JP7333814B2 - 情報セキュリティリスクの自動評価 - Google Patents
情報セキュリティリスクの自動評価 Download PDFInfo
- Publication number
- JP7333814B2 JP7333814B2 JP2021518184A JP2021518184A JP7333814B2 JP 7333814 B2 JP7333814 B2 JP 7333814B2 JP 2021518184 A JP2021518184 A JP 2021518184A JP 2021518184 A JP2021518184 A JP 2021518184A JP 7333814 B2 JP7333814 B2 JP 7333814B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- topology
- information
- probability
- topological
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
情報セキュリティの評価は、説明される発明の範囲内でアセスメントとして理解され得るが、考慮される情報技術(IT)および(コンピュータプログラム)アプリケーションネットワークの複雑さ、ならびに可能性のある広範囲のリスク推定を考慮しなければならない取り組みである。したがって、リスクアセスメントの過程では、想定される損害シナリオまたは損害イベント、すなわち想定される損害の量または重大性、および対応する確率を特定する必要がある。従って、リスクアセスメントのための多くのアプローチは、集約および抽象化により考慮されるトポロジーの複雑さを低減することに主に焦点を当てている。しかし、この集約や抽象化のプロセスは、文書化が不十分であることが多いため、不適切な決定を後でトレースすることができない。その結果、リスクの過小アセスメントや過大アセスメントが発生し、リスクに対処したり情報セキュリティリスクを低減したりするための過度または未実装の対策が実施される。
前述のように、リスク分析は、情報セキュリティ対策を組織的に実施することを正当化する根拠となる。各購入、各プログラム、各対策は、最終的には、情報セキュリティの予測または評価されたリスクに対処することにより常に正当化される。ここでリスクとは、予想される損害とその発生または実現の可能性との相関関係である。
現在のリスク分析アプローチは、一般にトップダウンアプローチを採用しており、実現確率は、様々な度合いの文書化や専門家間のコンセンサスを様々に利用することによって決定される。しかし、このことは、確認された実現確率が、それを決定する専門家、すなわちリスク評価者の好みに大きく依存するという結果をもたらす。さらに、これらのアプローチにおけるトレース可能な文書化は、高いコストと関連付けられる。これらの弱点は、容易化リスク分析プロセス(FRAP)、NIST SP800―30、OCTAVE、またはISO/IEC27005に従ったリスク分析アプローチのような、全てのアプローチにおいて共通している。
考慮されるトポロジーの変更、例えば、ITインフラストラクチャ、および/またはプロセスまたはシーケンス構造、および/または建築インフラストラクチャ、および/または脅威レベル、および/または実装された対抗手段またはセキュリティ手段は、高度に抽象化した場合にのみ組み込まれ得る。抽象度が高いため、エラーのリスクが高い。これらの変化の結果はしばしば考慮されない。
アプローチの主観性が高いため、確率の推定、およびそれによるリスクの推定は、分析を実施する個人の間で大きく変動する可能性がある。これらの推定値は、トレースできない場合や、トレースが困難な場合が多く、適応させるのが非常に困難である。
モデリングされた(一般的な)攻撃経路は、分析が実行された仮定を示す。例えば、情報技術攻撃のみ、または物理的攻撃のみが仮定される場合、これは攻撃経路に反映される。分析から作成された攻撃経路は、トポロジーに実際に関連する攻撃を示し、対抗手段の選択と優先順位付けに使用できる。
関連する攻撃経路の自動発達、および攻撃の成功確率または全体確率の決定は、仮定される損害の量と併用され、情報セキュリティリスクを表示するために使用され得る。
1.攻撃経路指向のリスク分析の自動化方法により、トレース可能なリスクと、トポロジーの変化、脅威の展望、対抗手段またはリスク分析の仮定の変更による、これらのリスクの変化とを、低コストで表示できる。
2.攻撃経路によって生成された攻撃ツリーの確率、特に成功の定性的確率、の自動的なアセスメント方法。
3.リスク分析やセキュリティ対策の優先順位付けにおいて、業務分担や独立業務を可能とする方法、これは、トポロジー固有のセキュリティの固有モデリングの面と、専門家のモデリングの面とが分離されているためである。
4.既存のリスク分析アプローチに容易に統合できる方法。
1.リスク評価または分析のトレーサビリティとアカウンタビリティの向上
記述された方法によると、トポロジーと、リスク分析の仮定、すなわち攻撃論理およびリスク仮定に関する仮定、とは互いに分離されているが、以前の方法ではそれらは一般的にテキスト形式で一緒に文書化されている。この分離により、作成された攻撃経路つまりリスク分析の決定の基礎を、分離形式の攻撃論理、リスク仮定、またはトポロジーの変更に帰することができる。新たに作成された攻撃経路とそれに関連する効果的な対抗手段についても、したがって明確に推論できる。
考慮されている主題すなわち、例えば、インフラストラクチャを記述するトポロジーと、仮定、すなわち本事例では攻撃論理とリスク仮定、とが別々にモデリングされるので、結果が伝達され得る。したがって、同一のトポロジーは、同一のトポロジーモデルを用いて分析され得る。モデリングされた攻撃論理は、様々なトポロジーに対して順番に使用され得る。たとえば、企業全体の攻撃論理は、中央ビジネスユニット、外部サービスプロバイダー、または個人によってモデリングされ、文書化され得る。この論理は、トポロジーの責任者(サービス所有者など)に分析のために提供される。最後に、リスク仮定のモデリングは、ISO/IEC27005、NIST SP800-30、またはOCTAVEの実装のような既存のアプローチの比較と改良を可能にする。
異なるモデリング見地を分離し、攻撃経路を自動生成することによって、リスク分析またはリスク評価は、環境または実質の変化に応じて予防的にまたはアドホックに実行され得る。このようにして、攻撃論理は、例えば新たに攻撃や不正利用が作成された場合、またはWiFi監査プラットフォームの普及が増加した場合に適応され得る。今や新たに生成された攻撃経路や、例えば損害シナリオの実現確率の増大によって変化するリスクは、自動決定され得る。したがって、例えば、更新された攻撃論理情報が提供されたときに、評価部による情報セキュリティリスクの自動評価を開始するトリガイベントが提供されてもよい。
NIST SP800-30、OKTAVE、FRAP、またはISO/IEC27005の実装など、リスク分析を実行するための現在のアプローチは、現在、情報セキュリティ以外のさまざまなビジネス分野の専門家を集めるか、複数の会議を開催するか、複数ページの文書を作成するかのいずれかを規定している。記載された方法では、単に、攻撃論理の連続的な適応と、考慮されているトポロジー、例えば建物構造および/またはITインフラストラクチャ、の適応および導入時の最初のモデリングだけが必要となる。これにより、作業を分担して経済的に分析を継続実行できる。
この方法は、情報セキュリティリスクの評価に適用できる。これは、改良方法として、例えば、NIST SP800-30、ISO/IEC27005、OKTAVEまたはFRAPのような全社的な抽象的リスクの分析アプローチや、ITベースライン保護、ISO27001またはNIST SP800-53のようなセキュリティ管理アプローチで使用できる。改良は、任意の1つの検討レベルで、または異なる検討レベルにわたって、ここで行うことができる。したがって、企業のあらゆる側面を考慮することも、ITインフラストラクチャなどの個々の側面を個別に考慮することもできる。このため、例えば全社的なリスクの分析およびアセスメントのための唯一の手法としても活用できる。
与えられたトポロジーまたはトポロジー情報によっては、静的構造から論理シーケンスを抽出することが必要な場合がある。これは、ITネットワーク図を検討する場合などに当てはまる。このようなネットワークにおける論理シーケンスは、例えばOSI層などの異なる層における所定のフィルタおよびルーティング規則のために、どのコンポーネントまたはトポロジー要素が互いに通信するかを示すことができる。これは、例えば攻撃論理内の中間者攻撃の確立を、所与のトポロジーに適用するために必要となる。
「MITIGATING」リンクによって、確率は、攻撃ステップの長いチェーンによって、この場合にはチェーン長2から、漸進的に緩和される。緩和は、定性的確率が最も低いクラスと中程度のクラス(列1と2)では達成されるが、定性的確率が最も高いクラス(列3)では達成されない。
Claims (13)
- 情報セキュリティリスク(16)の自動評価方法、特に情報技術インフラストラクチャにおける情報セキュリティリスク(16)の自動評価方法であって、
a)それぞれが複数の指定された特性(13)の少なくとも1つを有する複数の指定されたトポロジー要素(9)を定義するトポロジー情報(310)を評価部(6)に提供するステップと、
b)指定された損害重大性指標値(15)を持つ少なくとも1つの損害イベント(14)をトポロジー要素(9)の少なくとも1つに割り当てるステップと、
c)複数の指定された攻撃ステップ(8)を定義する攻撃論理情報(7、305)を評価部(6)に提供するステップであって、攻撃ステップ(8)は、それぞれ複数の指定された特性(13)のうち少なくとも1つに関連し、それぞれ成功確率(12)を含み、各攻撃ステップは、当該攻撃ステップが関連するトポロジー要素の特性(13)の存在下または非存在下で、対応するトポロジー要素(9)内または上で実行され得る操作を表す、ステップと、
d)互いにリンクしているか、または相互作用している攻撃ステップ(8)の成功確率(12)を組み合わせるための指定された確率伝搬法を定義するステップと、
e)情報セキュリティリスク(16)を評価部(6)により自動評価するステップであって、
提供されたトポロジー情報(310)および提供された攻撃論理情報(7、305)に基づいて複数の攻撃経路を生成するステップであって、ここで攻撃経路は、少なくとも1つのトポロジー要素(9)およびさらなるトポロジー要素(9)を、攻撃経路内のトポロジー要素(9)の指定された特性(13)に関連する少なくとも1つの攻撃ステップによってリンクする、ステップと
生成された攻撃経路それぞれを調査して、その攻撃経路が方法ステップb)で損害イベント(14)が割り当てられたトポロジー要素(9)に影響を及ぼすかどうかを確認するステップと、
調査結果が肯定的である場合、選択された確率伝搬法に従って、攻撃ステップ(8)の成功確率(12)に応じて損害イベント(14)の全体確率を算出するステップと、
算出された全体確率及び損害重大性指標値(15)に応じて、推定される情報セキュリティリスク(16)を出力するステップと、
を含むステップと、
を含む方法。 - トポロジー情報(310)は、攻撃論理情報(7、305)とは独立し、かつ/または別々に提供されることを特徴とする請求項1に記載の方法。
- トポロジー情報(310)は、特に少なくとも1つのルータおよび/またはコンピュータをトポロジー要素(9)として有する情報技術ネットワーク、および/または特に少なくとも1つの接続および/または分岐点をトポロジー要素(9)として有するケーブルハーネス、および/または特に少なくとも1つの部屋および/またはドアおよび/または廊下をトポロジー要素(9)として有する建物複合体、および/または特に少なくとも1つのコンピュータプログラムおよび/またはコンピュータプログラムインタフェースをトポロジー要素(9)として有するコンピュータプログラムネットワーク、および/または特に少なくとも1つの製品コンポーネントをトポロジー要素として有する製品、を示すことを特徴とする請求項1または2のいずれかに記載の方法。
- トポロジー要素(9)の特性(13)は、指定された技術的弱点、および/またはタイプ説明、および/または指定されたセキュリティ手段の有無を表すことを特徴とする請求項1から3のいずれか1項に記載の方法。
- トポロジー情報(310)が評価部(6)によって処理され、ここで、指定されたタイプのトポロジー要素(9)から開始し、深さ優先および/または幅優先探索が、1つ以上または全ての他のトポロジー要素(9)上で、指定されたタイプのトポロジー要素(9)との全ての組合せがその有効性に関して調査されるまで攻撃論理情報(7、305)を考慮して実行される、ここで組合せは、組合せにおける関連するトポロジー要素(9)が、それらをリンクする攻撃ステップ(8)を介してリンク可能である場合に有効であり、当該攻撃ステップは各インスタンスにおいてそれらのトポロジー要素(9)の少なくとも1つの特性(13)に関連する、そして、
ステップe)の攻撃経路生成時に、有効な組み合わせに従って攻撃経路を生成する、
ことを特徴とする請求項1から4のいずれかに記載の方法。 - 各攻撃ステップに対して、
攻撃起点(10)が割り当てられ、これは攻撃経路の特定のトポロジー要素(9)がどの特性(13)を有しなければならないかを示し、その結果、対応する攻撃ステップが、トポロジー要素(9)内または上で実行され、攻撃経路の一部として特定のトポロジー要素(9)にリンクされる、
攻撃目標(11)が割り当てられ、これは攻撃経路のさらなるトポロジー要素(9)がどの特性(13)を有しなければならないかを示し、その結果、対応する攻撃ステップが、攻撃経路の一部としてさらなるトポロジー要素(9)と連結され、および/または、これはどの損害イベント(14)が特定のトポロジー要素(9)に割り当てられなければならないかを示し、その結果、攻撃ステップは割り当てられた成功確率(12)で損害イベント(14)をトリガし得る、
ことを特徴とする請求項1から5のいずれか1項に記載の方法。 - リンクされた攻撃ステップ(8)の成功確率(12)を組み合わせるために複数の確率伝搬方法が指定され、当該複数の確率伝搬方法は「AND」伝搬および/または「排他的OR」「XOR」伝搬および/または「REQUIRED」伝搬および/または「MITIGATING」伝搬を含む、ことを特徴とする請求項1から6のいずれか1項に記載の方法。
- 方法ステップe)による自動評価は、指定された間隔で、および/または更新されたトポロジー情報(310)が提供されたとき、および/または更新された攻撃論理情報が提供されたとき実行される、ことを特徴とする請求項1から7のいずれか1項に記載の方法。
- コマンドを含むコンピュータプログラムであって、当該コンピュータプログラムがコンピュータによって実行されるとき、当該コマンドは、特に請求項2~8の有利な実施形態に従って請求項1の方法ステップe)をコンピュータに実行させる、コンピュータプログラム。
- インフラストラクチャを保護する方法であって、インフラストラクチャは特に情報技術ネットワーク、および/または建物複合体、および/またはコンピュータプログラムネットワークを含み、
当該インフラストラクチャを保護することを含む、
請求項1~8のいずれか1項に記載の方法。 - 当該保護することは、
その適応を行うことにより、評価された情報セキュリティリスクを最大限に低減するトポロジー要素(9)の少なくとも1つを選択するステップと、
選択したトポロジー要素(9)を示すステップと、
を含む請求項10に記載の方法。 - 当該保護することは、
推定される情報セキュリティリスクの出力に基づいて、または示されたトポロジー要素(9)を適応させて、インフラストラクチャを保護する、
請求項10または11に記載の方法。 - 情報セキュリティリスク(16)の自動評価システム(1)、特に情報技術インフラストラクチャにおける情報セキュリティリスク(16)の自動評価システムであって、
それぞれが複数の指定された特性(13)の少なくとも1つを有する複数の指定されたトポロジー要素(9)を定義するトポロジー情報(310)を提供する第1提供部(2)と、
指定された損害重大性指標値(15)を有する少なくとも1つの損害イベント(14)をトポロジー要素(9)の少なくとも1つに割り当てる割当部(3)と、
複数の指定された攻撃ステップ(8)を定義する攻撃論理情報(7、305)を提供する第2提供部(4)であって、攻撃ステップ(8)は、各インスタンスにおいて複数の指定された特性(13)の少なくとも1つに関連し、各インスタンスにおいて成功確率(12)を含む、第2提供部(4)と、
互いにリンクしているか、または相互作用する攻撃ステップ(8)の成功確率(12)を組み合わせる指定された確率伝搬方法を定義する選択部(5)と、
情報セキュリティリスク(16)を自動評価する評価部(6)であって、
第1提供部(2)が提供するトポロジー情報(310)と、第2提供部(4)が提供する攻撃論理情報(7、305)とに基づいて、複数の攻撃経路を生成する、ここで攻撃経路は、少なくとも1つのトポロジー要素(9)とさらなるトポロジー要素(9)とを少なくとも1つの攻撃ステップによってリンクし、攻撃ステップは、攻撃経路のトポロジー要素(9)の指定された特性(13)に関連し、かつ、攻撃ステップが関連するトポロジー要素の特性(13)の存在または非存在下において、対応するトポロジー要素(9)内または上で実行され得る操作を示す、
生成された攻撃経路を調査して、攻撃経路が、それぞれ損害イベント(14)が割り当てられたトポロジー要素(9)に影響を及ぼすかどうかを確認し、
調査結果が肯定的である場合、選択された確率伝搬法に従って、攻撃ステップ(8)の成功確率(12)に応じて損害イベント(14)の全体確率を算出し、
算出された全体確率及び損害重大性指標値(15)に応じて、推定される情報セキュリティリスク(16)を出力する、
評価部(6)と、
を備えるシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102018216887.3A DE102018216887A1 (de) | 2018-10-02 | 2018-10-02 | Automatisches Abschätzen von Informationssicherheitsrisiken |
DE102018216887.3 | 2018-10-02 | ||
PCT/EP2019/076586 WO2020070122A1 (de) | 2018-10-02 | 2019-10-01 | Automatisches abschätzen von informationssicherheitsrisiken |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022504140A JP2022504140A (ja) | 2022-01-13 |
JP7333814B2 true JP7333814B2 (ja) | 2023-08-25 |
Family
ID=68159091
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021518184A Active JP7333814B2 (ja) | 2018-10-02 | 2019-10-01 | 情報セキュリティリスクの自動評価 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20210367962A1 (ja) |
JP (1) | JP7333814B2 (ja) |
DE (1) | DE102018216887A1 (ja) |
WO (1) | WO2020070122A1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6710716B2 (ja) * | 2018-03-27 | 2020-06-17 | 日本電信電話株式会社 | 脅威情報評価装置、脅威情報評価方法およびプログラム |
EP3786823A1 (en) * | 2019-08-29 | 2021-03-03 | Darktrace Limited | An endpoint agent extension of a machine learning cyber defense system for email |
US20210194924A1 (en) * | 2019-08-29 | 2021-06-24 | Darktrace Limited | Artificial intelligence adversary red team |
CN111582673B (zh) * | 2020-04-23 | 2023-03-31 | 北京邮电大学 | 一种配电自动化系统主站的攻击风险评估方法及装置 |
RU202083U1 (ru) * | 2020-07-22 | 2021-01-29 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Устройство моделирования заражения компьютерным вирусом локальной компьютерной сети |
CN114793182B (zh) * | 2022-06-21 | 2022-09-02 | 湖南前行科创有限公司 | 一种智慧园区分布式网络安全风险评估方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009070084A (ja) | 2007-09-12 | 2009-04-02 | Hitachi Ltd | システムセキュリティ設計装置、システムセキュリティ設計方法、システムセキュリティ設計プログラム |
JP2016143299A (ja) | 2015-02-04 | 2016-08-08 | 株式会社日立製作所 | リスク評価システムおよびリスク評価方法 |
US20170286690A1 (en) | 2016-03-31 | 2017-10-05 | International Business Machines Corporation | Automatic Generation of Data-Centric Attack Graphs |
JP6253862B1 (ja) | 2017-01-18 | 2017-12-27 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
US20060021048A1 (en) | 2004-07-22 | 2006-01-26 | Cook Chad L | Techniques for determining network security using an attack tree |
US8539586B2 (en) * | 2006-05-19 | 2013-09-17 | Peter R. Stephenson | Method for evaluating system risk |
JP2013152095A (ja) | 2012-01-24 | 2013-08-08 | Sony Corp | 時刻制御装置、時刻制御方法、およびプログラム |
EP2816773B1 (en) | 2013-06-18 | 2018-10-03 | Alcatel Lucent | Method for calculating and analysing risks and corresponding device |
US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
US20160379326A1 (en) * | 2015-06-25 | 2016-12-29 | Marie N. Chan-Gove | Risk modeling system |
US10185832B2 (en) | 2015-08-12 | 2019-01-22 | The United States Of America As Represented By The Secretary Of The Army | Methods and systems for defending cyber attack in real-time |
-
2018
- 2018-10-02 DE DE102018216887.3A patent/DE102018216887A1/de active Pending
-
2019
- 2019-10-01 US US17/281,556 patent/US20210367962A1/en active Pending
- 2019-10-01 WO PCT/EP2019/076586 patent/WO2020070122A1/de active Application Filing
- 2019-10-01 JP JP2021518184A patent/JP7333814B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009070084A (ja) | 2007-09-12 | 2009-04-02 | Hitachi Ltd | システムセキュリティ設計装置、システムセキュリティ設計方法、システムセキュリティ設計プログラム |
JP2016143299A (ja) | 2015-02-04 | 2016-08-08 | 株式会社日立製作所 | リスク評価システムおよびリスク評価方法 |
US20170286690A1 (en) | 2016-03-31 | 2017-10-05 | International Business Machines Corporation | Automatic Generation of Data-Centric Attack Graphs |
JP6253862B1 (ja) | 2017-01-18 | 2017-12-27 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
Also Published As
Publication number | Publication date |
---|---|
WO2020070122A1 (de) | 2020-04-09 |
JP2022504140A (ja) | 2022-01-13 |
DE102018216887A1 (de) | 2020-04-02 |
US20210367962A1 (en) | 2021-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7333814B2 (ja) | 情報セキュリティリスクの自動評価 | |
US11637853B2 (en) | Operational network risk mitigation system and method | |
US8095984B2 (en) | Systems and methods of associating security vulnerabilities and assets | |
EP1724990B1 (en) | Communication network security risk exposure management systems and methods | |
CN1941782B (zh) | 将安全漏洞关联于资产的系统和方法 | |
CN105721424B (zh) | 基于策略的网络安全 | |
US8239951B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
US8272061B1 (en) | Method for evaluating a network | |
US9088617B2 (en) | Method, a system, and a computer program product for managing access change assurance | |
US20060265324A1 (en) | Security risk analysis systems and methods | |
US20030182582A1 (en) | Network security simulation system | |
US20220191230A1 (en) | Diagnosing and managing network vulnerabilities | |
JP2003523140A (ja) | ネットワークのセキュリティ態勢を評価するためのシステム及び方法 | |
US20090100077A1 (en) | Network risk analysis method using information hierarchy structure | |
Schlegel et al. | Structured system threat modeling and mitigation analysis for industrial automation systems | |
US20220150271A1 (en) | Deep cyber vulnerability mitigation system | |
Khosravi-Farmad et al. | Considering temporal and environmental characteristics of vulnerabilities in network security risk assessment | |
Anisetti et al. | An assurance-based risk management framework for distributed systems | |
Aissa et al. | A novel stochastic model for cybersecurity metric inspired by Markov Chain model and Attack Graphs | |
Weintraub et al. | Defining network exposure metrics in security risk scoring models | |
Alsaleh et al. | Automated cyber risk mitigation: making informed cost-effective decisions | |
Schmidt et al. | A quantitative framework for dependency-aware organizational IT Risk Management | |
Koufos et al. | Dynamic risk management | |
Welberg | Vulnerability management tools for COTS software-A comparison | |
Enoch | Dynamic cybersecurity modelling and analysis. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220202 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220324 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230322 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230328 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230628 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230718 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230815 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7333814 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |