JP6693721B2 - ポリシベースのネットワーク・セキュリティ - Google Patents

ポリシベースのネットワーク・セキュリティ Download PDF

Info

Publication number
JP6693721B2
JP6693721B2 JP2015202758A JP2015202758A JP6693721B2 JP 6693721 B2 JP6693721 B2 JP 6693721B2 JP 2015202758 A JP2015202758 A JP 2015202758A JP 2015202758 A JP2015202758 A JP 2015202758A JP 6693721 B2 JP6693721 B2 JP 6693721B2
Authority
JP
Japan
Prior art keywords
threat
response
actions
action
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015202758A
Other languages
English (en)
Other versions
JP2016119061A (ja
Inventor
フェイ・アイ・フランシー
グレゴリー・ジェイ・スモール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boeing Co
Original Assignee
Boeing Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boeing Co filed Critical Boeing Co
Publication of JP2016119061A publication Critical patent/JP2016119061A/ja
Application granted granted Critical
Publication of JP6693721B2 publication Critical patent/JP6693721B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)

Description

本開示は、ポリシベースのネットワーク・セキュリティを提供するためのシステムおよび方法に関する。
コンピュータおよびネットワーク・セキュリティは一般に、コンピュータまたはコンピュータのシステムを攻撃から防御することに着目している。新たな種類の攻撃が常に開発されている。各新たな脅威に対する応答を開発しようとするのではなく、企業はどのように特定の脅威に応答するかに関する情報について他者に依存していることがある。例えば、企業は、どのように新たな脅威に応答するかに関する最新の情報を提供するかまたは新たな応答を古い脅威に提供するセキュリティ・ベンダ企業を利用しているかもしれない。別の例として、当該企業が、どのように脅威に応答するかに関する情報についてセキュリティ研究者に相談するかもしれない。脅威に対する幾つかの提案されている応答は、特定の企業または他の実体に対しては不適切と考えられることがありうる。例えば、攻撃的なセキュリティ研究者は、脅威のソースに反撃することを含む応答技術を提供するかもしれない。幾つかの企業は、かかる動作により違反されるポリシを有しているかもしれない。
特定の実施形態では、システムはプロセッサと当該プロセッサがアクセス可能なメモリとを備える。当該メモリは、脅威を示すネットワーク活動を検出したことに応答して、1組の応答動作に対応する脅威軽減機構を選択するステップを含む動作を実施するように当該プロセッサにより実行可能な命令を格納する。当該動作はさらに、1組の許可された応答動作を生成するポリシに基づいて当該1組の応答動作をフィルタするステップと当該1組の許可された応答動作の1つまたは複数の応答動作を実行するステップとを含む。
別の特定の実施形態では、方法は、脅威を示すネットワーク活動を検出したことに応答して、1組の応答動作に対応する脅威軽減機構を選択するステップを含む。当該方法はまた、1組の許可された応答動作を生成するポリシに基づいて当該1組の応答動作をフィルタするステップと当該1組の許可された応答動作の1つまたは複数の応答動作を実行するステップとを含む。
別の特定の実施形態では、コンピュータ可読記憶装置が、プロセッサにより実行可能な、脅威を示すネットワーク活動を検出したことに応答して、1組の応答動作に対応する脅威軽減機構を選択するステップを含む動作を当該プロセッサに実施させる命令を格納する。当該動作はまた、1組の許可された応答動作を生成するポリシに基づいて当該1組の応答動作をフィルタするステップと当該1組の許可された応答動作の1つまたは複数の応答動作を実行するステップとを含む。
脅威を示すネットワーク活動を検出したことに応答して、ネットワーク・セキュリティ・システムにより、1組の応答動作に対応する脅威軽減機構を選択するステップと、当該ネットワーク・セキュリティ・システムにより、1組の許可された応答動作を生成するポリシに基づいて当該1組の応答動作をフィルタするステップと、当該1組の許可された応答動作の1つまたは複数の応答動作を実行するステップとを含む方法である。当該方法は、当該ネットワーク・セキュリティ・システムにより、当該1組の許可された応答動作を動作依存性と以前の動作に基づいて評価してアクション・プランを決定するステップをさらに含む。当該アクション・プランは1組の次の応答動作を特定し、当該1組の次の応答動作は、全ての関連する必要動作が実施されている当該1組の許可された応答動作の1つまたは複数の応答動作に対応し、当該1つまたは複数の実行される応答動作は当該1組の次の応答動作に対応する。
当該方法では、当該ネットワークの活動を監視するステップは、当該ネットワーク・セキュリティ・システムにより、当該ネットワークの活動を示す活動データを分析するステップと、当該ネットワーク・セキュリティ・システムにより、当該ネットワークの活動におけるアノーマリを当該活動データに基づいて検出するステップと、当該ネットワーク・セキュリティ・システムにより、当該アノーマリを分析して、当該アノーマリが脅威を示すかどうかを判定するステップと、当該ネットワーク・セキュリティ・システムにより、当該アノーマリが当該脅威を示すとき当該脅威の検出を示す脅威情報を生成するステップであって、当該脅威軽減機構は当該脅威情報に基づいて選択されるステップとを含む。当該方法は、当該脅威軽減機構を選択する前に当該脅威のソースを決定するステップであって、当該脅威軽減機構はさらに当該ソースに基づいて選択されるステップをさらに含む。
当該方法では、当該ポリシは、当該ソースに基づいて許可された応答動作、当該ソースに基づいて拒否された応答動作、またはその両方を示す。当該方法では、当該脅威情報は、当該アノーマリに対応する活動データの部分、当該アノーマリを記述する情報、当該脅威を記述する情報、当該脅威のソースを記述する情報、当該脅威のターゲットを記述する情報、またはそれらの組合せを含む。当該方法では、当該1組の応答動作は、少なくとも1つのアクティブな脅威応答動作または少なくとも1つの受動的な脅威応答動作を含む。当該方法は、当該1つまたは複数の応答動作の実行中または実行後に当該脅威が依然として存在するかどうかを判定するステップと、当該脅威が依然として存在すると判定したことに応答して当該ネットワーク・セキュリティ・システムにより、当該1組の許可された応答動作を動作依存性と以前の動作に基づいて評価してアクション・プランを決定するステップであって、当該アクション・プランは1組の次の応答動作を特定し、当該1組の次の応答動作は、全ての必要動作が実施されている当該1組の許可された応答動作の1つまたは複数の応答動作に対応するステップと、当該1組の次の応答動作を実行するステップとをさらに含む。
当該方法では、当該脅威軽減機構を選択するステップは、識別された脅威を示す脅威応答データおよび識別された脅威ごとに使用するために特定された脅威軽減機構にアクセスするステップと、当該脅威が当該脅威応答データの識別された脅威と一致するかどうかを判定するステップであって、当該識別された脅威に使用するために特定された特定の脅威軽減機構は、当該脅威が当該識別された脅威と一致するときに当該脅威軽減機構として選択されるステップとを含む。当該方法では、当該脅威軽減機構を選択するステップはさらに、識別された脅威が当該脅威に一致しないとき、ユーザに当該脅威軽減機構を指定するよう促すステップを含む。当該方法では、当該ポリシは、企業の指示、法的な指示、またはその両方に基づいて許可された応答動作、拒否された応答動作、またはその両方を示す論理ステートメントを含む。
プロセッサと、当該プロセッサがアクセス可能なメモリであって、当該メモリは、脅威を示すネットワーク活動を検出したことに応答して、1組の応答動作に対応する脅威軽減機構を選択するステップと、1組の許可された応答動作を生成するポリシに基づいて当該1組の応答動作をフィルタするステップと、当該1組の許可された応答動作の1つまたは複数の応答動作を実行するステップとを含む動作を実施するように当該プロセッサにより実行可能な命令を格納するメモリとを備えるコンピューティング・システムである。
当該システムでは、当該動作はさらに、当該1組の許可された応答動作を動作依存性と以前の動作に基づいて評価してアクション・プランを決定するステップであって、当該アクション・プランは1組の次の応答動作を特定し、当該1組の次の応答動作は、全ての関連する必要動作が実施されている当該1組の許可された応答動作の1つまたは複数の応答動作に対応し、当該1つまたは複数の実行される応答動作は当該1組の次の応答動作に対応するステップを含む。
当該システムは、当該ネットワーク活動を監視して活動データを生成するステップと、当該活動データに基づいて当該ネットワーク活動におけるアノーマリを検出するステップと、当該アノーマリを分析して、当該アノーマリが脅威を示すかどうかを判定するステップと、当該アノーマリが当該脅威を示すとき当該脅威の検出を示す脅威情報を生成するステップであって、当該脅威軽減機構は当該脅威情報に基づいて選択されるステップとをさらに含む。当該システムでは、当該動作はさらに、当該脅威のソースを決定するステップであって、当該脅威軽減機構はさらに当該ソースに基づいて選択されるステップを含む。当該システムでは、当該ポリシは、企業の指示、法的な指示、またはその両方に基づいて許可された応答動作、拒否された応答動作、またはその両方を示す論理ステートメントを含む。
プロセッサにより実行可能であり、脅威を示すネットワーク活動を検出したことに応答して、1組の応答動作に対応する脅威軽減機構を選択するステップと、ポリシを当該1組の応答動作に適用して1組の許可された応答動作を生成するステップと、当該1組の許可された応答動作の1つまたは複数の応答動作を実行するステップとを含む動作を当該プロセッサに実施させる命令を格納したコンピュータ可読記憶装置である。当該コンピュータ可読記憶装置では、当該脅威軽減機構を選択するステップは、識別された脅威を示す脅威応答データおよび識別された脅威ごとに使用するために特定された脅威軽減機構にアクセスするステップと、当該脅威が当該脅威応答データの識別された脅威と一致するかどうかを判定するステップであって、当該脅威が当該識別された脅威と一致する場合、当該脅威応答データ内の当該識別された脅威に対応する当該特定の脅威軽減機構が選択され、識別された脅威が当該脅威に一致しない場合、ユーザに当該脅威軽減機構を指定するよう促すステップとを含む。
当該コンピュータ可読記憶装置では、当該ポリシは少なくとも1つの禁止された応答動作を示す論理ステートメントを含み、当該ポリシを適用するステップは当該少なくとも1つの禁止された応答動作を当該1組の応答動作から削除するステップを含む。当該コンピュータ可読記憶装置では、当該ポリシは1つまたは複数の要求された応答動作を示す論理ステートメントを含み、当該ポリシを適用するステップは当該1つまたは複数の要求された応答動作を当該1組の応答動作に追加するステップを含む。
説明した特徴、機能、および利点を、様々な実施形態と独立に実現でき、または、さらに他の実施形態と組み合わせてもよく、そのさらなる詳細は以下の説明と図面を参照して開示される。
ネットワークおよびネットワーク・セキュリティ・システムを含むシステムの第1の特定の実施形態を示す図である。 ネットワーク・セキュリティを提供する方法の特定の実施形態の流れ図である。 アノーマリおよび脅威検出の方法の特定の実施形態の流れ図である。 脅威に応答する方法の特定の実施形態の流れ図である。 ポリシに基づいて応答動作を選択する方法の特定の実施形態の流れ図である。 ポリシを更新する方法の特定の実施形態の流れ図である。 軽減統合を決定する方法の特定の実施形態の流れ図である。 ネットワーク・セキュリティ・システムのコンピューティング・システムの特定の実施形態を示すブロック図である。
本発明の特定の実施形態を、図面を参照して以下で説明する。当該説明では、共通の特徴は図面にわたって共通の参照番号で指定される。
図面と以下の説明は、特定の例示的な実施形態を示すものである。本明細書で明示的に説明または図示されていないが本明細書で説明したを具体化し当該説明に従う特許請求の範囲内に含まれる様々な配置構成を当業者が考案できることは理解される。さらに、本明細書で説明する任意の例は、本発明の原理を理解する際の支援を意図するものであり、限定なしに解釈されるべきである。結果として、本発明は、以下で説明する特定の実施形態または例には限定されず、諸請求項およびその均等物により制限される。
本明細書で説明する諸実施形態により、特定の企業または他の実体の1つまたは複数のポリシに基づいて、1組の最新の(例えば、最良のまたは最先端の)応答動作から応答動作を選択し実行することができる。例えば、最新の応答動作を、ベンダ、研究者または他のネットワーク・セキュリティ・システムのような様々なソースからネットワーク・セキュリティ・システムによりにより利用できるようにしてもよい。したがって、当該応答動作を、特定の企業または他の実体のポリシに基づく検討または監視なしに更新してもよい。結果として、当該応答動作が、反撃動作のようなポリシにより禁止された特定の動作を含んでもよく、または、特定のパーティへの通知のようなポリシにより要求される特定の動作を排除してもよい。当該ネットワーク・セキュリティ・システムによりポリシに対して実行される応答動作を確認するために、当該ネットワーク・セキュリティ・システムは、1組の応答動作に対応するかまたは1組の応答動作を含む脅威軽減機構を選択してもよい。当該脅威軽減機構の応答動作を次いで、(例えば、実行時に)1つまたは複数のポリシに基づいてフィルタしてもよい。例えば、禁止された応答動作を1組の応答動作から除去してもよく、必要な応答動作を当該1組の応答動作に追加してもよい。したがって、当該ネットワーク・セキュリティ・システムにより実施される応答動作が、当該特定の企業または他の実体の当該1つまたは複数のポリシに従うことができる。
図1は、ネットワーク102およびネットワーク・セキュリティ・システム120を含むシステム100の特定の実施形態を示す。ネットワーク102が、ネットワーク102に接続されたコンピューティング装置104乃至108間の通信を可能とするルーティング装置110を含んでもよい。例えば、第1のコンピューティング装置108は、ネットワーク102を介して他のコンピューティング装置104乃至106の1つまたは複数とデータ112を送受信してもよい。1つのネットワーク102のみを図1に示してあるが、システム100が、1つまたは複数のゲートウェイ(図示せず)または他の装置を介した接続された複数のネットワークを含んでもよい。
ネットワーク・セキュリティ・システム120を、当該ネットワークを介して送信された通信を監視するように構成してもよい。例えば、ネットワーク・セキュリティ・システム120が、ルーティング装置110にインストールされたネットワーク・モニタ122のようなネットワーク監視システムを含んでもよく、または、当該ネットワーク監視システムに対するアクセスを有してもよい。ネットワーク・モニタ122が、侵入検出システム(IDS)、ディープ・パケット検査システム(DPI)、またはアノーマリを検出するためにネットワーク102を介して送信されたデータ112を監視できるようにする他のシステムを備えてもよい。
ネットワーク・セキュリティ・システム120はまた、アノーマリを検出し、当該アノーマリを分析し、脅威を検出し、脅威を分析し、またはそれらの組合せを行うように構成された検出分析システム130を備えてもよい。例えば、ネットワーク・モニタ122が、活動データ114をネットワーク・セキュリティ・システム120に提供してもよい。活動データ114が、ネットワーク102の行動またはネットワーク102に接続された装置の行動を記述してもよい。例えば、活動データ114が、コンピューティング装置104乃至108のうちどれがネットワーク102に接続されているか、コンピューティング装置104乃至108のうちどれがコンピューティング装置104乃至108の別のものにデータを送信したか、当該ネットワークを介して送信されたデータ112の量またはタイプ、データ112および/または他のデータの送信タイミング、ネットワーク102上の通信に関連する他の情報、またはそれらの組合せを特定してもよい。
以下でさらに説明するように、検出分析システム130が、活動データ114を分析してアノーマリを特定してもよい。アノーマリは、活動データ114における予期しないまたは異常な事象(例えば、イベント)、活動データ114における予期しないまたは異常なパターン(例えば、1組のイベント)、活動データ114における期待される事象またはパターンの欠如等に対応してもよい。以下でさらに詳細するように、アノーマリが検出されたとき、検出分析システム130が当該アノーマリを分析して、当該アノーマリが脅威(例えば、ネットワーク102に対する脅威またはネットワーク102に接続された任意の装置に対する脅威)に対応するかまたは当該脅威を示すかどうかを判定してもよい。脅威が検出されたとき、検出分析システム130が当該脅威を分析して、応答動作の選択を容易にすること、報告を容易にすること、またはその両方を行ってもよい。例えば、当該脅威を分析して、当該脅威を以前に検出された脅威と比較して、当該脅威が公知の脅威タイプの新たなインスタンスであるかどうかを判定してもよい。検出分析システム130が当該脅威の検出を示す脅威情報を生成してもよい。当該脅威情報が当該脅威を記述してもよい。例えば、当該脅威情報が、当該アノーマリに対応する活動データ114の部分、当該アノーマリを記述する情報、当該脅威を記述する情報、当該脅威のソースを記述する情報、当該脅威のターゲットを記述する情報、またはそれらの組合せを含んでもよい。当該脅威情報を応答コントローラ140に提供してもよい。
応答コントローラ140を、検出分析システム130による分析結果に基づいて(例えば、脅威情報に基づいて)特定の脅威に対する応答動作を選択するように構成してもよい。応答コントローラ140がまた、検出された脅威を軽減または当該脅威に反撃するために、複数の応答動作の実行を調整してもよい。例えば、検出された脅威が公知の脅威タイプの新たなインスタンスであると判定されたとき、応答コントローラ140は、以下でさらに説明するように、当該公知の脅威タイプに対して適切な(例えば、当該公知の脅威タイプに効果的であると知られているかまたは期待される)応答動作を選択してもよい。
ネットワーク・セキュリティ・システム120を応答システム150に接続してもよく、または、ネットワーク・セキュリティ・システム120が応答システム150を含んでもよい。応答システム150を、アクティブな防御対抗手段、受動的な防御対抗手段、アクティブな攻撃対抗手段、または他の対抗手段のような特定の応答動作を実行するように構成してもよい。応答システム150により実行された1組の特定の応答動作を脅威応答データ160および当該脅威情報に基づいて応答コントローラ140により選択してもよい。脅威応答データ160が、第1の脅威軽減機構162および第2の脅威軽減機構164のような複数の脅威軽減機構を特定してもよい。各脅威軽減機構162、164を、当該脅威軽減機構が効果的であるかまたは効果的でありうる特定の種類の脅威を示す情報に関連付けてもよい。脅威軽減機構162、164の各々が1組の応答動作166乃至170を含むかまたは1組の応答動作166乃至170に対応してもよい。各応答動作166乃至170が、特定の種類の脅威(例えば、特定の脅威タイプ)に応答するために応答システム150により実施できる特定の動作に対応してもよい。応答動作の例には、特定のコンピューティング装置104乃至108のネットワーク・アクセスをブロックするようにルーティング装置110を再構成すること、(例えば、コンピューティング装置104乃至108で実行されている特定のプロセスまたはプログラムを停止するために)コンピューティング装置104乃至108を再構成すること、(例えば、ネットワーク102内の特定の位置へのアクセスをブロックするために)コンピューティング装置104乃至108またはルーティング装置110に関連付けられたセキュリティアクセスを再構成すること等が含まれる。
ネットワーク・セキュリティ・システム120を、検出された特定のアノーマリ、検出された特定の脅威、または取られた特定の応答動作に基づいて情報を生成するように構成してもよい。例えば、ネットワーク・セキュリティ・システム120が、検出/応答情報データベース126へのアクセスを含むかまたは有してもよい。検出/応答情報データベース126が、ネットワーク・セキュリティ・システム120によりまたは他のネットワーク・セキュリティ・システム(図示せず)により検出された特定のアノーマリに関する情報を含んでもよく、ネットワーク・セキュリティ・システム120によりネットワーク102上で検出されるかまたは他のネットワーク・セキュリティ・システム(図示せず)により他のネットワーク(図示せず)上で検出された特定の脅威(例えば、特定の脅威インスタンスまたは特定の脅威タイプ)を特定する情報を含んでもよく、またはそれらの組合せを含んでもよい。特定の実施形態では、検出/応答情報データベース126は、識別された脅威ごとに、識別された脅威と効果的な脅威軽減機構を示す脅威応答データ160を含む。検出/応答情報データベース126に格納するのに加えて、または、その代わりに、当該検出/応答情報を、メッセージを介して、他のネットワーク・セキュリティ・システム(図示せず)に、コンピューティング装置104乃至108に、またはネットワーク102に接続されるかまたは別のネットワーク(図示せず)に接続された他のシステムに、送信してもよい。
ネットワーク・セキュリティ・システム120が、ポリシ124または企業、機関、または別の実体のポリシを記述するポリシ・データを含むか、または、当該ポリシ・データに対するアクセスを有してもよい。当該ポリシ・データが、ポリシ124を記述するかまたはポリシ124に基づく、論理ステートメント(例えば、if/thenステートメント、Boolean論理ステートメント等のような条件付き論理ステートメント)を含んでもよい。例えば、当該論理ステートメントが、ポリシ124のもとで許可された応答動作(「許可された応答動作」)、ポリシ124のもとで許可されない応答動作(「拒否された応答動作」)、または許可された応答動作と拒否された応答動作の両方を示してもよい。ポリシ124が、特定の応答動作が許可または拒否されることを、特定のタイプの脅威に基づいて、いつまたはどのように当該脅威が検出されたかに基づいて、当該脅威のソースもしくは当該ソースの位置に基づいて、当該脅威のターゲットまたは当該脅威のターゲットの位置に基づいて、示してもよい。例えば、特定の応答動作を、当該脅威のソースがネットワーク102のファイアウォール内にあるとき許可し、当該脅威のソースが当該ファイアウォールの外部にあるとき拒否してもよい。ポリシ124が、企業の指示、法的な指示、政府指示、またはそれらの組合せに基づいてもよい。
当該ポリシ・データをネットワーク・セキュリティ・システム120により使用して、特定の脅威軽減機構の応答動作をフィルタし、応答システム150により実施される特定の応答動作を選択してもよい。例示すると、ネットワーク・セキュリティ・システム120が(例えば、脅威軽減機構を選択することによって)1組の応答動作を選択した後、ネットワーク・セキュリティ・システム120が、ポリシ124に基づいて当該1組の応答動作を(実行時に)フィルタして、1組の許可された応答動作を生成してもよい。当該1組の応答動作をポリシ124に基づいてフィルタするステップが、拒否された応答動作を当該1組の応答動作から削除するステップを含んでもよい。ポリシ124により示されるとき、ネットワーク・セキュリティ・システム120はまた、ポリシ124に基づいて、要求された応答動作を(例えば、実行時に)当該1組の応答動作に追加してもよい。
したがって、ポリシ124により、ネットワーク・セキュリティ・システム120は企業の、法的な、または政府の指示の変更に応答することができる。さらに、後述するように、脅威応答データ160の一部または全部を、ネットワーク・セキュリティ・システム120と独立して、または、ポリシ124へのアクセスなしに、生成してもよい。例えば、当該脅威軽減機構の1つまたは複数(例えば、第2の脅威軽減機構164)を、定期的なセキュリティ更新の一部として、セキュリティ・ベンダにより生成してもよい。本例では、第2の脅威軽減機構164が、ポリシ124により禁止された応答動作(例えば、第3の応答動作170)を特定してもよい。当該1組の応答動作を選択した後当該1組の応答動作をポリシ124に基づいてフィルタすることにより、ポリシ124の違反に関する懸念なしに、最新の応答動作をネットワーク・セキュリティ・システム120により使用することができる。
脅威応答データ160の一部または全部を、識別された脅威に対する特定の応答動作の結果に基づいて、ネットワーク・セキュリティ・システム120により生成してもよい。代替または追加として、脅威応答データ160の一部または全部を他のネットワーク・セキュリティ・システム(図示せず)、セキュリティ・ベンダ(例えば、ネットワーク・セキュリティ・システムベンダ)、セキュリティ研究者またはアドバイザ(例えば、大学のセキュリティ研究者)、ネットワーク102またはネットワーク・セキュリティ・システム120の運営者または管理者、他のパーティ、またはそれらの組合せにより生成してもよい。脅威応答データ160が、特定の種類の脅威を解決することを意図した、対象を絞った脅威軽減機構、ならびに、より一般的な汎用的なまたはベストプラクティスの脅威軽減機構を含んでもよい。脅威応答データ160を、特定の脅威に適切な応答動作に関する最良の利用可能情報に基づいて定期的または継続的に更新してもよい。脅威応答データ160を継続的または定期的に更新してよいが、ポリシ124を使用して、ネットワーク・セキュリティ・システム120が使用する応答動作をフィルタし、ポリシ124により禁止された応答動作の利用を回避し、ポリシ124が要求する応答動作を含めてもよい。
動作において、コンピューティング装置104乃至108が、ネットワーク102を介してデータ(例えば、データ112)を送信して、コンピューティング装置104乃至108に関連付けられた行動を実施してもよい。例えば、コンピューティング装置104乃至108が、会社の企業ネットワークを介して対話してもよく、(例えば、当該企業に関連付けられた様々な位置でまたは世界に分散した様々な位置で)互いから離れていてもよく、ネットワーク102が、インターネットのような企業ネットワーク(例えば、プライベート・ネットワーク)またはパブリック・ネットワークを含んでもよい。
ルーティング装置110が、コンピューティング装置104乃至108の間の通信を可能としてもよい。さらに、ルーティング装置110またはネットワーク102の他の装置がネットワーク・モニタ122を含んでもよい。ネットワーク・モニタ122が、ネットワーク102の行動を記述するかまたはネットワーク102に関連付けられた活動データ114を生成してもよい。例えば、ネットワーク・モニタ122が、コンピューティング装置104乃至108の間で送信された特定のデータ・パケットの内容を監視するためのDPIシステムを備えてもよい。別の例では、ネットワーク・モニタ122が、通信のタイミング、通信の内容、コンピューティング装置104乃至108の間の通信に関する通信または情報のタイプを監視する侵入検出システム(IDS)を備えてもよい。ネットワーク・モニタ122がまた、アクセス試行、ピング、ドメイン・ネーム・サーバ・ルックアップのような他のネットワーク活動、通信のソースおよび宛先等を監視してもよい。ネットワーク・モニタ122が活動データ114をネットワーク・セキュリティ・システム120へ継続的に、定期的にまたは時折(例えば、問合せに応答して、または、非定期的な間隔で)を提供してもよい。
検出分析システム130が、活動データ114を分析してアノーマリを検出するアノーマリ検出システム132を備えてもよい。例えば、アノーマリ検出システム132が、特定のコンピューティング装置104乃至108の間の通信の増加または減少を検出してもよく、コンピューティング装置104乃至108の間、または、当該ネットワーク外の(例えば、ネットワーク102に関連付けられたファイアウォールを越える)ソースを行き来する、異常なまたは予期しないタイプのデータ112の送信を検出してもよく、異常なまたは予期しない通信のタイミング等を検出してもよい。
アノーマリが検出されたとき、アノーマリ検出システム132が、当該アノーマリに関する情報をアノーマリ分析システム134に提供してもよい。アノーマリ分析システム134が当該特定のアノーマリを分析して、当該アノーマリが脅威を示すかどうかを判定してもよい。例えば、アノーマリ分析システム134が、当該アノーマリに関連するパターンまたは他の情報を、既知のタイプの脅威に関連付けられたパターンまたは他の情報と比較してもよい。別の例として、アノーマリ分析システム134が高価値の(または高度に安全な)システムが当該アノーマリの影響を受けているかどうかを判定してもよい。アノーマリ分析システム134が、アノーマリ検出システム132と独立に、または、アノーマリ検出システム132と関連して、動作してもよい。例えば、アノーマリ検出システム132がネットワーク・モニタ122から受信された活動データ114の全てを分析してもよく、アノーマリ分析システム134がネットワーク・モニタ122から受信された活動データ114のサブセットのみを分析してもよい。したがって、アノーマリ分析システム134が、アノーマリ検出システム132により示された検出されたアノーマリに基づいて、アノーマリ検出システム132と並列に動作してもよい。
特定の活動データが脅威を示すとアノーマリ分析システム134が判定したとき、アノーマリ分析システム134が情報を脅威分析システム136に提供してもよい。脅威分析システム136が当該検出された脅威を分析して、当該脅威のタイプを決定し、当該脅威が新たなタイプの脅威または既知のタイプの脅威の新たなインスタンスであるかどうかを判定し、当該脅威のソース等を決定してもよい。例えば、脅威分析システム136が、活動データ114(または、活動データ114に関連付けられたソースまたは宛先装置のような、当該脅威に関連付けられた他の情報)を公知の脅威タイプのデータ特性と比較してもよい。この状況で、「公知の脅威タイプ」とは、ネットワーク・セキュリティ・システム120が特定できる(例えば、単に検出することと異なり、分類または列挙できる)脅威のタイプを指す。例えば、脅威応答データ160が、公知の脅威タイプを記述するデータ(例えば、公知の脅威タイプに関連付けられた指紋)を含んでもよい。ネットワーク・セキュリティ・システム120は、公知の脅威でない、即ち、ネットワーク・セキュリティ・システム120が特定できない脅威を検出することが可能であってもよい。例えば、ネットワーク活動データ114を分析することにより、ネットワーク・セキュリティ・システム120が、第1のコンピューティング装置108のデータへの予期しないアクセスがアノーマリであり脅威であると判定してもよい。しかし、当該データへの予期しないアクセスが任意の公知の脅威タイプの指紋と対応するかまたは一致しなくともよい。したがって、ネットワーク・セキュリティ・システム120は新たなタイプの脅威を検出することができる。この状況で、「新たな種類の脅威」とは、ネットワーク・セキュリティ・システム120が検出できるが特定できない(例えば、公知の脅威タイプにマップできない)脅威を指す。
脅威分析システム136が、情報(例えば、脅威データ)を応答コントローラ140に提供してもよい。さらに、検出分析システム130の各コンポーネントが情報を検出/応答情報データベース126に提供してもよい。例えば、検出分析システム130が、ネットワーク・モニタ122から受信された活動データ114、活動データ114内で検出されたアノーマリ、活動データ114内で検出された脅威、当該脅威またはアノーマリの分析結果等を示すかまたは特定するログを検出/応答情報データベース126内に維持してもよい。
応答コントローラ140が、軽減機構セレクタ142、ポリシ・フィルタ144、およびコーディネータ/スケジューラ146を含んでもよい。脅威が検出されたとき、検出分析システム130が、当該脅威を記述する情報または当該脅威の指示を軽減機構セレクタ142に提供してもよい。軽減機構セレクタ142が、脅威応答データ160にアクセスして、検出分析システム130からの情報に基づいて、ネットワーク活動データ114に基づいて、他の情報に基づいて、またはそれらの組合せにより、使用される特定の脅威軽減機構を選択してもよい。脅威軽減機構162、164の各々を特定のタイプの脅威または特定の種類の脅威にマップしてもよい。例えば、第1の脅威軽減機構162を第1の種類の脅威に関連付けてもよく、第2の脅威軽減機構164を第2の種類の脅威に関連付けてもよい。他の脅威軽減機構(図示せず)を他の種類の脅威に関連付けてもよい。脅威軽減機構162、164の各々が1組の応答動作を含むかまたは1組の応答動作に対応してもよい。例えば、第1の脅威軽減機構162は、第1の応答動作166および第2の応答動作168を含めて、第1の組の応答動作を含むかまたは第1の組の応答動作に対応する。さらに、第2の脅威軽減機構164は、第2の応答動作168および第3の応答動作170を含めて、第2の組の応答動作を含むかまたは第2の組の応答動作に対応する。
3つの応答動作のみを図1に示したが、脅威軽減機構162、164が3つより多いかまたは少ない応答動作を含んでもよい。さらに、脅威応答データ160が2つより多いかまたは少ない脅威軽減機構を含んでもよい。脅威軽減機構162、164の各々が当該1組の応答動作の実行順序を示してもよい。例えば、第1の脅威軽減機構162が、第2の応答動作168の前に第1の応答動作166を開始する(かまたは完了まで実行する)ことを示してもよい。あるいは、特定の脅威軽減機構が、特定の応答動作を並列にまたは任意の順序で実行できることを示してもよい。例えば、第2の脅威軽減機構164が、第2の応答動作168および第3の応答動作170を任意の順序で、または互いに並列に実行してもよいことを示してもよい。
軽減機構セレクタ142が特定の脅威軽減機構(例えば、第1の脅威軽減機構162)を選択した後、ポリシ・フィルタ144が、当該特定の脅威軽減機構に関連付けられた1組の応答動作をポリシ124に基づいてフィルタしてもよい。例えば、ネットワーク・セキュリティ・システム120(例えば、ベンダ、研究者または他のネットワーク・セキュリティ・システム)に関連付けられないパーティにより脅威応答データ160を生成してもよいので、当該1組の応答動作がポリシ124により禁止された動作を含んでもよい。あるいは、当該1組の応答動作が、ポリシ124により要求される特定の動作を含まなくてもよい。ポリシ124により禁止できる応答動作の例が反撃動作を含んでもよい。当該反撃動作が、他のネットワーク・セキュリティ・システムに適しているがネットワーク・セキュリティ・システム120には適していなくともよい。ポリシ124により必要とされうるが当該1組の応答動作に含まれない可能性がある応答動作の例には、(ネットワーク管理者のような)特定のパーティに通知を提供することが含まれる。したがって、ポリシ124が要求された特定の応答動作を特定してもよく、特定の禁止された応答動作を特定してもよく、またはその両方であってもよい。ポリシ124および選択された脅威軽減機構に基づいて、ポリシ・フィルタ144が1組の許可された応答動作を生成してもよい。当該1組の許可された応答動作が、ポリシ124により禁止されていない脅威軽減機構に関連付けられた応答動作と、当該脅威軽減機構に関連付けられていないがポリシ124により要求される応答動作とを含んでもよい。したがって、当該1組の許可された応答動作は、脅威に応答するために(例えば、応答システム150により)実施される動作に対応する。
当該1組の許可された応答動作を特定した後、コーディネータ/スケジューラ146が、当該1組の許可された応答動作の応答動作の実行を調整しスケジュールしてもよい。例えば、コーディネータ/スケジューラ146が、動作依存性と以前の動作に基づいて当該応答動作を評価して、アクション・プランを決定してもよい。当該アクション・プランは、即時実行の準備ができている1組の応答動作(例えば、1組の次の応答動作)を特定する。応答動作を、当該応答動作の全ての必要動作が実施されている場合、当該応答動作を実行するためのリソース(例えば、特定の応答システム)が利用可能である場合、またはその両方の場合に、即時実行の準備ができていると考えてもよい。例えば、第2の応答動作168が、第3の応答動作170の必要動作であってもよい。本例では、第3の応答動作170は、第2の応答動作168を実施した後(または第2の応答動作168と第3の応答動作170の関係に応じて、第2の応答動作168が開始したとき)、即時実行の準備ができていると考えてもよい。別の例では、特定の応答動作が、並列に、または、任意の順序で実行可能であってもよい。本例では、これらの応答動作の各々が即時実行の準備ができていると考えてもよい。
コーディネータ/スケジューラ146がアクション・プランを決定した(例えば、即時実行の準備ができている1組の応答動作を特定した)後、コーディネータ/スケジューラ146が、応答システム150に当該アクション・プランの応答動作を実行させてもよい。例えば、コーディネータ/スケジューラ146が、データ、命令、またはその両方を応答システム150に送信して、応答システム150に当該アクション・プランの応答動作を実行させてもよい。応答システム150がアクティブ防御対抗手段システム152、受動的な防御対抗手段システム154、および他の対抗手段システム156を含んでもよい。したがって、コーディネータ/スケジューラ146が、データおよび/または命令をアクティブ防御対抗手段システム152に送信して、特定のアクティブ防御対抗手段の応答動作を実行してもよい。さらに、コーディネータ/スケジューラ146が、データおよび/または命令を受動的な防御対抗手段システム154に送信して、特定の受動的な防御的対抗手段の応答動作を実行してもよい。同様に、コーディネータ/スケジューラ146が、データおよび/または命令を他の対抗手段システム156に送信して、(反撃応答動作のような)別の対抗手段の応答動作を実行してもよい。
特定の応答動作の実行中またはその後に、ネットワーク・モニタ122と検出分析システム130が対話して、当該特定の応答動作の結果を決定してもよい。例えば、ネットワーク・モニタ122と検出分析システム130が、特定の応答動作の実行中またはその後に、新たな脅威が検出されたかどうか、新たなアノーマリが検出されたかどうか、または既存の脅威(例えば、以前に検出された脅威のインスタンス)が依然として存在するかどうかを判定してもよい。
以前に検出された脅威のインスタンスがアクション・プランの実行後に依然として存在すると検出分析システム130が判定したとき、検出分析システム130が情報を応答コントローラ140に提供してもよい。応答コントローラ140が、コーディネータ/スケジューラ146に新たなアクション・プランを生成させてもよい。当該新たなアクション・プランが、即時実行の準備ができている次の1組の応答動作を含んでもよい。例えば、上述のように、第2の応答動作168が第3の応答動作170の必要条件であってもよい。本例では、第2の応答動作168を第1のアクション・プランにおいて特定してもよい。実行されていない必要動作(例えば、第2の応答動作168)を第3の応答動作170が有するので、第3の応答動作170を当該第1のアクション・プランから除外してもよい。当該第1のアクション・プランの実行後、当該脅威が依然として存在する場合、コーディネータ/スケジューラ146が第2のアクション・プランを生成してもよい。第3の応答動作170の全ての必要動作(例えば、第2の応答動作168)が実行されているので、第3の応答動作170を当該第2のアクション・プランに含めてもよい。
当該第2のアクション・プランを決定した後に、コーディネータ/スケジューラ146は、データおよび/または命令を応答システム150に送信して、当該第2のアクション・プランの応答動作を実行させてもよい。したがって、識別された脅威が軽減されるまで、または、当該1組の許可された動作の最後の応答動作が実施されるまで、ネットワーク・セキュリティ・システム120が次の1組の利用可能な応答動作を繰返し実行してもよい。
脅威の新たなインスタンスがネットワーク・セキュリティ・システム120により検出されると、追加の脅威軽減機構を選択し、追加のアクション・プランを生成し、コーディネータ/スケジューラ146により調整してもよい。複数のアクション・プランを逐次的にまたは並列に実行して様々な脅威を解決してもよい。さらに、複数のアクション・プランを互いと独立に実行してもよく、または、当該アクション・プランの間に依存性を定義してもよい。例えば、第1のアクション・プランと第2のアクション・プランを並列に実行してもよい。さらに、本例では、当該第1のアクション・プランにおいて、第2の応答動作168が第3の応答動作170の必要条件であってもよく、当該第2のアクション・プランにおいて、第2の応答動作168が第1の応答動作166の必要条件であってもよい。本例では、第2の応答動作168が当該第1のアクション・プランに対して実行されている場合、第1の応答動作166を、当該第1のアクション・プランに対する第2の応答動作168の実行に起因して、当該第2のアクション・プランにおいて即時実行の準備ができていると考えてもよい。
したがって、ネットワーク・セキュリティ・システム120により、ネットワーク102における検出された脅威またはアノーマリに応答するための特定の企業または他の実体のポリシ(例えば、ポリシ124)に基づく応答動作の選択および実行が可能となる。最新の応答動作を、ネットワーク・セキュリティ・システム120により(例えば、脅威応答データ160を介して)利用可能としてもよいが、企業の、法的なまたは政府の指示に準拠するためのポリシ124に基づいてフィルタしてもよい。
図1では、ネットワーク・セキュリティ・システム120のコンポーネントまたはネットワーク・セキュリティ・システム120に関連付けられたコンポーネントが機能ブロックとして示されている。例えば、応答コントローラ140は、軽減機構セレクタ142、ポリシ・フィルタ、およびコーディネータ/スケジューラ146のような機能サブブロックを含む特定の機能ブロックとして示されている。ネットワーク・セキュリティ・システム120およびそのコンポーネントは、説明の便宜のために機能ブロックとして示したにすぎない。様々な実施形態では、ネットワーク・セキュリティ・システム120が、本明細書で説明した機能をネットワーク・セキュリティ・システム120およびそのコンポーネントに関連付けられたものとして実施するためのハードウェア、ソフトウェア、または両方を備えてもよい。例えば、ネットワーク・セキュリティ・システム120が、プロセッサと、当該プロセッサによりアクセスできるメモリとを備えてもよい。当該メモリが、本明細書で説明したように、ネットワーク・セキュリティ・システム120の動作または機能を実施するために当該プロセッサにより実行可能な命令を含んでもよい。さらに、特定の機能ブロックを参照して説明した機能を、代わりに、その他の機能ブロック、当該機能ブロックの組合せ、特定の機能ブロックの一部に関連付けられたソフトウェアまたはハードウェアにより実施してもよい。したがって、本発明は、特定のハードウェアまたはソフトウェアを伴う、図示した特定の機能ブロックまたは機能配置には限定されない。
さらに、システム100の特定の部分がネットワーク・セキュリティ・システム120の外部にあるとして図示しているが(例えば、応答システム150は、ネットワーク・セキュリティ・システム120の外部にあるとして示されている)、これは、システム100のこれらの部分がネットワーク・セキュリティ・システム120と独立であるかまたはネットワーク・セキュリティ・システム120と異なってもよいことを例示する便宜のためにすぎない。例えば、応答システム150が、ネットワーク・セキュリティ・システム120と独立して特定の動作を実施してもよい。別の例として、応答システム150を分散してもよく、ネットワーク・セキュリティ・システム120を集約してもよい。あるいは、ネットワーク・セキュリティ・システム120を離散(例えば、分散)させてもよく、応答システム150を集約または離散(例えば、分散)させてもよい。特定の実施形態では、ネットワーク・セキュリティ・システム120の外部として図示したシステム100の部分が全体的または部分的にネットワーク・セキュリティ・システム120の内部にあってもよい。したがって、例えば、応答システム150が、ネットワーク・セキュリティ・システム120の一部であってもよく、または、ネットワーク・セキュリティ・システム120と(通信するが)独立かつ異なっていてもよい。別の例として、ネットワーク・モニタ122が、ネットワーク・セキュリティ・システム120のコンポーネントであってもよく、または、ネットワーク・セキュリティ・システム120と独立に実行されているソフトウェア要素またはハードウェア要素であってもよい。
ネットワーク・セキュリティ・システム120、応答システム150、ネットワーク・モニタ122、脅威応答データ160等のようなシステム100のコンポーネントを、集約して(例えば、特定のコンピューティング装置に関連付けて)もよく、または、離散(例えば、複数のコンピューティング装置の間で分散)させてもよく、(協調的だが)独立にまたは互いに依存して機能してもよい。さらに、システム100の各コンポーネントが、プロセッサ、当該プロセッサがアクセス可能なメモリ、および本明細書で説明した動作を実施するために当該プロセッサにより実行可能な当該メモリに格納された命令を含んでもよいことは理解される。代替または追加として、システム100のコンポーネントの1つまたは複数が当該コンポーネントの機能の一部または全部を実行するように構成された(特定用途向け集積回路のような)ハードウェアを含んでもよい。
図2は、セキュリティをネットワークに提供する方法の特定の実施形態を示す流れ図である。方法200を図1の1つまたは複数のシステム100のコンポーネントにより実施してもよい。例えば、方法200を、ネットワーク・セキュリティ・システム120により実施してもよい。
方法200は、202で、脅威を示すネットワーク活動を検出したことに応答して、当該ネットワーク・セキュリティ・システムを介して1組の応答動作に対応する脅威軽減機構を選択するステップを含む。例えば、ネットワーク・モニタ122が、コンピューティング装置104乃至108の間のデータ112の通信のような、ネットワーク102上の行動を監視してもよい。当該ネットワーク活動を監視するステップが、ネットワーク102を介して通信されたデータ・パケットの内容を監視するステップ、ネットワーク102上の通信パターンを監視するステップ等を含んでもよい。ネットワーク・モニタ122により検出分析システム130に提供された特定の活動データ114に基づいて、脅威を特定してもよい。当該脅威が検出分析システム130により特定された後、応答コントローラ140は、特定の脅威軽減機構(例えば、第1の脅威軽減機構162)を選択して当該脅威に応答してもよい。当該脅威軽減機構が第1の応答動作166や第2の応答動作168のような1組の応答動作を含んでもよい。
方法200はまた、204で、1組の許可された応答動作を生成するポリシに基づいて1組の応答動作をフィルタするステップを含む。例えば、応答コントローラ140が特定の脅威軽減機構(例えば、第1の脅威軽減機構162)を選択した後、ポリシ・フィルタ144がポリシ124を適用して、当該特定の脅威軽減機構の1組の応答動作をフィルタしてもよい。ポリシ124が、特定の応答動作が拒否されること、特定の応答動作が必要であること、またはその両方を示してもよい。ポリシ・フィルタ144が当該1組の許可された応答動作を生成してもよい。当該1組の許可された応答動作が、各要求された応答動作を含み、各禁止された応答動作を排除してもよい。
1組の応答動作をフィルタして1組の許可された応答動作を生成した後、方法200が、206で、当該1組の許可された応答動作の1つまたは複数の応答動作を実行するステップを含んでもよい。例えば、当該1組の許可された応答動作が第1の応答動作166と第2の応答動作168を含むとき、応答動作166、168の一方または両方を応答システム150により実行してもよい。例示すると、コーディネータ/スケジューラ146が、当該1組の許可された応答動作に基づいてアクション・プランを決定してもよい。例えば、コーディネータ/スケジューラ146が、第1の応答動作166と第2の応答動作168の間に依存性があるかどうか(例えば、第1の応答動作166が第2の応答動作168の必要条件であるかどうか、またはその逆)を判定してもよい。第1の応答動作166が第2の応答動作168の必要動作であり、第1の応答動作166の全ての必要動作が実施されている(例えば、第1の応答動作166が即時に実行可能である)とき、第1の応答動作166を当該アクション・プランに含めてもよい。しかし、本例では、実施されていない少なくとも1つの必要動作(例えば、第1の応答動作166)を第2の応答動作168が有し、したがって第2の応答動作168が即時に実行可能ではないので、第2の応答動作168を当該アクション・プランから除外してもよい。
したがって、方法200では、(例えば、脅威軽減機構を1組の脅威軽減機構から選択することによって)1組の応答動作を選択し、ネットワーク・セキュリティ・システム120により実施される応答動作がポリシに準拠するのを保証するために、企業のポリシまたは別の実体のポリシに基づいて当該応答動作をフィルタすることができる。したがって、脅威応答データ160を、当該ポリシと独立に継続的または定期的に更新することができ、当該ポリシに違反する心配なしに最新の(例えば、最先端のまたは最良に利用可能な)応答動作を利用することができる。
図3は、アノーマリおよび脅威検出の方法300の特定の実施形態の流れ図である。方法300を、図1のネットワーク・セキュリティ・システム120により実施してもよい。例えば、方法300を、ネットワーク活動データ114の受信に応答してまたは当該受信の後に、検出分析システム130により実施してもよい。
方法300は、302で、活動データ114を分析して、ネットワーク活動データ114がネットワーク上のアノーマリを示すかどうかを判定するステップを含む。当該ネットワークが、単一のネットワーク(例えば、図1のネットワーク102)または1組の相互接続されたネットワーク(例えば、イントラネット)であってもよい。さらに、以下でさらに説明するように、320で、図4の方法400に関連付けられたプロセスに基づいて新たなアノーマリを特定してもよい。304で、各アノーマリを分析して、当該アノーマリが脅威(例えば、サイバー脅威)を表すかまたは示すかどうかを判定してもよい。
306で、脅威でないアノーマリに関連するデータを、以降の持続的標的型攻撃(APT)分析のために(例えば、検出/応答情報データベース126に)記憶する。308で、より広い状況認識を作り出すために、脅威として特定されたアノーマリごとに、当該脅威に関連する情報(例えば、脅威情報)が共有される。例えば、脅威として特定されたアノーマリに対応するネットワーク活動データ114を、脅威分析システム、他のネットワーク・セキュリティ・システム、検出/応答情報データベース126、または他のシステムもしくはパーティに提供してもよい。
310で、各脅威ソースのネットワーク位置を決定してもよい。例えば、アノーマリに関連付けられたデータのソースまたは宛先である特定のコンピューティング装置(例えば、図1のコンピューティング装置104乃至108の1つ)を決定してもよい。別の例として、当該脅威が、ネットワークのファイアウォールの内部にある装置または当該ネットワークのファイアウォールの外部にある装置に対応するかまたは関連付けられるかどうかを判定してもよい。312で、当該脅威に関連する情報を共有してもよい。例えば、308で、当該ネットワーク位置または当該脅威に関連付けられた位置を、共有される情報に追加してもよい。さらに、以下でさらに説明するように、図4の方法400に関連付けられたプロセスに基づいて、322で新たな脅威を特定してもよい。310で、当該新たな脅威ソースの各ソースのネットワーク位置を決定してもよい。
314で、脅威に関連付けられたソース装置コンポーネントを特定してもよい。当該ソース装置コンポーネントが、当該脅威のソースであるコンピューティング装置のハードウェアまたはソフトウェアを含んでもよい。例えば、第1のコンピューティング装置108が当該脅威のソース(例えば、マルウェア・プログラムが実行されている装置)であると判定されたとき、当該ソース装置コンポーネントが、第1のコンピューティング装置108のプロセッサ、第1のコンピューティング装置108の1つまたは複数のメモリ装置、第1のコンピューティング装置108に接続された周辺装置、第1のコンピューティング装置108に接続された取外し可能メモリ装置、第1のコンピューティング装置108で実行されている特定のソフトウェア・コンポーネント(例えば、アプリケーション)等を含んでもよい。316で、当該脅威に関連する情報を共有してもよい。例えば、308または312で、当該脅威に関連付けられたソース装置コンポーネントを、共有される情報に追加してもよい。318で、当該脅威情報を検出された脅威として図4の方法400に提供してもよい。
図4は、脅威に応答する方法400の特定の実施形態の流れ図である。方法400を、図1のネットワーク・セキュリティ・システム120により実施してもよい。例えば、方法400を、応答システム150と関連して応答コントローラ140により実施してもよい。
図4に示すように、方法400を(例えば、318で)脅威の検出によりトリガしてもよい。例えば、方法400を、脅威を記述する情報(例えば、方法300の脅威ソース位置および/またはソース装置コンポーネント)を応答コントローラ140で受信することで開始してもよい。特定の実施形態では、各検出された脅威は、応答コントローラ140による方法400の新たなインスタンスの実行をもたらす。
404で、各検出された脅威に応答して、1組の脅威ソース応答動作(例えば、1つまたは複数の応答動作166乃至170)を統合する。この状況で、統合は、さらに図5および7を参照して説明するように、(例えば、脅威軽減機構を選択することによって)1組の応答動作を選択し、ポリシに基づいて当該1組の応答動作をフィルタし、アクション・プランを生成するステップを含む。アクション・プランが生成された後、当該アクション・プランにより特定された1つまたは複数の応答動作を実施してもよい。例えば、当該応答動作が1つまたは複数のアクティブ防御対抗手段を含んでもよく、これらを406で実行してもよい。アクティブ防御対抗手段406の例が、当該ソース・システムをシャットダウンするかまたはソース装置コンポーネントを「既知の良好な」コンポーネントで置き換えるステップを含んでもよい。当該応答動作がまた、あるいは代替手段において、1つまたは複数の受動的な防御手段を含んでもよく、これを408で実行してもよい。受動的な防御手段408の例には、当該脅威をさらに分析する間に、ネットワーク・トラフィックを当該ソース・システムからリダイレクトするかまたは当該ソース・システムを隔離することが含まれる。当該応答動作がまた、あるいは代替手段において、他の対抗手段を含んでもよく、これを410で実行してもよい。他の対抗手段の例には、任意の動作を取ることも反撃動作を実施することなく、監視することが含まれる。
方法400はまた、412で、応答動作の実行と結果を監視するステップを含む。例えば、応答システム150が当該応答動作の実行の進捗を報告してもよい。別の例では、ネットワーク・モニタ122が、当該応答動作に関連付けられた活動データ114またはそれに続く当該応答動作の実行を報告してもよい。
418で、新たな脅威が検出された場合、応答動作および当該応答動作の結果を監視する間、322で当該新たな脅威に関連する情報が方法300に提供される。同様に、414で、新たなアノーマリが検出された場合、当該応答動作および当該応答動作の結果を監視する間、320で、当該新たなアノーマリに関連する情報が方法300に提供される。例えば、当該応答動作および当該応答動作の結果を監視する間、図1のネットワーク・モニタ122が新たなネットワーク活動データ114を生成してもよい。新たなネットワーク活動データ114をネットワーク・セキュリティ・システム120に提供してもよい。検出分析システム130が、新たなネットワーク活動データ114を分析して、新たなアノーマリまたは新たな脅威を検出し、方法300の新たなインスタンスを生成してもよい。さらに、当該応答動作および当該応答動作の結果を監視した後またはその間に、422で脅威情報を共有してもよい。例えば、脅威として特定されたアノーマリに対応する活動データ114を、脅威分析システム、他のネットワーク・セキュリティ・システム、検出/応答情報データベース126、または他のシステムもしくはパーティに提供してもよい。
424で、当該脅威が依然として検出されている(例えば、応答動作により完全に解決されていなかった)かどうかを判定してもよい。当該脅威が依然として検出されていない場合、426で脅威情報が共有される。例えば、脅威分析システム、他のネットワーク・セキュリティ・システム、検出/応答情報データベース126、または他のシステムもしくはパーティに、当該応答動作が当該脅威を解決したと思われる情報を提供してもよい。したがって、当該脅威に応答するために使用される脅威軽減機構を、当該脅威の特定の脅威タイプに対して効果的であると示してもよい。当該脅威が依然として検出されている場合、404で応答動作の新たな統合を実施してもよい。例えば、さらに図5を参照して説明するように、新たなアクション・プランを生成してもよい。
図5は、ポリシに基づいて応答動作を選択する方法404の特定の実施形態の流れ図である。方法404を、図1のネットワーク・セキュリティ・システム120により実施してもよい。例えば、方法400を、応答コントローラ140により、軽減機構セレクタ142により、ポリシ・フィルタ144により、またはそれらの組合せにより実施してもよい。
方法404は、502で、当該脅威が新たなタイプの脅威であるかどうかを判定するステップを含む。例えば、(例えば、当該脅威に関連付けられた活動データ114に基づいて)当該脅威の特性を公知の脅威タイプの特性(例えば、指紋)と比較してもよい。当該脅威の特性が公知の脅威タイプの特性にマッチする場合、当該脅威が当該公知の脅威タイプに対応すると判定してもよい。反対に、当該脅威の特性がどの公知の脅威タイプの特性ともマッチしない場合、当該脅威が新たなタイプの脅威に対応すると判定してもよい。
当該脅威が新たなタイプの脅威である場合、504で、当該脅威を軽減するために使用できる任意の既存の脅威軽減機構が知られているかどうかの判定が実施される。例えば、特定のケースでは、当該脅威の特性が、ネットワーク・セキュリティ・システム120が以前に経験したどの脅威の特性ともマッチしないかもしれない。本例では、ネットワーク・セキュリティ・システム120は、当該脅威への応答に関連する情報について他のソースを検索してもよい。当該他のソースが、他者(例えば、研究者またはセキュリティ・ベンダ)により特定された脅威の特性(例えば、指紋)を識別する脅威情報の他のネットワーク・セキュリティ・システムまたはデータベースを含んでもよい。当該他のソースはまた、脅威を解決するために使用できる脅威軽減機構に関連する情報を含んでもよい。当該脅威を解決するために使用できる(例えば、当該他のソースからの情報に基づいて決定できる)既存の脅威軽減機構が知られているとき、512で当該脅威軽減機構を選択してもよい。方法404はまた、508で、別の脅威が同一のソースからあるかどうかを判定するステップを含んでもよい。例えば、応答コントローラ140が、同一のソースに関連付けられた複数の脅威が特定されているかどうかを判定してもよい。そうである場合、当該脅威が関連してもよく、応答コントローラ140が、各脅威を軽減するために(例えば、当該脅威を、単一の脅威としてまたは相互に関連する脅威として効果的に扱うために)試行を結合してもよい。
504で既存の脅威軽減機構が知られていない場合、脅威を解決するために、方法404が、510で、当該脅威が別の公知の脅威と類似するかどうかを判定するステップを含んでもよい。例えば、特定のケースでは、当該脅威の特性を公知の脅威の特性と比較して、公知の脅威に対して効果的な脅威軽減機構が当該脅威に対して有効でありうると結論付ける(または推測する)のに十分なほど当該脅威が当該公知の脅威と類似するかどうかをみてもよい。当該脅威が別の公知の脅威と類似するとき、512で、当該他の公知の脅威に関連付けられた脅威軽減機構を選択してもよい。510で当該脅威が別の公知の脅威と類似しないとき、方法404が、514で当該脅威を手動で評価するようにユーザに促すステップを含んでもよい。516で、手動で生成された脅威軽減機構または1組の応答動作を、当該促しに応答して受信してもよい。
508で同一のソースからの他の脅威がないとき、512で脅威軽減機構を選択した後、または516で脅威軽減機構または1組の応答動作を手動で生成した後、方法404が、518で、当該脅威の位置(例えば、当該ソースがネットワークのファイアウォールの内部にあるか外部にあるか)を決定するステップを含んでもよい。方法404はまた、520でサイバー応答ポリシを適用するステップを含んでもよい。当該サイバー応答ポリシを適用するステップが当該選択された脅威軽減機構の特定の応答動作が禁止されているかどうかを当該ポリシに基づいて判定するステップ、当該選択された脅威軽減機構が当該ポリシにより要求される応答動作を含むかどうかを判定するステップ、またはその両方を含んでもよい。当該サイバー応答ポリシを適用するステップはまた、1組の許可された応答動作を生成するステップを含んでもよい。当該1組の許可された応答動作は、当該ポリシに基づいて禁止された当該選択された脅威軽減機構の各応答動作を排除し、当該ポリシにより要求される各応答動作(当該応答動作が当該選択された脅威軽減機構の一部であるか否かに関わらず)を含む。例えば、ポリシ・フィルタ144が、図1を参照して説明したように、当該選択された脅威軽減機構をフィルタしてもよい。
特定の実施形態では、方法404はまた、(サイバー応答ポリシの適用後)選択された脅威軽減機構の実装が承認されたかどうかを判定するステップを含んでもよい。例えば、ネットワーク・セキュリティ・システム120に関連付けられたユーザ(例えば、管理者)を、当該選択された脅威軽減機構の実装を承認するよう促してもよい。他の例では、当該実装の承認が(例えば、コンピュータにより実装された自動化プロセスに基づいて)自動的であってもよく、または、方法404から省略してもよい。522で当該脅威軽減機構が承認された場合、図7を参照してさらに説明するように、524で軽減統合が決定される。522で当該脅威軽減が承認されない場合、516で、脅威軽減機構または1組の応答動作を手動で生成してもよい。
502に戻ると、脅威が新たなタイプの脅威でない場合、方法404が526で当該脅威が既存の脅威インスタンスに対応するかどうかを判定するステップを含んでもよい。当該脅威は、当該脅威が既に脅威軽減機構によって解決されている場合に、既存の脅威インスタンスに対応する。例えば、第1の組の応答動作が当該脅威に対して実施されている場合、当該脅威は既存の脅威インスタンスである。例示すると、図4の424で、1つまたは複数の応答動作が実施され当該脅威が依然として検出されているとき、当該脅威が既存の脅威インスタンスであってもよい。当該脅威が既存の脅威インスタンスである場合、方法404は530で、当該脅威インスタンスに対する脅威軽減機構の各応答動作が適用されているかどうかを判定するステップを含む。当該脅威インスタンスに対する脅威軽減機構の1つまたは複数の応答動作が適用されていない場合、方法404は532で、既存の脅威軽減機構を選択するステップを含んでもよい。方法404が上述のように進んでもよい。
当該脅威が既存の脅威インスタンスでない場合、方法404は、528で、当該脅威に対する既存の脅威軽減機構が知られているかどうかを判定するステップを含む。例えば、(502で決定されるように)、当該脅威が新たなタイプの脅威でないので、図1の脅威応答データ160、検出/応答情報データベース126、または軽減機構セレクタ142が、当該脅威のタイプを特定の脅威軽減機構にマップする情報を含むかまたは当該情報へのアクセスを有してもよい。528で、当該脅威に対する既存の脅威軽減機構が知られていない場合、または530で脅威軽減機構の全ての応答動作が適用されており当該脅威が依然として検出されている場合、方法404は、新たな軽減機構506を決定し当該脅威を新たなタイプの脅威として扱うように進んでもよい。例えば、方法404が、510で当該脅威が他の公知の脅威と類似するかどうかを判定するステップを含んでもよい。
したがって、方法404では、特定の脅威に対する応答動作を選択することができる。方法404により、当該応答動作がポリシに従うことを保証するための、ポリシ124のようなポリシを当該選択された応答動作に適用することができる。
図6は、ポリシを更新する方法600の特定の実施形態の流れ図である。方法600を、図1のネットワーク・セキュリティ・システム120により、コンピューティング装置104乃至108の1つまたは複数により、または、別のコンピューティング装置により実施してもよい。
方法600は602で、(サイバー指令、セキュリティ指令、法的指令等のような指令)を受信するステップを含む。当該指令を、内部ソースから(例えば、サイバー・セキュリティ・チームから、または、企業または他の実体の法務部門から)、または、外部ソースから(例えば、保険会社または監督機関から)受信してもよい。当該指令が、特定の動作が禁止されるかまたは要求されていることを示す情報を含んでもよい。
方法600は、604で、企業または他の実体の既存のポリシ(例えば、図1のポリシ124)を検討して、606で、ポリシ変更が要求されるかどうかを当該指令に基づいて判定するステップを含む。当該検討を手動で行ってもよく、コンピューティング装置を用いて行ってもよく、またはそれらの組合せにより行ってもよい。例えば、コンピュータ実行型のプロセスが、当該ポリシの特定の態様を特定してもよく、ポリシ更新が要求されることを当該特定の態様が示すかどうかを判定するようユーザに促してもよい。
ポリシ変更が要求されていない場合、方法600は、608で、ポリシを変更しないのを承認するようにユーザ(例えば、ポリシ管理者)に促すステップを含む。608で当該ユーザがポリシを変更しないのを承認しない場合、または、606でポリシ変更が要求されるとの判定が実施された場合、方法600は、610で企業(または他の実体)のサイバー・ポリシ影響を評価するステップを含む。当該評価に基づいて、ポリシの変更を提案してもよい。例えば、ポリシが1組の論理ステートメントを含むか、または、当該ポリシを1組の論理ステートメントとして表してもよい。本例では、ポリシの変更を論理ステートメントとして提案してもよい。例示すると、ポリシの変更を、612でポリシ論理ステートメント項目追加として提案してもよく、614でポリシ論理ステートメント項目修正として提案してもよく、616でポリシ論理ステートメント項目削除として提案してもよく、またはそれらの組合せであってもよい。
方法600はまた、618でポリシ変更推奨を編集するステップを含んでもよい。当該変更推奨を編集するステップが、ポリシ変更推奨を集約するステップ、ポリシ変更推奨の冗長排除するステップ、矛盾する推奨を除去または修正するステップ、複数の代替的な推奨が提案されているときに好適なポリシ変更推奨を選択するステップ等を含んでもよい。方法600はまた、620でポリシごとの一貫性分析を実施するステップを含んでもよい。例えば、ポリシごとの一貫性分析が、編集されたポリシ変更推奨におけるポリシ変更が、変更されていないポリシの部分と矛盾するどうかを判定してもよい。
622でサイバー・ポリシが一貫していない場合、編集されたポリシ変更推奨に基づいて、方法600が610に戻って、企業ポリシの影響を評価し、新たな提案されたポリシ変更を生成してもよい。622で当該サイバー・ポリシが一貫している場合、方法600が624でサイバー・ポリシ変更が承認されたかどうかを判定するステップを含んでもよい。例えば、ユーザ(例えば、ポリシ管理者)または1組のユーザ(例えば、ポリシ総括委員会)に、サイバー・ポリシに対する変更を承認するよう促してもよい。当該変更が承認されていない場合、方法600が610に戻って、企業ポリシの影響を評価し、新たな提案されたポリシ変更を生成してもよい。当該変更が承認された場合、(例えば、変更前の)既存のポリシのコピーを626でアーカイブしてもよく、サイバー・ポリシ変更を628で実装してもよい。サイバー・ポリシ変更を実装するステップが、当該変更の前のポリシの利用を当該変更の後の更新ポリシで置き換えるステップを含んでもよい。例えば、ポリシ・フィルタ144により使用されるポリシ124のバージョンを当該更新ポリシで置き換えてもよい。
図7は、軽減統合を決定するステップ(例えば、アクション・プランを生成して応答動作の実行をスケジュールするステップ)の方法524の特定の実施形態の流れ図である。方法524を、図1のネットワーク・セキュリティ・システム120により実施してもよい。例えば、方法524を応答コントローラ140により、コーディネータ/スケジューラ146により、またはそれらの組合せにより実施してもよい。
方法524は、702で、選択された脅威軽減(例えば、図5の512で選択された脅威軽減機構、図5の532で選択された脅威軽減機構、または図5の516で手動で生成された脅威軽減機構)が複数の応答動作を含むかどうかを判定するステップを含む。当該選択された脅威軽減が複数の応答動作を含まないとき、方法524は終了する。
選択された脅威軽減が複数の応答動作を含むとき、方法524は、704で、当該選択された脅威軽減機構の応答動作(例えば、既存の応答動作)が実装されたかまたは実装されているかどうかを判定するステップを含む。既存の応答動作が実装されている場合(例えば、当該脅威軽減機構の1つまたは複数の応答動作が実装されたかまたは実装されている場合)、方法524は706で、どの当該脅威軽減機構の動作が完了したかを特定するステップを含む。方法524はまた、708で、当該脅威軽減機構の何れかの動作がまだ実行されていないかどうかを判定するステップを含む。まだ実行されていない動作がない場合、方法524は終了する。708で1つまたは複数の動作がまだ実行されていない場合、または既存の応答動作が実装されていない場合(例えば、脅威軽減機構の応答動作が実装されていない場合)、方法524は711で当該脅威軽減機構に関連付けられた応答動作(または当該脅威軽減機構に関連付けられた残りの応答動作)を依存性に基づいてソートするステップを含む。例えば、方法524が710で、先祖のない(または未実行の先祖のない)当該脅威軽減機構の全ての動作を識別するステップを含んでもよい。本例では、方法524はまた、712で、当該脅威軽減機構の何れかの応答動作が残っているかどうか(例えば、先祖がないとして特定されなかったかどうか)を判定するステップを含んでもよい。当該脅威軽減機構の1つまたは複数の応答動作が残っている場合、方法524は、714で、714で以前の動作に直接依存する全ての動作を識別するステップを含む。
当該脅威軽減機構の応答動作が依存性に基づいてソートされていないままであるとき、方法524は、716で、当該応答動作とその依存性を含むかまたはそれらを識別するアクション・プランを生成するステップを含む。方法524はまた、即時に開始できる全ての動作を決定するステップを含む。例えば、即時実行の準備ができている当該脅威軽減機構の各応答動作を特定してもよい。即時実行の準備ができている1組の応答動作を図4の方法400に提供して、404で当該脅威の応答動作を統合してもよい。
図8を参照すると、コンピューティング環境のブロック図が示されており、一般的に800と指定されている。コンピューティング環境800は、本開示に従うコンピュータ実行型の方法およびコンピュータ実行可能プログラム命令(またはコード)の諸実施形態をサポートするためのコンピューティング装置810を備える。例えば、コンピューティング装置810またはその一部が、セキュリティをネットワークに提供する命令を実行してもよい。特定の実施形態では、コンピューティング装置810が、図1のシステム100を含んでもよく、図1のシステム100に含まれてもよく、または図1のシステム100に対応してもよい。例えば、コンピューティング装置810が、ネットワーク・セキュリティ・システム120、ネットワーク・モニタ122、応答システム150、またはそれらの組合せの全部または一部を実行してもよい。あるいは、コンピューティング装置810が図1のコンピューティング装置104乃至108の1つもしくは図1のルーティング装置110の1つを含むかまたはそれらに対応してもよい。
コンピューティング装置810が図1のプロセッサ820を含んでもよい。プロセッサ820がメモリ830と通信してもよい。メモリ830が、揮発性メモリ装置(例えば、ランダム・アクセス・メモリ(RAM)装置)、不揮発性メモリ装置(例えば、読取専用メモリ(ROM)装置、プログラム可能読取専用メモリ、およびフラッシュ・メモリ)、または両方を含んでもよい。メモリ830がデータおよび/またはプロセッサ820により実行可能な命令836を格納してもよい。例えば、メモリ830がオペレーティング・システム832を格納してもよい。オペレーティング・システム832が、コンピューティング装置810を起動するための基本/入出力システム、ならびに、コンピューティング装置810がユーザ、他のプログラム、および他の装置と対話できるようにする完全なオペレーティング・システムを含んでもよい。メモリ830が1つまたは複数のアプリケーション・プログラム834を含んでもよい。例えば、アプリケーション・プログラム834が、図1のデータ112を送受信するように実行可能であってもよい。
プロセッサ820が1つまたは複数の記憶装置840と通信してもよい。例えば、1つまたは複数の記憶装置840が、磁気ディスク、光ディスク、またはフラッシュ・メモリ装置のような不揮発性記憶装置を含んでもよい。記憶装置840が取外し可能および取外し不能メモリ装置の両方を含んでもよい。記憶装置840を、オペレーティング・システム、オペレーティング・システムのイメージ、アプリケーション、およびプログラム・データを格納するように構成してもよい。特定の実施形態では、メモリ830、記憶装置840、またはその両方が、有形の非一時的コンピュータ可読媒体を含んでもよい。
プロセッサ820が、コンピューティング装置810が1つまたは複数の入出力装置870と通信してユーザ対話を促進できるようにする、1つまたは複数の入出力インタフェース850と通信してもよい。入出力インタフェース850がシリアル・インタフェース(例えば、ユニバーサル・シリアル・バス(USB)インタフェースまたは米国電気電子学会(IEEE)1394インタフェース)、並列インタフェース、ディスプレイ・アダプタ、オーディオ・アダプタ、および他のインタフェースを含んでもよい。入出力装置870がキーボード、ポインティング・デバイス、ディスプレイ、スピーカ、マイクロフォン、タッチ・スクリーン、および他の装置を含んでもよい。
プロセッサ820が、他のコンピュータ・システム880(例えば、図1のコンピューティング装置104乃至108またはルーティング装置110)と1つまたは複数の通信インタフェース860を介して通信してもよい。1つまたは複数の通信インタフェース860が、有線インタフェース(例えば、イーサネット(登録商標))、無線インタフェース(例えば、IEEE802標準ファミリの標準に従って動作するインタフェース)、他の無線通信インタフェース、または他のネットワーク・インタフェースを含んでもよい。他のコンピュータ・システム880がホスト・コンピュータ、サーバ、ワークステーション、および他のコンピューティング装置を含んでもよい。
1つのコンピューティング装置810のみを図8に示したが、特定の実施形態では、ネットワーク・セキュリティ・システム120、ネットワーク・モニタ122、応答システム150、またはその一部が、例えば、分散コンピューティング・システムのように、複数のコンピューティング装置の間で分散されていてもよい。
上述の例は本発明を例示するものであって限定するものではない。様々な修正および変形が本発明の原理に従って可能であることは理解される。したがって、本発明の範囲は添付の特許請求の範囲とその均等物によって定義される。
本明細書で説明した例の説明は、様々な実施形態の構造の一般的な理解を提供しようとするものである。当該説明は、本明細書で説明した方法の構造を利用する装置とシステムの要素と特徴の全ての完全な説明の役割を果たそうとするものではない。他の多数の実施形態は、本開示を検討すれば当業者には明らかであろう。構造的および論理的な置換えや変更を本発明の範囲から逸脱せずに行い得るように、他の実施形態を利用し本発明から導出することができる。例えば、方法ステップを、図面で示したのと異なる順序で実施してもよく、または1つまたは複数の方法ステップを省略してもよい。したがって、本発明および図面は限定的ではなく例示的とみなすべきである。
さらに、特定の例を本明細書で説明したが、図示した特定の実施形態を、同一のまたは同様な結果を実現するために設計された任意のその後の配置構成で置き換えてもよいことは理解される。本開示は、様々な実施形態の任意かつ全てのその後の適合化または変形を網羅しようとするものである。上述の実施形態の組合せ、および本明細書で特に説明していない他の実施形態は、以上の説明を検討すれば当業者には明らかであろう。本発明の要約は、それが諸請求項の範囲または意味を解釈または限定するためには使用されないとの理解とともに提出されたものである。さらに、以上の詳細な説明において、本発明を分かり易くするために、様々な特徴を纏め、または、単一の実施形態において説明した。添付の特許請求の範囲が示すように、特許請求の範囲に記載した発明の要旨は、開示した例の何れかの特徴の全てより少ないものに関しうる。
102 ネットワーク(複数可)
104 コンピューティング装置
106 コンピューティング装置
108 コンピューティング装置
110 ルーティング装置(複数可)
112 データ
114 ネットワーク活動データ
120 ネットワーク・セキュリティ・システム
122 ネットワーク・モニタ(例、IDS、DPI等)
124 ポリシ
126 検出/応答情報
130 検出および分析システム
132 アノーマリ検出
134 アノーマリ分析(脅威検出)
136 脅威分析
140 応答コントローラ
142 軽減機構セレクタ
144 ポリシ・フィルタ
146 コーディネータ/スケジューラ
150 応答システム
152 アクティブ防御対抗手段
154 受動的防御対抗手段
156 他の対抗手段
160 脅威応答データ
162 第1の脅威軽減機構
164 第2の脅威軽減機構
166 応答動作1
168 応答動作2
170 応答動作3

Claims (13)

  1. 脅威を示すネットワーク活動を検出したことに応答して、ネットワーク・セキュリティ・システムにより、1組の応答動作に対応する脅威軽減機構を選択するステップと、
    前記ネットワーク・セキュリティ・システムにより、ポリシに基づいて前記1組の応答動作をフィルタして、1組の許可された応答動作を生成するステップと、
    前記1組の許可された応答動作の1つまたは複数の応答動作を実行するステップと、
    含む方法であって、
    前記ネットワーク・セキュリティ・システムにより、前記1組の許可された応答動作を動作依存性と以前の動作に基づいて評価してアクション・プランを決定するステップをさらに含み、
    前記アクション・プランは1組の次の応答動作を特定し、前記1組の次の応答動作は、全ての関連する必要動作が実施されている前記1組の許可された応答動作の1つまたは複数の応答動作に対応し、前記1つまたは複数の実行される応答動作は前記1組の次の応答動作に対応する、方法。
  2. 前記ネットワークの活動を監視するステップは、
    前記ネットワーク・セキュリティ・システムにより、前記ネットワークの活動を示す活動データを分析するステップと、
    前記ネットワーク・セキュリティ・システムにより、前記ネットワークの活動におけるアノーマリを前記活動データに基づいて検出するステップと、
    前記ネットワーク・セキュリティ・システムにより、前記アノーマリを分析して、前記アノーマリが脅威を示すかどうかを判定するステップと、
    前記ネットワーク・セキュリティ・システムにより、前記アノーマリが前記脅威を示すとき前記脅威の検出を示す脅威情報を生成するステップであって、前記脅威軽減機構は前記脅威情報に基づいて選択される、ステップと、
    を含む、請求項1に記載の方法。
  3. 前記脅威軽減機構を選択する前に、前記脅威のソースを決定するステップをさらに含み、前記脅威軽減機構はさらに前記ソースに基づいて選択される、請求項2に記載の方法。
  4. 前記脅威情報は、前記アノーマリに対応する前記活動データの部分、前記アノーマリを記述する情報、前記脅威を記述する情報、前記脅威のソースを記述する情報、前記脅威のターゲットを記述する情報、またはそれらの組合せを含む、請求項2および3の何れかに記載の方法。
  5. 前記1組の応答動作は、少なくとも1つのアクティブな脅威応答動作または少なくとも1つの受動的な脅威応答動作を含む、請求項1乃至4の何れかに記載の方法。
  6. 前記1つまたは複数の応答動作の実行中または実行後に、
    前記脅威が依然として存在するかどうかを判定するステップと、
    前記脅威が依然として存在すると判定したことに応答して、
    前記ネットワーク・セキュリティ・システムにより、前記1組の許可された応答動作を動作依存性と以前の動作に基づいて評価して、1組の次の応答動作を特定するアクション・プランを決定し、
    前記1組の次の応答動作を実行する
    ステップと
    をさらに含み、
    前記1組の次の応答動作は、全ての必要動作が実施された前記1組の許可された応答動作の1つまたは複数の応答動作に対応する、
    請求項1乃至5の何れかに記載の方法。
  7. 前記脅威軽減機構を選択するステップは、
    識別された脅威を示す脅威応答データおよび識別された脅威ごとに使用するために特定された脅威軽減機構にアクセスするステップと、
    前記脅威が前記脅威応答データの識別された脅威と一致するかどうかを判定するステップであって、前記識別された脅威に使用するために特定された特定の脅威軽減機構は、前記脅威が前記識別された脅威と一致するときに前記脅威軽減機構として選択されるステップと、
    を含む、請求項1乃至6の何れかに記載の方法。
  8. 前記ポリシは、企業の指示、法的な指示、またはその両方に基づいて、許可された応答動作、拒否された応答動作、またはその両方を示す論理ステートメントを含む、請求項1乃至7の何れかに記載の方法。
  9. プロセッサと、
    前記プロセッサがアクセス可能なメモリと、
    を備え、
    前記メモリは、
    脅威を示すネットワーク活動を検出したことに応答して、1組の応答動作に対応する脅威軽減機構を選択するステップと、
    ポリシに基づいて前記1組の応答動作をフィルタして、1組の許可された応答動作を生成するステップと、
    前記1組の許可された応答動作の1つまたは複数の応答動作を実行するステップと、
    を含む動作を実施するための前記プロセッサにより実行可能な命令を格納し、
    前記動作はさらに、前記1組の許可された応答動作を動作依存性と以前の動作に基づいて評価してアクション・プランを決定するステップを含み、
    前記アクション・プランは1組の次の応答動作を特定し、前記1組の次の応答動作は、全ての関連する必要動作が実施されている前記1組の許可された応答動作の1つまたは複数の応答動作に対応し、前記1つまたは複数の実行される応答動作は前記1組の次の応答動作に対応する、コンピューティング・システム。
  10. 前記ネットワーク活動を監視して活動データを生成するステップと、
    前記活動データに基づいて前記ネットワーク活動におけるアノーマリを検出するステップと、
    前記アノーマリを分析して、前記アノーマリが脅威を示すかどうかを判定するステップと、
    前記アノーマリが前記脅威を示すとき前記脅威の検出を示す脅威情報を生成するステップであって、前記脅威軽減機構は前記脅威情報に基づいて選択されるステップと、
    をさらに含む、請求項9に記載のコンピューティング・システム。
  11. 前記動作はさらに前記脅威のソースを決定するステップを含み、前記脅威軽減機構はさらに前記ソースに基づいて選択される、請求項9乃至10の何れかに記載のコンピューティング・システム。
  12. 前記ポリシは、企業の指示、法的な指示、またはその両方に基づいて、許可された応答動作、拒否された応答動作、またはその両方を示す論理ステートメントを含む、請求項9乃至11の何れかに記載のコンピューティング・システム。
  13. 請求項1乃至8の何れかに記載の方法を含む動作をプロセッサに実施させる、前記プロセッサにより実行可能な命令を格納したコンピュータ可読記憶装置。
JP2015202758A 2014-12-19 2015-10-14 ポリシベースのネットワーク・セキュリティ Active JP6693721B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/577,936 US10805337B2 (en) 2014-12-19 2014-12-19 Policy-based network security
US14/577,936 2014-12-19

Publications (2)

Publication Number Publication Date
JP2016119061A JP2016119061A (ja) 2016-06-30
JP6693721B2 true JP6693721B2 (ja) 2020-05-13

Family

ID=55068783

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015202758A Active JP6693721B2 (ja) 2014-12-19 2015-10-14 ポリシベースのネットワーク・セキュリティ

Country Status (4)

Country Link
US (1) US10805337B2 (ja)
EP (1) EP3035637B1 (ja)
JP (1) JP6693721B2 (ja)
CN (1) CN105721424B (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805337B2 (en) * 2014-12-19 2020-10-13 The Boeing Company Policy-based network security
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10003598B2 (en) 2016-04-15 2018-06-19 Bank Of America Corporation Model framework and system for cyber security services
US10417441B2 (en) * 2016-04-29 2019-09-17 International Business Machines Corporation Effectively validating dynamic database queries through database activity monitoring
US9948652B2 (en) * 2016-05-16 2018-04-17 Bank Of America Corporation System for resource-centric threat modeling and identifying controls for securing technology resources
US9832201B1 (en) * 2016-05-16 2017-11-28 Bank Of America Corporation System for generation and reuse of resource-centric threat modeling templates and identifying controls for securing technology resources
US10389725B2 (en) * 2016-06-29 2019-08-20 International Business Machines Corporation Enhance computer security by utilizing an authorized user set
US10673880B1 (en) 2016-09-26 2020-06-02 Splunk Inc. Anomaly detection to identify security threats
US10469509B2 (en) * 2016-12-29 2019-11-05 Chronicle Llc Gathering indicators of compromise for security threat detection
US10339309B1 (en) 2017-06-09 2019-07-02 Bank Of America Corporation System for identifying anomalies in an information system
JP6915457B2 (ja) 2017-08-28 2021-08-04 富士通株式会社 サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
US11271960B2 (en) 2017-12-06 2022-03-08 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of anomalies
US10931696B2 (en) * 2018-07-13 2021-02-23 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies
JP7102780B2 (ja) * 2018-02-28 2022-07-20 沖電気工業株式会社 不正通信対処システム及び方法
US10445738B1 (en) * 2018-11-13 2019-10-15 Capital One Services, Llc Detecting a transaction volume anomaly
US11363063B2 (en) * 2018-12-28 2022-06-14 Charter Communications Operating, Llc Botnet detection and mitigation
US11106861B2 (en) 2019-02-01 2021-08-31 Sap Se Logical, recursive definition of data transformations
US11487721B2 (en) 2019-04-30 2022-11-01 Sap Se Matching metastructure for data modeling
US20210012219A1 (en) * 2019-07-10 2021-01-14 Sap Se Dynamic generation of rule and logic statements
US11206284B2 (en) * 2019-08-02 2021-12-21 EMC IP Holding Company LLC Automated threat analysis of a system design
US11627152B2 (en) 2020-01-08 2023-04-11 Bank Of America Corporation Real-time classification of content in a data transmission
US11184381B2 (en) * 2020-01-08 2021-11-23 Bank Of America Corporation Real-time validation of application data
US11297085B2 (en) 2020-01-08 2022-04-05 Bank Of America Corporation Real-time validation of data transmissions based on security profiles
US11442701B2 (en) 2020-02-25 2022-09-13 EMC IP Holding Company LLC Filtering security controls
GB202015370D0 (en) * 2020-09-29 2020-11-11 British Telecomm Internet of things security
US20220417257A1 (en) * 2021-06-24 2022-12-29 International Business Machines Corporation Protecting accelerators from malicious network functions
US20230019817A1 (en) * 2021-07-15 2023-01-19 Waymo Llc Autonomous vehicle security measures in response to an attack on an in-vehicle communication network

Family Cites Families (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7821926B2 (en) * 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US6408391B1 (en) 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US20050025302A1 (en) * 2002-07-23 2005-02-03 Greg Schmid Virtual private switched telecommunications network
US6473851B1 (en) * 1999-03-11 2002-10-29 Mark E Plutowski System for combining plurality of input control policies to provide a compositional output control policy
US7328349B2 (en) 2001-12-14 2008-02-05 Bbn Technologies Corp. Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
US8380630B2 (en) * 2000-07-06 2013-02-19 David Paul Felsher Information record infrastructure, system and method
US7307999B1 (en) * 2001-02-16 2007-12-11 Bbn Technologies Corp. Systems and methods that identify normal traffic during network attacks
US20030018774A1 (en) * 2001-06-13 2003-01-23 Nokia Corporation System and method for load balancing in ad hoc networks
US20030009585A1 (en) * 2001-07-06 2003-01-09 Brian Antoine Dynamic policy based routing
US20030154271A1 (en) * 2001-10-05 2003-08-14 Baldwin Duane Mark Storage area network methods and apparatus with centralized management
US7493659B1 (en) 2002-03-05 2009-02-17 Mcafee, Inc. Network intrusion detection and analysis system and method
WO2005032042A1 (en) * 2003-09-24 2005-04-07 Infoexpress, Inc. Systems and methods of controlling network access
US8539552B1 (en) * 2003-09-25 2013-09-17 Hewlett-Packard Development Company, L.P. System and method for network based policy enforcement of intelligent-client features
US7673147B2 (en) * 2003-09-26 2010-03-02 Tizor Systems, Inc. Real-time mitigation of data access insider intrusions
US7992199B1 (en) * 2003-12-31 2011-08-02 Honeywell International Inc. Method for permitting two parties to establish connectivity with both parties behind firewalls
US7660798B1 (en) * 2004-10-04 2010-02-09 Adobe Systems Incorporated System and method for providing document security, access control and automatic identification of recipients
US20060101516A1 (en) 2004-10-12 2006-05-11 Sushanthan Sudaharan Honeynet farms as an early warning system for production networks
US9160755B2 (en) * 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US20060143709A1 (en) 2004-12-27 2006-06-29 Raytheon Company Network intrusion prevention
FI20041702A0 (fi) * 2004-12-31 2004-12-31 Nokia Corp Toimipuskurointi menettelyn valvontaan
WO2007022454A2 (en) 2005-08-18 2007-02-22 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US8862551B2 (en) * 2005-12-29 2014-10-14 Nextlabs, Inc. Detecting behavioral patterns and anomalies using activity data
US8621549B2 (en) * 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system
US8670333B2 (en) * 2006-01-20 2014-03-11 Telefonaktiebolaget L M Ericsson (Publ) Policy enforcement within an IP network
US20070255769A1 (en) * 2006-04-14 2007-11-01 International Business Machines Corporation System of hierarchical policy definition, dissemination, and evaluation
JP5304243B2 (ja) 2006-07-06 2013-10-02 日本電気株式会社 セキュリティリスク管理システム、装置、方法、およびプログラム
US8543810B1 (en) * 2006-08-07 2013-09-24 Oracle America, Inc. Deployment tool and method for managing security lifecycle of a federated web service
US20080115202A1 (en) * 2006-11-09 2008-05-15 Mckay Michael S Method for bidirectional communication in a firewalled environment
JP5406195B2 (ja) * 2007-10-10 2014-02-05 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュリティ解析に基づいて技術システムの再構成を行なうための装置、並びに対応する技術的意思決定支援システム及びコンピュータプログラム製品
US20100071054A1 (en) 2008-04-30 2010-03-18 Viasat, Inc. Network security appliance
US9185122B2 (en) * 2008-05-31 2015-11-10 Hewlett-Packard Development Company, L.P. Methods and systems for managing security in a network
US8775333B1 (en) * 2008-08-20 2014-07-08 Symantec Corporation Systems and methods for generating a threat classifier to determine a malicious process
US20100107240A1 (en) * 2008-10-24 2010-04-29 Microsoft Corporation Network location determination for direct access networks
US8931033B2 (en) * 2008-12-12 2015-01-06 Microsoft Corporation Integrating policies from a plurality of disparate management agents
US9621516B2 (en) * 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
CN101582883B (zh) 2009-06-26 2012-05-09 西安电子科技大学 通用网络安全管理系统及其管理方法
US20110083081A1 (en) * 2009-10-07 2011-04-07 Joe Jaudon Systems and methods for allowing a user to control their computing environment within a virtual computing environment
US20110153944A1 (en) * 2009-12-22 2011-06-23 Klaus Kursawe Secure Cache Memory Architecture
US20110296430A1 (en) * 2010-05-27 2011-12-01 International Business Machines Corporation Context aware data protection
US20120054163A1 (en) * 2010-08-27 2012-03-01 Motorola, Inc. Policy conflict classifier
US8676583B2 (en) * 2010-08-30 2014-03-18 Honda Motor Co., Ltd. Belief tracking and action selection in spoken dialog systems
WO2012054055A1 (en) * 2010-10-22 2012-04-26 Hewlett-Packard Development Company, L.P. Distributed network instrumentation system
US9215244B2 (en) * 2010-11-18 2015-12-15 The Boeing Company Context aware network security monitoring for threat detection
US20120159624A1 (en) 2010-12-21 2012-06-21 Fujitsu Technology Solutions Intellectual Property Gmbh Computer security method, system and model
US9130937B1 (en) * 2011-03-07 2015-09-08 Raytheon Company Validating network communications
US8326862B2 (en) * 2011-05-01 2012-12-04 Alan Mark Reznik Systems and methods for facilitating enhancements to search engine results
US20120284331A1 (en) * 2011-05-03 2012-11-08 Karthik Shashank Kambatla Processing Notifications
US8516241B2 (en) * 2011-07-12 2013-08-20 Cisco Technology, Inc. Zone-based firewall policy model for a virtualized data center
US9451451B2 (en) * 2011-09-30 2016-09-20 Tutela Technologies Ltd. System for regulating wireless device operations in wireless networks
US9215225B2 (en) * 2013-03-29 2015-12-15 Citrix Systems, Inc. Mobile device locking with context
US20140032733A1 (en) * 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US8839349B2 (en) * 2011-10-18 2014-09-16 Mcafee, Inc. Integrating security policy and event management
US8813210B2 (en) * 2011-11-29 2014-08-19 Samsung Electronics Co., Ltd. Enhancing network controls in mandatory access control computing environments
US8832715B2 (en) * 2012-03-29 2014-09-09 Unisys Corporation Limiting execution of event-responses with use of policies
US9319286B2 (en) * 2012-03-30 2016-04-19 Cognizant Business Services Limited Apparatus and methods for managing applications in multi-cloud environments
US8826429B2 (en) 2012-04-02 2014-09-02 The Boeing Company Information security management
US9003023B2 (en) * 2012-06-13 2015-04-07 Zscaler, Inc. Systems and methods for interactive analytics of internet traffic
US9075953B2 (en) * 2012-07-31 2015-07-07 At&T Intellectual Property I, L.P. Method and apparatus for providing notification of detected error conditions in a network
US9639760B2 (en) * 2012-09-07 2017-05-02 Siemens Schweiz Ag Methods and apparatus for establishing exit/entry criteria for a secure location
JP5868514B2 (ja) 2012-09-19 2016-02-24 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
US9071637B2 (en) * 2012-11-14 2015-06-30 Click Security, Inc. Automated security analytics platform
US8973140B2 (en) * 2013-03-14 2015-03-03 Bank Of America Corporation Handling information security incidents
CN104283756B (zh) * 2013-07-02 2017-12-15 新华三技术有限公司 一种实现分布式多租户虚拟网络的方法和装置
GB2518880A (en) * 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
EP3062563A4 (en) * 2013-11-21 2016-12-14 Huawei Tech Co Ltd TERMINAL AND METHOD FOR SELECTING ACCESS TO A NETWORK
US9210090B1 (en) * 2014-01-22 2015-12-08 Narus, Inc. Efficient storage and flexible retrieval of full packets captured from network traffic
US9563771B2 (en) * 2014-01-22 2017-02-07 Object Security LTD Automated and adaptive model-driven security system and method for operating the same
US9195669B2 (en) * 2014-02-26 2015-11-24 Iboss, Inc. Detecting and managing abnormal data behavior
US9838454B2 (en) * 2014-04-23 2017-12-05 Cisco Technology, Inc. Policy-based payload delivery for transport protocols
US9652211B2 (en) * 2014-06-26 2017-05-16 Vmware, Inc. Policy management of deployment plans
US9386041B2 (en) * 2014-06-11 2016-07-05 Accenture Global Services Limited Method and system for automated incident response
US20150381641A1 (en) * 2014-06-30 2015-12-31 Intuit Inc. Method and system for efficient management of security threats in a distributed computing environment
US9003511B1 (en) * 2014-07-22 2015-04-07 Shape Security, Inc. Polymorphic security policy action
US9560053B2 (en) * 2014-09-12 2017-01-31 Verizon Patent And Licensing Inc. Parental control management and enforcement based on hardware identifiers
US9635518B2 (en) * 2014-09-29 2017-04-25 Avis Budget Car Rental, LLC Telematics system, methods and apparatus for two-way data communication between vehicles in a fleet and a fleet management system
US20160127417A1 (en) * 2014-10-29 2016-05-05 SECaaS Inc. Systems, methods, and devices for improved cybersecurity
US10223363B2 (en) * 2014-10-30 2019-03-05 Microsoft Technology Licensing, Llc Access control based on operation expiry data
US10805337B2 (en) * 2014-12-19 2020-10-13 The Boeing Company Policy-based network security
US9923924B2 (en) * 2015-02-04 2018-03-20 Hewlett Packard Enterprise Development Lp Endpoint policy change
JP6438850B2 (ja) * 2015-06-10 2018-12-19 株式会社日立製作所 評価システム

Also Published As

Publication number Publication date
EP3035637A1 (en) 2016-06-22
US20160182559A1 (en) 2016-06-23
EP3035637B1 (en) 2020-04-22
CN105721424A (zh) 2016-06-29
CN105721424B (zh) 2020-10-02
JP2016119061A (ja) 2016-06-30
US10805337B2 (en) 2020-10-13

Similar Documents

Publication Publication Date Title
JP6693721B2 (ja) ポリシベースのネットワーク・セキュリティ
AU2021254601B2 (en) Method and device for managing security in a computer network
US9471469B2 (en) Software automation and regression management systems and methods
US20180359272A1 (en) Next-generation enhanced comprehensive cybersecurity platform with endpoint protection and centralized management
Yuan et al. A systematic survey of self-protecting software systems
US10154066B1 (en) Context-aware compromise assessment
US20220342846A1 (en) Efficient configuration compliance verification of resources in a target environment of a computing system
US10911479B2 (en) Real-time mitigations for unfamiliar threat scenarios
US20190042737A1 (en) Intrusion detection system enrichment based on system lifecycle
US20180248889A1 (en) Systems and methods for role-based computer security configurations
US20190042736A1 (en) Iintrusion detection system enrichment based on system lifecycle
US11503066B2 (en) Holistic computer system cybersecurity evaluation and scoring
US20230171292A1 (en) Holistic external network cybersecurity evaluation and scoring
US10019587B2 (en) System and method for generating application control rules
CN116680699A (zh) 一种漏洞优先级排序系统、方法、计算机设备及存储介质
US10033764B1 (en) Systems and methods for providing supply-chain trust networks
JP2022537124A (ja) サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション
Dogbe et al. A combined approach to prevent SQL Injection Attacks
US11895121B1 (en) Efficient identification and remediation of excessive privileges of identity and access management roles and policies
US20240111513A1 (en) Pausing automatic software updates of virtual machines
Dermann et al. Best practices: use of web application firewalls
Udayakumar Design and Deploy an Identify Solution
Chauhan QUANTIFYING SECURITY IN PLATFORM AS A SERVICE USING MEAN FAILURE COST: A STAKEHOLDER’S PERSPECTIVE
Buecker et al. Endpoint Security and Compliance Management Design Guide Using IBM Tivoli Endpoint Manager
BR122023023454A2 (pt) Método para crescimento iterativo da inteligência

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181002

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190722

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191002

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200323

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200416

R150 Certificate of patent or registration of utility model

Ref document number: 6693721

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250