JP2023522530A - メタデータ・ベースのフィッシング攻撃の検知及び防止 - Google Patents

メタデータ・ベースのフィッシング攻撃の検知及び防止 Download PDF

Info

Publication number
JP2023522530A
JP2023522530A JP2022545156A JP2022545156A JP2023522530A JP 2023522530 A JP2023522530 A JP 2023522530A JP 2022545156 A JP2022545156 A JP 2022545156A JP 2022545156 A JP2022545156 A JP 2022545156A JP 2023522530 A JP2023522530 A JP 2023522530A
Authority
JP
Japan
Prior art keywords
computer
resource
security system
implemented method
hosted service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022545156A
Other languages
English (en)
Inventor
クリシュナ ナラヤナスワミー,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netskope Inc
Original Assignee
Netskope Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netskope Inc filed Critical Netskope Inc
Publication of JP2023522530A publication Critical patent/JP2023522530A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Biophysics (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Technology Law (AREA)

Abstract

開示された技術は、クライアント上で実行されたユーザ・アクションに応答してサーバによってレンダリングされたウェブページを傍受する。同技術は、ウェブページの1または複数の画像を分析し、特定のホスティッド・サービスが画像によって表されていると判定する。同技術は、ウェブページの1または複数のフィールドを分析し、フィールドが機密情報を引き出すと判定する。同技術は、フィールドを介して機密情報を提供する別のユーザ・アクションに応答して、クライアントによって生成されたリクエストを傍受する。同技術は、リクエストを分析し、機密情報が未認可のリソースに引き出されていると判定する。この判定は、リクエスト内のリソースアドレスを、特定のホスティッド・サービスによって使用される1または複数の認可されたリソースアドレスと比較することによって行われる。同技術は、ウェブページがフィッシング攻撃を実行していると判定し、機密情報の未認可リソースへの送信をブロックする。【選択図】 図9

Description

優先出願
本出願は、2020年1月27日出願の米国仮特許出願第62/966,412号、発明の名称「フィッシング攻撃のメタデータ・ベース検知及び防止」(代理人事件整理番号:NSKO1028-1)及び2021年1月25日出願の米国特許出願第17/157,947号、発明の名称「メタデータ・ベースのフィッシング攻撃の検知及び防止」(代理人事件整理番号:NSKO1028-2)の利益及び優先権を主張する。優先権出願は、ここに完全に記載されているかの如く、参照により組み込まれる。
合体資料
以下の資料は、ここに完全に記載されているかの如く、参照により組み込まれる。
2016年3月11日出願の米国仮特許出願第62/307,305号、発明の名称「クラウド・コンピューティング・サービスのデータ欠陥トランザクションにおいてマルチパート・ポリシーを実施するためのシステム及び方法」(代理人事件整理番号:NSKO 1003-1)。
2018年6月5日出願の米国特許出願第16/000,132号、発明の名称「クラウド・ストレージのためのメタデータ・ベースのデータ損失防止(DLP)」(代理人事件整理番号:NSKO1003-5)(現在は2019年5月14日発行の米国特許第10,291,657号)。
2016年12月2日出願の米国特許出願第15/368,240号、発明の名称「クラウド・コンピューティング・サービスのデータ欠陥トランザクションにマルチパート・ポリシーを適用するシステムと方法」(代理人事件整理番号:NSKO1003-2)。
2016年12月2日出願の米国特許出願第15/368,246号、発明の名称「クラウド・コンピューティング・サービス用ミドルウェア・セキュリティ層」(代理人事件整理番号:NSKO 1003-3)。
チェン、イタール、ナラヤナスワミー、及び、マルムスコッグ、「ダミー用のクラウド・セキュリティ、 ネットスコープ・スペシャル・エディション」、ジョン・ワイリー・アンド・サンズ、2015年。
2014年3月5日出願の米国特許出願第14/198,499号、発明の名称「ネットワーク配信サービス用セキュリティ」(代理人事件整理番号:NSKO 1000-2)(現在は2016年7月19日発行の米国特許第9,398,102号)。
2015年8月25日出願の米国特許出願第14/835,640号、発明の名称「クラウド・コンピューティング・サービス(CCS)に格納された企業情報を監視及び制御するシステム及び方法」(代理人事件整理番号:NSKO 1001-2)(現在は2018年3月27日発行の米国特許第9,928,377号)。
2018年3月2日出願の米国特許出願第15/911,034号、発明の名称「クラウドベースのコラボレーション環境における、マルウェア拡散のシミュレーション及び視覚化」(代理人事件整理番号:NSKO 1012-2)。
2018年5月22日出願の米国特許出願第15/986,732号、発明の名称「カテゴリ指向パーサを用いたデータ損失防止」(代理人事件整理番号:NSKO 1011-1)。
2017年4月21日出願の米国仮特許出願第62/488,703号、発明の名称「ネットワーク・セキュリティ・システム(NSS)による、セキュリティ施行の待ち時間とエラーの削減」(代理人事件整理番号:NSKO1007-1)。
2018年8月30日出願の米国特許出願第16/118,278号、発明の名称「コンテキスト情報を用いたドキュメント・メタデータの強化」(代理人事件整理番号:NSKO 1081-1)。
「クラウドにおけるデータ損失防止及びモニタリング」ネットスコープ,インク(Netskope,Inc)発行。
「クラウド・コンフィデンスへの5つのステップ」ネットスコープ,インク(NetScope,Inc)発行。
「ネットスコープ・アクティブ・クラウドDLP」ネットスコープ,インク(Netskope,Inc)発行。
「クラウド・データ侵害の衝突コースを修復する」ネットスコープ,インク(Netskope,Inc)発行。
「Netskope Cloud Confidence Index(商標)」ネットスコープ,インク(Netskope,Inc)発行。
開示された技術は、ホスティッド・サービスとの間のネットワーク・トラフィックを保護することに関し、特に、ホスティッド・サービスからデータを引き出そうと試みるフィッシング攻撃を検出し、防止するためのメタデータの使用に関する。
本セクションで議論される主題は、本セクションにおけるその言及の結果、単に従来技術であると仮定すべきではない。同様に、本セクションで述べた問題または背景技術として提供された主題に関連する問題は、従来技術内で既に認識されたものと仮定すべきではない。本セクションの主題は、単に様々なアプローチを示しているに過ぎず、また、それ自体または自発的に、請求項に記載の技術の実施に対応し得る。
フィッシングは、フィッシャーが偽のウェブサイトを使用して、ユーザの機密情報を引き出す試みである。フィッシャーは、プライベート・アカウント情報及びパスワードにアクセスしたいと考えている。フィッシング攻撃が成功すると、被害者に悲惨な結果をもたらし、金銭的損失やデータの盗難につながる可能性がある。通常、フィッシャーは、リンクとそれをクリックするように仕向ける詐欺メールやチャット・メッセージを送信する。スピア・フィッシングのような多数の様々なフィッシング攻撃があり、フィッシャーは、特定の企業に個々のマッチしたコンテンツの電子メールを送信することによって、成功率を上げたいと考えている。別のタイプのフィッシングは、クローン・フィッシングと呼ばれ、フィッシャーは、以前に送信されたメッセージのクローンを作成し、正当なコンテンツを、リンクまたはフォーミュラのような悪意のある情報に置き換える。
どこからでもクラウド・サービスにアクセスできるため、フィッシング・ベースの侵害が容易に成功する可能性がある。フィッシング攻撃の25%は、フィッシング攻撃で最もなりすましされたブランドである著名なクラウド・サービスのOffice365に組み込まれたデフォルトのセキュリティ対策を迂回する。
クラウドベースの電子メールは、フィッシングの新時代を迎えている。認証情報がフィッシャーに他の接続されたアカウントへのアクセスを与えるので、クラウドベースの電子メールの接続された性質により、フィッシャーは、フィッシング攻撃に1回成功するだけで、より大きな報酬にアクセスできる。
偽装フィッシング攻撃は、従業員にログインを促すフィッシング・ウェブページへのリンクを配置することを伴うが、ユーザは実際には、ログインではなくフィッシャーに資格情報を捧げている。そこから、疑いのない被害者がリンクをクリックし、偽のサインイン・ページに向けられたとき、被害者は、彼らが異常なことをしたとは知らずに、フィッシャーに彼らのユーザ名及びパスワードを提供する。
認証情報を盗んだ後、フィッシャーは典型的には、それらを使用してユーザのOffice365アカウントまたは他の電子メール・アカウントにリモートでログインし、これを他のスピア・フィッシング攻撃のための起動ポイントとして使用する。この時点で、フィッシャーは他の従業員または外部パートナーに追加のフィッシング・メールを送信し、フィッシング・リンクをクリックするように受信者を騙そうとするため、仕事中にフィッシャーを検出することはさらに困難になる。
偽装フィッシング攻撃は、幾つかの理由で検出することが困難である。フィッシング・リンクは通常、固有リンクがそれぞれの受信者に送信されるゼロデイであるため、セキュリティ・ブラックリストには表示されない。多くの場合、フィッシング・リンクは、攻撃者が悪意を持ってサインイン・ページを挿入した正規のウェブサイトにつながり、ドメイン名及びIPレピュテーションは正当である。セーフリンク等のリンク保護技術は、これらのフィッシング・リンク対して保護しない。フィッシング・リンクには単にサインイン・ページが含まれているだけで、悪意のあるウイルスはダウンロードされないため、ユーザはセーフリンクに従い、ユーザ名とパスワードを入力する。
従って、フィッシングに対する効果的な保護が必要である。
図面において、同様の参照符号は一般的に異なる図を通して同様の部品を指す。また、図面は必ずしも一定の縮尺ではなく、代わりに、開示された技術の原理を図解することに一般的に重点が置かれている。以下の説明では、開示された技術の様々な実施態様が以下の図面を参照して説明される。
ネットワーク・セキュリティ・システムを使用してフィッシング攻撃を検出及び防止する一実施態様を示す。
エンドポイント・セキュリティ・システムを使用してフィッシング攻撃を検出及び防止する一実施態様を示す。
ホスティッド・サービスによって使用される認可リソースアドレスを識別するメタデータ・ストア及びそのコンテンツの一実施態様を示す。
フィッシング被害者に送信されるフィッシング・デコイの一例を示す。
フィッシング被害者がフィッシング・デコイをクリックしたときに、認可されたクラウド・コンピューティング及びストレージ・サービスのユニフォーム・リソース・ロケータ(URL)に接続する図4のフィッシング・デコイを示す。
認可されたクラウド・コンピューティング及びストレージ・サービスのURLをフィッシング被害者がクリックしたことに応答して、フィッシング被害者に提示されるフィッシング・ウェブページを示す。
図6のフィッシング・ウェブページが有効なドメイン及び証明書を有することを示す。
リクエスト内のリソースアドレスを、ホスティッド・サービスによって使用され、メタデータ・ストア内で識別された認可リソースアドレスと比較することによって、非認可リソースへの機密情報の引き出しを防止する一実施態様を示す。
ウェブページ画像をホスティッド・サービスにマッピングするために画像分類器をトレーニングする一実施態様を示す。
フィッシング攻撃を検出及び防止するネットワーク・セキュリティ・システムに関係するアクションの幾つかを示すメッセージ・フローチャートである。
フィッシング攻撃を検出及び防止するエンドポイント・セキュリティ・システムに関係するアクションの幾つかを示すメッセージ・フローチャートである。
開示された技術を実施するために使用することができるコンピュータ・システムの簡略化されたブロック図である。
以下の説明は、当業者が開示された技術を製作し使用することを可能にするために提示され、特定の用途及びその要件に即して提供される。開示された実施態様に対する様々な修正は、当業者には容易に明らかであり、本明細書で定義される一般原則は、開示される技術の精神及び範囲から逸脱することなく、他の実施態様及び用途に適用され得る。従って、開示された技術は、示された実施態様に限定されることを意図するものではなく、本明細書に開示された原理及び特徴と一致する最も広い範囲が与えられるべきである。
著者らは、フィッシング攻撃を検出及び防止するためのシステムと様々な実施態様を説明する。システム及び処理は、図1を参照して説明される。図1はアーキテクチャ図であるので、説明をより明確にするために、特定の細部は意図的に省略される。図1の説明は、以下のように編成される。最初に、図の要素を説明し、次にそれらの相互接続を説明する。次に、要素の使用についてより詳細に説明する。
図1は、環境100で動作する開示された技術の一実施態様を示す。環境100は、エンドポイント102、ネットワーク・セキュリティ・システム125、及び、ホスティッド・サービス108を含む。エンドポイント102は、ネットワーク・セキュリティ・システム125を介して、ホスティッド・サービス108に格納されたコンテンツ(例えば、ドキュメント)にアクセスする。エンドポイント102は、エンドポイント・ルーティング・クライアント112を備える。
ネットワーク・セキュリティ・システム125は、画像分類器135(例えば、畳み込みニューラル・ネットワーク)と、ウェブページ・アナライザ145と、トラフィック・データ・アナライザ155と、セキュリティ・アクション実行器165と、メタデータ・ストア175とを含む。
エンドポイント102とネットワーク・セキュリティ・システム125のモジュールは、ハードウェアまたはソフトウェアで実装可能であり、図1に示すように正確に同じブロックで分割する必要はない。モジュールの幾つかは、異なるプロセッサまたはコンピュータ上に実装されてもよく、或いは、多数の異なるプロセッサまたはコンピュータに分散されてもよい。更に、幾つかのモジュールは、達成される機能に影響を及ぼすことなく、組み合わせるか、並列に動作させるか、または、図1に示されるものと異なる順序で動作させることができることが理解されるのであろう。また、本明細書で使用されるように、用語「モジュール」は、それ自体がモジュールを構成すると考えることができる「サブモジュール」を含むことができる。エンドポイント102及びネットワーク・セキュリティ・システム125内のブロックは、モジュールとして指定され、方法におけるフローチャートのステップと考えることもできる。また、モジュールは必ずしも全てのコードをメモリ内に隣接して配置する必要はなく、コードの一部は、他のモジュールまたは他の機能からのコードを間に配置して、該コードの他の部分から分離することができる。
次に、環境100の要素の相互接続について説明する。公衆ネットワーク115はエンドポイント102、ネットワーク・セキュリティ・システム125、及び、ホスティッド・サービス108を結合し、全てが相互に通信している(両矢印の実線によって示される)。実際の通信経路は、公衆及び/またはプライベート・ネットワーク上のポイント・ツー・ポイントであり得る。エンドポイント・ルーティング・クライアント112のような幾つかの項目は、例えば、アプリケーション・ストア(不図示)経由で間接的に配信されることがある。通信は、プライベート・ネットワーク、VPN(バーチャル・プライベート・ネットワーク)、MPLS回線、または、インターネット等の様々なネットワークを介して行われ、適切なアプリケーション・プログラミング・インタフェース(API)、及び、データ交換フォーマット、例えば、リプレゼンテーショナル・ステート・トランスファ(REST)、JavaScriptオブジェクト表記(JSON)、拡張マークアップ言語(XML)、シンプル・オブジェクト・アクセス・プロトコル(SOAP)、Javaメッセージ・サービス(JMS)、及び/または、Javaプラットフォーム・モジュール・システムを使用することができる。全ての通信を暗号化することができる。通信は一般に、LAN(ローカル・エリア・ネットワーク)、WAN(ワイド・エリア・ネットワーク)、電話網(公衆交換電話網)、セッション開始プロトコル(SIP)、ワイヤレス・ネットワーク、ポイント・ツー・ポイント・ネットワーク、星型ネットワーク、トークン・リング型ネットワーク,ハブ型ネットワーク、及び、EDGE、3G、4G LTE、Wi-Fi、WiMAX等のプロトコルを介したモバイル・インターネットを含むインターネット等のネットワークを介して行われる。更に、ユーザ名/パスワード、オープン認証(OAuth)、Kerberos、SecureID、デジタル証明書等の様々な承認及び認証技術を使用して、通信を保護することができる。
エンドポイント102には、デスクトップ・コンピュータ、ノート・パソコン、タブレット・コンピュータ、携帯電話、または他の種類のコンピューティング・デバイスがある。ネットワーク・セキュリティ・システム125等の環境100のエンジンまたはシステム・コンポーネントは、様々なタイプのコンピューティング・デバイス上で実行されるソフトウェアによって実装される。デバイスの例としては、ワーク・ステーション、サーバ、コンピューティング・クラスタ、ブレード・サーバ、サーバ・ファーム等がある。
図1の要素及びそれらの相互接続を紹介したが、ここで、図の要素をより詳細に説明する。
図1では、3つのホスティッド・サービスのAMAZON WEB SERVICES(AWS)(商標)118、BANK OF AMERICA(商標)128、及び、MICROSOFT AZURE(商標)138が示されているが、環境100は任意の数のホスティッド・サービスを含むことができると理解される。ホスティッド・サービス108は、クラウド・コンピューティングとストレージ・サービス、金融サービス、電子商取引サービス、または、任意のタイプのアプリケーション、ウェブサイト、または、プラットフォームであり得る。多くの場合、ホスティッド・サービス108は、BOX(商標)、DROPBOX(商標)、AMAZON AWS(商標)、GOOGLE DRIVE(商標)、GOOLE CLOUD PLATFORM(GCP)(商標)、MICROSOFT AZURE(商標)、EVERNOTE(商標)等の最も一般的に使用されるクラウド・アプリケーションである。ホスティッド・サービスは、クラウド・サービス、クラウド・アプリケーション、クラウド・ストレージ・アプリケーション(サービス)、及び、クラウド・コンピューティング・アプリケーション(サービス)と呼ばれることがある。
ホスティッド・サービス108は、クラウド内に実装することのできる、例えば、ログイン、ドキュメントの編集、バルク・データのダウンロード、顧客の連絡先情報の読み込み、支払勘定の入力、及び、ドキュメントの削除等の、データ損失防止(DLP)ポリシーの対象である機能を、ユーザに提供する。ホスティッド・サービス108は、ネットワーク・サービスまたはアプリケーションであったり、ウェブ・ベース(URL経由でアクセスされる等)であったり、同期クライアント等のネイティブであったりすることができる。例として、ソフトウェア・アズ・ア・サービス(SaaS)の提供、プラットフォーム・アズ・ア・サービス(PaaS)の提供、及び、インフラストラクチャ・アズ・ア・サービス(IaaS)の提供、並びに、URLを介して公開される内部企業アプリケーションが含まれる。今日の一般的なホスティッド・サービスの例には、BOX(商標)、GOGLE DRIVE(商標)、SALESFORCE.COM(商標)、DROPBOX(商標)、AMAZON AWS(商標)、MICROSOFT ONEDRIVE 365(商標)、APPLE LOUD DRIVE(商標)、ORACLE on DEMAND(商標)、SUGARSYNC(商標)、IDRIVE(商標)、及び、SPIDEROAK ONE(商標)が含まれる。
認可されたホスティッド・サービスは、会社が従業員に使用するために提供する、ITが把握しているホスティッド・サービスである。ITは通常、これらのホスティッド・サービスを完全に管理制御し、企業に代わってそれらを維持する。ITが認可されたホスティッド・サービスを管理するとしても、部門は、ユーザが如何にしてこれらのホスティッド・サービスにアクセスしているか、及び、企業データのアップロード、ダウンロード、共有、編集等、ユーザが如何なるアクティビティを実行しているかについての具体的な知識が不足している可能性がある。
未認可のホスティッド・サービスは、会社が知らないホスティッド・サービスである。ITが必要なビジネス機能を達成するために必要なツールを提供しない場合、従業員は、ITから外れ、自身のホスティッド・サービスを調達することが非常に多い。従業員は、ITの知識や支援なしに、これらのホスティッド・サービスを簡単に見つけ、支払い、ダウンロード、管理することができる。一方において、このことは、従業員が効率的に働く方法を提供するため、良いことである。他方、これらの未認可のホスティッド・サービスは、ITのリスクを生じさせる。ホスティッド・サービスとその中のデータを安全に保つことは、ITがそれらについて知らないときには困難である。ITは、未認可のホスティッド・サービスのセキュリティまたはコンプライアンスを適切に実施できない。強力なユーザ認証や監査ロギング等の重要なセキュリティ機能がないと、これらのホスティッド・サービス及びそれらの中のデータは、偶発的または意図的なデータ露出に対して脆弱である。最後に、ITは、ユーザが未認可のホスティッド・サービスをどのように使用しているか分からない。
ホスティッド・サービス108はまた、客観的基準に基づいてホスティッド・サービスの企業レディネスを評価し、全体的スコアを割り当てるNETSKOPE CLOUD CONFIDENCE INDEX(商標)に基づいて、判断/識別/等級付けされ得る。特に、NETSKOPE CLOUD CONFIDENCE INDEX(商標)は、ホスティッド・サービスの様々な属性を考慮することによって、ホスティッド・サービスの企業レディネスを測定する。ホスティッド・サービス属性の以下のリストは、網羅的ではなく例示的なものであり、暗号化ポリシー、監査可能性及びビジネス継続性、災害管理ポリシー、データ・センタの数、データ・センタのコンプライアンス証明書(例えば、SOC2)、識別及びアクセス制御、ファイル共有、データ分類、監査及び警告、データ・アクセス・ログ保存、パスワード・ポリシー、失効ポリシー、公開されたデータ回復計画、並びに、検査及びセキュリティ制御のためのトラフィックをプロキシする能力を含む。
幾つかの実施態様では、NETSKOPE CLOUD CONFIDENCE INDEX(商標)が組織のネットワークにインタフェースする各ホスティッド・サービスに0~100のスコアを割り当てる。更に、割り当てられたスコアに基づいて、ホスティッド・サービスは、優秀、高い、中程度の、低い、または不良等の異なるクラウド信頼性レベルに類別することができる。
他の実施態様では、NETSKOPE CLOUD CONFIDENCE INDEX(商標)は、ホスティッド・サービスを、クラウド・ストレージ、コラボレーション、財務及び会計、顧客関係管理(CRM)、人材、及び、ソフトウェア開発を含む複数のカテゴリにグループ化する。
ホスティッド・サービス108は、第三者がそれらと通信し、それらの基礎となるデータを利用できるように、それらのアプリケーション・プログラミング・インタフェース(API)を公表している。APIとは、そのインタフェース・タイプを含む一連のクラスに属するコード・ライブラリ、ルーチン、プロトコル・方法、及び、フィールドのパッケージ化された集合を指す。APIは、関連するクラスをインポートし、クラスをインスタンス化し、それらのメソッド及びフィールドを呼び出すステートメントを書くだけで、開発者及びプログラマが、彼ら自身のソフトウェア開発のためにクラスを使用することができる方法を規定する。APIは、ソフトウェア・コンポーネントが互いに通信するためのインタフェースとして使用することを目的としたソース・コード・ベースのアプリケーションである。APIには、ルーチン、データ構造、オブジェクト・クラス、及び、変数に対してアプリケーションを組み込むことができる。基本的に、APIは、開発者やプログラマがホスティッド・サービスの基礎データ、プラットフォーム機能、及び、機能にアクセスするためのインタフェースを提供する。開示された技術の実施態様は、SOAP、WSDL、Bulk、XML-RPC、及び、JSON-RPC等のHTTPまたはHTTPsベースのAPI、及び、REST API(例えば、FLICKR(商標)、GOGLE STATIC MAPS(商標)、GOGLE GEOLOCATION(商標))等のウェブ・サービスAPI、ウェブ・ソケットAPI、JavaScript及びTWAIN(例えば、GOGLE MAPS(商標)JavaScript API、DROPBOX(商標) JavaScript Data store API、TWILIO(商標) API、Oracle Call Interface(OCI))、Java API及びAndroid API(例えば、GOGLE MAPS(商標)Android API、MSDN Class Library for .NET Framework、Java及びC#向けのTWILIO(商標)API)等のクラス・ベースのAPI、ファイル・システムへのアクセスやユーザ・インタフェースへのアクセス等のOSの機能やルーチン、CORBA、及び.NET Remoting等のオブジェクト・リモーティングAPI、及び、ビデオ・アクセラレーション、ハードディスク・ドライブ、PCIバス等のハードウェアAPI、等の様々なタイプのAPIを使用する。開示された技術が使用するAPIの他の例は、AMAZON EC2 API(商標)、BOX CONTENT API(商標)、BOX EVENTS API(商標)、MICROSOFT GRAPH(商標)、DROPBOX API(商標)、DROPBOX API v2(商標)、DROPBOX CORE API(商標)、DROPBOX CORE API v2(商標)、FACEBOOK GRAPH API(商標)、FOURESQUARE API(商標)、GEONAMES API(商標)、FORCE.COM API(商標)、FORCE.COM METADATA API(商標)、APEX API(商標)、VISUALFORCE API(商標)、FORCE.COM ENTERPRISE WSDL(商標)、SALESFORCE.COM STREAMING API(商標)、SALESFORCE.COM TOOLING API(商標)、GOGLE DRIVE API(商標)、DRIVE REST API(商標)、ACCUWEATHER API(商標)、及び、CLOUDRAIL(商標) API等の、集約され単一化したAPIを含む。
ホスティッド・サービス108及びそれらのAPIについて説明したが、ここで、ネットワーク・セキュリティ・システム125について説明する。
ネットワーク・セキュリティ・システム125は、画像分類器135を使用して、ウェブページの1または複数の画像を分析し、特定のホスティッド・サービスが画像によって表されることを判定すること、ウェブページ・アナライザ145を使用して、ウェブページの1または複数のフィールドを分析し、該フィールドが機密情報を引き出すと判定すること、トラフィック・データ・アナライザ155を使用して、リクエスト(例えば、HTTPリクエスト)を分析し、リクエスト内のリソースアドレスを、特定のホスティッド・サービスによって使用される1または複数の認可されたリソースアドレスと比較することによって、機密情報が未認可リソースに引き出されていると判定すること、メタデータ・ストア175を使用して、認可されたリソースアドレスを記憶/リスト/識別すること、及び、セキュリティ・アクション実行器165を使用して、未認可リソースへの機密情報の送信をブロックすることを含む、様々な機能を提供する。これらの機能は、フィッシャーがエンドポイント102を介して、ホスティッド・サービス108に悪意を持ってアクセスすることを集合的に防止する。より一般的には、ネットワーク・セキュリティ・システム125は、セキュリティだけではなく、アプリケーションの可視性及び制御機能も提供する。
画像分類器135は、畳み込みニューラル・ネットワーク、状態ベクトル・マシン、ランダム・フォレスト、及び、勾配ブースト決定木、等の任意の画像分類アルゴリズムを実装することができる。画像分類器135は、バックプロパゲーション・ベースの確率的勾配更新トレーニング手法を使用して(例えば、ADAMトレーニング・アルゴリズムを使用して)、ウェブページ画像をホスティッド・サービス108にマッピングするようにトレーニングされ得る。
ウェブページ・アナライザ145は、HTMLドキュメント、PDF、画像、JavaScriptコード、データ記憶層(例えば、localStorage、IndexedDB、WebSQL、FileSystem)、または、他の何らかのタイプのコンテンツ(例えば、カスケーディング・スタイル・シート(CSS))を解析及び分析する。一実施態様では、ウェブページ・アナライザ145がHTMLドキュメントを解析し、要素をコンテンツ・ツリー内のDOMノードに変換する。別の実施態様では、それは、既に生成されたコンテンツ・ツリーを解析及び分析する。一実施態様では、それは、外部CSSファイルとスタイル要素の両方においてスタイル・データを解析及び分析する。別の実施態様では、それは、HTMLドキュメント内のビジュアル命令と共にスタイリング情報を含むレンダリング・ツリーを解析及び分析する。幾つかの実施態様では、該解析は、HTMLドキュメントのテキスト及びフィールド(キー値対)の語彙解析及び構文解析も含む。
トラフィック・データ・アナライザ155は、GETリクエスト、POSTリクエスト、及び、HEADリクエスト等のハイパーテキスト・トランスファー・プロトコル(HTTP)リクエストを解析及び分析する。HTTPリクエストは、汎用ヘッダ(接続、日付)、要求/応答ヘッダ、及び、エンティティ・ヘッダ(コンテンツ長、コンテンツ・タイプ、最終修正)を含む。一実施態様では、トラフィック・データ・アナライザ155が、POSTリクエスト内のHTTPヘッダを解析及び分析する。一実施態様では、トラフィック・データ・アナライザ155が、ディープAPI検査(DAPII)を使用してHTTPトランザクションを解釈するために、コネクタまたは標準化された統合を使用する。
セキュリティ・アクション実行器165は、ブロック、警告、迂回、隔離、指導、修正のためのワークフローの開始、レコード、正当性の追求、コンプライアンス外事象またはアクティビティに関する報告、またはコンテンツ暗号化を含むセキュリティ・アクションを実行する。セキュリティ・アクションのタイプは、コンテンツ・ポリシーのタイプ、実行されるコンテンツ・レベルのアクティビティ、及び、コンテンツ・タイプのうちの少なくとも1つに基づくことができる。他の実施態様では、機密データの所有権の変更等、セキュリティ・アクションとして特定のオフライン検査をトリガすることができる。
ネットワーク・セキュリティ・システム125の機能に関する更なる情報については、例えば、チェン、イタール、ナラヤナスワミー、及び、マルムスコッグの共有する米国特許出願(出願番号:14/198,499、14/198,508、 14/835,640、 14/835,632、及び、62/307,305);ダミー用のクラウド・セキュリティ、 ネットスコープ・スペシャル・エディション、ジョン・ワイリー・アンド・サンズ、2015年;「ネットスコープ・イントロスペクション」ネットスコープ,インク発行;「クラウドにおけるデータ損失防止及びモニタリング」ネットスコープ,インク発行;「クラウド・データ損失防止リファレンス・アーキテクチャ」ネットスコープ,インク発行;「クラウド・コンフィデンスへの5つのステップ」ネットスコープ,インク発行;「ネットスコープ・リアクティブ・プラットフォーム」ネットスコープ,インク発行;「ネットスコープ・アドヴァンテージ:クラウド・アクセス・セキュリティ・ブローカのための3つの“必携”要件」ネットスコープ,インク発行;「15の重要CASB使用事例」ネットスコープ,インク発行、「ネットスコープ・リアクティブ・クラウドDLP」ネットスコープ,インク発行、「クラウド・データ侵害の衝突コースを修復する」ネットスコープ,インク発行、及び、「Netskope Cloud Confidence Index(商標)」ネットスコープ,インク発行を参照することができ、以上の資料は、ここに完全に記載されているかの如く、全ての目的のために参照により組み込まれる。
エンドポイント・ルーティング・クライアント112に関して、それは、エンドポイント102から発するネットワーク・トラフィックをネットワーク・セキュリティ・システム125にルーティングする。デバイスのタイプに応じて、証明書ベースの認証を使用するVPNオンデマンドまたはアプリ毎のVPNのような仮想プライベート・ネットワーク(VPN)とすることができる。例えば、IOS(商標)デバイスに対しては、それは、アプリ毎のVPNであり得、または、ドメイン・ベースのVPNプロファイルのセットであり得る。ANDROID(登録商標) デバイスに対しては、それは、クラウド・ディレクタ・モバイル・アプリであり得る。WINDOWS(登録商標) デバイスに対しては、アプリ毎のVPNであり得、または、ドメイン・ベースのVPNプロファイルのセットであり得る。エンドポイント・ルーティングク・ライアント112はまた、電子メールを使用してダウンロードされるか、または、ConfigMgr(商標)、Altris(商標)、及びJamf(商標)等の大規模配備ツールを使用してサイレントにインストールされるエージェントであり得る。
図2は、エンドポイント・セキュリティ・システム202を使用してフィッシング攻撃を検出及び防止する一実施態様を示す。環境200において、エンドポイント102は、エンドポイント・セキュリティ・システム202を用いて構成される。エンドポイント・セキュリティ・システム202は、画像分類器135と、ウェブページ・アナライザ145と、トラフィック・データ・アナライザ155と、セキュリティ・アクション実行器165と、メタデータ・ストア175とを備える。
エンドポイント・セキュリティ・システム202は画像分類器135を使用して、ウェブページの1または複数の画像を分析し、特定のホスティッド・サービスが画像によって表されることを判定すること、ウェブページ・アナライザ145を使用して、ウェブページの1または複数のフィールドを分析し、該フィールドが機密情報を引き出すと判定すること、トラフィック・データ・アナライザ155を使用して、リクエスト(例えば、HTTPリクエスト)を分析し、リクエスト内のリソースアドレスを、特定のホスティッド・サービスによって使用される1または複数の認可リソースアドレスと比較することによって、機密情報が未認可リソースに引き出されていると判定すること、メタデータ・ストア175を使用して、認可リソースアドレスを記憶/リスト/識別すること、及び、セキュリティ・アクション実行器165を使用して、未認可リソースへの機密情報の送信をブロックすることを含む、様々な機能を提供する。これらの機能は、フィッシャーがエンドポイント102を介して、ホスティッド・サービス108に悪意を持ってアクセスすることを集合的に防止する。より一般的には、エンドポイント・セキュリティ・システム202が、セキュリティだけではなく、アプリケーション可視性及び制御機能も提供する。
図3は、ホスティッド・サービスによって使用される認可リソースアドレスを識別するメタデータ・ストア175及びそのコンテンツの一実施態様を示す。一実施態様では、メタデータ・ストア175が認可されたホスティッド・サービスのリソースアドレスを識別/リストする。リソースアドレスの例には、login.microsoftonline.com及びlogin.salesforce.com等のユニフォーム・リソース・ロケータ(URL)、ドメイン名、サブドメイン名、ユニフォーム・リソース識別子(URI)、インターネット・プロトコル(IP)アドレス、サーバ名表示(SNI)、及び、サブジェクト代替名(SAN)が含まれる。メタデータ・ストア175のこれらのコンテンツは、「メタデータ」と呼ぶことができる
図4は、フィッシング被害者に送信されるフィッシング・デコイ402の一例を示す。フィッシング・デコイ402は、ホスティッド・サービスのGOOGLE DRIVE(商標)でホストされるPDFであり、コロラド州デンバーの法律事務所になりすます。フィッシング・デコイ402は、AZURE(商標)のブロブ・ストレージでホストされるMICROSOFT OFFICE 365(商標)のフィッシング・ウェブページにリンクされている。フィッシング・デコイ402は、MICROSOFT AZURE(商標)ブロブ・ストレージでホストされるので、マイクロソフト発行のドメイン名と、セキュア・ソケット層(SSL)証明書とを有する。マイクロソフト発行のドメイン名と証明書を、マイクロソフト・コンテンツ(Webページ)と組み合わせることで、このおとりは特に説得力があり、フィッシングとして認識することが困難である。
フィッシング・デコイ402は、従来、フィッシング被害者への電子メール添付物として到着する。それは正当なコンテンツを含むように作られ、正当な情報源から来る。しばしば、添付物は、GOOGLE DRIVE(商標)のようなクラウド・ストレージ・サービスに保存される。これらのドキュメントを他のユーザと共有することは、本明細書に組み込まれている米国特許出願第15/911,034号に記載されているクラウド・フィッシング・ファンアウト効果のような二次伝播ベクトルを引き起こす可能性がある。
図5は、フィッシング被害者がフィッシング・デコイ402をクリックしたときに、認可されたクラウド・コンピューティング及びストレージ・サービスのAzureブロブ・ストレージのユニフォーム・リソース・ロケータ(URL)504に接続する図4のフィッシング・デコイ402を示す。
フィッシング・デコイ402は、図4に示すように、実際のPDFをダウンロードするためのハイパーリンクを含む。「PDFをダウンロード」ハイパーリンクをクリックすると、ドキュメントがAzureブロブ・ストレージURL 504に接続しようとしていることを示すメッセージ502が被害者に提示される。
図6は、ハイパーリンクをクリックした後に被害者に提示されるフィッシング・ウェブページ602を示す。フィッシング・ウェブページ602は、画像フィーチャ604及び606と、フィールド614及び624とを有する1または複数の画像を含む。
フィッシング・ウェブページ602は、Azureブロブ・ストレージでホストされる。その結果、図7に示すように、有効なマイクロソフト発行のSSL証明書702を有し、マイクロソフトの所有するドメイン上でホストされる。MICROSOFT OFFICE 365(商標)の資格情報を求めるサイト上でマイクロソフトのドメイン名とマイクロソフト発行のSSL証明書702を見ることは、そのサイトが合法であり、ユーザに彼らの資格情報を入力することを納得させるに十分な可能性があることを示す非常に強力な証拠である。続行をクリックすると、図8に示すように、被害者の資格情報がhttps://searchurl.bid/livelogins2017/finish40.php 824にアップロードされる。
最初に、画像分類器135は、フィッシング・ウェブページ602の画像にアクセスし、画像フィーチャ604及び606の処理に基づいて、画像が、ホスティッド・サービスのMICROSOFT OFFICE 365(商標)のMICROSOFT EXCEL(商標)アプリケーションによって使用されると判定する。従って、画像分類器135は、フィッシング・ウェブページ602の画像がホスティッド・サービスのMICROSOFT OFFICE 365(商標)を表すと予測する。
次いで、ウェブページ・アナライザ145は、フィッシング・ウェブページ602を分析し、フィールド614及び624を分析する。フィールド614及び624の分析に基づいて、ウェブページ・アナライザ145はフィールド614及び624が機密情報、即ち、電子メールアドレス及び電子メール・パスワードを引き出していることを推測する。他の実施態様では、様々なタイプの機密情報が引き出され、それについて検出され得る。幾つかの例として、制御された未分類情報(CUI)、個人識別可能情報(PII)、保護された健康情報(PHI)、支払いカード業界(PCI)情報、社会保障番号、運転免許証情報、及び、バイオメトリック記録が含まれる。
次いで、トラフィック・データ・アナライザ155は、HTTPヘッダ844を解析し、機密情報832及び834がPOSTフィールド内のURL824にアップロードされていると判定する。次いで、トラフィック・データ・アナライザ155は、メタデータ・ストア175にアクセスして、どの許可されたリソースアドレス804(URL、ドメイン名、サブドメイン名、URI、IPアドレス、SNI、SAN)が、ホスティッド・サービスのMICROSOFT OFFICE 365(商標)に関連付けられているかを判定する。次いで、トラフィック・データ・アナライザ155は、URL824の部分文字列を認可リソースアドレス804の部分文字列と比較する(802)。比較802に基づいて、トラフィック・データ・アナライザ155が、URL824がホスティッド・サービスのMICROSOFT OFFICE 365(商標)の許可されたリソースアドレスではないと判定する。従って、トラフィック・データ・アナライザ155は、機密情報832及び834が、未認可のリソースまたはロケーションに引き出されている(806)と判定する。
セキュリティ・アクション実行器165は、機密情報832及び834の未認可URL824への提供をブロックする(818)ことによって、該引き出し806を阻止する。
図9は、ウェブページ画像をホスティッド・サービスにマッピングするために画像分類器135をトレーニングする一実施態様を示す。トレーニング画像902は、画像分類器135をトレーニングするためのトレーニング・データとして使用され、最も一般的に使用される認可されたホスティッド・サービスのウェブページ及びウェブサイトからクロールされ抽出された画像を含む。各画像は、対応するホスティッド・サービスを識別するグラウンド・トゥルース914でラベル付けされる。一実施態様では、画像分類器135は、複数のホスティッド・サービス(例えば、AWS、BoA、Azure、GCP、Box、Dropbox)の信頼スコア確率904を生成するソフトマックス分類層を有する畳み込みニューラル・ネットワーク(CNN)である。トレーニングは、後方プロパゲーション934を使用して、予測誤差924から計算された勾配を畳み込みニューラル・ネットワークのパラメータ及び重み付けに適用する。
開示される技術の他の実施態様では、機械学習ベースの分類手法に加えて、または、その代わりに、開示される技術は、画像曖昧性除去及び分類のために知覚ハッシングのような画像フィンガープリント・アルゴリズムを使用することができる。知覚ハッシングに関する更なる詳細は、Perceptual hashing, https://en.wikipedia.org/w/index.php?title=perceptual_hashing&oldid=999157579(2021年1月25日最終アクセス)に見出すことができる。また、該資料は、ここに完全に記載されているかの如く、参照により組み込まれる。
図10は、フィッシング攻撃を検出及び防止するネットワーク・セキュリティ・システムに関係するアクションの幾つかを示すメッセージ・フローチャートである。メッセージ・フローチャートは例えば、情報を受信または検索し、情報を処理し、結果を記憶し、結果を送信するように構成された1または複数のプロセッサによって、少なくとも部分的にデータベース・システムを用いて実装することができる。他の実施態様は、図10に示されるものとは異なる順序で、及び/または、異なる、より少ない、もしくは追加のアクションを用いて、アクションを実行し得る。幾つかの実施態様では、複数のアクションを組み合わせることができる。便宜上、このメッセージ・フローチャートは、方法を実行するシステムを参照して説明される。システムは、必ずしも方法の一部ではない。
エンドポイント102とサーバ1008との間の通信は、それらの間に介在するネットワーク・セキュリティ・システム125によって監視され、仲介される。
先ず、ユーザは、エンドポイント102上で動作するクライアント1012(例えば、ブラウザ)を介してユーザ・アクション1014を発行する。一実施態様では、ユーザ・アクション1014は、フィッシング・ベイト(おとり)として機能するハイパーリンクの選択である。
ユーザ・アクション1014に応答して、サーバ1008は、クライアント1012にフィッシング・ウェブページ1026を送信する。
次いで、ネットワーク・セキュリティ・システム125の画像分類器135は、フィッシング・ウェブページ1026の画像の画像分析1032を実行し、画像によって表される特定のホスティッド・サービスを識別する。
次いで、ネットワーク・セキュリティ・システム125のウェブページ・アナライザ145は、フィッシング・ウェブページ1026のフィールドのフィールド分析1042を実行し、フィールドが機密情報を引き出していると判定する。
次に、ユーザ・アクション1054は、リクエスト1052を介して機密情報を提出することを試みる。リクエスト1052は、ネットワーク・セキュリティ・システム125によって傍受され、完了していない。
次に、ネットワーク・セキュリティ・システム125のトラフィック・データ・アナライザ155は、リクエスト1052のリクエスト分析1062を実行し、機密情報が未認可のリソースまたは場所に引き出されていると判定する。この判定は、リクエスト1052内のリソースアドレス(例えば、POST URL)を、ネットワーク・セキュリティ・システム125のメタデータ・ストア175内で識別/リストされる特定のホスティッド・サービスによって使用される1または複数の認可されたリソースアドレスと比較する(1076)ことによって行われる。
次いで、ネットワーク・セキュリティ・システム125は、フィッシング・ウェブページがフィッシング攻撃を実行していると判定し、機密情報の未認可リソースへの送信をブロックする(1086)。
他の実施態様では、比較1076により、機密情報が認可されたリソースまたは場所に送信されていると判定された場合、リクエストはブロックされず、代わりに履行される。
図11は、フィッシング攻撃を検出及び防止するエンドポイント・セキュリティ・システムに関係するアクションの幾つかを示すメッセージ・フローチャートである。メッセージ・フローチャートは、例えば、情報を受信または検索し、情報を処理し、結果を記憶し、結果を送信するように構成された1または複数のプロセッサによって、少なくとも部分的にデータベース・システムを用いて実装することができる。他の実施態様は、図11に示されるものとは異なる順序で、及び/または、異なる、より少ない、または、追加のアクションを用いて、アクションを実行し得る。幾つかの実施態様では、複数のアクションを組み合わせることができる。便宜上、このメッセージ・フローチャートは、方法を実行するシステムを参照して説明される。システムは、必ずしも方法の一部ではない。
先ず、ユーザは、エンドポイント102上で動作するクライアント1112(例えば、ブラウザ)を介してユーザ・アクション1114を発行する。一実施態様では、ユーザ・アクション1114は、フィッシング・ベイトとして機能するハイパーリンクの選択である。
ユーザ・アクション1114に応答して、サーバ1108は、クライアント1112にフィッシング・ウェブページ1126を送信する。
次いで、エンドポイント・セキュリティ・システム202の画像分類器135は、フィッシング・ウェブページ1126の画像の画像分析1132を実行し、画像によって表される特定のホスティッド・サービスを識別する。
次いで、エンドポイント・セキュリティ・システム202のウェブページ・アナライザ145は、フィッシング・ウェブページ1126のフィールドのフィールド分析1142を実行し、フィールドが機密情報を引き出していると判定する。
次に、ユーザ・アクション1154は、リクエスト1152を介して機密情報を提出することを試みる。リクエスト1152は、エンドポイント・セキュリティ・システム202によって傍受され、完了していない。
次に、エンドポイント・セキュリティ・システム202のトラフィック・データ・アナライザ155は、リクエスト1152のリクエスト分析1162を実行し、機密情報が未認可のリソースまたは場所に引き出されていると判定する。この判定は、リクエスト1152内のリソースアドレス(例えば、POST URL)を、エンドポイント・セキュリティ・システム202のメタデータ・ストア175内で識別/リストされる特定のホスティッド・サービスによって使用される1または複数の認可されたリソースアドレスと比較する(1176)ことによって行われる。
次いで、エンドポイント・セキュリティ・システム202は、フィッシング・ウェブページがフィッシング攻撃を実行していると判定し、機密情報の未認可リソースへの送信をブロックする(1186)。
他の実施態様では、比較1176により、機密情報が認可されたリソースまたは場所に送信されていると判定された場合、リクエストはブロックされず、代わりに履行される。
図12は、開示された技術を実施するために使用できるコンピュータ・システム1200の簡略ブロック図である。コンピュータ・システム1200は、バス・サブシステム1255を介して幾つかの周辺装置と通信する少なくとも1つの中央演算処理装置(CPU)1272を含む。これらの周辺装置が例えば、メモリ装置及びファイル・ストレージ・サブシステム1236を含むストレージ・サブシステム1210、ユーザ・インタフェース入力装置1238、ユーザ・インタフェース出力装置1276、及びネットワーク・インタフェース・サブシステム1274を含むことができる。入力及び出力装置は、コンピュータ・システム1200とのユーザ・インタラクションを可能にする。ネットワーク・インタフェース・サブシステム1274は、他のコンピュータ・システム内の対応するインタフェース装置へのインタフェースを含む、外部ネットワークへのインタフェースを提供する。
一実施態様では、ネットワーク・セキュリティ・システム125、そして/または、エンドポイント・セキュリティ・システム202が、記憶サブシステム1210及びユーザ・インタフェース入力デバイス1238に通信可能にリンクされる。
ユーザ・インタフェース入力装置1238は、キーボード、マウス、トラックボール、タッチパッド、または、グラフィックス・タブレット等のポインティング・デバイス、スキャナ、ディスプレイに組み込まれたタッチ・スクリーン、音声認識システム及びマイクロフォン等のオーディオ入力装置、並びに他のタイプの入力装置を含むことができる。一般に、「入力装置」という用語の使用は、コンピュータ・システム1200に情報を入力するための全ての可能なタイプの装置及び方法を含むことが意図される。
ユーザ・インタフェース出力装置1276は、ディスプレイ・サブシステム、プリンタ、ファックスマシン、または、オーディオ出力装置等の非視覚ディスプレイを含むことができる。ディスプレイ・サブシステムはLEDディスプレイ、陰極線管(CRT)、液晶ディスプレイ(LCD)等のフラットパネル装置、投影装置、または、可視画像を生成するための他の何らかのメカニズムを含むことができる。ディスプレイ・サブシステムはまた、オーディオ出力装置等の非視覚ディスプレイを提供することができる。一般に、「出力装置」という用語の使用はコンピュータ・システム1200からユーザに、または別の機械もしくはコンピュータ・システムに情報を出力するための全ての可能なタイプの装置及び方法を含むことが意図される。
ストレージ・サブシステム1210は、本明細書で説明するモジュール及び方法の一部または全部の機能を提供するプログラミング及びデータ構造を記憶する。サブシステム1278がグラフィックス処理装置(GPU)、プログラマブル・ゲートアレイ(FPGA)、または、粗粒度再構成可能アーキテクチャとすることができる。
ストレージ・サブシステム1210で使用されるメモリ・サブシステム1222は、プログラム実行中に命令及びデータを格納するためのメイン・ランダムアクセス・メモリ(RAM)1232と、固定命令が格納される読み出し専用メモリ(ROM)1234とを含む、幾つかのメモリを含むことができる。ファイル・ストレージ・サブシステム1236は、プログラム及びデータファイルのための永続的ストレージを提供することができ、ハードディスク・ドライブ、関連するリムーバブル・メディアと共にフロッピー(商標)ディスク・ドライブ、CD-ROMドライブ、光ドライブ、または、リムーバブル・メディア・カートリッジを含むことができる。特定の実施態様の機能を実施するモジュールは、ストレージ・サブシステム1210内のファイル・ストレージ・サブシステム1236によって、またはプロセッサによってアクセス可能な他のマシン内に格納することができる。
バス・サブシステム1255は、コンピュータ・システム1200の様々なコンポーネント及びサブシステムに、意図されたように互いに通信させるためのメカニズムを提供する。バス・サブシステム1255は単一のバスとして概略的に示されているが、バス・サブシステムの他に採り得る実施態様は多数のバスを使用することができる。
コンピュータ・システム1200は、パーソナル・コンピュータ、ポータブル・コンピュータ、ワーク・ステーション、コンピュータ端末、ネットワーク・コンピュータ、テレビ、サーバ、メインフレーム、広範囲に分散した一連の疎結合コンピュータ、または、任意の他のデータ処理システムもしくはユーザ・デバイスを含む様々なタイプのものとすることができる。コンピュータ及びネットワークの絶えず変化する性質のために、図12に示されるコンピュータ・システム1200の説明は、本発明の好ましい実施形態を例示する目的のための特定の実施例としてのみ意図される。コンピュータ・システム1200の多くの他の構成は、図12に示されたコンピュータ・システムよりも多いまたは少ないコンポーネントを有することが可能である。

[特定の実施態様]
一実施態様では、フィッシング攻撃を検出及び防止するコンピュータで実施する方法を開示する。
ネットワーク・セキュリティ・システムは、クライアント上で実行されたユーザ・アクションに応答して、サーバによってレンダリングされたウェブページを傍受する。ネットワーク・セキュリティ・システムは、ウェブページの1または複数の画像を分析し、特定のホスティッド・サービスが画像によって表されると判定する。ウェブページは、特定のホスティッド・サービスによって発行された有効なドメイン名及び証明書を伴い、特定のホスティッド・サービスの1または複数の公式ウェブページになりすます。
ネットワーク・セキュリティ・システムは、ウェブページの1または複数のフィールドを分析し、フィールドが機密情報を引き出すと判定する。ネットワーク・セキュリティ・システムは、フィールドを介して機密情報を提供する別のユーザ・アクションに応答して、クライアントによって生成されたリクエストを傍受する。
ネットワーク・セキュリティ・システムは、リクエストを分析し、機密情報が未認可のリソースに引き出されていると判定する。この判定は、リクエスト内のリソースアドレスを、特定のホスティッド・サービスによって使用される1または複数の認可されたリソースアドレスと比較することによって行われる。
ネットワーク・セキュリティ・システムは、ウェブページがフィッシング攻撃を実行していると判定し、機密情報の未認可リソースへの送信をブロックする。
開示された技術のこのセクション及び他のセクションで説明された方法は、以下の特徴及び/または開示された追加の方法に関連して説明された特徴の1または複数を含むことができる。簡潔にするために、本出願で開示される特徴の組み合わせは、個々に列挙されておらず、特徴の各基本セットとともに繰り返されていない。読者は、如何にしてこれらの実施態様において識別された特徴が、他の実施態様において識別された基本特徴の組と容易に組み合わされ得るかを理解するであろう。
特定のホスティッド・サービスは、クラウド・コンピューティング及びストレージ・サービスとすることができ、ウェブページは、クラウド・コンピューティング及びストレージ・サービス上でホストされ得る。ウェブページは、クラウド・コンピューティング及びストレージ・サービスのユニフォーム・リソース・ロケータ(URL)を有することができ、このユニフォーム・リソース・ロケータ(URL)は、特定のホスティッド・サービスの1または複数の公式URLとは異なり得る。
特定のホスティッド・サービスは、ウェブサイトとすることができる。ネットワーク・セキュリティ・システムは、ウェブページ画像をホスティッド・サービスにマッピングするようにトレーニングされた画像分類器を用いて構成することができる。一実施態様では、画像分類器は、畳み込みニューラル・ネットワーク(CNN)である。
特定のホスティッド・サービスによって使用される認可されたリソースアドレスは、ネットワーク・セキュリティ・システムにおいて維持されるメタデータ・ストアにおいて識別され得る。認可されたリソースアドレスは、ドメイン名、サブドメイン名、ユニフォーム・リソース識別子(URI)、及び、URLのうちの少なくとも1つによって識別され得る。認可されたリソースアドレスは、インターネット・プロトコル(IP)アドレス、サーバ名表示(SNI)、及び、サブジェクト代替名(SAN)のうちの少なくとも1つによって識別され得る。
リクエストは、ハイパーテキスト・トランスファー・プロトコル(HTTP)ヘッダを含むことができ、リソースアドレスは、HTTPヘッダのPOSTフィールドにおいて識別することができる。リクエストは、HTTPヘッダを含むことができ、リソースアドレスは、HTTPヘッダのリファラー・フィールドにおいて識別することができる。
機密情報を引き出すフィールドは、ユーザ名及びパスワード認証フィールド、PHIフィールド、及び/または、PCIフィールドとすることができる。
本セクションで説明する方法の他の実施態様は、上記で説明した方法の何れかを実行するためにプロセッサによって実行可能な命令を記憶する非一時的コンピュータ可読記憶媒体を含むことができる。本セクションで説明する方法のさらに別の実施態様は、上述の方法の何れかを実行するために、メモリに記憶された命令を実行するように動作可能なメモリ及び1または複数のプロセッサを含むシステムを含むことができる。
別の実施態様では、フィッシング攻撃を検出及び防止するコンピュータで実施する方法を開示する。
エンドポイント・セキュリティ・システムは、クライアント上で実行されたユーザ・アクションに応答して、サーバによってレンダリングされたウェブページを傍受する。エンドポイント・セキュリティ・システムは、ウェブページの1または複数の画像を分析し、特定のホスティッド・サービスが画像によって表されると判定する。ウェブページは、特定のホスティッド・サービスによって発行された有効なドメイン名及び証明書を伴い、特定のホスティッド・サービスの1または複数の公式ウェブページになりすます。
エンドポイント・セキュリティ・システムは、ウェブページの1または複数のフィールドを分析し、フィールドが機密情報を引き出すと判定する。エンドポイント・セキュリティ・システムは、フィールドを介して機密情報を提供する別のユーザ・アクションに応答して、クライアントによって生成されたリクエストを傍受する。
エンドポイント・セキュリティ・システムは、リクエストを分析し、機密情報が未認可のリソースに引き出されていると判定する。この判定は、リクエスト内のリソースアドレスを、特定のホスティッド・サービスによって使用される1または複数の認可されたリソースアドレスと比較することによって行われる。
エンドポイント・セキュリティ・システムは、ウェブページがフィッシング攻撃を実行していると判定し、機密情報の未認可リソースへの送信をブロックする。
開示された技術の本セクション及び他のセクションに記載された方法は、以下の特徴、及び/または、開示された追加の方法に関連して記載された特徴の1または複数を含むことができる。簡潔にするために、本出願で開示される特徴の組み合わせは、個々に列挙されておらず、特徴の各基本セットとともに繰り返されていない。読者は、如何にしてこれらの実施態様において識別された特徴が他の実施態様において識別された基本特徴の組と容易に組み合わされ得るかを理解するであろう。
特定のホスティッド・サービスは、クラウド・コンピューティング及びストレージ・サービスとすることができ、ウェブページは、クラウド・コンピューティング及びストレージ・サービス上でホストされ得る。ウェブページは、クラウド・コンピューティング及びストレージ・サービスのユニフォーム・リソース・ロケータ(URL)を有することができ、このユニフォーム・リソース・ロケータ(URL)は、特定のホスティッド・サービスの1または複数の公式URLとは異なり得る。
特定のホスティッド・サービスは、ウェブサイトとすることができる。エンドポイント・セキュリティ・システムは、ウェブページ画像をホスティッド・サービスにマッピングするようにトレーニングされた画像分類器を用いて構成することができる。一実施態様では、画像分類器は、畳み込みニューラル・ネットワーク(CNN)である。
特定のホスティッド・サービスによって使用される認可されたリソースアドレスは、エンドポイント・セキュリティ・システムにおいて維持されるメタデータ・ストアにおいて識別され得る。認可されたリソースアドレスは、ドメイン名、サブドメイン名、ユニフォーム・リソース識別子(URI)、及び、URLのうちの少なくとも1つによって識別され得る。認可されたリソースアドレスは、インターネット・プロトコル(IP)アドレス、サーバ名表示(SNI)、及び、サブジェクト代替名(SAN)のうちの少なくとも1つによって識別され得る。
リクエストは、ハイパーテキスト・トランスファー・プロトコル(HTTP)ヘッダを含むことができ、リソースアドレスは、HTTPヘッダのPOSTフィールドにおいて識別することができる。リクエストは、HTTPヘッダを含むことができ、リソースアドレスは、HTTPヘッダのリファラー・フィールドにおいて識別することができる。
機密情報を引き出すフィールドは、ユーザ名及びパスワード認証フィールド、PHIフィールド、及び/または、PCIフィールドとすることができる。
本セクションで説明する方法の他の実施態様は、上記で説明した方法の何れかを実行するためにプロセッサによって実行可能な命令を記憶する非一時的コンピュータ可読記憶媒体を含むことができる。本セクションで説明する方法の更に別の実施態様は上述の方法の何れかを実行するために、メモリに記憶された命令を実行するように動作可能なメモリ及び1または複数のプロセッサを含むシステムを含むことができる。

[条項]
以下の条項を開示する。
1. コンピュータで実施する機械学習ベースのデータ損失防止(DLP)の方法であって、
コンテンツを特徴付ける入力を、前記コンテンツが機密であるかどうかを判定するようにトレーニングされた機械学習モデルに提供すること、
前記機械学習モデルを介して前記入力を処理し、前記機械学習モデルによる分析を前記入力の代替表現に変換すること、及び、
出力層を介して前記代替表現を処理し、前記コンテンツを機密または非機密として分類すること、
を含むコンピュータで実施する方法。
2. 前記コンテンツが画像データであり、前記機械学習モデルが畳み込みニューラル・ネットワーク(CNN)である条項1のコンピュータで実施する方法。
3. 前記コンテンツがテキスト・データであり、前記機械学習モデルが再帰型ニューラル・ネットワーク(RNN)である条項1のコンピュータで実施する方法。
4. 前記コンテンツがテキスト・データであり、前記機械学習モデルがアテンション・ベース・ニューラル・ネットワーク(例えば、Transformer、Bert)である条項1のコンピュータで実施する方法。
5. 前記機械学習モデルが、機密コンテンツのシグネチャであるトレーニング例でトレーニングされ、トレーニング用の機密グラウンド・トゥルース・ラベルで注釈が付されている条項1のコンピュータで実施する方法。
6. 前記機械学習モデルが、非機密コンテンツのシグネチャであるトレーニング例でトレーニングされ、トレーニング用の非機密グラウンド・トゥルース・ラベルで注釈が付されている条項1のコンピュータで実施する方法。
7. コンピュータで実施する機械学習ベースの脅威検出の方法であって、
潜在的な脅威シグネチャを特徴付ける入力を、前記潜在的な脅威シグネチャが悪意のあるものか否かを判定するようにトレーニングされた機械学習モデルに提供すること、
前記機械学習モデルを介して前記入力を処理し、前記機械学習モデルによる分析を前記入力の代替表現に変換すること、及び、
出力層を介して前記代替表現を処理し、前記潜在的な脅威シグネチャを悪意のあるものまたは悪意のないものとして分類すること、
を含むコンピュータで実施する方法。
8. 前記潜在的な脅威シグネチャが画像データであり、前記機械学習モデルが畳み込みニューラル・ネットワーク(CNN)である条項7のコンピュータで実施する方法。
9. 前記潜在的な脅威シグネチャがテキスト・データであり、前記機械学習モデルが再帰型ニューラル・ネットワーク(RNN)である条項7のコンピュータで実施する方法。
10. 前記潜在的な脅威シグネチャがテキスト・データであり、前記機械学習モデルがアテンション・ベース・ニューラル・ネットワーク(例えば、Transformer、Bert)である条項7のコンピュータで実施する方法。
11. 前記機械学習モデルが、本当の脅威のシグネチャであるトレーニング例でトレーニングされ、トレーニング用の悪意のあるグラウンド・トゥルース・ラベルで注釈が付されている条項7のコンピュータで実施する方法。
12. 前記機械学習モデルが、偽の脅威のシグネチャであるトレーニング例でトレーニングされ、トレーニング用の悪意のないグラウンド・トゥルース・ラベルで注釈が付されている条項7のコンピュータで実施する方法。
13. コンピュータで実施する機械学習ベースの脅威検出の方法であって、
潜在的な脅威シグネチャを特徴付ける入力を、前記潜在的な脅威シグネチャが第1脅威タイプと第2脅威タイプの何れであるかを判定するようにトレーニングされた機械学習モデルに提供すること、
前記機械学習モデルを介して前記入力を処理し、前記機械学習モデルによる分析を前記入力の代替表現に変換すること、及び、
出力層を介して前記代替表現を処理し、前記潜在的な脅威シグネチャを前記第1脅威タイプまたは前記第2脅威タイプとして分類すること、
を含むコンピュータで実施する方法。
14. 前記潜在的な脅威シグネチャが画像データであり、前記機械学習モデルが畳み込みニューラル・ネットワーク(CNN)である条項13のコンピュータで実施する方法。
15. 前記潜在的な脅威シグネチャがテキスト・データであり、前記機械学習モデルが再帰型ニューラル・ネットワーク(RNN)である条項13のコンピュータで実施する方法。
16. 前記潜在的な脅威シグネチャがテキスト・データであり、前記機械学習モデルがアテンション・ベース・ニューラル・ネットワーク(例えば、Transformer、Bert)である条項13のコンピュータで実施する方法。
17. 前記機械学習モデルが、前記第1脅威タイプのシグネチャであるトレーニング例でトレーニングされ、トレーニング用の前記第1脅威タイプのグラウンド・トゥルース・ラベルで注釈が付されている条項13のコンピュータで実施する方法。
18. 前記機械学習モデルが、前記第2脅威タイプのシグネチャであるトレーニング例でトレーニングされ、トレーニング用の前記第2脅威タイプのグラウンド・トゥルース・ラベルで注釈が付されている条項13のコンピュータで実施する方法。
19. 潜在的な脅威シグネチャを特徴付ける入力を、前記潜在的な脅威シグネチャが第1脅威タイプと第2脅威タイプと第3脅威タイプの何れであるかを判定するようにトレーニングされた機械学習モデルに提供すること、
前記機械学習モデルを介して前記入力を処理し、前記機械学習モデルによる分析を前記入力の代替表現に変換すること、及び、
出力層を介して前記代替表現を処理し、前記潜在的な脅威シグネチャを前記第1脅威タイプまたは前記第2脅威タイプまたは前記第3脅威タイプとして分類すること、
を更に含む条項13のコンピュータで実施する方法。
20. 前記機械学習モデルが、前記第3脅威タイプのシグネチャであるトレーニング例でトレーニングされ、トレーニング用の前記第3脅威タイプのグラウンド・トゥルース・ラベルで注釈が付されている条項19のコンピュータで実施する方法。
21. コンピュータで実施する機械学習ベースのクラウド・アプリケーション(ホスティッド・サービス)の分類の方法であって、
コンテンツを特徴付ける入力を、前記コンテンツが複数のクラウド・アプリケーション(例えば、Box、Google Drive、Gmail、Office 365、Outlook、Word、Excel、Dropbox、等)の中から何れのクラウド・アプリケーションを識別するかを判定するようにトレーニングされた機械学習モデルに提供すること、
前記機械学習モデルを介して前記入力を処理し、前記機械学習モデルによる分析を前記入力の代替表現に変換すること、及び、
出力層を介して前記代替表現を処理し、前記コンテンツを複数のクラウド・アプリケーションの中から特定のクラウド・アプリケーションを識別するとして分類すること、
を含むコンピュータで実施する方法。
開示された技術のこのセクション及び他のセクションで説明された方法は、以下の特徴及び/または開示された追加の方法に関連して説明された特徴の1または複数を含むことができる。簡潔にするために、本出願で開示される特徴の組み合わせは、個々に列挙されておらず、特徴の各基本セットとともに繰り返されていない。読者は、如何にしてこれらの実施態様において識別された特徴が他の実施態様において識別された基本特徴の組と容易に組み合わされ得るかを理解するであろう。
本セクションで説明する方法の他の実施態様は、上記で説明した方法の何れかを実行するためにプロセッサによって実行可能な命令を記憶する非一時的コンピュータ可読記憶媒体を含むことができる。本セクションで説明する方法のさらに別の実施態様は、上述の方法の何れかを実行するために、メモリに記憶された命令を実行するように動作可能なメモリ及び1または複数のプロセッサを含むシステムを含むことができる。
開示された技術は、上記で詳述された好ましい実施形態及び実施例を参照することによって開示されるが、これらの実施例は、限定的な意味ではなく、例示的な意味で意図されていると理解されるべきである。当業者であれば、開示された技術の改変及び組み合わせが容易に想起され、これらの改変及び組み合わせは、本発明の精神及び以下の特許請求の範囲の範囲内にあると考えられる。

Claims (20)

  1. フィッシング攻撃を検出及び防止するコンピュータで実施する方法であって、
    ネットワーク・セキュリティ・システムが、クライアント上で実行されたユーザ・アクションに応答して、サーバによってレンダリングされたウェブページを傍受すること、
    前記ネットワーク・セキュリティ・システムが、前記ウェブページの1または複数の画像を分析し、特定のホスティッド・サービスが前記画像によって表されると判定すること、
    前記ネットワーク・セキュリティ・システムが、前記ウェブページの1または複数のフィールドを分析し、前記フィールドが機密情報を引き出すと判定すること、
    前記ネットワーク・セキュリティ・システムが、前記フィールドを介して前記機密情報を提供する別のユーザ・アクションに応答して、前記クライアントによって生成されたリクエストを傍受すること、
    前記ネットワーク・セキュリティ・システムが、前記リクエストを分析し、前記リクエスト内のリソースアドレスを、前記特定のホスティッド・サービスによって使用される1または複数の認可されたリソースアドレスと比較することによって、前記機密情報が未認可のリソースに引き出されていると判定すること、及び、
    前記ネットワーク・セキュリティ・システムが、前記ウェブページがフィッシング攻撃を実行していると判定し、前記機密情報の前記未認可のリソースへの送信をブロックすること、
    を含むコンピュータで実施する方法。
  2. 前記ウェブページは、前記特定のホスティッド・サービスによって発行された有効なドメイン名及び証明書を伴い、前記特定のホスティッド・サービスの1または複数の公式ウェブページになりすます請求項1に記載のコンピュータで実施する方法。
  3. 前記特定のホスティッド・サービスが、クラウド・コンピューティング及びストレージ・サービスであり、前記ウェブページが、前記クラウド・コンピューティング及びストレージ・サービス上でホストされる請求項2に記載のコンピュータで実施する方法。
  4. 前記ウェブページは、前記クラウド・コンピューティング及びストレージ・サービスのユニフォーム・リソース・ロケータ(URL)であって、前記特定のホスティッド・サービスの1または複数の公式URLとは異なるURLを有する請求項3に記載のコンピュータで実施する方法。
  5. 前記特定のホスティッド・サービスがウェブサイトである請求項1に記載のコンピュータで実施する方法。
  6. 前記ネットワーク・セキュリティ・システムが、ウェブページ画像をホスティッド・サービスにマッピングするようにトレーニングされた画像分類器を用いて構成されている請求項1に記載のコンピュータで実施する方法。
  7. 前記画像分類器が、畳み込みニューラル・ネットワーク(CNN)である請求項6に記載のコンピュータで実施する方法。
  8. 前記特定のホスティッド・サービスによって使用される前記認可されたリソースアドレスが、前記ネットワーク・セキュリティ・システムにおいて維持されるメタデータ・ストアにおいて識別される請求項1に記載のコンピュータで実施する方法。
  9. 前記認可されたリソースアドレスが、ドメイン名、サブドメイン名、ユニフォーム・リソース識別子(URI)、及び、URLのうちの少なくとも1つによって識別される請求項8に記載のコンピュータで実施する方法。
  10. 前記認可されたリソースアドレスが、インターネット・プロトコル(IP)アドレス、サーバ名表示(SNI)、及び、サブジェクト代替名(SAN)のうちの少なくとも1つによって識別される請求項8に記載のコンピュータで実施する方法。
  11. 前記リクエストが、ハイパーテキスト・トランスファー・プロトコル(HTTP)ヘッダを含み、前記リソースアドレスが、前記HTTPヘッダのPOSTフィールドにおいて識別される請求項1に記載のコンピュータで実施する方法。
  12. 前記リクエストが、HTTPヘッダを含み、前記リソースアドレスが、前記HTTPヘッダのリファラー・フィールドにおいて識別される請求項1に記載のコンピュータで実施する方法。
  13. 前記機密情報を引き出すフィールドが、ユーザ名及びパスワード認証フィールドである請求項1に記載のコンピュータで実施する方法。
  14. フィッシング攻撃を検出及び防止するコンピュータで実施する方法であって、
    エンドポイント・セキュリティ・システムが、クライアント上で実行されたユーザ・アクションに応答して、サーバによってレンダリングされたウェブページを傍受すること、
    前記エンドポイント・セキュリティ・システムが、前記ウェブページの1または複数の画像を分析し、特定のホスティッド・サービスが前記画像によって表されると判定すること、
    前記エンドポイント・セキュリティ・システムが、前記ウェブページの1または複数のフィールドを分析し、前記フィールドが機密情報を引き出すと判定すること、
    前記エンドポイント・セキュリティ・システムが、前記フィールドを介して機密情報を提供する別のユーザ・アクションに応答して、前記クライアントによって生成されたリクエストを傍受すること、
    前記エンドポイント・セキュリティ・システムが、前記リクエストを分析し、前記リクエスト内のリソースアドレスを、前記特定のホスティッド・サービスによって使用される1または複数の認可されたリソースアドレスと比較することによって、前記機密情報が未認可のリソースに引き出されていると判定すること、及び、
    前記エンドポイント・セキュリティ・システムが、前記ウェブページがフィッシング攻撃を実行していると判定し、前記機密情報の前記未認可のリソースへの送信をブロックすること、
    を含むコンピュータで実施する方法。
  15. 前記エンドポイント・セキュリティ・システムが、画像をホスティッド・サービスにマッピングするようにトレーニングされた画像分類器を用いて構成されている請求項14に記載のコンピュータで実施する方法。
  16. 前記特定のホスティッド・サービスによって使用される前記認可されたリソースアドレスは、前記エンドポイント・セキュリティ・システムにおいて維持されるメタデータ・ストアにおいて識別される請求項14に記載のコンピュータで実施する方法。
  17. リソースデータを識別しないリソースレベル・トランザクションにおいてデータ損失防止ポリシーを実行するコンピュータ・プログラム命令を記憶した非一時的コンピュータ可読記憶媒体方法であって、
    前記命令がプロセッサ上で実行されると、請求項1に記載の方法が実施される非一時的コンピュータ可読記憶媒体。
  18. リソースデータを識別しないリソースレベル・トランザクションにおいてデータ損失防止ポリシーを実行するコンピュータ・プログラム命令を記憶した非一時的コンピュータ可読記憶媒体方法であって、
    前記命令がプロセッサ上で実行されると、請求項14に記載の方法が実施される非一時的コンピュータ可読記憶媒体。
  19. メモリに接続した1または複数のプロセッサを含むシステムであって、
    リソースデータを識別しないリソースレベル・トランザクションにおいてデータ損失防止ポリシーを実行するコンピュータ・プログラム命令が前記メモリにロードされており、
    前記命令が前記プロセッサ上で実行されると、請求項1に記載の方法が実施されるシステム。
  20. メモリに接続した1または複数のプロセッサを含むシステムであって、
    リソースデータを識別しないリソースレベル・トランザクションにおいてデータ損失防止ポリシーを実行するコンピュータ・プログラム命令が前記メモリにロードされており、
    前記命令が前記プロセッサ上で実行されると、請求項14に記載の方法が実施されるシステム。

JP2022545156A 2020-01-27 2021-01-26 メタデータ・ベースのフィッシング攻撃の検知及び防止 Pending JP2023522530A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US202062966412P 2020-01-27 2020-01-27
US62/966,412 2020-01-27
US17/157,947 2021-01-25
US17/157,947 US11856022B2 (en) 2020-01-27 2021-01-25 Metadata-based detection and prevention of phishing attacks
PCT/US2021/015082 WO2021154724A1 (en) 2020-01-27 2021-01-26 Metadata-based detection and prevention of phishing attacks

Publications (1)

Publication Number Publication Date
JP2023522530A true JP2023522530A (ja) 2023-05-31

Family

ID=76970544

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022545156A Pending JP2023522530A (ja) 2020-01-27 2021-01-26 メタデータ・ベースのフィッシング攻撃の検知及び防止

Country Status (4)

Country Link
US (2) US11856022B2 (ja)
EP (1) EP4097944B1 (ja)
JP (1) JP2023522530A (ja)
WO (1) WO2021154724A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11258809B2 (en) * 2018-07-26 2022-02-22 Wallarm, Inc. Targeted attack detection system
US11520900B2 (en) * 2018-08-22 2022-12-06 Arizona Board Of Regents On Behalf Of Arizona State University Systems and methods for a text mining approach for predicting exploitation of vulnerabilities
US11637863B2 (en) * 2020-04-03 2023-04-25 Paypal, Inc. Detection of user interface imitation
US12003535B2 (en) * 2021-03-01 2024-06-04 Microsoft Technology Licensing, Llc Phishing URL detection using transformers
US11997127B2 (en) 2021-05-07 2024-05-28 Netskope, Inc. Policy based vulnerability identification, correlation, remediation, and mitigation
US11882152B2 (en) * 2021-07-30 2024-01-23 Bank Of America Corporation Information security system and method for phishing website identification based on image hashing
US20230319106A1 (en) * 2022-04-04 2023-10-05 Proofpoint, Inc. Machine learning uniform resource locator (url) classifier
US20230344867A1 (en) * 2022-04-25 2023-10-26 Palo Alto Networks, Inc. Detecting phishing pdfs with an image-based deep learning approach

Family Cites Families (206)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4574346A (en) 1982-09-29 1986-03-04 International Business Machines Corporation Method and apparatus for peripheral data handling hierarchies
US5452460A (en) 1993-01-27 1995-09-19 International Business Machines Corporation Method and apparatus for creating secure pseudo-terminal links
US6357010B1 (en) 1998-02-17 2002-03-12 Secure Computing Corporation System and method for controlling access to documents stored on an internal network
US20010011238A1 (en) 1998-03-04 2001-08-02 Martin Forest Eberhard Digital rights management system
US6502192B1 (en) 1998-09-03 2002-12-31 Cisco Technology, Inc. Security between client and server in a computer network
US6687732B1 (en) 1998-09-28 2004-02-03 Inktomi Corporation Adaptive traffic bypassing in an intercepting network driver
US6898636B1 (en) 1999-02-04 2005-05-24 Intralinks, Inc. Methods and systems for interchanging documents between a sender computer, a server and a receiver computer
US6574655B1 (en) 1999-06-29 2003-06-03 Thomson Licensing Sa Associative management of multimedia assets and associated resources using multi-domain agent-based communication between heterogeneous peers
US6981155B1 (en) 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US7231426B1 (en) 2000-05-24 2007-06-12 Microsoft Corporation System and method for sending a web page via electronic mail
JP3526435B2 (ja) 2000-06-08 2004-05-17 株式会社東芝 ネットワークシステム
US8346580B2 (en) 2000-06-09 2013-01-01 Flash Seats, Llc System and method for managing transfer of ownership rights to access to a venue and allowing access to the venue to patron with the ownership right
US6829654B1 (en) 2000-06-23 2004-12-07 Cloudshield Technologies, Inc. Apparatus and method for virtual edge placement of web sites
US7305085B2 (en) 2000-06-30 2007-12-04 Kabushiki Kaisha Toshiba Encryption apparatus and method, and decryption apparatus and method based on block encryption
US7587499B1 (en) 2000-09-14 2009-09-08 Joshua Haghpassand Web-based security and filtering system with proxy chaining
US7370351B1 (en) 2001-03-22 2008-05-06 Novell, Inc. Cross domain authentication and security services using proxies for HTTP access
US20020138593A1 (en) 2001-03-26 2002-09-26 Novak Michael J. Methods and systems for retrieving, organizing, and playing media content
WO2002101516A2 (en) 2001-06-13 2002-12-19 Intruvert Networks, Inc. Method and apparatus for distributed network security
US7908472B2 (en) 2001-07-06 2011-03-15 Juniper Networks, Inc. Secure sockets layer cut through architecture
US20080301231A1 (en) 2001-11-28 2008-12-04 Samir Narendra Mehta Method and System for Maintaining and Distributing Wireless Applications
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7296058B2 (en) 2002-01-30 2007-11-13 Employers Reinsurance Corporation Systems and methods for managing email
US8260907B2 (en) 2002-04-04 2012-09-04 Ca, Inc. Methods, systems and computer program products for triggered data collection and correlation of status and/or state in distributed data processing systems
AU2003239220A1 (en) 2002-06-10 2003-12-22 Akonix Systems, Inc. Systems and methods for a protocol gateway
US7342892B2 (en) 2002-06-26 2008-03-11 Sbc Properties, L.P. Controlled exception-based routing protocol validation
US7475146B2 (en) 2002-11-28 2009-01-06 International Business Machines Corporation Method and system for accessing internet resources through a proxy using the form-based authentication
US7412539B2 (en) 2002-12-18 2008-08-12 Sonicwall, Inc. Method and apparatus for resource locator identifier rewrite
US8335860B2 (en) 2002-12-19 2012-12-18 Nokia Corporation Filtering application services
EP1639440A4 (en) 2003-04-25 2009-03-11 Apple Inc GRAPHIC USER INTERFACE FOR BROWSING, BROWSING AND PRESENTING MEDIA ARTICLES
CN1856790A (zh) 2003-07-22 2006-11-01 基诺技术公司 使用本体的信息访问
US7769994B2 (en) 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
CA2483233C (en) 2003-09-30 2015-08-11 Layer 7 Technologies Inc. System and method securing web services
US7536439B1 (en) 2003-12-02 2009-05-19 Digital Impact, Inc. Methods and apparatus for categorizing failure messages that result from email messages
US8590032B2 (en) 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
WO2005069823A2 (en) 2004-01-15 2005-08-04 Jun Song Centralized transactional security audit for enterprise systems
US20050251856A1 (en) 2004-03-11 2005-11-10 Aep Networks Network access using multiple authentication realms
AU2005266945A1 (en) 2004-07-23 2006-02-02 Citrix Systems, Inc. A method and systems for securing remote access to private networks
WO2006095335A2 (en) 2005-03-07 2006-09-14 Noam Camiel System and method for a dynamic policies enforced file system for a data storage device
US9069436B1 (en) 2005-04-01 2015-06-30 Intralinks, Inc. System and method for information delivery based on at least one self-declared user attribute
US20060248575A1 (en) 2005-05-02 2006-11-02 Zachary Levow Divided encryption connections to provide network traffic security
US7624436B2 (en) 2005-06-30 2009-11-24 Intel Corporation Multi-pattern packet content inspection mechanisms employing tagged values
JP4820374B2 (ja) 2005-12-15 2011-11-24 ネットスター株式会社 ウェブアクセス監視方法及びそのプログラム
CN101496387B (zh) 2006-03-06 2012-09-05 思科技术公司 用于移动无线网络中的接入认证的系统和方法
US8495181B2 (en) 2006-08-03 2013-07-23 Citrix Systems, Inc Systems and methods for application based interception SSI/VPN traffic
JP4387446B2 (ja) 2006-08-23 2009-12-16 サイバーステーション株式会社 Url変換によるwebコンテンツ編集方法及び装置
US8479283B2 (en) 2006-11-28 2013-07-02 Microsoft Corporation Generating security validation code automatically
US8590027B2 (en) 2007-02-05 2013-11-19 Red Hat, Inc. Secure authentication in browser redirection authentication schemes
US7899861B2 (en) 2007-04-02 2011-03-01 International Business Machines Corporation Method for declarative semantic expression of user intent to enable goal-driven stream processing
US8549157B2 (en) 2007-04-23 2013-10-01 Mcafee, Inc. Transparent secure socket layer
KR100955282B1 (ko) 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
WO2009066920A2 (en) 2007-11-23 2009-05-28 Lg Electronics Inc. Mobile terminal and associated storage devices having web servers, and method for controlling the same
US7852849B2 (en) 2008-03-04 2010-12-14 Bridgewater Systems Corp. Providing dynamic quality of service for virtual private networks
US9325731B2 (en) * 2008-03-05 2016-04-26 Facebook, Inc. Identification of and countermeasures against forged websites
US20110016197A1 (en) 2008-03-05 2011-01-20 Yoshiko Shiimori Proxy server, and method and program for controlling same
US7996373B1 (en) 2008-03-28 2011-08-09 Symantec Corporation Method and apparatus for detecting policy violations in a data repository having an arbitrary data schema
US11864051B2 (en) 2008-04-01 2024-01-02 Blancco Technology Group IP Oy Systems and methods for monitoring and managing use of mobile electronic devices
US20090328188A1 (en) 2008-05-01 2009-12-31 Motorola, Inc. Context-based semantic firewall for the protection of information
US20100188993A1 (en) 2009-01-28 2010-07-29 Gregory G. Raleigh Network tools for analysis, design, testing, and production of services
WO2010011180A1 (en) 2008-07-25 2010-01-28 Resolvo Systems Pte Ltd Method and system for securing against leakage of source code
US8909925B2 (en) 2008-11-17 2014-12-09 Prakash Baskaran System to secure electronic content, enforce usage policies and provide configurable functionalities
US8613040B2 (en) 2008-12-22 2013-12-17 Symantec Corporation Adaptive data loss prevention policies
US20100251369A1 (en) 2009-03-25 2010-09-30 Grant Calum A M Method and system for preventing data leakage from a computer facilty
US8572758B1 (en) 2009-03-30 2013-10-29 Symantec Corporation DLP-enforced loss scanning, sequestering, and content indexing
US8954725B2 (en) 2009-05-08 2015-02-10 Microsoft Technology Licensing, Llc Sanitization of packets
US8856869B1 (en) 2009-06-22 2014-10-07 NexWavSec Software Inc. Enforcement of same origin policy for sensitive data
EP2267942B1 (en) 2009-06-22 2014-08-13 Citrix Systems, Inc. Systems and methods of handling non-http client or server push on http vserver
US9069992B1 (en) 2009-07-31 2015-06-30 Symantec Corporation System and method for reducing data loss prevention scans
US8566932B1 (en) 2009-07-31 2013-10-22 Symantec Corporation Enforcing good network hygiene using reputation-based automatic remediation
US8281372B1 (en) 2009-12-18 2012-10-02 Joel Vidal Device, system, and method of accessing electronic mail
US8510857B2 (en) 2009-12-18 2013-08-13 International Business Machines Corporation Federation of email
US8640216B2 (en) 2009-12-23 2014-01-28 Citrix Systems, Inc. Systems and methods for cross site forgery protection
US8190675B2 (en) 2010-02-11 2012-05-29 Inditto, Llc Method and system for providing access to remotely hosted services through a normalized application programming interface
US8549300B1 (en) 2010-02-23 2013-10-01 Juniper Networks, Inc. Virtual single sign-on for certificate-protected resources
US8776169B2 (en) 2010-03-30 2014-07-08 Authentic8, Inc. Disposable browsers and authentication techniques for a secure online user environment
JP2011234178A (ja) 2010-04-28 2011-11-17 Panasonic Corp 情報記録媒体、ドキュメントデータ編集装置、ドキュメントデータ編集方法
JP5525048B2 (ja) 2010-06-29 2014-06-18 株式会社日立製作所 不正操作検知方法、及び、不正操作を検知する計算機
US9906838B2 (en) 2010-07-12 2018-02-27 Time Warner Cable Enterprises Llc Apparatus and methods for content delivery and message exchange across multiple content delivery networks
US8365243B1 (en) 2010-07-14 2013-01-29 Trend Micro, Inc. Image leak prevention using geotagging
US9801095B2 (en) 2010-07-26 2017-10-24 At&T Mobility Ii Llc Automated wireless access point resource allocation and optimization
US20120089534A1 (en) 2010-10-12 2012-04-12 Sap Ag Business Network Management
US9094291B1 (en) 2010-12-14 2015-07-28 Symantec Corporation Partial risk score calculation for a data object
US8914892B2 (en) 2011-02-14 2014-12-16 International Business Machines Corporation Method and system to enhance accuracy of a data leak prevention (DLP) system
IL212344A (en) 2011-04-14 2015-03-31 Verint Systems Ltd A system and method for selectively controlling encrypted traffic
US20120278487A1 (en) 2011-04-27 2012-11-01 Woelfel John Harold System and method of handling requests in a multi-homed reverse proxy
US8763072B2 (en) 2011-05-09 2014-06-24 Symantec Corporation Preventing inappropriate data transfers based on reputation scores
US8892665B1 (en) 2011-05-24 2014-11-18 Palo Alto Networks, Inc. Encrypted peer-to-peer detection
US8886925B2 (en) 2011-10-11 2014-11-11 Citrix Systems, Inc. Protecting enterprise data through policy-based encryption of message attachments
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US9973484B2 (en) 2011-10-31 2018-05-15 Reid Consulting Group, Inc. System and method for securely storing and sharing information
US20130145483A1 (en) 2011-12-02 2013-06-06 Jpmorgan Chase Bank, N.A. System And Method For Processing Protected Electronic Communications
US10469533B2 (en) 2012-01-24 2019-11-05 Ssh Communications Security Oyj Controlling and auditing SFTP file transfers
US8544060B1 (en) 2012-01-27 2013-09-24 Symantec Corporation Method and system for detecting and protecting against potential data loss from unknown applications
US9553860B2 (en) 2012-04-27 2017-01-24 Intralinks, Inc. Email effectivity facility in a networked secure collaborative exchange environment
US8850588B2 (en) 2012-05-01 2014-09-30 Taasera, Inc. Systems and methods for providing mobile security based on dynamic attestation
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US8782796B2 (en) 2012-06-22 2014-07-15 Stratum Security, Inc. Data exfiltration attack simulation technology
KR101401794B1 (ko) 2012-06-29 2014-06-27 인텔렉추얼디스커버리 주식회사 데이터 공유 제공 방법 및 장치
US9230096B2 (en) 2012-07-02 2016-01-05 Symantec Corporation System and method for data loss prevention in a virtualized environment
US9237170B2 (en) 2012-07-19 2016-01-12 Box, Inc. Data loss prevention (DLP) methods and architectures by a cloud service
US9167050B2 (en) 2012-08-16 2015-10-20 Futurewei Technologies, Inc. Control pool based enterprise policy enabler for controlled cloud access
US9124628B2 (en) 2012-09-20 2015-09-01 Cisco Technology, Inc. Seamless engagement and disengagement of transport layer security proxy services
US9959420B2 (en) 2012-10-02 2018-05-01 Box, Inc. System and method for enhanced security and management mechanisms for enterprise administrators in a cloud-based environment
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US9137131B1 (en) 2013-03-12 2015-09-15 Skyhigh Networks, Inc. Network traffic monitoring system and method to redirect network traffic through a network intermediary
US20140269279A1 (en) 2013-03-15 2014-09-18 Seven Networks, Inc. Triggering congestion control for radio aware applications
US8978110B2 (en) 2012-12-06 2015-03-10 Airwatch Llc Systems and methods for controlling email access
US9021037B2 (en) 2012-12-06 2015-04-28 Airwatch Llc Systems and methods for controlling email access
US8832785B2 (en) 2012-12-06 2014-09-09 Airwatch, Llc Systems and methods for controlling email access
EP2932680A1 (en) 2012-12-12 2015-10-21 Interdigital Patent Holdings, Inc. Independent identity management systems
RU2530210C2 (ru) 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
TW201427366A (zh) 2012-12-28 2014-07-01 Ibm 企業網路中為了資料外洩保護而解密檔案的方法與資訊裝置
US8925069B2 (en) 2013-01-07 2014-12-30 Apple Inc. Accessory device authentication using list of known good devices maintained by host device
US9185088B1 (en) 2013-02-19 2015-11-10 Amazon Technologies, Inc. Secure and efficient communication through an intermediary
US9398102B2 (en) 2013-03-06 2016-07-19 Netskope, Inc. Security for network delivered services
US20140317681A1 (en) 2013-03-15 2014-10-23 Jon Rav Gagan Shende Cloud forensics
US20140310392A1 (en) 2013-04-10 2014-10-16 Lap-Wah Lawrence Ho Method and apparatus for processing composite web transactions
US9069955B2 (en) 2013-04-30 2015-06-30 International Business Machines Corporation File system level data protection during potential security breach
US9122869B1 (en) 2013-05-01 2015-09-01 Symantec Corporation Systems and methods for detecting client types
US9246944B1 (en) 2013-05-28 2016-01-26 Symantec Corporation Systems and methods for enforcing data loss prevention policies on mobile devices
US9900261B2 (en) 2013-06-02 2018-02-20 Airwatch Llc Shared resource watermarking and management
US9917817B1 (en) 2013-06-10 2018-03-13 EMC IP Holding Company LLC Selective encryption of outgoing data
US20140380491A1 (en) 2013-06-24 2014-12-25 International Business Machines Corporation Endpoint security implementation
US9553867B2 (en) 2013-08-01 2017-01-24 Bitglass, Inc. Secure application access system
US9215251B2 (en) 2013-09-11 2015-12-15 Appsense Limited Apparatus, systems, and methods for managing data security
US9224104B2 (en) 2013-09-24 2015-12-29 International Business Machines Corporation Generating data from imbalanced training data sets
US9602498B2 (en) 2013-10-17 2017-03-21 Fortinet, Inc. Inline inspection of security protocols
EP3069494B1 (en) 2013-11-11 2020-08-05 Microsoft Technology Licensing, LLC Cloud service security broker and proxy
US9438506B2 (en) 2013-12-11 2016-09-06 Amazon Technologies, Inc. Identity and access management-based access control in virtual networks
US9405904B1 (en) 2013-12-23 2016-08-02 Symantec Corporation Systems and methods for providing security for synchronized files
US9460179B1 (en) 2014-01-14 2016-10-04 Google Inc. Systems and methods for providing adaptive visualization of synchronization of multiple files
US9294462B2 (en) 2014-01-15 2016-03-22 Cisco Technology, Inc. Redirect to inspection proxy using single-sign-on bootstrapping
US9256727B1 (en) 2014-02-20 2016-02-09 Symantec Corporation Systems and methods for detecting data leaks
WO2015126293A1 (en) 2014-02-21 2015-08-27 Telefonaktiebolaget L M Ericsson (Publ) Method and devices for protection of control plane functionality
US9626528B2 (en) 2014-03-07 2017-04-18 International Business Machines Corporation Data leak prevention enforcement based on learned document classification
US9246948B2 (en) 2014-03-19 2016-01-26 Symantec Corporation Systems and methods for providing targeted data loss prevention on unmanaged computing devices
US9692759B1 (en) 2014-04-14 2017-06-27 Trend Micro Incorporated Control of cloud application access for enterprise customers
US20150347447A1 (en) 2014-05-27 2015-12-03 Acer Cloud Technology Inc. Method and architecture for synchronizing files
US9418232B1 (en) 2014-07-22 2016-08-16 Symantec Corporation Providing data loss prevention for copying data to unauthorized media
WO2016018289A1 (en) 2014-07-30 2016-02-04 Hewlett-Packard Development Company, L.P. Security risk scoring of an application
US9225734B1 (en) 2014-09-10 2015-12-29 Fortinet, Inc. Data leak protection in upper layer protocols
US9571517B2 (en) 2014-11-11 2017-02-14 Goldman, Sachs & Co. Synthetic cyber-risk model for vulnerability determination
US9679140B2 (en) 2014-12-27 2017-06-13 Mcafee, Inc. Outbreak pathology inference
US10454933B2 (en) 2015-01-21 2019-10-22 Sequitur Labs, Inc. System and methods for policy-based active data loss prevention
US10063665B2 (en) 2015-02-18 2018-08-28 Actmobile Networks, Inc. System and method to eliminate duplicate byte patterns in network streams
KR101622874B1 (ko) 2015-02-24 2016-05-19 닉스테크 주식회사 데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템
US20160253352A1 (en) 2015-02-27 2016-09-01 Barracuda Networks, Inc. Method and apparatus for file synchronization and sharing with cloud storage
KR102264437B1 (ko) 2015-03-09 2021-06-15 삼성전자 주식회사 웹 서비스 제공 방법 및 장치
US10650424B2 (en) 2015-03-17 2020-05-12 International Business Machines Corporation Dynamic cloud solution catalog
US9928377B2 (en) 2015-03-19 2018-03-27 Netskope, Inc. Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS)
US20160292445A1 (en) 2015-03-31 2016-10-06 Secude Ag Context-based data classification
US9892260B2 (en) 2015-04-20 2018-02-13 SafeBreach Ltd. System and method for creating and executing breach scenarios utilizing virtualized elements
DK3292471T3 (da) 2015-05-04 2022-02-21 Syed Kamran Hasan Metode og enhed til styring af sikkerhed i et computernetværk
US9930060B2 (en) 2015-06-01 2018-03-27 Duo Security, Inc. Method for enforcing endpoint health standards
US10291651B1 (en) 2015-06-26 2019-05-14 Juniper Networks, Inc. Unified secure socket layer decryption
US10162767B2 (en) 2015-06-27 2018-12-25 Mcafee, Llc Virtualized trusted storage
US10178120B1 (en) 2015-07-23 2019-01-08 Hrl Laboratories, Llc Method for determining contagion dynamics on a multilayer network
US9853913B2 (en) 2015-08-25 2017-12-26 Accenture Global Services Limited Multi-cloud network proxy for control and normalization of tagging data
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
NZ740710A (en) * 2015-09-11 2020-05-29 Okta Inc Secured user credential management
EP3347845B1 (en) 2015-09-11 2023-08-02 Curtail, Inc. Implementation comparison-based security system
US20200137110A1 (en) * 2015-09-15 2020-04-30 Mimecast Services Ltd. Systems and methods for threat detection and warning
US20170091482A1 (en) 2015-09-30 2017-03-30 Symantec Corporation Methods for data loss prevention from malicious applications and targeted persistent threats
US10440036B2 (en) 2015-12-09 2019-10-08 Checkpoint Software Technologies Ltd Method and system for modeling all operations and executions of an attack and malicious process entry
US10187475B2 (en) 2015-12-31 2019-01-22 Hughes Network Systems, Llc Method and system for automatically bypassing network proxies in the presence of interdependent traffic flows
EP3400694B1 (en) 2016-01-08 2023-10-25 BELDEN Inc. Method and protection apparatus to prevent malicious information communication in ip networks by exploiting benign networking protocols
US20170206353A1 (en) 2016-01-19 2017-07-20 Hope Bay Technologies, Inc. Method and system for preventing malicious alteration of data in computer system
US20170223054A1 (en) 2016-02-02 2017-08-03 Cisco Technology, Inc. Methods and Apparatus for Verifying Transport Layer Security Server by Proxy
US10536478B2 (en) 2016-02-26 2020-01-14 Oracle International Corporation Techniques for discovering and managing security of applications
US11019101B2 (en) 2016-03-11 2021-05-25 Netskope, Inc. Middle ware security layer for cloud computing services
US10157104B2 (en) 2016-03-31 2018-12-18 Box, Inc. Large folder operations in a collaborative cloud-based environment
US10108803B2 (en) 2016-03-31 2018-10-23 International Business Machines Corporation Automatic generation of data-centric attack graphs
US9967267B2 (en) 2016-04-15 2018-05-08 Sophos Limited Forensic analysis of computing activity
US9537884B1 (en) 2016-06-01 2017-01-03 Cyberpoint International Llc Assessment of cyber threats
US10142362B2 (en) 2016-06-02 2018-11-27 Zscaler, Inc. Cloud based systems and methods for determining security risks of users and groups
US10855725B2 (en) 2016-06-02 2020-12-01 Microsoft Technology Licensing, Llc Hardware-based virtualized security isolation
US10248797B1 (en) 2016-06-30 2019-04-02 Symantec Corporation Systems and methods for zero-day DLP protection having enhanced file upload processing
WO2018009657A1 (en) 2016-07-07 2018-01-11 Idac Holdings, Inc. Procedures for dynamically configured network coding based multi-source packet transmission utilizing icn
US10630713B2 (en) 2016-07-14 2020-04-21 L3Harris Technologies, Inc. Method and tool to quantify the enterprise consequences of cyber risk
US10250631B2 (en) 2016-08-11 2019-04-02 Balbix, Inc. Risk modeling
EP3282668B1 (en) 2016-08-12 2020-10-21 Tata Consultancy Services Limited Comprehensive risk assessment in a heterogeneous dynamic network
US11089064B1 (en) 2016-09-12 2021-08-10 Skyhigh Networks, Llc Cloud security policy enforcement for custom web applications
US10277625B1 (en) 2016-09-28 2019-04-30 Symantec Corporation Systems and methods for securing computing systems on private networks
WO2018098294A1 (en) 2016-11-22 2018-05-31 Aon Global Operations Ltd (Singapore Branch) Systems and methods for cybersecurity risk assessment
US10318743B2 (en) 2016-12-28 2019-06-11 Mcafee, Llc Method for ransomware impact assessment and remediation assisted by data compression
US10839703B2 (en) 2016-12-30 2020-11-17 Fortinet, Inc. Proactive network security assessment based on benign variants of known threats
US10785227B2 (en) 2017-01-04 2020-09-22 International Business Machines Corporation Implementing data security within a synchronization and sharing environment
US10764313B1 (en) 2017-01-24 2020-09-01 SlashNext, Inc. Method and system for protection against network-based cyber threats
US10614222B2 (en) 2017-02-21 2020-04-07 Microsoft Technology Licensing, Llc Validation of security monitoring through automated attack testing
US20180248896A1 (en) 2017-02-24 2018-08-30 Zitovault Software, Inc. System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning
US10389538B2 (en) 2017-03-08 2019-08-20 A10 Networks, Inc. Processing a security policy for certificate validation error
US10862916B2 (en) 2017-04-03 2020-12-08 Netskope, Inc. Simulation and visualization of malware spread in a cloud-based collaboration environment
US10691514B2 (en) 2017-05-08 2020-06-23 Datapipe, Inc. System and method for integration, testing, deployment, orchestration, and management of applications
US10356125B2 (en) * 2017-05-26 2019-07-16 Vade Secure, Inc. Devices, systems and computer-implemented methods for preventing password leakage in phishing attacks
EP3649767A1 (en) * 2017-07-06 2020-05-13 Pixm Phishing detection method and system
WO2019126265A1 (en) 2017-12-22 2019-06-27 Scripps Networks Interactive, Inc. Cloud hybrid application storage management (chasm) system
US10860730B1 (en) 2018-02-15 2020-12-08 EMC IP Holding Company LLC Backend data classifier for facilitating data loss prevention in storage devices of a computer network
US11064013B2 (en) 2018-05-22 2021-07-13 Netskope, Inc. Data loss prevention using category-directed parsers
CN110647895B (zh) * 2018-06-26 2023-02-03 深信服科技股份有限公司 一种基于登录框图像的钓鱼页面识别方法及相关设备
CN110647896B (zh) * 2018-06-26 2023-02-03 深信服科技股份有限公司 一种基于logo图像的钓鱼页面识别方法及相关设备
US20190044967A1 (en) * 2018-09-12 2019-02-07 Intel Corporation Identification of a malicious string
AU2019362088A1 (en) 2018-10-19 2021-06-10 Digital Asset (Switzerland) GmbH Privacy preserving validation and commit architecture
EP3716574B1 (en) * 2019-03-26 2024-01-03 Proofpoint, Inc. Uniform resource locator classifier for malicious site detection
US11831419B2 (en) * 2019-09-27 2023-11-28 Mcafee, Llc Methods and apparatus to detect website phishing attacks
US11411992B2 (en) * 2019-11-07 2022-08-09 Mcafee, Llc Visual detection of phishing websites via headless browser
CN111147490A (zh) * 2019-12-26 2020-05-12 中国科学院信息工程研究所 一种定向钓鱼攻击事件发现方法及装置
US11477244B2 (en) 2020-05-21 2022-10-18 Saudi Arabian Oil Company Method and system for data loss prevention management

Also Published As

Publication number Publication date
US11856022B2 (en) 2023-12-26
EP4097944A1 (en) 2022-12-07
EP4097944B1 (en) 2023-08-23
US20210234892A1 (en) 2021-07-29
WO2021154724A1 (en) 2021-08-05
US20240073245A1 (en) 2024-02-29

Similar Documents

Publication Publication Date Title
US11856022B2 (en) Metadata-based detection and prevention of phishing attacks
US12041090B2 (en) Cloud security based on object metadata
US11924234B2 (en) Analyzing client application behavior to detect anomalies and prevent access
US12056235B2 (en) Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS)
US10009381B2 (en) System and method for threat-driven security policy controls
US10496994B2 (en) Enhanced authentication with dark web analytics
US9294442B1 (en) System and method for threat-driven security policy controls
EP2859495B1 (en) Malicious message detection and processing
CN115315926A (zh) 用于实现基于应用层和基于传输层的安全规则的反向代理服务器
US8713674B1 (en) Systems and methods for excluding undesirable network transactions
US10673878B2 (en) Computer security apparatus
WO2020257428A1 (en) Dynamically controlling access to linked content in electronic communications
JP2024503558A (ja) ドキュメント・シェアリングによるフィッシング攻撃の防止
JP7567070B2 (ja) 組織のセキュリティポリシーに対するユーザコンプライアンスの信頼度のスコアリング
Ramirez A Framework to Build Secure Microservice Architecture
Zaheri et al. Leakuidator: Leaky resource attacks and countermeasures
Essaadi et al. Using NMAP for Data Collection in Cloud Platform
Tai Ramirez A Framework To Build Secure Microservice Architecture

Legal Events

Date Code Title Description
A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A529

Effective date: 20220902

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231024

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240821

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240827