JP6526895B2 - 電子メッセージベースのセキュリティ脅威の自動軽減 - Google Patents

電子メッセージベースのセキュリティ脅威の自動軽減 Download PDF

Info

Publication number
JP6526895B2
JP6526895B2 JP2018186622A JP2018186622A JP6526895B2 JP 6526895 B2 JP6526895 B2 JP 6526895B2 JP 2018186622 A JP2018186622 A JP 2018186622A JP 2018186622 A JP2018186622 A JP 2018186622A JP 6526895 B2 JP6526895 B2 JP 6526895B2
Authority
JP
Japan
Prior art keywords
message
observable
security
network
managed network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018186622A
Other languages
English (en)
Other versions
JP2019067398A (ja
Inventor
ディコルポ フィル
ディコルポ フィル
ベルナル ホセ
ベルナル ホセ
ワトソン ウンスク
ワトソン ウンスク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ServiceNow Inc
Original Assignee
ServiceNow Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ServiceNow Inc filed Critical ServiceNow Inc
Publication of JP2019067398A publication Critical patent/JP2019067398A/ja
Application granted granted Critical
Publication of JP6526895B2 publication Critical patent/JP6526895B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/08Annexed information, e.g. attachments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

電子メールフィッシング攻撃は、コンピュータ装置へのマルウェアの導入と同じく、機密性の高い個人情報の不正な取得のための最も一般的な方向の1つとなっている。フィッシング攻撃をうまく検出することは、困難な場合がある。それは、特に電子メールスパムとフィッシングの間の境界が非常にわずかであることがあるためである。新しいフィッシングの脅威が定期的に発生し進化しているため、電子メールサービスのユーザに対して、フィッシング攻撃を含む電子メールを受信した可能性があると判断した場合に適切に対応するように、教育することは困難である。従って、これらの脅威の検出と封じ込めを自動化するための措置を講じることは有益である。
フィッシング攻撃は、通常、多数のユーザに送信される電子メールメッセージの形式をとる。このような電子メールメッセージは、ユーザが特定の行為を実行するように求めるテキスト又はイメージが含む場合がある。この行為は、ユニフォームリソースローケイタ(URL)などのハイパーリンクを参照している場合がある。そのハイパーリンクは、実際のウェブサイトの外観を模倣しユーザが機密性の高い個人情報(例えば、ユーザID群やパスワード群)を入力することを推奨する、偽造のウェブサイトに誘導する場合がある。或いは又は更に、その行為は、ユーザが電子メールメッセージに含まれている添付ファイルをダウンロードすることである可能性がある。その添付ファイルは、アクティブ化されたときにユーザのコンピューティング装置にマルウェアをインストールする実行形式が含まれる場合がある。
精密な手法が使用されているかにかかわらず、フィッシング攻撃の影響は個人や企業にとって壊滅的なものになる。潜在的な財務上の損失に加えて、フィッシング攻撃の範囲を判定し、感染した装置を識別し、脅威の封じ込めと根絶に、数百人又は何千人もの人の時間が費やされることがある。従って、フィッシング攻撃の検出と応答を改善するために使用できる手法は、有益である。
特に、企業やその他の組織では、ユーザがセキュリティ専門家に対してフィッシング攻撃の疑いを報告することが推奨される。例えば、受信した電子メールメッセージがフィッシング攻撃であるとユーザが怪しむ場合がある。ユーザは、電子メールメッセージを事前に確立されたメールボックスに転送できる。セキュリティ専門家たちは、このメールボックス内の電子メールメッセージを確認して、怪しまれたフィッシング攻撃が実際の脅威であるかどうかを判断できる。この場合、セキュリティ専門家は攻撃の範囲を評価することができる。これは、何人の他のユーザが同じ又は類似のフィッシング攻撃を受けたか、これらのユーザのいずれかがフィッシング攻撃に関連付けられた行為のいずれかを取ったかどうかを立証することと、これらの行為の影響を評価することと、セキュリティの実施ポイント(例えば、エンドポイントの装置上で動作しているファイアウォール、電子メールサーバ、侵入検知システム、侵入防止システム、マルウェア対策アプリケーション)においてセキュリティポリシーを更新してフィッシング攻撃の影響を軽減又は根絶することを含むことができる。
このプロセスは、経験豊かなセキュリティ専門家でも、数時間又は数日かかることがある。そのような期間中において、その攻撃は、未チェックのまま広がり、数十、数百、又は数千の装置の適切な機能を妨害する可能性がある。疑いもなく、これらの脅威の検出、封じ込め、及び根絶の期間を短縮する技術的なソリューションは、歓迎され、おそらく目に見えない攻撃から前もって保護するために必要である。
本実施形態は、管理対象ネットワークにおいてフィッシング攻撃がどのように検出され、評価され、及び軽減されるかというための、技術的な改善を提供する。起こりうるフィッシング攻撃が検出されると(例えば、ユーザにより報告されたり自動的に検出されたりすると)、疑わしい電子メールメッセージのコピーが電子メールアカウント又は別の宛先に送信される。ひとたび受信されると、疑わしい電子メールメッセージはフィッシングの観測可能な指標がないかスキャンされる。これらは、上記疑わしい電子メールのヘッダ内における特定のパターンや不整合、上記疑わしい電子メールメッセージの本文内における特定のURLへのリンク、上記疑わしいメールに含まれる特定の添付ファイルなどが含まれる場合がある。観測可能な指標がフィッシング攻撃に関連付けられていると判断された場合、同じ又は類似した観測可能な指標を有するその後の電子メールメッセージがユーザの電子メールの受信トレイに届かないように、更新されたセキュリティポリシーが管理対象ネットワーク内の1つ以上のセキュリティ実施ポイントに提供されるようにすることができる。観測可能な指標がフィッシング攻撃に関連付けられていないと判断された場合、管理対象ネットワーク上の電子メールスパムフィルタに更新されたポリシーが提供されるようにすることができる。この方法では、その後のスパムメールは、ユーザの電子メールの受信トレイに配信される可能性が低くなる。このように、これらの実施形態はまた、セキュリティ要員のための「雑音」を削減し、彼らのリソースを実際のそして差し迫った脅威に集中するのに役立つ。
従って、第1の例示的実施形態は、管理対象ネットワーク内に配置されたセキュリティ実施ポイント装置を含むことができる。このセキュリティ実施ポイント装置は、セキュリティポリシーを適用して、管理対象ネットワーク上のコンピューティング装置をセキュリティ脅威から保護する。第1の例示的実施形態はまた、リモートネットワーク管理プラットフォームのコンピュータのインスタンス内に配置されたセキュリティ判定ポイント装置を含むこともできる。ここで、上記コンピュータのインスタンスは上記管理対象ネットワークを受け持つ。セキュリティ判定ポイント装置はまた、次のように構成することもできる。上記装置は、上記管理対象ネットワークを経由してメッセージを受信するように構成できる。そのメッセージは、上記コンピューティング装置中の特定のコンピューティング装置によって取得されたものである。上記装置は、上記メッセージを解析して、1つ以上のセキュリティ脅威の観測可能な指標を識別するように構成できる。その観測可能な指標は、ネットワークアドレス、ハイパーリンク、又は添付ファイルの表示の少なくとも1つを含む。上記装置は、観測可能な指標に対してセキュリティ脅威データベースを遠隔で照会するように構成できる。上記装置は、上記セキュリティ脅威データベースから、上記観測可能な指標が特定のセキュリティ脅威に関連付けられているという表示を受信するように構成できる。そして、上記装置は、セキュリティ実施ポイント装置に、上記特定のセキュリティ脅威が軽減されるように、その関連付けられているセキュリティポリシーを更新するコマンドを送信するように構成できる。上記コマンドの受信は、上記セキュリティ実施ポイント装置に対して上記更新されたセキュリティポリシーに従って動作を変更させる。
第2の例示的実施形態は、リモートネットワーク管理プラットフォームのコンピュータのインスタンス内に配置されたセキュリティ判定ポイント装置において、管理対象ネットワークを介してメッセージを受信することを含むことができる。上記メッセージは、上記管理対象ネットワーク内に配置された特定のコンピューティング装置によって取得される。そして、上記コンピュータのインスタンスは上記管理対象ネットワークを受け持つ。第2の例示的実施形態はまた、上記セキュリティ判定ポイント装置によって、上記メッセージを解析して、1つ以上の上記セキュリティ脅威の観測可能な指標を識別することを含むことができる。上記観測可能な指標は、ネットワークアドレス、ハイパーリンク、又は添付ファイルの表示の少なくとも1つを含む。第2の例示的実施形態はまた、上記セキュリティ判定ポイント装置によって、上記観測可能な指標に対してセキュリティ脅威データベースを遠隔で照会することを含むことができる。第2の例示的実施形態はまた、上記セキュリティ判定ポイント装置によって、上記セキュリティ脅威データベースから、上記観測可能な指標が特定のセキュリティ脅威に関連付けられているという表示を受信することを含むことができる。第2の例示的実施形態はまた、上記セキュリティ実施ポイント装置によって、上記管理対象ネットワーク内に配置されているセキュリティ実施ポイント装置に、上記特定のセキュリティ脅威が軽減されるように、上記セキュリティ実施ポイント装置のセキュリティポリシーを更新するコマンドを送信することを含むことができる。上記コマンドの受信は、上記セキュリティ実施ポイント装置に対して上記更新されたセキュリティポリシーに従って動作を変更させる。
第3の例示的実施形態において、製造物品は、その上にプログラム命令を記憶した非一過性のコンピュータ読取り可能な媒体を含むことができ、上記媒体上に保存されたプログラム命令は、コンピューティングシステムによって実行されたときに、そのコンピューティングシステムに対して、上記第1及び/又は第2の例示的実施形態に基づく動作を実行させることができる。
第4の例示的実施形態において、コンピューティングシステムは、少なくとも1つのプロセッサ、並びにメモリ及びプログラム命令を含めることができる。プログラム命令は、上記メモリに記憶されるようにすることができ、そして、少なくとも上記1つのプロセッサによって実行されるときに、上記コンピューティングシステムに対して、上記第1及び/又は第2の例示的実施形態に従う動作を実行させることができる。
第5の例示的実施形態において、システムは、上記第1及び/又は第2の例示的実施形態の動作のそれぞれを実行するための様々な手段を含むことができる。
これらの並びに他の実施形態、態様、優位性、及び代替は、必要に応じて添付図面を参照しながら以下の詳細な説明を読むことによって、当業者に明らかになる。また、本明細書に記載されているこのサマリー及びその他の説明及び図は実施形態を例示するものにすぎず、そういうものとして、多数の変形が可能である。例えば、構造的な要素と処理ステップは、再配置、結合、分散、除去、又はその他の変更を行うことができ、クレームされた実施形態の範囲内に残る。
例示的実施形態による、コンピューティング装置の概略図を示している。 例示的実施形態による、サーバ装置クラスタの概略図面を示している。 例示的実施形態による、リモートネットワーク管理アーキテクチャを描いている。 例示的実施形態による、リモートネットワーク管理アーキテクチャを含む通信環境を描いている。 例示的実施形態による、リモートネットワーク管理アーキテクチャを含む別の通信環境を描いている。 例示的実施形態による、フローチャートである。 例示的実施形態による、電子メッセージ及びヘッダの実施例である。 例示的実施形態による、電子メッセージ及びヘッダの別の実施例である。 例示的実施形態による、セキュリティ脅威の検出と軽減のためのネットワークアーキテクチャである。 例示的実施形態による、メッセージフロー図である。 例示的実施形態による、フローチャートである。
方法、装置、及びシステムの実施例について、ここに説明する。「例」及び「例示的な」という語は、ここでは「例、事例、又は図として提供する」という意味で用いられる。「例」又は「例示的な」としてここで説明する任意の実施形態又は機能は、そのように記載されていないとしても、必ずしも他の実施形態又は機能よりも好ましい又は有利と解釈される必要はない。従って、ここで与えられている手段の範囲から逸脱することなく、他の実施形態を利用することができ、他の変更を加えることができる。
従って、ここで説明する例示的実施形態は、限定されるものではない。本開示の態様としては、ここで一般的に説明され図中に例示されているように、配置され、置換され、結合され、分離され、及び多種多様な異なる構成で設計され得ることが容易に理解される。例えば、「クライアント」及び「サーバ」要素への機能の分離は、多くの方法において発生する可能性がある。
更に、文脈がそれ以外を示唆しない限り、各図に例示される特徴は互いに組み合わせて使用することができる。このように、各実施形態についてすべては図示していない特徴が必要であることを理解して、図は一般的に1つ以上の全体の実施形態の構成要素として見られるべきである。
更に、本明細書又はクレームにおける要素、ブロック、又はステップの列挙は、わかりやすくするためのものである。従って、このような列挙は、これらの要素、ブロック、又はステップが、特定の配置に従うか又は特定の順序で実行されることを要求又は暗示するように解釈されるべきではない。
<I.序説>
大企業は、多くの相互運用を伴う複雑なエンティティである。これらのいくつかは、人事(HR)、サプライチェーン、情報技術(IT)、ファイナンスなど、企業全体にわたって見つかる。しかし、各企業はまた、本質的な機能を提供し、及び/又は競争上の優位性を生成する独自の経営を持っている。
広く実施される運営をサポートするために、企業は通常、カスタマリレーションシップマネジメント(CRM)や人的資本管理(HCM)パッケージなどの、既製のソフトウェアアプリケーションを使用する。しかしながら、独自の要件を満たすためにカスタムソフトウェアアプリケーションが必要になる場合もある。大企業は、多くの場合、数十又は数百のこれらのカスタムソフトウェアアプリケーションを持っている。それにもかかわらず、ここでの実施形態によって提供される利点は、大企業に限定されず、企業、又は任意のサイズの組織の任意の他のタイプに適用されるようにすることができる。
そのようなソフトウェアアプリケーションの多くは、企業内の個々の部門によって開発される。これらは、単純なスプレッドシートからカスタムビルドのソフトウェアツールやデータベースまでの範囲にわたる。しかし、孤立カスタムソフトウェアアプリケーションの急増には多くの欠点がある。それは、企業がそのビジネスを運営及び成長させ、革新し、規制要件を満たす能力に悪影響を及ぼす。企業は、サブシステムとデータを統一する単一のシステムがないために、統合、合理化、運用の強化が困難であることを見出す可能性がある。
カスタムアプリケーションを効率的に生成するために、企業は、不必要な開発の複雑さを排除するリモートホストアプリケーションプラットフォームの恩恵を受けることができる。このようなプラットフォームの目標は、ソフトウェアエンジニアや他の役の個人が、ユニークで価値の高い機能の開発に専念できるように、時間のかかる、反復されるアプリケーション開発タスクを削減することであろう。
この目標を達成するために、サービスとしてのアプリケーションプラットフォームの概念(aPaaS)が導入され、企業全体にわたるワークフローをインテリジェントに自動化する。上記aPaaSシステムは、企業から遠隔でホストされるが、セキュアな接続によって、企業内のデータ、アプリケーション、及びサービスにアクセスできる。このようなaPaaSシステムは、多くの有利な機能と特性を有することができる。これらの利点と特性は、IT、HR、CRM、カスタマーサービス、アプリケーション開発、及びセキュリティのための企業の業務及びワークフローを改善することができる可能性がある。
上記aPaaSシステムは、モデルビューコントローラ(MVC)アプリケーションの開発及び実行をサポートすることができる。MVCアプリケーションは、情報がユーザに提示される方法から情報の表現を分離するために、3つの相互接続された部分(モデル、ビュー、及びコントローラ)に機能を分割することにより、効率的なコード再利用と並行開発を可能とする。これらのアプリケーションは、ウェブベースとすることができ、生成、読出し、更新、削除(CRUD)の機能を提供することができる。これにより、共通のアプリケーションインフラストラクチャ上に新しいアプリケーションを構築できる。
上記aPaaSシステムは、グラフィカルユーザインタフェース(GUI)開発用の標準化されたウィジェットセットなど、標準化されたアプリケーションコンポーネントをサポートすることができる。このように、上記aPaaSシステムを使用して構築されたアプリケーションは、一般的なルックアンドフィールを備えている。その他のソフトウェアコンポーネントやモジュールも、同様に標準化されるようにすることができる。いくつかのケースでは、このルックアンドフィールは、企業のカスタムロゴ及び/又は配色体系によって、ブランド化又は皮で覆うことができる。
上記aPaaSシステムは、メタデータを使用してアプリケーションの動作を設定する機能をサポートすることができる。これは、アプリケーションが特定のニーズを満たすように急速に適応されるようにすることを可能にする。このようなアプローチが、開発時間を短縮し、柔軟性を増大させる。更に、上記aPaaSシステムは、メタデータの生成と管理を容易にするGUIツールをサポートすることができるため、従って、メタデータにおけるエラーを減らすことができる。
上記aPaaSシステムは、アプリケーション間で明確に定義されたインタフェースをサポートすることができ、従って、ソフトウェア開発者が不要なアプリケーション間の依存関係を回避することができる。従って、上記aPaaSシステムは、永続的な状態情報やその他のデータが記憶されているサービス層を実装することができる。
上記aPaaSシステムは、その上のアプリケーションがレガシアプリケーションやサードパーティアプリケーションと対話できるように、豊富な統合機能のセットをサポートすることができる。例えば、上記aPaaSシステムは、レガシのHR、IT、及び会計システムと統合するカスタム従業員オンボードシステムをサポートすることができる。
上記aPaaSシステムは、エンタープライズレベルのセキュリティをサポートすることができる。更に、上記aPaaSシステムは遠隔でホストされるようにすることができるため、企業内又はサードパーティのネットワークにおけるシステムや企業の外部に提供されているサービスと対話する時に、セキュリティ手順を利用することも必要である。例えば、上記aPaaSシステムは、企業や他の当事者間でデータを共有して、一般的なセキュリティ脅威を検出及び識別するように構成できる。
上記aPaaSシステムのその他の特徴、機能、及び利点があり得る。この説明は実施例の目的のためであり、制限されることは意図されていない。
上記aPaaS開発プロセスの一実施例として、ソフトウェア開発者は、上記aPaaSシステムを使用して新しいアプリケーションを生成することを割り当てられるようにすることができる。まず、上記開発者は、上記アプリケーションが使用するデータの種類と両者の関係を定めるデータモデルを定義することができる。その後、上記aPaaSシステムのGUIを介して、上記開発者が上記データモデルを入力(例えば、アップロード)する。上記aPaaSシステムは、対応するすべてのデータベーステーブル、フィールド、及びリレーションシップを自動的に生成し、それでそれらはオブジェクト指向サービス層を介してアクセスされるようにすることができる。
加えて、上記aPaaSシステムは、クライアント側のインタフェースとサーバ側のCRUDロジックを有する、完全に機能するMVCアプリケーションを構築することもできる。この生成されたアプリケーションは、ユーザの更なる開発の基礎として役に立つことができる。有利なことに、開発者は、基本的なアプリケーション機能に大量の時間を費やす必要はない。更に、アプリケーションはウェブベースとすることができるため、それは任意のインターネット対応クライアント装置からアクセスできる。代わりに又は加えて、例えばインターネットサービスが利用できない場合などに、アプリケーションのローカルコピーがアクセスされるようにすることができる。
上記aPaaSシステムは、アプリケーションに追加することができる、定義済みの機能の豊富なセットをサポートすることができる。これらの機能は、検索、電子メール、テンプレート、ワークフローデザイン、レポート生成、解析、ソーシャルメディア、スクリプティング、モバイルフレンドリな出力、カスタマイズされたGUIなどのサポートを含む。
以下の実施形態は、aPaaSシステム実施例のアーキテクチャの及び機能的な側面、並びにその特徴と利点について説明する。
<II.コンピューティング装置とクラウドベースのコンピューティング環境の例>
図1は、コンピューティング装置100を例示した簡略化されたブロック図であり、本明細書の実施形態に従って動作するように配置されたコンピューティング装置に含まれうる構成要素のいくつかを例示している。コンピューティング装置100は、クライアント装置(ユーザがアクティブに動作する装置など)、サーバ装置(クライアント装置に計算サービスを提供する装置など)、又はその他の種類の計算プラットフォームであってよい。いくつかのサーバ装置は、特定の動作を実行するために、随時クライアント装置として動作することができ、いくつかのクライアント装置はサーバ機能を組み込んでよい。
この例では、コンピューティング装置100は、プロセッサ102、メモリ104、ネットワークインタフェース106、及び入出力ユニット108を含み、すべてがシステムバス110又は同様の機構によって結合されるようにすることができる。いくつかの実施形態において、コンピューティング装置100は、他のコンポーネント及び/又は周辺機器(例えば、着脱可能なストレージ、プリンタなど)を含むことができる。
プロセッサ102は、中央処理装置(CPU)、コプロセッサ(例えば、数学、グラフィック、又は暗号化のコプロセッサ)、デジタル信号プロセッサ(DSP)、ネットワークプロセッサ、及び/又はプロセッサ動作を実行する統合された回路又はコントローラーの形態のような、1つ以上の任意のタイプのコンピュータ処理要素とすることができる。いくつかのケースでは、プロセッサ102は、1つ以上シングルコアプロセッサであってよい。その他のケースでは、プロセッサ102は、複数の独立した処理ユニットを有する1つ以上のマルチコアプロセッサであってよい。プロセッサ102はまた、実行中の命令や関連データを一時的に記憶するレジスタメモリ、並びに、最近使用した命令やデータを一時的に格納するためのキャッシュメモリを含むこともできる。
メモリ104は、任意のタイプのコンピュータで使用可能なメモリであってよく、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、不揮発性メモリ(例えば、フラッシュメモリ、ハードディスクドライブ、ソリッドステートドライブ、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及び/又はテープストレージ)を含むがそれらに制限されない。従って、メモリ104は、メインメモリユニット、並びに長期間ストレージの両方を表している。他のタイプのメモリは、生物学的メモリを含めることができる。
メモリ104は、その上でプログラム命令が動作するプログラム命令及び/又はデータを記憶することができる。例えば、メモリ104は、これらのプログラム命令を非一過性のコンピュータ読取り可能な媒体に保存することができ、それにより、本明細書又は添付図面で開示されている任意の方法、プロセス、又は動作を実行するためにプロセッサ102によってそれらの命令が実行可能となる。
図1に示されるように、メモリ104は、ファームウェア104A、カーネル104B、及び/又はアプリケーション104Cを含むことができる。ファームウェア104Aは、いくつか又はすべてのコンピューティング装置100をブート又はさもなければ開始するために使用されるプログラムコードであってよい。カーネル104Bは、メモリ管理、プロセスのスケジューリングと管理、入出力、及び通信のためのモジュールを含むオペレーティングシステムであってよい。カーネル104Bはまた、オペレーティングシステムがコンピューティング装置100のハードウェアモジュール(例えば、メモリユニット、ネットワーキングインタフェース、ポート、及びバス)と通信できるデバイスドライバを含んでもよい。アプリケーション104Cは、ウェブブラウザや電子メールクライアントなどの1つ以上のユーザ空間ソフトウェアプログラム、並びにこれらのプログラムによって使用されるソフトウェアライブラリであってよい。メモリ104はまた、これら及び他のプログラムやアプリケーションで使用されるデータを格納することができる。
ネットワークインタフェース106は、イーサネット(例えば、高速イーサネット、ギガビットイーサネットなど)のような、1つ以上の有線インタフェースの形式をとることができる。ネットワークインタフェース106はまた、同軸ケーブル若しくは電力線のような1つ以上の非イーサネットメディア、又は同期光ネットワーキング(SONET)若しくはデジタル加入者線(DSL)技術のようなワイドエリアメディアをまたがる通信をサポートすることもできる。ネットワークインタフェース106は加えて、IEEE 802.11 (Wifi)、BLUETOOTH(登録商標)、全地球測位システム(GPS)、又はワイドエリアワイヤレスインタフェースのような、1つ以上のワイヤレスインタフェースの形式をとることもできる。ただし、他の形式の物理層インタフェース及びその他のタイプの標準又は独自の通信プロトコルは、ネットワークインタフェース106を介して使用することができる。更に、ネットワークインタフェース106は、複数の物理インタフェースを備えていてもよい。例えば、コンピューティング装置100のいくつかの実施形態は、イーサネット、BLUETOOTH(登録商標)、及びWifiインタフェースを含めることができる。
入出力ユニット108は、ユーザ及び周辺機器の例えばコンピューティング装置100との対話を容易にすることができる。入出力ユニット108は、キーボード、マウス、タッチスクリーンなどの1種類以上の入力装置を含むことができる。同様に、入出力ユニット108は、スクリーン、モニタ、プリンタ、及び/又は1つ以上の発光ダイオード(LED)などの1種類以上の出力装置を含むことができる。加えて又は代わりに、コンピューティング装置100は、例えば、ユニバーサルシリアルバス(USB)又は高精細マルチメディアインタフェース(HDMI)ポートインタフェースを使用して、他の装置と通信することができる。
いくつかの実施形態では、aPaaSアーキテクチャをサポートするために、コンピューティング装置100の1つ以上のインスタンスがデプロイされるようにすることができる。これらのコンピューティング装置の正確な物理的な位置、接続性、及び構成は、クライアント装置にとって不明及び/又は重要ではないようにすることができる。従って、上記コンピューティング装置は、さまざまなリモートデータセンタの場所に収容される可能性がある、「クラウドベース」の装置と呼ばれることがある。
図2は、例示的実施形態による、クラウドベースのサーバクラスタ200を図示している。図2において、コンピューティング装置(例えば、コンピューティング装置100)の動作は、すべてがローカルクラスタネットワーク208によって接続されていてもよい、サーバ装置202、データストレージ204、及びルータ206の間に分散されていてもよい。サーバクラスタ200におけるサーバ装置202、データストレージ204、及びルータ206の数は、サーバクラスタ200に割り当てられるコンピューティングタスク及び/又はアプリケーションに依存するようにすることができる。
例えば、サーバ装置202は、コンピューティング装置100のさまざまなコンピューティングタスクを実行するように構成されることができる。従って、コンピューティングタスクは、1つ以上のサーバ装置202の間で配分されるようにすることができる。これらのコンピューティングタスクが並列に実行されることができる範囲では、そのようなタスクの配分は、これらのタスクを完了して結果を返すための合計時間を短縮することができる。簡単にするために、サーバクラスタ200と個々のサーバ装置202はどちらも「サーバ装置」と呼ばれることがある。この命名法は、サーバ装置の動作において、1つ以上の別個のサーバ装置、データストレージ装置、及びクラスタルータが関与している可能性があることを意味することを理解される必要がある。
データストレージ204は、ハードディスクドライブ及び/又はソリッドステートドライブのグループに対する読出し及び書込みアクセスを管理するように構成されたドライブアレイコントローラを含むデータストレージアレイであってもよい。ドライブアレイコントローラはまた、単独で又はサーバ装置202と協同して、データストレージ204に記憶されるデータのバックアップ又は冗長コピーを管理して、1つ以上のサーバ装置202がクラスタデータストレージ204のユニットにアクセスできないドライブの障害やその他の種類の障害に対して保護をするように構成されるようにすることもできる。ドライブは別とする他の種類のメモリが使用されてもよい。
ルータ206は、サーバクラスタ200のための内部及び外部通信を提供するように構成されたネットワーク機器を含むことができる。例えば、ルータ206は、(i)クラスタネットワーク208を介したサーバ装置202とデータストレージ204間のネットワーク通信、及び/又は(ii)ネットワーク212への通信リンク210を介したサーバクラスタ200と他の装置間のネットワーク通信を提供するように構成された1つ以上のパケットスイッチング及び/又はルーティング装置(スイッチ及び/又はゲートウェイを含む)を含むことができる。
更に、クラスタルータ206の構成は、サーバ装置202及びデータストレージ204のデータ通信要求、ローカルクラスタネットワーク208のレイテンシとスループット、通信リンク210の待ち時間とスループットとコスト、並びに/又はシステムアーキテクチャのコストと速度と耐故障性と復元性と効率性及び/若しくは他の設計目標に寄与する可能性のあるその他の要因の、少なくとも一部に基づくようにすることができる。
可能性のある実施例として、データストレージ204は、構造化クエリ言語(SQL)データベースのような任意の形式のデータベースを含むことができる。さまざまな種類のデータ構造は、そのようなデータベースに、テーブル、配列、リスト、ツリー、タプルを含みしかしそれに制限されない情報を記憶することができる。更に、データストレージ204における任意のデータベースは、一体にされる又は複数の物理装置にわたって分散されるようにすることができる。
サーバ装置202は、クラスタデータストレージ204に対してデータを送信するように及びデータを受信するように構成されてよい。この送信及び取得は、SQLクエリ又はその他のタイプのデータベースクエリ、及びそのようなクエリの出力の形式を、それぞれ取ることができる。そのうえ、追加のテキスト、画像、ビデオ、及び/又はオーディオが含まれていてもよい。更に、サーバ装置202は、受信したデータをウェブページ表現にまとめることができる。このような表現は、ハイパーテキストマークアップ言語(HTML)、拡張マークアップ言語(XML)、又はいくつかのその他の標準化された又は独自のフォーマットのマークアップ言語の形式を取ることができる。更に、サーバ装置202は、Perl、Python、PHPハイパーテキストプリプロセッサ(PHP)、アクティブサーバページ(ASP)、JavaScriptなどの、さまざまな種類のコンピュータ化されたスクリプト言語を実行する機能を有することができる。これらの言語で書かれたコンピュータプログラムコードは、クライアント装置へのウェブページの提供、並びにウェブページとのクライアント装置の対話を容易にすることができる。
<III.リモートネットワーク管理アーキテクチャの実施例>
図3は、例示的実施形態による、リモートネットワーク管理アーキテクチャを図示している。このアーキテクチャは、すべてインターネット350を介して接続している3つの主要コンポーネントとして、管理対象ネットワーク300、リモートネットワーク管理プラットフォーム320、及びサードパーティのネットワーク340を含んでいる。
管理対象ネットワーク300は、例えば、コンピューティング及び通信のタスクのためにビジネスによって使用されるエンタープライズネットワーク、並びにデータのストレージであってよい。従って、管理対象ネットワーク300は、さまざまなクライアント装置302、サーバ装置304、ルータ306、仮想マシン308、ファイアウォール310、及び/又はプロキシサーバ312を含むことができる。クライアント装置302は、コンピューティング装置100によって具体化されてもよく、サーバ装置304は、コンピューティング装置100又はサーバクラスタ200によって具体化されていてもよく、ルータ306は任意のタイプのルータ、スイッチ、又はゲートウェイであってもよい。
仮想マシン308は、1つ以上のコンピューティング装置100又はサーバクラスタ200によって具体化されてもよい。一般的に、仮想マシンはコンピューティングシステムのエミュレーションであり、物理コンピュータの機能(例えば、プロセッサ、メモリ、通信リソース)を模倣する。サーバクラスタ200などの1つの物理コンピューティングシステムでは、数千までの個別の仮想マシンをサポートできる。いくつかの実施形態では、仮想マシン308は、個々の仮想マシンへの物理コンピューティングリソースの割り当て並びにパフォーマンスとエラーの報告を容易にする、一元化されたサーバ装置又はアプリケーションによって管理されるようにすることができる。企業は、必要とされる仕方で効率的にコンピューティングリソースを割り当てるために、仮想マシンを採用することがよくある。仮想化コンピューティングシステムのプロバイダには、VMWARE(登録商標)及びMICROSOFT(登録商標)が含まれる。
ファイアウォール310は、管理対象ネットワーク300から発せられる権限が授けられた通信を許可しながら、装置、アプリケーション、及びその中のサービスへの不正なアクセスから上記管理対象ネットワーク300を保護する1つ以上の専用ルータ又はサーバ装置とすることができる。ファイアウォール310はまた、侵入検出、ウェブフィルタリング、ウイルススキャン、アプリケーション層ゲートウェイ、及びその他のアプリケーション又はサービスを提供することができる。図3に示されていないいくつかの実施形態では、管理対象ネットワーク300は、リモートネットワーク管理プラットフォーム320(下記参照)と通信する1つ以上の仮想プライベートネットワーク(VPN)ゲートウェイを含むことができる。
管理対象ネットワーク300はまた、1つ以上のプロキシサーバ312を含めることもできる。プロキシサーバ312の一実施形態は、管理対象ネットワーク300とリモートネットワーク管理プラットフォーム320とサードパーティネットワーク340の間のデータの通信と移動を容易にするサーバ装置であってもよい。特に、プロキシサーバ312は、リモートネットワーク管理プラットフォーム320の1つ以上のコンピュータのインスタンスとセキュアな通信セッションを確立し維持することができる。このようなセッションを通じて、リモートネットワーク管理プラットフォーム320は、管理対象ネットワーク300及びその構成要素のアーキテクチャ及び構成の様子を発見し管理することができる。できるかぎりプロキシサーバ312の支援を受けて、リモートネットワーク管理プラットフォーム320は、管理対象ネットワーク300によって使用されるサードパーティのネットワーク340の様子を発見し管理することができる。
ファイアウォール310などのファイアウォールは通常、セッションが最終的にはファイアウォールの背後から(つまり、管理対象ネットワーク300上の装置から)発せられたような場合又はファイアウォールが明示的にそのセッションをサポートするように設定されている場合を除き、インターネット350を経由して着信しているすべての通信セッションを拒否する。プロキシサーバ312をファイアウォール310の背後に(例えば、管理対象ネットワーク300内でかつファイアウォール310で保護されるように)配置することにより、プロキシサーバ312は、ファイアウォール310を通じてこれらの通信セッションを開始することができる。従って、ファイアウォール310は、リモートネットワーク管理プラットフォーム320からの着信セッションをサポートするように特別に構成する必要がなく、管理対象ネットワーク300に対する潜在的なセキュリティリスクを回避できる。
いくつかのケースでは、管理対象ネットワーク300は少数の装置と少数のネットワークで構成されてもよい。他のデプロイメントでは、管理対象ネットワーク300は複数の物理的な場所にまたがることができ、数百のネットワークと数十万の装置を含むことができる。従って、図3に図示されているアーキテクチャは、桁違いにスケールアップ又はスケールダウンすることができる。
更に、管理対象ネットワーク300のサイズ、アーキテクチャ、及び接続性に依存して、さまざまな数のプロキシサーバ312がそこにデプロイされるようにすることができる。例えば、プロキシサーバ312の各1つは、管理対象ネットワーク300の一部について、リモートネットワーク管理プラットフォーム320との通信を担当する場合がある。代わりに又は加えて、負荷分散、冗長性、高可用性などの目的で、2つ以上のプロキシサーバのセットが管理対象ネットワーク300のそのような一部に割り当てられるようにすることができる。
リモートネットワーク管理プラットフォーム320は、ユーザ特に管理対象ネットワーク300の管理者に、aPaaSサービスを提供するホストされた環境である。これらのサービスは、例えば、ウェブベースのポータルの形式を取ることができる。従って、ユーザは、例えばクライアント装置302から或いはもしかすると管理対象ネットワーク300の外部のクライアント装置から、リモートネットワーク管理プラットフォーム320にセキュアにアクセスすることができる。ユーザは、ウェブベースのポータルを使用して、アプリケーションを設計、テスト、及びデプロイし、レポートを生成し、解析を閲覧し、及びその他のタスクを実行することができる。
図3に示されるように、リモートネットワーク管理プラットフォーム320は、4つのコンピュータのインスタンス322、324、326、及び328を含む。これらの各インスタンスは、特定の顧客が利用できるウェブポータルのセット、サービス、及びアプリケーション(例えば、完全に機能するaPaaSシステム)を表すことができる。いくつかのケースでは、1人の顧客は、複数のコンピュータのインスタンスを使用することができる。例えば、管理対象ネットワーク300は、リモートネットワーク管理プラットフォーム320の企業の顧客である可能性があり、コンピュータのインスタンス322、324、及び326を使用することができる。1人の顧客に複数のインスタンスを提供する理由は、顧客がそのアプリケーション及びサービスを独自に開発、テスト、及びデプロイすることを望むことがあるためである。従って、コンピュータのインスタンス322は管理対象ネットワーク300に関連するアプリケーション開発を受け持つことができ、コンピュータのインスタンス324はこれらのアプリケーションのテストを受け持つことができ、そして、コンピュータのインスタンス326は、テストされたアプリケーション及びサービスのライブ動作を受け持つことができる。コンピュータのインスタンスはまた、ホストされたインスタンス、リモートインスタンス,顧客インスタンス、又はその他の呼称によって呼ばれることがある。
リモートネットワーク管理プラットフォーム320のマルチインスタンスアーキテクチャは、マルチインスタンスアーキテクチャにいくつかの利点がある従来のマルチテナントアーキテクチャとは対照的である。マルチテナントアーキテクチャでは、異なる顧客(例えば、企業)からのデータが1つのデータベースに一緒にされる。これらの顧客のデータは互いに分離されているが、分離は単一のデータベースを操作するソフトウェアによって実施される。結果として、このシステムのセキュリティ侵害は、すべての顧客のデータに影響を与える可能性があり、特に政府、医療、及び/又は金融規制に所属する実体に更なるリスクを生成する。更に、1人の顧客に影響を与えるデータベース操作は、そのデータベースを共有するすべての顧客に影響する可能性がある。従って、ハードウェア又はソフトウェアのエラーが原因で停止が発生した場合、この停止はすべてのそのような顧客に影響を及ぼす。同様に、1人の顧客のニーズを満たすようにデータベースをアップグレードする場合は、アップグレードプロセス中にすべての顧客が使用できなくなる。多くの場合、このようなメンテナンスウィンドウは、共有データベースのサイズが原因で、長い時間になる。
これに対して、マルチインスタンスアーキテクチャは、各顧客に専用のコンピューティングインスタンス内の専用のデータベースを提供する。これにより、顧客データが一緒になることを防ぎ、各インスタンスを個別に管理できるようになる。例えば、ある顧客のインスタンスがエラー又はアップグレードを原因とする停止を経験した場合、その他のコンピュータのインスタンスは影響を受けない。データベースは一人の顧客のデータしか含まないため、メンテナンスのダウンタイムは限定的である。更に、マルチインスタンスアーキテクチャのシンプルな設計により、各顧客データベースとインスタンスの冗長コピーを地理的に多様に配置することができる。このことは、障害が検出されたとき又はメンテナンスが実行されているときに、顧客のインスタンスのライブバージョンを移動できる高可用性を促進する。
複数のコンピュータのインスタンスを効率的な方法でサポートするために、リモートネットワーク管理プラットフォーム320は、複数のこれらのインスタンスを単一のハードウェアプラットフォーム上で実装することができる。例えば、aPaaSシステムがサーバクラスタ200などのサーバクラスタに実装されている場合、それは、計算、ストレージ、及び通信のリソースの可変量をインスタンスのために確保する仮想マシンを動作させる場合がある。しかし、サーバクラスタ200の完全な仮想化は不要であり、他のメカニズムを使用してインスタンスを分離することもできる。いくつかの実施例では、各インスタンスは専用のアカウントを有し、サーバクラスタ200上に1つ以上の専用データベースを有することができる。或いは、コンピュータのインスタンス322は、複数の物理装置にまたがることができる。
いくつかのケースでは、リモートネットワーク管理プラットフォーム320の単一サーバクラスタが、複数の独立した企業をサポートすることができる。更に、後述するように、リモートネットワーク管理プラットフォーム320は、負荷分散、冗長性、及び/又は高可用性を促進するために、地理的に多様なデータセンタに配置される複数のサーバクラスタを含めることができる。
サードパーティのネットワーク340は、アウトソーシングされた計算、データストレージ、通信、及びサービスのホスティング動作に使用することができるリモートサーバ装置(例えば、サーバクラスタ200などの複数のサーバクラスタ)であってよい。これらのサーバは、仮想化されるようにすることができる(つまり、そのサーバはバーチャルマシンとなるようにすることができる)。サードパーティのネットワーク340の例としては、AMAZONWEBサービス(登録商標)とMICROSOFT(登録商標)Azureを含むことができる。リモートネットワーク管理プラットフォーム320と同様に、サードパーティのネットワーク340をサポートする複数のサーバクラスタを、負荷分散、冗長性、及び/又は高可用性の目的で、地理的に多様な場所に配置することができる。
管理対象ネットワーク300は、1つ以上のサードパーティのネットワーク340を使用して、アプリケーション及びサービスをそのクライアント及び顧客にデプロイできる。例えば、管理対象ネットワーク300がオンライン音楽ストリーミングサービスを提供している場合、サードパーティのネットワーク340は音楽ファイルを記憶し、ウェブインタフェース及びストリーミング機能を提供することができる。このように、管理対象ネットワーク300の企業は、これらの動作のために、独自のサーバを構築し維持する必要はない。
リモートネットワーク管理プラットフォーム320は、サードパーティのネットワーク340と統合されたモジュールを含むことができ、仮想マシンとその中の管理対象サービスを、管理対象ネットワーク300に公開することができる。上記モジュールは、ユーザが仮想リソースを要求することを可能にし、サードパーティのネットワーク340のための柔軟なレポートを提供することができる。この機能を確立するために、管理対象ネットワーク300のユーザは、最初にサードパーティのネットワーク340とアカウントを確立し、関連するリソースのセットを要求することができる。次に、ユーザは、リモートネットワーク管理プラットフォーム320の適切なモジュールにアカウント情報を入力することができる。これらのモジュールは、アカウント内の管理可能なリソースを自動的に発見し、そしてまた、使用状況、パフォーマンス、及び請求に関するレポートを提供することもできる。
インターネット350は、グローバルインターネットの一部を表すことができる。ただし、インターネット350は、プライベートなワイドエリア又はローカルエリアパケット交換ネットワークのような、異なる種類のネットワークを代わりに表すこともできる。
図4は、管理対象ネットワーク300とコンピュータのインスタンス322との間の通信環境を更に示しており、更なる機能と代替の実施形態を導入している。図4において、コンピュータのインスタンス322は、データセンタ400A及び400B間で複製される。これらのデータセンタは、地理的に互いに離れていて、おそらく別の都市や異なる国にある。各データセンタには、管理対象ネットワーク300並びにリモートユーザとの通信を容易にするサポート機器が含まれている。
データセンタ400Aでは、外部装置への又はそこからのネットワークトラフィックは、VPNゲートウェイ402A又はファイアウォール404Aを介して流れる。VPNゲートウェイ402Aは、インターネットプロトコルセキュリティ(IPSEC)又はトランスポート層セキュリティ(TLS)などのセキュリティプロトコルを経由して、管理対象ネットワーク300のVPNゲートウェイ412とピア接続されるようにすることができる。ファイアウォール404Aは、ユーザ414やリモートユーザ416などの権限のあるユーザからのアクセスを許可し、権限のないユーザへのアクセスを拒否するように構成されるようにすることができる。ファイアウォールの404Aによって、これらのユーザはコンピュータのインスタンス322、そしておそらく他のコンピュータのインスタンスに、アクセスすることができる。ロードバランサー406Aは、コンピュータのインスタンス322をホストする1つ以上の物理又は仮想サーバ装置の間で、トラフィックを分散するために使用されるようにすることができる。ロードバランサー406Aは、データセンタ400Aの内部構成(例えば、コンピュータのインスタンス322)をクライアント装置から見えないようにすることにより、ユーザアクセスを簡素化することができる。例えば、コンピュータのインスタンス322がもし、複数のデータベースへのアクセスを共有する複数の物理又は仮想コンピューティング装置を含んでいる場合に、ロードバランサー406Aは、誰のコンピューティング装置又はデータベースも他の人のより大幅にビジーとならないように、これらのコンピューティング装置及びデータベース間でネットワークトラフィックと処理タスクを分配することができる。いくつかの実施形態では、コンピュータのインスタンス322は、VPNゲートウェイ402A、ファイアウォール404A、及びロードバランサー406Aを含むことができる。
データセンタ400Bは、データセンタ400Aにおけるコンポーネントのそれ自身のバージョンを含むようにすることができる。従って、VPNゲートウェイ402B、ファイアウォール404B、及びロードバランサー406Bは、それぞれVPNゲートウェイ402A、ファイアウォール404A、及びロードバランサー406Aと同じ又は同様の動作を実行できる。更に、リアルタイム又はほぼリアルタイムのデータベースレプリケーションやその他の動作によって、コンピュータのインスタンス322は、データセンタ400Aと400Bに同時に存在するようにすることができる。
図4に示されるように、データセンタ400A及び400Bは、冗長性と高可用性を促進する。図4の構成では、データセンタ400Aがアクティブであり、データセンタ400Bがパッシブである。従って、データセンタの400Aは、管理対象ネットワーク300への又はそこからのすべてのトラフィックを扱っているが、同時に、データセンタ400Bにおけるコンピュータのインスタンス322のバージョンは、ほぼリアルタイムで更新されている。両方のデータセンタがアクティブである場合のような、その他の構成もサポートされてもよい。
データセンタの400Aが何らかの形で失敗したり、さもなければユーザが利用できなくなったりした場合、データセンタ400Bはアクティブなデータセンタとして引き継ぐことができる。例えば、コンピュータのインスタンス322のドメイン名をデータセンタ400Aの1つ以上のインターネットプロトコル(IP)アドレスに関連付けるドメイン名を関連付けるドメインネームシステム(DNS)サーバは、上記ドメイン名をデータセンタ400Bの1つ以上のIPアドレスに再関連付けすることができる。この再関連付けが完了した後(これは1秒又は数秒間以下だけかかるようにすることができる)、ユーザはデータセンタ400Bを介してコンピュータのインスタンス322にアクセスすることができる。
図4は、管理対象ネットワーク300の可能な構成を示している。上記のように、プロキシサーバ312とユーザ414は、ファイアウォール310を介して、コンピュータのインスタンス322にアクセスすることができる。プロキシサーバ312はまた、構成項目410にもアクセスすることができる。図4では、構成項目410は、クライアント装置302、サーバ装置304、ルータ306、及び仮想マシン308の任意のもの又はすべてと、その上で実行される任意のアプリケーション又はサービス、並びに装置、アプリケーション、及びサービス間の関係を参照することができる。従って、「構成項目」という用語は、任意の物理又は仮想装置、又はコンピュータのインスタンス322により遠隔で発見若しくは管理される任意のアプリケーション又はサービス、又は発見された装置、アプリケーション、及びサービス間の関係の、簡略な言い回しとすることができる。構成項目は、コンピュータのインスタンス322の構成管理データベース(CMDB)において表されるようにすることができる。
前述のように、VPNゲートウェイ412は、VPNゲートウェイ402Aに専用のVPNを提供することがある。このようなVPNは、管理対象ネットワーク300とコンピュータのインスタンス322との間にかなりの量のトラフィックがある場合、又はさもなければセキュリティポリシーがこれらのサイト間のVPNの使用を提案又は要求しているときに、役に立つようにすることができる。いくつかの実施形態では、VPN経由で直接通信する管理対象ネットワーク300内の任意の装置及び/又はコンピュータのインスタンス322には、パブリックIPアドレスが割り当てられる。管理対象ネットワーク300内のその他の装置及び/又はコンピュータのインスタンス322には、プライベートIPアドレス(例えば、10.0.0.0〜10.255.255.255又は192.168.0.0〜192.168.255.255の範囲から選択されたIPアドレス、それぞれサブネット10.0.0.0/8及び192.168.0.0/16と略記される)が割り当てられる。
<IV.装置、アプリケーション、及びサービスの検出例>
リモートネットワーク管理プラットフォーム320が管理対象ネットワーク300の装置、アプリケーション、及びサービスを管理するために、リモートネットワーク管理プラットフォーム320は最初に、管理対象ネットワーク300にどの装置が存在するか、これらの装置の構成及び運用状態、及びその装置によるアプリケーションとサービス、並びに発見された装置、アプリケーション、及びサービス間の関係を判定する。上述のように、各装置、アプリケーション、サービス、及び関係は、構成項目として参照されるようにすることができる。管理対象ネットワーク300内の構成項目を定義するプロセスは、発見と呼ばれ、少なくとも一部のプロキシサーバ312によって容易にすることができる。
本明細書における実施形態の目的において、「アプリケーション」とは、1つ以上プロセス、スレッド、プログラム、クライアントモジュール、サーバモジュール、又は装置又は装置のグループ上で実行される任意のその他のソフトウェアを指すことができる。「サービス」とは、1つ以上の装置で実行される複数のアプリケーションが互いに連携して動作する高レベルの機能を指すことができる。例えば、高レベルのウェブサービスは、1つの装置で複数のウェブアプリケーションサーバスレッドを実行し、別の装置で実行されるデータベースアプリケーションから情報にアクセスすることができる。
図5Aは、構成項目がどのように発見されるようにすることができるか、並びに発見された構成項目に関連する情報がどのように記憶されるようにすることができるかについての論理的な描写を提供する。簡単にするために、リモートネットワーク管理プラットフォーム320、サードパーティネットワーク340、及びインターネット350は表示されない。
図5Aにおいて、CMDB500及びタスクリスト502は、コンピュータのインスタンス322内に記憶される。コンピュータのインスタンス322は、発見コマンドをプロキシサーバ312に送信できる。応答として、プロキシサーバ312は、管理対象ネットワーク300のさまざまな装置、アプリケーション、及びサービスにプローブを送信できる。これらの装置、アプリケーション、及びサービスは、プロキシサーバ312に応答を送信でき、それで、プロキシサーバ312は、検出された構成項目に関する情報を、その内部に記憶するためにCMDB500に与えることができる。CMDB500に記憶された構成項目は、管理対象ネットワーク300の環境を表している。
タスクリスト502は、プロキシサーバ312がコンピュータのインスタンス322に代わって実行するアクティビティの一覧を表している。発見が行われると、タスクリスト502が設定される。プロキシサーバ312は、タスクリスト502に繰り返し問い合わせ、そこにある次のタスクを取得し、タスクリスト502が空になるか、別の停止条件に達するまで、このタスクを実行する。
発見を容易にするために、プロキシサーバ312は、プロキシサーバ312経由で到達可能な管理対象ネットワーク300内の1つ以上のサブネットに関する情報を用いて、構成されるようにすることができる。例えば、プロキシサーバ312は、IPアドレス範囲192.168.0/24がサブネットとして与えられるようにすることができる。それで、コンピュータのインスタンス322は、この情報をCMDB500に保存し、これらのアドレスの各々で装置を発見するためのタスクをタスクリスト502に配置することができる。
図5Aはまた、管理対象ネットワーク300内の装置、アプリケーション、及びサービスを、構成項目504、506、508、510、及び512として描いている。上述したように、これらの構成項目は、それぞれが複数の個別の構成項目を含む、物理及び/又は仮想装置(例えば、クライアント装置、サーバ装置、ルータ、又は仮想マシン)、その上で実行されるアプリケーション(例えば、ウェブサーバ、電子メールサーバ、データベース、ストレージアレイ)、それらの間の関係、並びにサービスのセットを表している。
タスクリスト502にタスクを配置すると、プロキシサーバ312に対して発動をかけてさもなくば動作をさせて、発見を開始させることができる。代わりに又は加えて、発見は、手動で発動されたり、又はトリガイベントに基づいて自動的に発動されたりするようにすることができる(例えば、発見は一日に一度特定の時刻に自動的に開始することができる)。
一般に、発見は、スキャン、分類、識別、及び探査の4つの論理フェーズで進行することができる。発見の各フェーズは、プロキシサーバ312によって管理対象ネットワーク300内の1つ以上の装置に送信される、さまざまな種類のプローブメッセージを含む。これらのプローブへの応答は、プロキシサーバ312によって受信及び処理されるようにすることができ、それらの表示はCMDB500に送信されるようにすることができる。従って、各フェーズは、より多くの構成項目が検出され、CMDB500に記憶されるという結果になることができる。
スキャンフェーズでは、プロキシサーバ312は、伝送制御プロトコル(TCP)及び/又はユーザデータグラムプロトコル(UDP)のポートをオープンするためのIPアドレスの指定された範囲内の各IPアドレスをプローブして、装置の一般的な種類を判定することができる。或るIPアドレスにこのようなオープンポートが存在することは、特定のアプリケーションがそのIPアドレスが割り当てられている装置上で動作していることを示すことができ、今度はその装置によって使用されているオペレーティングシステムを識別することができる。例えば、もしTCPポート135が開いている場合、それでその装置はWINDOWS(登録商標)オペレーティングシステムを実行している可能性がある。同様に、もしTCPポート22が開いている場合、それでその装置はLINUX(登録商標)などのUNIX(登録商標)オペレーティングシステムを実行している可能性がある。もしUDPポート161が開いている場合、それでその装置は、簡易ネットワーク管理プロトコル(SNMP)を通じて更に識別されることができるようにすることができる。他の可能性が存在する。特定のIPアドレスとそのオープンポートに或る装置が存在することが発見された場合、これらの構成項目はCMDB500に保存される。
分類フェーズでは、プロキシサーバ312は、発見された各装置を更にプローブして、オペレーティングシステムのバージョンを判断する。特定の装置に使用されるプローブは、スキャンフェーズでその装置について収集した情報に基づいている。例えば、もしTCPポート22が開いている装置が見つかった場合は、一連のUNIX(登録商標)固有のプローブが使用されてよい。同様に、もしTCPポート135が開いている装置が見つかった場合は、WINDOWS(登録商標)固有のプローブのセットが使用されてよい。いずれの場合も、プロキシサーバ312が実行できるように、適切なタスクのセットがタスクリスト502に配置されるようにすることができる。これらのタスクは、プロキシサーバ312がログオンしたり、又はさもなければ、特定の装置から情報にアクセスしたりするという結果をもたらすことができる。例えば、もしTCPポート22が開いている場合、プロキシサーバ312は、特定の装置へのセキュアシェル(SSH)接続を開始し、そのファイルシステム内の特定の場所からその装置上のオペレーティングシステムに関する情報を取得する指示をされるようにすることができる。この情報に基づいて、オペレーティングシステムが判定されるようにすることができる。例として、TCPポート22を開いたUNIX(登録商標)装置は、AIX(登録商標)、HPUX、LINUX(登録商標)、MACOS(登録商標)、又はSOLARIS(登録商標)として分類されるようにすることができる。この分類情報は、1つ以上の構成項目としてCMDB500に格納されるようにすることができる。
識別フェーズでは、プロキシサーバ312は、分類された装置に関する特定の詳細を判定するようにすることができる。このフェーズで使用するプローブは、分類フェーズで特定の装置について収集された情報に基づくようにすることができる。例えば、装置がLINUX(登録商標)として分類されている場合、LINUX(登録商標)固有のプローブのセットが使用されるようにすることができる。同様に、装置がWINDOWS(登録商標)2012として分類されている場合は、WINDOWS(登録商標)2012固有のプローブのセットが使用されるようにすることができる。分類フェーズの場合と同様に、プロキシサーバ312が実行できるように、適切なタスクのセットがタスクリスト502に配置されるようにすることができる。これらのタスクは、プロキシサーバ312が、その特定の装置によって使用されている、基本入出力システム(BIOS)情報、シリアル番号、ネットワークインタフェース情報、これらのネットワークに割り当てられているメディアアクセス制御アドレス(es)、IPアドレスなどのような、その特定の装置からの情報を読み出す結果をもたらすようにすることができる。この識別情報は、1つ以上の構成項目としてCMDB500に格納されるようにすることができる。
探査フェーズでは、プロキシサーバ312は、分類された装置の動作状態についての詳細を判定するようにすることができる。このフェーズで使用されるプローブは、分類フェーズ及び/又は識別フェーズで特定の装置について収集した情報に基づくようにすることができる。繰り返すが、プロキシサーバ312が実行できるように、適切なタスクのセットがタスクリスト502に配置されるようにすることができる。これらのタスクは、プロキシサーバ312が、プロセッサ情報、メモリ情報、実行中のプロセス(アプリケーション)のリストなどのような、その特定の装置からの追加情報を読み出す結果をもたらすようにすることができる。更に、発見された情報は、1つ以上の構成項目としてCMDB500に格納されるようにすることができる。
ルータなどのネットワーク装置で発見を実行する動作が、SNMPを使用するようにすることができる。実行中のプロセスのリスト又はその他のアプリケーション関連情報を判定するのではなく又は判定するのに加えて、発見が、ルータに認識される追加のサブネットと、ルータのネットワークインタフェースの動作状態(例えば、アクティブ、非アクティブ、キューの長さ、破棄されたパケットの数など)を判定するようにすることができる。追加のサブネットのIPアドレスが、更なる発見手順の候補になるようにすることができる。従って、発見は反復的又は再帰的に進行してよい。
ひとたび発見が完了すると、発見された各装置、アプリケーション、及びサービスのスナップショット表現がCMDB500で利用可能になる。例えば、発見後、オペレーティングシステムのバージョン、ハードウェア構成、及び管理対象ネットワーク300におけるクライアント装置、サーバ装置、及びルータのためのネットワーク構成の詳細、並びにその上で実行されるアプリケーションが、記憶されるようにすることができる。この収集した情報は、ユーザが装置のハードウェア構成と動作状態、並びに複数の装置及びアプリケーションにまたがるサービスの特性を表示できるようにするために、さまざまな方法でユーザに提示されるようにすることができる。
更に、CMDB500は、依存関係や構成項目間の関係に関するエントリを含むことができる。具体的には、特定のサーバ装置上で実行されているアプリケーション、並びにこのアプリケーションに依存するサービスは、CMDB500においてそのように表されてよい。例えば、データベースアプリケーションがサーバ装置で実行されていて、このデータベースアプリケーションが新従業員オンボードサービスと給与サービスとによって使用されていると仮定する。従って、サーバ装置が保守のために運用されていない場合は、従業員オンボードサービスと給与サービスが影響を受けることは明らかである。同様に、構成項目間の依存関係と関係は、特定のルータが機能しなくなったときに影響を受けるサービスを表現することができる。
一般に、構成項目間の依存関係と関係は、ウェブベースのインタフェースに表示され、階層形式で表される。従って、そのような依存関係及び関係を追加、変更、又は削除することは、このインタフェースを介して行うことができる。
更に、管理対象ネットワーク300のユーザは、特定の協調活動が複数の発見された装置間で行われるようにするワークフローを開発できる。例えば、ITワークフローは、ユーザが共通の管理者パスワードを、発見されたすべてのLINUX(登録商標)装置に対して単一の動作で変更することを可能にすることができる。
発見が前述の方法で行われるようにするために、プロキシサーバ312、CMDB500、及び/又は1つ以上の資格証明書記憶装置が、発見される1つ以上の装置の資格証明書を有するように構成されてよい。資格証明書は、装置にアクセスするために必要な任意のタイプの情報を含むことができる。これらは、ユーザID/パスワードのペア、証明書などを含むことができる。いくつかの実施形態では、これらの資格証明書はCMDB500の暗号化されたフィールドに格納される。プロキシサーバ312は、プロキシサーバ312がこれらの資格情報を使用して発見されるべき装置にログオンしたりさもなければアクセスしたりできるようにするために、資格証明書のための復号化キーを含むことができる。
発見プロセスは、図5Bのフローチャートとして描かれている。ブロック520では例えばIPアドレスの範囲として、コンピュータのインスタンスにおけるタスクリストが設定される。ブロック522では、スキャンフェーズが行われる。従って、プロキシサーバはこれらのIPアドレスを使用して装置のIPアドレスをプローブし、これらの装置で実行されているオペレーティングシステムを判定しようとする。ブロック524では、分類フェーズが行われる。プロキシサーバは、発見された装置のオペレーティングシステムのバージョンを確認しようとする。ブロック526では、識別フェーズが行われる。プロキシサーバは、発見された装置のハードウェア又はソフトウェアの構成を判定しようとする。ブロック528では、探査フェーズが行われる。プロキシサーバは、発見された装置で実行されている動作状態とアプリケーションを判定しようとする。ブロック530では、検出された装置とアプリケーションを表す構成項目を更なる編集が行われるようにすることができる。この編集は、実際には自動化され及び/又は手動である。
図5Bで表されるブロックは、例示目的のためのものである。発見は、より多くの又はより少ないフェーズを持つことができる高度に構成可能な手順であり、各フェーズの動作は異なってもよい。いくつかのケースでは、1つ以上のフェーズがカスタマイズされたり、又はさもなければ、上記の例示の説明から逸脱してもよい。
<V.電子メールメッセージのフォーマットとフィッシング攻撃の指標の例>
上記で説明したように、管理対象ネットワークは、同じ数だけのユーザにサービスする数十、数百、又は数千のコンピューティング装置をホストすることができる。管理対象ネットワークのための最も普及したネットワークサービスの1つは電子メールである。管理対象ネットワーク上のユーザは、管理対象ネットワークの他のユーザ、並びに管理対象ネットワークの外部のソースから、1日に多数の電子メールメッセージを受け取る可能性がある。
近年では、フィッシングが、流行し、とかく効果的なサイバー犯罪の方法となっている。フィッシング攻撃は、多数のユーザ(通常、そのいくらかが特に「スピアフィッシング」攻撃の標的となる可能性のある多数のユーザ)に、正当な警告又は情報要求のように見える電子メールメッセージを送信することを含む。いくつかのケースでは、フィッシングメールは、実際のウェブサイトの外観や機能を模倣した偽のウェブサイトへのハイパーリンクを含んでいる場合がある。ユーザは、ユーザID、パスワード、クレジットカード番号、社会保障番号などの機密性の高い個人情報を、偽のウェブサイトに入力することを勧められる。一部のフィッシング攻撃は、コンピュータ装置にダウンロードして実行されるとそのコンピュータ装置にマルウェアをデプロイする添付ファイルをフィッシングメールに含んでいる。このマルウェアは、機密性の高い個人情報を攻撃者に送信するためにコンピューティング装置を検索する場合があり、管理対象ネットワークをスキャンすることを試みて機をうかがって他の装置に手を伸ばそうとする場合がある。
明らかに、特に多数のユーザと装置に影響を与える可能性のある管理対象ネットワークでは、フィッシング攻撃の脅威を迅速に軽減することが重要である。しかし、そのためには、電子メールメッセージのフォーマットと内容の理解が助けとなることができる。この理解により、電子メールメッセージがフィッシング攻撃であるかどうかを指示する可能性が高い電子メールメッセージの部分に、注意が集中されるようにすることができる。
例証の目的で、ここで説明する実施形態の多くは、ユーザに到達するために電子メールメッセージを使用するフィッシング攻撃に焦点を当てている。しかしながら、フィッシング攻撃で他のメカニズムを使用することは可能である。ショートメッセージサービス(SMS)メッセージ、並びにインスタントメッセージング(IM)メッセージやグループチャットメッセージも、同様に使用できる。従って、本明細書における実施形態は、電子メールメッセージに限定されるものではない。
図6Aは、電子メールメッセージの例の表示600を示している。表示600は、一般的な電子メールクライアントアプリケーションがユーザに電子メールメッセージをどのように提示するかを示している。電子メールメッセージの上位4行には、「From」、「To」、「Subject」、及び「Date」ヘッダがそれぞれ含まれている。これらのヘッダは、推定される送信者(bsmith@example.comの電子メールアドレスを持つBob Smith)、推定される受信者(alice@company.comの電子メールアドレスを持つAlice Jones)、推定される電子メールの件名(「Lunch today?」)、及び推定時間及び電子メールメッセージが送信された日付(Thursday, August 31, 2017 at 10:44:17AM)を示している。この特定の電子メールメッセージの残りの部分は、それが伝えるところによれば彼らが昼食のために12:15に会えるかどうかを彼女に尋ねるBob Smith(ボブスミス)からAlice Jones(アリスジョーンズ)へのメッセージであるそのメールの本文である。添付ファイルはない。
電子メールクライアントアプリケーションが電子メールメッセージをどのように提示するかということと一貫して、実際の電子メールメッセージのすべてではない情報がディスプレイ600に表示される。特に、表示602に示されるように、電子メールメッセージは多くの場合、追加情報を含む多数のヘッダを含んでいる。ディスプレイ602の最初の4行は、ディスプレイ600に表示される4つのヘッダを含む。しかし、表示602はまた、電子メールメッセージがフィッシング攻撃であるかどうかを推論するために使用できる貴重な情報を提供する更なるヘッダも含んでいる。
例えば、「Delivered−To」ヘッダは、電子メールメッセージが配信された先の電子メールアドレスを示す。このヘッダには、2つの「Received」ヘッダが続く。各「Received」ヘッダは、電子メールサーバ、ゲートウェイ若しくはその宛先に電子メールメッセージを転送するリレー、又はその電子メールメッセージの最終的な宛先によって追加される。
例えば、表示602の最初の「Received」ヘッダは、IPアドレス10.103.136.1を有する装置が、木曜日、8月31日、2017年、10:44:40にその電子メールメッセージを受信したことを示している。この装置は、その電子メールメッセージをクライアント装置に提供する最終的な宛先の電子メールサーバである可能性がある。
2番目の「Received」ヘッダは、ドメイン名mx.company.comを有する装置が、ドメイン名mail.example.comとIPアドレス192.168.174.248を有する装置から、木曜日、8月31日、2017年、10:44:40にその電子メールメッセージを受信したことを示している。このヘッダはまた、メッセージの受信者がalice@company.comとして指定されたことも示している。
両方の「Received」ヘッダの情報は、その電子メールメッセージが、alice@company.comに配信されるためにmail.example.comによってmx.company.comに送信されたことを示唆している。その後、アリスジョーンズの受信トレイへの実際の配信のために、mx.company.comは、IPアドレス10.103.136.1を有する装置に、その電子メールメッセージを転送した。電子メールメッセージにはいくつかの「Received」ヘッダがある場合があり、これらは任意の順序で出現し得る。
「Received−SPF」ヘッダは、推定される送信元ホストの送信者ポリシーフレームワーク(SPF)ルックアップの結果を提供する。SPFは、電子メールメッセージがドメインから送信されたかどうかを、そのように行う権限を授けられたホストによって検出するための検証手法である。各ドメインは、そのドメインのためのDNSレコードに、権限を授けられた送信元ホストの一覧を記憶することができる。フィッシング攻撃は多くの場合偽造された「From」アドレスを使用するため、SPFレコードをチェックすることが、これらの試みを検出するために使用されるようにすることができる。従って、表示602の「Received−SPF」ヘッダは、「example.com」が許可された送信者として192.168.174.248を指定しているため、SPFチェックが合格(pass)したことを示す。
「Return−Path」ヘッダは、ボブスミスの電子メールアドレスbsmith@example.comを与える。一般に、このヘッダは、電子メールバウンスアドレス − 配信不能なメールが転送されるべき電子メールアドレスとして、送信元システムによって提供される値に設定される。
最後の2つのヘッダ、「Accept−Language」及び「Message−ID」は、応答で使用される言語及びその電子メールメッセージの一意の識別子を、指定する。どちらも通常、その電子メールメッセージの送信者によって設定される。
電子メールメッセージは多数のヘッダを含まれている場合があり、その例だけが図6Aに表示されている。これらのヘッダの一部は、送信者に関連付けられた電子メールサーバによって電子メールメッセージ内に配置される場合がある。その他は、中間の電子メールサーバ又は受信者に関連付けられた電子メールサーバによって、電子メールメッセージ内に配置され得る。一般に、電子メールサーバは、電子メールメッセージを生成、送信、又は受信するときに、ほぼすべてのヘッダを挿入又は上書きできる。従って、電子メールメッセージは、偽造されたヘッダ情報を含む詐欺及び/又はなりすまし攻撃に対して、特に脆弱である。
これらのヘッダの情報、並びに本文の情報から、電子メールメッセージがフィッシング攻撃であるかどうかの推定を行うことができる。しかし、そのようにするための手順を評価するためには、そのような攻撃を含む電子メールの例を検討することが助けになる。
図6Bは、電子メールメッセージの別の例の表示610を示している。ディスプレイ610はまた、一般的な電子メールクライアントアプリケーションがユーザに電子メールメッセージをどのように表示するか示している。表示610に示されているヘッダは、推定される送信者(bsmith@example.comの電子メールアドレスを持つFelix)、推定される受信者(alice@company.comの電子メールアドレスを持つAlice Jones)、推定される電子メールの件名(「September payment」)、及び推定時間及び電子メールメッセージが送信された日付(Friday, September 8, 2017 at 1:38:08PM)を示している。この特定の電子メールメッセージの残りの部分は、おそらく9.91英国ポンドの支払いを要求するメッセージであるそのメールの本文である。その電子メールメッセージはまた、添付ファイルも含んでいる。この添付ファイルは、1つ以上の圧縮ファイルを含むzipファイルであることを示すファイル名拡張子を有している。
ディスプレイ612は、その電子メールメッセージの追加ヘッダを示している。特に、2番目の「Received」ヘッダは、mx.company.comがIPアドレス172.20.17.194を有するドメインstatic.sprof.zvnxからその電子メールメッセージを受信したことを示している。しかしながら、「Received−SPF」ヘッダは、ドメインbankofequity.coが電子メールメッセージを送信するために172.20.17.194における電子メールサーバを使用する権限が授けられていないため、SPFルックアップが失敗(fail)したことを示している。更に、ヘッダのいくつかは、不審に見えるドメインを含んでいる。例えば、ドメインstatic.sprof.zvnxは、正当なトップレベルドメイン(「zvnx」)を有しているとは思われず、「Return−Path」ヘッダはランダムなタイピングの結果と思われる電子メールアドレスを含んでいる。「Return−Path」ヘッダの電子メールアドレスが「From」ヘッダの電子メールアドレスと同じではないという事実は、珍しいことではないし、それ自体の不審ではないかもしれない。− この慣習は、メーリングリストに電子メールを送信するときには一般的である。また、「From」ヘッダの電子メールアドレスはuser@bankofequity.coであるが、「Felix(フェリックス)」として送信者の名前も与えている。
加えて、電子メールの本文自体は、スペルミス、文法の不備、不適切な句読点、及び空白文字の珍しい使い方を含んでいるため、不審である。メールに埋め込まれたURL(http://www.bankofequity.co/wenf&23)は、実際のウェブサイトをエミュレートする偽のウェブサイトに導き、訪問者に実際のウェブサイトのための彼又は彼女の資格情報を入力させることを試みている可能性がある。添付ファイルも同様に、それはzipファイルと称しているので、問題を含んでいる可能性がある。Zipファイル、実行可能ファイル、及びその他の種類のファイルは、一般に、受信者のコンピュータ装置にマルウェアを配布するために使用される。ユーザはファイルをダウンロードして実行する可能性があり、それはマルウェアにコンピュータ装置にインストールされるようにさせることになる。
また、これらの各要素は、ディスプレイ610及び612の電子メールメッセージがフィッシング攻撃であることを意味する場合とそうでない場合がある。しかし、それらの組合せは、これはそのようなケースであると強く示している。おそらく、その電子メールメッセージがフィッシング攻撃であるという最も強力な指標は、「Received−SPF」ヘッダに示されている失敗したSPFルックアップである。
それにもかかわらず、フィッシング攻撃はスパムメール(例えば、迷惑メールなど)と区別することが困難な場合がある。フィッシング攻撃とは異なり、スパムメールは一般的に商品やサービスを販売するための無害な試みであり、受信者の機密性の高い個人情報を取得しようとはしない。しかし、特定の電子メールメッセージが正当である、スパムである、又はフィッシングであるか否かを判定することは、今日の洗練された機械学習技術に対しても、やりがいがあるものにできる。企業又はインターネットサービスプロバイダ(ISP)により運用されている電子メールフィルタリングソフトウェアは、フィッシング攻撃の一部は正確に検出できるが、すべてではない。従って、少なくとも一部のフィッシング攻撃は、ユーザの電子メールの受信トレイに届くだろう。
ユーザに配信されるフィッシング攻撃の潜在的な損害を軽減するために、企業は、フィッシングの特性について電子メールメッセージを視覚的に検査する方法を、従業員に教育することができる。従業員は、セキュリティ専門家による更なる分析のために、疑わしいフィッシング攻撃を含む電子メールメッセージを別個の電子メールアドレスに転送することを推奨されるようにすることができる。
その結果、企業は、その従業員達を巻き込むフィッシング攻撃の流行とタイプについての改善された評価を得ることができるかもしれない。そうすることにより、企業は、一般的なフィッシング攻撃、フィッシング攻撃の成功の影響を検出し、この影響を緩和できるようにすることができる。例えば、特定の種類のフィッシング攻撃に明確な署名(例えば、偽のウェブサイトにつながる特定のURLや特定の添付ファイル)がある場合、企業は、これらの攻撃を含むこれらの電子メールメッセージが目的の受信者に配信されないように、その企業の電子メールフィルタリングソフトウェアにルールを追加することができる。代わりに又は加えて、もし特定の種類のフィッシング攻撃が成功して特定のマルウェアをコンピュータ装置にインストールしたときに、企業はどのコンピュータ装置が感染しているかを特定し、マルウェアを根絶するための対策を講じることができる。このことは、コンピューティング装置上のマルウェア対策ソフトウェアの更新、コンピュータ装置上のファイルの手動削除、コンピューティング装置の構成の編集、及び/又はコンピューティング装置上のディスクドライブの再フォーマットとオペレーティングシステムの再インストールを含むことができる。
このように、フィッシング攻撃によって引き起こされる問題の検出、封じ込め、および根絶は、セキュリティの専門家によって実行されると数時間または数日かかることがある。しかし、これらの攻撃に対処する場合、時間が本質である。セキュリティ担当者がフィッシング攻撃の影響を軽減するのにかかる時間が長ければ長いほど、この攻撃は更なるユーザを標的にし、感染したコンピューティングデバイスから拡散することができる。フィッシング攻撃の存在と範囲、並びにそれに対処するために必要な時間を判定することの複雑さにとって、攻撃によって引き起こされるセキュリティ上の問題が緩和の努力にもかかわらず広がり続けることができることが非常に大きくなることは、珍しいことではない。
従って、ここでの実施形態は、少なくとも迅速な方法でフィッシング攻撃に対処する技術的問題に対する技術的な解決策である。更に、フィッシング攻撃はコンピュータのネットワーキング環境にのみ存在するため、これらの解決策はコンピュータ及びネットワーキングに基本的に結び付けられている。
<VI.管理対象ネットワークにおけるフィッシング攻撃に対処するためのネットワークアーキテクチャ>
図7Aは、フィッシング攻撃に関連する脅威を含む、自動セキュリティ脅威検出及び軽減を提供できるネットワークアーキテクチャを描いている。このアーキテクチャは、管理対象ネットワーク300とコンピュータのインスタンス322を含み、これらはインターネット714(これは、パブリックインターネット、プライベートネットワーク、又はワイドエリアネットワークであってよい)を跨いで互いに通信できる。サードパーティの脅威データベース716はまた、インターネット714に通信可能なように結合されるようにすることができる。
管理対象ネットワーク300は、図7Aにセキュリティ実施ポイントとして示されているものを含む、多くの装置、システム、及び/又はソフトウェアアプリケーションを含むことができる。これらの装置は、ファイアウォール700、侵入検知システム(IDS)/侵入防止システム(IPS)702、電子メールサーバ704、電子メールクライアント706、及びクライアント装置708である。
前述のように、ファイアウォール700などのファイアウォールは、権限が授けられた通信を許可しながら、管理対象ネットワーク300をその中にある装置、アプリケーション、及びサービスへの不正なアクセスから保護する、1つ以上の専用ルータ又はサーバ装置であるようにすることができる。
IDS/IPS702は、(通常は受け身の形で)悪意のある活動又はポリシー違反に対して、ネットワークを監視する装置又はアプリケーションであるようにすることができる。IPSは、検出された脅威に応答するための機能を少なくとも含むことができる。例えば、IPSは、攻撃をブロックしたり、攻撃に関与するネットワークトラフィックの内容を動的に変更したりするために、ファイアウォールを動的に設定できるようにすることができる。
電子メールサーバ704は、着信メールを受信し、それを受信者のコンピュータ装置に転送し、又は受信者が確認するかさもなければ処理するために受信トレイに保存する装置又はソフトウェアアプリケーションであるようにすることができる。電子メールクライアント706は、電子メールサーバ704と通信して1人以上の特定の受信者のためのメールを受信する装置又はソフトウェアアプリケーションであるようにすることができる。電子メールクライアント706はまた、表示600及び表示610と類似するような形で又は別のフォーマットで、受信された電子メールメッセージを表示できるユーザインタフェース機能を含めることもできる。電子メールサーバ704と電子メールクライアント706は、標準化された又は独自のプロトコルに従って通信することができる。
クライアント装置708は、ユーザによる操作を目的とした1つ以上のコンピューティング装置を含むことができる。例えば、これらの装置は、パーソナルコンピュータ、ラップトップ、タブレット、スマートフォンなどであってよい。クライアント装置708は、クライアント装置708に感染するマルウェアの検出、隔離、及び削除を試みるウイルス対策アプリケーションなど、さまざまな種類のマルウェア対策ソフトウェアを実行できる。そのようなことを行うために、マルウェア対策ソフトウェアは、署名又はマルウェアの新しい種類の他の兆候により、定期的に更新される必要があるようにすることができる。
図7Aには明示的には示されていないが、ファイアウォール700、IDS/IPS702、電子メールサーバ704、電子メールクライアント706、及びクライアント装置708のいずれも、スパムフィルタソフトウェアアプリケーションを含むことができる。このようなアプリケーションは、迷惑及び/又は望まれていない電子メールメッセージを検出し、それらのメッセージが予定の受信者の受信トレイに到達することを防ぐことを試みるようにすることができる。スパムとしてマークされた電子メールメッセージは、受信トレイではなくスパムフォルダに配信されるか、又は遠隔で隔離されるようにすることができる。いくつかのケースでは、スパムフィルタは特定の種類のフィッシング攻撃を検出することもできるが、これらの攻撃の成長する高度化によって、少なくとも一部のフィッシング攻撃はスパムフィルタを無傷で通過し、ユーザの受信トレイに配信される結果となる。
一部のスパムフィルタは、電子メールメッセージのスコアを計算するために機械学習技法を使用し、このスコアを使用してこれらの電子メールメッセージをスパムとして分類するかどうかを判定する。例えば、失敗したSPFルックアップのような不審なヘッダを有する含む電子メールメッセージは、同様に不審なヘッダを有する今後の電子メールメッセージがスパムとして分類される可能性が高いというスコアが付けられる。同様に、本文内に特定のキーワード、フレーズ、又はURLを有する電子メールメッセージもまた、それらがスパムとして分類される可能性が高いというスコアが付けられるようにすることができる。そのようなスパムフィルタは、その分類機能を改善するために、実際のスパムと非スパムの例が随時提供されるようにすることができる。
コンピュータのインスタンス322は、セキュリティ判定ポイント710及びセキュリティインシデントデータベース712を含むことができる。セキュリティ判定ポイント710は、それ自身の又は他の実体からの支援を受けて、不審な又は実際のフィッシング攻撃のレポートを分析してその特性と範囲を判定する装置又はソフトウェアアプリケーションであるようにすることができる。セキュリティインシデントデータベース712は、そのようなフィッシング攻撃のレコードを含むことができ、これらの特性を時間の経過とともに追跡し、並びに影響を受ける装置及び/又はユーザの範囲を判定するためのリポジトリとして機能するようにすることができる。
サードパーティの脅威データベース716は、フィッシング攻撃を含む、特定の観測されたフィッシング攻撃を含むセキュリティ脅威に関連付けられた特徴ベクトルを記憶する装置及び/又はソフトウェアアプリケーションであるようにすることができる。サードパーティの脅威データベース716は、特徴ベクトルの1つ以上の特徴を指定する要求を受信し、1つ以上の特徴に関連付けられている1つ以上のセキュリティ脅威のリストをすぐに応答して提供できるAPIを含むことができる。いくつかのケースでは、図7Aに示されるように、サードパーティの脅威データベース716は、インターネット714を介してアクセスできるようにすることができる。代わりに、サードパーティの脅威データベース716は、一般に、コンピュータのインスタンス322又はリモートネットワーク管理プラットフォーム320内に配置されてもよい。
これらのコンポーネントの動作については、図7Bの実施例で更に示される。特に、図7Bは、フィッシング攻撃の検出と軽減を描いたメッセージフロー図である。
ステップ720で、電子メールサーバ704は電子メールメッセージを受信する。例示の目的で、その電子メールメッセージがフィッシング攻撃を含んでいることが仮定されている。例えば、電子メールメッセージには、図6Bに示されているのと同じ又は類似したヘッダ及び本文の内容が含まれていてよい。
ステップ722で、電子メールサーバ704は、電子メールメッセージにセキュリティポリシーを適用する。そのポリシーは事前に定義されていてよく、例えば、スパムフィルタポリシーであってよい。そのようにして、電子メールサーバ704は、その電子メールメッセージのヘッダ及び/又は本文をスキャンすることができる。例えば、電子メールサーバ704は、その電子メールメッセージをスパム又は非スパムのいずれかとして分類するために、スパムフィルタ手法を適用することができる。フィッシング攻撃は、そのスパムフィルタポリシーによって、スパムと見なされる場合がある。
例示の目的で、上記電子メールメッセージは、その中に内に含まれるフィッシング攻撃にもかかわらず、スパムとして分類されないと仮定されている。上述のように、巧妙なフィッシング攻撃は合法の電子メールメッセージによく似ているので、これは珍しくない。
いずれの場合でも、ステップ724で、電子メールサーバ704は電子メールクライアント706に、電子メールメッセージを送信する。そこで、それは人間の受信者によって閲覧されるかもしれない。人間の受信者は、よく知らされていれば、その電子メールメッセージがフィッシング攻撃であると疑うかもしれない。従って、人間の受信者は、その電子メールメッセージを、指定された電子メールアドレス及び/又はセキュリティ判定ポイント710に関連付けられた受信トレイに転送するようにすることができる。このように、ステップ726は、電子メールメッセージが電子メールサーバ704に送信されることを含んでよい。
別の実施形態では、電子メールサーバ704又は電子メールクライアント706は、電子メールメッセージにフィッシング攻撃が含まれていることを自動的に判定できる場合がある。このようにして、これらのコンポーネントのいずれかが電子メールメッセージをセキュリティ判定ポイント710に転送するようにすることができる。
それにもかかわらず、ステップ728で、転送された電子メールは、セキュリティ判定ポイント710に到着することがある。ステップ730で、セキュリティ判定ポイント710は、そのメッセージを、フィッシング攻撃の観測可能な指標のために解析することができる。観察可能な指標の例としては、電子メールメッセージの推定された送信者及び受信者、その電子メールメッセージの送信に関与していた任意の電子メールサーバの、ドメイン名及び/又はIPアドレス、その電子メールメッセージの本文に含まれているURL、任意の添付のファイル名、及び/又はこれらの添付の各々に一方向ハッシュ関数を適用した出力を含むことができる。
特に、ハッシュ関数の使用は、そのファイル自体が記憶される必要がないように、そのファイルを短い固定長のフォーマット(数バイト)で表すことが可能となる。ハッシュ関数の例としては、MD6及びSHA−3を含むことができる。
ステップ732において、セキュリティ判定ポイント710は、少なくともこれらの観測可能な指標の一部を、サードパーティの脅威データベース716に送信することができる。観測可能な指標は、特徴ベクトルフォーマットを使用して表すことができる。
応答として、サードパーティの脅威データベース716は、記憶されている特徴ベクトルに対してその観測可能な指標のルックアップを実行することができる。観測可能な指標と1つ以上の記憶されている特徴ベクトルの間にもし一致がある場合、サードパーティの脅威データベース716は、その観測可能な指標の脅威を示すとして識別することができる。従って、ステップ734において、特徴付けられた脅威の表示が、セキュリティ判定ポイント710に送信されるようにすることができる。この表示は、脅威を表す、数値コード、テキスト文字列、バイナリ識別子、又はその他の方法であってよい。
特徴ベクトルの例としては、[<送信者の電子メールアドレス>,<受信者の電子メールアドレス>、<メールサーバのドメイン名>,<電子メールサーバのIPアドレス>,<電子メールメッセージ内のURL>,<添付のファイル名>,<添付のハッシュ出力>]のような、値の配列のフォーマットとすることができる。これは、単に1つの潜在的な配置であり、他の可能性も存在する。図6Bの電子メールメッセージのケースでは、特徴ベクトルは:[“user@bankofequity.co”,”alice@company.com”,”static.sprof.zvnx”,“172.20.17.194”,“http://www.bankofequity.co/wenf&23”,“P_187570_201708”,“A7FE71AED88F”]のようになるかもしれない。
いくつかのケースでは、特徴ベクタは要素の記入を含まない場合がある。例えば、URL又は添付ファイルのない疑わしいメールフィッシング攻撃が処理された場合、特徴ベクタの最後の3つの要素はnull、空文字列、又はゼロを埋めた値が含まれてよい。従って、観測可能な指標を記憶された特徴ベクトルにマッチさせる場合には、これらの要素は考慮されないかもしれない。更に、セキュリティ判定ポイント710が一致を見つけるために、与えられた観測可能な指標のすべてが特徴ベクトル内のすべての特徴に一致する必要はない。セキュリティ判定ポイント710は、部分一致に基づいて脅威を分類できる。例えば、図6Bの電子メールメッセージのための上記の特徴ベクトルの例を考えると、http://www.bankofequity.co/wenf&23のURLとP_187570_201708.zipの添付ファイルの名前を含む観察可能な指標の任意のセットは、フィッシング攻撃に関連付けられていると見なされるようにすることができる。
もしセキュリティ判定ポイント710が、サードパーティの脅威データベース716から、提供された観測可能な指標が脅威に関連付けられているという表示を受信すると(例えば、ステップ734)、セキュリティ判定ポイントは、セキュリティインシデントデータベース712と管理対象ネットワーク300上の1つ以上の装置の両方を更新することができる。
例えば、ステップ736で、セキュリティ判定ポイント710は、電子メールメッセージ及び/又はその観測可能な指標のコピーを、セキュリティインシデントデータベース712に送信することができる。応答として、ステップ738において、セキュリティインシデントデータベース712は、この情報を記憶することができる。セキュリティインシデントデータベース712を保守することにより、セキュリティ担当者は、新たに検出されたフィッシング攻撃によって影響を受けるユーザ及び/又は装置を迅速に判定することができる。例えば、セキュリティインシデントデータベース712は、過去に報告された観測可能な指標をセキュリティ担当者が検索できるグラフィカルユーザインタフェースを提供することができる。例として、セキュリティ専門家は、電子メールメッセージがURL http://www.bankofequity.co/wenf&23を含む以前のインシデントを検索する可能性がある。1つ以上が見つかった場合、セキュリティ担当者は、これらの以前のインシデントに関連するユーザ又は装置をチェックして、ユーザがそのURLにアクセスし及び/又は関連付けられたいずれかの添付ファイルを装置にダウンロードしたか否かを判定できる。
ステップ740で、セキュリティ判定ポイント710は、電子メールサーバ704にセキュリティポリシーの更新を送信する場合がある。このセキュリティポリシーの更新は、電子メールサーバ704に対して、今後着信するどの電子メールメッセージも、1つ以上の観測可能な指標(例えば、電子メールアドレス、IPアドレス、ドメイン名、URL、添付ファイル名、又は添付のハッシュ値)がその流通する電子メールメッセージのものと一致する場合に、その電子メールメッセージをブロックするように指示することができる。例えば、電子メールサーバ704は、URL http://www.bankofequity.co/wenf&23を含むまたはuser@bankofequity.coの推定送信者を有するどの電子メールメッセージの配信も、差し止めることができる。これらのメッセージは、今後の参照又は削除のためにアーカイブできる。
図7Bに明示的に示されていない代替又は追加の実施形態では、セキュリティポリシーの更新がファイアウォール700に送信されるようにすることができる。ステップ740のセキュリティポリシーの更新と同様に、このセキュリティポリシーの更新は、ファイアウォール700に対して、現在の電子メールメッセージのものと一致する1つ以上の観測可能な指標(例えば、電子メールアドレス、IPアドレス、ドメイン名、URL、添付ファイル名、又は添付のハッシュ値)を含む着信した電子メールメッセージをブロックするように指示することができる。
図7Bに明示的に示されていない別の代替又は追加の実施形態では、セキュリティポリシーの更新が電子メールクライアント706に送信されるようにすることができる。このセキュリティポリシーの更新は、電子メールクライアント706に対して、現在の電子メールメッセージのものと一致する1つ以上の観測可能な指標(例えば、電子メールアドレス、IPアドレス、ドメイン名、URL、添付ファイル名、又は添付のハッシュ値)を含む着信した電子メールメッセージをブロックするように指示することができる。
図7Bに明示的に示されていない別の代替又は追加の実施形態では、セキュリティポリシー更新が1つ以上の装置708に送信されるようにすることができる。このセキュリティポリシーの更新は、これらの装置上で実行されているマルウェア対策アプリケーションに対して、ファイルP_187570_201708をスキャンするように、又はそのようなファイルがその装置にダウンロード又はインストールされている証拠を出すように、指示することができる。もしこれらの装置がエンドポイントファイアウォールソフトウェアを実行している場合、そのセキュリティポリシーの更新は、そのファイアウォールソフトウェアに対して、現在の電子メールメッセージのものと一致する1つ以上の観測可能な指標(例えば、電子メールアドレス、IPアドレス、ドメイン名、URL、添付ファイル名、又は添付のハッシュ値)を含む着信した電子メールメッセージをブロックするように指示することができる。
図7Bに明示的に示されていない別の代替又は追加の実施形態では、セキュリティポリシーの更新がIDS/IPS702の装置に送信されてもよい。このセキュリティポリシーの更新は、IDS/IPS702に対して、現在の電子メールメッセージのものと一致する1つ以上の観測可能な指標(例えば、電子メールアドレス、IPアドレス、ドメイン名、URL、添付ファイル名、又は添付のハッシュ値)を含む着信した電子メールメッセージにセキュリティ脅威としてフラグを設定するように、指示することができる。
いくつかの実施形態では、サードパーティの脅威データベースは、ステップ732でそれが受信した観測可能な指標がフィッシング攻撃を示すものではないことを指定することができる。この場合、電子メールメッセージはスパムである可能性が高くなる。従って、セキュリティ判定ポイント710は、電子メールサーバ704、電子メールクライアント706、又は図7Bに示されていない別の実体のいずれかの一部であるスパムフィルタに、更新を送信することができる。この更新は、これらの観測可能な指標を有する今後の電子メールメッセージの正常な配信を阻止する可能性が増えるようにすることができる(例えば、このような電子メールメッセージは、受信者のスパムフォルダに送信されるか、どこかに隔離される)。このようにして、受信者は、電子メールメッセージを、その電子メールメッセージが単なるスパムにすぎない場合に、潜在的なフィッシング攻撃としてセキュリティ判定ポイント710に転送する可能性が低くなる。従って、セキュリティ判定ポイント710によって引き出される結論は、ユーザからのより少ない“偽陽性”に基づくものとなるため、そのため、正確である可能性が高くなる。加えて、セキュリティ判定ポイント710の負荷が軽減される。
<VII.動作例>
図8は、例示的実施形態を示すフローチャートである。図8によって示されるプロセスは、コンピューティング装置100のようなコンピューティング装置、及び/又はサーバクラスタ200などのようなコンピューティングクラスタ装置により、実行されるようにすることができる。しかしながら、そのプロセスは、他のタイプの装置又は装置サブシステムで実行されることもできる。例えば、そのプロセスは、ノートパソコンやタブレット装置などのポータブルコンピュータによって実行されることもできる。
図8の実施形態は、そこに示されている機能のいずれか1つ以上の除去によって簡略化することができる。また、これらの実施形態は、前述した図のさもなければここに説明されるいずれかの機能、態様、及び/又は実装と組み合わせることができる。
ブロック800は、リモートネットワーク管理プラットフォームのコンピュータのインスタンス内に配置されたセキュリティ判定ポイント装置において、管理対象ネットワークを経由してメッセージを受信することを含むようにすることができる。上記メッセージは、上記管理対象ネットワーク内に配置された特定のコンピューティング装置によって取得されているようにすることができる。上記コンピュータのインスタンスは、上記管理対象ネットワークを受け持つようにすることができる。
ブロック802は、上記セキュリティ判定ポイント装置によって、上記メッセージを解析して、1つ以上のセキュリティ脅威の観測可能な指標を識別することを含むようにすることができる。上記観測可能な指標は、ネットワークアドレス、ハイパーリンク、又は添付ファイルの表示の少なくとも1つを含めることができる。ネットワークアドレスは、例えば、電子メールアドレス、ドメイン名、IPアドレス、又はアドレスのいくつかの他の形式であってよい。
ブロック804は、上記セキュリティ判定ポイント装置によって、上記観測可能な指標に対してセキュリティ脅威データベースを遠隔で照会することを含むようにすることができる。
ブロック806は、上記セキュリティ判定ポイント装置によって、上記セキュリティ脅威データベースから、上記観測可能な指標が特定のセキュリティ脅威に関連付けられているという表示を受信することを含むようにすることができる。
ブロック808は、上記セキュリティ実施ポイント装置によって、上記管理対象ネットワーク内に配置されているセキュリティ実施ポイント装置に、上記特定のセキュリティ脅威が軽減されるように、上記セキュリティ実施ポイント装置のセキュリティポリシーを更新するコマンドを送信することを含むようにすることができる。上記コマンドの受信は、上記セキュリティ実施ポイント装置に対して、上記更新されたセキュリティポリシーに従って動作を変更させるようにすることができる。
いくつかの実施形態では、上記メッセージは上記ネットワークアドレス及び上記ハイパーリンクを含む電子メールメッセージである。上記ネットワークアドレスは、上記電子メールメッセージのヘッダ内に格納されてよく、上記電子メールメッセージが送信されたIPアドレスであってよい。上記ハイパーリンクは、上記電子メールメッセージの本文内に含まれるURLであってよい。
いくつかの実施形態では、上記メッセージは上記ネットワークアドレスと上記ハイパーリンクを含む電子メールメッセージである。上記ネットワークアドレスは、上記電子メールメッセージのヘッダ内に含まれてよく、送信元の電子メールアドレスであってよい。上記ハイパーリンクは、上記電子メールメッセージの本文内に含まれるURLであってよい。
いくつかの実施形態では、上記添付ファイルの上記表示は、上記添付ファイルに一方向関数を適用することによって計算されるハッシュである。別の実施形態では、上記添付ファイルの上記表示は、添付ファイルの名前である。
いくつかの実施形態では、上記セキュリティ実施ポイント装置は、上記管理対象ネットワークに代わって電子メールメッセージを受信する電子メールサーバ装置である。上記更新されたセキュリティポリシーは、上記電子メール装置に対して、上記ネットワークアドレス、上記ハイパーリンク、又は上記添付ファイルの表示に一致する特性を有する任意のファイルを含む上記受信された電子メールメッセージの配信を差し止めさせるようにすることができる。
いくつかの実施形態では、上記セキュリティ実施ポイント装置は、マルウェア対策ソフトウェアを実行している上記管理対象ネットワーク上のエンドポイントコンピューティング装置である。上記更新されたセキュリティポリシーは、上記マルウェア対策ソフトウェアに対して、上記添付ファイルが更なる電子メールメッセージに出現したときにマルウェアであると見なさせ、上記添付ファイルを隔離させるようにすることができる。
いくつかの実施形態では、上記セキュリティ実施ポイント装置は、上記管理対象ネットワーク上のファイアウォール装置である。上記更新されたセキュリティポリシーは、上記ファイアウォールに対して、上記ハイパーリンク又は上記添付ファイルの表示に一致する特性を持つ任意のファイルを含む上記ネットワークアドレスから流入するネットワークトラフィックをブロックさせるようにすることができる。
いくつかの実施形態では、上記管理対象ネットワークを経由して上記メッセージを受信することは、上記特定のコンピューティング装置から転送された電子メールとして上記メッセージを受信することを含む。
いくつかの実施形態では、上記セキュリティ判定ポイント装置は、上記特定のセキュリティ脅威が観察されたことを示す警告を供給するように更に構成される。いくつかの実施形態では、上記セキュリティ判定ポイント装置は、上記コンピュータのインスタンス内に配置されたセキュリティインシデントデータベースにおいて、上記ネットワークアドレス、上記ハイパーリンク、又は上記添付ファイルの表示の少なくとも1つを含む、観察された上記特定のセキュリティ脅威のレコードを記憶するように更に構成される。
いくつかの実施形態では、上記メッセージは、上記添付ファイルを含む電子メールメッセージであり、上記電子メールメッセージは上記管理対象ネットワークに関連付けられた電子メールサーバ装置によって受信される。上記セキュリティ判定ポイント装置は、上記電子メールサーバ装置に照会して、上記添付ファイルが上記電子メールサーバ装置によって受信された数、上記添付ファイルが配信された電子メールアカウントの数、及び/又は上記添付ファイルが配信された上記電子メールアカウントを確定するように更に構成されてよい。
上記セキュリティ判定ポイント装置は、上記管理対象ネットワークを介して2番目のメッセージを受信し、上記2番目のメッセージは2番目の電子メールメッセージであり、上記2番目のメッセージを解析して、1つ以上のセキュリティ脅威の2番目の観測可能な指標を識別し、上記2番目の観測可能な指標を使用して、上記セキュリティ脅威データベースを遠隔で照会し、上記セキュリティ脅威データベースから、上記2番目の観測可能な指標が上記セキュリティ脅威のいずれにも関連付けられていないことを示す2番目の表示を受信し、そして、上記管理対象ネットワークに関連付けられている電子メールスパムフィルタに、上記2番目のメッセージがスパムでないことを示す2番目の表示を有する上記2番目のメッセージを送信するように更に構成される。上記2番目のメッセージ及び上記2番目の表示の受信は、上記電子メールスパムフィルタに対して、そのフィルタリングルールを更新させるようにすることができる。上記2番目の観測可能な指標は、2番目のネットワークアドレス、2番目のハイパーリンク、又は2番目の添付ファイルの2番目の表示の少なくとも1つを含んでよい。
これらの実施形態は、上記メッセージを受信する上記組織内における上記脅威の上記範囲を理解することを容易にする。更に、それらは、電子メールサーバで同様のメッセージを検索することにより、また記憶されたログで同様のメッセージを検索することにより、そして、任意の怪しいファイル添付のハッシュを検索するエンドポイントツールを介して、高められるようにすることができる。
<結論>
本開示は、本願に記載された特定の実施形態の観点から限定されるものではなく、種々の態様の例証として意図されている。多くの変更及び変形は、当業者にとって明らかなものとなろうから、その範囲から逸脱することなく行うことができ、ここに説明されているものに加えて、開示の範囲内で機能的に同等の方法及び装置は、前述の記載から当業者には明らかであろう。このような変更及びバリエーションは、添付された特許請求の範囲内に含まれることを意図している。
上記の詳細な説明は、付属の図面に関連して開示されたシステム、装置、及び方法のさまざまな機能及び動作を説明したものである。ここに説明されている及び図面中の例示的実施形態は、制限を意図したものではない。ここに提供されている主題の範囲から逸脱することなく、他の実施形態が利用可能であり、その他の変更を行うことができる。本開示の態様としては、ここで一般的に説明され図中に例示されているように、配置され、置換され、結合され、分離され、及び多種多様な異なる構成で設計され得ることが容易に理解される。
図面中で及びここで説明されているメッセージフロー図、シナリオ、及びフローチャートに関連して、例示的実施形態に基づいて、各ステップ、ブロック、及び/又は通信は、情報の処理及び/又は情報の送信を表すことができる。代替となる実施形態は、これらの例示的実施形態の範囲内に含まれる。これらの代替となる実施形態において、例えば、ステップ、ブロック、送信、通信、要求、応答、及び/又はメッセージとして説明される動作は、図示され又は説明されるものから順番が異なって実行されるようにすることができ、これらは実質的に同時または逆の順序を含むことができ、関係する機能に依存するようにすることができる。更に、ここで説明したいずれのメッセージフロー図、シナリオ、及びフローチャートでも、より多くの又はより少ないブロック及び/又は動作を使用することができ、これらのメッセージフロー図、シナリオ、及びフローチャートは、一部または全体で相互に組み合わせることができる。
情報の処理を表すステップ又はブロックは、本明細書に記載された方法又は技法の特定の論理機能を実行するように構成できる回路に対応することができる。代わりに又は加えて、情報の処理を表すステップ又はブロックは、モジュール、セグメント、又はプログラムコードの一部(関連データを含む)に対応することができる。プログラムコードは、上記方法又は技法における特定の論理動作又はアクションを実装するためにプロセッサによって実行可能な、1つ以上の命令を含むことができる。そのプログラムコード及び/又は関連データは、RAM、ディスクドライブ、ソリッドステートドライブ、又は他の記憶媒体を含む記憶装置のような任意のタイプのコンピュータ読取り可能媒体に記憶されるようにできる。
上記コンピュータ読取り可能媒体はまた、レジスタメモリ及びプロセッサキャッシュのように短期間だけデータを記憶するコンピュータ読取り可能媒体のような非一過性のコンピュータ読取り可能媒体を含むことができる。上記コンピュータ読取り可能媒体は更に、プログラムコードやデータをより長期間記憶する非一過性のコンピュータ読取り可能媒体を含むことができる。従って、上記コンピュータ読取り可能媒体は、例えば、ROM、光又は磁気ディスク、ソリッドステートドライブ、コンパクトディスク読取り専用メモリ(CD−ROM)のような、セカンダリ又は永続的な長期記憶装置を含むことができる。上記コンピュータ読取り可能媒体はまた、任意の他の揮発性又は不揮発性の記憶システムとすることもできる。コンピュータ読取り可能媒体は、例えば有形な記憶装置であるコンピュータ読取り可能記憶媒体であると考えられる。
そのうえ、1つ以上の情報伝達を表すステップ又はブロックは、同じ物理装置内のソフトウェア及び/又はハードウェアモジュール間の情報伝達に対応することができる。ただし、その他の情報伝達は、異なる物理装置のソフトウェアモジュール及び/又はハードウェアモジュール間とすることができる。
図中の特定の配置は、制限するものとして見るべきではない。他の実施形態は、与えられた図面に示される各要素のより多い又はより少ないものを含むことができると理解すべきである。更に、例示された要素のいくつかは、結合され、又は省略されるようにすることができる。また更に、例示的実施形態は、図に例示されていない要素を含むことができる。
様々な態様や実施形態が本明細書に開示されたが、その他態様及び実施形態は、当業者には明らかである。本明細書に開示される種々の態様及び実施形態は、例示の目的のためであり、制限するものではなく、真の範囲は以下の特許請求の範囲により示されるものである。

Claims (20)

  1. 管理対象ネットワークに対するフィッシング攻撃を検出し且つ軽減するように構成された、サービスとしてのアプリケーションプラットフォーム(aPaaS)システムであって
    前記管理対象ネットワーク内に配置されたスパムフィルタであってフィルタリングルールを適用することによって、迷惑メッセージを検出し且つ前記迷惑メッセージが前記管理対象ネットワークの1つ以上のクライアントコンピューティング装置に到達するのを阻止するスパムフィルタ
    リモートネットワーク管理プラットフォームのコンピュータのインスタンス内に配置されたセキュリティ判定ポイントアプリケーションであって、前記コンピュータのインスタンスは前記管理対象ネットワークを受け持ち、且つ、前記管理対象ネットワークの前記1つ以上のクライアントコンピューティング装置を前記フィッシング攻撃から保護するセキュリティ判定ポイントアプリケーションと
    を備え、前記セキュリティ判定ポイントアプリケーションは、
    前記管理対象ネットワークを経由してメッセージを受信することであって、前記メッセージは、前記1つ以上のクライアントコンピューティング装置のうちの特定のクライアントコンピューティング装置によって取得され、前記スパムフィルタによってスパムには分類されず、且つ、潜在的なフィッシング攻撃として前記管理対象ネットワークによって前記セキュリティ判定ポイントアプリケーションに転送される、ことと
    前記メッセージを解析して、前記フィッシング攻撃のうちの1つ以上のフィッシング攻撃の観測可能な指標を識別することであって、前記識別された観測可能な指標は、ネットワークアドレス、ハイパーリンク、又は添付ファイルの表示の少なくとも1つを含む、ことと
    前記識別された観測可能な指標に対してセキュリティ脅威データベースを照会することであって、前記セキュリティ脅威データベースは、前記フィッシング攻撃に関連付けられていることがわかっている観測可能な指標に対する前記識別された観測可能な指標の比較を判定することによって、前記照会に応答するように構成されたアプリケーションプログラミングインターフェイスを含む、ことと
    前記セキュリティ脅威データベースから、前記識別された観測可能な指標が前記フィッシング攻撃のいずれとも関連しないという前記比較の結果を受信することと
    前記識別された観測可能な指標が前記フィッシング攻撃のいずれとも関連しないという前記比較の前記結果に応答して、前記スパムフィルタを制御して、前記スパムフィルタで受信され且つ前記識別された観測可能な指標を有する今後のメッセージに適用される前記フィルタリングルールを、前記識別された観測可能な指標を有する前記今後のメッセージがスパムとして分類され且つ前記セキュリティ判定ポイントアプリケーションに転送されないように、更新することと
    を実行するように構成される、システム。
  2. 前記セキュリティ脅威データベースは前記コンピュータのインスタンス内に配置され、前記セキュリティ脅威データベースは1つ以上の特徴ベクトルを備え、各特徴ベクトルは1つ以上の観測可能な指標の配列を表し、前記フィッシング攻撃に関連付けられていることがわかっている前記観測可能な指標に対する前記識別された観測可能な指標の前記比較を判定することは、前記識別された観測可能な指標と前記1つ以上の特徴ベクトルとの比較を判定して、前記識別された観測可能な指標が前記フィッシング攻撃のいずれかに関連付けられているか否かを判定することを含む、請求項1に記載のシステム。
  3. 前記セキュリティ判定ポイントアプリケーションは、
    前記管理対象ネットワークのコンピューティング装置に、観測可能な指標を検索するように構成可能なグラフィカルユーザーインターフェースを提供することと
    前記グラフィカルユーザーインターフェースを介して前記コンピューティング装置から、特定の観測可能な指標のための照会を受信することと
    前記特定の観測可能な指標が前記セキュリティ脅威データベース内で保守されているか否かを判定することと
    前記特定の観測可能な指標が前記セキュリティ脅威データベース内で保守されているという判定に基づいて、前記コンピューティング装置を制御して前記特定の観測可能な指標を有する少なくとも1つのメッセージを受信した1つ以上の構成項目を表す情報を表示することと
    を実行するように更に構成される請求項1に記載のシステム。
  4. 前記メッセージは、ショートメッセージサービス(SMS)のメッセージ、インスタントメッセージング(IM)のメッセージ、及びグループチャットメッセージを構成するグループから選択される、請求項1に記載のシステム。
  5. 前記メッセージが前記ネットワークアドレス及び前記ハイパーリンクを含む電子メールメッセージであり、前記ネットワークアドレスは前記電子メールメッセージのヘッダ内に含まれかつ前記電子メールメッセージが送信されたインターネットプロトコル(IP)アドレスであり、前記ハイパーリンクは前記電子メールメッセージの本文内に含まれる統一資源位置指定子(URL)である、請求項1に記載のシステム。
  6. 前記メッセージは前記ネットワークアドレス及び前記ハイパーリンクを含む電子メールメッセージであり、前記ネットワークアドレスは前記電子メールメッセージのヘッダ内に含まれかつ送信元の電子メールアドレスであり、前記ハイパーリンクは前記電子メールメッセージの本文内に含まれる統一資源位置指定子(URL)である、請求項1に記載のシステム。
  7. 前記添付ファイルの表示は、前記添付ファイルに一方向関数を適用して計算されたハッシュである、請求項1に記載のシステム。
  8. 前記添付ファイルの表示は、前記添付ファイルの名前である、請求項1に記載のシステム。
  9. 前記メッセージは、前記添付ファイルを含む電子メールメッセージであり、前記電子メールメッセージは前記管理対象ネットワークに関連付けられた電子メールサーバ装置によって受信され、前記セキュリティ判定ポイントアプリケーションは、
    前記電子メールサーバ装置に照会して、前記添付ファイルが前記電子メールサーバ装置によって受信された数、前記添付ファイルが配信された電子メールアカウントの数、又は前記添付ファイルが配信された前記電子メールアカウントを確定する、
    ように更に構成される請求項1に記載のシステム。
  10. リモートネットワーク管理プラットフォームのコンピュータのインスタンス内に配置されたセキュリティ判定ポイントアプリケーションによって、管理対象ネットワークを経由してメッセージを受信することであって、前記メッセージは、前記管理対象ネットワークの特定のクライアントコンピューティング装置によって取得され、前記管理対象ネットワークのスパムフィルタによってスパムには分類されず、且つ、潜在的なフィッシング攻撃として前記管理対象ネットワークによって前記セキュリティ判定ポイントアプリケーションに転送され、前記スパムフィルタはフィルタリングルールを適用することによって迷惑メッセージを検出し且つ前記迷惑メッセージが前記管理対象ネットワークの1つ以上のクライアントコンピューティング装置に到達するのを阻止し、前記コンピュータのインスタンスは前記管理対象ネットワークを受け持ち、且つ前記管理対象ネットワークの前記1つ以上のクライアントコンピューティング装置を前記フィッシング攻撃から保護する、ことと
    前記セキュリティ判定ポイントアプリケーションによって、前記メッセージを解析して、前記フィッシング攻撃のうちの1つ以上のフィッシング攻撃の観測可能な指標を識別することであって、前記識別された観測可能な指標は、ネットワークアドレス、ハイパーリンク、又は添付ファイルの表示の少なくとも1つを含む、ことと
    前記セキュリティ判定ポイントアプリケーションによって、前記識別された観測可能な指標に対してセキュリティ脅威データベースを照会することであって、前記セキュリティ脅威データベースは、前記フィッシング攻撃に関連付けられていることがわかっている観測可能な指標に対する前記識別された観測可能な指標の比較を判定することによって、前記照会に応答するように構成されたアプリケーションプログラミングインターフェイスを含む、ことと
    前記セキュリティ判定ポイントアプリケーションによって、前記セキュリティ脅威データベースから、前記識別された観測可能な指標が前記フィッシング攻撃のいずれとも関連しないという前記比較の結果を受信することと
    前記識別された観測可能な指標が前記フィッシング攻撃のいずれとも関連しないという前記比較の前記結果に応答して、前記セキュリティ判定ポイントアプリケーションによって前記スパムフィルタを制御して、前記スパムフィルタで受信され且つ前記識別された観測可能な指標を有する今後のメッセージに適用される前記フィルタリングルールを、前記識別された観測可能な指標を有する前記今後のメッセージがスパムとして分類され且つ前記セキュリティ判定ポイントアプリケーションに転送されないように、更新することと
    を含む方法。
  11. 前記セキュリティ脅威データベースは前記コンピュータのインスタンス内に配置され、前記セキュリティ脅威データベースは1つ以上の特徴ベクトルを備え、各特徴ベクトルは1つ以上の観測可能な指標の配列を表し、前記フィッシング攻撃に関連付けられていることがわかっている前記観測可能な指標に対する前記識別された観測可能な指標の前記比較を判定することは、前記識別された観測可能な指標と前記1つ以上の特徴ベクトルとの比較を判定して、前記識別された観測可能な指標が前記フィッシング攻撃のいずれかに関連付けられているか否かを判定することを含む、請求項10に記載の方法。
  12. 前記セキュリティ判定ポイントアプリケーションによって、前記管理対象ネットワークのコンピューティング装置に、観測可能な指標を検索するように構成可能なグラフィカルユーザーインターフェースを提供することと
    前記セキュリティ判定ポイントアプリケーションによって、前記グラフィカルユーザーインターフェースを介して前記コンピューティング装置から、特定の観測可能な指標のための照会を受信することと
    前記セキュリティ判定ポイントアプリケーションによって、前記特定の観測可能な指標が前記セキュリティ脅威データベース内で保守されているか否かを判定することと
    前記特定の観測可能な指標が前記セキュリティ脅威データベース内で保守されているという判定に基づいて、前記セキュリティ判定ポイントアプリケーションによって、前記コンピューティング装置を制御して前記特定の観測可能な指標を有する少なくとも1つのメッセージを受信した1つ以上の構成項目を表す情報を表示することと
    更に含む請求項10に記載の方法。
  13. 前記メッセージは、ショートメッセージサービス(SMS)のメッセージ、インスタントメッセージング(IM)のメッセージ、及びグループチャットメッセージを構成するグループから選択される、請求項10に記載の方法。
  14. 前記メッセージが前記ネットワークアドレス及び前記ハイパーリンクを含む電子メールメッセージであり、前記ネットワークアドレスは前記電子メールメッセージのヘッダ内に含まれかつ前記電子メールメッセージが送信されたインターネットプロトコル(IP)アドレスであり、前記ハイパーリンクは前記電子メールメッセージの本文内に含まれる統一資源位置指定子(URL)である、請求項10に記載の方法。
  15. 前記メッセージは前記ネットワークアドレス及び前記ハイパーリンクを含む電子メールメッセージであり、前記ネットワークアドレスは前記電子メールメッセージのヘッダ内に含まれかつ送信元の電子メールアドレスであり、前記ハイパーリンクは前記電子メールメッセージの本文内に含まれる統一資源位置指定子(URL)である、請求項10に記載の方法。
  16. 前記添付ファイルの表示は、前記添付ファイルに一方向関数を適用して計算されたハッシュである、請求項10に記載の方法。
  17. 前記添付ファイルの表示は、前記添付ファイルの名前である、請求項10に記載の方法。
  18. 前記メッセージは、前記添付ファイルを含む電子メールメッセージであり、前記電子メールメッセージは前記管理対象ネットワークに関連付けられた電子メールサーバ装置によって受信され、前記方法は、
    前記セキュリティ判定ポイントアプリケーションによって、前記電子メールサーバ装置に照会して、前記添付ファイルが前記電子メールサーバ装置によって受信された数、前記添付ファイルが配信された電子メールアカウントの数、又は前記添付ファイルが配信された前記電子メールアカウントを確定すること、を更に含む請求項10に記載の方法。
  19. ログラム命令を記憶した非一過性のコンピュータ読取り可能な媒体であって、上記プログラム命令は、遠隔ネットワーク管理プラットフォームのコンピュータのインスタンス内に配置されるセキュリティ判定ポイント装置によって実行されたときに、前記セキュリティ判定ポイント装置に、
    管理対象ネットワークを経由してメッセージを受信することであって、前記メッセージは、前記管理対象ネットワークの特定のクライアントコンピューティング装置によって取得され、前記管理対象ネットワークのスパムフィルタによってスパムには分類されず、且つ、潜在的なフィッシング攻撃として前記管理対象ネットワークによって前記セキュリティ判定ポイント装置に転送され、前記スパムフィルタはフィルタリングルールを適用することによって迷惑メッセージを検出し且つ前記迷惑メッセージが前記管理対象ネットワークの1つ以上のクライアントコンピューティング装置に到達するのを阻止し、前記コンピュータのインスタンスは前記管理対象ネットワークを受け持ち、且つ前記管理対象ネットワークの前記1つ以上のクライアントコンピューティング装置を前記フィッシング攻撃から保護する、ことと
    前記メッセージを解析して、前記フィッシング攻撃のうちの1つ以上のフィッシング攻撃の観測可能な指標を識別することであって、前記識別された観測可能な指標は、ネットワークアドレス、ハイパーリンク、又は添付ファイルの表示の少なくとも1つを含む、ことと
    前記識別された観測可能な指標に対してセキュリティ脅威データベースを照会することであって、前記セキュリティ脅威データベースは、前記フィッシング攻撃に関連付けられていることがわかっている観測可能な指標に対する前記識別された観測可能な指標の比較を判定することによって、前記照会に応答するように構成されたアプリケーションプログラミングインターフェイスを含む、ことと
    前記セキュリティ脅威データベースから、前記識別された観測可能な指標が前記フィッシング攻撃のいずれとも関連しないという前記比較の結果を受信することと
    前記識別された観測可能な指標が前記フィッシング攻撃のいずれとも関連しないという前記比較の前記結果に応答して、前記スパムフィルタを制御して、前記スパムフィルタで受信され且つ前記識別された観測可能な指標を有する今後のメッセージに適用される前記フィルタリングルールを、前記識別された観測可能な指標を有する前記今後のメッセージがスパムとして分類され且つ前記セキュリティ判定ポイント装置に転送されないように、更新することと
    を含む動作を実行させる、非一過性のコンピュータ読取り可能な媒体
  20. 前記セキュリティ脅威データベースは前記コンピュータのインスタンス内に配置され、前記セキュリティ脅威データベースは1つ以上の特徴ベクトルを備え、各特徴ベクトルは1つ以上の観測可能な指標の配列を表し、前記フィッシング攻撃に関連付けられていることがわかっている前記観測可能な指標に対する前記識別された観測可能な指標の前記比較を判定することは、前記識別された観測可能な指標と前記1つ以上の特徴ベクトルとの比較を判定して、前記識別された観測可能な指標が前記フィッシング攻撃のいずれかに関連付けられているか否かを判定することを含む、請求項19に記載の非一過性のコンピュータ読取り可能な媒体
JP2018186622A 2017-10-02 2018-10-01 電子メッセージベースのセキュリティ脅威の自動軽減 Active JP6526895B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US15/722,966 US10708308B2 (en) 2017-10-02 2017-10-02 Automated mitigation of electronic message based security threats
US15/722,966 2017-10-02
US15/939,676 US10158677B1 (en) 2017-10-02 2018-03-29 Automated mitigation of electronic message based security threats
US15/939,676 2018-03-29

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019088529A Division JP6731687B2 (ja) 2017-10-02 2019-05-08 電子メッセージベースのセキュリティ脅威の自動軽減

Publications (2)

Publication Number Publication Date
JP2019067398A JP2019067398A (ja) 2019-04-25
JP6526895B2 true JP6526895B2 (ja) 2019-06-05

Family

ID=60997264

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2018186622A Active JP6526895B2 (ja) 2017-10-02 2018-10-01 電子メッセージベースのセキュリティ脅威の自動軽減
JP2019088529A Active JP6731687B2 (ja) 2017-10-02 2019-05-08 電子メッセージベースのセキュリティ脅威の自動軽減

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2019088529A Active JP6731687B2 (ja) 2017-10-02 2019-05-08 電子メッセージベースのセキュリティ脅威の自動軽減

Country Status (5)

Country Link
US (3) US10708308B2 (ja)
EP (1) EP3462683B1 (ja)
JP (2) JP6526895B2 (ja)
AU (2) AU2018200019A1 (ja)
CA (1) CA2990435C (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190158535A1 (en) * 2017-11-21 2019-05-23 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US12101354B2 (en) * 2010-11-29 2024-09-24 Biocatch Ltd. Device, system, and method of detecting vishing attacks
US10341841B2 (en) 2017-10-02 2019-07-02 Servicenow, Inc. Operation of device and application discovery for a managed network
US10891285B2 (en) * 2017-10-19 2021-01-12 Adp, Llc Factor binding data coordination across multiple domains
US11349868B2 (en) * 2018-01-18 2022-05-31 Forcepoint, LLC Detection of spoofed internally-addressed email using trusted third party's SPF records
US10817607B1 (en) * 2018-01-26 2020-10-27 CA Inc. Securing a network device from malicious executable code embedded in a computer document
US10911487B2 (en) * 2018-06-20 2021-02-02 Checkpoint Mobile Security Ltd On-device network protection
CN110071936B (zh) * 2019-05-05 2021-10-26 苏州阳野自动化系统有限公司 一种识别代理ip的系统及方法
US11374970B2 (en) * 2019-05-07 2022-06-28 Servicenow, Inc. Phishing attempt categorization/aggregation interface
CN110247933B (zh) * 2019-07-08 2022-01-04 中国工商银行股份有限公司 实现防火墙策略的方法和装置
US11423155B2 (en) * 2019-08-28 2022-08-23 Servicenow, Inc. Software vulnerability detection in managed networks
WO2021056230A1 (en) 2019-09-25 2021-04-01 Citrix Systems, Inc. Systems and methods for securing user domain credentials from phishing attacks
US11363060B2 (en) 2019-10-24 2022-06-14 Microsoft Technology Licensing, Llc Email security in a multi-tenant email service
WO2021107177A1 (ko) * 2019-11-27 2021-06-03 (주)나무소프트 랜섬웨어 또는 피싱 공격 차단 방법 및 시스템
US20210176272A1 (en) * 2019-12-05 2021-06-10 Mcafee, Llc Phishing Mitigation Service
CN111083043B (zh) * 2019-12-26 2021-11-23 中国科学院信息工程研究所 一种邮箱恶意自动转发行为识别方法及装置
US11677758B2 (en) * 2020-03-04 2023-06-13 Cisco Technology, Inc. Minimizing data flow between computing infrastructures for email security
WO2021185429A1 (en) * 2020-03-16 2021-09-23 Nokia Technologies Oy Apparatus, method and computer program to influence 3gpp terminals on preferences between multiple recursive dns servers
US11050698B1 (en) * 2020-09-18 2021-06-29 Area 1 Security, Inc. Message processing system with business email compromise detection
US11496522B2 (en) 2020-09-28 2022-11-08 T-Mobile Usa, Inc. Digital on-demand coupons for security service of communications system
US11546368B2 (en) 2020-09-28 2023-01-03 T-Mobile Usa, Inc. Network security system including a multi-dimensional domain name system to protect against cybersecurity threats
US11997135B2 (en) 2020-12-29 2024-05-28 Citrix Systems, Inc. Systems and methods for protection against theft of user credentials
US11741200B2 (en) 2020-12-29 2023-08-29 Citrix Systems, Inc. Systems and methods for protection against theft of user credentials
US12028351B2 (en) 2021-11-15 2024-07-02 International Business Machines Corporation Protecting against API attacks by continuous auditing of security compliance of API usage relationship
US20230179635A1 (en) * 2021-11-24 2023-06-08 Centurylink Intellectual Property Llc Enhanced zero trust security systems, devices, and processes
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system
CN114760119B (zh) * 2022-04-02 2023-12-12 北京安博通金安科技有限公司 一种钓鱼邮件攻击检测方法、装置及系统
US12001550B1 (en) * 2023-08-28 2024-06-04 Wiz, Inc. Cybersecurity incident response techniques utilizing artificial intelligence

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106694B2 (en) * 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8407792B2 (en) * 2004-05-19 2013-03-26 Ca, Inc. Systems and methods for computer security
US8880611B1 (en) * 2004-06-30 2014-11-04 Google Inc. Methods and apparatus for detecting spam messages in an email system
US7854007B2 (en) * 2005-05-05 2010-12-14 Ironport Systems, Inc. Identifying threats in electronic messages
US8719364B2 (en) 2007-03-30 2014-05-06 Canon Denshi Kabushiki Kaisha System, method and program for network management using saved history information
US20090006532A1 (en) 2007-06-28 2009-01-01 Yahoo! Inc. Dynamic phishing protection in instant messaging
US20090037546A1 (en) 2007-08-02 2009-02-05 Abaca Technology Filtering outbound email messages using recipient reputation
US8578166B2 (en) 2007-08-06 2013-11-05 Morgamon SA System and method for authentication, data transfer, and protection against phishing
JP5169113B2 (ja) 2007-09-28 2013-03-27 サクサ株式会社 Ip電話システム、ip電話端末およびプログラム
US20090182818A1 (en) * 2008-01-11 2009-07-16 Fortinet, Inc. A Delaware Corporation Heuristic detection of probable misspelled addresses in electronic communications
US8392357B1 (en) 2008-10-31 2013-03-05 Trend Micro, Inc. Trust network to reduce e-mail spam
US8914406B1 (en) 2012-02-01 2014-12-16 Vorstack, Inc. Scalable network security with fast response protocol
US9241009B1 (en) 2012-06-07 2016-01-19 Proofpoint, Inc. Malicious message detection and processing
US10404745B2 (en) 2013-08-30 2019-09-03 Rakesh Verma Automatic phishing email detection based on natural language processing techniques
IL235423A0 (en) 2014-10-30 2015-01-29 Ironscales Ltd Method and system for mitigating targeted phishing attacks
US9906539B2 (en) * 2015-04-10 2018-02-27 PhishMe, Inc. Suspicious message processing and incident response
WO2017100534A1 (en) 2015-12-11 2017-06-15 Servicenow, Inc. Computer network threat assessment
US10230745B2 (en) * 2016-01-29 2019-03-12 Acalvio Technologies, Inc. Using high-interaction networks for targeted threat intelligence

Also Published As

Publication number Publication date
US20190173921A1 (en) 2019-06-06
US20190104155A1 (en) 2019-04-04
AU2019261813A1 (en) 2019-11-28
CA2990435C (en) 2020-06-09
US10158677B1 (en) 2018-12-18
EP3462683A1 (en) 2019-04-03
US10511637B2 (en) 2019-12-17
EP3462683B1 (en) 2021-03-31
CA2990435A1 (en) 2019-04-02
JP2019067398A (ja) 2019-04-25
US10708308B2 (en) 2020-07-07
JP6731687B2 (ja) 2020-07-29
JP2019153336A (ja) 2019-09-12
AU2018200019A1 (en) 2019-04-18

Similar Documents

Publication Publication Date Title
JP6526895B2 (ja) 電子メッセージベースのセキュリティ脅威の自動軽減
US11533339B2 (en) Creating security incident records using a remote network management platform
US10637880B1 (en) Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10601844B2 (en) Non-rule based security risk detection
EP3128459B1 (en) System and method of utilizing a dedicated computer security service
US10587577B2 (en) Dynamic, event-driven traffic control in a managed network
US8156541B1 (en) System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking
US11463456B2 (en) Action response framework for data security incidents
US20130347085A1 (en) Data exfiltration attack simulation technology
US11374946B2 (en) Inline malware detection
US11677758B2 (en) Minimizing data flow between computing infrastructures for email security
Serketzis et al. Actionable threat intelligence for digital forensics readiness
US20220114252A1 (en) Security incident and event management use case selection
US20110185166A1 (en) Slider Control for Security Grouping and Enforcement
US12088609B1 (en) Investigative playbooks for cloud security events
Ohmori On automation and orchestration of an initial computer security incident response by introducing centralized incident tracking system
Mokhov et al. Automating MAC spoofer evidence gathering and encoding for investigations
EP3999985A1 (en) Inline malware detection
Hajdarevic Cyber Security Audit in Business Environments
OHMORI et al. On Automation and Orchestration of an Initial Computer Security Incident Response Using Centralized Incident Tracking System
Hardy Network Security Monitoring for Cyber Situational Awareness
JP2019125037A (ja) 攻撃種別判定装置、攻撃種別判定方法、及びプログラム
Kihuha Network intrusion monitoring and reporting using E-mail and SMS (nimrues)
Kihuha Network intrusion monitoring and reporting using e-mail and sms

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190401

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190409

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190508

R150 Certificate of patent or registration of utility model

Ref document number: 6526895

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250