JP7299415B2 - セキュリティ脆弱性防御方法およびデバイス - Google Patents
セキュリティ脆弱性防御方法およびデバイス Download PDFInfo
- Publication number
- JP7299415B2 JP7299415B2 JP2022521014A JP2022521014A JP7299415B2 JP 7299415 B2 JP7299415 B2 JP 7299415B2 JP 2022521014 A JP2022521014 A JP 2022521014A JP 2022521014 A JP2022521014 A JP 2022521014A JP 7299415 B2 JP7299415 B2 JP 7299415B2
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- asset
- identifier
- network
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本出願は、2019年10月22日に国家知識産権局に提出された、「セキュリティ脆弱性防御方法およびデバイス」と題された中国特許出願第201911007623.0号の優先権を主張し、その全体は、参照によりここに組み込まれる。
この出願は、ネットワークセキュリティの分野に関し、特にセキュリティ脆弱性防御方法およびデバイスに関する。
セキュリティ脆弱性は脆弱性(Vulnerability)とも呼ばれ、コンピュータシステムにおけるセキュリティの欠陥を意味し、コンピュータシステム、またはコンピュータシステムのアプリケーションデータの機密性、完全性、可用性、アクセス制御などを脅威にさらしている。欠陥は、コンピュータハードウェア、ソフトウェア、およびコンピュータの通信プロトコルの具体的な実施、またはセキュリティポリシーにおける欠陥を含む。
ネットワーク運営のセキュリティを高めるために、従来技術ではネットワークを監視しスキャンする脆弱性スキャン技術を使用することによって、適時にネットワークにおけるセキュリティ脆弱性を発見している。例えば、脆弱性スキャンソフトウェアは、ネットワーク内の主要なネットワークデバイスをスキャンし、スキャンプロセスで見つかったネットワークデバイスに存在するセキュリティ脆弱性やセキュリティ構成レベルなどの情報をネットワーク管理システムに報告する。ネットワーク管理システムは、受信したスキャン結果に基づいて、対応するネットワークデバイスにセキュリティパッチを送達して、ネットワークデバイスに存在する脆弱性を修復する。ネットワーク管理システムはセキュリティパッチを保存し、またはネットワーク管理システムは、脆弱性モデルに基づいて、ネットワークを介して、サードパーティのセキュリティパッチ提供者からセキュリティパッチを取得する。例えば、アプリケーションソフトウェアで見つかったセキュリティ脆弱性については、ネットワーク管理システムは、アプリケーションソフトウェアのバージョンに基づいて、アプリケーションソフトウェア開発者の技術サポートのウェブサイトから、対応するパッチなどをダウンロードする。しかしながら、一部の新しい脆弱性については、アプリケーションソフトウェア開発者がパッチを適時に提供できない場合があり、またパッチの開発には、通常は比較的長い時間がかかる。結果として、現在のネットワークには、脆弱性のセキュリティ処置および防御に空白期間(window duration)が存在する。空白期間中はネットワークはハッカーの攻撃に対して極めて脆弱であり、これはネットワークの安全な運営に影響を及ぼす。アプリケーションソフトウェア開発者がパッチ開発を急いだとしても、見つかるとすぐに悪用されるゼロデイ脆弱性の数が増加しているため、ネットワークセキュリティを保証することは困難である。
本出願の実施形態は、セキュリティ脆弱性防御方法およびデバイスを提供することにより、ネットワーク上で緊急処置および防御を実行する際の適時性を向上させ、ネットワークが攻撃される可能性を低減する。
第1の態様によると、セキュリティ脆弱性防御方法が提供される。本方法は、脆弱性管理デバイスによって、第1のネットワークデバイスのアセットのアセット情報を取得するステップであって、アセット情報は、アセット識別子と、アセットモデルと、アセットバージョンとを含み、第1のネットワークデバイスは、制御されたネットワークの範囲内に配置される、ステップと、脆弱性管理デバイスによって、アセット情報の中のアセットモデルおよびアセットバージョンに基づいて、アセット情報に対応する脆弱性情報を取得するステップと、脆弱性管理デバイスによって、脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定するステップであって、脆弱性応答playbookは、解析された後で第1のネットワークデバイスに対して脆弱性防御ポリシーを実行するために使用される、ステップとを含む。
本出願の実施形態は、脆弱性応答playbookの開発が、セキュリティパッチに比べて迅速かつ柔軟であるという利点を利用して、脆弱性応答playbookに基づいたセキュリティ脆弱性防御方法を提供する。具体的には、脆弱性管理デバイスは、制御されたネットワーク内にあるネットワークデバイスのアセットのセキュリティ脆弱性に基づいて、対応する脆弱性応答playbookを取得し、取得した脆弱性応答playbookに基づいて、ネットワークデバイスに対して脆弱性防御ポリシーをさらに実行する。本方法は、緊急処置を用いた自動応答によってネットワークが攻撃されるのを防止し、またセキュリティパッチが使用可能になる前、例えば、ソフトウェア開発者またはサードパーティのセキュリティパッチ提供者が、ネットワークのセキュリティ脆弱性に対するセキュリティパッチまたは効果的なセキュリティポリシーをリリースする前に、ネットワークを防御するために使用される。これによりネットワークのロバスト性およびセキュリティが向上する。
可能な設計において、アセット情報に対応する脆弱性情報を取得するステップは、脆弱性管理デバイスによって、アセット情報の中のアセットモデルおよびアセットバージョンに基づいて、脆弱性情報と、アセットモデルとアセットバージョンとの組み合わせとの間の対応関係の中に、アセット情報の中のアセットモデルおよびアセットバージョンに対応する脆弱性情報を見つけることと、脆弱性管理デバイスによって、脆弱性情報と、アセットモデルとアセットバージョンとの組み合わせとの間の対応関係、ならびにアセット情報の中のアセット識別子、アセットモデル、およびアセットバージョンに基づいて、アセット識別子と脆弱性情報との間の対応関係を決定することとを含む。
アセット識別子と脆弱性情報との間の対応関係はアセットモデルとアセットバージョンとのマッチングに基づいて決定され、その結果、脆弱性防御ポリシーが実行される必要があるネットワークデバイスが続いて決定され、脆弱性防御の精度が保証される。
可能な設計において、脆弱性管理デバイスによって、脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定するステップは、脆弱性管理デバイスによって、アセット識別子と脆弱性情報との間の対応関係、ならびに脆弱性情報と脆弱性応答playbookとの間の対応関係に基づいて、アセット情報の中のアセット識別子に対応する脆弱性応答playbookを決定することと、決定した脆弱性応答playbookを、脆弱性情報に対応する脆弱性応答playbookとして使用することとを含む。
可能な設計において、本方法は、脆弱性管理デバイスによって、脆弱性防御ポリシーを取得するために、脆弱性応答playbookを解析するステップと、脆弱性管理デバイスによって、アセット情報の中のアセット識別子に基づいて、第1のネットワークデバイスに脆弱性防御ポリシーを送信するステップであって、その結果、第1のネットワークデバイスが脆弱性防御ポリシーを実行する、ステップとをさらに含む。
脆弱性管理デバイスは、第1のネットワークデバイスに脆弱性応答playbookを直接送信してもよく、第1のネットワークデバイスは、脆弱性応答playbookの解析後に脆弱性防御ポリシーを取得して、脆弱性防御ポリシーを実行する。このようにして、脆弱性管理デバイスは脆弱性応答playbookを解析するステップを省略し、これにより脆弱性管理デバイスの処理負荷を低減する。しかしながら、第1のネットワークデバイスは、脆弱性応答playbookを解析する機能をサポートする必要があり、第1のネットワークデバイスに対する性能要件は比較的高い。脆弱性管理デバイスは、脆弱性応答playbookを解析して脆弱性防御ポリシーを取得してから、第1のネットワークデバイスに脆弱性防御ポリシーを送信してもよい。このようにして、脆弱性管理デバイスは脆弱性応答playbookを解析するステップを実行し、これにより脆弱性管理デバイスの処理負荷が増える。しかしながら、第1のネットワークデバイスが脆弱性応答playbookを解析する機能をサポートする必要はなく、第1のネットワークデバイスに対する性能要件は比較的低い。実際の適用においては、ネットワークデバイスおよび脆弱性管理デバイスのハードウェア条件に基づいて、前述した2つの方法のうちの1つが柔軟に選択されてもよい。
可能な設計において、アセット情報の中のアセット識別子はグローバルアセット識別子であり、グローバルアセット識別子は第1のネットワークデバイスのデバイス識別子を含み、グローバルアセット識別子は、制御されたネットワークの範囲内で一意であり、第1のネットワークデバイスに脆弱性防御ポリシーを送信するステップの前に、本方法は、グローバルアセット識別子から、含まれている第1のネットワークデバイスのデバイス識別子を取得するステップをさらに含み、第1のネットワークデバイスに脆弱性防御ポリシーを送信するステップは具体的には、第1のネットワークデバイスのデバイス識別子に基づいて、第1のネットワークデバイスに脆弱性防御ポリシーを送信することである。
デバイス識別子に関する情報は、グローバルアセット識別子内に保持され、これによりネットワーク送信効率が向上し、ネットワークリソースが節約され得る。
可能な設計において、本方法は、脆弱性管理デバイスによって、脆弱性防御ポリシーを取得するために、脆弱性応答playbookを解析するステップと、第1のネットワークデバイスに関連付けられた転送デバイスに脆弱性防御ポリシーを送信するステップであって、その結果、第1のネットワークデバイスに関連付けられた転送デバイスが脆弱性防御ポリシーを実行する、ステップとをさらに含む。
可能な設計において、第1のネットワークデバイスに関連付けられた転送デバイスに脆弱性防御ポリシーを送信するステップの前に、本方法は、脆弱性管理デバイスによって、第1のネットワークデバイスのデバイス識別子、および制御されたネットワークのネットワークトポロジ情報を取得するステップと、脆弱性管理デバイスによって、ネットワークトポロジ情報に基づいて、第1のネットワークデバイスに関連付けられた転送デバイスを決定するステップとをさらに含む。
短期間のうちにパッチで修復することが難しいネットワークデバイスの脆弱性については、ネットワークデバイスに関連付けられた転送デバイスで脆弱性防御ポリシーが実行されてもよく、これによって危険なデータとネットワークデバイス用のデバイスとを分離して、ネットワークデバイスが攻撃されるのを防止する。
可能な設計において、脆弱性管理デバイスによって、第1のネットワークデバイスのデバイス識別子を取得するステップが具体的には、脆弱性管理デバイスによって、アセット情報の中のアセット識別子に基づいて、第1のネットワークデバイスのデバイス識別子を取得することであって、アセット識別子はグローバルアセット識別子であり、グローバルアセット識別子は第1のネットワークデバイスのデバイス識別子を含み、グローバルアセット識別子は、制御されたネットワークの範囲内で一意であり、脆弱性管理デバイスが、グローバルアセット識別子に基づいて第1のネットワークデバイスのデバイス識別子を取得する、あるいはアセット識別子はローカルアセット識別子であり、ローカルアセット識別子は第1のネットワークデバイス内で一意であり、脆弱性管理デバイスが、ローカルアセット識別子とデバイス識別子との間の対応関係に基づいて、第1のネットワークデバイスのデバイス識別子を取得する。
可能な設計において、脆弱性防御ポリシーは、アクセス制御リスト(ACL)に基づくアクセス制御ポリシー、特徴ストリングに基づく正規フィルタリングポリシー、および/または侵入防止システム(IPS)シグネチャに基づく保護ポリシーを含む。
第2の態様によれば、脆弱性管理デバイスが提供される。デバイスは、第1のネットワークデバイスのアセットのアセット情報を取得するように構成された第1の取得ユニットであって、アセット情報は、アセット識別子と、アセットモデルと、アセットバージョンとを含み、第1のネットワークデバイスは、制御されたネットワークの範囲内に配置される、第1の取得ユニットと、アセット情報の中のアセットモデルおよびアセットバージョンに基づいて、アセット情報に対応する脆弱性情報を取得するように構成された第2の取得ユニットと、脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定するように構成された第1の決定ユニットであって、脆弱性応答playbookは、解析された後で第1のネットワークデバイスに対して脆弱性防御ポリシーを実行するために使用される、第1の決定ユニットとを備える。
可能な設計において、第2の取得ユニットが、アセット情報に対応する脆弱性情報を取得することは、アセット情報の中のアセットモデルおよびアセットバージョンに基づいて、脆弱性情報と、アセットモデルとアセットバージョンとの組み合わせとの間の対応関係の中に、アセット情報の中のアセットモデルおよびアセットバージョンに対応する脆弱性情報を見つけることと、脆弱性情報と、アセットモデルとアセットバージョンとの組み合わせとの間の対応関係、ならびにアセット情報の中のアセット識別子、アセットモデル、およびアセットバージョンに基づいて、アセット識別子と脆弱性情報との間の対応関係を決定することとを含む。
可能な設計において、第1の決定ユニットが、脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定することは、アセット識別子と脆弱性情報との間の対応関係、ならびに脆弱性情報と脆弱性応答playbookとの間の対応関係に基づいて、アセット情報の中のアセット識別子に対応する脆弱性応答playbookを決定することと、決定した脆弱性応答playbookを、脆弱性情報に対応する脆弱性応答playbookとして使用することとを含む。
可能な設計において、デバイスは、脆弱性防御ポリシーを取得するために、脆弱性応答playbookを解析するように構成された解析ユニットと、アセット情報の中のアセット識別子に基づいて、第1のネットワークデバイスに脆弱性防御ポリシーを送信するように構成された送信ユニットであって、その結果、第1のネットワークデバイスが脆弱性防御ポリシーを実行する、送信ユニットと、をさらに備える。
可能な設計において、アセット情報の中のアセット識別子はグローバルアセット識別子であり、グローバルアセット識別子は第1のネットワークデバイスのデバイス識別子を含み、グローバルアセット識別子は、制御されたネットワークの範囲内で一意であり、送信ユニットが第1のネットワークデバイスに脆弱性防御ポリシーを送信する前に、デバイスは、グローバルアセット識別子から、含まれている第1のネットワークデバイスのデバイス識別子を取得する第1の取得ユニットをさらに含み、送信ユニットが第1のネットワークデバイスに脆弱性防御ポリシーを送信することは具体的には、第1のネットワークデバイスのデバイス識別子に基づいて、第1のネットワークデバイスに脆弱性防御ポリシーを送信することである。
デバイス識別子に関する情報は、グローバルアセット識別子内に保持され、これによりネットワーク送信効率が向上し、ネットワークリソースが節約され得る。
可能な設計において、デバイスは、脆弱性防御ポリシーを取得するために、脆弱性応答playbookを解析するように構成された解析ユニットと、第1のネットワークデバイスに関連付けられた転送デバイスに脆弱性防御ポリシーを送信するように構成された送信ユニットであって、その結果、第1のネットワークデバイスに関連付けられた転送デバイスが脆弱性防御ポリシーを実行する、送信ユニットとをさらに備える。
可能な設計において、送信ユニットが第1のネットワークデバイスに関連付けられた転送デバイスに脆弱性防御ポリシーを送信する前に、デバイスは、第1のネットワークデバイスのデバイス識別子、および制御されたネットワークのネットワークトポロジ情報を取得する第1の取得ユニットと、ネットワークトポロジ情報に基づいて、第1のネットワークデバイスに関連付けられた転送デバイスを決定するように構成された第2の決定ユニットとをさらに備える。
短期間のうちにパッチで修復することが難しいネットワークデバイスの脆弱性については、ネットワークデバイスに関連付けられた転送デバイスで脆弱性防御ポリシーが実行されてもよく、これによって危険なデータとネットワークデバイス用のデバイスとを分離して、ネットワークデバイスが攻撃されるのを防止する。
可能な設計において、第1の取得ユニットが第1のネットワークデバイスのデバイス識別子を取得することが具体的には、アセット情報の中のアセット識別子に基づいて、第1のネットワークデバイスのデバイス識別子を取得することであって、アセット識別子はグローバルアセット識別子であり、グローバルアセット識別子は第1のネットワークデバイスのデバイス識別子を含み、グローバルアセット識別子は、制御されたネットワークの範囲内で一意であり、第1の取得ユニットが、グローバルアセット識別子に基づいて第1のネットワークデバイスのデバイス識別子を取得する、あるいはアセット識別子はローカルアセット識別子であり、ローカルアセット識別子は第1のネットワークデバイス内で一意であり、第1の取得ユニットが、ローカルアセット識別子とデバイス識別子との間の対応関係に基づいて、第1のネットワークデバイスのデバイス識別子を取得する。
可能な設計において、脆弱性防御ポリシーは、アクセス制御リスト(ACL)に基づくアクセス制御ポリシー、特徴ストリングに基づく正規フィルタリングポリシー、および/または侵入防止システム(IPS)シグネチャに基づく保護ポリシーを含む。
第3の態様によれば、脆弱性管理デバイスが提供され、プロセッサとメモリとを備え、メモリは、コンピュータプログラムを記憶するように構成され、プロセッサは、第1の態様における任意の可能な設計で説明された対応する方法を遂行するため、メモリに記憶されたコンピュータプログラムを呼び出すように構成される。
第4の態様によれば、コンピュータ可読記憶媒体が提供され、記憶媒体はコンピュータプログラムを記憶し、第1の態様における任意の可能な設計で説明された対応する方法を遂行するために使用される。
第5の態様によれば、命令を含むコンピュータプログラム製品が提供される。命令がコンピュータ上で実行されると、コンピュータは、第1の態様または第1の態様の可能な実装形態のいずれか1つにおける方法を実行することが可能になる。
第6の態様によると、本出願の一実施形態はチップを提供する。チップはメモリおよびプロセッサを含む。メモリはコンピュータ命令を記憶するように構成され、プロセッサは、第1の態様および第1の態様の可能な実施態様のいずれか1つの方法を遂行するために、メモリからコンピュータ命令を呼び出して、コンピュータ命令を実行するように構成される。
本出願の目的、技術的解決策、および利点を明確にするために、添付の図面を参照しながら、本出願における実施形態を以下でさらに詳細に説明する。
本出願の実施形態に記載される適用シナリオは、本出願の実施形態の技術的解決策をより明確に説明することが意図されており、本出願の実施形態において提供される技術的解決策に対する制限を構成するものではない。本出願の実施形態で提供される技術的解決策は、ネットワークアーキテクチャが進化し新しい適用シナリオが出現するに従い同様の技術的問題にも適用可能であることが当業者には理解されよう。
図1は、関連する技術的解決策による脆弱性管理システム100の構造の概略図であり、脆弱性管理システム100は、ホストに対して脆弱性スキャンおよびパッチ修復を実施するために使用される。脆弱性管理システム100は、ホストデバイス106と、脆弱性管理サーバ101とを含む。脆弱性管理サーバ101は、脆弱性スキャナ104と、パッチ管理モジュール102とを備える。任意選択で、脆弱性スキャナ104およびパッチ管理モジュール102は、ソフトウェアを使用して実施される。例えば、脆弱性スキャナは、Tenable社から発売された脆弱性スキャナNESSUS、オープンソースのスキャンツールNmap、またはUnixオペレーティングシステムプラットフォームのネットワークツールnetcatである。例えば、パッチ管理モジュールは、SolarWinds社から発売されたSolarWinds、または別のネットワーク管理関係者により独自に開発されたソフトウェアモジュールである。任意選択で、脆弱性スキャナ104およびパッチ管理モジュール102は、IBMから発売されたネットワーク管理システムNetView、またはHPから発売されたネットワーク管理システムOpenViewに統合されてもよい。
ホストデバイス106は、例えば、インテリジェント端末、タブレットコンピュータ、またはデスクトップコンピュータなどのユーザ機器であってもよく、あるいは企業規模のネットワーク管理デバイスであってもよい。
脆弱性スキャナ104は、ネットワークを介してホストデバイス106を監視しスキャンすることによって、ホストデバイス106において、システム脆弱性、セキュリティソフトウェア脆弱性、またはアプリケーションソフトウェア脆弱性などの様々なタイプのセキュリティ脆弱性を検出し得る。脆弱性スキャナ104は、発見したホストデバイス106の脆弱性情報をパッチ管理モジュール102に送信する。パッチ管理モジュール102は、脆弱性情報に基づいて、対応する脆弱性の修復に使用するパッチ情報が存在するかどうかを判定し、対応するパッチ情報が存在する場合は、ホストデバイス106にパッチ情報を送達する。ホストデバイス106は、修復ユニット108を備える。修復ユニット108は、ホストデバイス106が受信したパッチ情報を使用してホストデバイスにパッチを当てることによって、システム脆弱性を修復する。脆弱性管理システム100における、デバイス間またはデバイスのユニット間の相互作用については、図1のステップs105~s120を参照されたい。
脆弱性管理システム100は、ホストデバイス106に存在するセキュリティ脆弱性を遠隔で監視して修復でき、これによってネットワークホストが攻撃されるリスクをある程度まで低減する。しかしながら一態様では、一部の新たに出現した脆弱性については適時にパッチを提供するのが困難である。したがって、前述の方法では通常はハッカーの攻撃に効果的に対抗できず、結果としてネットワークセキュリティの問題が生じる。別の態様において、現在のネットワーク構成では、端末ホストに対する悪影響に加え、ネットワーク脆弱性は広範囲にわたって、サーバとそのソフトウェアおよびハードウェア、ルータ、スイッチ、ならびにセキュリティファイアフォールなどの、ネットワーク内の他の主要なネットワークデバイスにさらに影響を及ぼす。この事例ではホストシステムに対してのみセキュリティスキャンを実行しており、ネットワーク規模の脆弱性を効果的に防御することはまだできていない。
図2は、本出願の一実施形態による、セキュリティ脆弱性防御を実施するのに使用されるネットワークシステムの構造の概略図である。ネットワークシステムは、複数のホストデバイス214と、複数のネットワークセキュリティデバイス212と、ネットワーク管理システム202と、脆弱性管理デバイス204とを含む。ネットワークセキュリティデバイス212は例えば、セキュリティゲートウェイ、ファイアウォール、ルータ、またはスイッチなど、ネットワーク内で特定のセキュリティ防御能力を有するデバイスであってもよい。S205に示すように、ホストデバイス214、および/またはネットワークセキュリティデバイス212は、デバイス上の関連するアセットのアセット情報をネットワーク管理システム202に送信する。可能な一実施態様において、ネットワークで脆弱性分析および防御を行う必要がある別のタイプのデバイスが、デバイス上の関連するアセットのアセット情報をネットワーク管理システム202に代替的に送信してもよい。これは実際の適用シナリオに関連して具体的に決定されてもよい。
任意選択で、アセットは、物理アセットおよび論理アセットのいずれか、または両方を含む。任意選択で、物理アセットは、ネットワーク内のデバイス、またはデバイス上のハードウェアもしくは構成要素であり、論理アセットは、ネットワーク内のデバイス上で稼働するソフトウェア、または通信ネットワーク内のデバイスによって記憶された情報である。一例では、物理アセットは、マルチコアCPU、またはソリッドステートドライブ(Solid State Disk、SSD)アレイを含み、論理アセットは、ネットワーク内の防御デバイスのオペレーティングシステム、ソフトウェアアプリケーションなどを含む。アセットは、そのモデルおよびバージョンに関連付けられる。例えば、同じホストデバイス214について、そのオペレーティングシステムと、システム上で稼働するソフトウェアアプリケーションAとは異なるアセットであり、同じホストシステムで稼働するソフトウェアアプリケーションAとソフトウェアアプリケーションBもまた異なるアセットである。別の例では、2つの仮想マシンを含むホストデバイス214の場合、2つの仮想マシン上で同じソフトウェアアプリケーションAが別々に稼働していても、異なる仮想マシン上で稼働するソフトウェアアプリケーションAのバージョンが異なるため、バージョンが異なる前述の2つのソフトウェアアプリケーションAは、やはり異なるアセットとみなされる。2つのホストデバイス214でそれぞれ稼働する、モデルが異なる2つのソフトウェアアプリケーションは異なるアセットであり、2つのホストデバイス214で稼働する、モデルは同じだがバージョンが異なる2つのソフトウェアアプリケーションもまた、異なるアセットである。しかしながら、アセットモデルおよびアセットバージョンのみに基づいてアセットを判定すると、2つのホストデバイス214でそれぞれ稼働している同じモデルおよび同じバージョンのアセットは区別することができない。あるいは、2つの仮想マシンを含むホストデバイス214の場合、2つの仮想マシン上でそれぞれ稼働している同じモデルおよび同じバージョンの2つのアセットは区別することができない。このためアセットは、同じモデルおよび同じバージョンの複数のアセットを区別するために、アセット識別子を使用し得る。アセット識別子は、グローバルアセット識別子とな
り得る。グローバルアセット識別子は、制御されたネットワークの範囲内で一意であり、ネットワーク全体で、特定のネットワークデバイスの特定のアセットを一意に識別することができる。可能な一実装態様において、グローバルアセット識別子は、アセットが属するネットワークデバイスのデバイス識別子を含み得る。アセット識別子は、あるいはローカルアセット識別子になり得る。ローカルアセット識別子は、ホストデバイス214またはネットワークセキュリティデバイス212などの特定のネットワークデバイス内で一意であり、少なくとも、同じネットワークデバイス内で特定のアセットを一意に識別できることを保証する。
り得る。グローバルアセット識別子は、制御されたネットワークの範囲内で一意であり、ネットワーク全体で、特定のネットワークデバイスの特定のアセットを一意に識別することができる。可能な一実装態様において、グローバルアセット識別子は、アセットが属するネットワークデバイスのデバイス識別子を含み得る。アセット識別子は、あるいはローカルアセット識別子になり得る。ローカルアセット識別子は、ホストデバイス214またはネットワークセキュリティデバイス212などの特定のネットワークデバイス内で一意であり、少なくとも、同じネットワークデバイス内で特定のアセットを一意に識別できることを保証する。
アセットはアセット情報を使用して表されてもよく、アセット情報は少なくとも、アセット識別子と、アセットモデルと、アセットバージョンとを含む。例えば、アセット情報は、<アセット識別子、アセットモデル、アセットバージョン>で表される。ホストデバイス214またはネットワークセキュリティデバイス212などの各ネットワークデバイスは、セキュリティ脆弱性防御が行われることが必要な1つ以上のアセットを決定し得る。ネットワークデバイスは、ネットワーク管理システム202に、セキュリティ脆弱性防御が行われる必要があるアセットのアセット情報を送信し得る。例えば、送信は、特定の時間期間に基づいて定期的に実行されてもよく、あるいは、例えば、特定の時間期間内に発見された脆弱性の数がしきい値を満たしている、または主要な脆弱性リストにヒットする、または発見された脆弱性の総数が事前設定値を超えるなど、特定の条件がトリガされたときに不定期に実行されてもよい。実際の適用シナリオでは、ネットワークデバイスは、アセットのいくつかのアセット情報を1つずつ送信してもよく、あるいは送信効率を高めるために、アセットの複数のアセット情報を同時に送信してもよい。アセットの複数のアセット情報が送信されるときは、毎回送信する具体的な範囲は実際の要件に基づいて決定されてもよい。例えば、脆弱性を検出される必要がある全アセットのアセット情報が含まれてもよく、あるいは事前設定ルールに合致する特定のアセットのアセット情報が、ネットワーク管理システム202によって事前設定されたルールに従って送信される、または一部のアセットのアセット情報が、アセット優先度に基づいて送信される。説明を容易にするために、本明細書では、毎回送信される1つ以上のアセット情報が、1つのアセット情報グループを構成すると定義される。
説明を明確にするために、ホストデバイス214によって同時に送信されるアセット情報グループの表現形式が、一例として以下に記載される。可能な一実施態様において、ホストデバイス214は、ネットワーク管理システム202にアセット情報グループ、
<ホストデバイス A-ZC1、Office 2017、V1.0>
<ホストデバイス A-ZC2、Office 2017、V1.1>
<ホストデバイス A-ZC3、Google Chrome、V3.1.2>、または
<ホストデバイス A-ZC4、Access Client、V4.5.1>
を送信し得る。
<ホストデバイス A-ZC1、Office 2017、V1.0>
<ホストデバイス A-ZC2、Office 2017、V1.1>
<ホストデバイス A-ZC3、Google Chrome、V3.1.2>、または
<ホストデバイス A-ZC4、Access Client、V4.5.1>
を送信し得る。
アセット情報グループの表現形式は、単なる一例として使用されている。実際の適用においては、アセット識別子、アセットモデル、およびアセットバージョンの具体的な実施態様や数量などは必要に応じて決定されてよい。例えば、アセット識別子は、ネットワーク全体で、8ビット2進コードを使用して表され得る。例えば、「ホストデバイス A-ZC1」は代わりに10001001で表され、「ホストデバイス A-ZC2」は10001010で表される。例えば、識別子対応表は、アセットモデルとアセットバージョンとの組み合わせに基づいて確立され、例えば、「Office 2017、V1.0」は識別子1001に対応し、「Office 2017、V1.1」は識別子1010に対応する。アセット情報グループ内の<ホストデバイス A-ZC1、Office 2017、V1.0>は<10001001、1001>で表され、<ホストデバイス A-ZC2、Office 2017、V1.1>は<10001010、1010>で表されてもよく、これによってアセット情報グループのデータを送信するのに必要な帯域幅リソースを削減する。アセット情報グループのどの具体的な表現形式が使用されるかにかかわらず、対応するアセット情報を受信するネットワーク管理システム202または別の可能なシステムが、対応する解析ルールを確実に理解しているべきであることに留意されたい。
図2のS205に示すように、ネットワーク管理システム202は、ホストデバイス214によって送信されたアセット情報グループを受信する。アセット情報グループの1つ以上のアセット情報がローカルアセット識別子を含んでいる、またはデバイス識別子を含まないグローバルアセット識別子を含んでいるときは、ネットワーク管理システム202は、1つ以上のアセット情報に個別に対応する、ホストデバイス214のデバイス識別子を決定する。1つ以上のアセット情報がグローバルアセット識別子を含み、グローバルアセット識別子がホストデバイス214のデバイス識別子を含んでいるときは、ネットワーク管理システム202はグローバルアセット識別子からデバイス識別子を取得してもよく、他の情報に基づいて1つ以上のアセット情報に対するデバイス識別子を決定する必要はない。可能な一実施態様において、ネットワーク管理システム202は、ホストデバイス214のネットワークトポロジ情報をさらに決定し、ネットワークトポロジ情報は、ホストデバイス214に関連付けられた別のネットワークデバイスのアドレス情報、パス情報などである。例えば、別のネットワークデバイスは、ネットワーク管理ファイアウォール、ルータ、およびスイッチなどのネットワークセキュリティデバイス212のような、ホストデバイス214に関連付けられた転送デバイスであってもよく、これにより、ホストデバイスに関連付けられたネットワークセキュリティデバイス212に、脆弱性緊急防御ポリシーをその後直接送信し、これによって少なくとも、脆弱性パッチがインストールされる前にホストデバイス214を安全に使用できることが保証される。ネットワークトポロジ情報は、ネットワーク管理システム202を使用して自動的に取得されてもよく、あるいはアセット情報グループが受信された後で、ネットワーク管理者によって手動で構成されてもよい。S210に示すように、ネットワーク管理システム202は、ホストデバイス214のアセット情報グループ、および対応するネットワークトポロジ情報、ならびに/またはデバイス識別子を脆弱性管理デバイス204に送信する。任意選択で、ネットワーク管理システム202は、トポロジ発見メカニズムを使用して、ネットワークトポロジ情報を生成する。
脆弱性管理対象のネットワークデバイスは、ホストデバイス214とネットワークセキュリティデバイス212とを含む。前述の実施態様では、ホストデバイス214のみが一例として使用されている。しかしながら、ネットワークセキュリティデバイス212はあるいは、同様の方法で、ネットワークセキュリティデバイス212のアセット情報グループ、および対応するネットワークトポロジ情報、ならびに/またはデバイス識別子を脆弱性管理デバイス204に送信してよいことが理解されよう。いくつかの可能な実施態様において、アセット情報グループを送信する、ホストデバイス214またはネットワークセキュリティデバイス212のデバイス識別子は、ホストデバイス214またはネットワークセキュリティデバイス212によって保持され、ネットワーク管理システム202に送信され得る。あるいは、ネットワーク管理システム202は、アセット情報グループを送信する、ホストデバイス214またはネットワークセキュリティデバイス212に関する情報に基づいて、対応するデバイス識別子をローカルに決定する。可能な一実施態様において、ネットワーク内の別のデバイスが、ネットワークデバイスのアセットのアセット情報をネットワーク管理システム202に送信する。例えば、ホストデバイス214について、ホストデバイス214を保護するように構成されたゲートウェイファイアウォール、あるいはホストデバイス214にデータを転送するように構成されたルータまたはスイッチなどの、ホストデバイス214に関連付けられた転送デバイスもまた、場合により、ホストデバイス214に送信される必要があるデータパケットを読み出して分析することによって、ホストデバイス214上でアセット情報を発見し得る。前述の事例では、ゲートウェイファイアウォール、ルータ、またはスイッチなどの別のデバイスが、ホストデバイス214のアセット情報をネットワーク管理システム202に送信する。アセット情報を送信するとき、別のデバイスもまた、アセット情報がホストデバイス214のアセットに属することを識別するために、ホストデバイス214のデバイス識別子を送信してもよい。可能な一実施態様において、帯域幅を節約し送信効率を高めるために、ネットワーク管理システム202は、脆弱性管理デバイス204にネットワーク全体のネットワークトポ
ロジ情報をさらに送信してもよく、その結果、脆弱性管理デバイス204は、アセット情報グループに関連付けられたデバイス識別子、およびネットワーク全体のネットワークトポロジ情報に基づいて、脆弱性防御ポリシーが実行される必要があるホストデバイス214に対応する、転送デバイス212を決定することができる。ネットワーク管理システム202が、ネットワーク全体のネットワークトポロジ情報を脆弱性管理デバイス204に送信するとき、ネットワーク管理システム202は、脆弱性管理デバイス204に対して、ネットワークトポロジ情報を定期的または不定期に更新してもよく、これによって、ネットワークトポロジ情報に基づいて脆弱性防御ポリシーを実行することの有効性および信頼性を保証する。更新は、ネットワーク全体に対するトポロジ情報の完全な更新または部分的な更新であってもよい。
ロジ情報をさらに送信してもよく、その結果、脆弱性管理デバイス204は、アセット情報グループに関連付けられたデバイス識別子、およびネットワーク全体のネットワークトポロジ情報に基づいて、脆弱性防御ポリシーが実行される必要があるホストデバイス214に対応する、転送デバイス212を決定することができる。ネットワーク管理システム202が、ネットワーク全体のネットワークトポロジ情報を脆弱性管理デバイス204に送信するとき、ネットワーク管理システム202は、脆弱性管理デバイス204に対して、ネットワークトポロジ情報を定期的または不定期に更新してもよく、これによって、ネットワークトポロジ情報に基づいて脆弱性防御ポリシーを実行することの有効性および信頼性を保証する。更新は、ネットワーク全体に対するトポロジ情報の完全な更新または部分的な更新であってもよい。
脆弱性管理デバイス204は、アセット-脆弱性対応関係ライブラリ206と、脆弱性応答プレイブック(英語:playbook)ユニット208と、分析および防御ユニット210とを備える。アセット-脆弱性対応関係ライブラリ206は、アセットと脆弱性との間の対応関係を保存するように構成される。対応関係は1対1の関係であってもよく、あるいは1対多の関係であってもよく、具体的には、1つのアセットが複数の脆弱性を含み得る。アセットと脆弱性との間の対応関係は、アセットのアセット情報の中の<アセットモデル、アセットバージョン>を使用して一意に索引付けされ得る、言い換えれば、アセットバージョンとアセットモデルとが同じアセットは、アセットと脆弱性との間にも同じ対応関係を有する。アセットと脆弱性との間の対応関係の可能な表現形式を以下に記載する。
<Office 2017、V1.0--脆弱性1、脆弱性2、脆弱性3>、
<Office 2017、V1.1--脆弱性4、脆弱性5>、
<Google Chrome、V3.1.2--脆弱性6、脆弱性7>、または
<Access Client、V4.5.1--脆弱性8>。
<Office 2017、V1.0--脆弱性1、脆弱性2、脆弱性3>、
<Office 2017、V1.1--脆弱性4、脆弱性5>、
<Google Chrome、V3.1.2--脆弱性6、脆弱性7>、または
<Access Client、V4.5.1--脆弱性8>。
前述の表現形式において、同じアセットの異なる脆弱性は、異なるID番号を有する。例えば、アセット<Office 2017、V1.0>の脆弱性1、脆弱性2、および脆弱性3は、ID番号が異なっている。場合によっては脆弱性モデルが同じであっても、異なるアセットの同じ脆弱性モデルに対する処置方法が必ずしも同じでないことを考慮すると、可能な一実施態様において、異なるアセットの同じ脆弱性もまた異なる脆弱性識別子を有し、例えば、脆弱性1と脆弱性4とが同じモデルを有していても、脆弱性1と脆弱性4とはそれぞれ異なるアセットに属するため、脆弱性1と脆弱性4とは異なる脆弱性識別子を有する。これによりアセットの脆弱性管理を容易にすることができる。別の可能な実施態様において、異なるアセットにそれぞれ対応する複数の脆弱性が実際には同じであるとき、複数の脆弱性の防御に使用される脆弱性防御ポリシーも同じであると判断できれば、複数の脆弱性に同じ脆弱性識別子が割り当てられてもよく、これにより記憶リソースが節約される。
別の可能な実施態様において、アセットと脆弱性との間の対応関係の別の表現形式が、必要に応じて代替的に定義されてもよい。例えば、アセット情報グループの表現形式に対応して、<Office 2017、V1.0--脆弱性1、脆弱性2、脆弱性3>は<1001--脆弱性1、脆弱性2、脆弱性3>で表されてもよく、あるいは<Office 2017、V1.0--脆弱性1、脆弱性2、脆弱性3>は、<Office 2017、V1.0--脆弱性1>と<Office 2017、V1.0--脆弱性2>と<Office 2017、V1.0--脆弱性3>とに分割されてもよく、あるいは特定の事前定義ルールに従って脆弱性が番号付けされてもよい。具体的な表現形式は、実際の要件およびシナリオに基づいて定義されてもよい。
可能な一実施態様において、<アセットモデル、アセットバージョン>と脆弱性との間の対応関係が、ソフトウェア製品製造者、ハードウェア製品製造者、またはセキュリティ脆弱性管理者などのサードパーティによってリリースされる場合があり、その後、脆弱性管理デバイス204によって受信またはダウンロードされ、ローカルアセット-脆弱性対応関係ライブラリ206に保存され得る。別の可能な実施態様では、サードパーティはアセットに対して脆弱性プロンプト情報をリリースする。脆弱性プロンプト情報を受信すると、脆弱性管理デバイス204は、対応するアセットと脆弱性との間に対応関係を確立し、ローカルアセット-脆弱性対応関係ライブラリ206に対応関係を保存する。別の可能な実施態様において、アセット-脆弱性対応関係ライブラリ206は、脆弱性管理デバイス204には保存されないが、別のデバイスまたはクラウドに配置される場合があり、その結果、脆弱性管理デバイス204によって直接呼び出されるか、または一時的にダウンロードされることによって、脆弱性管理デバイス204の使用柔軟性およびリアルタイム性能が向上する。
脆弱性応答playbookユニット208は、脆弱性に対する脆弱性応答Playbookを記憶するように構成される。playbookは、ネットワーク内のネットワーク要素の構成、配置、およびオーケストレーションを管理するために使用される言語である。言語は1つ以上のネットワーク要素の一連の論理演算をオーケストレーションするために使用されてもよく、その結果、1つ以上のネットワーク要素が論理演算を解析し実行する。オーケストレーション管理者は、1つ以上のネットワーク要素デバイスに一連の特定の操作を実行する、例えば、playbookに基づいてセキュリティ防御に関する一連の動作を実行するよう命令するために使用される、一連のplaybookをオーケストレーションすることができる。playbookは、プログラミングインターフェースの様々なシステムおよび命令実施態様につながっているプログラミングインターフェースを隠して、オーケストレーション管理者がオーケストレーション操作の論理に集中できるようにする。playbookスクリプト言語の解析をサポートできる解析エンジンは、具体的なプログラム可能命令と対応するシステムとの相互作用および実行を実施する。脆弱性に対応する緊急応答playbookは、脆弱性のためにオーケストレーションされた、一連の緊急応答動作のplaybookスクリプトであり、必要な段階で対応する緊急防御ポリシーをまず実行し、それにより空白期間中の、脆弱性に対する悪意のある攻撃を回避するために使用される。必要な段階とは、例えば、脆弱性が発見されたがまだパッチがリリースされていないとき、あるいは脆弱性パッチが、新たな攻撃方法に十分に対処できずパッチの更新が必要とされている場合、あるいは異常時または異常状態において脆弱性防御レベルを上げる必要がある場合が考えられる。上に挙げた事例は単なる例として使用されており、playbook脆弱性防御ポリシーが使用可能にされる具体的なシナリオは必要に応じて設定されてもよい。
実際の適用シナリオに対しては具体的な緊急防御ポリシーが選択され設計されてもよく、アクセス制御リスト(英語:access control list、ACL)アクセス制御ポリシー、特徴ストリングに基づく正規フィルタリングポリシー、および/または侵入防止システム(英語:intrusion prevention system、IPS)シグネチャに基づく保護ポリシーなどが実行される。ACLアクセス制御ポリシーは、ルータインターフェースに対して命令リストを発行するため、パケットに対して受け入れ動作または拒否動作を実行するようルータに命令するためなどに使用され得る。緊急保護状態においては、例えば、ルータが信頼できるパケットのみを受け入れるように制限するためにACL命令リストが使用されてもよく、その結果、ルータが悪意あるパケットによって脅威にさらされることはない。特徴ストリングに基づく正規フィルタリングポリシーを使用することによって、例えば、ユーザ端末のセキュリティ、ゲートウェイファイアウォールなどが、特定の制御文字列とマッチングすることによって保証され得る。例えば、認可されていないドメイン名システム(英語:domain name system、DNS)を表すのに使用される特徴文字列が事前設定されてもよく、これにより潜在的な認可されていないユーザのシステムへのアクセス、攻撃などをフィルタで除去する。IPSシグネチャに基づく保護ポリシーは、収集した脆弱性情報および攻撃特徴などの履歴に基づいて、特徴挙動分類フィルタを確立し維持するために主に使用される。例えば、ゲートウェイファイアウォールは、通過するネットワークトラフィックを分類し確認し、アプリケーション脆弱性攻撃、トロイの木馬、スパイウェア、および疑わしいネットワーク動作(例えば、遠隔制御またはアドウェア)などの侵入行為を検出し遮断するために分類フィルタを使用する。
脆弱性応答playbookユニット208は、アセットの脆弱性とplaybookとの間の対応関係を保存する。可能な一実施態様において、脆弱性とplaybookとの間の対応関係は、1対1の関係になり得る。脆弱性とplaybookとの間の対応関係は、<アセットモデル、アセットバージョン、脆弱性識別子>を使用して一意に索引付けされ得る、言い換えれば、同じアセットの同じ脆弱性識別子は、脆弱性とplaybookとの間にも同じ対応関係を有する。脆弱性とplaybookとの間の対応関係の可能な表現形式を以下に記載する。
<Office 2017、V1.0、脆弱性1--playbook 1>、
<Office 2017、V1.0、脆弱性2--playbook 2>、
<Office 2017、V1.0、脆弱性3--playbook 3>、
<Office 2017、V1.1、脆弱性4--playbook 4>、
…、
<Access Client、V4.5.1、脆弱性8--playbook 8>。
<Office 2017、V1.0、脆弱性1--playbook 1>、
<Office 2017、V1.0、脆弱性2--playbook 2>、
<Office 2017、V1.0、脆弱性3--playbook 3>、
<Office 2017、V1.1、脆弱性4--playbook 4>、
…、
<Access Client、V4.5.1、脆弱性8--playbook 8>。
別の可能な実施態様において、複数の異なる脆弱性識別子に対してオーケストレーションされたplaybookスクリプトが実質的に同じと判定されると、複数の異なる脆弱性識別子が、同じplaybookに対応していると見なされ得る。言い換えれば、複数の異なるアセットの複数の脆弱性と、playbookとの間の対応関係が、場合によっては多対1の関係になることによって、記憶リソースが節約される。
可能な一実施態様において、脆弱性に対応するplaybookは、サードパーティによってリリースされ得る。したがって、脆弱性応答playbookユニット208は脆弱性管理デバイス204内にはない場合があるが、別のデバイスまたはクラウドに配置される場合があり、その結果、脆弱性管理デバイス204によって直接呼び出されるか、または一時的にダウンロードされる。
上述したように、アセットのアセット情報は、<アセット識別子、アセットモデル、アセットバージョン>で表され得る。S215に示すように、分析および防御ユニット210は、<アセットモデル、アセットバージョン>に基づくアセット識別子と脆弱性識別子との間の対応関係、およびアセット情報におけるアセットと脆弱性との間の対応関係<アセットモデル、アセットバージョン、脆弱性識別子>、例えば、<アセット識別子、アセットモデル、アセットバージョン、脆弱性識別子>を分析し確立してもよく、あるいはマッチングのみを実行して<アセット識別子、脆弱性識別子>の対応関係を確立してもよい。アセット識別子がデバイス識別子を含むグローバルアセット識別子のときは、分析および防御ユニット210は、アセット識別子に基づいて、アセットのネットワークデバイスを直接決定し、ネットワークデバイスの特定のアセットと脆弱性識別子との間の対応関係を確立し得る。アセット識別子がローカルアセット識別子、またはデバイス識別子を含まないグローバルアセット識別子のときは、分析および防御ユニット210は、アセット識別子を含むアセット情報に対応するデバイス識別子を決定することがさらに必要であり、これによりネットワークデバイスの特定のアセットと脆弱性識別子との間の対応関係を決定する。
分析および防御ユニット210は、ホストデバイス214またはネットワークセキュリティデバイス212に関連付けられた転送デバイスを決定するために、アセットのアセット情報グループを送信する、ホストデバイス214またはネットワークセキュリティデバイス212のネットワークトポロジ情報をさらに取得し得る。分析および防御ユニット210は、脆弱性識別子を使用して、緊急処置および脆弱性防御に使用されるplaybookスクリプトを取得し得る。S220に示すように、分析および防御ユニット210は、アセット脆弱性を処置するための脆弱性防御ポリシーを取得するために、決定したplaybookスクリプトを解析する。前述の事例のいくつかで必要とされる、脆弱性識別子およびデバイス識別子に関連付けられたアセット識別子を使用することによって、解析した脆弱性防御ポリシーをどのネットワークデバイスに送信する必要があるか、ならびにネットワークデバイスのどのアセットに対して脆弱性防御ポリシーが脆弱性の防御に使用されるかを知ることが可能になる。場合によっては、分析および防御ユニット210は、ネットワークデバイスに対応するネットワークトポロジ情報に基づいて、playbookスクリプトが解析された後に取得され、かつ脆弱性の防御に使用される脆弱性防御ポリシーを、ネットワークデバイスに関連付けられた1つ以上の転送デバイスにさらに送信し得る。転送デバイスは、例えば、ネットワークデバイスに関連付けられたネットワークセキュリティデバイス212であってもよい。ホストデバイス214またはネットワークセキュリティデバイス212は、受信した脆弱性防御ポリシーに基づいて、対応する防御動作を実行する。
可能な一実施態様において、分析および防御ユニット210は、あるいはplaybookスクリプトを解析せずに、対応するホストデバイス214またはネットワークセキュリティデバイス212にplaybookスクリプトを直接送信してもよく、ホストデバイス214またはネットワークセキュリティデバイス212は、playbookスクリプトを解析することによって、ネットワークシステムの動作セキュリティを保証するために、対応する脆弱性防御ポリシーを実行する。
別の可能な実施態様において、脆弱性管理デバイス204は、ネットワーク管理システム202に、1つ以上のセキュリティ脆弱性の修復に使用するplaybookスクリプトをまず送信し、次に、ネットワーク管理システム202が、ホストデバイス214またはネットワークセキュリティデバイス212にplaybookスクリプトを送信する、あるいはネットワーク管理システム202は、ホストデバイス214またはネットワークセキュリティデバイス212に、playbookスクリプトが解析された後に生成された脆弱性防御ポリシーを送信する。あるいは、脆弱性管理デバイス204は、ネットワーク管理システム202から独立して存在せずに、ネットワーク管理システム202の一部として統合され、対応する脆弱性分析および防御機能を実施するように構成される。あるいは、脆弱性管理デバイス204は、ネットワークの別のデバイスまたはシステムに統合されてもよい。
図3は、本出願の一実施形態による、セキュリティ脆弱性防御方法300の概略フローチャートである。例えば、方法300は、図2の脆弱性管理デバイス204によって実行されてもよく、あるいはネットワーク管理システム202または別のネットワークデバイスに統合され、対応する脆弱性防御機能を実施できる、デバイスまたはユニットによって実行されてもよい。方法300は以下の内容を含む。
S305.脆弱性管理デバイスは、第1のネットワークデバイスのアセットのアセット情報を取得し、アセット情報は、アセット識別子と、アセットモデルと、アセットバージョンとを含み、第1のネットワークデバイスは、制御されたネットワークの範囲内に配置される。
可能な一実施態様において、脆弱性管理デバイス204は、ネットワークデバイスの関連するアセットのアセット情報を取得する。ネットワークデバイスのアセットのアセット情報は、ネットワークデバイスによって取得され得る、あるいはネットワークの別のデバイスによって取得され得る。別のデバイスからアセット情報を取得する場合、例えば、ネットワークデバイスがホストデバイス214のとき、転送デバイスなど、ホストデバイス214に関連付けられた別のデバイスは、ホストデバイス214に送信される必要があるデータパケットなどを読み出して分析することによって、ホストデバイス214のアセットに対応するアセット情報を見つけ得る。ネットワークデバイスは、例えば、図2に示すネットワークセキュリティデバイス212またはホストデバイス214であってもよい。ホストデバイス214が一例として使用される。ホストデバイス214は、脆弱性防御が行われることが必要な主要なアセットを含み得る。アセットは、対応するアセット情報を使用して説明されてもよく、アセット情報は、アセット識別子と、アセットモデルと、アセットバージョンとを含み得る。任意選択で、アセット情報は、多くの次元の情報を使用して異なるアセットが区別され得るならば、あるいは別のタイプの情報を含んでもよい。具体的に含まれる情報は、実際の適用シナリオに基づいて決定され得る。あるいは1つのホストデバイス214が、複数のアセットを含んでもよい。この場合、脆弱性管理デバイス204は、複数のアセットに対応する複数のグループのアセット情報をそれぞれ取得する必要がある。
アセット識別子は、異なるアセットの識別に使用され、これにより適切に、対応するネットワークデバイスにアセット脆弱性防御ポリシーを速やかに送達する。例えば、アセット識別子はグローバルアセット識別子であり、グローバルアセット識別子は、制御されたネットワークの範囲内で一意である。可能な一実装態様において、グローバルアセット識別子は、第1のネットワークデバイスのデバイス識別子を含む。別の例では、アセット識別子はローカルアセット識別子であり、ローカルアセット識別子は、第1のネットワークデバイス内で一意である。ネットワークデバイスが、脆弱性防御が行われる必要がある複数のアセットを有するとき、脆弱性管理デバイス204は、複数のアセットに対応する複数のアセット情報をそれぞれ取得することができる。ネットワークデバイスのデバイス識別子は、例えば、デバイスのデバイスID、およびインターネットプロトコル(英語:internet protocol、IP)アドレス、またはメディアアクセス制御(英語:media access control、MAC)アドレスであってもよい。デバイス識別子は、ネットワークセキュリティデバイス212またはホストデバイス214によって送信されてもよく、あるいはアセット情報が受信されたときに使用される送信者情報に基づいて、ネットワーク管理システム202によって決定され追加されてもよい。
S310.脆弱性管理デバイスは、アセット情報の中のアセットモデルおよびアセットバージョンに基づいて、アセット情報に対応する脆弱性情報を取得する。
脆弱性管理デバイス204の分析および防御ユニット210は、ネットワークデバイスのアセットと脆弱性との間の対応関係に基づいて、防御が行われる必要があるネットワークデバイスのアセットの1つ以上の脆弱性を決定し得る。具体的には、アセット-脆弱性対応関係ライブラリ206は、<アセットモデル、アセットバージョン>の組み合わせと、脆弱性との対応関係を保存し得る。対応関係は1対1の関係であってもよく、あるいは1対多の関係であってもよく、つまり、<アセットモデル、アセットバージョン>の1つの組み合わせが複数の脆弱性に対応する。<アセットモデル、アセットバージョン>の組み合わせと、脆弱性との間の対応関係の表現形式は、<アセットモデル、アセットバージョン--脆弱性識別子1、…、脆弱性識別子N>であってもよく、Nはアセット情報に対応する脆弱性の数を表す。脆弱性識別子は、アセットの特定の脆弱性を一意に識別するために使用される。別の可能な実施態様において、脆弱性情報は、異なるタイプの脆弱性が異なるものとして表され得るならば、脆弱性タイプおよび脆弱性名などの他のデータを使用して表されてもよい。
ネットワークデバイスによって送信された情報がアセット情報のとき、分析および防御ユニット210は、アセット情報を送信するネットワークデバイスのデバイス識別子を決定することによって、ネットワークにおけるデバイス識別子を有する、ネットワークデバイスのアセットが、対応するID番号の脆弱性を有することをさらに判定し得る。
分析および防御ユニット210は、<アセットモデル、アセットバージョン>の組み合わせと脆弱性との間で取得した、<アセットモデル、アセットバージョン--脆弱性識別子1、...、脆弱性識別子N>の対応関係、ならびにアセット情報の中のアセット識別子と<アセットモデル、アセットバージョン>との間の直接的な対応関係とに基づいて、<アセット識別子--脆弱性識別子1、...、脆弱性識別子N>の対応関係を関連付けて確立し得る。アセット識別子は少なくとも、同じデバイスの異なるアセットを異なるものとして識別し得るので、アセット情報を送信するネットワークデバイスのデバイス識別子、ならびにアセット情報の中のアセット識別子と、1つ以上の脆弱性識別子との間の対応関係に基づいて、ネットワークデバイスのアセットに対応する1つ以上の脆弱性が決定され得る。あるいは、アセット識別子がデバイス識別子を含むグローバルアセット識別子のときは、分析および防御ユニット210は、ネットワークデバイスのデバイス識別子を個別に取得するのではなく、グローバルアセット識別子に基づいて、ネットワークデバイスのアセットに対応する1つ以上の脆弱性を直接決定してもよい。
異なるアセットの複数の脆弱性のタイプが実際には同じであるときは、実際のシナリオを参照して、複数の脆弱性に同じ脆弱性識別子が設定されてもよく、例えば、複数の脆弱性に対するセキュリティ防御ポリシーが同じであると判定されることによって、記憶スペースが節約され、記憶効率が向上される。あるいは、複数の脆弱性に異なる脆弱性識別子が設定されてもよく、例えば、複数の脆弱性が同じタイプであっても、異なるアセットにおいて、複数の脆弱性に異なる対応防御ポリシーが使用されるとき、または防御ポリシーが同じであっても、対応する防御ポリシーを実施するために実行される具体的な動作手順が異なっているとき、または防御ポリシー、対応する実行手順などが実質的に同じときであっても、管理および実行を容易にするなどの目的で、それぞれが異なるアセットに属する同じタイプの複数の脆弱性に対して、異なる脆弱性識別子がやはり設定される場合がある。
ネットワークデバイスに対して脆弱性防御が行われる必要がある複数のアセットがあるときは、ネットワークデバイスに関連付けられるアセット情報と脆弱性情報との間に、対応関係の複数のグループがあることに留意されたい。
可能な一実施態様において、アセット情報と脆弱性との間の対応関係ライブラリはサードパーティによって提供され維持されてもよく、呼び出すためにクラウドまたは脆弱性管理デバイス204の別のネットワークデバイスに保存されてもよい。
S315.脆弱性管理デバイスは、脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定し、脆弱性応答playbookは、解析された後で第1のネットワークデバイスに脆弱性防御ポリシーを実行するために使用される。
任意選択で、脆弱性管理デバイス204は、各脆弱性識別子に対して、対応する脆弱性応答playbookを確立する。脆弱性識別子と脆弱性応答playbookとの間の対応関係は、脆弱性応答playbookユニット208に保存され得る。脆弱性識別子と脆弱性応答playbookとの間の対応関係は1対1の関係であってもよく、あるいは1対多の関係であってもよい。例えば、1つの脆弱性を処置するために使用される複数の防御ポリシーがあり、複数の防御ポリシーは複数のplaybookスクリプトでオーケストレーションされる。あるいは、脆弱性識別子と脆弱性応答playbookとの間の対応関係は多対1の関係であってもよい。例えば、複数の脆弱性に対する処置および防御ポリシーは実質的に同じである。この場合、同じ処置および防御ポリシーを有する複数の脆弱性識別子は、すべて同じplaybookスクリプトを指し、それにより記憶スペースが節約され得る。
可能な一実施態様において、分析および防御ユニット210は、アセット-脆弱性対応関係ライブラリ206に保存された、アセット情報と脆弱性識別子との間の対応関係、すなわち<アセットモデル、アセットバージョン--脆弱性識別子1、…、脆弱性識別子N>を読み出し、かつ脆弱性識別子と、脆弱性応答playbookユニット208に保存されたplaybookとの対応関係を読み出すことによって、現在分析されているアセットの1つ以上の脆弱性に対する緊急防御に使用されるplaybookスクリプトを分析して決定し、アセットに対応するネットワークデバイスのデバイス識別子を決定することによって、デバイス識別子によって示されたネットワークデバイスに、playbookスクリプトを適用することを決定する。別の可能な実施態様において、分析および防御ユニット210は、デバイス識別子を含むグローバルアセット識別子と、アセット-脆弱性対応関係ライブラリ206に保存された脆弱性識別子との間の対応関係、すなわち<アセット識別子--脆弱性識別子1、…、脆弱性識別子N>を読み出し、かつ脆弱性識別子と、脆弱性応答playbookユニット208に保存されたplaybookとの対応関係を読み出すことによって、現在のグローバルアセット識別子に対応するアセットの、1つ以上の脆弱性に対する緊急防御に使用されるplaybookスクリプトを決定する。
ネットワークデバイスに対して脆弱性防御が行われる必要がある、複数のアセットがあるときは、各アセットの1つ以上の脆弱性の防御に使用されるplaybookスクリプトが個別に決定されることに留意されたい。
可能な一実施態様において、分析および防御ユニット210は、ネットワークデバイスのネットワークトポロジ情報に基づいて、脆弱性防御ポリシーを実行するのにplaybookスクリプトの適用が必要な、ネットワークデバイスに関連付けられた1つ以上の転送デバイスを決定し得る。分析および防御ユニット210は、アセットに対応する脆弱性タイプに基づいて、脆弱性防御ポリシーの実行に使用するplaybookスクリプトの送信対象がネットワークデバイスか、ネットワークデバイスに関連付けられた転送デバイスか、またはこの2つの両方かを決定し得る。
可能な一実施態様において、脆弱性識別子と脆弱性応答playbookスクリプトとの間の対応関係、およびplaybookの具体的なオーケストレーション内容はサードパーティによって提供され維持されてもよく、あるいは呼び出すためにクラウド、または脆弱性管理デバイス204の別のネットワークデバイスに保存されてもよい。playbookスクリプトは、解析された後でネットワークデバイスのアセットに脆弱性防御を実行するために使用される。
任意選択で、本出願の別の実施形態において、方法300は、以下の内容をさらに含む。
S320.脆弱性管理デバイスは、脆弱性防御ポリシーを取得するために脆弱性応答playbookを解析し、脆弱性防御ポリシーをネットワークデバイスに送信する。
ネットワークデバイスのアセットの1つ以上の脆弱性を防御するために使用される1つ以上のplaybookスクリプトを決定した後で、脆弱性管理デバイス204は、ネットワークデバイスのアセットの脆弱性を防御するための1つ以上の防御ポリシーを決定するために、1つ以上のplaybookスクリプトを解析し、ネットワークデバイスまたはネットワークデバイスに関連付けられた転送デバイスに、実行する1つ以上の防御ポリシーを送信する。
任意選択で、本出願の別の実施形態ではS320は実行されなくてもよいが、その代わりにS325が実行されてもよく、S325は以下の内容を含む。
S325.ネットワークデバイス、またはネットワークデバイスに関連付けられた転送デバイスにplaybookスクリプトを送信する。
この場合、脆弱性管理デバイス204はplaybookスクリプトに解析動作を実行しないが、対応するネットワークデバイスにplaybookスクリプトを送信し、ネットワークデバイス側がスクリプトの解析動作を実行して、解析後に取得した脆弱性防御ポリシーに従って、対応する動作を実行する。
本出願の一実施形態は、図4に示すような脆弱性管理デバイス400をさらに提供する。デバイス400は、第1の取得ユニット405と、第2の取得ユニット410と、脆弱性応答ユニット415とを備える。デバイス400は、例えば、図2に示す脆弱性管理デバイス204、あるいはネットワーク管理システム202または別のネットワークシステムに統合されたデバイスまたはユニットであってもよく、対応する脆弱性防御機能を実施することができる。
第1の取得ユニット405は、第1のネットワークデバイスのアセットのアセット情報を取得するように構成され、アセット情報は、アセット識別子と、アセットモデルと、アセットバージョンとを含み、第1のネットワークデバイスは、制御されたネットワークの範囲内に配置される。
アセット情報は、例えば、ホストデバイス214および/またはネットワークセキュリティデバイス212から取得され得る。いくつかの可能な実施態様では、アセット情報に対応するデバイス識別子が、さらに一緒に取得され得る。
第2の取得ユニット410は、アセット情報の中のアセットモデルおよびアセットバージョンに基づいて、アセット情報に対応する脆弱性情報を取得するように構成される。
アセット情報と脆弱性情報との間の対応関係は、アセット-脆弱性対応関係ライブラリに保存され得る。対応関係ライブラリ、例えば、図2に示すアセット-脆弱性対応関係ライブラリ206は、デバイス400の内部に保存されてもよく、あるいはサードパーティのデバイス、クラウドサーバなどに保存されてもよい。アセット-脆弱性対応関係ライブラリは、サードパーティによって更新され維持され得る。第2の取得ユニット410は、第1の取得ユニットによって取得されたアセット情報に基づいて、事前に保存されたアセット情報と脆弱性情報との間の対応関係を読み出して呼び出すことによって、アセット情報に対応する脆弱性情報を取得する。
第1の決定ユニット415は、脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定するように構成され、脆弱性応答playbookは、解析された後で第1のネットワークデバイスに脆弱性防御ポリシーを実行するために使用される。
脆弱性情報と脆弱性応答playbookとの間の対応関係は、デバイス400、例えば、図2に示す脆弱性応答playbookユニット208に保存されてもよく、あるいはサードパーティのデバイス、クラウドサーバなどに保存されてもよい。脆弱性情報と脆弱性応答playbookとの間の対応関係はそれぞれ、サードパーティによって更新され維持され得る。playbookは、ネットワークデバイスのアセットの脆弱性に対して実行された脆弱性防御ポリシースクリプトをオーケストレーションするように構成される。
可能な一実施態様において、第2の取得ユニット410がアセット情報に対応する脆弱性情報を取得することは、アセット情報の中のアセットモデルおよびアセットバージョンに基づいて、脆弱性情報と、アセットモデルとアセットバージョンとの組み合わせとの間の対応関係の中に、アセット情報の中のアセットモデルおよびアセットバージョンに対応する脆弱性情報を見つけることを含む。
可能な一実施態様において、第1の決定ユニット415が脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定することは、アセット識別子と脆弱性情報との対応関係、ならびに脆弱性情報と脆弱性応答playbookとの対応関係に基づいて、アセット情報の中のアセット識別子に対応する脆弱性応答playbookを決定することと、決定した脆弱性応答playbookを、脆弱性情報に対応する脆弱性応答playbookとして使用することとを含む。
第2の取得ユニット410は、脆弱性情報と、アセットモデルとアセットバージョンとの組み合わせとの間の対応関係、ならびにアセット情報の中のアセット識別子、アセットモデル、およびアセットバージョンに基づいて、アセット識別子と脆弱性情報との間の対応関係を決定する。
可能な一実施態様において、デバイス400は、解析ユニット420と送信ユニット425とをさらに備え得る。解析ユニット420は、脆弱性防御ポリシーを取得するために、脆弱性応答playbookを解析するように構成される。送信ユニット425は、アセット情報の中のアセット識別子に基づいて、ネットワークデバイスに脆弱性防御ポリシーを送信するように構成され、その結果、ネットワークデバイスが脆弱性防御ポリシーを実行する。アセット識別子は、グローバルアセット識別子であってもよく、あるいはローカルアセット識別子であってもよい。ネットワークデバイスは、例えば、図2に示すホストデバイス214、またはネットワークセキュリティデバイス212、またはホストデバイス214またはネットワークセキュリティデバイス212に関連付けられた転送デバイスであってもよい。
可能な一実施態様において、第1の取得ユニット405と第2の取得ユニット410とは同じ取得ユニットであってもよく、ユニット405および410の対応する機能を実行するように構成される。
本出願の一実施形態は、脆弱性管理デバイス500の構造の概略図をさらに提供する。デバイス500は、プロセッサ501と、メモリ502と、ネットワークインターフェース503とを備える。デバイス500は、例えば、図2に示す脆弱性管理デバイス204、または図4に示す脆弱性管理デバイス400であってもよい。
ネットワークインターフェース503は、ネットワークデバイスから情報を受信し、かつ/または要求された情報をネットワークデバイスに送信するように構成される。ネットワークインターフェース503は、ネットワークから受信した情報をプロセッサ501および/またはメモリ502に送信してもよく、あるいはプロセッサ501によって処理または生成された情報をネットワークに送信し得る。情報は、例えば、アセットのアセット情報、またはplaybookスクリプトである。ネットワークインターフェース503は、有線インターフェース、例えば、光ファイバ分散データインターフェース(Fiber Distributed Data Interface、FDDI)やギガビットイーサネット(Gigabit Ethernet、GE)インターフェースであってもよい。あるいは、ネットワークインターフェース503は、無線インターフェースとすることもできる。
メモリ502は、コンピュータプログラムおよびデータを記憶するように構成される。メモリ502は、これに限定されないが、ランダムアクセスメモリ(random access memory、RAM)、読み出し専用メモリ(Read only Memory、ROM)、消去可能なプログラム可能メモリ(erasable programmable read-only memory、EPROM)、フラッシュメモリ、または光学メモリを含む。メモリ502は、オペレーティングシステムのコードを記憶する。
プロセッサ501は1つ以上のCPUであってもよく、CPUは、シングルコアCPUであってもよく、マルチコアCPUであってもよい。プロセッサ501は、メモリ502内に記憶されたコンピュータプログラムおよびデータを読み出し、コンピュータプログラムおよびデータに基づいて、前述の実施形態で説明したセキュリティ脆弱性防御方法300を実行するように構成される。
本出願の一実施形態は、コンピュータ可読記憶媒体をさらに提供する。記憶媒体はコンピュータプログラムを記憶し、コンピュータプログラムは、前述の実施形態で説明したセキュリティ脆弱性防御方法300を実行するために使用される。
前述のプロセスの順序番号は、文言によって明示されない限り、本出願の様々な実施形態における実行順序を意味しないことを理解されたい。当然、プロセスの実行順序はプロセスの機能および内部ロジックに基づいて決められ、本出願の実施形態の実施プロセスに対するいかなる限定としても解釈されない。
当業者であれば、本明細書に開示された実施形態に記載された例と組み合わせて、全部または一部のユニットおよびアルゴリズムステップが、ソフトウェア、ハードウェア、ファームウェア、またはこれらの任意の組み合わせによって実施されてもよいことを知っているであろう。このような機能を実施する方法は、技術的解決策の特定の用途および設計制約に依存する。当業者は、対応する方法を使用して、特定の用途ごとに記載された機能を実施することができる。例えば、実施形態を実施するためにソフトウェアが使用されるとき、実施形態のいくつかまたはすべては、コンピュータプログラム製品の形態で実施され得る。コンピュータプログラム製品は、1つまたは複数のコンピュータ命令を含む。コンピュータプログラム命令がコンピュータ上にロードされ実行されると、本出願の実施形態による手順または機能のすべてまたは一部が生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラマブル装置であってもよい。
コンピュータ命令は、コンピュータ可読記憶媒体に記憶されてもよいし、あるコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、ウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタに有線(同軸ケーブル、光ファイバ、またはツイストペアなど)またはワイヤレス(赤外線、ラジオ、マイクロ波など)方式で送信されてもよい。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の利用可能な媒体であってもよいし、1つまたは複数の利用可能な媒体を統合するデータ記憶装置、例えば、サーバやデータセンタであってもよい。利用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスク、または磁気テープ)、光媒体、半導体媒体(例えば、ソリッドステートディスクSolid State Disk、(SSD))などであり得る。
本明細書のすべての部分は累進的に記述されており、様々な方法およびシステムの実施形態における同じまたは同様の部分については、互いに参照されてもよい。特に、いくつかのシステムの実施形態は、基本的に方法実施形態に類似するので、簡単に記載されている。関連する部分については、方法の実施形態の説明を参照されたい。
前述の実施形態は、本出願を限定するためのものではなく、本出願の技術的解決策を説明するためのものにすぎない。前述の実施形態を参照して本出願が詳細に記載されているが、当業者は、前述の実施形態に記録された技術的解決策に基づいて、任意の修正または変形が行われること、あるいはいくつかの技術的特徴の均等な置換は、本出願の実施形態における技術的解決策の範囲内に入るものとされることをさらに理解するべきである。
100 脆弱性管理システム
101 脆弱性管理サーバ
102 パッチ管理モジュール
104 脆弱性スキャナ
106 ホストデバイス
108 修復ユニット
s105 脆弱性発見
s110 脆弱性情報
s115 パッチ情報
s120 パッチ
21~26 ポリシー
202 ネットワーク管理システム
204 脆弱性管理デバイス
206 アセット‐脆弱性対応関係ライブラリ
208 脆弱性応答playbookユニット
210 分析および防御ユニット
212 ネットワークセキュリティデバイス
214 ホストデバイス
300 ネットワークセキュリティ脆弱性防御方法
400 脆弱性管理デバイス
405 第1の取得ユニット
410 第2の取得ユニット
415 第1の決定ユニット
420 解析ユニット
425 送信ユニット
500 脆弱性管理デバイス
501 プロセッサ
502 メモリ
503 ネットワークインターフェース
101 脆弱性管理サーバ
102 パッチ管理モジュール
104 脆弱性スキャナ
106 ホストデバイス
108 修復ユニット
s105 脆弱性発見
s110 脆弱性情報
s115 パッチ情報
s120 パッチ
21~26 ポリシー
202 ネットワーク管理システム
204 脆弱性管理デバイス
206 アセット‐脆弱性対応関係ライブラリ
208 脆弱性応答playbookユニット
210 分析および防御ユニット
212 ネットワークセキュリティデバイス
214 ホストデバイス
300 ネットワークセキュリティ脆弱性防御方法
400 脆弱性管理デバイス
405 第1の取得ユニット
410 第2の取得ユニット
415 第1の決定ユニット
420 解析ユニット
425 送信ユニット
500 脆弱性管理デバイス
501 プロセッサ
502 メモリ
503 ネットワークインターフェース
Claims (21)
- セキュリティ脆弱性防御方法であって、前記方法は、
脆弱性管理デバイスによって、第1のネットワークデバイスのアセットのアセット情報を取得するステップであって、前記アセット情報は、アセット識別子と、アセットモデルと、アセットバージョンとを含み、前記第1のネットワークデバイスは、制御されたネットワークの範囲内に配置される、ステップと、
前記脆弱性管理デバイスによって、前記アセット情報の中の前記アセットモデルおよび前記アセットバージョンに基づいて、前記アセット情報に対応する脆弱性情報を取得するステップと、
前記脆弱性管理デバイスによって、前記脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定するステップであって、前記脆弱性応答プレイブックは、ネットワーク内のネットワーク要素の構成、配置、およびオーケストレーションを管理するために使用される言語であり、解析された後で前記第1のネットワークデバイスに対して脆弱性防御ポリシーを実行するために使用される、ステップと
を含む、セキュリティ脆弱性防御方法。 - 前記方法は、
前記脆弱性管理デバイスによって、前記脆弱性防御ポリシーを取得するために、前記脆弱性応答プレイブックを解析するステップと、
前記第1のネットワークデバイスに関連付けられた転送デバイスに前記脆弱性防御ポリシーを送信するステップであって、その結果、前記第1のネットワークデバイスに関連付けられた前記転送デバイスは前記脆弱性防御ポリシーを実行する、ステップと
をさらに含む、請求項1に記載の方法。 - 前記第1のネットワークデバイスに関連付けられた転送デバイスに前記脆弱性防御ポリシーを送信する前記ステップの前に、前記方法は、
前記脆弱性管理デバイスによって、前記第1のネットワークデバイスのデバイス識別子、および前記制御されたネットワークのネットワークトポロジ情報を取得するステップと、
前記脆弱性管理デバイスによって、前記ネットワークトポロジ情報に基づいて、前記第1のネットワークデバイスに関連付けられた前記転送デバイスを決定するステップと
をさらに含む、請求項2に記載の方法。 - 前記脆弱性管理デバイスによって、前記第1のネットワークデバイスのデバイス識別子を取得する前記ステップが、
前記脆弱性管理デバイスによって、前記アセット情報の中の前記アセット識別子に基づいて、前記第1のネットワークデバイスの前記デバイス識別子を取得するステップであって、
前記アセット識別子はグローバルアセット識別子であり、前記グローバルアセット識別子は前記第1のネットワークデバイスの前記デバイス識別子を含み、前記グローバルアセット識別子は、前記制御されたネットワークの前記範囲内で一意であり、前記脆弱性管理デバイスは、前記グローバルアセット識別子に基づいて前記第1のネットワークデバイスの前記デバイス識別子を取得する、あるいは前記アセット識別子はローカルアセット識別子であり、前記ローカルアセット識別子は前記第1のネットワークデバイス内で一意であり、前記脆弱性管理デバイスは、前記ローカルアセット識別子と前記デバイス識別子との間の対応関係に基づいて、前記第1のネットワークデバイスの前記デバイス識別子を取得する、
請求項3に記載の方法。 - 前記方法は、
前記脆弱性管理デバイスによって、前記脆弱性防御ポリシーを取得するために、前記脆弱性応答プレイブックを解析するステップと、
前記脆弱性管理デバイスによって、前記アセット情報の中の前記アセット識別子に基づいて、前記第1のネットワークデバイスに前記脆弱性防御ポリシーを送信するステップであって、その結果、前記第1のネットワークデバイスが前記脆弱性防御ポリシーを実行する、ステップと
をさらに含む、請求項1に記載の方法。 - 前記アセット情報の中の前記アセット識別子はグローバルアセット識別子であり、前記グローバルアセット識別子は前記第1のネットワークデバイスのデバイス識別子を含み、前記グローバルアセット識別子は、前記制御されたネットワークの前記範囲内で一意であり、前記第1のネットワークデバイスに前記脆弱性防御ポリシーを送信する前記ステップの前に、前記方法は、
前記脆弱性管理デバイスによって、前記グローバルアセット識別子から、前記第1のネットワークデバイスの前記含まれているデバイス識別子を取得するステップをさらに含み、
前記第1のネットワークデバイスに前記脆弱性防御ポリシーを送信する前記ステップは、前記第1のネットワークデバイスの前記デバイス識別子に基づいて、前記第1のネットワークデバイスに前記脆弱性防御ポリシーを送信するステップである、
請求項5に記載の方法。 - 前記アセット情報に対応する脆弱性情報を取得する前記ステップは、
前記脆弱性管理デバイスによって、前記アセット情報の中の前記アセットモデルおよび前記アセットバージョンに基づいて、前記脆弱性情報と、前記アセットモデルと前記アセットバージョンとの組み合わせとの間の対応関係の中に、前記アセット情報の中の前記アセットモデルおよび前記アセットバージョンに対応する脆弱性情報を見つけるステップと、
前記脆弱性管理デバイスによって、前記脆弱性情報と、前記アセットモデルと前記アセットバージョンとの前記組み合わせとの間の前記対応関係、ならびに前記アセット情報の中の前記アセット識別子、前記アセットモデル、および前記アセットバージョンに基づいて、前記アセット識別子と前記脆弱性情報との間の対応関係を決定するステップと
を含む、請求項1から6のいずれか一項に記載の方法。 - 前記脆弱性管理デバイスによって、前記脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定する前記ステップは、
前記脆弱性管理デバイスによって、前記アセット識別子と前記脆弱性情報との間の前記対応関係、ならびに前記脆弱性情報と前記脆弱性応答プレイブックとの間の前記対応関係に基づいて、前記アセット情報の中の前記アセット識別子に対応する前記脆弱性応答プレイブックを決定するステップと、
前記決定した脆弱性応答プレイブックを、前記脆弱性情報に対応する前記脆弱性応答プレイブックとして使用するステップと
を含む、請求項7に記載の方法。 - 前記脆弱性防御ポリシーは、アクセス制御リスト(ACL)に基づくアクセス制御ポリシー、特徴ストリングに基づく正規フィルタリングポリシー、および/または侵入防止システム(IPS)シグネチャに基づく保護ポリシーを含む、請求項1から8のいずれか一項に記載の方法。
- 脆弱性管理デバイスであって、前記脆弱性管理デバイスは、
第1のネットワークデバイスのアセットのアセット情報を取得するように構成された第1の取得ユニットであって、前記アセット情報は、アセット識別子と、アセットモデルと、アセットバージョンとを含み、前記第1のネットワークデバイスは、制御されたネットワークの範囲内に配置される、第1の取得ユニットと、
前記アセット情報の中の前記アセットモデルおよび前記アセットバージョンに基づいて、前記アセット情報に対応する脆弱性情報を取得するように構成された第2の取得ユニットと、
前記脆弱性情報に対応する脆弱性応答プレイブック(playbook)を決定するように構成された第1の決定ユニットであって、前記脆弱性応答プレイブックは、ネットワーク内のネットワーク要素の構成、配置、およびオーケストレーションを管理するために使用される言語であり、解析された後で前記第1のネットワークデバイスに対して脆弱性防御ポリシーを実行するために使用される、第1の決定ユニットと
を備える、脆弱性管理デバイス。 - 前記脆弱性管理デバイスは、
前記脆弱性防御ポリシーを取得するために、前記脆弱性応答プレイブックを解析するように構成された解析ユニットと、
前記第1のネットワークデバイスに関連付けられた転送デバイスに前記脆弱性防御ポリシーを送信するように構成された送信ユニットであって、その結果、前記第1のネットワークデバイスに関連付けられた前記転送デバイスは前記脆弱性防御ポリシーを実行する、送信ユニットと
をさらに備える、請求項10に記載の脆弱性管理デバイス。 - 前記第1の取得ユニットは、前記送信ユニットが前記第1のネットワークデバイスに関連付けられた前記転送デバイスに前記脆弱性防御ポリシーを送信する前に、前記第1のネットワークデバイスのデバイス識別子、および前記制御されたネットワークのネットワークトポロジ情報を取得するようにさらに構成され、
前記脆弱性管理デバイスは、前記ネットワークトポロジ情報に基づいて、前記第1のネットワークデバイスに関連付けられた前記転送デバイスを決定するように構成された第2の決定ユニットをさらに備える、
請求項11に記載の脆弱性管理デバイス。 - 前記第1の取得ユニットが前記第1のネットワークデバイスの前記デバイス識別子を取得することは、
前記アセット情報の中の前記アセット識別子に基づいて、前記第1のネットワークデバイスの前記デバイス識別子を取得することであって、
前記アセット識別子はグローバルアセット識別子であり、前記グローバルアセット識別子は前記第1のネットワークデバイスの前記デバイス識別子を含み、前記グローバルアセット識別子は、前記制御されたネットワークの前記範囲内で一意であり、前記第1の取得ユニットは、前記グローバルアセット識別子に基づいて前記第1のネットワークデバイスの前記デバイス識別子を取得する、あるいは前記アセット識別子はローカルアセット識別子であり、前記ローカルアセット識別子は前記第1のネットワークデバイス内で一意であり、前記第1の取得ユニットは、前記ローカルアセット識別子と前記デバイス識別子との間の対応関係に基づいて、前記第1のネットワークデバイスの前記デバイス識別子を取得する、
請求項12に記載の脆弱性管理デバイス。 - 前記脆弱性管理デバイスは、
前記脆弱性防御ポリシーを取得するために、前記脆弱性応答プレイブックを解析するように構成された解析ユニットと、
前記アセット情報の中の前記アセット識別子に基づいて、前記第1のネットワークデバイスに前記脆弱性防御ポリシーを送信するように構成された送信ユニットであって、その結果、前記第1のネットワークデバイスが前記脆弱性防御ポリシーを実行する、送信ユニットと、
をさらに備える、請求項10に記載の脆弱性管理デバイス。 - 前記アセット情報の中の前記アセット識別子はグローバルアセット識別子であり、前記グローバルアセット識別子は前記第1のネットワークデバイスのデバイス識別子を含み、前記グローバルアセット識別子は、前記制御されたネットワークの前記範囲内で一意であり、前記送信ユニットが前記第1のネットワークデバイスに前記脆弱性防御ポリシーを送信する前に、前記脆弱性管理デバイスは、
前記グローバルアセット識別子から、前記第1のネットワークデバイスの前記含まれているデバイス識別子を取得する前記第1の取得ユニットと、
前記第1のネットワークデバイスの前記デバイス識別子に基づいて、前記第1のネットワークデバイスに前記脆弱性防御ポリシーを送信するように構成される前記送信ユニットと
をさらに備える、請求項14に記載の脆弱性管理デバイス。 - 前記第2の取得ユニットは、
前記アセット情報の中の前記アセットモデルおよび前記アセットバージョンに基づいて、前記脆弱性情報と、前記アセットモデルと前記アセットバージョンとの組み合わせとの間の対応関係の中に、前記アセット情報の中の前記アセットモデルおよび前記アセットバージョンに対応する脆弱性情報を見つけ、
前記脆弱性情報と、前記アセットモデルと前記アセットバージョンとの前記組み合わせとの間の前記対応関係、ならびに前記アセット情報の中の前記アセット識別子、前記アセットモデル、および前記アセットバージョンに基づいて、前記アセット識別子と前記脆弱性情報との間の対応関係を決定するようにさらに構成される、
請求項10から15のいずれか一項に記載の脆弱性管理デバイス。 - 前記第1の決定ユニットは、
前記アセット識別子と前記脆弱性情報との間の前記対応関係、ならびに前記脆弱性情報と前記脆弱性応答プレイブックとの間の前記対応関係に基づいて、前記アセット情報の中の前記アセット識別子に対応する前記脆弱性応答プレイブックを決定し、
前記決定した脆弱性応答プレイブックを、前記脆弱性情報に対応する前記脆弱性応答プレイブックとして使用するようにさらに構成される、
請求項16に記載の脆弱性管理デバイス。 - 前記脆弱性防御ポリシーは、アクセス制御リスト(ACL)に基づくアクセス制御ポリシー、特徴ストリングに基づく正規フィルタリングポリシー、および/または侵入防止システム(IPS)シグネチャに基づく保護ポリシーを含む、請求項10から17のいずれか一項に記載の脆弱性管理デバイス。
- プロセッサとメモリとを含む脆弱性管理デバイスであって、前記メモリは、コンピュータプログラムを記憶するように構成され、前記プロセッサは、請求項1から9のいずれか一項に記載の方法を遂行するため、前記メモリに記憶された前記コンピュータプログラムを呼び出すように構成される、脆弱性管理デバイス。
- コンピュータ可読記憶媒体であって、前記記憶媒体がコンピュータプログラムを記憶し、前記コンピュータプログラムが、請求項1から9のいずれか一項に記載の方法を遂行するために使用される、コンピュータ可読記憶媒体。
- コンピュータに請求項1から9のいずれか一項に記載の方法を実行させる、プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911007623.0A CN112702300B (zh) | 2019-10-22 | 2019-10-22 | 一种安全漏洞的防御方法和设备 |
| CN201911007623.0 | 2019-10-22 | ||
| PCT/CN2020/117834 WO2021077987A1 (zh) | 2019-10-22 | 2020-09-25 | 一种安全漏洞的防御方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022551140A JP2022551140A (ja) | 2022-12-07 |
| JP7299415B2 true JP7299415B2 (ja) | 2023-06-27 |
Family
ID=75504706
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022521014A Active JP7299415B2 (ja) | 2019-10-22 | 2020-09-25 | セキュリティ脆弱性防御方法およびデバイス |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220239687A1 (ja) |
| EP (1) | EP4027604A4 (ja) |
| JP (1) | JP7299415B2 (ja) |
| CN (1) | CN112702300B (ja) |
| WO (1) | WO2021077987A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098902A (zh) * | 2021-04-29 | 2021-07-09 | 深圳融安网络科技有限公司 | 网络设备漏洞管理方法、装置、管理终端设备及存储介质 |
| CN113672934A (zh) * | 2021-08-09 | 2021-11-19 | 中汽创智科技有限公司 | 一种安全漏洞扫描系统及方法、终端、存储介质 |
| CN113987519A (zh) * | 2021-11-05 | 2022-01-28 | 湖北天融信网络安全技术有限公司 | 漏洞规则库生成方法、装置、电子设备、存储介质及系统 |
| CN114157471A (zh) * | 2021-11-29 | 2022-03-08 | 阿波罗智联(北京)科技有限公司 | 车辆异常的处理方法、装置、电子设备和介质 |
| US20230169175A1 (en) * | 2021-11-29 | 2023-06-01 | International Business Machines Corporation | Managing Zero-Day Vulnerabilities |
| CN114584339A (zh) * | 2021-12-29 | 2022-06-03 | 奇安信科技集团股份有限公司 | 基于内生安全机制的网络安全防护方法和装置 |
| CN114584348A (zh) * | 2022-02-14 | 2022-06-03 | 上海安锐信科技有限公司 | 一种基于漏洞的工业控制系统网络威胁分析方法 |
| CN115174241B (zh) * | 2022-07-14 | 2023-07-25 | 中汽创智科技有限公司 | 一种安全漏洞处理方法、装置、设备及介质 |
| CN115086076A (zh) * | 2022-07-21 | 2022-09-20 | 中国银行股份有限公司 | 一种零日漏洞攻击防御方法和系统、电子设备、存储介质 |
| US11792233B1 (en) * | 2022-08-07 | 2023-10-17 | Uab 360 It | Securing network devices against network vulnerabilities |
| CN116760716B (zh) * | 2023-08-18 | 2023-11-03 | 南京天谷电气科技有限公司 | 一种新能源场站智能网络拓扑管理系统及方法 |
| CN117319089B (zh) * | 2023-11-27 | 2024-03-12 | 杭州海康威视数字技术股份有限公司 | 基于语义感知策略自生成的物联网自防御方法及装置 |
| CN117708834B (zh) * | 2024-02-06 | 2024-04-23 | 长扬科技(北京)股份有限公司 | 资产漏洞检测方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006127422A (ja) | 2004-11-01 | 2006-05-18 | Ntt Docomo Inc | 端末制御装置及び端末制御方法 |
| JP2012208863A (ja) | 2011-03-30 | 2012-10-25 | Hitachi Ltd | 脆弱性判定システム、脆弱性判定方法、および、脆弱性判定プログラム |
| WO2015114791A1 (ja) | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | セキュリティ管理装置 |
| US20160366184A1 (en) | 2015-06-12 | 2016-12-15 | Accenture Global Solutions Limited | Service oriented software-defined security framework |
| US20170302689A1 (en) | 2015-02-15 | 2017-10-19 | Huawei Technologies Co., Ltd. | Network Security Protection Method and Apparatus |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9100431B2 (en) * | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
| US8095984B2 (en) * | 2005-09-22 | 2012-01-10 | Alcatel Lucent | Systems and methods of associating security vulnerabilities and assets |
| US8549650B2 (en) * | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
| US9058486B2 (en) * | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
| CN102624717B (zh) * | 2012-03-02 | 2015-11-18 | 深信服网络科技(深圳)有限公司 | 基于漏洞扫描的安全策略自动生成的方法及装置 |
| CN103699844B (zh) * | 2012-09-28 | 2016-10-26 | 腾讯科技(深圳)有限公司 | 安全保护系统及方法 |
| US9467464B2 (en) * | 2013-03-15 | 2016-10-11 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
| CN105592049B (zh) * | 2015-09-07 | 2019-01-25 | 新华三技术有限公司 | 一种攻击防御规则的开启方法和装置 |
| CN107710680B (zh) * | 2016-03-29 | 2021-02-09 | 华为技术有限公司 | 网络攻击防御策略发送、网络攻击防御的方法和装置 |
| US11429473B2 (en) * | 2016-11-30 | 2022-08-30 | Red Hat, Inc. | Automated problem resolution |
| US11843577B2 (en) * | 2016-12-13 | 2023-12-12 | Zscaler, Inc. | Fingerprinting to identify devices and applications for use in management and policy in the cloud |
| CN108259449B (zh) * | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| US10542050B2 (en) * | 2017-08-30 | 2020-01-21 | General Electric Company | Automated network security policy configuration |
| CN108494810B (zh) * | 2018-06-11 | 2021-01-26 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
| US11995541B2 (en) * | 2018-12-14 | 2024-05-28 | Proofpoint, Inc. | Systems and methods for location threat monitoring |
| CN109639720A (zh) * | 2019-01-08 | 2019-04-16 | 平安科技(深圳)有限公司 | 漏洞最优改进策略确定方法、装置及存储介质、服务器 |
| CN109818984A (zh) * | 2019-04-10 | 2019-05-28 | 吉林亿联银行股份有限公司 | 漏洞的防御方法及装置 |
-
2019
- 2019-10-22 CN CN201911007623.0A patent/CN112702300B/zh active Active
-
2020
- 2020-09-25 EP EP20880280.1A patent/EP4027604A4/en active Pending
- 2020-09-25 WO PCT/CN2020/117834 patent/WO2021077987A1/zh unknown
- 2020-09-25 JP JP2022521014A patent/JP7299415B2/ja active Active
-
2022
- 2022-04-11 US US17/717,751 patent/US20220239687A1/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006127422A (ja) | 2004-11-01 | 2006-05-18 | Ntt Docomo Inc | 端末制御装置及び端末制御方法 |
| JP2012208863A (ja) | 2011-03-30 | 2012-10-25 | Hitachi Ltd | 脆弱性判定システム、脆弱性判定方法、および、脆弱性判定プログラム |
| WO2015114791A1 (ja) | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | セキュリティ管理装置 |
| US20170302689A1 (en) | 2015-02-15 | 2017-10-19 | Huawei Technologies Co., Ltd. | Network Security Protection Method and Apparatus |
| US20160366184A1 (en) | 2015-06-12 | 2016-12-15 | Accenture Global Solutions Limited | Service oriented software-defined security framework |
| JP2017034659A (ja) | 2015-06-12 | 2017-02-09 | アクセンチュア グローバル ソリューションズ リミテッド | サービス志向ソフトウェア定義型セキュリティのフレームワーク |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4027604A1 (en) | 2022-07-13 |
| EP4027604A4 (en) | 2022-10-19 |
| CN112702300A (zh) | 2021-04-23 |
| CN112702300B (zh) | 2023-03-28 |
| WO2021077987A1 (zh) | 2021-04-29 |
| US20220239687A1 (en) | 2022-07-28 |
| JP2022551140A (ja) | 2022-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7299415B2 (ja) | セキュリティ脆弱性防御方法およびデバイス | |
| US11082435B1 (en) | System and method for threat detection and identification | |
| US11503073B2 (en) | Live state transition using deception systems | |
| US10893059B1 (en) | Verification and enhancement using detection systems located at the network periphery and endpoint devices | |
| US20190245829A1 (en) | System and method for implementing content and network security inside a chip | |
| US10033745B2 (en) | Method and system for virtual security isolation | |
| US9973531B1 (en) | Shellcode detection | |
| CN105991595B (zh) | 网络安全防护方法及装置 | |
| US8006305B2 (en) | Computer worm defense system and method | |
| US8171553B2 (en) | Heuristic based capture with replay to virtual machine | |
| US20100071065A1 (en) | Infiltration of malware communications | |
| US9584550B2 (en) | Exploit detection based on heap spray detection | |
| US11949694B2 (en) | Context for malware forensics and detection | |
| KR100926456B1 (ko) | 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법 | |
| US11803647B2 (en) | Computer system vulnerability lockdown mode | |
| WO2013176711A2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| Abbas et al. | Generic signature development for IoT Botnet families | |
| CN110809004A (zh) | 一种安全防护方法、装置、电子设备及存储介质 | |
| EP2815350A2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| JP7256196B2 (ja) | マルウェア検出のためのコンテキストプロファイリング | |
| JP2022541250A (ja) | インラインマルウェア検出 | |
| TWI764618B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| CN117278288A (zh) | 一种网络攻击防护方法、装置、电子设备及存储介质 | |
| CN118821147A (zh) | 一种自动化阻断hids的方法 | |
| CN116846641A (zh) | 一种漏洞防御方法、设备、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220406 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220406 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230419 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230424 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230518 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230605 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230615 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7299415 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |