JP2023520165A - サイバー・セキュリティ・システム及び方法 - Google Patents
サイバー・セキュリティ・システム及び方法 Download PDFInfo
- Publication number
- JP2023520165A JP2023520165A JP2022556107A JP2022556107A JP2023520165A JP 2023520165 A JP2023520165 A JP 2023520165A JP 2022556107 A JP2022556107 A JP 2022556107A JP 2022556107 A JP2022556107 A JP 2022556107A JP 2023520165 A JP2023520165 A JP 2023520165A
- Authority
- JP
- Japan
- Prior art keywords
- identity
- compute cluster
- data
- behavioral
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 44
- 230000003542 behavioural effect Effects 0.000 claims abstract description 74
- 230000000694 effects Effects 0.000 claims abstract description 18
- 230000004044 response Effects 0.000 claims description 4
- 238000003058 natural language processing Methods 0.000 claims description 3
- 238000000513 principal component analysis Methods 0.000 claims description 3
- 238000012502 risk assessment Methods 0.000 claims description 2
- 238000010304 firing Methods 0.000 claims 4
- 230000008520 organization Effects 0.000 abstract description 21
- 230000015654 memory Effects 0.000 description 23
- 230000008569 process Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 12
- 230000000875 corresponding effect Effects 0.000 description 11
- 230000002085 persistent effect Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 235000014510 cooky Nutrition 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000009466 transformation Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 206010011878 Deafness Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011012 sanitization Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013403 standard screening design Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
サイバー・セキュリティ・システムが、組織の従業員に基づいて組織のコンピュータ・システムのサイバー・セキュリティを評価するためのビヘイビアル・フレームワークを作成する。システムは、オフライン及びオンライン個人アイデンティティ情報を活用し、次いで、プライバシーを保護するためにこのデータを匿名識別子に変換する。それらの識別子は、アイデンティティ・グラフから、ビヘイビアル・データを含むデータを引き出すために使用される。企業間アイデンティティ・グラフが、ターゲットにされるコンピュータ・システムを維持する組織の名前を、従業員の匿名識別子と相関させる。オンライン・アクティビティが、ユーザ・ブラウザによってアクセスされるウェブサイトから発火されたピクセルによって集められ、1つ又は複数のリモート・サーバによって集められる。
Description
本出願は、2020年3月19日に出願された「Cyber Security System」と題する米国仮特許出願第62/991,672号の利益を主張する。上記の出願は、その全体が参照により本明細書に組み込まれる。
「フィッシング」攻撃は、社会工学のある形態である。一般に、その攻撃に関与する人は、電子メール又は他の電子メッセージを送信し、これは、パスワード又は金融データなどのプライベート情報を公開するように、そのメッセージを受信する人を不正に誘導することを目的とする。メッセージの送信側は、しばしば、ターゲットの人の雇用主における重役、又は金融機関など、信用できる人又はエンティティを装う。しばしば、メッセージは、ウェブサイトへのリンクを含んでいることがあり、これは、メッセージを受信する人をだましてそのサイトにおいてプライベート情報を入れさせるために、合法サイトと極めて同様に見え得る。他の場合には、リンクは、ターゲットの個人のコンピューティング・デバイス上にマルウェアを自動的にインストールするウェブサイトにつながり得る。フィッシング攻撃は、攻撃の目的が、メッセージを受信する人を欺いてプライベート情報を自発的に公開させることであるので、最初は、攻撃者が、受信側のコンピュータ・システム又はネットワークによって設けられたセキュリティ対策を実際に破ることを必要としない。このようにして公開された情報がパスワードを含む場合、攻撃者は、それにより、不正に取得された情報を用いて受信側のコンピュータ・システムにアクセスし得る。アクセスが獲得されると、攻撃者は、プライベート情報を盗むか、マルウェアをインストールするか、又はランサムウェア攻撃に関与し得る。
企業(business)においてフィッシング攻撃をなくす試みは、概して、技術的解決策又は従業員教育の取り組みを伴う。技術的解決策は、たとえば、外部送信側からの電子メールにおいて現れる警告メッセージを含み得、その目的は、スーパーバイザー又はIT人員など、組織の従業員からのものであるように見え得るが、実際は別のソースから発生したメッセージをハイライトすることである。しかしながら、電子メール・システムは、これらの種類の攻撃を念頭に置いて設計されておらず、したがって、問題の完全な技術的解決策はない。別の手法は、コンピュータ・システム管理者が、それ自体のフィッシング攻撃を起動し、その攻撃によってだまされたシステムのユーザに、追加のトレーニングについてフラグを付けることである。多くの組織は、すべての従業員が、年間のトレーニング要件など、フィッシング攻撃及び他のサイバー・セキュリティ・リスクを識別するための少なくともあるレベルのトレーニングを受けることを必要とする。とはいえ、従業員教育の取り組みは、個々の従業員がフィッシング攻撃によってだまされ得る可能性を少なくし得るが、攻撃者は、所望の情報を獲得するために単一の人をだますだけでよく、したがって、障害のリスクは、組織のコンピュータ・ネットワークへのアクセスを有する従業員の数に比例して増大する。フィッシング攻撃に対するリスクがある可能性が最も高い従業員を識別することが可能な技術システムを提供し、組織が直面する脅威に比例する応答が準備され得るように全体としての組織に対するリスクを評価することが望ましいであろう。
この背景技術のセクションにおいて述べられる言及は、本発明に関して従来技術であると認められるものではない。
いくつかの実装形態では、本発明は、(大きい会社又は他の組織における従業員などの)コンピュータ・システムのユーザの任意の特定のグループが、それらのユーザのうちの1人又は複数に向けられたフィッシング攻撃の場合に表す、リスクの定量化可能な測度を提供するためのシステム及び方法を対象とする。本発明を実装するためのシステムは、1つ又は複数のアイデンティティ(identity)グラフを利用する。アイデンティティ・グラフは、たとえば、消費者及び企業など、エンティティと照合される識別子を含んでいる大きいデータ構造である。アイデンティティ・グラフは、一般に、個人情報、人口統計学的情報、ファーモグラフィック(firmographic)情報、傾向(propensity)又は消費データなど、識別子に関連付けられた多くの追加情報を含んでいる。
いくつかの実装形態では、本発明を実装するためのシステムは、オフライン・アイデンティティ・グラフ(すなわち、店内購入品など、オフライン個人及び消費データをもつアイデンティティ・グラフ)と、オンライン・アイデンティティ・グラフ(すなわち、オンライン購入品、ブラウジング履歴、及び電子メール・アドレスなど、オンライン・データをもつアイデンティティ・グラフ)と、企業間(B2B:business-to-business)アイデンティティ・グラフ(すなわち、企業と最終消費者との間ではなく、企業間の商取引のために使用されるデータをもつグラフ)とを利用し得る。本方法は、対象ユーザについての(個人識別可能データ(personally identifiable data)又はPIIなどの)オフライン・アイデンティティ情報並びにオンライン・アイデンティティ情報を利用し、次いで、このデータを匿名識別子に変換して、これらの個人のプライバシーを保護する。匿名識別子は、PIIを含んでおらず、PIIが匿名識別子から導出されることを可能にしない様式で生成される。匿名識別子は変換プロセスを通して生成され、変換プロセスは、PIIを仮名識別子に変換し、仮名識別子を、オンライン・アイデンティティ・グラフにおいて見つけられるものなど、個人に関する他のオンライン又は匿名信号に接続する。このオンライン・アイデンティティ・グラフはまた、限定はしないが、サイコグラフィック(psychographic)データ、人口統計学的データ、及びビヘイビアル(behavioral)データを含む、データ・プロバイダの市場からの他のビヘイビアル・データに匿名識別子をひも付けることができる。
他の実装形態では、受動ビュー(passive view)が、B2Bアイデンティティ・グラフを通して提供される。それは、ターゲットにされるコンピュータ・システムを維持する組織の名前を、その組織に関連付けられた従業員又は他のユーザの匿名識別子を用いて受動的に及び自動的に変換する。B2Bアイデンティティ・グラフは、企業エンティティに各々対応するノードを含んでおり、特定の地理的な又は法律上の領域中の特定のセグメント内の企業エンティティについてのノードの実質的に包括的なセットを含んでいることがある。オンライン・アクティビティが、ユーザ・ブラウザによってアクセスされるウェブサイトから発火されたピクセルによって集められ、1つ又は複数のリモート・サーバによって集められる。オンライン・アクティビティとオフライン・アクティビティとを組み合わせることと、(匿名識別子を介して)個人と照合することとによって、システムは、そのような個人のプライバシーを危険にさらすことなしに、及びユーザに関する個人情報をコンピュータ・システム管理者に公開することなしに、コンピュータ・システムの個人ユーザについてビヘイビアル・フレームワークを作成することが可能である。
識別されるビヘイビアル・トレイト(trait)を使用して、実装形態は、次いで、個人ユーザに関連付けられた、及び全体としてのコンピュータ・システムについてのリスク・ファクタを算出する。さらに、いくつかの組織のコンピュータ・システムについてのそのようなデータを集めることによって、実装形態は、たとえば、同様の分野における組織、同様のサイズの組織、同じ法的管轄における組織、又は会社がセグメント化され得る任意の他の手段を含む、他の組織が直面するサイバー・リスクと比較された、ある組織が直面するサイバー・リスクの比較測度を提供し得る。
識別されるビヘイビアル・トレイト(trait)を使用して、実装形態は、次いで、個人ユーザに関連付けられた、及び全体としてのコンピュータ・システムについてのリスク・ファクタを算出する。さらに、いくつかの組織のコンピュータ・システムについてのそのようなデータを集めることによって、実装形態は、たとえば、同様の分野における組織、同様のサイズの組織、同じ法的管轄における組織、又は会社がセグメント化され得る任意の他の手段を含む、他の組織が直面するサイバー・リスクと比較された、ある組織が直面するサイバー・リスクの比較測度を提供し得る。
いくつかの実装形態では、本発明は、コンピュータ・ネットワークの管理者が、フィッシング攻撃、内部脅威又は他の関係する戦術など、サイバー・セキュリティ問題点に対するリスクのシステムのレベルを理解することを可能にする。それはまた、コンピュータ・ネットワークに対するそのような攻撃のリスクを低減するために、管理者が、あるユーザにとってアクセス可能なあるアクセス又は特徴を制限することを可能にし得る。同様に、本発明は、管理者が、或いはサイバー保険プロバイダ又は企業パートナーのような他の利害関係者が、全体としてのコンピュータ・ユーザによってではなく、システムの特定のユーザによって提示されるリスクを知ることによって、概して、コンピュータ・ネットワークに対する成功したフィッシング攻撃のリスクのより良い全体的検知を獲得することを可能にし、それにより、適切な安全措置が、リスクのレベルに対応して実装されることを可能にする。管理者は、この知識に基づいて、たとえば、ハイリスクのユーザについてのターゲットにされるトレーニングを作成することによって行動し得る。本発明はまた、フィッシング及びサイバー・セキュリティ文化の周りのサイバー・リスク査定におけるデータ・ポイントとして働くことができる。従来の方法を使用してこれらの属性を査定することは、それが、査定している会社と査定されているベンダーとの間の非効率的な通信に依拠するので、極めて時間がかかる。さらに、従来の方法はまた、アンケート・プロセスを通してターゲット会社によって自動アサートされた主観的データ・ポイントに依拠する。システムが、B2Bアイデンティティ・グラフ並びにビヘイビアル・フレームワーク・アルゴリズムのようなデータ・アセットに依拠する場合、セキュリティ管理者が報告を受信し、サイバー脅威を区別するために、これらのサイバー・リスク・メトリックに対する公平な洞察が瞬時に及び連続的に生成され得る。本システム及び方法の様々な実装形態は、結果を生成するために1か月から四半期程度かかることがあり、そのときまでに、任意のアクションがとられ得る前に違反がすでに行われていることがある、サイバー・リスク産業における現在の方法からの所用時間(turnaround)における著しい改善を表す。
本発明のこれらの及び他の特徴、目的並びに利点は、含まれる図面とともに、好ましい実施例の以下の詳細な説明、及び添付の特許請求の範囲を考慮するとより良く理解されるようになるであろう。
本発明がさらに詳細に説明される前に、本発明の範囲は特許請求の範囲によってのみ限定されるので、本発明が、説明される特定の実施例に限定されないこと、並びに特定の実施例を説明する際に使用される用語が、それらの特定の実施例を説明するためのものにすぎず、限定するものではないことを理解されたい。
図1を参照すると、本発明の一実装形態によるシステム及び方法が説明され得る。アイデンティティ・プラットフォーム10が、従業員データ・ファイルを、サイバー・セキュリティ・リスクに関連のある従業員に関して集められた様々な他のデータと照合するように動作可能なハードウェア及びソフトウェアを備える。アイデンティティ・サービス・プロバイダのために必要な情報は、サービスを利用する様々な会社及びそれらの従業員によって維持されるサーバを含む、パートナー・プラットフォーム12の様々な構成要素から集められ、それらは、デスクトップ・コンピュータ及びスマートフォンなど、それらの様々な電子デバイスを通して働く。さらに、情報は、ウェブ・ブラウジング・アクティビティに関して、ドメイン・ネーム・サービス(DNS:domain name service)プラットフォーム16におけるDNSサーバから、インターネットにわたって提供される。さらに、ビヘイビアル・データ・プラットフォーム18が、アイデンティティ・プラットフォーム10にビヘイビアル・データを提供する。サイバー・セキュリティ・スコア・プラットフォーム14が、アイデンティティ・プラットフォーム10からの匿名化された情報を利用して、サイバー・セキュリティ・スコアを生成する。このスコアは、スコアリング・プラットフォーム14によって計算された前のスコアに応答した、パートナー・プラットフォーム12からのフィードバック・データの将来の提供を使用して継続的に更新され得、これは、次いで、スコアリング・プラットフォーム14による更新されたスコアの生成を生じ得る。
次に図2を参照すると、パートナー・プラットフォーム12がより詳細に説明され得る。1つのパートナー・プラットフォーム12のみが本明細書で示されているが、本発明が、任意の数のパートナー・プラットフォーム12とともに使用可能であることを理解されたい。事実上、本発明は、多くのパートナー・プラットフォーム12を伴う使用について想定され、パートナー・プラットフォーム12の各々は、本発明によって提供されるサイバー・セキュリティ・リスク・スコアリングを別々に利用することが可能である。これらの会社の従業員は、名前、物理アドレス、電話番号、及び電子メール・アドレスなど、様々な個人識別可能情報(PII:personally identifiable information)を有する。この情報は企業に知られており、パートナーPIIデータベース106において記憶される。同時に、様々なデジタル・デバイスを使用する従業員(彼らの雇用主の企業に関与するとき、又はそれ以外のいずれか)は、ウェブ・ブラウジングなどのアクティビティを通してデジタル情報を生成している。このアクティビティは、従業員のブラウザ上に設定されたクッキー、従業員に関連付けられたIPアドレス、又はモバイル・デバイス識別子(モバイルID)のような手段を通して個々の従業員に関連付けられる。個人データは、スマートフォン102及びパーソナル・コンピュータ104など、従業員が動作させる(employee-operated)電子デバイスから受信され得る。この情報は、パートナーPIIデータベース106と電子通信している、パートナーネットワーク100を通して提供される。さらに、IP/クッキー情報は、パーソナル・コンピュータ104からアイデンティティ・プラットフォーム10に提供される。同様に、IP/クッキー/モバイルIDデータは、スマートフォン102からアイデンティティ・プラットフォーム10に提供される。これらのソースからのデバイス・ビヘイビアル・データは、ビヘイビアル・データ・プラットフォーム18に提供される。パートナーネットワーク100は、ビヘイビアル・データ・プラットフォーム18にファーモグラフィック・データを提供する。ファーモグラフィック・データは、たとえば、組織のサイズ、収益、産業、及び事業拠点に関する情報を含み、それは、会社が様々な目的で有意味なセグメントに分割されることを可能にする。
図3に示されているように、インターネット・フレームワーク内で動作するDNSサーバ200が、IPデータを処理し、データを企業IPデータ・プロバイダに提供する。DNSプラットフォーム16が、人間が読み取れるドメイン名を、インターネット上のアドレス指定アクティビティのためにコンピュータによって使用されるインターネット・プロトコル(IP:Internet Protocol)アドレスにコンバートするための能力を提供する。3つのDNSサーバ200が示されているが、インターネット・バックボーンが多くのDNSサーバを含むことを理解されよう。IPデータ・プロバイダ・サーバ202306
がDNSデータを受信し、アイデンティティ・プラットフォーム10によって使用されるIPデータを出力する。
がDNSデータを受信し、アイデンティティ・プラットフォーム10によって使用されるIPデータを出力する。
図4は、ビヘイビアル・データ・プラットフォーム18についてのコンピューティング構成要素をより詳細に示す。ビヘイビアル・データ・プロバイダ・サーバ306に供給されるデータの複数のサードパーティ・ソースがある。これらは、モデル化データ・データベース300からのモデル化データ(すなわち、ビヘイビアル・モデルに基づく知られているデータから推論されるデータ)と、定性データ・データベース302からの定性データと、調査ベース・データ・データベース304からの調査ベース・データ(ユーザ調査だけでなく、限定はしないが、保証登録など、他のソースからも集められた含まれるデータ)とを含む。この生ビヘイビアル・データは、処理のためにビヘイビアル・データ・プロバイダ・サーバ306に送信される。ビヘイビアル・データ・プロバイダ・サーバ306は、次いで、ビヘイビアル・データをアイデンティティ・プラットフォーム10に出力する。
さらに、ビヘイビアル・データ・プロバイダ・サーバ306は、1つ又は複数のファーム(firm)の従業員に関係する、及びそのような従業員の各々に関連付けられた、データのデータベースを維持し得、すべての可能な従業員の母集団にわたるそのような従業員に固有である識別子又は「リンク」であり得る。このリンクは、名前、アドレス、又は他のそのような識別情報に関してあいまいさがあり得るにもかかわらず、従業員を一意に識別するために使用される。このリンクは、それが匿名であるように、すなわち、PIIが、リンク自体とともに関連付けられた非PIIデータによって開示されないように生成され得る。ビヘイビアル・データ・プロバイダ・サーバ306は、照合の目的で、対応する従業員を識別するのを助けるために、ビヘイビアル・データ・プロバイダ・サーバ306がアイデンティティ・プラットフォーム10に送信するビヘイビアル・データとともに、これらの匿名リンクを提供し得る。
次に図5を参照すると、アイデンティティ・プラットフォーム10のハードウェア/ソフトウェア・コンピューティング構成要素が説明され得る。これらの構成要素は、従業員アイデンティティ・コンピュート・クラスタ402と、ビヘイビアル・アイデンティティ・コンピュート・クラスタ404と、ピクセル・サービス・クラスタ400とを含む。これらのクラスタの各々は、たとえば、複数のリンクされたデータベースがその中に組み込まれた複数のコンピューティング・プラットフォームからなり得る。従業員アイデンティティ・コンピュート・クラスタ402は、パートナー・プラットフォーム12からPIIデータを受信し、従業員についてのアイデンティティ解決の目的でこのデータを使用する。ビヘイビアル・アイデンティティ・コンピュート・クラスタ404は、ビヘイビアル・データ・プラットフォーム18からビヘイビアル・データを受信し、従業員のビヘイビアル特性を、従業員アイデンティティ・コンピュート・クラスタ402によって提供されるそれらの従業員の解決されたアイデンティティに関連付ける目的でこのデータを使用する。ピクセル・サービス・コンピュート・クラスタ400は、パートナー・プラットフォーム12から、従業員からのデバイス・データを含むデジタル・データ、並びに従業員によるウェブ・ブラウジングを示す情報を受信する。これは、たとえば、従業員によって訪問されるウェブ・ページ中のトラッキング・ウェブ・ビーコン/ピクセルから集められるデータと、従業員のブラウザ上に設定されたクッキーから集められる情報とを含み得る。従業員アイデンティティ・コンピュート・クラスタ402と、ビヘイビアル・アイデンティティ・コンピュート・クラスタ404と、ピクセル・サービス・コンピュート・クラスタ400との間の通信によって、対応するデータのすべてが、従業員と照合される。PIIが識別及び照合目的で使用されると、従業員アイデンティティ・コンピュート・クラスタ402は、すべてのPIIを取り去り、従業員のプライバシーを保護するために匿名識別子を従業員に対応するデータの各レコードに割り当てる。PIIはアイデンティティ・プラットフォーム10の外部に送信されず、したがって、データが通信ネットワークにわたる移動中に傍受されることによる、プライバシーの損失のリスクがない。
アイデンティティ・プラットフォーム10は、たとえば、ビヘイビアル・アイデンティティ・コンピュート・クラスタ404と通信している企業間(B2B)アイデンティティ・グラフ406をさらに含み得る。B2Bアイデンティティ・グラフ406は複数の論理ノードを含み得、ノードの各々は企業エンティティに対応し、特定の領域内のセグメントの実質的にすべての企業エンティティについてノードが存在する。B2Bアイデンティティ・グラフ406を利用することによって、ビヘイビアル・アイデンティティ・コンピュート・クラスタ404は、アイデンティティ・プラットフォーム10の相互通信構成要素において受信されたデータを、B2Bアイデンティティ・グラフ406と比較することによって、複数の企業についてのアイデンティティ解決を実施するように構成される。
次に図6を参照すると、スコアリング・プラットフォーム14の構成要素が説明され得る。リスク・スコアリング・コンピュート・クラスタ500が、ピクセル・サービス・コンピュート・クラスタ400と、従業員アイデンティティ・コンピュート・クラスタ402と、ビヘイビアル・アイデンティティ・コンピュート・クラスタ404とから入力を受信する。この情報は、プロセスの前の部分を通して集められ、フィルタ処理され、照合され、コンソリデートされた従業員情報を含む。リスク・スコアリング・システム・クラスタ500は、次いで、このデータを使用して、組織についてのサイバー・セキュリティ・スコアと、付随する報告とを作成する。
従業員企業アイデンティティ・グラフを生成するために、システムは、会社/組織の名前とそれの関連するIPアドレスとの間の接続を引き出す。次いで、システムは、どの個々のアイデンティティ又は「従業員」がそのIPアドレスに著しく関連付けられるかを決定する。得られたグラフは、PII、オンライン識別子、及び/又はオフライン識別子を取り入れ、それらを仮名識別子に変換することが可能であり、次いで、仮名識別子はIPアドレスにリンクされる。IPアドレスが企業エンティティに属し、ユーザが企業IPと著しく相関される場合、その個人は従業員として分類される。次に、これらの接続は、組織と匿名個人とのシングル・ビューを形成するためにコンソリデートされ、それらの関連付けられたビヘイビアル・セグメントが識別される。次いで、ビヘイビアル・データからの関連のあるセグメントが、セグメントの名前を、サイバー・リスクに関連付けられると決定された選択されたセグメントのデータベースと文字列照合(string matching)することによって、又は名前自体に対して自然言語プロセス(NLP)モデリングを実施することによってのいずれかで、スコアを作るために選択される。
5つの匿名識別子よりも少ない匿名識別子が組織にひも付けられた組織は、プライバシー目的で、データベースからサニタイズ(sanitize)され、さらに処理されない。最終的なサイバー・リスク・スコアを決定するために使用されるセグメント比は、その特定のセグメントにおける組織における匿名識別子の数を、その組織にひも付けられた匿名識別子の総数で除算したものを決定することによって計算される。次いで、セグメント・グループ化が、セキュア又は非セキュア・サイバー慣習とのセグメントの整合に応じて、負及び正の乗法的重みをすべての比に適用することによって実施される。これらのセグメント、及びそれらの対応する比は、次いで、セグメント及びトレイト・ペアのキーバリュー型データベース(key-value database)との文字列照合を介して、又はクラスタリング(すなわち、主成分分析)を介して、以下のサイバー・リスク・トレイト、すなわち、金融リスク・テイキング、ソーシャル・リスク・テイキング、レクリエーション・リスク・テイキング、勤勉性、神経症傾向、開放性、協調性、外向性、及び意思決定にグループ化される。次いで、トレイト・スコアが、関連のあるセグメント比に対して重み付き和を実施することによって算出される。このスコア算出では、これらの重みは、特徴重要度を実施することによって決定され、フィードバック・ループを介して継続的に改善される。トレイト、及びそれらの対応するトレイト・スコアは、次いで、キーバリュー型データベース・トレイト及びビヘイビア・ペアとの文字列照合を介して、又はクラスタリングを介して、以下のビヘイビアル・バケット、すなわち、意思決定、パーソナリティ、及びリスク傾向にカテゴリー分類される。ビヘイビア・スコア全体が、トレイト・スコアにわたって重み付き和を実施することによって算出される。
たった今説明されたスコア算出では、重みは、特徴重要度によって決定され、フィードバック・ループ504を介して継続的に改善される。これらのトレイト・スコアは、次いで、別の重み付き和と、特徴重要度を実施することによって決定され、フィードバック・ループ504を介して継続的に改善された重みとを通してプッシュされて、リスク・スコアリング・コンピュート・クラスタ500においてリスク・スコア全体を算出する。これらのスコアは、次いで、zスコアを算出するために、定期的にサンプリングされる会社のベースライン・グループに対して正規化される。zスコアは、最終サイバー・セキュリティ・スコア及び報告502を作るために1000ポイント・モデル(thousand point model)にスケーリングされる。
図7~図13を参照しながら、次に、リスク・スコアリング・コンピュート・クラスタ500における処理のためのフローが、より詳細に説明され得る。会社ビュー・プロセス600において処理の第1のステップが行われ、会社ビュー・プロセス600のサブステップが、図8においてより詳細に示されている。会社ビューを構築するサブステップ700が、前に説明されたように、従業員ポータル及びピクセル・サービスから情報をとって、組織と組織に関連付けられた匿名個人(たとえば、組織の従業員)とのシングル・ビューを作成する。会社ビューを拡大するサブステップ702において、ビヘイビアル・データが、アイデンティティ解決を通して匿名個人に付加され、これは、スコアリング機構に、サイバー・リスク・スコア及び報告502を組み立てるために必要とされる組織の従業員ビヘイビアの完全なビューを提供することになる。
次に、セグメント選択プロセス602においてセグメント選択が行われ、セグメント選択プロセス602のサブステップが、図9においてより詳細に示されている。本発明の様々な実装形態では、2つの異なるセグメント選択方法のいずれかが使用され得るか、又は、システムは、両方を実装し、セグメント選択のときに選定800を提供し得る。セグメント文字列照合802が、サイバー・リスクに関連付けられたセグメントの設定されたリストとの文字列照合を実施することによって、どのセグメントを査定すべきかを決定する。代替的に、NPLモデリング804が、セグメント・リスクに関連付けられたワードの自然言語処理(NLP)モデルを通して、どのセグメントを査定すべきかを決定する。いずれの場合も、フィードバック504からの走査サブステップ612が、たとえば、電子メール漏洩データ・セットなど、他の「真理集合」を入力するために使用される。これらは、走査及び/又はアプリケーション・プログラミング・インターフェース(API:application programming interface)呼を通して入力される。査定のためのセグメントが選択された後に、処理はサニテーション(sanitation)サブステップ806に移動し、サニテーション・サブステップ806は、カテゴリー分類されるために十分な情報を有しない組織を除去するために使用される。セグメント比サブステップ808において、各セグメントをもつ匿名識別子の数と組織にわたる匿名識別子の数との比が計算される。最終的に、セグメント・グループ化サブステップ810において、セキュア及び非セキュア慣習とのセグメントの整合に応じて、すべてのセグメントに負及び正の乗法的重みを適用することによって、セグメントに対してグループ化が実施される。
次に、トレイト重み付けプロセス604においてトレイト重み付けが行われ、トレイト重み付けプロセス604のサブステップが、図10においてより詳細に示されている。本発明の様々な実装形態では、2つの異なるトレイト作成方法のいずれかが使用され得るか、又は、システムは、両方を実装し、トレイト作成のときに選定900を提供し得る。トレイト文字列照合902において、システムは、キーバリュー・ペア(key value pair)のデータベースとの文字列照合によって、どのセグメントがどのトレイト・グループに入るかを決定する。代替的に、トレイト・クラスタリング904において、主成分分析(PCA:principal components analysis)が、セグメントをより広いトレイト・カテゴリー又はグループにグループ化するためにクラスタリングを実施するために使用される。いずれの場合も、本発明の一実装形態におけるトレイト・グループは、以下の通りであり、すなわち、金融リスク・テイキング、ソーシャル・リスク・テイキング、レクリエーション・リスク・テイキング、勤勉性、神経症傾向、開放性、協調性、外向性、及び意思決定である。処理は、次いで、トレイト特徴重要度サブステップ906に移動し、ここで、システムは、特徴重要度を介してサイバー・リスク計算についてのセグメントの重みを決定する。特徴重要度反復614を使用して、このサブステップにおけるプロセスは、フィードバック・ループによって継続的に改善される。特徴重要度反復614は、スコアリングされた組織のリスク・インシデントのフィードバック・ループを通して重み付け及び特徴重要度に関して反復する。最終的に、トレイト・スコア算出サブステップ908において、トレイト・スコアは、セグメント比の重み付き和と、対応する重要度重みとを通して算出される。
次に、ビヘイビアル・バケット重み付けプロセス606においてビヘイビアル・バケット重み付けが行われ、ビヘイビアル・バケット重み付けプロセス606のサブステップが、図11においてより詳細に示されている。本発明の様々な実装形態では、2つのバケット重み付け方法のいずれかが使用され得るか、又は、システムは、両方を実装し、バケット重み付けのときに1000における選定を提供し得る。バケット文字列照合1002において、システムは、キー・バリュー・ペアのデータベースとの文字列照合によって、どのトレイトがどのビヘイビアル・グループ中にあるかを決定する。代替的に、バケット・クラスタリング1004において、システムは、トレイトをより広いビヘイビアル・カテゴリーにグループ化するためにPCAを介してクラスタリングを実施する。いずれの場合も、本発明の一実装形態では、ビヘイビアル・バケットは、以下の通りであり、すなわち、リスク傾向、意思決定、及びパーソナリティである。プロセスは、次いで、バケット特徴重要度サブステップ1006に移動し、バケット特徴重要度サブステップ1006において、システムは、特徴重要度を介したスコア算出のためのトレイトの重みを決定する。特徴重要度反復614を使用して、このサブステップにおけるプロセスは、フィードバック・ループによって継続的に改善される。最終的に、プロセスはバケット・スコア算出サブステップ1008に移動し、バケット・スコア算出サブステップ1008において、システムは、トレイト・スコアの重み付き和と、対応する重要度重みとを通してビヘイビアル・スコアを算出する。
次に、最終スコア算出プロセス608において最終スコア算出が行われ、最終スコア算出プロセス608のサブステップが、図12においてより詳細に示されている。特徴重要度を計算するサブステップ1100において、システムは、特徴重要度を介したスコア算出のためのビヘイビアル・カテゴリーの重みを決定する。特徴重要度反復614を使用して、このサブステップにおけるプロセスは、フィードバック・ループによって継続的に改善される。次いで、処理は、最終スコア算出サブステップ1102に移動し、最終スコア算出サブステップ1102において、システムは、ビヘイビアル・スコアの重み付き和と、対応する重要度重みとを通して最終サイバー・リスク・スコアを算出する。
次に、正規化及び変換プロセス610において正規化及び変換が行われ、正規化及び変換プロセス610のサブステップが、図13においてより詳細に示されている。サンプル・ベースライン・グループ1200において、システムは、スケーリングすべき各トレイト及びビヘイビアル・バケットについてのベースライン・リスク・レベルを決定するために、サイズ及び産業にわたって組織を定期的にサンプリングする。このサブステップは、更新ベースライン616、すなわち、フィードバック504の部分からの入力を使用し、これは、たとえば、従業員ターンオーバ(turnover)、契約者構成、及びビヘイビアル変化に基づいて更新する。システムを使用して、参加する組織から受信されたフィードバックに基づいて、ベースラインは、時間とともに適応及び変化することになる。次に、zスコア算出サブステップ1202において、システムは、ベースライン・グループに対するzスコアを計算する。統計では、「zスコア」又は標準スコアは、測定されているものの平均値を生スコアの値が上回るか又は下回る、標準偏差の数である。平均値を上回る生スコアは、正のzスコアを有するが、平均値を下回る生スコアは、負のzスコアを有する。zスコアを計算した後に、このサブステップにおけるシステムは、zスコアの分布に基づく間隔を設定し、zスコア間隔を超えた外れ値を強制的に最小値又は最大値のいずれかにする。最終的に、スケーリング・サブステップ1204において、システムは、一実装形態では、1000ポイント・モデルを使用して、zスコアを特定のモデルにスケーリングする。次いで、このサブステップの出力は、前に説明されたようにスコア及び報告502である。スケーリング・サブステップ1204はまた、ベースラインを常に改善するために必要なフィードバック・ループを生成するために、フィードバック504に、詳細には、更新ベースライン・サブステップ616にそれのデータを返送する。
次に再び図6を参照すると、リスク・スコアリング・コンピュート・クラスタ500において生成されたサイバー・セキュリティ・スコア及び報告502は、パートナー・プラットフォーム12に返送され、サイバー・セキュリティ・スコア及び報告502は、スコア及び報告502を望む組織によって動作及び維持される。組織は、次いで、フィードバックと、追加の属性と、サイバー・セキュリティ・リスク・スコア及び報告に関係する現実世界のイベントと、定性入力と、特定の従業員又は全体としての組織に関係する他のデータと(本明細書では、まとめてフィードバック504)を提供するために、パートナー・プラットフォーム12を使用し得る。このフィードバック504データは、次いで、この追加情報を使用してサイバー・セキュリティ・スコア及び報告502を更新するために、フィードバック・ループにおいてパートナー・プラットフォーム12からサイバー・セキュリティ・リスク・スコアリング・コンピュート・クラスタ500に供給される。いくつかの実装形態では、これらのプロセスのいずれか又はすべては、リアルタイムで行われ得る。リアルタイム動作を使用することによって、サイバー・セキュリティ・スコア及び報告502は、直近の及び最も正確なデータを提供するために、常に更新され得る。リアルタイムは、たとえば、データが、パートナー・プラットフォーム12から受信されるとき、スコア及び報告502は、新しいデータがスコアリング・プラットフォーム14において受信されるときでも、常に再作成され、更新され、パートナー・プラットフォーム12に再返送されていることを意味し得る。このようにして、たとえば、リスクを示すであろう従業員によるブラウジング・アクティビティは、潜在的に、その従業員が、依然として、スコア及び報告502の変化につながるリスクを作成したブラウジング・アクティビティに関与するときでも、極めて急速に、スコア及び報告502の調整を生じ得る。
本明細書で説明されるシステム及び方法は、様々な実施例では、ハードウェアとソフトウェアとの任意の組合せによって実装され得る。たとえば、一実施例では、システム及び方法は、コンピュータ・システムのセットによって実装され得、それらのうちの各々は、プロセッサに結合されたコンピュータ可読記憶媒体に記憶されたプログラム命令を実行する1つ又は複数のプロセッサを含む。プログラム命令は、本明細書で説明される機能を実装し得る。図において示されているような、本明細書で説明される様々なシステム及び表示は、例示的な実装形態を表す。任意の方法の順序が変更され得、様々な要素が追加、修正、又は省略され得る。
本明細書で説明されるコンピューティング・システム又はコンピューティング・デバイスは、本発明の様々な実装形態の部分を形成するものとして、クラウド・コンピューティング・システム又は非クラウド・コンピューティング・システムのハードウェア部分を実装し得る。コンピュータ・システムは、限定はしないが、コモディティ・サーバ、パーソナル・コンピュータ・システム、デスクトップ・コンピュータ、ラップトップ又はノートブック・コンピュータ、メインフレーム・コンピュータ・システム、ハンドヘルド・コンピュータ、ワークステーション、ネットワーク・コンピュータ、消費者デバイス、アプリケーション・サーバ、ストレージ・デバイス、電話、携帯電話、或いは概して任意のタイプのコンピューティング・ノード、コンピュート・ノード、コンピュート・デバイス、及び/又はコンピューティング・デバイスを含む、様々なタイプのデバイスのうちのいずれかであり得る。コンピューティング・システムは、入出力(I/O)インターフェースを介してシステム・メモリに結合された(それらのいずれかが単一又はマルチスレッドであり得る複数の処理コアを含み得る)1つ又は複数のプロセッサを含む。コンピュータ・システムは、I/Oインターフェースに結合されたネットワーク・インターフェースをさらに含み得る。
様々な実施例では、コンピュータ・システムは、1つのプロセッサを含むシングル・プロセッサ・システム、又は複数のプロセッサを含むマルチプロセッサ・システムであり得る。プロセッサは、コンピューティング命令を実行することが可能な任意の好適なプロセッサであり得る。たとえば、様々な実施例では、プロセッサは、様々な命令セット・アーキテクチャのいずれかを実装する汎用プロセッサ又は組込みプロセッサであり得る。マルチプロセッサ・システムでは、プロセッサの各々は、通常、必ずしもそうではないが、同じ命令セットを実装し得る。コンピュータ・システムはまた、ローカル・エリア・ネットワーク、ワイド・エリア・ネットワーク、又はインターネットなど、通信ネットワークにわたって他のシステム及び/又は構成要素と通信するための1つ又は複数のネットワーク通信デバイス(たとえば、ネットワーク・インターフェース)を含む。たとえば、コンピューティング・デバイス上で実行するクライアント・アプリケーションは、様々なサブ・システムにおいて実装される、クラウド・コンピューティング又は非クラウド・コンピューティング環境において本明細書で説明されるシステムの構成要素のうちの1つ又は複数を実装する単一のサーバ上で又はサーバのクラスタ上で実行するサーバ・アプリケーションと通信するためのネットワーク・インターフェースを使用し得る。別の実例では、コンピュータ・システム上で実行するサーバ・アプリケーションのインスタンスは、他のコンピュータ・システム上に実装され得るアプリケーションの他のインスタンスと通信するためのネットワーク・インターフェースを使用し得る。
コンピューティング・デバイスはまた、1つ又は複数の永続ストレージ・デバイス及び/又は1つ又は複数のI/Oデバイスを含む。様々な実施例では、永続ストレージ・デバイスは、ディスク・ドライブ、テープ・ドライブ、固体メモリ、他の大容量ストレージ・デバイス、又は任意の他の永続ストレージ・デバイスに対応し得る。コンピュータ・システム(或いはその上で動作する分散型アプリケーション又はオペレーティング・システム)は、要望に応じて、命令及び/又はデータを永続ストレージ・デバイスに記憶し得、必要に応じて、記憶された命令及び/又はデータを取り出し得る。たとえば、いくつかの実施例では、コンピュータ・システムは、制御プレーン又は制御システムの1つ又は複数のノードを実装し得、永続ストレージは、そのサーバ・ノードに取り付けられたSSDを含み得る。複数のコンピュータ・システムは、同じ永続ストレージ・デバイスを共有し得るか、或いは、永続ストレージ・デバイスのプールを共有し得、プール中のデバイスは、同じ又は異なるストレージ技術を表す。
コンピュータ・システムは、(1つ又は複数の)プロセッサによってアクセス可能なコード/命令とデータとを記憶し得る1つ又は複数のシステム・メモリを含む。システム・メモリは、たとえば、アクセス速度に基づいてメモリ中の情報をスワップするように設計されたシステムにおける複数のレベルのメモリ及びメモリ・キャッシュを含み得る。インターリービング及びスワッピングが、仮想メモリ実装形態において永続ストレージに拡張し得る。メモリを実装するために使用される技術は、実例として、スタティック・ランダムアクセス・メモリ(RAM:random-access memory)、ダイナミックRAM、読取り専用メモリ(ROM:read-only memory)、不揮発性メモリ、又はフラッシュ・タイプ・メモリを含み得る。永続ストレージの場合と同様に、複数のコンピュータ・システムは、同じシステム・メモリを共有し得るか、又はシステム・メモリのプールを共有し得る。1つ又は複数のシステム・メモリは、本明細書で説明されるルーチンを実装するために、(1つ又は複数の)プロセッサによって実行可能であるプログラム命令を含んでいることがある。様々な実施例では、プログラム命令は、バイナリ、アセンブリ言語、Pythonなどの任意のインタープリタ型言語、C/C++などのコンパイルされた言語において、又はそれらの任意の組合せにおいて符号化され得、ここで与えられる特定の言語は、実例にすぎない。いくつかの実施例では、プログラム命令は、複数の別個のクライアント、サーバ・ノード、及び/又は他の構成要素を実装し得る。
いくつかの実装形態では、プログラム命令は、UNIX(登録商標)、LINUX、Solaris(商標)、MacOS(商標)、又はMicrosoft Windows(商標)など、様々なオペレーティング・システムのいずれかであり得る、オペレーティング・システム(図示せず)を実装するために実行可能な命令を含み得る。プログラム命令のいずれか又はすべては、様々な実装形態に従ってプロセスを実施するようにコンピュータ・システム(又は他の電子デバイス)をプログラムするために使用され得る、命令を記憶した非一時的コンピュータ可読記憶媒体を含み得る、コンピュータ・プログラム製品又はソフトウェアとして提供され得る。非一時的コンピュータ可読記憶媒体は、機械(たとえば、コンピュータ)によって可読な形態(たとえば、ソフトウェア、処理アプリケーション)で情報を記憶するための任意の機構を含み得る。概して、非一時的コンピュータ・アクセス可能媒体は、磁気媒体又は光媒体など、コンピュータ可読記憶媒体又はメモリ媒体、たとえば、I/Oインターフェースを介してコンピュータ・システムに結合されたディスク又はDVD/CD-ROMを含み得る。非一時的コンピュータ可読記憶媒体は、コンピュータ・システムのいくつかの実施例では、システム・メモリ又は別のタイプのメモリとして含まれ得る、RAM又はROMなど、任意の揮発性媒体又は不揮発性媒体をも含み得る。他の実装形態では、プログラム命令は、ネットワーク・インターフェースを介して実装され得るものなど、ネットワーク及び/或いはワイヤード又はワイヤレス・リンクなど、通信媒体を介して伝達される、伝搬される信号の光形態、音響形態、又は他の形態(たとえば、搬送波、赤外線信号、デジタル信号など)を使用して通信され得る。ネットワーク・インターフェースは、他のコンピュータ・システム又は任意のタイプの外部電子デバイスを含み得る、他のデバイスとインターフェースするために使用され得る。概して、ネットワークを通して他のデバイス上でアクセス可能なシステム・メモリ、永続ストレージ、及び/又はリモート・ストレージは、データ・ブロック、データ・ブロックのレプリカ、データ・ブロック及び/又はそれらの状態に関連付けられたメタデータ、データベース構成情報、並びに/或いは本明細書で説明されるルーチンを実装する際に使用可能な任意の他の情報を記憶し得る。
いくつかの実装形態では、I/Oインターフェースは、ネットワーク・インターフェース又は他の周辺インターフェースを通してを含めて、システムにおけるプロセッサとシステム・メモリと任意の周辺デバイスとの間のI/Oトラフィックを協調させ得る。いくつかの実施例では、I/Oインターフェースは、ある構成要素(たとえば、システム・メモリ)からのデータ信号を、別の構成要素(たとえば、プロセッサ)による使用に好適なフォーマットにコンバートするために、任意の必要なプロトコル、タイミング又は他のデータ変換を実施し得る。いくつかの実施例では、I/Oインターフェースは、たとえば、周辺構成要素相互接続(PCI:Peripheral Component Interconnect)バス規格又はユニバーサルシリアルバス(USB:Universal Serial Bus)規格の変形態など、様々なタイプの周辺バスを通して取り付けられたデバイスのサポートを含み得る。また、いくつかの実施例では、システム・メモリへのインターフェースなど、I/Oインターフェースの機能の一部又は全部が、(1つ又は複数の)プロセッサに直接組み込まれ得る。
ネットワーク・インターフェースは、たとえば、データが、コンピュータ・システムと、(本明細書で説明される、1つ又は複数のストレージ・システム・サーバ・ノード、1次ノード、読取り専用ノード・ノード、及び/又はデータベース・システムのクライアントを実装し得る)他のコンピュータ・システムなど、ネットワークに取り付けられた他のデバイスとの間で交換されることを可能にし得る。さらに、I/Oインターフェースは、コンピュータ・システムと様々なI/Oデバイス及び/又はリモート・ストレージとの間の通信を可能にし得る。入出力デバイスは、いくつかの実施例では、1つ又は複数のディスプレイ端末、キーボード、キーパッド、タッチパッド、走査デバイス、ボイス又は光認識デバイス、或いは1つ又は複数のコンピュータ・システムによってデータを入れるか又は取り出すのに好適な任意の他のデバイスを含み得る。これらは、特定のコンピュータ・システムに直接接続するか、或いは、概して、クラウド・コンピューティング環境、グリッド・コンピューティング環境、又は複数のコンピュータ・システムを伴う他のシステムにおける、複数のコンピュータ・システムに接続し得る。複数の入出力デバイスが、コンピュータ・システムと通信して存在し得るか、又はコンピュータ・システムを含む分散型システムの様々なノード上に分散され得る。本明細書で説明されるユーザ・インターフェースは、CRTディスプレイと、LCDディスプレイと、LEDディスプレイと、他のディスプレイ技術とを含み得る、様々なタイプのディスプレイ・スクリーンを使用してユーザに可視であり得る。いくつかの実装形態では、入力は、タッチスクリーン技術を使用してディスプレイを通して受信され得、他の実装形態では、入力は、キーボード、マウス、タッチパッド、又は他の入力技術、或いはこれらの技術の任意の組合せを通して受信され得る。
いくつかの実施例では、同様の入出力デバイスが、コンピュータ・システムとは別個であり得、ネットワーク・インターフェース上でなど、ワイヤード又はワイヤレス接続を通して、コンピュータ・システムを含む分散型システムの1つ又は複数のノードと対話し得る。ネットワーク・インターフェースは、通常、1つ又は複数のワイヤレス・ネットワーキング・プロトコル(たとえば、Wi-Fi/IEEE802.11、又は別のワイヤレス・ネットワーキング規格)をサポートし得る。ネットワーク・インターフェースは、たとえば、他のタイプのイーサネット・ネットワークなど、任意の好適なワイヤード又はワイヤレスの一般的なデータ・ネットワークを介した通信をサポートし得る。さらに、ネットワーク・インターフェースは、アナログ・ボイス・ネットワーク又はデジタル・ファイバー通信ネットワークなどの電気通信/テレフォニー・ネットワークを介した通信、ファイバー・チャネルSANなどのストレージ・エリア・ネットワークを介した通信、或いは任意の他の好適なタイプのネットワーク及び/又はプロトコルを介した通信をサポートし得る。
本明細書で説明される分散型システム実施例のいずれか、又はそれらの構成要素のいずれかは、クラウド・コンピューティング環境における1つ又は複数のネットワークベース・サービスとして実装され得る。たとえば、データベース・システムのデータベース・ティア内の読取り書込みノード及び/又は読取り専用ノードは、本明細書で説明される分散型ストレージ・システムを採用するデータベース・サービス及び/又は他のタイプのデータ・ストレージ・サービスを、ネットワークベース・サービスとしてクライアントに提示し得る。いくつかの実施例では、ネットワークベース・サービスは、ネットワークを介した相互運用可能なマシンツーマシン対話をサポートするように設計されたソフトウェア及び/又はハードウェア・システムによって実装され得る。ウェブ・サービスは、ウェブ・サービス記述言語(WSDL:Web Services Description Language)などの機械処理可能なフォーマットで記述されたインターフェースを有し得る。他のシステムは、ネットワークベース・サービスのインターフェースの記述によって規定された様式でネットワークベース・サービスと対話し得る。たとえば、ネットワークベース・サービスは、他のシステムが呼び出し得る様々な動作を定義し得、様々な動作を要求するときに他のシステムが従うことが予想され得る特定のアプリケーション・プログラミング・インターフェース(API)を定義し得る。
様々な実施例では、ネットワークベース・サービスは、ネットワークベース・サービス要求に関連付けられたパラメータ及び/又はデータを含むメッセージの使用を通して要求されるか又は呼び出され得る。そのようなメッセージは、拡張可能マークアップ言語(XML:Extensible Markup Language)などの特定のマークアップ言語に従ってフォーマットされ得、及び/又はシンプル・オブジェクト・アクセス・プロトコル(SOAP:Simple Object Access Protocol)などのプロトコルを使用してカプセル化され得る。ネットワークベース・サービス要求を実施するために、ネットワークベース・サービス・クライアントは、要求を含むメッセージをアセンブルし、ハイパーテキスト転送プロトコル(HTTP:Hypertext Transfer Protocol)などのインターネットベース・アプリケーション・レイヤ転送プロトコルを使用して、そのメッセージを、ウェブ・サービスに対応するアドレス指定可能なエンドポイント(たとえば、ユニフォーム・リソース・ロケータ(URL:Uniform Resource Locator))に伝達し得る。いくつかの実施例では、ネットワークベース・サービスは、メッセージ・ベース技法ではなく表現状態転送(REST:Representational State Transfer)技法を使用して実装され得る。たとえば、REST技法に従って実装されたネットワークベース・サービスが、PUT、GET、又はDELETEなど、HTTPメソッド内に含まれるパラメータを通して呼び出され得る。
別段に明記されていない限り、本明細書で使用されるすべての技術用語及び科学用語は、本発明が属する当技術分野の当業者によって一般に理解されるものと同じ意味を有する。本明細書で説明されるものと同様の又は等価な方法及び材料が、本発明の実施又はテストにおいても使用され得るが、限られた数の例示的な方法及び材料が本明細書で説明される。はるかに多くの修正が、本明細書の発明概念から逸脱することなく可能であることが当業者には明らかであろう。
本明細書で使用されるすべての用語は、コンテキストに一致する最も広い可能な様式で解釈されるべきである。グループ化が本明細書で使用されるとき、グループのすべての個々のメンバー並びにグループの可能なすべての組合せ及び部分組合せが本開示に個々に含まれるものとする。本明細書で引用されるすべての参照は、本明細書の本開示との不整合がない範囲で、参照により本明細書に組み込まれる。本明細書で範囲が使用されるとき、範囲内のすべてのポイント及び範囲内のすべてのサブ範囲が、本開示に含まれるものとする。
本発明は、例にすぎないことが意図され、本発明の完全な範囲に限定するものではない、いくつかの好ましい実装形態及び代替実装形態に関して説明された。
Claims (23)
- サイバー・セキュリティ・システムであって、
アイデンティティ・コンピュート・クラスタであって、前記アイデンティティ・コンピュート・クラスタが、複数のオブジェクトについてのアイデンティティ解決を実施することと、前記オブジェクトについてのリスク・ビヘイビアに関係する匿名化されたデータを出力することとを行うように構成された、アイデンティティ・コンピュート・クラスタと、
ピクセル・サービス・コンピュート・クラスタであって、前記ピクセル・サービス・コンピュータ・クラスタが、複数のソースからオンライン・アクティビティ・データを受信することと、前記オンライン・アクティビティ・データを特定のデバイスに関連付けることと、特定のデバイスに関連付けられた前記オンライン・アクティビティ・データを前記アイデンティティ・コンピュート・クラスタに出力することとを行うように構成された、ピクセル・サービス・コンピュート・クラスタと、
ビヘイビアル・アイデンティティ・コンピュート・クラスタであって、前記ビヘイビアル・アイデンティティ・コンピュート・クラスタが、ビヘイビアル・データを受信することと、前記ビヘイビアル・データを特定のエンティティに関連付けることと、特定のエンティティに関連付けられたビヘイビアル・データを前記アイデンティティ・コンピュート・クラスタに出力することとを行うように構成された、ビヘイビアル・アイデンティティ・コンピュート・クラスタと、
リスク・スコアリング・コンピュート・クラスタであって、リスク・スコアリング・システムが、前記アイデンティティ・コンピュート・クラスタから前記オブジェクトについてのリスク・ビヘイビアに関係する前記匿名化されたデータを受信することと、サイバー・セキュリティ・スコア及び報告を算出することとを行うように構成された、リスク・スコアリング・コンピュート・クラスタと
を備える、サイバー・セキュリティ・システム。 - 前記リスク・スコアリング・コンピュート・クラスタが、企業コンピューティング・システムからフィードバックを受信することと、前記フィードバックを利用して前記サイバー・セキュリティ・スコア及び報告を再計算することとを行うようにさらに構成された、請求項1に記載のサイバー・セキュリティ・システム。
- 前記リスク・スコアリング・コンピュート・クラスタが、リアルタイムで前記サイバー・セキュリティ・スコア及び報告を再計算するようにさらに構成された、請求項2に記載のサイバー・セキュリティ・システム。
- 前記アイデンティティ・コンピュート・クラスタが、前記オブジェクトについてのリスク・ビヘイビアに関係する前記データから、すべての個人識別可能データ(PII)を取り去るようにさらに構成された、請求項3に記載のサイバー・セキュリティ・システム。
- 前記アイデンティティ・コンピュート・クラスタが、リスク・ビヘイビアに関係するデータがある前記オブジェクトの各々に関連付けられた匿名化されたリンクを関連付けることと、前記匿名化されたリンクを、各前記オブジェクトについてのリスク・ビヘイビアに関係する対応するデータに付加することとを行うようにさらに構成された、請求項4に記載のサイバー・セキュリティ・システム。
- 前記匿名化されたリンクがPIIを含んでいない、請求項5に記載のサイバー・セキュリティ・システム。
- 企業間(B2B)アイデンティティ・グラフをさらに備え、前記アイデンティティ・コンピュート・クラスタが、前記アイデンティティ・コンピュート・クラスタにおいて受信されたデータを前記B2Bアイデンティティ・グラフと比較することによって、前記複数のオブジェクトについてのアイデンティティ解決を実施するように構成された、請求項6に記載のサイバー・セキュリティ・システム。
- 前記B2Bアイデンティティ・グラフが複数のノードを備え、前記ノードの各々が企業エンティティに対応し、特定の領域内のセグメントの実質的にすべての企業エンティティについてノードが存在する、請求項7に記載のサイバー・セキュリティ・システム。
- 前記ビヘイビアル・アイデンティティ・コンピュート・クラスタにビヘイビアル・データを提供するように構成されたビヘイビアル・データ・プラットフォームをさらに備える、請求項6に記載のサイバー・セキュリティ・システム。
- 前記ビヘイビアル・アイデンティティ・コンピュート・クラスタが、オブジェクトに関連付けられたデバイス・ビヘイビアル・アクティビティを収集するようにさらに構成された、請求項9に記載のサイバー・セキュリティ・システム。
- 前記ビヘイビアル・アイデンティティ・コンピュート・クラスタが、ファーモグラフィック・データとビヘイビアル・データの一方又は両方を収集するようにさらに構成された、請求項10に記載のサイバー・セキュリティ・システム。
- パートナー・プラットフォームをさらに備え、前記パートナー・プラットフォームが、エンティティに関連付けられた特定のオブジェクトに各々関係するレコードのセットを備え、各レコードが、前記特定のオブジェクトに関連付けられたPIIを備える、請求項6に記載のサイバー・セキュリティ・システム。
- 前記パートナー・プラットフォームが、前記ピクセル・サービス・コンピュート・クラスタにIPデータを提供するように構成された、請求項12に記載のサイバー・セキュリティ・システム。
- 前記パートナー・プラットフォームが複数の従業員電子デバイスを備え、前記従業員電子デバイスがウェブ・ブラウザを備え、前記ウェブ・ブラウザは、前記ウェブ・ブラウザが、ピクセルが設定されたウェブサイトを対象とするとき、トラッキング・ピクセルを発火させることと、前記トラッキング・ピクセルの前記発火に応答して、前記ピクセル・サービス・コンピュート・クラスタにブラウジング・データを送信することとを行うように構成された、請求項13に記載のサイバー・セキュリティ・システム。
- パートナー・プラットフォームのサイバー・セキュリティを査定するための方法であって、
前記パートナー・プラットフォームにおいて、パートナー・プラットフォームが、エンティティに関連付けられた特定のオブジェクトに各々関係するレコードのセットを作成するステップであって、各レコードが、前記特定のオブジェクトに関連付けられたPIIを備える、ステップと、
アイデンティティ・コンピュート・クラスタにおいて、複数のオブジェクトについてのアイデンティティ解決を実施するステップと、前記オブジェクトについてのリスク・ビヘイビアに関係する匿名化されたデータを出力するステップと、
ピクセル・サービス・コンピュート・クラスタにおいて、前記パートナー・プラットフォームからIPデータのセットを受信するステップと、複数のソースからのオンライン・アクティビティ・データを特定の電子デバイスと照合するステップと、前記特定の電子デバイスに関連付けられた前記オンライン・アクティビティ・データを前記アイデンティティ・コンピュート・クラスタに出力するステップと、
ビヘイビアル・アイデンティティ・コンピュート・クラスタにおいて、ビヘイビアル・データを特定のエンティティと照合するステップと、特定のエンティティに関連付けられたビヘイビアル・データを前記アイデンティティ・コンピュート・クラスタに出力するステップと、
リスク・スコアリング・コンピュート・クラスタにおいて、サイバー・リスクに関連付けられたセグメントのリストを使用して前記ビヘイビアル・データと照合するステップと、特定のエンティティに関連付けられた前記ビヘイビアル・データからサイバー・セキュリティ・スコアを算出するために前記セグメントをトレイト・カテゴリーにクラスタリングするステップと
を含む、方法。 - 前記パートナー・プラットフォームにおいてフィードバックを生成するステップと、前記フィードバックを利用して前記サイバー・セキュリティ・スコアを再計算するステップとをさらに含む、請求項15に記載の方法。
- 前記サイバー・セキュリティ・スコアを再計算する前記ステップが、リアルタイムで実施される、請求項16に記載の方法。
- 前記オブジェクトについてのリスク・ビヘイビアに関係する前記データからすべての個人識別可能データ(PII)を取り去るステップと、リスク・ビヘイビアに関係するデータがある、前記オブジェクトの各々に関連付けられた匿名化されたリンクを関連付けるステップと、前記匿名化されたリンクを、各前記オブジェクトについてのリスク・ビヘイビアに関係する対応するデータに付加するステップとをさらに含む、請求項15に記載の方法。
- 前記アイデンティティ・コンピュート・クラスタにおいて受信されたデータを企業間(B2B)アイデンティティ・グラフと比較することによって、前記複数のオブジェクトについてのファーム・アイデンティティ解決を実施するステップをさらに含む、請求項15に記載の方法。
- 前記特定の電子デバイスのうちの1つ上のウェブ・ブラウザが、ピクセルが設定されたウェブサイトを対象とするとき、トラッキング・ピクセルを発火させ、前記トラッキング・ピクセルの前記発火に応答して、前記ピクセル・サービス・コンピュート・クラスタにブラウジング・データを送信するステップをさらに含む、請求項15に記載の方法。
- 前記リスク・スコアリング・コンピュート・クラスタにおいて照合する前記ステップが、サイバー・リスクに関連付けられたセグメントを識別するための文字列照合を含む、請求項15に記載の方法。
- 前記リスク・スコアリング・コンピュート・クラスタにおいて照合する前記ステップが、サイバー・リスクに関連付けられたセグメントを識別するための自然言語処理(NLP)と、主成分分析(PCA)を使用して前記トレイト・カテゴリーへの前記セグメントのクラスタリングを実施するステップとを含む、請求項15に記載の方法。
- サイバー・リスクを管理するためのシステムであって、
アイデンティティ・コンピュート・クラスタであって、前記アイデンティティ・コンピュート・クラスタは、複数のオブジェクトについてのアイデンティティ解決を実施することと、前記オブジェクトについてのリスク・ビヘイビアに関係するすべての個人識別可能データを取り去ることと、匿名化されたリンクを、リスク・ビヘイビアに関係するデータがある前記オブジェクトの各々に関連付けることと、前記匿名化されたリンクを、各前記オブジェクトについてのリスク・ビヘイビアに関係する対応するデータに付加することと、前記オブジェクトについてのリスク・ビヘイビアに関係する匿名化されたデータを出力することとを行うように構成された、アイデンティティ・コンピュート・クラスタと、
ピクセル・サービス・コンピュート・クラスタであって、前記ピクセル・サービス・コンピュータ・クラスタが、オンライン・アクティビティ・データを受信することと、前記オンライン・アクティビティ・データを特定のデバイスに関連付けることと、特定のデバイスに関連付けられた前記オンライン・アクティビティ・データを前記アイデンティティ・コンピュート・クラスタに出力することとを行うように構成された、ピクセル・サービス・コンピュート・クラスタと、
ビヘイビアル・アイデンティティ・コンピュート・クラスタであって、前記ビヘイビアル・アイデンティティ・コンピュート・クラスタが、ビヘイビアル・データを受信することと、前記ビヘイビアル・データを特定のエンティティに関連付けることと、特定のエンティティに関連付けられたビヘイビアル・データを前記アイデンティティ・コンピュート・クラスタに出力することとを行うように構成された、ビヘイビアル・アイデンティティ・コンピュート・クラスタと、
オブジェクトに関連付けられたデバイス・ビヘイビアル・アクティビティを収集することと、前記ビヘイビアル・アイデンティティ・コンピュート・クラスタにビヘイビアル・データを提供することとを行うように構成されたビヘイビアル・データ・プラットフォームと、
企業エンティティに各々対応する複数のノードを備える企業間(B2B)アイデンティティ・グラフであって、前記アイデンティティ・コンピュート・クラスタが、前記アイデンティティ・コンピュート・クラスタにおいて受信されたデータを前記B2Bアイデンティティ・グラフと比較することによって、前記複数のオブジェクトについてのアイデンティティ解決を実施するように構成された、企業間(B2B)アイデンティティ・グラフと、
各々が、トラッキング・ピクセルを発火させるように構成されたウェブ・ブラウザを備える、複数の従業員電子デバイスを備えるパートナー・プラットフォームであって、前記パートナー・プラットフォームが、前記ピクセル・サービス・コンピュート・クラスタに複数のIPデータを提供するように構成された、パートナー・プラットフォームと、
リスク・スコアリング・コンピュート・クラスタであって、リスク・スコアリング・システムが、前記アイデンティティ・コンピュート・クラスタから前記オブジェクトについてのリスク・ビヘイビアに関係する前記匿名化されたデータを受信することと、サイバー・セキュリティ・スコア及び報告を算出することと、企業コンピューティング・システムからフィードバックを受信することと、リアルタイムで前記フィードバックを利用して前記サイバー・セキュリティ・スコア及び報告を再計算することと行うように構成された、リスク・スコアリング・コンピュート・クラスタと
を備える、システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202062991672P | 2020-03-19 | 2020-03-19 | |
US62/991,672 | 2020-03-19 | ||
PCT/US2021/021327 WO2021188315A1 (en) | 2020-03-19 | 2021-03-08 | Cyber security system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023520165A true JP2023520165A (ja) | 2023-05-16 |
Family
ID=77768340
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022556107A Pending JP2023520165A (ja) | 2020-03-19 | 2021-03-08 | サイバー・セキュリティ・システム及び方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20230009704A1 (ja) |
EP (1) | EP4115291A4 (ja) |
JP (1) | JP2023520165A (ja) |
CA (1) | CA3175722A1 (ja) |
WO (1) | WO2021188315A1 (ja) |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US20140222515A1 (en) * | 2012-12-31 | 2014-08-07 | Pitney Bowes Inc. | Systems and methods for enhanced principal components analysis |
US10621600B2 (en) * | 2013-09-23 | 2020-04-14 | Liveramp, Inc. | Method for analyzing website visitors using anonymized behavioral prediction models |
US10212176B2 (en) * | 2014-06-23 | 2019-02-19 | Hewlett Packard Enterprise Development Lp | Entity group behavior profiling |
WO2016138067A1 (en) * | 2015-02-24 | 2016-09-01 | Cloudlock, Inc. | System and method for securing an enterprise computing environment |
US10305922B2 (en) * | 2015-10-21 | 2019-05-28 | Vmware, Inc. | Detecting security threats in a local network |
US10218697B2 (en) * | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
CA3034176A1 (en) * | 2018-02-20 | 2019-08-20 | Timothy BAZALGETTE | An artificial intelligence cyber security analyst |
-
2021
- 2021-03-08 US US17/911,853 patent/US20230009704A1/en active Pending
- 2021-03-08 WO PCT/US2021/021327 patent/WO2021188315A1/en unknown
- 2021-03-08 EP EP21771097.9A patent/EP4115291A4/en active Pending
- 2021-03-08 CA CA3175722A patent/CA3175722A1/en active Pending
- 2021-03-08 JP JP2022556107A patent/JP2023520165A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
CA3175722A1 (en) | 2021-09-23 |
US20230009704A1 (en) | 2023-01-12 |
EP4115291A4 (en) | 2024-04-10 |
EP4115291A1 (en) | 2023-01-11 |
WO2021188315A1 (en) | 2021-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757945B2 (en) | Collaborative database and reputation management in adversarial information environments | |
US20210392130A1 (en) | Dynamic Risk Detection And Mitigation Of Compromised Customer Log-In Credentials | |
US20220210181A1 (en) | Assessing Security Risks of Users in a Computing Network | |
US10963400B2 (en) | Smart contract creation and monitoring for event identification in a blockchain | |
US20200349281A1 (en) | Dynamic management of data with context-based processing | |
US20190089711A1 (en) | Anonymized persona identifier | |
AU2019250145A1 (en) | Risk assessment using social networking data | |
US20230325946A1 (en) | Detection and prevention of fraudulent activity on social media accounts | |
Keskin et al. | Cyber third-party risk management: A comparison of non-intrusive risk scoring reports | |
US20160226893A1 (en) | Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof | |
US20180033006A1 (en) | Method and system for identifying and addressing potential fictitious business entity-based fraud | |
US11087334B1 (en) | Method and system for identifying potential fraud activity in a tax return preparation system, at least partially based on data entry characteristics of tax return content | |
US11968239B2 (en) | System and method for detection and mitigation of data source compromises in adversarial information environments | |
US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
EP3047370B1 (en) | Method and system for inferring risk of data leakage from third-party tags | |
US20200334498A1 (en) | User behavior risk analytic system with multiple time intervals and shared data extraction | |
US20240031389A1 (en) | Training a model to detect malicious command and control cloud traffic | |
Sai et al. | Generative ai for cyber security: Analyzing the potential of chatgpt, dall-e and other models for enhancing the security space | |
Flores et al. | A diagnosis of threat vulnerability and risk as it relates to the use of social media sites when utilized by adolescent students enrolled at the Urban Center of Canton Cañar | |
US20230009704A1 (en) | Cyber Security System and Method | |
US11489877B2 (en) | Cybersecurity maturity determination | |
US20240070157A1 (en) | System and Method for Email Address Selection | |
Claffy et al. | challenges in measuring the internet for the public interest | |
Achuthan et al. | Security vulnerabilities in open source projects: an India perspective | |
Baror et al. | Functional Architectural Design of a Digital Forensic Readiness Cybercrime Language as a Service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231225 |