JP7175427B2 - 攻撃手段評価装置、攻撃手段評価方法、および、攻撃手段評価プログラム - Google Patents
攻撃手段評価装置、攻撃手段評価方法、および、攻撃手段評価プログラム Download PDFInfo
- Publication number
- JP7175427B2 JP7175427B2 JP2022543008A JP2022543008A JP7175427B2 JP 7175427 B2 JP7175427 B2 JP 7175427B2 JP 2022543008 A JP2022543008 A JP 2022543008A JP 2022543008 A JP2022543008 A JP 2022543008A JP 7175427 B2 JP7175427 B2 JP 7175427B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- score value
- target system
- unit
- evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Description
本開示は、攻撃手段評価装置、攻撃手段評価方法、および、攻撃手段評価プログラムに関する。
セキュリティの弱点である脆弱性は、社会的に問題となっている。近年では、システムのリリース前あるいは製品出荷前に脆弱性検査を実施することが求められている。脆弱性検査の一手法にペネトレーションテストがある。ペネトレーションテストは、テスト対象システムに対して疑似的にサイバー攻撃を行うことで、脆弱性の有無、脆弱性を悪用された時の影響、およびサイバー攻撃が正しく検知できるか、を確かめることができる。ペネトレーションテストは、セキュリティ技術に精通した、ペネトレーションテスターと呼ばれる専門の技術者によって実施される。ペネトレーションテストは、一般にブラックボックステストである。ペネトレーションテスターは、脆弱性を引き起こすような入力を与えたときのシステムの応答および挙動をもとに、内部構造を推定し、次に実施すべき疑似攻撃手段を選択する。
非特許文献1では、作成された攻撃シナリオのうち、不足する攻撃手段を、設定された攻撃手段の依存関係から補完するツールであるCALDERAが示されている。CALDERAでは、ATT&CK(登録商標)と呼ばれるサイバー攻撃者の取る戦術を体系的に整理したナレッジを利用している。また、非特許文献1では、過去の攻撃事例から、ある攻撃手段の次に使用されている攻撃手段を、分析し、共起の関係にある攻撃手段を選択する技術も示されている。
特許文献1では、セキュリティホールを診断するために疑似的な攻撃を行う手段が示されている。特許文献1では、攻撃実行に必要な依存関係を満足するための手段を依存関係から推論し、サイバー攻撃を自動的に行う。例えば、特許文献1では、あらかじめ攻撃手段をデータベースに蓄積しておき、攻撃シナリオに従って、ある攻撃手段を実行するための条件がある場合に、その必要な条件を満足するために別の攻撃手段を実行する。
Andy Applebaum, Finding Dependencies Between Adversary Techniques, FIRST Annual Conference 2019, 2019-06-19, https://www.first.org/resources/papers/conf2019/1100-Applebaum.pdf
従来技術で紹介した技術には、熟練したペネトレーションテスターが行うようなサイバー攻撃を実行することが出来ない。例えば、非特許文献1の技術では、既に報告されているサイバー攻撃事例に基づいた攻撃手段の列、つまりサイバー攻撃シナリオを生成するに過ぎない。実際に攻撃を実行するには、攻撃ツールのパラメータあるいはオプションをユーザによって設定する必要がある。特許文献1では、攻撃手段を実行するのに必要な依存関係を満たすために、必要な別の攻撃手段を推論して実行する。このため、攻撃手段の見つかりにくさあるいは攻撃ツールのパラメータはユーザによって定義する必要がある。プロのペネトレーションテスターによる攻撃手段の選択のように、サイバー攻撃検知システムをかいくぐるような攻撃手段が選択される保証はない。
本開示では、実行すべき攻撃手段をスコア化することで、熟練したペネトレーションテスターを必要とせずに巧妙なサイバー攻撃を再現することを目的とする。
本開示に係る攻撃手段評価装置は、サイバー攻撃に用いられる攻撃手段を評価する攻撃手段評価装置において、
複数の攻撃手段を取得し、前記複数の攻撃手段の各攻撃手段について、攻撃の対象である攻撃対象システムに対する攻撃の有効性を表すスコア値を算出するスコア値算出部と、
前記スコア値に基づいて、前記複数の攻撃手段から前記攻撃対象システムに対する攻撃を実行する攻撃手段を選択する手段選択部と、
選択された攻撃手段を前記攻撃対象システムに対して実行し、前記選択された攻撃手段の実行結果に基づいて、前記サイバー攻撃の最終目的の達成のための攻撃の可否を判定する手段実行部と
を備える。
複数の攻撃手段を取得し、前記複数の攻撃手段の各攻撃手段について、攻撃の対象である攻撃対象システムに対する攻撃の有効性を表すスコア値を算出するスコア値算出部と、
前記スコア値に基づいて、前記複数の攻撃手段から前記攻撃対象システムに対する攻撃を実行する攻撃手段を選択する手段選択部と、
選択された攻撃手段を前記攻撃対象システムに対して実行し、前記選択された攻撃手段の実行結果に基づいて、前記サイバー攻撃の最終目的の達成のための攻撃の可否を判定する手段実行部と
を備える。
本開示に係る攻撃手段評価装置によれば、攻撃手段をスコア化し、スコア値により攻撃手段を選択し、選択された攻撃手段についてサイバー攻撃の最終目的の達成の可否を判定することで、巧妙なサイバー攻撃の再現を自動化することができる。
以下、本実施の形態について、図を用いて説明する。各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。
実施の形態1.
***構成の説明***
図1を用いて、本実施の形態に係る攻撃手段評価装置100の構成例について説明する。
攻撃手段評価装置100は、コンピュータである。攻撃手段評価装置100は、プロセッサ910を備えるとともに、メモリ921、補助記憶装置922、入力インタフェース930、出力インタフェース940、および通信装置950といった他のハードウェアを備える。プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
***構成の説明***
図1を用いて、本実施の形態に係る攻撃手段評価装置100の構成例について説明する。
攻撃手段評価装置100は、コンピュータである。攻撃手段評価装置100は、プロセッサ910を備えるとともに、メモリ921、補助記憶装置922、入力インタフェース930、出力インタフェース940、および通信装置950といった他のハードウェアを備える。プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
本実施の形態に係る攻撃手段評価装置100は、攻撃対象システムに対するサイバー攻撃を構成する攻撃手段を評価する。サイバー攻撃を構成する攻撃手段は、1つでもよいし、複数でもよい。具体的には、攻撃手段評価装置100は、ある状況下における攻撃手段の良さをスコア値として評価する。攻撃手段の良さとは、攻撃の有効性ともいう。例えば、攻撃手段の良さとは、攻撃手段の見つかりにくさ、あるいは、攻撃の確実性といった指標であり、評価軸は問わない。
本実施の形態において、攻撃手段は、サイバー攻撃を構成する。サイバー攻撃を構成する少なくとも1つの攻撃手段の列を攻撃シナリオともいう。また、攻撃手段は、攻撃手法、攻撃ツール、攻撃コード、あるいは、攻撃コマンドともいう。
本実施の形態において、攻撃手段は、サイバー攻撃を構成する。サイバー攻撃を構成する少なくとも1つの攻撃手段の列を攻撃シナリオともいう。また、攻撃手段は、攻撃手法、攻撃ツール、攻撃コード、あるいは、攻撃コマンドともいう。
攻撃手段評価装置100では、攻撃対象である攻撃対象システムのシステム構成に関する情報が判明するにつれて、攻撃手段のスコア値が精緻化される。そして、攻撃手段評価装置100は、スコア値が精緻化されることにより、実際の攻撃者に近い攻撃手段を選択することが可能になる。
攻撃手段評価装置100は、機能要素として、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160と記憶部170とを備える。記憶部170には、スコア値データベース107とシステム構成データベース108と閾値173が記憶される。
スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能は、ソフトウェアにより実現される。記憶部170は、メモリ921に備えられる。なお、記憶部170は、補助記憶装置922に備えられていてもよいし、メモリ921と補助記憶装置922に分散して備えられていてもよい。
プロセッサ910は、攻撃手段評価プログラムを実行する装置である。攻撃手段評価プログラムは、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能を実現するプログラムである。
プロセッサ910は、演算処理を行うIC(Integrated Circuit)である。プロセッサ910の具体例は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
プロセッサ910は、演算処理を行うIC(Integrated Circuit)である。プロセッサ910の具体例は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ921は、データを一時的に記憶する記憶装置である。メモリ921の具体例は、SRAM(Static Random Access Memory)、あるいはDRAM(Dynamic Random Access Memory)である。
補助記憶装置922は、データを保管する記憶装置である。補助記憶装置922の具体例は、HDDである。また、補助記憶装置922は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった可搬の記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
補助記憶装置922は、データを保管する記憶装置である。補助記憶装置922の具体例は、HDDである。また、補助記憶装置922は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった可搬の記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
入力インタフェース930は、マウス、キーボード、あるいはタッチパネルといった入力装置と接続されるポートである。入力インタフェース930は、具体的には、USB(Universal Serial Bus)端子である。なお、入力インタフェース930は、LAN(Local Area Network)と接続されるポートであってもよい。
出力インタフェース940は、ディスプレイといった出力機器のケーブルが接続されるポートである。出力インタフェース940は、具体的には、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。ディスプレイは、具体的には、LCD(Liquid Crystal Display)である。出力インタフェース940は、表示器インタフェースともいう。
通信装置950は、レシーバとトランスミッタを有する。通信装置950は、LAN、インターネット、あるいは電話回線といった通信網に接続している。通信装置950は、具体的には、通信チップまたはNIC(Network Interface Card)である。
攻撃手段評価プログラムは、攻撃手段評価装置100において実行される。攻撃手段評価プログラムは、プロセッサ910に読み込まれ、プロセッサ910によって実行される。メモリ921には、攻撃手段評価プログラムだけでなく、OS(Operating System)も記憶されている。プロセッサ910は、OSを実行しながら、攻撃手段評価プログラムを実行する。攻撃手段評価プログラムおよびOSは、補助記憶装置922に記憶されていてもよい。補助記憶装置922に記憶されている攻撃手段評価プログラムおよびOSは、メモリ921にロードされ、プロセッサ910によって実行される。なお、攻撃手段評価プログラムの一部または全部がOSに組み込まれていてもよい。
攻撃手段評価装置100は、プロセッサ910を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、攻撃手段評価プログラムの実行を分担する。それぞれのプロセッサは、プロセッサ910と同じように、攻撃手段評価プログラムを実行する装置である。
攻撃手段評価プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ921、補助記憶装置922、または、プロセッサ910内のレジスタあるいはキャッシュメモリに記憶される。
スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えてもよい。攻撃手段評価プログラムは、スコア値算出処理と手段選択処理と手段実行処理と結果収集処理と結果解析処理と条件取得処理を、コンピュータに実行させる。スコア値算出処理と手段選択処理と手段実行処理と結果収集処理と結果解析処理と条件取得処理の「処理」を「プログラム」、「プログラムプロダクト」、「プログラムを記憶したコンピュータ読取可能な記憶媒体」、または「プログラムを記録したコンピュータ読取可能な記録媒体」に読み替えてもよい。また、攻撃手段評価方法は、攻撃手段評価装置100が攻撃手段評価プログラムを実行することにより行われる方法である。
攻撃手段評価プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、攻撃手段評価プログラムは、プログラムプロダクトとして提供されてもよい。
攻撃手段評価プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、攻撃手段評価プログラムは、プログラムプロダクトとして提供されてもよい。
***動作の説明***
次に、図2を用いて、本実施の形態に係る攻撃手段評価装置100の動作概要について説明する。攻撃手段評価装置100の動作手順は、攻撃手段評価方法に相当する。また、攻撃手段評価装置100の動作を実現するプログラムは、攻撃手段評価プログラムに相当する。
次に、図2を用いて、本実施の形態に係る攻撃手段評価装置100の動作概要について説明する。攻撃手段評価装置100の動作手順は、攻撃手段評価方法に相当する。また、攻撃手段評価装置100の動作を実現するプログラムは、攻撃手段評価プログラムに相当する。
攻撃手段評価装置100は、サイバー攻撃に用いられる攻撃手段を評価する。
ステップS11において、条件取得部160は、攻撃手段を選択する基準となる閾値173を取得する。具体的には、条件取得部160は、入力インタフェース930を介して、ユーザから閾値173を取得する。具体的には、閾値173は、攻撃手段を実行したときに、セキュリティ検知装置といった攻撃検知ツールに検知される確率を表す攻撃検知確率といった値である。
例えば、ユーザが、攻撃をセキュリティ検知装置に検知されたくないといったステルス性を重視したい場合、スコア値は攻撃検知確率として算出される。そして、算出された攻撃検知確率が最も低い攻撃手段が、攻撃対象システムに対して最も有効な攻撃手段として選択される。
条件取得部160は、入力インタフェース930を介して、ユーザから攻撃検知確率の閾値pthを取得する。
条件取得部160は、入力インタフェース930を介して、ユーザから攻撃検知確率の閾値pthを取得する。
ステップS12において、スコア値算出部110は、複数の攻撃手段を取得し、複数の攻撃手段の各攻撃手段について、攻撃対象システムに対する攻撃の有効性を表すスコア値を算出する。スコア値を算出することを、スコア値を評価するともいう。
システム構成データベース108には、攻撃対象となる攻撃対象システムのシステム構成が設定されている。また、システム構成データベース108には、攻撃対象システムへの攻撃が成立したとみなす攻撃成立条件といった情報が設定されている。
スコア値算出部110は、システム構成データベース108に基づいて、複数の攻撃手段の各攻撃手段のスコア値を算出する。スコア値算出部110は、システム構成データベース108に含まれる攻撃対象システムのシステム構成に基づいて、スコア値を算出する。
例えば、スコア値算出部110は、攻撃対象システムにおける検知され易さの度合いを表す上記攻撃検知確率を、スコア値として算出する。
例えば、スコア値算出部110は、攻撃対象システムにおける検知され易さの度合いを表す上記攻撃検知確率を、スコア値として算出する。
図3は、本実施の形態に係るスコア値データベース107の設定処理を示す模式図である。
ステップS21において、スコア値算出部110は、例えば、ATT&CK(登録商標)、あるいは、攻撃ツールのコマンド一覧から攻撃手段をリストアップする。サイバー攻撃には最終目的が設定されている。サイバー攻撃では、その最終目的を達成するための複数の攻撃手段を実施し、最終的にその最終目的の達成のための攻撃を実行する。ATT&CK(登録商標)、あるいは、攻撃ツールのコマンド一覧からリストアップされる攻撃手段は、1つのサイバー攻撃を構成する攻撃手段に相当する。
ステップS21において、スコア値算出部110は、例えば、ATT&CK(登録商標)、あるいは、攻撃ツールのコマンド一覧から攻撃手段をリストアップする。サイバー攻撃には最終目的が設定されている。サイバー攻撃では、その最終目的を達成するための複数の攻撃手段を実施し、最終的にその最終目的の達成のための攻撃を実行する。ATT&CK(登録商標)、あるいは、攻撃ツールのコマンド一覧からリストアップされる攻撃手段は、1つのサイバー攻撃を構成する攻撃手段に相当する。
ステップS22において、スコア値算出部110は、攻撃成立条件に基づいて、各攻撃手段のスコア値を算出し、スコア値データベース107に設定する。具体的には、スコア値算出部110は、ATT&CK(登録商標)、あるいは、使用される脆弱性のCVSS(Common Vulnerability Scoring System)値といった攻撃成立条件から、スコア値を算出する。スコア値は固定値ではなく、関数値のようになっている。例えば、Windows(登録商標)を対象とした攻撃手段のスコア値は、対象がLinux(登録商標)の場合には全く意味が無い攻撃となってしまうため、スコア値が0となる。その他、攻撃の隠密性、あるいは、攻撃の確実性をスコア値として表してもよい。
ステップS13において、手段選択部120は、複数の攻撃手段の各攻撃手段のスコア値と閾値173とを用いて、複数の攻撃手段から攻撃対象システムに対する攻撃として有効な攻撃手段を選択する。手段選択部120は、閾値173を用いて、スコア値データベース107に設定されている攻撃手段から、実行する攻撃手段を選択する。具体的には、手段選択部120は、スコア値データベース107に設定されている攻撃手段から、スコア値が攻撃検知確率の閾値pth以下のものを列挙する。そして、手段選択部120は、列挙された攻撃手段の中から、スコア値である攻撃検知確率が最も低い攻撃手段を、実行する攻撃手段として選択する。
あるいは、手段選択部120は、閾値173に基づいて複数の攻撃手段を列挙し、出力インタフェース940を介してユーザに提示し、実行する攻撃手段をユーザに選択させてもよい。
あるいは、手段選択部120は、閾値173に基づいて複数の攻撃手段を列挙し、出力インタフェース940を介してユーザに提示し、実行する攻撃手段をユーザに選択させてもよい。
次に、ステップS14からステップS15において、手段実行部130は、選択された攻撃手段を攻撃対象システムに対して実行することにより、攻撃対象システムに対してサイバー攻撃を実行する。
まず、ステップS14において、手段実行部130は、選択された攻撃手段を攻撃対象システムに対して実行する。手段実行部130は、実行に必要なパラメータをシステム構成データベース108から引用し、選択された攻撃手段を実行する。実行に必要なパラメータは、例えば、攻撃先のIP(Internet Protocol)アドレスといった情報である。
手段実行部130は、選択された攻撃手段を攻撃対象システムに対して実行し、選択された攻撃手段の実行結果に基づいて、サイバー攻撃の最終目的の達成のための攻撃の可否を判定する。そして、手段実行部130は、最終目的の達成のための攻撃が可能と判定すると、最終目的の達成のための攻撃を実行する。手段実行部130は、最終目的の達成のための攻撃が不可と判定すると、実行結果を結果収集部140に渡す。
結果収集部140は、攻撃手段による攻撃の実行結果を収集する。
手段実行部130は、選択された攻撃手段を攻撃対象システムに対して実行し、選択された攻撃手段の実行結果に基づいて、サイバー攻撃の最終目的の達成のための攻撃の可否を判定する。そして、手段実行部130は、最終目的の達成のための攻撃が可能と判定すると、最終目的の達成のための攻撃を実行する。手段実行部130は、最終目的の達成のための攻撃が不可と判定すると、実行結果を結果収集部140に渡す。
結果収集部140は、攻撃手段による攻撃の実行結果を収集する。
結果解析部150は、最終目的の達成のための攻撃が不可と判定されると、選択された攻撃手段の実行結果に基づいて、攻撃対象システムのシステム構成を解析し、解析結果をシステム構成データベース108にフィードバックする。具体的には、結果解析部150は、実行結果を取得し、攻撃の成否を判定する。実行した手段が攻撃ではなく、ネットワークスキャンといった偵察活動の場合は、結果解析部150は、スキャン結果を実行結果として取得する。結果解析部150は、実行結果を解析する。結果解析部150は、解析結果をシステム構成データベース108にフィードバックする。このように、システム構成データベース108は、最終目的の達成のための攻撃が可能となるまで、攻撃対象システムに対する攻撃手段が実行される度に更新される。
手段実行部130は、サイバー攻撃を構成する全ての攻撃手段の実行が終了するまで、以上の動作を反復して動作させる。手段実行部130は、ユーザが入力するサイバー攻撃の最終目的を実行する条件を満たしたときに、ゴールとなるサイバー攻撃の最終目的を実行する(ステップS15)。実行条件に満たない場合には、実行条件を満たすまで処理を繰り返す。最終目的の実行条件に満たない場合とは、実行に必要な情報が揃わない、あるいは、実行するために必要なネットワーク到達性が確保できていないといった場合である。
図4は、本実施の形態に係る攻撃手段評価装置100の動作の詳細例を示すフロー図である。図4では、スコア値が攻撃検知確率であるものとして説明する。
また、図4では、サイバー攻撃の最終目的の1つ前の目的であるサブゴールの攻撃手段を実行する場合を説明する。なお、サブゴールがサイバー攻撃の最終目的である場合でも、同様の処理が適用できる。
また、図4では、サイバー攻撃の最終目的の1つ前の目的であるサブゴールの攻撃手段を実行する場合を説明する。なお、サブゴールがサイバー攻撃の最終目的である場合でも、同様の処理が適用できる。
ステップS101において、条件取得部160は、入力インタフェース930を介して、ユーザから攻撃検知確率の閾値pthを取得する。
ステップS102において、スコア値算出部110は、複数の攻撃手段を取得し、システム構成データベース108に基づいて、各攻撃手段の攻撃検知確率をスコア値として算出する。そして、手段選択部120が、スコア値データベース107に設定されている攻撃手段から、スコア値が攻撃検知確率の閾値pth以下のものを列挙する。
ステップS103において、手段選択部120は、列挙された攻撃手段の中から、制約事項に沿った攻撃手段を、実行する攻撃手段として選択する。具体的には、手段選択部120は、列挙された攻撃手段の中から、攻撃検知確率が最も低い攻撃手段を、実行する攻撃手段として選択する。攻撃検知確率が最も低い攻撃手段とは、最も検知されにくい攻撃手段を意味する。つまり、攻撃対象システムに対する攻撃としては、最も有効な攻撃手段である。選択された攻撃手段は、偵察手段の場合もある。
ステップS104において、手段実行部130は、選択された攻撃手段を攻撃対象システムに対して実行する。
ステップS105において、結果収集部140は、攻撃手段による攻撃の実行結果を収集する。結果収集部140は、サブゴールの攻撃手段による攻撃に必要な情報がそろったかを判定する。サブゴールの攻撃手段による攻撃に必要な情報がそろった場合、ステップS108に進む。サブゴールの攻撃手段による攻撃に必要な情報がそろっていない場合、ステップS106に進む。
ステップS106において、結果解析部150は、選択された攻撃手段の実行の実行結果を解析し、解析結果をシステム構成データベース108にフィードバックする。
ステップS107において、スコア値算出部110は、解析結果がフィードバックされたシステム構成データベース108に含まれる攻撃対象システムのシステム構成に基づいて、各攻撃手段のスコア値を再算出する。そして、ステップS102における攻撃手段の列挙から処理を繰り返す。
ステップS107において、スコア値算出部110は、解析結果がフィードバックされたシステム構成データベース108に含まれる攻撃対象システムのシステム構成に基づいて、各攻撃手段のスコア値を再算出する。そして、ステップS102における攻撃手段の列挙から処理を繰り返す。
システム構成データベース108には、攻撃対象システムの情報システムのIPアドレスおよびOS、使用しているソフトウェアのバージョン情報、あるいは、ファイアウォールルールといった情報が含まれる。攻撃対象システムに侵入した直後は、これらの情報が未知である。よって、サイバー攻撃では、ネットワークスキャン、あるいは、スニッフィングを行って、攻撃対象システムの情報を収集する。収集した結果をシステム構成データベース108に格納していくことで、それを使ったスコア値の算出精度を向上させることができる。
ステップS108において、手段実行部130は、サブゴールの攻撃手段を実行する。
図3で説明したサイバー攻撃の最終目的は、情報の窃取、あるいは、情報システムの破壊といった、攻撃者が達成すべきサイバー攻撃のゴールである。しかし、システムに侵入した直後は、最終目的を達成することができる端末に侵入できているとは限らない。このため、別の端末あるいはサーバを攻撃する必要が生じる。このような、別の端末あるいは別のサーバへの攻撃は、上述したサブゴールの攻撃手段の例である。
一方で「ユーザが入力するサイバー攻撃のゴール」は、上述のように攻撃の最終目的である。「XXシステムのデータを破壊する」というサイバー攻撃のゴールが設定された場合は、「XXシステムに侵入する」というゴールが、最終目的の1つ前の目的であるサブゴールになる。サブゴールには、同様にサブサブゴールが存在する場合がある。このように、サイバー攻撃はいわゆるアタックツリーのような形態を有することが想定される。
図4のステップS105における「サブゴールの攻撃手段による攻撃に必要な情報がそろった」という状態は、具体的には、別の端末に侵入するための情報として、脆弱なOSのバージョンが特定できた状態が想定される。あるいは、別の端末に侵入するための情報として、telnetのポートが開いているためブルートフォール攻撃ができるといった情報が得られた状態が想定される。
一方で「ユーザが入力するサイバー攻撃のゴール」は、上述のように攻撃の最終目的である。「XXシステムのデータを破壊する」というサイバー攻撃のゴールが設定された場合は、「XXシステムに侵入する」というゴールが、最終目的の1つ前の目的であるサブゴールになる。サブゴールには、同様にサブサブゴールが存在する場合がある。このように、サイバー攻撃はいわゆるアタックツリーのような形態を有することが想定される。
図4のステップS105における「サブゴールの攻撃手段による攻撃に必要な情報がそろった」という状態は、具体的には、別の端末に侵入するための情報として、脆弱なOSのバージョンが特定できた状態が想定される。あるいは、別の端末に侵入するための情報として、telnetのポートが開いているためブルートフォール攻撃ができるといった情報が得られた状態が想定される。
また、ステップS103では、手段選択部120は、列挙された攻撃手段の中から、攻撃検知確率が最も低い攻撃手段を、実行する攻撃手段として選択する。しかし、最も攻撃検知確率が低い攻撃手段を実施したとしても、必要な情報が得られない場合もある。その場合は、次に攻撃検知確率が低い手段を選択して、その攻撃手段を実行する。このように、サブゴールの攻撃手段に必要な情報がそろうまで、攻撃検知確率が低い攻撃手段から順番に実行する。
図5は、本実施の形態に係るスコア値データベース107の構成例を示す図である。
図5に示すように、スコア値データベース107には、攻撃手段61と、各攻撃手段のスコア値62である攻撃検知確率piと、攻撃成功確率63とが設定されている。
結果解析部150は、攻撃手段61の実行結果に基づいて、スコア値データベース107に攻撃手段61の攻撃成功確率63を設定する。例えば、結果解析部150は、攻撃対象システムからの応答といった情報によって、攻撃成功確率を再算出し、スコア値データベース107に反映することにより、攻撃成功確率63が精緻化される。
図5に示すように、スコア値データベース107には、攻撃手段61と、各攻撃手段のスコア値62である攻撃検知確率piと、攻撃成功確率63とが設定されている。
結果解析部150は、攻撃手段61の実行結果に基づいて、スコア値データベース107に攻撃手段61の攻撃成功確率63を設定する。例えば、結果解析部150は、攻撃対象システムからの応答といった情報によって、攻撃成功確率を再算出し、スコア値データベース107に反映することにより、攻撃成功確率63が精緻化される。
***他の構成***
本実施の形態では、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能がソフトウェアで実現される。変形例として、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能がハードウェアで実現されてもよい。
具体的には、攻撃手段評価装置100は、プロセッサ910に替えて電子回路909を備える。
本実施の形態では、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能がソフトウェアで実現される。変形例として、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能がハードウェアで実現されてもよい。
具体的には、攻撃手段評価装置100は、プロセッサ910に替えて電子回路909を備える。
図6は、本実施の形態の変形例に係る攻撃手段評価装置100の構成を示す図である。
電子回路909は、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能を実現する専用の電子回路である。電子回路909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field-Programmable Gate Arrayの略語である。
電子回路909は、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能を実現する専用の電子回路である。電子回路909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field-Programmable Gate Arrayの略語である。
スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
別の変形例として、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。また、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の一部またはすべての機能がファームウェアで実現されてもよい。
プロセッサと電子回路の各々は、プロセッシングサーキットリとも呼ばれる。つまり、スコア値算出部110と手段選択部120と手段実行部130と結果収集部140と結果解析部150と条件取得部160の機能は、プロセッシングサーキットリにより実現される。
***本実施の形態の効果の説明***
以上のように、本実施の形態では、以下の機能を備えた攻撃手段評価装置100を説明した。
(a)攻撃手段評価装置100は、設定された評価軸に基づいて、攻撃手段をスコア化する機能を有する。スコア化とは、数値化、例えば攻撃検知確率を算出することである。
(b)攻撃手段のスコア値は攻撃対象システムといった条件によって変化する。
(c)攻撃手段評価装置100は、スコア値が最も優れているものを選択し、サイバー攻撃を実行する。
(d)攻撃手段評価装置100は、攻撃手段の実行時に得られた攻撃対象システムの情報をシステム構成データベースにフィードバックする。これにより、(a)および(b)で示されるスコア値が変化し、攻撃手段のスコア値が攻撃実行の度に精緻化される。
以上のように、本実施の形態では、以下の機能を備えた攻撃手段評価装置100を説明した。
(a)攻撃手段評価装置100は、設定された評価軸に基づいて、攻撃手段をスコア化する機能を有する。スコア化とは、数値化、例えば攻撃検知確率を算出することである。
(b)攻撃手段のスコア値は攻撃対象システムといった条件によって変化する。
(c)攻撃手段評価装置100は、スコア値が最も優れているものを選択し、サイバー攻撃を実行する。
(d)攻撃手段評価装置100は、攻撃手段の実行時に得られた攻撃対象システムの情報をシステム構成データベースにフィードバックする。これにより、(a)および(b)で示されるスコア値が変化し、攻撃手段のスコア値が攻撃実行の度に精緻化される。
本実施の形態に係る攻撃手段評価装置100によれば、実行すべき攻撃手段をスコア化することで、熟練したペネトレーションテスターを必要とせずに巧妙なサイバー攻撃を再現することができる。
実施の形態2.
本実施の形態では、主に、実施の形態1と異なる点および実施の形態1に追加する点について説明する。
本実施の形態において、実施の形態1と同様の機能を有する構成については同一の符号を付し、その説明を省略する。
本実施の形態では、主に、実施の形態1と異なる点および実施の形態1に追加する点について説明する。
本実施の形態において、実施の形態1と同様の機能を有する構成については同一の符号を付し、その説明を省略する。
実施の形態1では、スコア値の良い攻撃手段から実行するようにした。本実施の形態では、攻撃手段の列である攻撃シナリオとして総合的なスコア値を計算することで、攻撃シナリオ全体のスコア化も実施可能とする態様について説明する。
スコア値算出部110は、サイバー攻撃を構成する攻撃手段から成る攻撃シナリオについて、攻撃対象システムに対する攻撃の有効性を表すシナリオスコア値psを算出する。
手段選択部120は、シナリオスコア値psと閾値pthとを用いて、攻撃対象システムに対する攻撃として有効な攻撃シナリオを選択する。
手段実行部130は、選択された攻撃シナリオを攻撃対象システムに対して実行することにより、攻撃対象システムに対してサイバー攻撃を実行する。
手段選択部120は、シナリオスコア値psと閾値pthとを用いて、攻撃対象システムに対する攻撃として有効な攻撃シナリオを選択する。
手段実行部130は、選択された攻撃シナリオを攻撃対象システムに対して実行することにより、攻撃対象システムに対してサイバー攻撃を実行する。
例えば、各攻撃手段のスコア値を攻撃検知確率piとすると、実行するサイバー攻撃全体としての攻撃検知確率psは、ps=1-Π(1-pi)で表すことができる。
例えば、ユーザに攻撃検知確率の閾値pthを入力させることで、攻撃シナリオ全体の攻撃検知確率の閾値pthを超えないような、攻撃手段の列、すなわち攻撃シナリオを機械的に作成することができる。
例えば、ユーザに攻撃検知確率の閾値pthを入力させることで、攻撃シナリオ全体の攻撃検知確率の閾値pthを超えないような、攻撃手段の列、すなわち攻撃シナリオを機械的に作成することができる。
実施の形態3.
本実施の形態では、主に、実施の形態1,2と異なる点および実施の形態1,2に追加する点について説明する。
本実施の形態において、実施の形態1,2と同様の機能を有する構成については同一の符号を付し、その説明を省略する。
本実施の形態では、主に、実施の形態1,2と異なる点および実施の形態1,2に追加する点について説明する。
本実施の形態において、実施の形態1,2と同様の機能を有する構成については同一の符号を付し、その説明を省略する。
実施の形態1,2では、各攻撃手段のスコア値は1値である。しかし、攻撃対象システムの構成情報が分からない限り、攻撃検知確率といったスコア値を正確に算出することは難しい。例えば、ある攻撃コードの攻撃検知確率が0.5であり、攻撃成功確率が0.7だとしても、攻撃コードを使用する攻撃対象システムが脆弱性を有していない場合には、攻撃成功確率は0となり、この攻撃コードを使用する攻撃手段を選択することが無駄になってしまう。
これを解決するために、各攻撃手段のスコア値を関数値のように変化するように持たせる。例えば、攻撃対象システムのOSがWindows(登録商標)ならば攻撃成功確率は0.5、脆弱性があることが判明すれば1.0、攻撃コードの対象となるOSでない、あるいは、脆弱性が修正されている場合は攻撃成功確率を0にする。これにより、成立しない攻撃手段を選択することが防止でき、より巧妙なサイバー攻撃に近づけることができる。また、攻撃の初期段階では、攻撃対象システムの構成に不明な部分が多いため、攻撃検知確率は0.3から0.5のように、スコア値に幅があってもよい。攻撃を進めるごとに、攻撃対象システムの構成が判明し、スコア値の幅を狭めることができる。
これを解決するために、各攻撃手段のスコア値を関数値のように変化するように持たせる。例えば、攻撃対象システムのOSがWindows(登録商標)ならば攻撃成功確率は0.5、脆弱性があることが判明すれば1.0、攻撃コードの対象となるOSでない、あるいは、脆弱性が修正されている場合は攻撃成功確率を0にする。これにより、成立しない攻撃手段を選択することが防止でき、より巧妙なサイバー攻撃に近づけることができる。また、攻撃の初期段階では、攻撃対象システムの構成に不明な部分が多いため、攻撃検知確率は0.3から0.5のように、スコア値に幅があってもよい。攻撃を進めるごとに、攻撃対象システムの構成が判明し、スコア値の幅を狭めることができる。
本実施の形態に係る攻撃手段評価装置によれば、ユーザが設定した閾値として、実行したすべての攻撃手段を総合した攻撃検知確率を超えないように攻撃手段を順次実行し、サイバー攻撃の自動実行を行うことができる。
以上の実施の形態1から3では、攻撃手段評価装置の各部を独立した機能ブロックとして説明した。しかし、攻撃手段評価装置の構成は、上述した実施の形態のような構成でなくてもよい。攻撃手段評価装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、どのような構成でもよい。また、攻撃手段評価装置は、1つの装置でなく、複数の装置から構成されたシステムでもよい。
また、実施の形態1から3のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
すなわち、実施の形態1から3では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態1から3のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
すなわち、実施の形態1から3では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
なお、上述した実施の形態は、本質的に好ましい例示であって、本開示の範囲、本開示の適用物の範囲、および本開示の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
61 攻撃手段、62 スコア値、63 攻撃成功確率、100 攻撃手段評価装置、110 スコア値算出部、120 手段選択部、130 手段実行部、140 結果収集部、150 結果解析部、160 条件取得部、170 記憶部、107 スコア値データベース、108 システム構成データベース、173 閾値、909 電子回路、910 プロセッサ、921 メモリ、922 補助記憶装置、930 入力インタフェース、940 出力インタフェース、950 通信装置。
Claims (8)
- サイバー攻撃に用いられる攻撃手段を評価する攻撃手段評価装置において、
複数の攻撃手段を取得し、前記複数の攻撃手段の各攻撃手段について、攻撃の対象である攻撃対象システムに対する攻撃の有効性を表すスコア値を算出するスコア値算出部と、
前記スコア値に基づいて、前記複数の攻撃手段から前記攻撃対象システムに対する攻撃を実行する攻撃手段を選択する手段選択部と、
選択された攻撃手段を前記攻撃対象システムに対して実行し、前記選択された攻撃手段の実行結果に基づいて、前記サイバー攻撃の最終目的の達成のための攻撃の可否を判定する手段実行部と
を備える攻撃手段評価装置。 - 前記手段実行部は、前記最終目的の達成のための攻撃が可能と判定すると、前記最終目的の達成のための攻撃を実行する請求項1に記載の攻撃手段評価装置。
- 前記スコア値算出部は、
前記攻撃対象システムにおける検知され易さの度合いを表す攻撃検知確率を前記スコア値として算出する請求項1または請求項2に記載の攻撃手段評価装置。 - 前記攻撃手段評価装置は、
前記攻撃対象システムのシステム構成が設定されたシステム構成データベースを備え、
前記スコア値算出部は、
前記システム構成データベースに含まれる前記攻撃対象システムのシステム構成に基づいて、前記スコア値を算出する請求項1から請求項3のいずれか1項に記載の攻撃手段評価装置。 - 前記攻撃手段評価装置は、
前記最終目的の達成のための攻撃が不可と判定されると、前記選択された攻撃手段の前記実行結果に基づいて、前記攻撃対象システムのシステム構成を解析し、解析結果を前記システム構成データベースにフィードバックする結果解析部を備え、
前記スコア値算出部は、
前記解析結果がフィードバックされた前記システム構成データベースに含まれる前記攻撃対象システムのシステム構成に基づいて、前記スコア値を再算出する請求項4に記載の攻撃手段評価装置。 - 前記スコア値算出部は、
前記サイバー攻撃を構成する攻撃手段から成る攻撃シナリオについて、前記攻撃対象システムに対する攻撃の有効性を表すシナリオスコア値を算出し、
前記手段選択部は、
前記シナリオスコア値を用いて、前記攻撃対象システムに対する攻撃として有効な攻撃シナリオを選択し、
前記手段実行部は、
選択された前記攻撃シナリオを前記攻撃対象システムに対して実行することにより、前記攻撃対象システムに対して前記サイバー攻撃を実行する請求項1から請求項5のいずれか1項に記載の攻撃手段評価装置。 - サイバー攻撃に用いられる攻撃手段を評価する攻撃手段評価装置の攻撃手段評価方法において、
スコア値算出部が、複数の攻撃手段を取得し、前記複数の攻撃手段の各攻撃手段について、攻撃の対象である攻撃対象システムに対する攻撃の有効性を表すスコア値を算出し、
手段選択部が、前記スコア値に基づいて、前記複数の攻撃手段から前記攻撃対象システムに対する攻撃を実行する攻撃手段を選択し、
手段実行部が、選択された攻撃手段を前記攻撃対象システムに対して実行し、前記選択された攻撃手段の実行結果に基づいて、前記サイバー攻撃の最終目的の達成のための攻撃の可否を判定する攻撃手段評価方法。 - サイバー攻撃に用いられる攻撃手段を評価する攻撃手段評価装置の攻撃手段評価プログラムにおいて、
複数の攻撃手段を取得し、前記複数の攻撃手段の各攻撃手段について、攻撃の対象である攻撃対象システムに対する攻撃の有効性を表すスコア値を算出するスコア値算出処理と、
前記スコア値に基づいて、前記複数の攻撃手段から前記攻撃対象システムに対する攻撃を実行する攻撃手段を選択する手段選択処理と、
選択された攻撃手段を前記攻撃対象システムに対して実行し、前記選択された攻撃手段の実行結果に基づいて、前記サイバー攻撃の最終目的の達成のための攻撃の可否を判定する手段実行処理と
をコンピュータに実行させる攻撃手段評価プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/031149 WO2022038680A1 (ja) | 2020-08-18 | 2020-08-18 | 攻撃手段評価装置、攻撃手段評価方法、および、攻撃手段評価プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022038680A1 JPWO2022038680A1 (ja) | 2022-02-24 |
| JP7175427B2 true JP7175427B2 (ja) | 2022-11-18 |
Family
ID=80350473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022543008A Active JP7175427B2 (ja) | 2020-08-18 | 2020-08-18 | 攻撃手段評価装置、攻撃手段評価方法、および、攻撃手段評価プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230137325A1 (ja) |
| JP (1) | JP7175427B2 (ja) |
| CN (1) | CN115997210A (ja) |
| DE (1) | DE112020007314B4 (ja) |
| WO (1) | WO2022038680A1 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060021034A1 (en) | 2004-07-22 | 2006-01-26 | Cook Chad L | Techniques for modeling changes in network security |
| US20170286690A1 (en) | 2016-03-31 | 2017-10-05 | International Business Machines Corporation | Automatic Generation of Data-Centric Attack Graphs |
| WO2018134909A1 (ja) | 2017-01-18 | 2018-07-26 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| WO2020090077A1 (ja) | 2018-11-01 | 2020-05-07 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| WO2020137847A1 (ja) | 2018-12-27 | 2020-07-02 | 三菱電機株式会社 | アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004145413A (ja) | 2002-10-22 | 2004-05-20 | Mitsubishi Electric Corp | セキュリティホール診断システム |
| EP2462716B1 (en) | 2009-08-05 | 2019-10-09 | Help/Systems, LLC | System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy |
| US10469521B1 (en) | 2018-11-04 | 2019-11-05 | Xm Cyber Ltd. | Using information about exportable data in penetration testing |
-
2020
- 2020-08-18 WO PCT/JP2020/031149 patent/WO2022038680A1/ja active Application Filing
- 2020-08-18 DE DE112020007314.9T patent/DE112020007314B4/de active Active
- 2020-08-18 JP JP2022543008A patent/JP7175427B2/ja active Active
- 2020-08-18 CN CN202080104132.2A patent/CN115997210A/zh active Pending
-
2022
- 2022-12-23 US US18/088,453 patent/US20230137325A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060021034A1 (en) | 2004-07-22 | 2006-01-26 | Cook Chad L | Techniques for modeling changes in network security |
| US20170286690A1 (en) | 2016-03-31 | 2017-10-05 | International Business Machines Corporation | Automatic Generation of Data-Centric Attack Graphs |
| WO2018134909A1 (ja) | 2017-01-18 | 2018-07-26 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| WO2020090077A1 (ja) | 2018-11-01 | 2020-05-07 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
| WO2020137847A1 (ja) | 2018-12-27 | 2020-07-02 | 三菱電機株式会社 | アタックツリー生成装置、アタックツリー生成方法およびアタックツリー生成プログラム |
Non-Patent Citations (2)
| Title |
|---|
| 浅井 健志 ほか,サイバー攻撃対策の選定に向けたアタックツリーの自動生成,2018年 暗号と情報セキュリティシンポジウム(SCIS2018),日本,2018年01月23日,1C1-1,p.1-7 |
| 浅井 健志 ほか,サイバー攻撃対策の選定方法の提案,2017年 暗号と情報セキュリティシンポジウム,日本,2017年 暗号と情報セキュリティシンポジウム実行委員,2017年01月24日,2D2-2,p.1-7 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022038680A1 (ja) | 2022-02-24 |
| US20230137325A1 (en) | 2023-05-04 |
| DE112020007314T5 (de) | 2023-04-06 |
| CN115997210A (zh) | 2023-04-21 |
| DE112020007314B4 (de) | 2024-05-23 |
| JPWO2022038680A1 (ja) | 2022-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6239215B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| RU2454714C1 (ru) | Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов | |
| WO2014112185A1 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| JP6404273B2 (ja) | 仮想マシンでファイルのアンチウイルススキャンを実行するシステム及び方法 | |
| RU2634177C1 (ru) | Система и способ обнаружения нежелательного программного обеспечения | |
| CN114124552B (zh) | 一种网络攻击的威胁等级获取方法、装置和存储介质 | |
| JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| JP2008257577A (ja) | セキュリティ診断システム、方法およびプログラム | |
| US11533325B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
| US11397812B2 (en) | System and method for categorization of .NET applications | |
| CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| Ami et al. | Seven phrase penetration testing model | |
| JP2008129707A (ja) | プログラム分析装置、プログラム分析方法、及びプログラム | |
| JP7175427B2 (ja) | 攻撃手段評価装置、攻撃手段評価方法、および、攻撃手段評価プログラム | |
| US12050694B2 (en) | Rule generation apparatus, rule generation method, and computer-readable recording medium | |
| CN116170186A (zh) | 基于网络流量分析的攻击代码在线检测方法和装置 | |
| JP7424395B2 (ja) | 分析システム、方法およびプログラム | |
| US20220237303A1 (en) | Attack graph processing device, method, and program | |
| JP7111249B2 (ja) | 分析システム、方法およびプログラム | |
| Okuma et al. | Automated Mapping Method for Sysmon Logs to ATT&CK Techniques by Leveraging Atomic Red Team | |
| WO2022234628A1 (ja) | 攻撃進捗評価装置、攻撃進捗評価方法、及び、攻撃進捗評価プログラム | |
| CN114697057B (zh) | 获取编排剧本信息的方法、装置及存储介质 | |
| US20240214399A1 (en) | System and method for filtering events for transmission to remote devices | |
| JP6599053B1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| EP4395259A1 (en) | System and method for filtering events for transmission to remote devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220713 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220713 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221011 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7175427 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |