180004958A1 (en) * 2016-07-01 2018-01-04 Hewlett Packard Enterprise Development Lp Computer attack model management
WO2018071356A1 (en) 2016-10-13 2018-04-19 Nec Laboratories America, Inc. Graph-based attack chain discovery in enterprise security systems
US20180115569A1 (en) 2016-10-21 2018-04-26 Emet Rodney Anders, JR. Cyber security
US11146578B2 (en) * 2016-12-16 2021-10-12 Patternex, Inc. Method and system for employing graph analysis for detecting malicious activity in time evolving networks
US10404751B2 (en) 2017-02-15 2019-09-03 Intuit, Inc. Method for automated SIEM custom correlation rule generation through interactive network visualization
US10728264B2 (en) 2017-02-15 2020-07-28 Micro Focus Llc Characterizing behavior anomaly analysis performance based on threat intelligence
US10474966B2 (en) * 2017-02-27 2019-11-12 Microsoft Technology Licensing, Llc Detecting cyber attacks by correlating alerts sequences in a cluster environment
US10855700B1 (en) * 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
CN107888607B (zh) * 2017-11-28 2020-11-06 新华三技术有限公司 一种网络威胁检测方法、装置及网络管理设备
US11258818B2 (en) * 2018-01-31 2022-02-22 Ironsdn Corp. Method and system for generating stateful attacks
US11700269B2 (en) * 2018-12-18 2023-07-11 Fortinet, Inc. Analyzing user behavior patterns to detect compromised nodes in an enterprise network
US11431734B2 (en) 2019-04-18 2022-08-30 Kyndryl, Inc. Adaptive rule generation for security event correlation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005136526A (ja) * 2003-10-28 2005-05-26 Fujitsu Ltd 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
JP2018032355A (ja) * 2016-08-26 2018-03-01 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
WO2018198733A1 (ja) * 2017-04-27 2018-11-01 株式会社日立製作所 セキュリティ監視システム及びセキュリティ監視方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
河内 清人 ほか: "シナリオを用いたサイバー攻撃検知方式の提案", 2014年 暗号と情報セキュリティシンポジウム概要集, JPN6023052263, 24 January 2014 (2014-01-24), JP, pages 1 - 7, ISSN: 0005227623 *

Also Published As

Publication number Publication date
CA3137249A1 (en) 2020-10-22
BR112021020850A2 (pt) 2021-12-14
CN113661693B (zh) 2023-11-17
KR20210141575A (ko) 2021-11-23
EP3957042A1 (en) 2022-02-23
KR102612500B1 (ko) 2023-12-08
US20200336497A1 (en) 2020-10-22
AU2020257925B2 (en) 2022-08-11
AU2020257925A1 (en) 2021-09-30
IL286611A (en) 2021-10-31
SG11202109795WA (en) 2021-10-28
WO2020212093A1 (en) 2020-10-22
US11431734B2 (en) 2022-08-30
MX2021012614A (es) 2021-11-12
CN113661693A (zh) 2021-11-16
JP7544738B2 (ja) 2024-09-03

Similar Documents

Publication Publication Date Title
JP7544738B2 (ja) ロギングによる機密データの暴露の検出
US10984097B2 (en) Methods and apparatus for control and detection of malicious content using a sandbox environment
US11636206B2 (en) Deferred malware scanning
US11562068B2 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
US9344457B2 (en) Automated feedback for proposed security rules
US11397808B1 (en) Attack detection based on graph edge context
JP2024536226A (ja) 機械学習を介して悪意のあるハンズオンキーボード活動を検出するためのシステムおよび方法
US20240259414A1 (en) Comprehensible threat detection
Meenakshi et al. Literature survey on log-based anomaly detection framework in cloud
US11770388B1 (en) Network infrastructure detection
US20240256659A1 (en) Container security in a cloud environment
Patel et al. Malware Detection Using Yara Rules in SIEM
US20240152613A1 (en) Scanning for malware based on process identification
Kohol Applying Emerging Data Techniques and Advanced Analytics to Combat Cyber Threat
Liu et al. MalPEFinder: fast and retrospective assessment of data breaches in malware attacks

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20211228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220406

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230110

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231226

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20240325

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240514

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240820

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240822

R150 Certificate of patent or registration of utility model

Ref document number: 7544738

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150