JP2023050189A - 脅威制御方法およびシステム - Google Patents
脅威制御方法およびシステム Download PDFInfo
- Publication number
- JP2023050189A JP2023050189A JP2022156234A JP2022156234A JP2023050189A JP 2023050189 A JP2023050189 A JP 2023050189A JP 2022156234 A JP2022156234 A JP 2022156234A JP 2022156234 A JP2022156234 A JP 2022156234A JP 2023050189 A JP2023050189 A JP 2023050189A
- Authority
- JP
- Japan
- Prior art keywords
- node
- information
- threat
- detected
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】検出することが困難な攻撃に対しても対処することができるコンピュータネットワークセキュリティシステム及び脅威制御の方法を提供する。【解決手段】方法は、第1のノードによって、異常または悪意のある挙動、デジタルオブジェクトおよび/またはコンテキストに関連するセキュリティ脅威を第1のノードにおいて検出し、検出されたセキュリティ脅威に関連する第1のノードにおいてコンテキスト情報を収集し、少なくとも1つの検出されたセキュリティ脅威および収集されたコンテキスト情報を少なくとも第2のノードに報告し、セキュリティ脅威に関連する受信された情報を第2のノードにおいて分析し、第2のノードにおいて分析に関連するコンテキスト情報を収集し、第2のノードから収集された追加の分析およびコンテキスト情報とともに脅威に関連する情報を少なくとも1つの更なるノードまたはバックエンドに送信する。【選択図】図4
Description
本発明は、コンピュータネットワークセキュリティシステムにおける脅威制御の方法、およびコンピュータネットワークセキュリティシステムに関する。
コンピュータネットワークセキュリティシステムが普及し始めている。そのような例として、EDR(Endpoint Detection and Response)製品およびサービスが知られている。EDRは、侵入(breach)の発生時および発生後の検出および監視に焦点を当て、どのように最適に応答するか、および/または自動化されたアクションをとるかを決定するのに役立つ。EDRの成長は、機械学習、ビッグデータ及びクラウドコンピューティングの出現によって部分的に可能になった。
従来のEDRまたは他の同様のシステムは、選択されたネットワークエンドポイント(ITインフラストラクチャの任意の要素とすることができる)上にデータコレクタを配備する。データコレクタはエンドポイントで起きているアクティビティを観察し、次いで、収集されたデータを、しばしばクラウド内に位置する中央バックエンドシステム(「EDRバックエンド」)に送信する。EDRバックエンドがデータを受信すると、データはセキュリティ違反および異常の兆候についてEDRプロバイダーによって分析およびスキャンされる前に処理される(例えば、集計およびエンリッチメントされる)。
データ量と脅威の対象領域(surfaces)は、膨大なスピードで拡大する。コンピュータシステムに対する脅威は、急速に変化しているので、脅威に対するセキュリティモデルも進化していく必要がある。現在の「単純な」エンドポイントを保護する方法を使用することによっても、単にクラウドおよびバックエンドの能力を向上させることによっても、ファイルベースおよびファイルレスの両方で、増え続けるサイバー脅威に追いつくことは不可能である。しかも、よりスマートなエンドポイントは、脆弱性、機能の増加、およびデータプライバシーの要求などの観点から、複数の問題がもたらされる。したがって、従来の手段は、変化するスピードおよび遭遇する様々な状況に対処することができない。
現在のシステムでは、データコレクタ、すなわちセンサとバックエンドとの間の通信は、アップグレードおよび更新のようなデフォルトのメカニズムは存在するが、どちらかというと一方向で行われる。従来技術のシステムでは、センサがデータを収集し、バックエンドに提出する。バックエンドはセンサによって提出されたデータを集中的に処理し、攻撃、異常などの指標を探す。バックエンドは、センサに順次伝える新しい更新を準備することで、データ収集の強度および粒度のレベルを操作することができる。従来技術のシステムでは、センサが脅威に対するフラグを立てるための基本的なローカルな異常検出メカニズムを備え、例えば、ルールおよび/または機械学習によるメカニズムが、その動作を最適化するためにバックエンドによって使用される追加のイベントを生成する。この機能は、デフォルトのアップグレードおよび更新メカニズムを介して、バックエンドによって制御される。
現在のシステムの問題は、エクスプロイト(exploitation)、ワーム化可能な脅威(例えば、WannaCry)、およびハンズオンキーボード攻撃などのいくつかのケースがあるが、1つのエンドポイントで発生する悪意のあるアクティビティの知識が状況認識を十分に提供するものでもなく、脅威を修正するのに役立つほど十分でもない。ほとんどの場合、攻撃には複数のホストが関与し、攻撃者はその最終的なターゲットを検索する。主に、一方向で行われるデータコレクタ、すなわち、上述のようなセンサとバックエンドとの間の通信を有する検出システムが、以下のような複数の課題に直面することは明らかである:
1. 複数のホストに影響を与える検出および関連情報を組み合わせ、それらから単一のインシデントを構築すること(すべての関連コンテキストとともに、攻撃の十分な可視性を提供するマルチホスト検出を意味する)。
2. 組織内で、進行している攻撃に対するタイムリーな可視性の提供:バックエンド検出パイプラインが集中化されているという事実は、攻撃されているホストから来るイベントを処理する際に、遅延が生じる可能性があり望ましくない。これにより、脆弱性ウィンドウがより大きくなる。
3. 死後(posthumous)の発見に基づいた関連データの取得。実際、バックエンドが第1のホストで潜在的な欠陥(breach)に気付くと、第2のホストに関する履歴データを取得する能力が制限され、第2のホストもセキュリティインシデントの一部であると想定される。
1. 複数のホストに影響を与える検出および関連情報を組み合わせ、それらから単一のインシデントを構築すること(すべての関連コンテキストとともに、攻撃の十分な可視性を提供するマルチホスト検出を意味する)。
2. 組織内で、進行している攻撃に対するタイムリーな可視性の提供:バックエンド検出パイプラインが集中化されているという事実は、攻撃されているホストから来るイベントを処理する際に、遅延が生じる可能性があり望ましくない。これにより、脆弱性ウィンドウがより大きくなる。
3. 死後(posthumous)の発見に基づいた関連データの取得。実際、バックエンドが第1のホストで潜在的な欠陥(breach)に気付くと、第2のホストに関する履歴データを取得する能力が制限され、第2のホストもセキュリティインシデントの一部であると想定される。
これらの理由から、現在および将来の両方において、従来の方法では検出することが困難であった攻撃に対しても対処することができる改良されたコンピュータネットワークセキュリティシステムが必要とされている。
以下は様々な発明の実施形態のいくつかの態様の基本的な理解を提供するために、簡略化された概要を提示する。この概要は、本発明の広範な概要ではない。それは、本発明の重要または重要な要素を特定することも、本発明の範囲を正確に説明する(delineate)ことも意図されていない。以下の概要は単に、本発明の例示的な実施形態のより詳細な説明の前置きとして、本発明のいくつかの概念を簡略化された形態で提示するに過ぎない。
第1の態様によれば、本発明は、コンピュータネットワークにおける脅威検出の方法に関し、前記方法は、第1のノードによって、例えば、異常または悪意のある挙動、デジタルオブジェクトおよび/またはコンテキストに関連するセキュリティ脅威を第1のノードにおいて検出することと、検出されたセキュリティ脅威に関連するコンテキスト情報を第1のノードにおいて収集することと、少なくとも1つの検出されたセキュリティ脅威および収集されたコンテキスト情報を少なくとも第2のノードに報告することと、セキュリティ脅威に関連する受信された情報を第2のノードにおいて分析することと、第2のノードにおいて分析に関連するコンテキスト情報を収集することと、第2のノードから収集された追加の分析およびコンテキスト情報とともに脅威関連情報を少なくとも1つの更なるノードまたはバックエンドに送信することとを含む。
本発明の一実施形態では、調査がもはや必要とされなくなるまで、例えば、検出された脅威が特定されるまでか、検出されたアイテムはそれが検出されたノード以外のノードに影響を及ぼすことがなくなるまでか、および/または収集された情報は状況が実際には誤検出であることが明らかになるまで、受信された情報が分析され、更なるノードまたはバックエンドに送信される。
本発明の一実施形態では、ブロードキャストなどで情報が送信される第2のノードまたは更なるノードは、ネイバーなどの別のホストであり、および/またはバックエンドホストまたはバックエンドシステムである。
本発明の一実施形態では、検出されたセキュリティ脅威に関するデータが特定のノードの情報を含み、情報が送信される第2のノードまたは更なるノードは、検出されたセキュリティ脅威に関するデータにおいて参照される特定のノードである。
本発明の一実施形態では、検出されたセキュリティ脅威に関するデータが利用されている特定のアプリケーションの情報を含み、情報が送信される第2のノードまたは更なるノードは、特定のアプリケーションがインストールされている少なくとも1つのノードを含む。
本発明の一実施形態では、検出されたセキュリティ脅威に関するデータが予期しない挙動をとるユーザを示す場合には、ノードはユーザレベルの異常に関する情報をブロードキャストメッセージで他のノードに発信して、予期しない挙動をとるユーザに対して更なるノードによってさらに追跡を行うことができるようにする。
本発明の一実施形態では、データが送信される第2のノードまたは更なるノードが、特定のIPアドレスを有するノードまたは特定のIPアドレス範囲内にあるノード、および/または特定のユーザからのアクティビティを見たノード、および/または特定のアセットidを有するホストに送信される。
本発明の一実施形態では、コンテキスト情報が、検出された脅威に対する一意の識別子、および/または情報を送信したノードの情報を含む。
本発明の一実施形態では、コンテキスト情報が、セキュリティ脅威の検出を導いた一連のアクティビティを含む。
本発明の一実施形態では、検出されたセキュリティ脅威に関する情報および収集されたコンテキスト情報を別のホストから受信する更なるノードは、それらの分析データが少なくとも1つの他のホストまたはバックエンドに送られる前に、それらのコンテキスト情報を追加し、例えば、リード(lead)または初期コンテキストを含む情報を追加する。
本発明の一実施形態では、セキュリティ脅威が、例えば、不正なプロセス、ユーザ、アプリケーション、またはファイルなどの疑わしいエンティティを識別するために、ローカルな異常検出メカニズムなどの検出メカニズムを実装するように構成されたノードにインストールされた少なくとも1つのセンサによって、そのノードにおいて識別される。
本発明の一実施形態では、セキュリティ脅威を分析するノードがデータ収集およびデータ提出レベルを増加させるために、そのネイバーにブロードキャストなどで命令を送信する。
第2の態様によれば、本発明は少なくとも2つのノードを備えるコンピュータネットワークを備えるシステムに関し、ノードは、例えば、ノードにおける異常、または、悪意のある挙動、デジタルオブジェクトおよび/またはコンテキストに関するセキュリティ脅威を検出するように構成される。システムにおいて、第1のノードは、第1のノードにおけるセキュリティ脅威を検出し、検出されたセキュリティ脅威に関連するコンテキスト情報を第1のノードにおいて収集するように構成される。第1のノードは、少なくとも1つの検出されたセキュリティ脅威および収集されたコンテキスト情報を少なくとも第2のノードに報告するようにさらに構成され、第2のノードは、セキュリティ脅威に関する受信された情報を分析し、第2のノードにおける分析に関するコンテキスト情報を収集するように構成される。第2のノードは、第2のノードから収集された追加の分析およびコンテキスト情報を伴う脅威関連情報を、少なくとも1つの更なるノードまたはバックエンドに送信するようにさらに構成される。
本発明の一実施形態では、システムが本発明の任意の実施形態による方法を実施するように構成される。
第3の態様によれば、本発明は、コンピュータによって実行されると、コンピュータに本発明による方法を実行させる命令を含むコンピュータプログラムに関する。
第4の態様によれば、本発明は、本発明によるコンピュータプログラムを含むコンピュータが読み取り可能な媒体に関する。
本発明は、例えば、センサが互いに通信することを可能にするメカニズムを提供することによって、以下に説明する課題を解決することができる。本発明の解決策では、検出のコンテキストがピアツーピア方式でさらに分析および調査のために共有することができる。ホスト、ノード、またはネットワーク内の任意のデバイスによって収集され、作成された情報は、本発明の解決策に用いる限り、任意のタイプのエンティティ間を流れることができる。この手法は、1つのノードまたはエンティティは、それ自体のセンサを有するコンピュータとすることができ、第2のエンティティは、類似または異なるタイプのノード、例えば、ネットワークセグメント全体の安全性を管理するネットワークレベルIDSとすることができる。
本発明の解決策は、特に、複数のエンドポイントを伴う状況に対して、より良好な検出能力を可能にする。これは、例えば、攻撃者がその目標に向かって移動する際の横方向の移動及び探索を伴う侵入の場合である。また、本発明の解決策は、検出のより良好なコンテキスト化を可能にし、すなわち、検出を受信する顧客に、検出をトリガした情報が具体的に提示されるだけでなく、その検出をもたらす一連のアクティビティ全体が提示されることを意味する。
本発明の解決策の達成可能な利益は、以下のものも含む:
・ サイバーの観点から関連性のあるクロスホストアクティビティの一貫した完全な表現
・ EDRソリューションの脆弱性ウィンドウの減少
・ データ収集および/または処理に関する解の適応性の改善
・ システムは、同時にバックエンドで駆動し(例えば、バックエンドが第1の時間経た異常コンテキストについての通知を受信すると、この状況を認識し、適切に他のセンサおよび独自のロジックを調整することができる)、およびセンサ間通信で駆動する(例えば、第1のセンサはデータ収集および提出レベルを増加させるために、そのネイバーに命令をブロードキャストすることができる)ことができる。
・ サイバーの観点から関連性のあるクロスホストアクティビティの一貫した完全な表現
・ EDRソリューションの脆弱性ウィンドウの減少
・ データ収集および/または処理に関する解の適応性の改善
・ システムは、同時にバックエンドで駆動し(例えば、バックエンドが第1の時間経た異常コンテキストについての通知を受信すると、この状況を認識し、適切に他のセンサおよび独自のロジックを調整することができる)、およびセンサ間通信で駆動する(例えば、第1のセンサはデータ収集および提出レベルを増加させるために、そのネイバーに命令をブロードキャストすることができる)ことができる。
発明の様々な例示的かつ非限定的な実施形態はその追加の目的および利点とともに、構成および動作方法の両方に関して、添付の図面を参照しながら読むことにより、特定の例示的かつ非限定的な実施形態である以下の説明により最もよく理解されるのであろう。
「含む」という動詞は、記載されていない特徴の存在を排除することも必要とすることもないオープンな限定として、本明細書で使用される。従属請求項に記載された特徴は特に明記しない限り、相互に自由に組み合わせることができる。
さらに、本明細書全体を通して、単数形の使用は、複数形を排除しないことを理解されたい。
本発明の実施形態は、添付の図面の図において、限定ではなく例として示される。
図1は、ホストとバックエンドとの間の従来技術のシステムの通信フローを示す。従来技術のシステムでは、センサ-バックエンド間の通信はどちらというと一方向である。これらのシステムでは、図1に示すように、ホストのセンサは、データを収集し、バックエンドに送信する。これらの従来技術の解決策では、バックエンドがセンサによって送信されたデータを集中的に処理し、攻撃や異常の指標を探す。バックエンドは、センサに順次伝播される新しい更新を準備することによって、データ収集の強度および粒度のレベルを操作することができる。従来技術のシステムでは、ホストにおけるセンサが脅威に対してフラグを立て、その動作を最適化するためにバックエンドによって使用される追加のイベントを生成する基本的なローカルな異常検出メカニズム(ルールまたは機械学習による仕組みなど)を有する。これは、デフォルトのアップグレードまたは更新メカニズムを介して、バックエンドによって制御することができる。
上述のように、本発明のアイデアは、センサが互いに通信することを可能にするメカニズムを提供することである。本発明の解決策では、ピアツーピア方式でさらに分析および調査するために、検出のコンテキストを共有することができる。ノードは、例えば、検出に関連するコンテキストデータおよび脅威への対応に関連するデータなどの検出関連データを共有するようにしてもよい。本発明の一実施形態では、この脅威の検出関連データがスウォームネットワーク内で共有される。
本発明は、コンピュータネットワークにおける脅威検出のシステムおよび方法に関し、この方法は、第1のノードによって、例えば、第1のノードにおける異常または悪意のある挙動、デジタルオブジェクトおよび/またはコンテキストに関連するセキュリティ脅威を検出し、第1のノードで、検出されたセキュリティ脅威に関連する第1のノードにおけるコンテキスト情報を収集し、少なくとも1つの検出されたセキュリティ脅威および収集されたコンテキスト情報を少なくとも第2のノードに報告し、セキュリティ脅威に関連する受信された情報を第2のノードにおいて分析し、第2のノードにおいて分析に関連するコンテキスト情報を収集し、収集された分析およびコンテキスト情報が追加された脅威に関連する情報を第2のノードから少なくとも1つの更なるノードまたはバックエンドに送信する。
本発明の一実施形態では、調査がもはや必要とされなくなるまで、例えば、検出された脅威が識別されるまでか、検出されたアイテムはそれが検出されたノード以外のノードに影響を及ぼさなくなるまでか、および/または収集された情報は状況が実際には誤検出であることが明らかになるまで、受信された情報が分析され、更なるノードまたはバックエンドに送信される。
図2は、本発明の1つの例示的な実施形態による、ホストとバックエンドとの間の通信フローを示す。本発明の解決策は、センサが互いに通信することを可能にするメカニズムを提供する。これは、(少なくともいくつかの実施形態では)ネットワークのホスト間の通信バスとして理解されてもよい。
本発明の解決策では、バックエンドの役割の1つは、分散した異常コンテキストの強化を容易にすることである。ホストまたはノードなどのエンドポイントにインストールされたセンサは、不正なプロセス、コンテキスト、またはユーザなどの不審なエンティティを識別するためにローカルな異常検出メカニズムに依存している。
ノードまたはホストは、いつ他の特定のホストに報告するべきであるかを決定するためのメカニズムを有することができ、ローカルな異常がセンサによって計測され、および/またはブロードキャストされる。いくつかの例示的なケースでは、例えば:
・ 異常は、どの要素が異常のチェックを継続するために稼働しているかが分かっている場合、特定のホストまたはバックエンドに報告される。
・ 異常は、検出された異常によって影響を受けるリスクにあることが知られている特定のホストに報告される:
例えば、
(1) 特定のアプリケーションを持つすべてのホスト、または少なくとも一部のホストへ
(2) 特定のIPアドレスなどの特定のネットワークアドレスを有するホスト、または特定のIPアドレス範囲などの特定のネットワークアドレス範囲内にあるホストへ
(3) 特定のユーザからのアクティビティを見ていたホストへ
(4) 特定のアセットidを持つホストへ
・ 異常は、どの要素が異常のチェックを継続するために稼働しているかが分かっている場合、特定のホストまたはバックエンドに報告される。
・ 異常は、検出された異常によって影響を受けるリスクにあることが知られている特定のホストに報告される:
例えば、
(1) 特定のアプリケーションを持つすべてのホスト、または少なくとも一部のホストへ
(2) 特定のIPアドレスなどの特定のネットワークアドレスを有するホスト、または特定のIPアドレス範囲などの特定のネットワークアドレス範囲内にあるホストへ
(3) 特定のユーザからのアクティビティを見ていたホストへ
(4) 特定のアセットidを持つホストへ
本発明の一実施形態では、検出されたセキュリティ脅威に関するデータが特定のノードの情報を含み、その情報が送信される第2のノードまたは更なるノードは、検出されたセキュリティ脅威に関するデータにおいて参照される特定のノードである。
本発明の一実施形態では、検出されたセキュリティ脅威に関するデータが利用されている特定のアプリケーションの情報を含み、その情報が送信される第2のノードまたは更なるノードは、特定のアプリケーションがインストールされている少なくとも1つのノードを含む。
本発明の一実施形態では、検出されたセキュリティ脅威に関するデータが予期しない挙動をとるユーザを示す場合には、ノードはユーザレベルの異常に関する情報をブロードキャストメッセージで他のノードに発信して、予期しない挙動をとるユーザに対して更なるノードによってさらに追跡を行うことができるようにする。
本発明の一実施形態では、データが送信される第2のノードまたは更なるノードは、特定のIPアドレスを有するノードまたは特定のIPアドレス範囲内にあるノード、および/または特定のユーザからのアクティビティを見ていたノード、および/または特定のアセットidを有するホストである。
本発明の一実施形態では、ブロードキャストなどで情報が送信される第2のノードまたは更なるノードは、ネイバーなどの別のホスト、および/またはバックエンドホストまたはバックエンドシステムである。本発明の一実施形態では、異常が誰に報告されるべきかが分からない場合、ノードは検出された異常に関連するデータをブロードキャストすることができる。この場合、例えば、他のノードは検出結果(findings)を調査し、さらにアクションを実行することができる。
受信された情報と、第1のノードから受信された検出された異常に関連するデータとに基づいて、ネットワークの他のノードによって追加の情報が収集されてもよい。一例では、ノードが異常を調査し、それ自体のコンテキストおよび検出結果を、ノードによって受信されたオリジナルの検出結果に追加する。次いで、ノードは異常に関連するデータをさらに送信することができ、同時に、異常に対するそれ自体の検出結果を追加することができる。これは、必要な限り、例えば、更なるノードによって更なる調査が必要とされなくなるまで継続することができる。
異常検出報告の構造は、本発明の1つの例示的な実施形態では以下の通りである。1つのノードから別のノードおよび/またはバックエンドに送信されるデータは、以下のうちの少なくとも1つを備えることができる:
・ バックエンドの観点からコンテキストを扱いやすくするための一意のID
・ 検出された異常のコンテキスト(例えば、初期コンテキストおよび追加コンテキスト)に関する情報、
・ 所有者の変更に関する情報
・ 他の有意義な観察
・ バックエンドの観点からコンテキストを扱いやすくするための一意のID
・ 検出された異常のコンテキスト(例えば、初期コンテキストおよび追加コンテキスト)に関する情報、
・ 所有者の変更に関する情報
・ 他の有意義な観察
本発明の一実施形態では、コンテキスト情報が検出された脅威に対する一意の識別子および/または情報を送信したノードの情報を含む。
本発明の一実施形態では、コンテキスト情報がセキュリティ脅威の検出を導く一連のアクティビティを含む。
本発明の一実施形態では、別のホストから検出されたセキュリティ脅威および収集されたコンテキスト情報に関する情報を受信する更なるノードが、それらの分析データが少なくとも1つの他のホストまたはバックエンドに送られる前に、それらのコンテキスト情報を追加し、例えば、リードまたは初期コンテキストを含む情報を追加する。
本発明の一実施形態では、セキュリティ脅威が、ローカルな異常検出メカニズムなどの検出メカニズムを実装するように構成されたノードに設けられた少なくとも1つのセンサによって、ノードにおいて識別され、例えば、不正なプロセス、ユーザ、アプリケーション、またはファイルなどの疑わしいエンティティを識別する。
本発明の一実施形態では、セキュリティ脅威を分析するノードがデータ収集およびデータ提出のレベルを増加させるために、そのネイバーに命令を送信、例えば、ブロードキャストする。
図3には、コンピュータシステム、例えばEDRシステムが設置された第1のコンピュータネットワーク1の一部が概略的に示されている。また、本発明の実施形態を実施することができる任意の他のコンピュータシステムを、この例で使用されるEDRシステムの代わりに、またはそれに加えて使用することができる。第1のコンピュータネットワークは、セキュリティサービスネットワークに接続される。ここではクラウド3を介してセキュリティバックエンド/サーバ2に接続されている。バックエンド/サーバ2は、第1のコンピュータネットワークに対してセキュリティサービスコンピュータネットワーク上のノードを形成する。セキュリティサービスコンピュータネットワークは、EDRシステムプロバイダによって管理され、ゲートウェイまたは他のインターフェース(図示せず)またはバックエンド2に適した他のネットワーク要素によってクラウド3から分離することができる。また、第1のコンピュータネットワーク1は、ゲートウェイ4または他のインターフェースによってクラウド3から分離されてもよい。他のネットワーク構造も想定される。
第1のコンピュータネットワーク1は、複数の相互接続されたネットワークノード5a~5hから構成され、それぞれがコンピュータ、スマートフォン、タブレット、ラップトップ、または他のネットワーク接続可能なハードウェアなどのコンピュータネットワーク1内の要素を表す。ノードは、本発明の解決策に従って互いに通信することができる。コンピュータネットワークに示される各ネットワークノード5a~5hは、データコレクタまたは「センサ」を含むセキュリティエージェントモジュール6a~6hがインストールされたEDRエンドポイントを表すこともできる。また、セキュリティエージェントモジュールは、ゲートウェイまたは他のインターフェース上など、コンピュータネットワークの任意の他の要素上にインストールされてもよい。セキュリティエージェントモジュール4aは、図1のゲートウェイ4にインストールされている。セキュリティエージェントモジュール6a~6h、4aは、ノード5a~5hまたはゲートウェイ4における様々なタイプのデータを収集し、例えば、プログラムまたはファイルハッシュ、ノード5a~5hに格納されたファイル、ネットワークトラフィックのログ、プロセスログ、メモリから切り出されたバイナリまたはファイル(例えば、DLL、EXE、またはメモリフォレンジックアーティファクト)、および/または、ノード5a~5hまたはゲートウェイ4上で実行されるプログラムまたはスクリプトによって実行される監視アクション(例えば、TCPダンプ)からのログが含まれる。
ネットワークのノードによって収集されたデータは、本発明の解決策に基づいて収集された追加のコンテキストが付けられた検出された異常に関連する情報を含むことができる。収集されたデータは、さらに使用する情報を記憶するために、データベースまたは同様のモデルに記憶されてもよい。アプリケーション/サービス/プロセスの挙動の任意の種類の挙動プロファイル/表現が、セキュリティアプリケーションによってノード5a~5hにおいて、バックエンド/サーバ2および/または第2のサーバにおいて、さらに構築され、データベースに記憶するようにしてもよい。ノード5a~5hおよびサーバ2は、一般的に、ハードドライブ、プロセッサ、およびRAMが設けられる。
セキュリティ侵害またはシステムへの侵入など、セキュリティ脅威の検出および監視を支援することができる任意のタイプのデータが、それらのライフサイクル中にセキュリティエージェントモジュール6a~6h、4aによって収集することができ、観察および収集されるデータのタイプは、EDRシステムのインストール時かまたはEDRバックエンド2からの命令かに応じて、EDRシステムプロバイダによって定義される規則に従って設定することが想定される。本発明の一実施形態では、また、セキュリティエージェントモジュール6a~6hの少なくとも一部は、それ自体で観測および収集されたデータのタイプに関する決定を行う能力を有するようにしてもよい。例えば、セキュリティエージェント6a~6h、4aは、EDRエンドポイント上で実行されているプログラムの挙動に関するデータを収集することができ、新しいプログラムがいつ開始されるかを観察することができる。適切なリソースが利用可能である場合、収集されたデータは、セキュリティエージェントモジュール6a~6h、4aによって、それらのそれぞれのネットワークノードか、または第1のコンピュータネットワーク1上の適切な記憶場所に、永続的にまたは一時的に記憶され得る。
セキュリティエージェントモジュール6a~6h、4aは、それらが収集したデータなどの情報を、本明細書に記載されるように、他のホストなどに、および/またはバックエンドに送信するように設定される。セキュリティエージェントモジュールは、他のホスト及び/又はバックエンド2との間で、例えば、クラウド3を介して命令を送受信することができる。これにより、EDRシステムプロバイダが第1のコンピュータネットワーク1を管理する組織において一定の人員の配置(presence)を維持する必要がなく、EDRシステムを遠隔管理することが可能になる。
本発明の一実施形態では、セキュリティエージェントモジュール6a~6h、4aは、ローカルコンピュータネットワーク1で相互接続された複数のネットワークノード5a~5hのセキュリティエージェントモジュールを含む群知能(スウォームインテリジェンス)ネットワークを構築するように構成することもできる。セキュリティエージェントモジュール6a~6h、4aは、各セキュリティエージェントモジュール6a~6h、4aのそれぞれのネットワークノード5a~5hに関連するデータを収集するので、本発明の解決策に従って、確立された群知能ネットワークにおいて収集されたデータに基づいた情報を共有するようにさらに構成される。群知能ネットワークは、単独でも機能することができる半独立の複数のセキュリティノード(セキュリティエージェントモジュール)から構成される。したがって、群内のインスタンスの数は、十分に変動し得る。また、1つのローカルコンピュータネットワーク内に、互いに連携する複数の接続された群が存在してもよい。
セキュリティエージェントモジュール6a~6h、4aは、それぞれのネットワークノード5a~5hに関連するモデルを生成して適応させるために、内部の群知能ネットワークから受信して収集したデータおよび情報を使用するようにさらに構成される。例えば、既知のセキュリティ脅威が検出された場合、セキュリティエージェントモジュール6a~6h、4aは、内部の群知能ネットワークおよびローカルコンピュータネットワーク内のローカルセンターノード(図示せず)にセキュリティ警告を生成して送信し、検出されたセキュリティ脅威に応答するためのセキュリティ対策をアクティブにするように構成される。さらに、新たな脅威である可能性が非常に高いと推定される異常が識別された場合、セキュリティエージェントモジュール6a~6h、4aは、脅威を検証して阻止し、収集されたデータおよび受信された情報に基づいて新たな脅威モデルを生成し、生成された新たな脅威モデルを内部の群知能ネットワーククおよびローカルセンターノードにおいて共有するように構成される。群知能ネットワークのノードによって収集されたデータは、本発明の解決策に基づいて収集された追加のコンテキストが付けられた検出された異常に関連する情報を含むことができる。
次に、いくつかの実施形態による動作の実用的な例示的なステップについて説明する。
配置:すべてのエージェントは基本的に同じコードベースと、モジュラアーキテクチャ内の異なるコンポーネントをアクティブ化して、それ自体を複製することによって、それらの役割に適応する能力とを有することができるので、十分なアクセス権を有する顧客ネットワーク内に1つの初期エージェントを配置するだけでよく、その後、サーバを発見し、それ自体のコピーを適切な場所にインストールし、群内部通信ネットワークを構築するとともに、バックエンドの更新、報告および通信チャネルの確立を行う。さらに、認証およびその他の必要な問題を考慮する必要がある場合があり、最初の段階では、エージェントを個々のホストに配置するようにしてもよい。
通常動作:エージェントは、自分の環境を継続的に監視し、データを収集し、見たことから学習し、自分のホストとその周囲のモデルを構築する。これらのモデルは、群のノードにわたって共有することができ、例えば、ネットワーク内のあるコンピュータか他のコンピュータかでユーザの挙動を学習するために使用することができる。さらに、抽象的な情報(abstract information)は、プライバシー保護する方法で他のノードまたはバックエンドに送信されてもよい。エージェントは、何が正常であるかを知るためにも準備されるべき上述の学習モデルを利用する。
周知の脅威への対処:周知の脅威または周知の脅威を示す異常のいずれかを検出するエージェントは、上述のように、その群メイト(swarm mates)に即座に状況を警告し、また、それらが非アクティブになる可能性がある脅威に備え、必要に応じて追加のリソースを要求する(新しい仮想エージェントをスピンアップするか、または、情報漏洩(compromise)のリスクがある場合には別のホストから配信させる)ことができる。エージェントがすでに対処する手段を持っている場合には、そのアクションがとられる。検出された異常は、本発明の解決策に従って、他のノードまたはバックエンドに通信することができる。ノードは、例えば、検出関連コンテキストデータおよび脅威に対する対応に関連するデータなどの検出関連データを共有することができる。
新しい脅威への対処:エージェントは、何が正常かを常に学習して、それ自身のノードのデータとその特異性に応じてきめ細かく人員が配置され、新しい脅威を検出するようにも装備される。検出された脅威または異常は、本発明の解決策に従って、他のノードまたはバックエンドに通信することができる。ユーザと対話できるノードの機能は、脅威を検証するために使用され、脅威が確認された場合、それを封じ込めるためのアクションをとるとともに、中央リンクを介して、群メイトと他の顧客の両方に既知の言語で配布される新しい脅威モデルを構築する。いくつかの実施形態では、脅威のリスクが非常に大きいと判断され、最終決定を待つ前に自律的に封じ込める措置も取ることができる。自律アクションの程度は、必要に応じて常に調整することができる。また、コネクティブモデルは、必要に応じて人間の専門家の助けを求めることも可能にする。
新しい脅威の無力化:また、エージェントは、安全な環境と封じ込めのために利用することができるサンドボックス機能を含んでもよく、漸進的なアプローチを利用して、新しい脅威を無力化する方法(試行-評価-変異-再試行)を検出し、さらに、そのような脅威の挙動をより詳細に理解し、その情報をさらに伝達することを可能にする。
新しい脅威知識の共有:新しい脅威が識別されると、それらは、エージェントを横断して、集中的に、かつそこから他の顧客にも共有するために内部言語表現に符号化され、プライバシー保護方式ですべての顧客の最適な保護を保証する。
バックエンドの準備:動作中、常に、イベントおよび脅威の両方に関する情報を抽象化し、バックエンドに送信することができる。これは、バックエンド「ラボラトリ」が安全な(サンドボックスのような)環境において、より効果的な防御ツールに関する実験を継続することを可能にし、多数の個々のインテリジェントセンサから送信されたデータの更なる相関および分析を提供する。
図4は、一実施形態による脅威制御方法の一例を示すフロー図である。
S201において、第1のノードによって、第1のノードにおける、例えば、異常または悪意のある挙動、デジタルオブジェクトおよび/またはコンテキストに関連するセキュリティ脅威を検出する。
S202において、検出されたセキュリティ脅威に関する第1のノードで、コンテキスト情報を収集する。
S203において、少なくとも1つの検出されたセキュリティ脅威および収集されたコンテキスト情報を少なくとも第2のノードに報告する。
S204において、第2のノードで、セキュリティ脅威に関する受信された情報を分析し、第2のノードで、分析に関するコンテキスト情報を収集する。
S205において、追加された分析および第2のノードから収集されたコンテキスト情報と一緒に、脅威に関連する情報を少なくとも1つの更なるノードまたはバックエンドに送信する。
一実施形態では、監視されたイベントのうちの疑わしいイベントが使用される1つまたは複数の検出メカニズムによって検出することができる。一実施形態では、疑わしいイベントを検出するために使用される検出メカニズムが、機械学習モデル、スキャンエンジン、ヒューリスティックルール、統計的異常検出、ファジー論理ベースのモデル、任意の所定のルールのうちの少なくとも1つを使用することを含んでもよい。
一実施形態では、アラート、ステータス、および他の関連エンティティに関する情報は、情報がコンピュータシステムおよび人間の専門家の両方によって解釈することが可能になるように、少なくとも1つの言語モデルを使用することによって共有される。
上述のように、システムで使用される脅威検出モデル(例えば、EDR)は実際には、トレーニングデータセットを使用してトレーニングされたニューラルネットワーク、正確なルールまたはヒューリスティックルール(例えば、ハードコーディングしたロジック)、ファジー論理ベースのモデリング、および統計的推論ベースのモデリングのうちの1つ以上の要素であってもよく、または、それらの要素を組み合わせてもよい。脅威検出モデルは、特定のパターン、ファイル、プロセス、接続部、およびプロセス間の依存関係を考慮に入れるように定義され得る。
以上、本発明を好ましい実施形態について説明したが、これらの実施形態は例示に過ぎず、特許請求の範囲はこれらの実施形態に限定されないことを理解されたい。当業者は、添付の特許請求の範囲内にあると考えられる開示を考慮して、修正および代替を行うことができるであろう。本明細書に開示または例示される各特徴は、単独で、または本明細書に開示または例示される任意の他の特徴との任意の適切な組み合わせで、本発明に組み込まれ得る。上記の説明において提供される例のリストおよびグループは特に明記しない限り、網羅的ではない。
Claims (16)
- コンピュータネットワークにおける脅威検出の方法であって、
第1のノードにおける異常または悪意のある挙動、デジタルオブジェクトおよび/またはコンテキストに関するセキュリティ脅威を前記第1のノードで検出し、
前記検出されたセキュリティ脅威に関連する前記第1のノードにおいてコンテキスト情報を収集し、
少なくとも1つの前記検出されたセキュリティ脅威および前記収集されたコンテキスト情報を少なくとも第2のノードに報告し、
前記第2のノードで受信された前記セキュリティ脅威に関する情報を分析し、前記第2のノードで前記分析に関するコンテキスト情報を収集し、
追加された分析および収集されたコンテキスト情報とともに前記脅威に関連する情報を、前記第2のノードから少なくとも1つの更なるノードまたはバックエンドに送信する方法。 - 前記受信された情報が分析され、前記検出された脅威が特定されたか、前記検出されたアイテムが検出されたノード以外のノードに影響を及ぼさなくなったか、および/または、前記収集された情報は状況が事実上誤検出であることが明らかになった場合のように調査が必要とされなくなるまで、更なるノードまたはバックエンドに送信される請求項1に記載の方法。
- 前記情報がブロードキャストで送信される前記第2のノードまたは更なるノードは、ネイバーのホスト、および/またはバックエンドホストまたはバックエンドシステムなどの別のホストである請求項1または請求項2に記載の方法。
- 前記検出されたセキュリティ脅威に関するデータは、特定のノードの情報を含み、前記情報が送信される前記第2のノードまたは更なるノードは、前記検出されたセキュリティ脅威に関するデータにおいて参照される前記特定のノードである請求項1~3のいずれか1項に記載の方法。
- 前記検出されたセキュリティ脅威に関するデータは、利用されている特定のアプリケーションの情報を含み、前記情報が送信される前記第2のノードまたは更なるノードは、前記特定のアプリケーションがインストールされている少なくとも1つのノードを含む請求項1~4のいずれか1項に記載の方法。
- 前記検出されたセキュリティ脅威に関連するデータが、予期しない挙動をとるユーザを示す場合、前記ノードはユーザレベルの異常に関する情報を有するブロードキャストメッセージを他のノードに発信し、予期しない挙動をとる前記ユーザについて前記更なるノードによってさらに追跡を行うことができるようにする請求項1~5のいずれか1項に記載の方法。
- 前記データが送信される前記第2のノードまたは更なるノードは、特定のIPアドレスを有するノードまたは特定のIPアドレス範囲にあるノードか、および/または特定のユーザからのアクティビティを見たノードであるか、および/または特定のアセットidを有するノードである請求項1~6のいずれか1項に記載の方法。
- 前記コンテキスト情報は、前記検出された脅威に対する一意の識別子および/または前記情報を送信した前記ノードの情報を含む請求項1~7のいずれか1項に記載の方法。
- 前記コンテキスト情報は、前記セキュリティ脅威の検出を導く一連のアクティビティを含む請求項1~8のいずれか1項に記載の方法。
- 検出されたセキュリティ脅威に関する情報および前記収集されたコンテキスト情報を別のホストから受信する前記更なるノードが、分析データが少なくとも1つの他のホストまたはバックエンドに送られる前に、該コンテキスト情報であってリードまたは初期コンテキストを含む情報を追加する請求項1~9のいずれか1項に記載の方法。
- 前記セキュリティ脅威は、ノードにおいて識別され、不正なプロセス、ユーザ、アプリケーション、またはファイルのような疑わしいエンティティを識別するために、ローカルな異常検出メカニズムのような検出メカニズムを実装するように構成された前記ノードに設けられた少なくとも1つのセンサによって、識別される請求項1~10のいずれか1項に記載の方法。
- 前記セキュリティ脅威を分析する前記ノードは、データ収集およびデータ提出レベルを増加させるために、前記ノードのネイバーに命令をブロードキャストで送信する請求項1~11のいずれか1項に記載の方法。
- 少なくとも2つのノードを備えるコンピュータネットワークを備えるシステムであって、前記ノードは、異常または悪意のある挙動、デジタルオブジェクト、および/またはコンテキストに関するセキュリティ脅威を前記ノードで検出するように構成され、
前記システムにおいて、第1の前記ノードは前記第1のノードにおけるセキュリティ脅威を検出し、前記検出されたセキュリティ脅威に関連する前記第1のノードにおけるコンテキスト情報を収集するように構成され、
前記第1のノードは、少なくとも1つの検出されたセキュリティ脅威および前記収集されたコンテキスト情報を少なくとも第2のノードに報告するようにさらに構成され、
前記第2のノードは、前記セキュリティ脅威に関連する前記受信された情報を分析し、前記第2のノードにおける前記分析に関連するコンテキスト情報を収集するように構成され、
前記第2のノードは、さらに、追加された分析および前記第2のノードから収集されたコンテキストとともに前記脅威に関連する情報を、少なくとも1つの更なるノードまたはバックエンドに送るシステム。 - 請求項2~12のいずれか1項に記載の方法を実施するように構成される請求項13に記載のシステム。
- コンピュータによって実行することにより、請求項1~12のいずれか1項に記載の方法をコンピュータに実行させる命令を含むコンピュータプログラム。
- 請求項15に記載のコンピュータプログラムを含む、コンピュータ読み取り可能な媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP21199717.6 | 2021-09-29 | ||
EP21199717.6A EP4160983A1 (en) | 2021-09-29 | 2021-09-29 | Threat control method and system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023050189A true JP2023050189A (ja) | 2023-04-10 |
Family
ID=78087013
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022156234A Pending JP2023050189A (ja) | 2021-09-29 | 2022-09-29 | 脅威制御方法およびシステム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230097370A1 (ja) |
EP (1) | EP4160983A1 (ja) |
JP (1) | JP2023050189A (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11841945B1 (en) * | 2022-01-31 | 2023-12-12 | Wiz, Inc. | System and method for cybersecurity threat detection utilizing static and runtime data |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090254970A1 (en) * | 2008-04-04 | 2009-10-08 | Avaya Inc. | Multi-tier security event correlation and mitigation |
US10757121B2 (en) * | 2016-03-25 | 2020-08-25 | Cisco Technology, Inc. | Distributed anomaly detection management |
FR3095313A1 (fr) * | 2019-04-18 | 2020-10-23 | Orange | Procédé et dispositif de traitement d’un message d’alerte notifiant une anomalie détectée dans un trafic émis via un réseau |
-
2021
- 2021-09-29 EP EP21199717.6A patent/EP4160983A1/en active Pending
-
2022
- 2022-09-29 US US17/956,470 patent/US20230097370A1/en active Pending
- 2022-09-29 JP JP2022156234A patent/JP2023050189A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
US20230097370A1 (en) | 2023-03-30 |
EP4160983A1 (en) | 2023-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11973774B2 (en) | Multi-stage anomaly detection for process chains in multi-host environments | |
US11522887B2 (en) | Artificial intelligence controller orchestrating network components for a cyber threat defense | |
Wani et al. | SDN‐based intrusion detection system for IoT using deep learning classifier (IDSIoT‐SDL) | |
US11606368B2 (en) | Threat control method and system | |
US20210273953A1 (en) | ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT | |
Bijone | A survey on secure network: intrusion detection & prevention approaches | |
US20200244673A1 (en) | Multivariate network structure anomaly detector | |
US20220360597A1 (en) | Cyber security system utilizing interactions between detected and hypothesize cyber-incidents | |
US20220159020A1 (en) | Network protection | |
US20230336581A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
US20230132703A1 (en) | Capturing Importance In A Network Using Graph Theory | |
EP4154136A1 (en) | Endpoint client sensors for extending network visibility | |
WO2023283357A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
JP2023050189A (ja) | 脅威制御方法およびシステム | |
Noor et al. | An intelligent context-aware threat detection and response model for smart cyber-physical systems | |
Karande et al. | Real-time detection of cyber attacks on the IoT devices | |
Wei et al. | Comparing Malware Attack Detection using Machine Learning Techniques in IoT Network Traffic | |
CA3226148A1 (en) | Cyber security system utilizing interactions between detected and hypothesize cyber-incidents | |
GB2581989A (en) | Network protection | |
EP4012999A1 (en) | Method of threat detection in a threat detection network and threat detection network | |
Latha et al. | An analysis of Intrusion detection systems in IIoT | |
US20230275908A1 (en) | Thumbprinting security incidents via graph embeddings | |
Kendrick et al. | Multi-agent systems for dynamic forensic investigation | |
Nguyen et al. | Cyberattack detection and prevention on resource-constrained IoT devices based on intelligent agents | |
Mouta et al. | SPATIO: end-uSer Protection Against ioT IntrusiOns |