JP5406195B2 - セキュリティ解析に基づいて技術システムの再構成を行なうための装置、並びに対応する技術的意思決定支援システム及びコンピュータプログラム製品 - Google Patents
セキュリティ解析に基づいて技術システムの再構成を行なうための装置、並びに対応する技術的意思決定支援システム及びコンピュータプログラム製品 Download PDFInfo
- Publication number
- JP5406195B2 JP5406195B2 JP2010528349A JP2010528349A JP5406195B2 JP 5406195 B2 JP5406195 B2 JP 5406195B2 JP 2010528349 A JP2010528349 A JP 2010528349A JP 2010528349 A JP2010528349 A JP 2010528349A JP 5406195 B2 JP5406195 B2 JP 5406195B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- countermeasures
- technical
- node
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Game Theory and Decision Science (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Marketing (AREA)
- Computing Systems (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
アタックツリー(AT:Attack Tree)の概念は、参考文献[11]においてブルース シャネイヤ(Bruce Schneier)により紹介されている。以下の概論は、多少の変更はあるがが、この参考文献に基づくものである。
アタックツリーは、技術システムの脆弱性の知識を表す方法である。その知識は、何らかの方法で取得される必要があり、そのためにAT群は十分とは言えないが有用である。重要な点は、AT群が、存在するセキュリティ脅威そのものに関する知識を追加するのではなく、その代わりに知識を表す方法を提供して脅威の相対的な重要性を判定する処理を容易にすることである。
アタックツリーは、理想的には、トップダウン分割統治法(top-down, divide and conquer approach)により構成される。この概念は、アタッカーが金庫を開けようとする(金庫の中身が得られる見通しにより動機付けされる可能性が高い)単純な例により容易に理解することができる。従って、ここでは、当該技術システムは金庫であり、脅かされている資産が金庫の中身である。第1のステップは、解析したいアタックの目的を定義することである。この例において、アタックの目的は金庫を開けること(「金庫を開ける(open safe)」)である。これは、図1Aに示されるようにアタックツリーのルートノード(root node)として配置される。
次に、脅威が定性的観点からアタックツリーとしてモデル化されるため、そのアタックツリーはより定性的な方法で技術システムのセキュリティを評価または「測定」するために使用される。これは、最初に、評価しようとするいくつかの属性に従ってアトミックアタックを「格付(rating)」し、次に、システム全体の属性値を導出することにより行なわれる。すなわち、これは、アタックツリーの構成と同様に一例により最もよく説明される。
2.and−ノードのコストは、先行ノード群のコストの合計に等しい
図5に示されるアトミックアタックのコストのセットを仮定し、先のアタックツリーを使用しかつ代わりに最小コスト属性を計算すると、結果として得られるツリーは図5のようになる。
上記例は、アタックツリーが使用される方法を説明する目的にのみ対応する「実用的でない」例と考えられる。大規模で複雑な技術システムでは、関連するアタックツリーは非常に大きい可能性がある。しかしながら、当業者には理解されるように、上述したリーフからルートまでアタックツリーを走査する方法は装置により容易に自動化され、それにより「and/or」頂点に対する2つのルールに従って上向きに値を伝播する。
主に、カーネギーメロン大学(Carnegie Mellon University)において研究されるアタックグラフの主題は、アタックツリーに対する名前が類似している。しかしながら、概念がアタックツリーとは完全に異なるため、類似しているのはそこまでである。アタックグラフの目的は、システムのモデルから、システムに対する全ての可能なアタックを導出し、最終的にそれらの可能性を防止する動作のセットを考案することである。使用される主な方法は、所望の特性を満足するネットワークモデルの安全状態のセットSを指定し(システムにセキュリティ違反がないことを取り込む)、Sにない、ある状態に到達するモデルが存在する場合は、そのモデルにおいて実行を行なうために標準的なモデルチェック技術を使用することである。そのような状態に到達することはセキュリティ違反を意味するため、そのような状態に到達しない場合にはシステムはセキュリティで保護されている。換言すると、アタックが行なわれるかを判定することは、グラフ到達可能性の問題を解決することと同一である。アタックグラフは、アタックツリーと比較して利点を有するが欠点も有する。第1に、アタックグラフは、主に、アタックが存在するかを演繹することに関する。アタックグラフは、アタックを阻止する「最適な」対抗策を見つけるために使用される。しかしながら、この最適な対抗策を見つけることは、実質的に実現不可能であり、かつほぼ最適な対抗策を決定する必要があるNP完全グラフ問題を解決することに助けを借りる。更に「最適な」は、システムの抽象的なグラフ表現において必要とされる変更数によってのみ定量化される。実用的には、完全に異なるいくつかの対抗策であり得るうちの、最も実際に実現可能となる対抗策により興味を有する可能性がある。他の定量的な態様は、全く考慮されない。アタックグラフに関する更なる背景については、文献[12]を参照されたい。
アタックツリーの概念に対しては種々の拡張が行なわれている。文献[7]、[4]では、ティドウェル(Tidwell)等、パラメータ、変数、サブ目的、事前条件及び事後条件によりアタックツリーの概念を拡張している。また、ティドウェル等は、アタックツリーのノードの階層クラスタリング方法であるENT(Elevated Node Topology)の概念を更に紹介している。この拡張は、特に無関係であると考えられるいくつかのアタックから成るアタック群からのアタック検出を行なうシステムの一部として使用される。文献[3]では、階層クラスタリングは、本質的にENTと同一であるSNT(Stratified Node Topology)として再定義される。SNTに導入されている追加の概念は、アタックツリーの黙示的リンク及び明示的リンクの概念である。それらの間の相違点は、黙示的リンクが他のイベントによって自動的に引き起こされるイベントを記述するために使用される一方で、明示的リンクが必ずしも実行されるとは限らない別のアタックを可能にすることを記述することである。文献[5]では、それらのリンクは、システムの記述からアタックツリー連鎖の概念を介してアタックツリーを自動的に生成する方法を完全に説明している。更に、システムに対するアタックの確率を解析するために、生成されたアタックツリーを使用する方法の非常に大まかな構成を提供している。
アタックツリーの解析を行なうツールが既にいくつか存在する。特に、アメナザテック社(Amenaza Tech Ltd.)のセキュアアイツリー(securITree)と呼ばれる市販のツールがある。このツールは、主に、それ程コンピュータに習熟してない人の操作性を重視していると考えられる。更なる情報については、文献[1]を参照されたい。
文献[11]では、アタックツリーは、純粋なトップダウン分割統治法で構築される。アタックがツリーにおいて2回以上発生する場合、そのアタックは別個のノードとして2回モデル化される。これは必ずしも問題ではないが、脅威の更に明確な概要を取得するために、サブアタック毎にノードを1つのみ有することがより当然であると考えられるだろう。これは、ツリーを単一シンク有向非巡回グラフ(SSDAG:Single-Sink Directed Acyclic Graph)と呼ばれるものにする。依然として同一の結果を与えることになることが明らかである一方で、問題になると考えられる上述のような計算を実行する。
有効な論点は、シンクを1つのみ有する理由があるか否かである。図7A及び図7Bに示されるように、同一のシステムに対する種々の脅威を記述する2つのアタックSSDAG群が存在すると仮定する。
図8に示すように、サブ脅威(またはサブアタック)2/3は、脅威1及び脅威2の実現に共通である。サブ脅威2/3を実現する際に費やされる労力が脅威1及び脅威2の双方に対する「足がかり(stepping-stone)」であると仮定する。すなわち、関連するアタックが2回(またはそれ以上)再使用され、最終的に、脅威1及び脅威2の双方を実現すると仮定する。このサブアタックを実行するコスト/時間/複雑さは、アタッカーがそれを実行することによって到達できる全ての究極の目的で「償却(amortized)」される。すなわち、サブアタック自体が実行するためにコストがかかりすぎると最初は考えられる可能性があるが、システム全体のセキュリティを理解するために、再使用可能であることが考慮される必要がある。再使用可能なアタックの概念は、従来技術では適切に対処されない。
文献[13]の注釈、文献[9]の注釈及び文献[3]の簡単な注釈において、ATにおける巡回(cycles)の概念が説明されている。巡回に対処する方法の完全な調査はされていない。
アタックの可能性が所定の技術システムにおける特定の状況下で90%であり、アタックが正常に実現される場合の損失が10,000ドルであると評価される場合、リスクまたは予測される損失は9,000ドルとして表される。損失/コストは、一般的には、低下したシステムパフォーマンス、システム容量及び低下したシステム可用性等の技術特徴に対応する損失/コストであることが理解されるべきである。要望に応じて、それらの技術損失は、より適切な実際的な感覚のためにお金に換算される、またはお金で評価される。
表IIにおいて、格付は、対抗策を適用するためのコストを考慮せずに、表Iの軽減されたリスクに基づいている。
システム記述は、セキュリティ解析/向上装置(SAIA)に入力される。この入力は、オペレータ/エンジニアによって、あるいは、例えば、現在の構成を含むシステムの動作状態を報告するセンサによって、手動で生成される。一般に、この入力のフォーマットは、解析中のシステムの技術的特性及び機能性に依存することになる。簡潔にするために、本明細書において、例として、システムは種々の通信ノードまたはユニット間の通信を提供する通信ネットワークであると仮定する。そのような場合、システム入力は、例えば、通信エンティティ、それらの相互接続を記述し、そのエンティティ及びその相互接続のセキュリティ特性によって属性を与えられる(例えば、相互接続が暗号化されているか否か、使用される鍵等)機械可読UMLフォーマット(または、他の構造化図形表現)であってもよい。相互接続は、保持される情報の種類/感度に従って分類される(定量的にまたは定性的に)のが好ましい。より適切である可能性のあるシステム記述の符号化は、論理(ロジック)を使用する。例えば、暗号化される相互接続ユニットA及びBを考慮する。以下のような「プロログのような(Prolog-like)」論理記述を使用して、相互接続のセキュリティ特性を記述することができる。
(盗聴(AB):−物理アクセス(AB),暗号化中断(AB))
これは、相互接続に物理的にアクセスでき、かつ使用される暗号化アルゴリズムが中断される場合、AとBとの間の相互接続を盗聴できることを記述している。装置の第1のブロックがand頂点及びor頂点を有することができるアタックジャングルを構築することを考慮すると、そのような論理的表現が非常に適切であることは明らかである。
このブロック20は、システム記述をアタックジャングルに変換する。出力フォーマットは(有向)グラフであり、隣接マトリクス、近隣リスト/ポインタ等のグラフの任意の周知の機械可読表現を使用することができる。変換の厳密なステップは、システム記述フォーマットに依存することになる。上述の論理式表現が最も適切な表現の1つであることは明らかであり、この変換を容易にする。このブロックは、属性値をアトミックアタックに割り当てることができる。
この(オプション)ブロック5の目的は、1つ以上の対抗策を選択し、かつそれらを装置に入力することである。このブロックがオプションである理由は、この機能が手動でオペレータが実行することに最も適していると考えられるからである。この入力のデータフォーマットは、好適な実施形態においてアタックジャングルの1つ以上のサブグラフ及び/またはアタックジャングルにおける1つ以上のリーフに対する変更された属性値の形式である。例えば、対抗策がアトミックアタックを(完全に)除去すると考えられる場合、対応するリーフが入力される(アタックジャングルからそのアトミックアタックを削除することを意図して、以下の対抗策アプリケータの説明を参照)。一方で、対抗策がアタックに関連するある属性のみを削減する場合、入力はその属性値の再割当の形式となる。
このブロック33は、対抗策の表現を利用し、かつそれらの対抗策をアタックジャングル入力に適用する。例えば、対応するサブグラフ(群)を削除し、かつ/または属性値(群)を変更する。
このブロック34は、以下に説明するように、アタックジャングルを関連する方程式体系(群)に変換し、対応する方程式(及び/または不等式)を解き、これによって、属性値を非リーフノード(ルート(群)を含む)にも割り当てる。このブロックは、グラフにおいて属性値の「上向き」の伝播を実行する。
このブロック35は、対抗策の有効性をリスク軽減の形式で判定する。好適な実施形態では、これは、基準である元のアタックジャングル(対抗策が全く適用されていない)と比較することによって、頂点と関連付けられる属性が対抗策により影響を受ける(増加/減少する)程度を比較することによって行なわれる。同様に、2つ以上の対抗策が入力される場合、このブロックは、上述のように、対抗策のコストを考慮に入れて、それらの対抗策の有効性を比較する。その出力は、1つ以上の好適な(ある計測値において)対抗策であり、また、ユーザ/オペレータ(エンジニア)に対する意思決定支援情報の形式であってもよい。
このブロック45は、多くの場合にオペレータによって実行されることが最適であるため、オプションになっている。このブロックに割り当てられる機能は、出力された対抗策をシステムに実際に適用すること、例えば、いくつかのシステム相互接続において暗号化を可能にすることである。更に、この機能は、対抗策アクチュエータ45の機械による実装に適する機能の一例である暗号鍵を置換できる。
好適で例示的な実施形態において、内部データ表現のためにアタックツリーの一般化が採用される。この表現は「アタックジャングル」と呼ばれる。
コストの場合、属性領域の単純な定義は、上述のように<N,+,min>である。ここでの問題は、論理積コンバイナが構成性の法則を考慮しないことである。すなわち、△=+の定義により、モデリング誤差が生じている。アタックツリー構成が分解パラダイムに従って行なわれるため、これは実際には問題である。更に大きな問題は、この問題に対する解決策が全く単純でないことである。
サブアタックの属性が直前の先行ノードの関数(すなわち、構成関数)として容易に定義可能である場合、その属性は検査される最終的な脅威に依存しないことが上述から明らかである。従って、DAGに複数のシンクを有することに問題はない。
上記のようなアタックジャングルの定義により、ジャングルにおいて巡回が可能である。その理由は、巡回が脅威をモデル化する適切な方法である状況が存在するからである。巡回は、ある従来技術においてはアタックグラフにおける動作であると簡潔に言及されている。文献[3]、[9]、[13]において、発生する巡回の可能性について言及されているが、詳細には説明されていない。特に、アタックグラフの自動処理に対する従来の方法は、巡回に対処できるものとして周知ではないと考えられている。例えば、巡回は、文献[8]で説明される属性伝播メカニズムで明示的に除外される。
1 for each S in SCC((V,E)
2 do if all v in S: not A(v)
3 then V = V union {v'}
4 for each (vi, vj) in E
5 do if vj in S
6 then if vi in S
7 then E = E\(vi, vj)}
8 else E = (E\{vi, vj)}) union {(vi, v')}
9 V = V\S
10 return (V,E,A)
図22A及び図22Bでは、アルゴリズムの結果が示されている。図22Aは入力グラフを示し、図22Bは結果として得られるグラフを示している。図22Aにおいて「サブアタック1」、「サブアタック2」及び「サブアタック3」で示されるいくつかのアタックノードは、図22Bにおいて「サブアタック1+2+3」で示される単一の代表的なノードにマージされる。
グラフのSCCにより、上述の伝播アルゴリズムに従う伝播によって属性値の元の導出は動作しない。これは、属性値がそれ以上導出されない状況が存在し、また、巡回依存性のために値がまだ割り当てられていないノードが依然として存在するためである。その代わり、以下の例示的な方法が合理的であると考えられ、本発明の例示的な一実施形態において使用される。
2.n<=i<=|V|は、di=fA(vi) * △({dj:vj in DP(vi)})+(1−fA(vi)) *△({dj:vj in DP(vi)})であることを示す。
本明細書において、表記法は、2個組の代わりに任意のサイズのセットにコンバイナを適用することによって僅かに不正使用される。しかしながら、コンバイナが結合的で可換であることが要求されるため、この拡張を行なうことは些細なことである。
問題の質問別の部分が属性領域であることは既に示している。属性領域の機能は、ノードの属性値が直前の先行ノードによって判定される方法を定義することである。上述のように、回答される3つの主な質問は以下の通りである。
上述のように、アタックの再使用の概念は解析を複雑にする。ノードが再使用可能であるということは、一旦実行されると、再使用可能なノードの結果が(潜在的に)無制限に使用可能であることを意味する。再使用は、アトミックアタックだけでなくアタックツリーの全てのノードに個々に割り当てられる特性である。再使用の概念は、直観的なレベルでは単純であるが、複数のシンクの設定と組み合わせると、ノードが再使用不可能であることが意味することは即座に明確にはならない。
対抗策の有効性を互いに比較するために、「有効性」を記述する各対抗策と関連付けられる測定可能な値を有する必要がある。
これらの他の種類のノードは、特別な方法で対処される必要があるだろう。しかし、他のノードの種類が将来導入されても、or−ノード及びand−ノードは、本明細書で説明されるように対処できる。
・アタックジャングルの形式でシステムアタックまたは脆弱性の表現を取得/提供(生成または受信)する。ここで、このアタックジャングルの頂点は関連する属性を有する。
論理積ノードvと関連付けられる変数xの値は、方程式により判定される。
式中、fは論理積コンバイナであり、Pre(.)は直前の先行ノードのセットをノードに返す関数であり、V(.)は関連する変数のセットをPre(v)のノードに返す関数である。
式中、gは論理和コンバイナであり、Pre(.)は直前の先行ノードのセットをノードに返す関数であり、V(.)は関連する変数のセットをPre(v)のノードに返す関数である。
[1]AmenazaのThe securitree burglehouse tutorial、Technical report、 Amenaza Technologies Limited、2006年8月
[2]T.H. Cormen、 C.E. Leiserson、R.L. Rivest及びC.Steinの Introduction to algorithms、 MIT Press、 Cambridge, MA, USA、2001年
[3]K. Daley、R. Larson及びJ. DawkinsのA structural framework for modeling multi-stage network attacks、icppw, 00:5、2002年
[4]J. Dawkins、C. Campbell、R. Larson、K. Fitch、T. Tidwell及びJ. HaleのModeling network attacks: Extending the attack tree paradigm、In Proc. of Third Intl. Systems Security Engineering、2002年
[5]J. Dawkins及びJ. HaleのA systematic approach to multi-stage network attack analysis、In IWIA '04: Proceedings of the Second IEEE International Information Assurance Workshop (IWIA '04)、48ページ、Washington, DC, USA、2004年、IEEE Computer Society
[6]G. Balbo他のIntroductory Tutorial - Petri Nets、2000年6月26〜30日
[7]R. Larson、K. Fitch、T.Tidwell及びJ. HaleのModeling internet attacks、In Proc. of the 2001 IEEE Workshop on Information Assurance and Security、2001年
[8]S. Mauw及びM. OostdijkのFoundations of attack trees. In D. Won and S. Kim, editors, International conference on information security and cryptology - icisc 2005、LNCS 3935、186〜198ページ、Seoul, Korea、2005年、Springer-Verlag, Berllin
[9]J.P. McDermottのAttack net penetration testing. In NSPW '00: Proceedings of the 2000 Workshop on New security paradigms、15〜21ページ、New York, NY, USA、2000年、ACM Press
[10]A. OpelのDesign and implementation of a support tool for attack trees
[11]B. SchneierのAttack trees、Dr Dobbs Journal、24(12): 21-22, 24, 26, 28-29、1999年12月
[12]O. Sheyner及びJ.M. WingのTools for generating and analyzing attack graphs、In F.S. de Boer, M.M. Bonsangue, S. Graf, and W.P. de Roever, editors, FMCO, volume 3188 of Lecture Notes in Computer Science、344〜372ページ、Springer、2003年
[13]W.E. Vesely、J. Dugan、J. Fragola、J. Minarick III及びJ. RailsbackのFault Tree Handbook with Aerospace Applications. National Aeronatics and Space Administration、2002年8月
[14]Wikipedia http://en.wikipedia.org/wiki/microprocessor
[15]P. N. World http://www.informatik.uni-hamburg.de/tgi/petrinets
[16]http://chacs.nrl.navy.mil/projects/VisualNRM
[17]A. Moore他のVisual NRM User's Manual、2000年5月31日
[18]W.E. Vesley他のFault Tree Handbook, from U.S. Nuclear Regulatory Commission、1981年1月
Claims (23)
- 技術システムのセキュリティの解析に基づいて前記技術システムを再構成する装置であって、
前記技術システムを特徴付ける技術情報として、通信エンティティ、それらの相互接続を記述し、その通信エンティティ及びその相互接続のセキュリティ特性によって属性が与えられている機械可読フォーマットの技術情報を受信する入力ユニットと、
前記受信した技術情報が示す機械可読フォーマットを解析して、前記技術システムに対する潜在的なアタックの論理式表現として、前記技術システムに関連する属性を有する複数のアタックノードからなる有向グラフに変換するように構成されているグラフ表現ユニットであって、前記有向グラフは、前記複数のアタックノードの各々を、対応するアタックが再使用可能であるかの指示と関連付け、かつ該複数のアタックノード間の辺を重み付けしており、前記複数のアタックノードの内、再使用可能であるアタックノードと後続のアタックノードとの間の各辺の重みは、前記再使用可能であるアタックノードのアタックが前記後続のアタックノードに到達するために再使用される必要がある回数を表している、グラフ表現ユニットと、
前記有向グラフのアタックノードを属性に依存する方程式体系のセットに変換するコンバータであって、前記属性に依存する方程式体系のセットは、前記辺の重みにも依存する、コンバータと、
前記属性に依存する方程式体系のセットにおける第1の属性のサブセットに値を提供する手段と、
前記技術システムのセキュリティを向上することを、選択された対抗策のセットに実行させることを可能にするように、各々が少なくとも1つの対抗策を含む複数の異なる対抗策のセットを格付する格付リストを提供するように構成されている格付ユニットであって、対抗策のセット毎に、前記技術システムに配備される場合の対抗策の動作方法のシミュレーションを実行するために、
前記第1の属性のサブセットの前記値の少なくとも一部に影響を及ぼさせるために、前記有向グラフにおけるアタックノードに前記対抗策のセットの論理式表現を適用することと、
前記第1の属性のサブセットの前記対抗策の影響を受けた値を第2の属性のサブセットに伝播するために前記属性に依存する方程式体系のセットを解くことと、
前記適用された対抗策のセットのランクを計算するために、前記解いた方程式体系から前記第2の属性のサブセットの値を抽出することによって、前記アタックのリスクを軽減することに関する前記適用された対抗策のセットの有効性に基づいて前記適用された対抗策のセットのランクを判定することと
を実行するように構成されている格付ユニットと、
前記判定されたランクに基づいて、最高ランクを有する対抗策のセットを、前記対抗策のセットの中から選択するように構成されている選択器と、
選択された対抗策のセットを前記技術システムに対応する前記有向グラフに適用するように構成されているシステム再構成ユニットと
を備えることを特徴とする装置。 - 前記格付ユニットは、対抗策が適用されていない前記第2の属性のセットの対応する値に関連して、前記第2の属性のセットの値が前記適用された対抗策のセットにより影響を受ける程度の比較に基づいて、対抗策のセットの前記有効性を判定するように構成されている
ことを特徴とする請求項1に記載の装置。 - 前記提供する手段は、属性値を前記有向グラフにおける複数のリーフノードの各々と関連付けるように構成され、
前記格付ユニットは、前記解いた方程式体系から前記有向グラフにおける少なくとも1つの中間ノード及びルートノードの少なくとも一方から属性値を抽出し、かつ前記抽出した属性値に基づいてランクを計算するように構成されている
ことを特徴とする請求項1に記載の装置。 - 対抗策のセットは、前記対抗策のセットが対抗するアタックノードの前記有向グラフにおけるリーフノードのセットとして定義され、
前記格付ユニットは、前記少なくとも1つの中間ノード及びルートノードの少なくとも一方の前記属性値の関数として、対抗策のセットの前記ランクを判定するように構成されている
ことを特徴とする請求項3に記載の装置。 - 前記アタックノードの有向グラフは巡回を含み、
前記装置は、周期的に相互接続されるアタックノードのセットを単一の代表的なアタックノードによって置換することによって、前記有向グラフを変更するグラフ変更器を更に備える
ことを特徴とする請求項1に記載の装置。 - リスクは、実現される1つ以上のアタックの予想される損失として定義される
ことを特徴とする請求項1に記載の装置。 - 前記有効性は、前記対抗策を適用するためのコストを考慮することを更に含む
ことを特徴とする請求項1に記載の装置。 - 前記格付ユニットは、前記対抗策を適用するための前記コストに関連して、適用された対抗策のセットのリスク軽減を評価するように構成されている
ことを特徴とする請求項7に記載の装置。 - 前記技術システムは、複数の通信リンクによって相互接続される複数の通信ユニットを有する通信ネットワークであり、
前記複数の通信ユニットの少なくとも一部及び/前記複数の通信リンクの少なくとも一部についての少なくとも一方は、アタックを受け易い
ことを特徴とする請求項1に記載の装置。 - 前記技術システムを特徴付ける前記技術情報の少なくとも一部を取得するように構成されている少なくとも1つのセンサを更に備える
ことを特徴とする請求項1に記載の装置。 - 前記格付ユニットは、対抗策が適用されない基準システムとの比較に基づいて、前記異なる対抗策のセットを格付するように構成されている
ことを特徴とする請求項1に記載の装置。 - 向上されたシステムセキュリティのための技術システムの再構成を可能にするために前記技術システムのセキュリティを解析する技術的意思決定支援システムであって、
前記技術システムを特徴付ける技術情報として、通信エンティティ、それらの相互接続を記述し、その通信エンティティ及びその相互接続のセキュリティ特性によって属性が与えられている機械可読フォーマットの技術情報を受信する手段と、
前記受信した技術情報が示す機械可読フォーマットを解析して、前記技術システムに対する潜在的なアタックの論理式表現として、前記技術システムに関連する属性を有する複数のアタックノードからなる有向グラフに変換する手段であって、前記有向グラフは、前記複数の前記アタックノードの各々を、対応するアタックが再使用可能であるかの指示と関連付け、かつ該複数のアタックノード間の辺を重み付けし、前記複数のアタックノードの内、再使用可能であるアタックノードと後続のアタックノードとの間の各辺の重みは、前記再使用可能であるアタックノードのアタックが前記後続のアタックノードに到達するために再使用される必要がある回数を表している、変換する手段と、
前記有向グラフのアタックノードを属性に依存する方程式体系のセットに変換する手段であって、前記属性に依存する方程式体系のセットは、前記辺の重みにも依存する、変換する手段と、
前記属性に依存する方程式体系のセットにおける第1の属性のサブセットに値を提供する手段と、
前記技術システムのセキュリティを向上することを、選択された対抗策のセットに実行させることを可能にするように、各々が少なくとも1つの対抗策を含む複数の異なる対抗策のセットを格付リストにおいて格付する手段であって、対抗策のセット毎に、前記技術システムに配備される場合の対抗策の動作方法のシミュレーションを実行するために、
前記第1の属性のサブセットの前記値の少なくとも一部に影響を及ぼさせるために、前記有向グラフにおけるアタックノードに前記対抗策のセットの論理式表現を適用することと、
前記第1の属性のサブセットの前記対抗策の影響を受けた値を第2の属性のサブセットに伝播するために前記属性に依存する方程式体系のセットを解くことと、
前記適用された対抗策のセットのランクを計算するために、前記解いた方程式体系から前記第2の属性のサブセットの値を抽出することによって、アタックのリスクを軽減することに関する前記適用された対抗策のセットの有効性に基づいて、前記適用された対抗策のセットのランクを判定することと
を実行するように構成されている格付手段と
を備えることを特徴とする技術的意思決定支援システム。 - 前記格付手段は、対抗策が適用されていない前記第2の属性のセットの対応する値に関連して、前記第2の属性のセットの値が前記適用された対抗策のセットにより影響を受ける程度の比較に基づいて対抗策のセットの前記有効性を判定するように構成されている
ことを特徴とする請求項12に記載の技術的意思決定支援システム。 - 前記提供する手段は、属性値を前記有向グラフにおける複数のリーフノードの各々と関連付けるように構成され、
前記格付手段は、前記解いた方程式体系から前記有向グラフにおける少なくとも1つの中間ノード及びルートノードの少なくとも一方から属性値を抽出し、かつ前記抽出した属性値に基づいてランクを計算するように構成されている
ことを特徴とする請求項12に記載の技術的意思決定支援システム。 - 対抗策のセットは、前記対抗策のセットが対抗する前記アタックノードの有向グラフにおいてリーフノードのセットとして定義され、
対抗策のセットの前記ランクは、前記少なくとも1つの中間ノード及びルートノードの少なくとも一方の前記属性値の関数である
ことを特徴とする請求項14に記載の技術的意思決定支援システム。 - 前記アタックノードの有向グラフは巡回を含み、
前記システムは、周期的に相互接続されるアタックノードのセットを単一の代表的なアタックノードによって置換することによって前記有向グラフを変更する手段を更に備える
ことを特徴とする請求項12に記載の技術的意思決定支援システム。 - リスクは、実現される1つ以上のアタックの予想される損失として定義される
ことを特徴とする請求項12に記載の技術的意思決定支援システム。 - 前記有効性は、前記対抗策を適用するためのコストを考慮することを更に含む
ことを特徴とする請求項12に記載の技術的意思決定支援システム。 - 前記格付手段は、前記対抗策を適用するための前記コストに関連して、適用された対抗策のセットのリスク軽減を評価するように構成されている
ことを特徴とする請求項18に記載の技術的意思決定支援システム。 - 前記技術システムは、複数の通信リンクによって相互接続される複数の通信ノードを有する通信ネットワークであり、
前記複数の通信ユニットの少なくとも一部及び/前記複数の通信リンクの少なくとも一部についての少なくとも一方は、アタックを受け易い
ことを特徴とする請求項12に記載の技術的意思決定支援システム。 - 前記技術システムを特徴付ける前記技術情報の少なくとも一部を取得するように構成されている少なくとも1つのセンサを更に備える
ことを特徴とする請求項12に記載の技術的意思決定支援システム。 - コンピュータシステムにおいて実行する場合に、向上されたシステムセキュリティのための技術システムの再構成を可能にするために前記技術システムのセキュリティを解析するための、コンピュータ可読媒体に記憶されたコンピュータプログラムであって、
前記コンピュータシステムを、
前記技術システムを特徴付ける技術情報として、通信エンティティ、それらの相互接続を記述し、その通信エンティティ及びその相互接続のセキュリティ特性によって属性が与えられている機械可読フォーマットの技術情報を受信する手段と
前記受信した技術情報が示す機械可読フォーマットを解析して、前記技術システムに対する潜在的なアタックの論理式表現として、前記技術システムに関連する属性を有する複数のアタックノードからなる有向グラフに変換する手段であって、前記有向グラフは、前記複数のアタックノードの各々を、対応するアタックが再使用可能であるかの指示と関連付け、かつ該複数のアタックノード間の辺を重み付けしており、前記複数のアタックノードの内、再使用可能であるアタックノードと後続のアタックノードとの間の各辺の重みは、前記再使用可能であるアタックノードのアタックが前記後続のアタックノードに到達するために再使用される必要がある回数を表している、変換する手段と、
前記有向グラフのアタックノードを属性に依存する方程式体系のセットに変換する手段であって、前記属性に依存する方程式体系のセットは、前記辺の重みにも依存する、変換する手段と、
前記属性に依存する方程式体系のセットにおける第1の属性のサブセットに値を提供する手段と、
システムセキュリティを向上することを、選択された対抗策のセットに実行させることを可能にするように、各々が少なくとも1つの対抗策を含む複数の異なる対抗策のセットを格付リストにおいて格付する手段であって、対抗策のセット毎に、前記技術システムに配備される場合の対抗策の動作方法のシミュレーションを実行するために、
前記第1の属性のサブセットの前記値の少なくとも一部に影響を及ぼさせるために、前記有向グラフにおけるアタックノードに前記対抗策のセットの論理式表現を適用することと、
前記第1の属性のサブセットの前記対抗策の影響を受けた値を第2の属性のサブセットに伝播するために前記属性に依存する方程式体系のセットを解くことと、
前記適用された対抗策のセットのランクを計算するために、前記解いた方程式体系から前記第2の属性のサブセットの値を抽出することによって、前記アタックのリスクを軽減することに関する前記適用された対抗策のセットの有効性に基づいて前記適用された対抗策のセットのランクを判定することと
を実行するように構成されている、格付する手段と
して機能させることを特徴とするコンピュータプログラム。 - 前記コンピュータプログラムは、前記コンピュータシステムに、更に、前記異なる対抗策のセットの前記判定したランクに基づいて前記コンピュータプログラムにより生成される制御信号を提供する手段として機能させる
ことを特徴とする請求項22に記載のコンピュータプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US96069307P | 2007-10-10 | 2007-10-10 | |
US60/960,693 | 2007-10-10 | ||
PCT/EP2008/062667 WO2009047113A1 (en) | 2007-10-10 | 2008-09-23 | Apparatus for reconfiguration of a technical system based on security analysis and a corresponding technical decision support system and computer program product |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011519435A JP2011519435A (ja) | 2011-07-07 |
JP5406195B2 true JP5406195B2 (ja) | 2014-02-05 |
Family
ID=40229772
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010528349A Expired - Fee Related JP5406195B2 (ja) | 2007-10-10 | 2008-09-23 | セキュリティ解析に基づいて技術システムの再構成を行なうための装置、並びに対応する技術的意思決定支援システム及びコンピュータプログラム製品 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8646085B2 (ja) |
EP (1) | EP2201491A1 (ja) |
JP (1) | JP5406195B2 (ja) |
WO (1) | WO2009047113A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10922417B2 (en) | 2015-09-15 | 2021-02-16 | Nec Corporation | Information processing apparatus, information processing method, and program |
US11893110B2 (en) | 2019-03-12 | 2024-02-06 | Mitsubishi Electric Corporation | Attack estimation device, attack estimation method, and attack estimation program |
Families Citing this family (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8683546B2 (en) * | 2009-01-26 | 2014-03-25 | Microsoft Corporation | Managing security configuration through machine learning, combinatorial optimization and attack graphs |
US8601587B1 (en) | 2009-09-04 | 2013-12-03 | Raytheon Company | System, method, and software for cyber threat analysis |
US8468512B2 (en) * | 2009-10-30 | 2013-06-18 | International Business Machines Corporation | Abstracting benefit rules from computer code |
US8495745B1 (en) | 2009-11-30 | 2013-07-23 | Mcafee, Inc. | Asset risk analysis |
US8874930B2 (en) * | 2009-12-09 | 2014-10-28 | Microsoft Corporation | Graph encryption |
US8495747B1 (en) | 2010-03-31 | 2013-07-23 | Mcafee, Inc. | Prioritizing asset remediations |
JP5725529B2 (ja) * | 2010-07-21 | 2015-05-27 | 日本電気株式会社 | Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム |
WO2012023050A2 (en) | 2010-08-20 | 2012-02-23 | Overtis Group Limited | Secure cloud computing system and method |
JP5618881B2 (ja) * | 2011-03-25 | 2014-11-05 | 三菱電機株式会社 | 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム |
US20130096980A1 (en) * | 2011-10-18 | 2013-04-18 | Mcafee, Inc. | User-defined countermeasures |
US8965829B2 (en) * | 2012-02-09 | 2015-02-24 | Jeffrey L. Pattillo | System and method for making decisions using network-guided decision trees with multivariate splits |
EP2806371A1 (en) * | 2013-05-23 | 2014-11-26 | Gemalto SA | Secure platform implementing dynamic countermeasures |
EP3053298B1 (en) | 2013-10-03 | 2023-03-29 | FireEye Security Holdings US LLC | Dynamic adaptive defense for cyber-security threats |
GB2533521A (en) * | 2013-10-11 | 2016-06-22 | Ark Network Security Solutions Llc | Systems and methods for implementing modular computer system security solutions |
US9548971B2 (en) * | 2014-03-19 | 2017-01-17 | Symantec Corporation | Systems and methods for smart cipher selection |
US9960956B1 (en) * | 2014-10-15 | 2018-05-01 | The United States Of America, As Represented By The Secretary Of The Navy | Network monitoring method using phantom nodes |
US20160164917A1 (en) | 2014-12-03 | 2016-06-09 | Phantom Cyber Corporation | Action recommendations for computing assets based on enrichment information |
US10805337B2 (en) * | 2014-12-19 | 2020-10-13 | The Boeing Company | Policy-based network security |
US9892261B2 (en) | 2015-04-28 | 2018-02-13 | Fireeye, Inc. | Computer imposed countermeasures driven by malware lineage |
EP3311301B1 (en) | 2015-06-22 | 2021-04-21 | FireEye, Inc. | Graphical user interface environment for creating threat response courses of action for computer networks |
US20170118241A1 (en) * | 2015-10-26 | 2017-04-27 | Shape Security, Inc. | Multi-Layer Computer Security Countermeasures |
US10313365B2 (en) * | 2016-08-15 | 2019-06-04 | International Business Machines Corporation | Cognitive offense analysis using enriched graphs |
US10542015B2 (en) * | 2016-08-15 | 2020-01-21 | International Business Machines Corporation | Cognitive offense analysis using contextual data and knowledge graphs |
US10681061B2 (en) * | 2017-06-14 | 2020-06-09 | International Business Machines Corporation | Feedback-based prioritized cognitive analysis |
US10979296B2 (en) * | 2017-10-04 | 2021-04-13 | Servicenow, Inc. | Systems and method for service mapping |
US11381984B2 (en) * | 2018-03-27 | 2022-07-05 | Forescout Technologies, Inc. | Device classification based on rank |
JP6928265B2 (ja) * | 2018-04-04 | 2021-09-01 | 日本電信電話株式会社 | 情報処理装置及び情報処理方法 |
US11297089B2 (en) * | 2018-05-02 | 2022-04-05 | Blackberry Limited | Providing secure sensor data to automated machines |
US20190340614A1 (en) * | 2018-05-04 | 2019-11-07 | International Business Machines Corporation | Cognitive methodology for sequence of events patterns in fraud detection using petri-net models |
WO2020090077A1 (ja) * | 2018-11-01 | 2020-05-07 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
WO2020136837A1 (ja) * | 2018-12-27 | 2020-07-02 | 三菱電機株式会社 | アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム |
WO2020136793A1 (ja) * | 2018-12-27 | 2020-07-02 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
JP7151552B2 (ja) * | 2019-02-28 | 2022-10-12 | 沖電気工業株式会社 | 支援制御装置、支援制御プログラム、及び支援制御システム |
US11652839B1 (en) * | 2019-05-02 | 2023-05-16 | Architecture Technology Corporation | Aviation system assessment platform for system-level security and safety |
US20210279338A1 (en) * | 2020-03-04 | 2021-09-09 | The George Washington University | Graph-based source code vulnerability detection system |
US11563765B2 (en) * | 2020-04-10 | 2023-01-24 | AttackIQ, Inc. | Method for emulating a known attack on a target computer network |
US20220051111A1 (en) * | 2020-08-17 | 2022-02-17 | Accenture Global Solutions Limited | Knowledge graph enhancement by prioritizing cardinal nodes |
US11657159B2 (en) | 2020-10-16 | 2023-05-23 | International Business Machines Corporation | Identifying security vulnerabilities using modeled attribute propagation |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5850516A (en) * | 1996-12-23 | 1998-12-15 | Schneier; Bruce | Method and apparatus for analyzing information systems using stored tree database structures |
US7013395B1 (en) * | 2001-03-13 | 2006-03-14 | Sandra Corporation | Method and tool for network vulnerability analysis |
US7308715B2 (en) * | 2001-06-13 | 2007-12-11 | Mcafee, Inc. | Protocol-parsing state machine and method of using same |
JP2005242754A (ja) * | 2004-02-27 | 2005-09-08 | Mitsubishi Electric Corp | セキュリティ管理システム |
US8312549B2 (en) * | 2004-09-24 | 2012-11-13 | Ygor Goldberg | Practical threat analysis |
JP2006235692A (ja) * | 2005-02-22 | 2006-09-07 | Hitachi Ltd | 情報処理装置、およびセキュリティ対策を支援するシステム |
JP4663484B2 (ja) * | 2005-04-25 | 2011-04-06 | 株式会社日立製作所 | システムセキュリティ設計・評価支援ツール、システムセキュリティ設計支援ツール、システムセキュリティ設計・評価支援プログラム、およびシステムセキュリティ設計支援プログラム |
US7461036B2 (en) * | 2006-01-18 | 2008-12-02 | International Business Machines Corporation | Method for controlling risk in a computer security artificial neural network expert system |
-
2008
- 2008-09-23 EP EP08804586A patent/EP2201491A1/en not_active Withdrawn
- 2008-09-23 JP JP2010528349A patent/JP5406195B2/ja not_active Expired - Fee Related
- 2008-09-23 US US12/682,542 patent/US8646085B2/en not_active Expired - Fee Related
- 2008-09-23 WO PCT/EP2008/062667 patent/WO2009047113A1/en active Application Filing
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10922417B2 (en) | 2015-09-15 | 2021-02-16 | Nec Corporation | Information processing apparatus, information processing method, and program |
US11893110B2 (en) | 2019-03-12 | 2024-02-06 | Mitsubishi Electric Corporation | Attack estimation device, attack estimation method, and attack estimation program |
Also Published As
Publication number | Publication date |
---|---|
EP2201491A1 (en) | 2010-06-30 |
US20100325412A1 (en) | 2010-12-23 |
WO2009047113A1 (en) | 2009-04-16 |
US8646085B2 (en) | 2014-02-04 |
JP2011519435A (ja) | 2011-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5406195B2 (ja) | セキュリティ解析に基づいて技術システムの再構成を行なうための装置、並びに対応する技術的意思決定支援システム及びコンピュータプログラム製品 | |
Asghar et al. | Cybersecurity in industrial control systems: Issues, technologies, and challenges | |
Kotenko et al. | Attack modeling and security evaluation in SIEM systems | |
Liu et al. | Modeling cyber-physical attacks based on probabilistic colored Petri nets and mixed-strategy game theory | |
JP2018526728A (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
Schlegel et al. | Structured system threat modeling and mitigation analysis for industrial automation systems | |
Lugou et al. | Sysml models and model transformation for security | |
Hansch et al. | Deriving impact-driven security requirements and monitoring measures for industrial IoT | |
Wang et al. | A novel comprehensive network security assessment approach | |
Rostami et al. | Reliability assessment of cyber-physical power systems considering the impact of predicted cyber vulnerabilities | |
Codetta-Raiteri et al. | Decision networks for security risk assessment of critical infrastructures | |
Lee | Probabilistic risk assessment for security requirements: A preliminary study | |
Lee et al. | Quantum computing threat modelling on a generic cps setup | |
Albanese et al. | Computer-aided human centric cyber situation awareness | |
Abraham et al. | A novel architecture for predictive cybersecurity using non-homogenous markov models | |
Akbarzadeh | Dependency based risk analysis in Cyber-Physical Systems | |
Shan et al. | An approach for internal network security metric based on attack probability | |
Younis et al. | Towards the Impact of Security Vunnerabilities in Software Design: A Complex Network-Based Approach | |
Kumar | Quantitative safety-security risk analysis of interconnected cyber-infrastructures | |
Malik et al. | Dynamic risk assessment and analysis framework for large-scale cyber-physical systems | |
Księżopolski | Multilevel Modeling of Secure Systems in QoP-ML | |
Idika | Characterizing and aggregating attack graph-based security metric | |
Hoq et al. | Evaluating the Security Posture of 5G Networks by Combining State Auditing and Event Monitoring | |
Hermanowski et al. | Proactive risk assessment based on attack graphs: An element of the risk management process on system, enterprise and national level | |
Lopez et al. | Service-oriented security architecture for CII based on sensor networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110823 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130513 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130527 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130802 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130826 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131004 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131028 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131031 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |