JP2022540577A - モバイルデバイスの効率的なサイバー保護のための方法およびシステム - Google Patents

モバイルデバイスの効率的なサイバー保護のための方法およびシステム Download PDF

Info

Publication number
JP2022540577A
JP2022540577A JP2022500516A JP2022500516A JP2022540577A JP 2022540577 A JP2022540577 A JP 2022540577A JP 2022500516 A JP2022500516 A JP 2022500516A JP 2022500516 A JP2022500516 A JP 2022500516A JP 2022540577 A JP2022540577 A JP 2022540577A
Authority
JP
Japan
Prior art keywords
packet
policy
mobile device
data structure
packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2022500516A
Other languages
English (en)
Other versions
JP7393514B2 (ja
Inventor
ムーア,ショーン
ピー. ジェレミア,ピーター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Centripetal Networks LLC
Original Assignee
Centripetal Networks LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Centripetal Networks LLC filed Critical Centripetal Networks LLC
Publication of JP2022540577A publication Critical patent/JP2022540577A/ja
Priority to JP2023199361A priority Critical patent/JP2024020524A/ja
Application granted granted Critical
Publication of JP7393514B2 publication Critical patent/JP7393514B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Abstract

【課題】企業ユーザのモバイルデバイスは、通常、企業のネットワークセキュリティポリシーによって保護されることなくインターネットにアクセスし、これにより、企業ネットワークは、悪意のあるアクターによるインターネットを介した攻撃にさらされる。モバイルデバイスおよび関連する企業ネットワークを保護するための従来のアプローチは、デバイスのインターネット通信のすべてを企業ネットワークにトンネリングすることであるがこれは、通常、企業のモバイルデバイスから発信されるインターネット通信のごく少数の割合のみが、脅威に関連するインターネットホストと通信しているため、非常に非効率的である。【解決手段】モバイルデバイスMBDV1は、どの通信がインターネット脅威に関連付けられているかを効率的に識別し、そのような識別されたトラフィックのみを企業ネットワークENET160にトンネリングし、そこで、企業ネットワークを保護するためのアクションをとることができる。【選択図】図1

Description

この特許文書の開示の一部分には、著作権保護の対象となる資料が含まれている。本著作権所有者は、特許商標庁の特許ファイルまたは記録に記載されているように、特許文書または特許開示のいかなる人による複製にも異議を唱えることはないが、それ以外の場合は一切のすべての著作権を留保する。
関連出願の相互参照
本出願は、2019年7月3日に出願された米国非仮特許出願第16/502,565号の優先権を主張し、その内容全体が、参照により本明細書に明示的に組み込まれる。
本明細書で説明する発明の開示の態様は、一般に、コンピュータのハードウェア、ソフトウェア、およびネットワークセキュリティに関する。特に、本開示の1つまたはそれ以上の態様は、一般に、モバイルデバイスの効率的なサイバー保護のためのコンピュータのハードウェアおよびソフトウェアに関する。
情報時代が進むにつれ、ネットワークセキュリティはますます重要になっている。ネットワークの脅威/攻撃は様々な形態(例えば、不正な要求またはデータ転送、ウイルス、マルウェア、リソースを圧倒するように設計された大量のトラフィックなど)を採り得る。これらの脅威の多くは、インターネットを使用して、次のように企業コンピュータのリソース/資産にアクセスして攻撃する。デスクトップコンピュータ、オンプレミスまたはクラウドの企業アプリケーションサーバ、公開されているウェブサーバなどの静止または固定の企業ホストは、企業が所有および/または運用ならびに管理するプライベートTCP/IPネットワークに直接接続され得る。これらの企業ネットワークは、今度は、インターネットに直接接続されているため、(a)個々の企業の地理的に分散したプライベートネットワークおよび関連する資産は、インターネットを使用して相互接続することによって互いにアクセスすることができ、(b)個々の企業のホストは、他の公的にアドレス指定されたインターネット接続ホスト(例えば、パブリックウェブサーバおよびアプリケーションサーバ)にアクセスすることができ、(c)他のインターネット接続ホストは、企業の公開されているホスト(eコマースウェブサーバなど)にアクセスすることができる。しかしながら、インターネット接続ホストには、悪意のあるアクターによって所有、運用、またはさもなければ制御されているホストが含まれ得る。これらの悪意のあるアクターは、インターネットを使用して、企業の公開されているホストにアクセスして攻撃するだけでなく、可能であるとき、例えば、企業がそのプライベート資産を保護するために使用するネットワーク周辺防御構造の破壊を遂行できたとき、企業のプライベートリソースを攻撃する。
企業がその固定/静止ネットワーク資産をインターネットの脅威から保護するための従来のアプローチは、企業ネットワークの周辺または境界としても知られるインターネットアクセスポイントにおいてそのプライベートネットワークをセキュアにすることである。企業は、どのネットワークトラフィックが、(例えば、企業ネットワークに直接接続されているかまたは企業ネットワーク内にあるホストから発信され、インターネットホストのほうを宛先とするか、あるいは逆に、インターネットホストから発信され、企業ネットワークに接続されているホストのほうを宛先とする)いずれかの方向に境界を越えることを許可されているかを指定するセキュリティポリシーを定義する。セキュリティポリシーは、ネットワークファイアウォール、ウェブプロキシ、SSL/TLSプロキシ、侵入防止システム(IPS)、(帯域外で提供され得る)侵入検知システム(IDS)、脅威インテリジェンスゲートウェイ(TIG)など、インターネットアクセスポイントにあるかまたはその近くにある様々なデバイスによって施行される。このデバイスのコレクションは、セキュリティスタックまたは企業ネットワークセキュリティスタックと呼ばれ得る。セキュリティスタックによって提供される保護の有効性は、ネットワークセキュリティポリシーの品質、範囲、および忠実度と、併せて、ネットワークパフォーマンスを許容不能なレベルに低下させることなくポリシーを効率的に施行するデバイスの能力と、によって、判定され得る。
しかしながら、従来の企業セキュリティスタックでは、企業ユーザの個人用モバイルスマートフォン、ポータブルタブレット、ポータブルデスクトップなど、企業のモバイルホスト/デバイスをインターネットの脅威から保護することが不可能であり得る。これは、そのようなデバイスが、セルラネットワークおよびWi-Fiネットワークなどの無線アクセスネットワークを介してインターネットに直接接続し得るためである。このようなシナリオでは、これらのモバイルデバイスは、インターネットホストと直接通信し得るが、企業セキュリティスタックを介して関連するネットワークトラフィックをフィルタリングすることはない。したがって、悪意のあるインターネットホストおよびアクターは、モバイルデバイスを容易に攻撃することができ、かつモバイルデバイスをマルウェアに容易に感染させることができるか、またはさもなければモバイルデバイス上のリソースおよびアプリケーションを制御し得る。さらに、モバイルデバイスは、悪意のあるアクターが企業ネットワークに侵入し、企業の固定ネットワーク資産を攻撃するための侵入手段として機能し得る。例えば、企業モバイルデバイスおよび/またはそのデバイスがホストするアプリケーションは、セキュリティスタックの背後にある企業アプリケーションサーバへの特権的および許可されたアクセスを有し得る。別の例として、モバイルユーザは、Wi-Fiアクセスポイントを介して自分のモバイルデバイスを企業ネットワークに直接取り付け得る。これらの例の両方において、悪意のあるアクターは、企業ネットワーク資産に直接かつ自由にアクセスし得る。次に、悪意のあるアクターは、セキュリティスタックの背後にある資産へのモバイルデバイスのアクセスを利用して、企業資産を攻撃し得る。
企業のモバイル資産をセキュアにするための従来のアプローチは、(a)各企業モバイルデバイスと、企業セキュリティスタックの背後にあるトンネルゲートウェイとの間にトンネルを構成する(セキュアにする)こと、および(b)モバイルデバイスのインターネット通信のほとんどまたはすべてをトンネル経由で送信すること、である。通信がトンネルゲートウェイを出るとき、通信は、企業セキュリティスタックを介して送信され得る。企業セキュリティポリシーは、インターネットホストに向かう途中で通信に適用され得る。インターネットホストから発信された任意の応答通信は、セキュリティスタックを介して同様にフィルタリングされ得る。しかしながら、このアプローチには、複数の実際的な問題があり、それは、企業がそれを使用しない可能性、および/またはモバイルデバイスユーザがそれを拒否する可能性があり、その結果、企業は、モバイルデバイスを、したがって企業のネットワーク資産をインターネットの脅威から効果的にセキュアにしない可能性がある。
最も困難な問題のうちの1つは、セキュリティスタックを介してトラフィックをフィルタリングして、インターネットの脅威に関連付けられ得る通信を検出することができる、モバイルデバイスのインターネットトラフィックの実質的にすべてをトンネルゲートウェイにトンネリングして戻すことの非効率性である。通常、企業のモバイルデバイスから発信されたインターネット通信のごく少数の割合のみがインターネットの脅威と通信しているため、この脅威に関連するトラフィックのみをフィルタリングする必要がある。また、企業の従業員がますますモバイルになり、企業ユーザが、個人的通信と仕事/企業通信の両方のために自分自身の個人用モバイルデバイス(例えば、スマートフォン)を使用すること、「自分自身のデバイスの持ち込み」または「BYOD」と呼ばれる市場現象を圧倒的に好むため、モバイルデバイスのインターネットトラフィックの多くは、個人的通信(例えば高帯域幅のビデオ)であり得、これは、(a)企業にとって脅威ではなく、(b)ユーザが企業のセキュリティポリシーおよび会社の使用ポリシーに不必要に従うことを希望しないプライベート通信である。また、地域のプライバシー保護法または規制は、企業がこれらの個人的通信をフィルタリングすることを許可されているかどうかを考慮に入れ得る。したがって、モバイルデバイスのトラフィックをセキュアにするために使用される企業ネットワークリソースが、無駄になり得る。また、モバイルデバイスは、正当なおよび/または良性のトラフィックを不必要に暗号化およびトンネリングすることにより、バッテリ電源を含む多くのリソースを無駄にし得る。さらに高い帯域幅、アプリケーションによるさらに多くの帯域幅消費、およびモバイルデバイスによるさらに多くのリソース消費を提供する次世代のセルラネットワークが展開されるにつれて、モバイルデバイスのインターネットトラフィックおよび関連する企業ネットワークを従来の方法でセキュアにするコストおよび他の非効率性が増加し、法外になり得ることが予想される。
したがって、企業のネットワークセキュリティポリシーを使用して企業のモバイル資産を効率的にセキュアにし、それによって、企業のネットワーク資産をインターネットの脅威から保護する必要性が存在する。
以下は、本開示のいくつかの態様の基本的な理解を提供するための簡略化された概要を提示する。これは、本開示の主要なまたは重要な要素を特定することも、本開示の範囲を定めることも意図されていない。以下の概要は、以下の説明の前置きとして、本開示のいくつかの概念を簡略化した形式で提示するに過ぎない。
本開示の態様は、モバイルデバイスおよびそれらに関連する企業ネットワークをインターネットの脅威から効率的にセキュアにすることに関連している。モバイルデバイスは、インターネットの脅威に関連付けられ得るモバイルデバイス通信トラフィックを識別し得、そのような識別されたトラフィックのみをトンネルゲートウェイにトンネリングして、企業セキュリティスタックによってフィルタリングし得る。
インターネットの脅威に関連する通信の識別は、多くのサイバー脅威インテリジェンス(CTI)プロバイダ組織から入手可能なCTIのデータベースまたはデータ構造を活用し得る。このCTIは、インジケータ、脅威インジケータ、または侵入インジケータ(IoC)を含み得る。CTIは、脅威アクターによって制御/操作され得るか、またはさもなければ悪意のある活動に関連付けられ得るリソースの(IPアドレス、IPアドレス範囲、L4ポートおよび関連するL3プロトコルタイプ、ドメイン名、URIなどの形式の)インターネットネットワークアドレスを含み得る。CTIインジケータ/脅威インジケータには、一部のTCP/IP通信をセキュアにするために使用される証明書および関連する認証局の識別子も含まれ得る(例えば、HTTPを介したセッションをセキュアにするためにTLSプロトコルによって使用されるX.509証明書)。
アクティブな通信がインターネットの脅威に関連付けられ得るかどうかを判定するために、通信を含む転送中のパケットは、例えば、脅威インジケータで満たされたデータベースまたはデータ構造から生成されたパケットフィルタリングルールを適用するパケットフィルタリングデバイスによって、脅威インジケータで満たされたデータベースまたはデータ構造と比較され得る。パケットの値とデータベースまたはデータ構造内の脅威インジケータとの間で一致が判定された場合、一連の保護アクションまたはパケット変換機能(PTF)のうちの少なくとも1つが、パケットに適用され得る。これらの保護アクション/PTFには、パケットのドロップ、パケットが目的の宛先に進むことの許可、パケットの監視(パケットのログ記録およびキャプチャ、またはパケットのログ記録および転送が含まれ得る)、目的の宛先へのパケットのミラーリング、ならびに監視またはテストのための別のネットワークデバイスへのパケットのミラーリング、パケットのリダイレクト、対応する応答パケットの生成などが含まれ得る。
保護アクション/PTFは、インジケータを提供した関連CTIPによって提供される脅威インテリジェンスデータまたは脅威メタデータによって部分的に判定され得る。CTIPは、CTIインジケータを、非バイナリの脅威リスク値に関連付け得る。例えば、インジケータのリスクは、関連するパケットまたは通信が攻撃の一部であるという確率または可能性として表されるか、それに関連付けられ得る。このような脅威リスク値は、一致するパケットに適用され得る保護アクション/PTFの判定に考慮され得る。例えば、パケットに関連するほぼ100%の脅威リスクがある場合、パケットは、攻撃の一部である可能性が非常に高いため、ドロップされ得る。パケットはまた、ログ記録され、キャプチャされ、脅威/攻撃を認識している必要がある当局に警告され得る。逆に、パケットに関連する脅威リスクがほぼ0%の場合、パケットは、攻撃の一部である可能性が低いため、宛先に向かって進むことが可能にされ得る。別の例として、パケットのリスクの可能性が50%の場合、パケットは目的の宛先に進むことが可能にされ得るが、パケットはまた、ログ記録またはキャプチャされるか、あるいはリスクが、指定された当局へのアラートで識別され得、当局は、パケットおよび関連する通信をさらに分析して、パケット/通信が攻撃の一部であったかどうかを判定する。リスク値の推定、および関連するアクション/PTF、またはネットワーク保護アクションの選択は、関連するCTIPによって提供され得る脅威メタデータ(例えば、攻撃の種類、攻撃の属性など)、同じインジケータを提供したCTIPの数、どのCTIPがインジケータを提供したか、インジケータの忠実度、パケットの発信者の地理的位置、保護されている関連ネットワークの管理者の設定などを含む、いくつかの変数の関数であり得る。
ポリシー作成および管理システムは、(a)1つまたはそれ以上のCTIPからCTIおよび関連するメタデータを受信し得、(b)脅威インジケータを集約(例えば、重複する情報をマージおよび削除)し得、(c)脅威インジケータごとにパケットフィルタリングルールを作成し得、(d)パケットフィルタリングルールのすべてをポリシーにまとめ得、(e)ネットワークファイアウォールおよび脅威インテリジェンスゲートウェイ(TIG)などのサブスクライブするポリシー施行デバイスにポリシーを配布し得る。ステップ(c)において、パケットフィルタリングルールを作成するとき、各ルールは、(1)パケット一致基準、例えば、パケットフィールドと値のペア、ここで、値はCTIインジケータである、および(2)ルールの基準に一致するパケットに適用されるパケット処置、またはネットワーク保護アクション、またはPTFを指定し得る。パケットフィルタリングルールの構文は、ポリシー施行デバイスによって指定され得る。構文は、BSD PFまたはiptablesなどの商用ファイアウォールの構文と同じまたは類似であり得る。パケット処置/アクション/PTFは、ポリシー作成論理によって指定でき、ポリシー作成論理は、上記で説明されたように、CTIPが提供する脅威メタデータ、管理者設定などを考慮に入れることができる。ポリシー作成および管理システムは、モバイルアプリケーションに統合し得る。モバイルアプリケーションは、集中型サーバから生成されたポリシーの更新をインストールして受信するように構成することもできる。
CTIから導出したポリシーのサイズは、開示された方法およびシステムを考慮に入れ得る。最も効果的なネットワーク保護を提供するには、多くの異なる独立したCTIPからのCTIを使用してポリシーを導出する必要がある。CTIPは、例えば、攻撃の種類、市場セグメント、脅威メタデータの品質、インジケータの種類、忠実度によって差別化され得るため、独立したCTIPによって提供されるインジケータ間にはほとんど重複がない場合がある。任意の2つの独立したCTIPによって提供される2セットの脅威インジケータの場合、セットの共通部分は、比較的小さいか、またはヌルでさえあり得る。したがって、アクティブな脅威通信を監視する可能性を最大限に高めるには、可能な限り多くの独立したCTIPから利用可能なCTIを使用してポリシーを導出する必要がある。これにより、ポリシーが非常に大きくなり得る。例えば、多くの独立したCTIPから作成されたCTIから導出したポリシーのサイズは、500万のパケットフィルタリングルールになる可能性がある。しかしながら、インターネットの脅威の範囲は急速に拡大し続けており、したがって、CTIPはより多くのCTIを生成し続けている。したがって、将来の保証のために、フィルタリングシステムは、有効なCTIから導出したポリシーのサイズの桁の増加を処理するように設計されて、1,000万~5,000万のパケットフィルタリングルールの範囲を含む可能性がある。
CTIから導出したポリシーのダイナミクスも、説明されている方法およびシステムを考慮に入れ得る。例えば、悪意のあるアクターが、新しい脅威インジケータを使用して新しい攻撃を継続的かつ迅速に作成しているため、CTIは継続的に変化する。脅威インジケータはまた、60~180日後に「期限切れ」になり、リスクがあると見なされなくなる可能性があり得る。また、CTIPは、CTI更新の頻度によって区別され得る。したがって、CTIから導出したポリシーは、有効性を維持するために頻繁に更新する必要がある。実際には、CTIから導出したポリシー配布の頻度は、毎週、毎日、または毎時間であり得る。
ルールの一致基準のインジケータによるポリシー内の各ルールの特徴付けも、開示された方法およびシステムを考慮に入れ得る。このプロパティは、ポリシーを検索する前に、パケットデータがポリシー内の何らかのルールに一致するかどうかを判定するためのテストによって活用され得る。
CTIデータベースのサイズおよびダイナミクスにより、ネットワークを保護するためのCTIの使用は、ポリシー作成とポリシー施行の両方の自動化の恩恵を受け得る。ポリシー施行の自動化では、ネットワークファイアウォールなど、転送中のネットワークトラフィックにパケットフィルタリングルールを適用し得る任意のネットワークデバイスが、ポリシー施行機能を潜在的に実行し得る。ネットワークを保護するためにCTIを適用するには、ポリシー施行デバイスは、(a)大幅なレイテンシまたは(例えば大きいレイテンシによって引き起こされるバッファオーバーフローによる)パケット損失なしに、高速インターネットアクセスリンク(例えば10G)上の転送中のネットワークトラフィックに、数百万のパケットフィルタリングルールで構成される非常に大きいポリシーを適用すること、(b)例えば、IPアドレス、IPアドレス範囲、5タプル、ドメイン名、URI、X.509証明書など、一致基準に様々な種類のインジケータを使用してパケットフィルタリングルールを適用すること、(c)パケット転送サービスを失うことまたはセキュリティ/保護を失うことなく、現在施行されている非常に大きいポリシーを新しく非常に大きいポリシーで迅速かつ頻繁に更新すること、ならびに(d)例えば、例えばセキュリティ情報およびイベント管理(SIEM)アプリケーションおよびパケットアナライザアプリケーションを使用して通信をサイバー分析できるように、パケットをログ記録およびキャプチャすること、の能力を備えていることが有益である。
CTIから導出したポリシーを使用してモバイルデバイスおよび関連ネットワークを保護するための1つの潜在的なアプローチは、エンドポイントモバイルデバイス上にポリシー施行機能を配置することである。Android(登録商標)などのモバイルデバイスオペレーティングシステムには、エンドポイントモバイルデバイスによって発信および受信されたトラフィックに、CTIから導出したパケットフィルタリングルールを適用することができる、ネットワークファイアウォール機能(例えばAndroid(登録商標)のiptables)が含まれている。ただし、iptables、ならびに従来のネットワークファイアウォール、およびいわゆる「次世代」ファイアウォールは、CTIから導出したルールで構成されているとき、CTIから導出したポリシー施行機能で識別できるが、このようなファイアウォールは通常、ネットワークゲートウェイの上記の機能のすべてを有するわけではない。さらに、従来のモバイルデバイスは一般に、ネットワークゲートウェイの能力をサポートするのに十分なプロセッサおよびメモリの要件を欠いている。また、モバイルデバイスは通常、バッテリに蓄えられた電力を節約するために、処理負荷を最小限に抑え、したがって、電力消費を最小限に抑える。したがって、モバイルデバイス上で効果的なポリシー施行機能を見つけるこの潜在的なアプローチは、非現実的であり得る。
モバイルデバイスの限られた処理能力およびバッテリ電力節約の問題に対処するために、セキュリティスタックを備えたポリシー施行機能(例えば、TIG)が、企業ネットワークのインターネットアクセスポイントにおいて提供され得、また、各モバイルデバイスからのインターネットトラフィックのすべてを、セキュリティスタックの背後にあるトンネルゲートウェイにトンネリングする代わりに、システムは、各モバイルデバイスから、TIGによって施行されるCTIから導出したポリシー内のパケットフィルタリングルールに一致し得るインターネットトラフィックのみをトンネリングし得る。システムは、各モバイルデバイス上で、どのインターネットトラフィックパケットが、企業ネットワーク内にある(リモート)TIGによって施行されるポリシー内のパケットフィルタリングルールに一致するかを効率的に判定する論理をローカルで実行し得る。
どのインターネットトラフィックパケットがポリシー内のパケットフィルタリングルールに一致するかを効率的に判定するために、CTIから導出したポリシー内の各ルールを脅威インジケータで特徴付けることができる。脅威インジケータは、フィルタリングルールの一致基準として使用できる。モバイルデバイスは、特徴付け脅威インジケータによってセキュリティポリシー内の各ルールを表すデータ構造を利用して、インターネットトラフィックパケットがポリシー内のルールと一致するかどうかを判定し得る。ポリシー全体を表すために、システムは、ポリシー内の各ルールを特徴付ける、IPアドレス、ドメイン名、URI、証明書IDなどのインジケータのすべてを収集し、そのような各インジケータを、例えば、要素(例えばIPアドレス、ドメイン名、URI、証明書IDなど)がセットのメンバーであるかどうかを判定するためにテストされ得るセットデータ構造に挿入し得る。データ構造は、ポリシー管理サーバによって生成され得、各モバイルデバイスに配布され得、ポリシーによって保護され得る各モバイルデバイスに記憶され得る。モバイルデバイスがインターネットトラフィックパケットを発信または受信すると、モバイルデバイス上のコンピュータ論理および/またはアプリケーションは、IPアドレス、ドメイン名、URI、証明書IDなど、データ構造内の脅威インジケータに対応し得るパケットに含まれるいずれかの要素を抽出し得、データ構造をテストして、いずれかのそのような要素がデータ構造のセットのメンバーであるかどうかを判定し得る。テストが、いずれかのパケット要素が脅威インジケータのセットのメンバーであることが示す場合、パケット、またはパケットのコピーは、企業プライベートネットワーク内にあるトンネルゲートウェイにトンネリングされ得る。トンネルゲートウェイを出ると、パケットはTIGに送信され得、TIGは、ポリシーを介してパケットをフィルタリングして、どのパケットフィルタリングルールがパケットに一致するかを判定し得る。一致するルールがTIGによるポリシーテストによって判定されると、ネットワークを保護するために、ルールに関連付けられたアクションまたはPTFがパケットに適用され得る。アクションまたはPTFによって、パケットがインターネットのほうに転送される場合、パケットは、関連するセキュリティスタックを通過し得る。
データ構造は、空間と時間の両方に関して効率的であることが好ましい。ポリシー内のルールを特徴付ける要素のセットまたは脅威インジケータを記憶するために必要なメモリは、モバイルデバイス上の使用可能なメインメモリに比べて小さくなければならず、メンバーシップテスト機能および要素挿入機能は、理論と実践の両方において高速で効率的である必要がある。参照により本明細書に組み込まれる、2019年4月30日に出願された米国特許出願第16/399,700号に記載されているように、ブルームフィルタと呼ばれる確率的データ構造は、これらの基準を満たし得る。ブルームフィルタは、セットの要素を空間効率的に記憶し、要素をセットに時間効率的に挿入し、時間効率的にテストして、要素がセットのメンバーであり得るかどうかを判定し得る。ブルームフィルタは、偽陽性率Pによってパラメータ化され、これは、要素が実際にはセットのメンバーではないときに、要素のセットメンバーシップテストがTrueを返す確率である。ブルームフィルタの場合、偽陰性率はゼロである。つまり、要素のセットメンバーシップテストがFalseを返す場合、その要素がセットのメンバーではないことは確かである。
ブルームフィルタをモバイルデバイスによって使用して、IPアドレス、ドメイン名、またはインターネットトラフィックパケットから抽出されたURIなどのパケット要素が、ポリシー内のルールを特徴付けるすべてのインジケータのセットのメンバーであるかどうかを効率的に判定し得る。例えば、サイズが約9Mバイトのブルームフィルタは、偽陽性率P=10-3、または1000分の1のとき、IPアドレス、ドメイン名、およびURLインジケータのすべてを、CTIPが提供する脅威インジケータの同様の数(例:500万)から導出した約500万のパケットフィルタリングルールで構成される実際のポリシーに記憶するのに十分であり得る。500万個の要素を含むブルームフィルタを迅速にテストして、所与のパケット要素(IPアドレス、ドメイン名、URLなど)がメンバーであるかどうかを(通常は1マイクロ秒未満で)判定し得る。このまたは任意のブルームフィルタの場合、空間/メモリおよびメンバーシップテスト時間の要件は、Pの対数の大きさによって異なり、したがって、例えば、P=10-3を1000分の1のP=10-6に減らすか、または100万分の1にすると、空間および時間の要件は2倍に(例えば、この例では約18MBに)なる。現在の多くのモバイルスマートフォンは、1~4GBのメインメモリを有し得、したがって、例示的な9MBブルームフィルタは、メインメモリの1%未満を占め得る。CTIから導出したポリシーのサイズが大幅に増加し、それに含まれるパケットフィルタリングルールまたは脅威インジケータの数で測定される場合、関連するブルームフィルタのサイズが問題になる場合は、ブルームフィルタのサイズを低減するために、偽陽性率を増加させ得る。
ブルームフィルタのデータ構造(以降、「B/F」と略記することがある)は、本開示の説明において使用されるが、この選択は例示的なものであり、決して限定的または制限的であることを意味するものではない。要素のセットを記憶し、要素をセットに挿入し、かつセット内の要素のメンバーシップをテストするための十分かつ同様の時間および空間の効率を備えた任意のデータ構造を使用し得る。例えば、カッコウ(Cuckoo)フィルタは、ブルームフィルタ(B/F)と同様の時間および空間の効率があり、セットから要素を効率的に削除または除去する機能もあり、これは、標準のブルームフィルタにはない機能であるが、削除機能をサポートするブルームフィルタ変形態が開発されている。セットから要素を効率的に削除する能力は、いくつかの適用例、実装形態、および/または実施の形態において有用であることが証明され得る。データ構造は、セットに要素を追加するためのInsert()関数をサポートし得、要素のセットメンバーシップをテストするためのブール値Member()関数をサポートし得、セットから要素を除去するためのDelete()関数をサポートし得る。データ構造は、確率的であり得、非ゼロの偽陽性率Pに関連付けられ得る。
テストが、いずれかのパケット要素がセットのメンバーであることが示す場合、そのパケットは、インターネットの脅威に関連付けられていると判定される。そのため、脅威に関連するパケットは、モバイルデバイスから企業ネットワークトンネルゲートウェイにトンネリングされ得、企業ネットワークトンネルゲートウェイは、関連する企業ネットワークのセキュリティスタックの背後に位置し得る。使用され得るトンネリング技術および関連する方法には様々なものがあり、シナリオによっては、トンネリング技術および方法は、企業がモバイルインフラストラクチャに求める保護の種類および効率の量に一部依存し得る。以下の詳細な説明では、いくつかの例示的なトンネリング技術が使用されている。しかしながら、これらのトンネリング技術は例示的なものであり、決して制限的または限定的であることを意味するものではない。本開示の範囲から逸脱することなく本発明を実現するために、他のトンネリング技術および方法が使用され得る。
本開示の説明で使用される例示的なインターネット層/L3トンネリングプロトコルは、IPsecトンネルモード(RFC1431)である。IPsecトンネルモードは、トンネリングされるパケットトラフィックを暗号化し、暗号化されたトラフィックをトランスポート層/L4パケット(UDPプロトコルまたはTCPプロトコルのいずれか)のペイロードセクションに配置し、L4パケットをIPパケットにカプセル化し得、これにおいて、IPアドレスフィールド値は、トンネルの終端のIPアドレスであり、モバイルデバイスおよび企業ネットワークゲートウェイのアドレスが含まれ得る。IP-in-IP(RFC1203)を含む、他のインターネット層/L3トンネリングプロトコルが使用され得る。モバイルデバイスおよびトンネルトラフィックをVPNに関連付けることができるため、関連する企業ネットワークのプライベートアドレス指定スキームを使用して、トンネルトラフィックを、企業プライベートネットワーク経由でTIG、セキュリティスタック、およびインターネットにルーティングおよび/または切り替えることができる。これを行うための1つの例示的な方法は、L2TP-over-IPsecまたはL2TP/IPsecとして知られる、IPsecと組み合わせたL2TPプロトコルを使用することである。L2TP/IPsecは、2つの普及しているモバイルデバイスオペレーティングシステムであるAndroid(登録商標)とiOSの両方によってネイティブにサポートされている。以下の説明では、トンネリングを参照するとき、プロトコルの正確な詳細は、省略され得る。当業者は、特定のシナリオのコンテキストを使用して、詳細を推測し得る。
モバイルデバイスは、状況に応じて企業に関連付けられ得る。つまり、デバイスは、現在の通信のプロパティに応じて、「企業モード」または「パーソナルモード」、あるいはそれらの両方で動作していると言われ得る。例えば、モバイルデバイスがインターネット脅威トラフィックを企業ネットワークにトンネリングしている場合、そのデバイスは、企業ネットワークに接続されているため、企業モードで動作している企業ホスト/エンドポイント資産と見なされ得る。モバイルデバイスがインターネットトラフィックをトンネリングしておらず、代わりに、他のインターネットホスト/エンドポイントと直接通信しているとき、それは、企業ホスト/エンドポイント資産とは見なされないため、パーソナルモードで動作していると見なされる。モバイルデバイスは、両方のモードで同時に動作している可能性がある。例えば、デバイスは、脅威のない/良性のインターネットホストと直接通信していると同時に、トンネルを介してインターネットの脅威のあるホストと間接的に通信し得る。デバイスは、インターネットの脅威のあるホストと直接通信している可能性があるが、通信のパケットのコピーを企業にトンネリングして戻す。企業ネットワークにトンネリングされたパケット、または企業ネットワークにトンネリングされたコピーされたパケットを監視して、ネットワークの脅威を判定または分析し得る。このようなパケットは、通信が攻撃であるか正当な/良性の通信であるかを判定するために、監視およびサイバー分析され得る。
このプロセスは、ポリシーのテストを実行するための論理またはアプリケーションを備えた少なくとも1つのモバイルデバイスを構成することを含み得る。論理またはアプリケーションは、企業管理サーバからインストールできる。モバイルデバイスには、携帯電話、タブレット、ラップトップコンピュータ、またはモバイルホットスポットなどのモバイルネットワーキングデバイスが含まれ得る。企業ネットワークは、TIGおよびトンネルゲートウェイで構成され得る。
ポリシー作成および配布管理サーバは、複数のCTIPからCTIを受信し、複数のルールを含み得るCTIから導出したポリシーを作成し得る。管理サーバは、複数のルールの各々を表す要素のセットに基づいてブルームフィルタB/Fを作成し得る。このようなデータ構造(以下、TUNNEL-B/Fと呼ぶ)には、ポリシー内の各ルールから抽出された脅威インジケータが含まれ得る。システムは、ポリシーをTIGにダウンロードし、データ構造TUNNEL-B/Fを、企業ネットワークに関連付けられた各モバイルデバイスに、およびTIGを含む他のネットワーク要素に送信し得る。
モバイルデバイスは、インターネットホストとの通信を開始し得る。IPアドレス、ドメイン名、URIなどのアウトバウンドパケットの値は、データ構造TUNNEL-B/Fのメンバーシップについてテストされ得る。メンバーシップテストにおいてTrueが返された場合、システムは、パケットを企業ネットワークにトンネリングし得る。パケットは、TIGおよびセキュリティスタックを介してフィルタリングされ得る。通信フロー内の後続のパケットの各々は、企業ネットワークにトンネリングされ、TIGおよびセキュリティスタックを介してフィルタリングされ得る。メンバーシップテストにおいてFalseが返された場合、システムは、パケットを企業ネットワークにトンネリングせずに、パケットをインターネットホストのほうに直接転送し得る。
トンネルゲートウェイから出るトンネルパケットを受信すると、企業ネットワークは、パケットをTIGのほうに転送し得る。TIGは、各パケットにポリシーを適用し得る。TIGが、一致するパケットフィルタリングルールを見つけると、TIGは、ルールの対応するアクション/PTFをパケットに適用し得る。アクション/PTFは、例えば、パケットをドロップし得るか、または追加のセキュリティ処理のためにパケットをセキュリティスタックに転送し得る。アクション/PTFにより、パケットがログ記録およびキャプチャし得るため、パケットおよび関連する通信をSIEMアプリケーションおよび/またはパケットアナライザアプリケーションで分析して、通信が脅威もしくは攻撃であるかどうか、または通信が良性であると判定されるかどうかを判定することができる。
上記のプロセスには多くの可能な変形態があり、そのうちのいくつかは、「発明を実施するための形態」セクションにおいて以下に詳しく説明されている。
本開示は、添付の特許請求の範囲において委細に指摘されている。本開示の特徴は、本明細書とともに提供される図面図を含めて、本開示全体を検討することでより明らかになるであろう。
本明細書のいくつかの特徴は、添付の図面の図において、限定としてではなく例として示され、ここで、同様の参照番号は、同様の要素を指す。
モバイルデバイスおよび関連する企業ネットワークの保護システムの例示的な環境を示す。 モバイルデバイスおよび関連する企業ネットワーク要素を構成するためのセキュリティポリシー作成および管理サーバの動作概念のフローチャートを示す。 モバイルデバイスおよび関連する企業ネットワークにおけるパケットフィルタリングの動作概念のフローチャートを示す。 モバイルデバイスおよび関連する企業ネットワークの非保護システムの動作概念のフローチャートを示す。 本明細書で説明される1つまたはそれ以上の例示的な態様に従って使用できる例示的なコンピュータシステムアーキテクチャを示す。 本明細書で説明される1つまたはそれ以上の例示的な態様に従って使用できる例示的なリモートアクセスシステムアーキテクチャを示す。
本開示の様々な実施の形態の以下の説明において、添付図面が参照されるが、添付図面は、本明細書の一部を形成するものであり、そこには、本開示の態様が実施され得る様々な実施の形態が例示として示されている。本開示の範囲から逸脱することなく、他の実施の形態が利用され得、構造的および機能的な変更が行われ得ることを理解されたい。さらに、本開示の態様が実施され得る特定の適用例、プロトコル、および実施の形態が参照される。本開示の範囲から逸脱することなく、他の適用例、プロトコル、および実施の形態が利用され得、構造的および機能的な変更が行われ得ることを理解されたい。
以下の説明では、要素間の様々な接続について考察する。これらの接続は一般的なものであり、特に明記されていない限り、直接的または間接的、有線または無線、物理的または論理的(仮想/ソフトウェア定義)であり得る。同様に、ホストおよびアプライアンスなどのネットワーク要素は、物理的または仮想的であり得る。この点において、本明細書は限定することを意図したものではない。
本開示の実施の形態に従って、本発明の代表的な環境100を示す図1を参照して、モバイルデバイスおよび関連する企業ネットワークの効率的なサイバー保護のためのシステムを検討する。モバイルデバイスMBDV101およびMBDV102は、プライベート企業ネットワークENET160を動作させる企業と提携し得るユーザによって個人的に所有/動作されている。モバイルデバイスMBDV101とモバイルデバイスMBDV102はどちらも、無線アクセスネットワークRNET120およびモバイルコアネットワークMCNET150を動作させるモバイルプロバイダに加入している。モバイルデバイスMBDV101およびMBDV102が携帯電話呼を行うと、シグナリングおよび通信が、モバイルコアネットワークMCNET150を介してルーティングされ、他のモバイルプロバイダのモバイルコアネットワーク(図1に図示されず)を介してルーティングされ得る。2G以降の世代のモバイルデバイスおよびモバイルネットワークは、インターネットおよび関連するTCP/IPネットワークへのアクセスをサポートする。モバイルデバイスMBDV101およびMBDV102は、インターネット130を介して、ウェブサーバWSVR151およびマルウェアサーバMALSVR152などの公的にアドレス指定されたインターネットサーバにアクセスし得る。モバイルデバイスMBDV101は、本明細書で説明されるパケットテスト、パケットフィルタリング、およびパケットトンネリングの機能を実装するモバイルデバイスセキュリティアプリケーションMBL-CYBER-APPをダウンロードし得、インストールし得る。モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、本開示明細書の他の場所で説明されているように、構成、クライアントのトンネリング、TUNNEL-B/Fの管理、および他の機能の実行を行い得る。モバイルデバイスMBDV102は、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPをダウンロードしていないため、本開示の方法およびシステムによって保護されていない。
プライベート企業ネットワークENET160は、PC161などの内部ホストへのインターネットアクセスを提供し得る。プライベート企業ネットワークENET160は、これらの内部ホストとインターネットホストとの間のトラフィックが、CTIから導出したポリシーを施行している脅威インテリジェンスゲートウェイTIG170を通過する必要があるように構成できる。トラフィックは、セキュリティスタックSSTK175を通過することもあり、SSTK175には、従来のネットワークファイアウォールと、ウェブプロキシ、SSLプロキシ、IDS、IPSなどの他の企業ネットワークセキュリティデバイスとのうちの少なくとも1つが含まれ得る。脅威インテリジェンスゲートウェイTIG170およびセキュリティスタックSSTK175は、プライベート企業ネットワークENET160のインターネットアクセスポイントに配置するかまたはその近くに配置できる。ポリシーをパケットに適用する場合、脅威インテリジェンスゲートウェイTIG170は、ポリシー内のルールに一致するパケットのログを生成し得、このログは、インターネット経由でセキュリティオペレーションセンターSOC140に送信され、例えば、SIEMアプリケーションおよびパケットアナライザアプリケーションを使用するサイバーアナリストによる攻撃分析に供され得る。
企業システムサーバESVR162は、モバイルデバイスMBDV101およびMBDV102を所有/操作するユーザを含み得る企業のユーザが使用するために企業によってホストされる、プライベートウェブアプリケーションサーバであり得る。モバイルデバイスMBDV101およびMBDV102は、ポート443(HTTPSのポート)上で企業システムサーバESVR162にアクセスするためのHTTPSクライアントを含む、企業が提供するアプリケーションを使用して、企業システムサーバESVR162にアクセスする。アプリケーションが企業システムサーバESVR162に接続すると、ウェブアプリケーションはログインフォームを提示する。次に、ユーザは、企業クレデンシャルを入力して、ウェブアプリケーションにセキュアにアクセスし得る。ネットワークセキュリティ管理者は、セキュリティスタックSSTK175においてネットワークファイアウォールのポート443を開いたため、モバイルデバイスMBDV101およびMBDV102上のアプリケーションから発信されたものなど、未承諾のインバウンドHTTPS接続が、企業システムサーバESVR162とのセッションを開始することができる。
プライベート企業ネットワークENET160に接続されたホストトンネルゲートウェイTGW163は、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPをインストールしたモバイルデバイスMBDV101などのモバイルデバイスで確立され得るトンネルを終端して集中させる。企業システムサーバESVR162と同様に、ネットワーク管理者は、セキュリティスタックSSTK175においてネットワークファイアウォールの1つまたはそれ以上のポートを開いたため、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPをインストールしたモバイルデバイスMBDV101および他のモバイルエンドポイントから発信されたものなど、未承諾のインバウンドトンネルトラフィックが、TGW163にアクセスし得る。例えば、トンネリングプロトコルがIPsecトンネルモードである場合、管理者は、IPsecの既知のポート500、50、および51を開いている可能性がある。TGW163は、トンネルからの出口において、受信したパケットをカプセル化解除および/または復号化し得る。TGW163は、カプセル化解除および/または復号化されたパケットをプライベート企業ネットワークENET160に転送し得る。これらのパケットは、IPヘッダの宛先IPアドレスフィールドにパブリックインターネットアドレスを有するため、プライベート企業ネットワークENET160内のルータおよび/またはスイッチは、これらのパケットをインターネットアクセスポイントのほうに転送し得、したがって、CTIから導出したポリシーをパケットに適用する脅威インテリジェンスゲートウェイTIG170を転送する。
セキュリティポリシー作成および管理サーバSPMS141は、例えば、CTIP142および143を含む、1つまたはそれ以上のCTIPからCTIを収集し得る。セキュリティポリシー作成および管理サーバSPMS141はまた、CTIを集約し、CTIに基づいて少なくとも1つのセキュリティポリシーを作成し得、ホストコンピュータおよび脅威インテリジェンスゲートウェイTIG170などの複数のネットワークデバイスを含み得る加入者にセキュリティポリシーを公開し得る。セキュリティポリシー作成および管理サーバSPMS141は、セキュリティポリシーごとにデータ構造TUNNEL-B/Fを作成し得、モバイルデバイスMBDV101によってホストされるモバイルデバイスセキュリティアプリケーションMBL-CYBER-APPなど、各セキュリティポリシーに関連付けられた各加入者にデータ構造TUNNEL-B/Fを公開し得る。代替的に、脅威インテリジェンスゲートウェイTIG170は、サイバー保護のために脅威インテリジェンスゲートウェイTIG170に関連付けられたモバイルデバイスセキュリティアプリケーションMBL-CYBER-APPの関連付けられたインスタンスなど、関連付けられたモバイルデバイスごとにデータ構造TUNNEL-B/Fを作成し得、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPの各サブスクライブインスタンスを含む、関連付けられたモバイルデバイスに現在のデータ構造TUNNEL-B/Fを公開し得る。
図2は、図1に示すモバイルデバイスおよび関連する企業ネットワークの保護システムについて、モバイルデバイスおよび関連する企業ネットワーク要素を構成するためのセキュリティポリシー作成および管理サーバの動作概念のフローチャートを示す。
ステップ2-1において、セキュリティポリシー作成および管理サーバSPMS141が、CTIP142およびCTIP143などの脅威インテリジェンスプロバイダによって公開されたCTIをダウンロードし得る。ステップ2-2において、セキュリティポリシー作成および管理サーバSPMS141が、CTIインジケータを集約し、CTIを処理してセキュリティポリシーを生成し得る。複数の脅威インテリジェンスプロバイダが同じ脅威インジケータを提供し得るため、セキュリティポリシー作成および管理サーバSPMS141は、ルールを単一のセットにマージし、重複する脅威インジケータを削除し、さもなければ脅威インジケータを統合し得る。セキュリティポリシー作成および管理サーバSPMS141は、少なくとも1つのパケットフィルタリングルールを作成し得、各ルールは、脅威インジケータに対応する一致基準、および一致が判定されたときにパケットに適用される対応するアクション/PTFを含む。対応するアクション/PTFは、脅威インテリジェンスゲートウェイTIG170のオペレータ/管理者によって提供される要件を含む複数の要因に基づいて判定できる。セキュリティポリシー作成および管理サーバSPMS141は、生成されたルールの各々を収集してセキュリティポリシーを生成し得、脅威インテリジェンスゲートウェイTIG170を含む複数のセキュリティデバイスにセキュリティポリシーを配布し得る。ステップ2-3において、セキュリティポリシー作成および管理サーバSPMS141は、セキュリティポリシー内の各パケットフィルタリングルールを特徴付けるIPアドレス、ドメイン名、URI、証明書IDなどを含む脅威インジケータのすべてを収集することにより、セキュリティポリシーに関連付けられたブルームフィルタTUNNEL-B/Fを生成し得る。セキュリティポリシー作成および管理サーバSPMS141は、データ構造TUNNEL-B/Fにインジケータを挿入し得、これは、セキュリティポリシー内のいずれかのルールがテスト対象のパケット要素と一致するかどうかを判定するためにテストされ得る。
ステップ2-4において、SPMSが、セキュリティポリシーおよびデータ構造TUNNEL-B/Fのうちの少なくとも1つを複数のネットワークセキュリティデバイスに公開し得る。セキュリティポリシー作成および管理サーバSPMS141は、セキュリティポリシーおよびデータ構造TUNNEL-B/Fのうちの少なくとも1つを、脅威インテリジェンスゲートウェイTIG170および企業ネットワークに関連する複数のモバイルデバイスを含み得る複数のネットワーク加入者に送信し得る。脅威インテリジェンスゲートウェイTIG170は、セキュリティポリシーをダウンロードし得、セキュリティポリシーを使用してパケットフィルタリング論理を構成し得る。ステップ2-5において、モバイルデバイスMBDV101上のモバイルデバイスセキュリティアプリケーションMBL-CYBER-APPが、データ構造TUNNEL-B/Fをダウンロードし得、データ構造TUNNEL-B/Fを使用してトンネリング論理を構成し得る。モバイルデバイスMBDV102がモバイルデバイスセキュリティアプリケーションMBL-CYBER-APPをインストールしていない場合、それは、データ構造TUNNEL-B/Fをダウンロードせず、セキュリティポリシーによって保護されない。ポリシーおよびデータ構造TUNNEL-B/Fも更新され得、セキュリティポリシーおよびデータ構造TUNNEL-B/Fの更新が生成および配布され得る。このような更新に基づいて、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、企業ネットワークにトンネリングされることなく、以前は目的の宛先に進むことが許可されていたフィルタリングのために、パケットをトンネリングし得る。
図3は、図1に示すモバイルデバイスおよび関連する企業ネットワークの保護システムについて、モバイルデバイスおよび関連する企業ネットワークにおけるパケットフィルタリングの動作概念のフローチャートを示す。フローチャート/動作概念は、すべてのデバイスおよびホストがすでに動作のために構成されていることを前提としている。特に、モバイルデバイスMBDV101は、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPをすでにダウンロード、インストール、および構成しており、TGW163とのトンネルを確立している可能性がある。逆に、モバイルデバイスMBDV102は、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPで構成されていない。
ステップ3-1において、MBDV101またはMBDV102のいずれかであり得るモバイルデバイスMBDVを所有および/または動作させ得るユーザが、電子メールアプリケーションを介して電子メールをチェックし得、ウェブサーバWSVR151上のリソースにリンクする埋め込みURLをクリックし得る。モバイルデバイスMBDV101または102は、DNS(図3に図示せず)を照会することによって、URLの当局のホスト名、または完全修飾ドメイン名(FQDN)を、ウェブサーバWSVR151のIPアドレス、例えば12.34.56.78へと解決し得る。モバイルデバイスMBDVは、宛先ポート80でTCP SYNパケットを作成することにより、ポート80(HTTP)上でウェブサーバWSVR151とのTCP接続を開始しようとし、TCPパケットをIPパケットにカプセル化し得、このIPパケットは、12.34.56.78に設定された宛先IPアドレスフィールドで設定され、対応するMBDVのソースIPアドレスで設定され得る。
ステップ3-2において、パケットが(無線アクセスネットワークRNET120に)転送され得る前に、MBDV101のモバイルデバイスセキュリティアプリケーションMBL-CYBER-APPが、データ構造TUNNEL-B/Fの脅威インジケータに関連する各パケット要素を判定し得る。例えば、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、宛先IPアドレスフィールドからIPアドレス(例えば12.34.56.78)を抽出し得、12.34.56.78がデータ構造TUNNEL-B/Fのメンバーであるかどうかをテストし得る。メンバーシップテストは、脅威インテリジェンスゲートウェイTIG170上のセキュリティポリシーに一致するパケットフィルタリングルールがないと判定したことに基づいて、FALSEを返す。モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、テストされたパケットデータ(例えばウェブサーバWSVR151のIPアドレス12.34.56.78)に関連する脅威リスクがないと判定し得る。モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、フィルタリングするパケットをトンネリングする必要がないと判定し得る。モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、パケットを、TGW163、脅威インテリジェンスゲートウェイTIG170、および/またはセキュリティスタックSSTK175に転送しない場合がある。
ステップ3-3において、フィルタリングされるパケットをトンネリングする必要がないという判定に基づいて、モバイルデバイスMBDV101が、無線アクセスネットワークRNET120を介して、パケットをウェブサーバWSVR151のほうに直接転送し得る。同様に、任意のトンネリング判定/決定論理を実行せずに、MBDV102は、無線アクセスネットワークRNET120を介して、パケットをウェブサーバWSVR151のほうに直接転送し得る。パケット転送は、TCPハンドシェイクを開始し、その後、12.34.56.78のポート80上でTCP接続の確立を引き起こし得る。モバイルデバイスMBDVは、URLに対してHTTP GET要求メソッドを発行し得る。ウェブサーバWSVR151は、要求されたリソースで応答し、ウェブセッションは終了し、TCP接続は切断され得る。このような通信セッション中に、MBDV101の場合、すべてのインバウンドおよびアウトバウンドパケットのIPアドレスフィールド、ドメイン名フィールド、URIフィールドなどの関連するパケットフィールド値が、データ構造TUNNEL-B/F内のメンバーシップについてテストされ得る。通信フロー内の各パケットが、安全な宛先に関連付けられている場合、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、データ構造TUNNEL-B/Fのテストが常にFALSEを返すため、セッションを含むパケットのいずれもトンネリングされないので、フィルタリングするパケットをトンネリングする必要がないと判定し得る。
ステップ3-1において、モバイルデバイスMBDV101を所有および/または動作できるユーザは、スピアフィッシング電子メールを読み、マルウェアサーバMALSVR152上のリソースにリンクする埋め込みURLをクリックするように騙され得、MALSVR152は、企業システムサーバESVR162上の企業ウェブアプリケーションのログインページを偽装するウェブページを含み得る。モバイルデバイスMBDV101は、DNS(図3に図示せず)を照会することによって、URLの当局のホスト名、または完全修飾ドメイン名(FQDN)を、マルウェアサーバMALSVR152のIPアドレス、例えば87.65.43.21へと解決し得る。モバイルデバイスMBDV101は、宛先ポート80でTCP SYNパケットを作成することにより、ポート80(HTTP)上でマルウェアサーバMALSVR152とのTCP接続を開始しようとし、87.65.43.21に設定された宛先IPアドレスフィールドを有するIPパケットにTCPパケットをカプセル化し得る。ステップ3-2において、パケットがデバイスMBDV101によって無線アクセスネットワークRNET120に転送される前に、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、パケット要素(例えば宛先IPアドレスフィールドからのIPアドレス87.65.43.21)を抽出し得、いずれかのパケット要素がデータ構造TUNNEL-B/Fのメンバーであるかどうかを判定するためにテストし得る。
メンバーシップテストは、データ構造TUNNEL-B/Fに関連付けられたセキュリティポリシー内に一致するパケットフィルタリングルールがあるというTRUE値または他のインジケーションを返し得る。モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、データ構造TUNNEL-B/Fに関連付けられたセキュリティポリシー内に一致するパケットフィルタリングルールがあるというTRUE値または他のインジケーションに基づいて、パケットが、関連する企業脅威インテリジェンスゲートウェイTIG170によってフィルタリングされる必要があり、パケット要素(例えばマルウェアサーバMALSVR152のIPアドレス87.65.43.21)に関連する何らかの脅威リスクがあると判定し得る。ステップ3-4において、モバイルデバイスMBDV101が、データ構造TUNNEL-B/Fに関連付けられたセキュリティポリシー内に一致するパケットフィルタリングルールがあるというTRUE値または他のインジケーションに基づいて、ネットワークトンネル内でパケットをTGW163に送信し得る。ステップ3-5において、パケットが、トンネルの企業ネットワーク側において受信され、プライベート企業ネットワークENET160を介してインターネットアクセスリンクのほうに転送され、脅威インテリジェンスゲートウェイTIG170によってパケットフィルタリングのために受信され得る。ステップ3-6において、脅威インテリジェンスゲートウェイTIG170が、セキュリティポリシーをパケットに適用し得、パケット要素(IPアドレス87.65.43.21など)に一致するルールを判定し得る。判定されたルールに関連付けられたネットワーク保護アクション/PTFは、パケットが、ブロック/ドロップ、ログ記録、および/またはキャプチャされることのうちの少なくとも1つであり得ることを指定し得る。
代替的に、データ構造TUNNEL-B/Fのテストからの一致の判定に基づいて任意のパケットを送信する前に、システムは、ネットワークトラフィックの量を減らすために、二次データ構造をテストし得る。例えば、システムは、ブロックアクションまたはPTFに関連付けられているポリシーの各ルールを表し得るブロックルールデータ構造をテストし得る。ブロックルールデータ構造に関連付けられたセキュリティポリシー内に一致するパケットフィルタリングルールがあるというTRUE値または他のインジケーションに基づいて、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、ブロックルールアクションを実行して、ブロックルールに関連付けられたパケットが、トンネルを介して企業ネットワーク内のパケットフィルタリングデバイスにそのようなパケットを送信する必要なしに、目的の宛先に進むのを防止する。ブロックルールのデータ構造はまた、ブルームフィルタであってもよく、ブロックルールのデータ構造は、施行されているポリシーのルールのすべてに関連付けられたデータ構造TUNNEL-B/Fよりも小さいデータ構造であってもよい。
ステップ3-7において、脅威インテリジェンスゲートウェイTIG170が、ログをセキュリティオペレーションセンターSOC140または他のネットワークデバイスに送信し得る。ログは、SIEMアプリケーションを使用するサイバーアナリストなどのセキュリティオペレーションセンターSOC140によって分析され得る。脅威インジケータ(例えばIPアドレス87.65.43.21)のCTIを提供したCTIPによるマルウェアサーバMALSVR152に関連する脅威リスクの判定に基づいて、システムは、修正指示アクションをとり得る。例えば、脅威分析デバイスは、モバイルデバイスMBDV101のユーザにインシデントを報告し得るか、またはスピアフィッシング電子メール攻撃とその回避方法について考察したサイバーセキュリティトレーニングビデオの視聴をユーザに推奨し得る。同様に、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、脅威イベントのログを生成し、そのログをセキュリティオペレーションセンターSOC140、または他のネットワークセキュリティアプリケーションもしくはデバイスに送信し得る。モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPは、ブロックルールの確率的データ構造に関連付けられたセキュリティポリシー内に一致するパケットフィルタリングルールがあるというインジケーションに基づいて、脅威イベントのログを選択的に生成し得る。
図4は、図1に示すモバイルデバイスおよび関連する企業ネットワークの保護システムについて、モバイルデバイスおよび関連する企業ネットワークにおけるパケットフィルタリングの動作概念のフローチャートを示す。フローチャート/動作概念は、すべてのデバイスおよびホストがすでに動作のために構成されていることを前提としている。特に、図4に関して、モバイルデバイスMBDVは、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPをダウンロード、インストール、または構成していない。
ステップ4-1において、モバイルデバイスセキュリティアプリケーションMBL-CYBER-APPで構成されていないモバイルデバイスMBDV102を所有または動作できるユーザが、上で考察したようにスピアフィッシング電子メールにアクセスし得る。しかしながら、モバイルデバイスMBDV102はモバイルデバイスセキュリティアプリケーションMBL-CYBER-APPで構成されていないため、モバイルデバイス上には、パケット要素を抽出し、いずれかのパケット要素がデータ構造TUNNEL-B/Fのメンバーであるかどうかをテストする論理がない。代わりに、モバイルデバイスMBDV102を所有または動作させ得るユーザが、企業システムサーバESVR162上の企業ウェブアプリケーションのログインページを偽装するウェブページであり得るマルウェアサーバMALSVR152上のリソースにリンクする埋め込みURLをクリックするように騙された場合、モバイルデバイスは、マルウェアサーバMALSVR152との接続の確立を開始し得る。モバイルデバイスMBDV102は、DNS(図4に図示せず)を照会することによって、URLの当局のホスト名または完全修飾ドメイン名(FQDN)を、マルウェアサーバMALSVR152のIPアドレス(例えばIPアドレス87.65.43.21)へと解決し得る。モバイルデバイスMBDV102は、宛先ポート80でTCP SYNパケットを作成することにより、ポート80(HTTP)上でマルウェアサーバMALSVR152とのTCP接続を開始しようとし、判定された宛先IPアドレスフィールド(例えばIPアドレス87.65.43.21)を持つIPパケットにTCPパケットをカプセル化し得る。モバイルデバイスMBDV102を保護するモバイルデバイスセキュリティアプリケーションMBL-CYBER-APPがないため、マルウェアサーバMALSVR152とのTCP接続は確立され得、モバイルデバイスMBDV102は、URLに対してHTTP GET要求メソッドを発行し得る。
ステップ4-2において、マルウェアサーバMALSVR152が、要求されたリソースで応答し、このリソースは、企業システムサーバESVR162上の企業ウェブアプリケーションのログインページを偽装するウェブページ/フォームであり得る。ユーザは、ログインクレデンシャルを入力し得、フォームをマルウェアサーバMALSVR152にポストし得る。ユーザがログインクレデンシャルを入力すると、MALSVR152は、ログインクレデンシャルをログ記録して盗み得る。ステップ4-3において、マルウェアサーバMALSVR152を動作させ得る悪意のあるアクターが、盗んだクレデンシャルを使用して企業システムサーバESVR162にログインし、企業の機密データを盗む、または改ざんし得る。
本明細書で説明される機能およびステップは、本明細書で説明される1つまたはそれ以上の機能を実行するために1つまたはそれ以上のコンピュータまたは他のデバイスによって実行される、1つまたはそれ以上のプログラムモジュールなどの中のコンピュータ使用可能データまたはコンピュータ実行可能命令において具体化できる。一般に、プログラムモジュールは、コンピュータまたは他のデータ処理デバイス内の1つまたはそれ以上のプロセッサによって実行されると、特定のタスクを実行するかまたは特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。コンピュータ実行可能命令は、ハードディスク、光ディスク、リムーバブル記憶媒体、ソリッドステートメモリ、RAMなどのコンピュータ可読媒体に記憶され得る。理解されるように、プログラムモジュールの機能は、所望に応じて組み合わせられ得るか、または分散され得る。さらに、機能は、集積回路、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)などのファームウェア等価物またはハードウェア等価物において、全体的にまたは部分的に具体化できる。特定のデータ構造を使用して、本開示の1つまたはそれ以上の態様をより効果的に実装し得、このようなデータ構造は、本明細書で説明されるコンピュータ実行可能命令およびコンピュータ使用可能データの範囲に収まると企図される。
必須ではないが、当業者は、本明細書で説明される様々な態様が、方法、システム、装置、またはコンピュータ実行可能命令を記憶する1つまたはそれ以上のコンピュータ可読媒体として具体化できることを理解するであろう。したがって、態様は、完全にハードウェア実施の形態、完全にソフトウェア実施の形態、完全にファームウェア実施の形態、またはソフトウェア態様、ハードウェア態様、およびファームウェア態様を任意の組み合わせで組み合わせた実施の形態の形態をとることができる。
本明細書で説明されるように、様々な方法および行為は、1つまたはそれ以上のコンピューティングデバイスおよびネットワークにわたって動作し得る。機能は、任意の方式で分散できるか、または単一のコンピューティングデバイス(例えば、サーバ、クライアントコンピュータなど)内に配置できる。
コンピュータソフトウェア、ハードウェア、およびネットワークは、とりわけ、スタンドアロン環境、ネットワーク化環境、リモートアクセス(別名、リモートデスクトップ)環境、仮想化環境、および/またはクラウドベース環境を含む、様々な異なるシステム環境において利用できる。図5は、スタンドアロンおよび/またはネットワーク化環境において、本明細書で説明される1つまたはそれ以上の例示的な態様を実装するために使用され得るシステムアーキテクチャおよびデータ処理デバイスの一例を示す。様々なネットワークノード503、505、507、および509は、インターネットなどのワイドエリアネットワーク(WAN)501を介して相互接続され得る。プライベートイントラネット、コーポレートネットワーク、ローカルエリアネットワーク(LAN)、メトロポリタンエリアネットワーク(MAN)、無線ネットワーク、パーソナルネットワーク(PAN)、ソフトウェア定義ネットワーク(SDN)などを含む、他のネットワークもまた、または代替的に、使用され得る。ネットワーク501は例示目的であり、より少ないまたは追加のコンピュータネットワークに置き換えることができる。ローカルエリアネットワーク533は、任意の既知のLANトポロジのうちの1つまたはそれ以上を有し得、イーサネットなど、様々な異なるプロトコルのうちの1つまたはそれ以上を使用し得る。デバイス503、505、507、および509、ならびに他のデバイス(図示せず)は、ネットワークのうちの1つまたはそれ以上に、ツイストペアワイヤ、同軸ケーブル、光ファイバ、電波、または他の通信媒体を介して接続され得る。
本明細書において使用され、図面に表示される「ネットワーク」という用語は、リモート記憶デバイスが互いに1つまたはそれ以上の通信経路を介して連結されるシステムを指すだけでなく、記憶機能を有するこのようなシステムに適宜連結され得るスタンドアロンデバイスを指している。したがって、「ネットワーク」という用語は、「物理ネットワーク」だけでなく、すべての物理ネットワークにわたって存在するシングルエンティティに帰属するデータから構成される「コンテンツネットワーク」をも含む。
コンポーネントは、データサーバ503、ウェブサーバ505、およびクライアントコンピュータ507、509を含み得る。データサーバ503は、データベースおよび制御ソフトウェアの全体的なアクセス、制御、および管理を提供して、本明細書で説明される1つまたはそれ以上の例示的な態様を実行する。データサーバ503は、ウェブサーバ505に接続され得、ユーザは、要求に応じてデータとのインタラクションを行って、データを取得する。代替的に、データサーバ503は、ウェブサーバ自体として機能し、インターネットに直接接続されてもよい。データサーバ503は、ローカルエリアネットワーク533、ワイドエリアネットワーク501(例えば、インターネット)を介して、直接または間接接続により、または何らかの他のネットワークにより、ウェブサーバ505に接続され得る。ユーザは、リモートコンピュータ507、509を使用して、例えば、ウェブブラウザを使用して、データサーバ503とのインタラクションを行って、ウェブサーバ505によりホストされる1つまたはそれ以上の外部公開ウェブサイトを介してデータサーバ503に接続し得る。クライアントコンピュータ507、509は、データサーバ503に記憶されているデータにアクセスするためにデータサーバ503と連携して使用され得るか、または他の目的に使用され得る。例えば、クライアントデバイス507から、ユーザは、この技術分野で知られているインターネットブラウザを使用して、あるいは(インターネットなどの)コンピュータネットワークを介してウェブサーバ505および/またはデータサーバ503と通信するソフトウェアアプリケーションを実行することによって、ウェブサーバ505にアクセスし得る。
サーバおよびアプリケーションは、同じ物理マシンで組み合わされ得、かつ個別の仮想アドレスまたは論理アドレスを保持し得るか、または個別の物理マシンに常駐し得る。図5は、使用され得るネットワークアーキテクチャのほんの一例を示しているに過ぎず、当業者であれば、本明細書でさらに説明されるように、使用される特定のネットワークアーキテクチャおよびデータ処理デバイスは、変更することができ、それらが提供する機能に対して二次的なものであることを理解するであろう。例えば、ウェブサーバ505およびデータサーバ503により提供されるサービスは、シングルサーバ上で組み合わせることができる。
各コンポーネント503、505、507、509は、任意のタイプの既知のコンピュータ、サーバ、またはデータ処理デバイスとすることができる。例えば、データサーバ503は、データサーバ503の全体的な動作を制御するプロセッサ55を含み得る。データサーバ503は、ランダムアクセスメモリ(RAM)513、読み取り専用メモリ(ROM)515、ネットワークインターフェース517、入力/出力インターフェース519(例えば、キーボード、マウス、ディスプレイ、プリンタなど)、およびメモリ521をさらに含み得る。入力/出力(I/O)519は、データまたはファイルを読み取る、書き込む、表示する、および/または印刷するための様々なインターフェースユニットおよびドライブを含み得る。メモリ521は、データ処理デバイス503の全体的な動作を制御するオペレーティングシステムソフトウェア523、データサーバ503に指示して本明細書で説明される態様を実施させる制御論理525、ならびに本明細書で説明される態様と連携して使用されないかまたは使用されない可能性がある二次的機能、サポート機能、および/または他の機能を提供する他のアプリケーションソフトウェア527をさらに記憶し得る。制御論理は、本明細書では、データサーバソフトウェア525と称する場合もある。データサーバソフトウェアの機能は、制御論理にコード化されたルールに基づいて自動的に行われる動作もしくは決定、ユーザがシステムへの入力を行うことにより手動で行われる動作もしくは決定、および/またはユーザ入力(例えば、クエリ、データ更新など)に基づいた自動処理の組み合わせを指すことができる。
メモリ521は、第1のデータベース529および第2のデータベース531を含む、本明細書で説明される1つまたはそれ以上の態様を実行するために使用されるデータを記憶することもできる。いくつかの実施の形態では、第1のデータベースは、第2のデータベースを含み得る(例えば、個別のテーブル、レポートなどとして)。つまり、情報は、システム設計に応じて、シングルデータベースに記憶することができるか、または異なる論理データベース、仮想データベース、もしくは物理データベースに分離することができる。デバイス505、507、および509は、デバイス503に関して説明されるのと同様の、または異なるアーキテクチャを有し得る。当業者であれば、本明細書で説明されるデータ処理デバイス503(またはデバイス505、507、または509)の機能は、例えば、複数のデータ処理デバイスにわたって拡散させて、処理負荷を複数のコンピュータにわたって分散させ、地理的位置、ユーザアクセスレベル、サービス品質(QoS)などに基づいてトランザクションは分離され得ることを理解するであろう。
1つまたはそれ以上の態様は、本明細書で説明される1つまたはそれ以上のコンピュータまたは他のデバイスによって実行される、1つまたはそれ以上のプログラムモジュールなどの中のコンピュータ使用可能もしくは読み取り可能データおよび/またはコンピュータ実行可能命令において具体化され得る。一般に、プログラムモジュールは、コンピュータまたは他のデバイス内のプロセッサにより実行されると、特定のタスクを実行するかまたは特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含む。モジュールは、実行するために後でコンパイルされるソースコードプログラム言語で記述することができるか、またはHyperText Markup Language(ハイパーテキストマークアップ言語:HTML)またはExtensible Markup Language(拡張マークアップ言語:XML)のような(これらには限定されない)スクリプト言語で記述することができる。コンピュータ実行可能命令は、不揮発性記憶デバイスのようなコンピュータ可読媒体に記憶することができる。ハードディスク、CD-ROM、光学記憶デバイス、磁気記憶デバイス、および/またはこれらの任意の組み合わせを含む任意の好適なコンピュータ可読記憶媒体を利用することができる。また、本明細書において説明されるデータまたはイベントを表す様々な伝送(非記憶)媒体は、発信元と宛先との間で、金属ワイヤ、光ファイバ、および/または無線伝送媒体(例えば、空気および/または空間)のような信号伝送媒体内を移動する電磁波の形態で転送することができる。本明細書において説明される様々な態様は、方法、データ処理システム、またはコンピュータプログラム製品として具体化することができる。したがって、様々な機能は、集積回路、フィールドプログラマブルゲートアレイ(FPGA)などのソフトウェア、ファームウェア、および/またはハードウェアもしくはハードウェア等価物において、全体的もしくは部分的に具体化することができる。特定のデータ構造を使用して、本明細書で説明される1つまたはそれ以上の態様をより効果的に実装することができ、このようなデータ構造は、本明細書で説明されるコンピュータ実行可能命令およびコンピュータ使用可能データの範囲に収まると企図される。
図6をさらに参照すると、本明細書で説明される1つまたはそれ以上の態様を、リモートアクセス環境内で実装することができる。図6は、本明細書で説明される1つまたはそれ以上の例示的な態様に従って使用できる例示的なコンピューティング環境520内にコンピューティングデバイス501を含む例示的なシステムアーキテクチャを示している。コンピューティングデバイス501は、クライアントアクセスデバイスに仮想マシンを提供するように構成されたシングルサーバデスクトップ仮想化システムまたはマルチサーバデスクトップ仮想化システム(例えば、リモートアクセスシステムまたはクラウドシステム)内のサーバ606aとして使用することができる。コンピューティングデバイス501は、サーバと、RAM605、ROM607、入力/出力(I/O)モジュール609、およびメモリ615を含むサーバに関連するコンポーネントとの全体的な動作を制御するプロセッサ603を有することができる。
I/Oモジュール609は、コンピューティングデバイス101のユーザが入力を行うことができるマウス、キーパッド、タッチスクリーン、スキャナ、光学式読み取り装置、および/またはスタイラス(あるいは他の入力デバイス)を含み得、オーディオ出力を提供するスピーカのうちの1つまたはそれ以上と、テキスト出力、オーディオビジュアル出力、および/またはグラフィカル出力を提供するビデオ表示デバイスのうちの1つまたはそれ以上と、をさらに含み得る。ソフトウェアは、メモリ615および/または他のストレージ内に記憶して、本明細書で説明される様々な機能を実行するためにコンピューティングデバイス501を専用コンピューティングデバイスに構成する命令をプロセッサ603に提供することができる。例えば、メモリ615は、オペレーティングシステム617、アプリケーションプログラム619、および関連するデータベース621など、コンピューティングデバイス501により使用されるソフトウェアを記憶することができる。
コンピューティングデバイス501は、端末640(クライアントデバイスとも称される)などの1つまたはそれ以上のリモートコンピュータへの接続をサポートするネットワーク化環境内で動作することができる。端末640は、コンピューティングデバイス503または501に関して上記で説明された要素のうちの多くまたはすべてを含むパーソナルコンピュータ、モバイルデバイス、ラップトップコンピュータ、タブレット、またはサーバとすることができる。図6に示すネットワーク接続は、ローカルエリアネットワーク(LAN)625およびワイドエリアネットワーク(WAN)629を含むが、他のネットワークを含むこともできる。LANネットワーキング環境内で使用されるとき、コンピューティングデバイス501は、ネットワークインターフェースまたはアダプタ623を介してLAN625に接続することができる。WANネットワーキング環境内で使用されるとき、コンピューティングデバイス501は、コンピュータネットワーク630(例えば、インターネット)などのWAN629を介して通信を確立するモデム627または他のワイドエリアネットワークインターフェースを含み得る。図示のネットワーク接続は例示であり、コンピュータ間の通信リンクを確立する他の手段を使用できることを理解されるだろう。コンピューティングデバイス501および/または端末640は、バッテリ、スピーカ、およびアンテナ(図示せず)などの様々な他のコンポーネントを含むモバイル端末(例えば、携帯電話、スマートフォン、携帯情報端末(PDA)、ノートブックなど)とすることもできる。
本明細書で説明される態様は、多数の他の汎用または専用コンピューティングシステム環境または構成で動作することもできる。本明細書において説明される態様に使用されるために好適とすることができる他のコンピューティングシステム、環境、および/または構成の例は、これらには限定されないが、パーソナルコンピュータ、サーバコンピュータ、ハンドヘルドデバイスまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースシステム、セットトップボックス、プログラマブルコンシューマエレクトロニクス、ネットワークパーソナルコンピュータ(PC)、ミニコンピュータ、メインフレームコンピュータ、上記システムまたはデバイスのいずれかを含む分散コンピューティング環境などを含む。
図6に示すように、1つまたはそれ以上のクライアントデバイス640は、1つまたはそれ以上のサーバ606a~606n(本明細書では、「サーバ606」と総称される)と通信することができる。一実施の形態では、コンピューティング環境520は、サーバ606とクライアントマシン640との間に設置されたネットワークアプライアンスを含み得る。ネットワークアプライアンスは、クライアント/サーバ接続を管理することができ、いくつかの場合では、クライアント接続の負荷を複数のバックエンドサーバ606の間でバランスさせることができる。
クライアントマシン640は、いくつかの実施の形態では、シングルクライアントマシン640またはシングルクライアントマシングループ640と称することができるのに対し、サーバ606は、シングルサーバ606またはシングルサーバグループ606と称することができる。一実施の形態では、シングルクライアントマシン640が、1つよりも多くのサーバ606と通信するのに対し、別の実施の形態では、シングルサーバ606は、1つよりも多くのクライアントマシン640と通信する。さらに別の実施の形態では、シングルクライアントマシン640は、シングルサーバ606と通信する。
クライアントマシン640は、いくつかの実施の形態では、以下の非網羅的な用語:クライアントマシン、クライアント、クライアントコンピュータ、クライアントデバイス、クライアントコンピューティングデバイス、ローカルマシン、リモートマシン、クライアントノード、エンドポイント、またはエンドポイントノード、のうちのいずれか1つで言及される可能性がある。サーバ606は、いくつかの実施の形態では、以下の非網羅的な用語:サーバ、ローカルマシン、リモートマシン、サーバファーム、またはホストコンピューティングデバイスのうちのいずれか1つで言及され得る。いくつかの実施の形態では、クライアントマシン640は、仮想マシンとすることができる。いくつかの態様では、仮想マシンは、ハイパーバイザによって管理することができるのに対し、他の態様では、仮想マシンは、サーバ606上で実行されるハイパーバイザ、またはクライアント640上で実行されるハイパーバイザによって管理することができる。仮想マシンは、コンテナマネージャによって、例えばDockerおよびLinux(登録商標) Containers(LXC)によって管理されるコンテナシステムである場合もある。仮想マシンはまた、ハイパーバイザで管理された仮想マシンとコンテナとの組み合わせでもかまわない。
いくつかの実施の形態は、サーバ606または他のリモートに位置するマシン上でリモートに実行されるアプリケーションにより生成されたアプリケーション出力を表示するクライアントデバイス640を含み得る。これらの実施の形態では、クライアントデバイス640は、仮想マシンレシーバプログラムまたはアプリケーションを実行して、アプリケーションウィンドウ、ブラウザ、または他の出力ウィンドウ内に出力を表示することができる。1つの例では、アプリケーションがデスクトップであるのに対し、他の例では、アプリケーションはデスクトップを生成または表示するアプリケーションである。デスクトップは、オペレーティングシステムのインスタンスのユーザインターフェースを提供するグラフィカルシェルを含み得、そのインスタンスに、ローカルアプリケーションおよび/またはリモートアプリケーションを統合することができる。本明細書において使用されるアプリケーションは、オペレーティングシステム(および、任意選択的に、さらにはデスクトップ)のインスタンスを読み込んだ後に実行されるプログラムである。サーバ606は、いくつかの実施の形態では、リモートプレゼンテーションプロトコルまたは他のプログラムを使用して、クライアント上で実行されるシンクライアントアプリケーションまたはリモートディスプレイアプリケーションにデータを送信して、サーバ606上で実行されるアプリケーションにより生成されたディスプレイ出力を提示し得る。シンクライアントプロトコルまたはリモートディスプレイプロトコルは、フロリダ州Ft.LauderdaleのCitrix Systems,Inc.により開発されたIndependent Computing Architecture(ICA)プロトコル、またはワシントン州RedmondのMicrosoft Corporationにより開発されたRemote Desktop Protocol(RDP)などのプロトコルとすることができる。
リモートコンピューティング環境は、1つよりも多くのサーバ606a~606nを含み得、そのため、サーバ606a~606nは、例えば、クラウドコンピューティング環境において、サーバファーム606に論理的にまとめてグループ化され得る。サーバファーム606は、論理的にまとめてグループ化されている状態で地理的に分散されたサーバ606、または論理的にまとめてグループ化されている状態で互いに近接して配置されたサーバ606を含み得る。サーバファーム606内の地理的に分散されたサーバ606a~606nは、いくつかの実施の形態では、WAN(ワイド)、MAN(メトロポリタン)、またはLAN(ローカル)を使用して通信することができ、異なる地理的地域は、異なる大陸、大陸の異なる地域、異なる国、異なる州、異なる都市、異なるキャンパス、異なる部屋、または前述の地理的な場所の任意の組み合わせとして特徴付けることができる。いくつかの実施の形態では、サーバファーム606は、シングルエンティティとして管理され得るのに対し、他の実施の形態では、サーバファーム606は、複数のサーバファームを含むことができる。
いくつかの実施の形態では、サーバファームは、実質的に同様のタイプのオペレーティングシステムプラットフォーム(例えば、WINDOWS(登録商標)、UNIX(登録商標)、LINUX(登録商標)、iOS、ANDROID(登録商標)、SYMBIANなど)を実行するサーバ606を含み得る。他の実施の形態では、サーバファーム606は、第1のタイプのオペレーティングシステムプラットフォームを実行する第1のグループの1つまたはそれ以上のサーバと、第2のタイプのオペレーティングシステムプラットフォームを実行する第2のグループの1つまたはそれ以上のサーバと、を含み得る。
サーバ606は、必要に応じて任意のタイプのサーバとして、例えば、ファイルサーバ、アプリケーションサーバ、ウェブサーバ、プロキシサーバ、アプライアンス、ネットワークアプライアンス、ゲートウェイ、アプリケーションゲートウェイ、ゲートウェイサーバ、仮想化サーバ、展開サーバ、Secure Sockets Layer(SSL)VPNサーバ、ファイアウォール、ウェブサーバ、アプリケーションサーバとして、あるいはマスターアプリケーションサーバ、アクティブディレクトリを実行するサーバ、またはファイアウォール機能、アプリケーション機能、またはロードバランス機能を実現するアプリケーションアクセラレーションプログラムを実行するサーバとして構成され得る。他のサーバタイプを使用してもよい。
いくつかの実施の形態は第1のサーバ606aを含み、第1のサーバ606aは、クライアントマシン640から要求を受信し、要求を第2のサーバ606b(図示せず)に転送し、クライアントマシン640により生成された要求に第2のサーバ606b(図示せず)からの応答で応答する。第1のサーバ606aは、クライアントマシン640に利用可能な列挙されたアプリケーション、ならびに列挙されたアプリケーション内で識別されるアプリケーションをホストするアプリケーションサーバ606に関連するアドレス情報を取得し得る。次に、第1のサーバ606aは、クライアントの要求に対する応答を、ウェブインターフェースを使用して提示し、クライアント640と直接通信して、識別されたアプリケーションへのアクセスをクライアント640に提供し得る。1つまたはそれ以上のクライアント640および/または1つまたはそれ以上のサーバ606は、ネットワーク630、例えばネットワーク501を介してデータを送信し得る。
本開示の態様が、その例示的な実施の形態に関して説明されてきた。添付の特許請求項の範囲および趣旨に収まる多数の他の実施の形態、変形、および変更は当業者であれば、本開示を検討することにより想到するであろう。例えば、当業者は、例示的な図に示されたステップが、列挙された順序以外の順序で実行され得、示された1つまたはそれ以上のステップは、任意選択的であり得ることを理解するであろう。以下の特許請求項の範囲における任意のおよびすべての特徴は、可能な限り任意の方法で組み合わせる、または再配置することができる。

Claims (21)

  1. モバイルデバイス上のトラフィックを選択的にフィルタリングするための方法であって、
    前記モバイルデバイスによって、前記モバイルデバイスから出力される複数のパケットを生成することと、
    前記複数のパケットのうちの各パケットについて、各パケットに関連付けられた少なくとも1つのパケット一致基準を判定することと、
    前記複数のパケットのうちの各パケットについて、前記判定された少なくとも1つのパケット一致基準についての少なくとも1つのポリシー確率的データ構造をテストすることであって、前記ポリシー確率的データ構造が、セキュリティポリシーの複数のパケットフィルタリングルールの各々を表す、前記テストすることと、
    前記複数のパケットのうちの第1のパケットが、前記少なくとも1つのポリシー確率的データ構造の少なくとも1つのパケット一致基準と一致しないという判定に基づいて、前記第1のパケットをその意図された宛先に転送することと、
    前記複数のパケットのうちの第2のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第2のパケットを、前記セキュリティポリシーに関連付けられたパケットゲートウェイに送信することと、
    前記複数のパケットのうちの前記第2のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという前記判定に基づいて、前記パケットゲートウェイに前記第2のパケットをフィルタリングさせることと、を含む、方法。
  2. 前記少なくとも1つのポリシー確率的データ構造が、ブルームフィルタまたはカッコウフィルタである、請求項1に記載の方法。
  3. 前記モバイルデバイスにセキュリティポリシー施行アプリケーションをインストールした後、前記セキュリティポリシーに関連付けられた少なくとも1つのネットワークセキュリティデバイスへのネットワークトンネルを確立することをさらに含み、
    前記第2のパケットを前記パケットゲートウェイに送信することが、前記第2のパケットを、前記ネットワークトンネルを介して前記パケットゲートウェイに送信することをさらに含む、請求項1に記載の方法。
  4. 前記パケットゲートウェイに前記第2のパケットをフィルタリングさせることが、前記第2のパケットに対してルールアクションの実行を引き起こすことをさらに含む、請求項1に記載の方法。
  5. 前記複数のパケットのうちの第3のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、複数のパケットのうちの各パケットについて、前記第3のパケットに関連付けられた少なくとも1つのパケット一致基準についてのブロックルール確率的データ構造をテストすることと、
    複数のパケットのうちの前記第3のパケットが、前記ブロックルール確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第3のパケットがその意図された宛先に進むのを防止することと、をさらに含む、請求項1に記載の方法。
  6. 前記複数のパケットのうちの前記第3のパケットが、前記ブロックルール確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第3のパケットに関連付けられたログを生成することと、
    前記第3のパケットに関連付けられた前記ログを、前記セキュリティポリシーに関連付けられた少なくとも1つのネットワークセキュリティデバイスに送信することと、をさらに含む、請求項5に記載の方法。
  7. 前記モバイルデバイスによって、少なくとも1つの新しいパケット一致基準を含むポリシー更新を受信することと、
    前記ポリシー更新に基づいて、前記モバイルデバイスによって、前記少なくとも1つのポリシー確率的データ構造を更新することと、をさらに含む、請求項1に記載の方法。
  8. パケットフィルタリングゲートウェイに関連付けられたモバイルデバイスであって、
    少なくとも1つのプロセッサと、
    命令を含むメモリと、を備え、前記命令が、前記少なくとも1つのプロセッサによって実行されるときに、前記モバイルデバイスに、
    前記モバイルデバイスから出力される複数のパケットを生成することと、
    前記複数のパケットのうちの各パケットについて、各パケットに関連付けられた少なくとも1つのパケット一致基準を判定することと、
    前記複数のパケットのうちの各パケットについて、前記判定された少なくとも1つのパケット一致基準についての少なくとも1つのポリシー確率的データ構造をテストすることであって、前記ポリシー確率的データ構造が、セキュリティポリシーの複数のパケットフィルタリングルールの各々を表す、前記テストすることと、
    前記複数のパケットのうちの第1のパケットが、前記少なくとも1つのポリシー確率的データ構造の少なくとも1つのパケット一致基準と一致しないという判定に基づいて、前記第1のパケットをその意図された宛先に転送することと、
    前記複数のパケットのうちの第2のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第2のパケットを、前記セキュリティポリシーに関連付けられたパケットゲートウェイに送信することと、
    前記複数のパケットのうちの前記第2のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという前記判定に基づいて、前記パケットゲートウェイに前記第2のパケットをフィルタリングさせることと、を行わせる、モバイルデバイス。
  9. 前記少なくとも1つのポリシー確率的データ構造が、ブルームフィルタまたはカッコウフィルタである、請求項8に記載のモバイルデバイス。
  10. 前記メモリが、前記少なくとも1つのプロセッサによって実行されるときに、前記モバイルデバイスに、
    前記モバイルデバイスにセキュリティポリシー施行アプリケーションをインストールした後、前記セキュリティポリシーに関連付けられた少なくとも1つのネットワークセキュリティデバイスへのネットワークトンネルを確立することを行わせる命令をさらに記憶し、
    前記第2のパケットを前記パケットゲートウェイに送信することが、前記第2のパケットを、前記ネットワークトンネルを介して前記パケットゲートウェイに送信することをさらに含む、請求項8に記載のモバイルデバイス。
  11. 前記パケットゲートウェイに前記第2のパケットをフィルタリングさせることが、前記第2のパケットに対してルールアクションの実行を引き起こすことをさらに含む、請求項8に記載のモバイルデバイス。
  12. 前記メモリが、前記少なくとも1つのプロセッサによって実行されるときに、前記モバイルデバイスに、
    前記複数のパケットのうちの第3のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、複数のパケットのうちの各パケットについて、前記第3のパケットに関連付けられた少なくとも1つのパケット一致基準についてのブロックルール確率的データ構造をテストすることと、
    複数のパケットのうちの前記第3のパケットが、前記ブロックルール確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第3のパケットがその意図された宛先に進むのを防止することと、を行わせる命令をさらに記憶する、請求項8に記載のモバイルデバイス。
  13. 前記メモリが、前記少なくとも1つのプロセッサによって実行されるときに、前記モバイルデバイスに、
    前記複数のパケットのうちの前記第3のパケットが、前記ブロックルール確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第3のパケットに関連付けられたログを生成することと、
    前記第3のパケットに関連付けられた前記ログを、前記セキュリティポリシーに関連付けられた少なくとも1つのネットワークセキュリティデバイスに送信することと、を行わせる命令をさらに記憶する、請求項12に記載のモバイルデバイス。
  14. 前記メモリが、前記少なくとも1つのプロセッサによって実行されるときに、前記モバイルデバイスに、
    前記モバイルデバイスによって、少なくとも1つの新しいパケット一致基準を含むポリシー更新を受信することと、
    前記ポリシー更新に基づいて、前記モバイルデバイスによって、前記少なくとも1つのポリシー確率的データ構造を更新することと、を行わせる命令をさらに記憶する、請求項8に記載のモバイルデバイス。
  15. 命令を含む1つまたはそれ以上の非一時的なコンピュータ可読媒体であって、前記命令が、モバイルデバイスによって実行されるときに、前記モバイルデバイスに、
    前記モバイルデバイスから出力される複数のパケットを生成することと、
    前記複数のパケットのうちの各パケットについて、各パケットに関連付けられた少なくとも1つのパケット一致基準を判定することと、
    複数のパケットのうちの各パケットについて、前記判定された少なくとも1つのパケット一致基準についての少なくとも1つのポリシー確率的データ構造をテストすることであって、前記ポリシー確率的データ構造が、セキュリティポリシーの複数のパケットフィルタリングルールの各々を表す、前記テストすることと、
    前記複数のパケットのうちの第1のパケットが、前記少なくとも1つのポリシー確率的データ構造の少なくとも1つのパケット一致基準と一致しないという判定に基づいて、前記第1のパケットをその意図された宛先に転送することと、
    前記複数のパケットのうちの第2のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第2のパケットを、前記セキュリティポリシーに関連付けられたパケットゲートウェイに送信することと、
    前記複数のパケットのうちの前記第2のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという前記判定に基づいて、前記パケットゲートウェイに前記第2のパケットをフィルタリングさせることと、を行わせる、1つまたはそれ以上の非一時的なコンピュータ可読媒体。
  16. 前記少なくとも1つのポリシー確率的データ構造が、ブルームフィルタまたはカッコウフィルタである、請求項15に記載の1つまたはそれ以上の非一時的なコンピュータ可読媒体。
  17. 前記メモリが、前記モバイルデバイスによって実行されるときに、前記モバイルデバイスに、
    セキュリティポリシー施行アプリケーションをインストールした後、前記セキュリティポリシーに関連付けられた少なくとも1つのネットワークセキュリティデバイスへのネットワークトンネルを確立することを行わせる命令をさらに記憶し、
    前記第2のパケットを前記パケットゲートウェイに送信することが、前記第2のパケットを、前記ネットワークトンネルを介して前記パケットゲートウェイに送信することをさらに含む、請求項15に記載の1つまたはそれ以上の非一時的なコンピュータ可読媒体。
  18. 前記パケットゲートウェイに前記第2のパケットをフィルタリングさせることが、前記第2のパケットに対してルールアクションの実行を引き起こすことをさらに含む、請求項15に記載の1つまたはそれ以上の非一時的なコンピュータ可読媒体。
  19. 前記メモリが、前記モバイルデバイスによって実行されるときに、前記モバイルデバイスに、
    前記複数のパケットのうちの第3のパケットが、前記少なくとも1つのポリシー確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、複数のパケットのうちの各パケットについて、前記第3のパケットに関連付けられた少なくとも1つのパケット一致基準についてのブロックルール確率的データ構造をテストすることと、
    前記複数のパケットのうちの前記第3のパケットが、前記ブロックルール確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第3のパケットがその意図された宛先に進むのを防止することと、を行わせる命令をさらに記憶する、請求項15に記載の1つまたはそれ以上の非一時的なコンピュータ可読媒体。
  20. 前記メモリが、前記モバイルデバイスによって実行されるときに、前記モバイルデバイスに、
    前記複数のパケットのうちの前記第3のパケットが、前記ブロックルール確率的データ構造に関連付けられた少なくとも1つのパケット一致基準に一致するという判定に基づいて、前記第3のパケットに関連付けられたログを生成することと、
    前記第3のパケットに関連付けられた前記ログを、前記セキュリティポリシーに関連付けられた少なくとも1つのネットワークセキュリティデバイスに送信することと、を行わせる命令をさらに記憶する、請求項19に記載の1つまたはそれ以上の非一時的なコンピュータ可読媒体。
  21. 前記モバイルデバイスによって実行されるときに、前記モバイルデバイスに、
    少なくとも1つの新しいパケット一致基準を含むポリシー更新を受信することと、
    前記ポリシー更新に基づいて、前記少なくとも1つのポリシー確率的データ構造を更新することと、を行わせる命令をさらに含む、請求項15に記載の1つまたはそれ以上の非一時的なコンピュータ可読媒体。
JP2022500516A 2019-07-03 2020-06-15 モバイルデバイスの効率的なサイバー保護のための方法およびシステム Active JP7393514B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023199361A JP2024020524A (ja) 2019-07-03 2023-11-24 モバイルデバイスの効率的なサイバー保護のための方法およびシステム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/502,565 US10715493B1 (en) 2019-07-03 2019-07-03 Methods and systems for efficient cyber protections of mobile devices
US16/502,565 2019-07-03
PCT/US2020/037688 WO2021003014A1 (en) 2019-07-03 2020-06-15 Methods and systems for efficient cyber protections of mobile devices

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2023199361A Division JP2024020524A (ja) 2019-07-03 2023-11-24 モバイルデバイスの効率的なサイバー保護のための方法およびシステム

Publications (2)

Publication Number Publication Date
JP2022540577A true JP2022540577A (ja) 2022-09-16
JP7393514B2 JP7393514B2 (ja) 2023-12-06

Family

ID=71409552

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2022500516A Active JP7393514B2 (ja) 2019-07-03 2020-06-15 モバイルデバイスの効率的なサイバー保護のための方法およびシステム
JP2023199361A Pending JP2024020524A (ja) 2019-07-03 2023-11-24 モバイルデバイスの効率的なサイバー保護のための方法およびシステム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023199361A Pending JP2024020524A (ja) 2019-07-03 2023-11-24 モバイルデバイスの効率的なサイバー保護のための方法およびシステム

Country Status (6)

Country Link
US (5) US10715493B1 (ja)
EP (1) EP3984195A1 (ja)
JP (2) JP7393514B2 (ja)
KR (1) KR20220028102A (ja)
CN (1) CN114641968A (ja)
WO (1) WO2021003014A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11582191B2 (en) 2019-07-03 2023-02-14 Centripetal Networks, Inc. Cyber protections of remote networks via selective policy enforcement at a central network
US11405321B2 (en) * 2019-07-23 2022-08-02 At&T Mobility Ii Llc 5G filters for virtual network functions
US20220086190A1 (en) * 2020-09-16 2022-03-17 Salesforce.Com, Inc. Correlation of security policy input and output changes
US11546368B2 (en) * 2020-09-28 2023-01-03 T-Mobile Usa, Inc. Network security system including a multi-dimensional domain name system to protect against cybersecurity threats
US11785038B2 (en) * 2021-03-30 2023-10-10 International Business Machines Corporation Transfer learning platform for improved mobile enterprise security
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
KR20230173706A (ko) * 2021-04-20 2023-12-27 센트리페탈 네트웍스 엘엘씨 네트워크 보호를 위한 효율적인 위협 상황 인지 패킷 필터링 방법 및 시스템
WO2022225951A1 (en) * 2021-04-20 2022-10-27 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
US11503056B1 (en) * 2021-08-09 2022-11-15 Oversec, Uab Providing a notification system in a virtual private network
US11895090B2 (en) 2021-10-22 2024-02-06 AVAST Software s.r.o. Privacy preserving malicious network activity detection and mitigation
WO2023154122A1 (en) 2022-02-10 2023-08-17 Centripetal Networks, Inc. Cyber protections of remote networks via selective policy enforcement at a central network
US20240106861A1 (en) 2022-09-27 2024-03-28 Centripetal Networks, Llc Identity-based application of domain filtering rules using domain name system (dns) platform

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009182516A (ja) * 2008-01-29 2009-08-13 Duaxes Corp 不正侵入防止装置
WO2016171690A1 (en) * 2015-04-23 2016-10-27 Hewlett Packard Enterprise Development Lp Pre-filter rules for network infrastructure devices
US20170126740A1 (en) * 2015-11-03 2017-05-04 Juniper Networks, Inc. Integrated security system having rule optimization
JP2017138784A (ja) * 2016-02-03 2017-08-10 京セラ株式会社 通信装置、通信制御方法、及びプログラム
US20180063084A1 (en) * 2016-09-01 2018-03-01 Hewlett Packard Enterprise Development Lp Filtering of packets for packet types at network devices

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107612B1 (en) * 1999-04-01 2006-09-12 Juniper Networks, Inc. Method, apparatus and computer program product for a network firewall
US6880005B1 (en) * 2000-03-31 2005-04-12 Intel Corporation Managing policy rules in a network
US7444515B2 (en) 2003-08-14 2008-10-28 Washington University Method and apparatus for detecting predefined signatures in packet payload using Bloom filters
US8381297B2 (en) * 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
WO2007117567A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. Malware detection system and method for limited access mobile platforms
US7835348B2 (en) 2006-12-30 2010-11-16 Extreme Networks, Inc. Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
US20080232359A1 (en) * 2007-03-23 2008-09-25 Taeho Kim Fast packet filtering algorithm
JP2009048574A (ja) 2007-08-22 2009-03-05 Panasonic Corp 通信端末装置、ファイアウォールシステム及びファイアウォール方法
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
WO2011091897A1 (en) 2010-01-29 2011-08-04 Telefonaktiebolaget Lm Ericsson (Publ) Packet routing in a network
US20110276744A1 (en) * 2010-05-05 2011-11-10 Microsoft Corporation Flash memory cache including for use with persistent key-value store
US8510821B1 (en) 2010-06-29 2013-08-13 Amazon Technologies, Inc. Tiered network flow analysis
CA2806527A1 (en) * 2010-07-26 2012-02-09 Seven Networks, Inc. Mobile network traffic coordination across multiple applications
US8630294B1 (en) * 2011-05-11 2014-01-14 Juniper Networks, Inc. Dynamic bypass mechanism to alleviate bloom filter bank contention
US9118702B2 (en) * 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
US8949371B1 (en) * 2011-09-29 2015-02-03 Symantec Corporation Time and space efficient method and system for detecting structured data in free text
US9043918B2 (en) * 2011-10-13 2015-05-26 Mcafee, Inc. System and method for profile based filtering of outgoing information in a mobile environment
WO2014047168A1 (en) * 2012-09-18 2014-03-27 Citrix Systems, Inc. Mobile device management and security
US20140109171A1 (en) * 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels
US20140157405A1 (en) 2012-12-04 2014-06-05 Bill Joll Cyber Behavior Analysis and Detection Method, System and Architecture
US9171153B2 (en) 2013-05-17 2015-10-27 Hewlett-Packard Development Company, L.P. Bloom filter with memory element
US9419942B1 (en) 2013-06-05 2016-08-16 Palo Alto Networks, Inc. Destination domain extraction for secure protocols
US9622176B2 (en) * 2014-06-23 2017-04-11 Qualcomm Incorporated Packet filtering for saving power at a user equipment
US20160171415A1 (en) * 2014-12-13 2016-06-16 Security Scorecard Cybersecurity risk assessment on an industry basis
US10341300B2 (en) * 2015-03-01 2019-07-02 Cisco Technology, Inc. System, method, apparatus and machine-readable media for enterprise wireless calling
US10051001B1 (en) 2015-07-31 2018-08-14 Palo Alto Networks, Inc. Efficient and secure user credential store for credentials enforcement using a firewall
US11729144B2 (en) * 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10200390B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar
CN106383768A (zh) * 2016-09-14 2017-02-08 江苏北弓智能科技有限公司 基于移动设备操作行为的监管分析系统及其方法
US10931561B2 (en) 2017-04-24 2021-02-23 Cisco Technology, Inc. Dynamic split tunneling
CN109361646A (zh) * 2018-08-23 2019-02-19 广东电网有限责任公司信息中心 一种移动互联应用中的网络安全监测与感知方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009182516A (ja) * 2008-01-29 2009-08-13 Duaxes Corp 不正侵入防止装置
WO2016171690A1 (en) * 2015-04-23 2016-10-27 Hewlett Packard Enterprise Development Lp Pre-filter rules for network infrastructure devices
US20170126740A1 (en) * 2015-11-03 2017-05-04 Juniper Networks, Inc. Integrated security system having rule optimization
JP2017138784A (ja) * 2016-02-03 2017-08-10 京セラ株式会社 通信装置、通信制御方法、及びプログラム
US20180063084A1 (en) * 2016-09-01 2018-03-01 Hewlett Packard Enterprise Development Lp Filtering of packets for packet types at network devices

Also Published As

Publication number Publication date
US10715493B1 (en) 2020-07-14
KR20220028102A (ko) 2022-03-08
CN114641968A (zh) 2022-06-17
US10944721B2 (en) 2021-03-09
JP7393514B2 (ja) 2023-12-06
US20210336929A1 (en) 2021-10-28
US11374905B2 (en) 2022-06-28
US20220303245A1 (en) 2022-09-22
JP2024020524A (ja) 2024-02-14
US20210211409A1 (en) 2021-07-08
US11063909B1 (en) 2021-07-13
EP3984195A1 (en) 2022-04-20
WO2021003014A1 (en) 2021-01-07
US20210006541A1 (en) 2021-01-07

Similar Documents

Publication Publication Date Title
JP7393514B2 (ja) モバイルデバイスの効率的なサイバー保護のための方法およびシステム
EP3704846B1 (en) Cloud-based multi-function firewall and zero trust private virtual network
US20230164116A1 (en) Multi-tenant cloud-based firewall systems and methods
US20210336934A1 (en) Cloud-based web application and API protection
US9942270B2 (en) Database deception in directory services
US11652792B2 (en) Endpoint security domain name server agent
US20190253453A1 (en) Implementing Decoys In A Network Environment
US8739272B1 (en) System and method for interlocking a host and a gateway
US8892766B1 (en) Application-based network traffic redirection for cloud security service
US11516257B2 (en) Device discovery for cloud-based network security gateways
US20210314301A1 (en) Private service edge nodes in a cloud-based system for private application access
US20220029965A1 (en) Scaling private application access support per client
US11799832B2 (en) Cyber protections of remote networks via selective policy enforcement at a central network
US11949661B2 (en) Systems and methods for selecting application connectors through a cloud-based system for private application access
US11936623B2 (en) Systems and methods for utilizing sub-clouds in a cloud-based system for private application access
US20210377223A1 (en) Client to Client and Server to Client communication for private application access through a cloud-based system
US20230019448A1 (en) Predefined signatures for inspecting private application access
WO2023020606A1 (zh) 一种隐藏源站的方法、系统、装置、设备及存储介质
US20210136106A1 (en) Ssl/tls spoofing using tags
US20230015603A1 (en) Maintaining dependencies in a set of rules for security scanning
US20230231884A1 (en) Browser fingerprinting and control for session protection and private application protection
WO2023154122A1 (en) Cyber protections of remote networks via selective policy enforcement at a central network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230302

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230724

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20230815

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20230816

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231026

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231124

R150 Certificate of patent or registration of utility model

Ref document number: 7393514

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150