JP7333814B2 - 情報セキュリティリスクの自動評価 - Google Patents
情報セキュリティリスクの自動評価 Download PDFInfo
- Publication number
- JP7333814B2 JP7333814B2 JP2021518184A JP2021518184A JP7333814B2 JP 7333814 B2 JP7333814 B2 JP 7333814B2 JP 2021518184 A JP2021518184 A JP 2021518184A JP 2021518184 A JP2021518184 A JP 2021518184A JP 7333814 B2 JP7333814 B2 JP 7333814B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- topology
- information
- probability
- topological
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、情報セキュリティリスクの自動評価方法、特に情報技術(IT)インフラストラクチャにおける情報セキュリティリスクの自動評価方法、および情報セキュリティリスクの自動評価に対応するシステムに関する。
動機
情報セキュリティの評価は、説明される発明の範囲内でアセスメントとして理解され得るが、考慮される情報技術(IT)および(コンピュータプログラム)アプリケーションネットワークの複雑さ、ならびに可能性のある広範囲のリスク推定を考慮しなければならない取り組みである。したがって、リスクアセスメントの過程では、想定される損害シナリオまたは損害イベント、すなわち想定される損害の量または重大性、および対応する確率を特定する必要がある。従って、リスクアセスメントのための多くのアプローチは、集約および抽象化により考慮されるトポロジーの複雑さを低減することに主に焦点を当てている。しかし、この集約や抽象化のプロセスは、文書化が不十分であることが多いため、不適切な決定を後でトレースすることができない。その結果、リスクの過小アセスメントや過大アセスメントが発生し、リスクに対処したり情報セキュリティリスクを低減したりするための過度または未実装の対策が実施される。
情報セキュリティの評価は、説明される発明の範囲内でアセスメントとして理解され得るが、考慮される情報技術(IT)および(コンピュータプログラム)アプリケーションネットワークの複雑さ、ならびに可能性のある広範囲のリスク推定を考慮しなければならない取り組みである。したがって、リスクアセスメントの過程では、想定される損害シナリオまたは損害イベント、すなわち想定される損害の量または重大性、および対応する確率を特定する必要がある。従って、リスクアセスメントのための多くのアプローチは、集約および抽象化により考慮されるトポロジーの複雑さを低減することに主に焦点を当てている。しかし、この集約や抽象化のプロセスは、文書化が不十分であることが多いため、不適切な決定を後でトレースすることができない。その結果、リスクの過小アセスメントや過大アセスメントが発生し、リスクに対処したり情報セキュリティリスクを低減したりするための過度または未実装の対策が実施される。
リスク分析の解釈的性質は、損害の量と発生の可能性が個別にかつ異なって評価される(この点については、R.Baskerville,「専門知識源としてのリスク分析」、in:Computers&Security,10,8(1991)、pp.749-764参照)という事実からも生じる。一方、考慮されるインフラストラクチャのタイプに応じて異なる損害量のアセスメントの間に大きな一致があるが、この損害の実現可能性についての異なるアセスメントは、専門や活動に関連する理由から、アセスメントを実施する責任を負う個人の主観的な期待の範囲に依存する結果となる(E.Albrechtsen and J.Hoven,「情報セキュリティ管理者と利用者の情報セキュリティデジタルディバイド」、Computers&Security,28,6(2009年9月)、pp.476-490参照)。抽象度が高いため、これらの確率は一般的に、トレースが困難な方法でのみ文書化および議論できる。例えば、情報技術(IT)ネットワークにおけるある種のネットワーク攻撃の成功や、オフィスのドアがこじ開けられる確率は、具体的な例に基づいて議論することができるが、例えば顧客データの漏洩などの実現確率は、様々な要因や因果関係によって影響を受ける可能性があり、それに応じて、より複雑で困難な方法でしか議論できない。その結果、対策もまた、疑いのあるリスク評価者の背景、専門知識、優先順位に大きく依存しており、実際に存在する攻撃の可能性に依存していない。
攻撃ツリーに基づくリスク分析は、ITネットワークのようなインフラストラクチャにおける攻撃対策のためのリスク評価を可能にするが、これらのアプローチは、文書化と分析に関して相応に高いコストをかけなければ実行できない。したがって、これらのアプローチは、ITネットワークを考慮する上で不適切である。さらに、EU一般データ保護規則(EU-GDPR)やドイツ連邦データ保護法(BDSG)などの法的枠組みや、VDA Information Security Assessment v4などの産業的枠組みでも求められているように、リスクベースの情報およびデータのセキュリティアプローチに対する需要が高まっているため、前述の問題が悪化してる。ITネットワーク等のインフラが変更された場合、リスクアセスメントは、再アセスメントだけでなく定期的に実施される必要がある。
技術的な問題
前述のように、リスク分析は、情報セキュリティ対策を組織的に実施することを正当化する根拠となる。各購入、各プログラム、各対策は、最終的には、情報セキュリティの予測または評価されたリスクに対処することにより常に正当化される。ここでリスクとは、予想される損害とその発生または実現の可能性との相関関係である。
前述のように、リスク分析は、情報セキュリティ対策を組織的に実施することを正当化する根拠となる。各購入、各プログラム、各対策は、最終的には、情報セキュリティの予測または評価されたリスクに対処することにより常に正当化される。ここでリスクとは、予想される損害とその発生または実現の可能性との相関関係である。
想定される損害や実現確率は、損害シナリオや損害イベントの適用により想定される。しかし、損害の実現につながる潜在的な攻撃経路は一般に多様であるため、実現確率は大きく異なる可能性がある。たとえば、企業における顧客データの漏洩は、ITネットワークの脆弱性、スタッフの採用、スピアフィッシング、組織の物理的な境界への侵入、またはこれらのアクションの組み合わせによって発生する可能性がある。これらのアクションおよびその組み合わせのすべては、各インスタンスにおける別個の攻撃経路を表すことができる。
従来のソリューションアプローチ
現在のリスク分析アプローチは、一般にトップダウンアプローチを採用しており、実現確率は、様々な度合いの文書化や専門家間のコンセンサスを様々に利用することによって決定される。しかし、このことは、確認された実現確率が、それを決定する専門家、すなわちリスク評価者の好みに大きく依存するという結果をもたらす。さらに、これらのアプローチにおけるトレース可能な文書化は、高いコストと関連付けられる。これらの弱点は、容易化リスク分析プロセス(FRAP)、NIST SP800―30、OCTAVE、またはISO/IEC27005に従ったリスク分析アプローチのような、全てのアプローチにおいて共通している。
現在のリスク分析アプローチは、一般にトップダウンアプローチを採用しており、実現確率は、様々な度合いの文書化や専門家間のコンセンサスを様々に利用することによって決定される。しかし、このことは、確認された実現確率が、それを決定する専門家、すなわちリスク評価者の好みに大きく依存するという結果をもたらす。さらに、これらのアプローチにおけるトレース可能な文書化は、高いコストと関連付けられる。これらの弱点は、容易化リスク分析プロセス(FRAP)、NIST SP800―30、OCTAVE、またはISO/IEC27005に従ったリスク分析アプローチのような、全てのアプローチにおいて共通している。
他方、高度な形式化を必要とするアプローチが存在する。例えば、損害イベントに至る前提条件は、故障モードエラー解析(FMEA)によっても文書化できる。しかし、この方法は、損害イベントの抽象化した前提条件の形でのみ攻撃経路を検討できる。フォールトツリー解析(FTA)や攻撃ツリーや攻撃経路のモデリングのような、より高度な形式化を伴う方法は、いずれの場合も非常に大量の文書化の労力を伴う。
しかし、攻撃経路のモデリングにより、当該確率の健全で正確でトレース可能な議論が可能になる、なぜならば、それは損害イベントの実現確率に基づくのではなく、攻撃の成功確率に基づくからである。したがって、議論は、より正確かつ簡潔に行われ文書化され得る。たとえば、攻撃者が特定のメーカーの特定のドアロックをあける確率は、より抽象的な顧客データの漏洩確率よりも簡単に議論できる。
しかしながら、企業におけるリスク分析(またはリスク評価)は、ほとんど無限の文書化の努力でこのアプローチを使用することとなり、その代わりに、FRAP、NIST SP800-30、OCTAVEまたはISO/IEC27005に従ったアプローチのように抽象的な方法に戻る。しかし、形式化の程度が低下すると、次のような不都合な結果が生じる。
変化のトレーサビリティの難しさ
考慮されるトポロジーの変更、例えば、ITインフラストラクチャ、および/またはプロセスまたはシーケンス構造、および/または建築インフラストラクチャ、および/または脅威レベル、および/または実装された対抗手段またはセキュリティ手段は、高度に抽象化した場合にのみ組み込まれ得る。抽象度が高いため、エラーのリスクが高い。これらの変化の結果はしばしば考慮されない。
考慮されるトポロジーの変更、例えば、ITインフラストラクチャ、および/またはプロセスまたはシーケンス構造、および/または建築インフラストラクチャ、および/または脅威レベル、および/または実装された対抗手段またはセキュリティ手段は、高度に抽象化した場合にのみ組み込まれ得る。抽象度が高いため、エラーのリスクが高い。これらの変化の結果はしばしば考慮されない。
リスクの推定または評価のトレーサビリティの難しさ
アプローチの主観性が高いため、確率の推定、およびそれによるリスクの推定は、分析を実施する個人の間で大きく変動する可能性がある。これらの推定値は、トレースできない場合や、トレースが困難な場合が多く、適応させるのが非常に困難である。
アプローチの主観性が高いため、確率の推定、およびそれによるリスクの推定は、分析を実施する個人の間で大きく変動する可能性がある。これらの推定値は、トレースできない場合や、トレースが困難な場合が多く、適応させるのが非常に困難である。
これを回避するために、EP2816773A1は、リスクを評価するために攻撃経路を使用する。ただし、これらの攻撃経路は、ネットワーク要素だけに関連する。したがって、攻撃経路の攻撃ステップには、IPやポートなどの入出力情報と、悪用される脆弱性が含まれる。これらの脆弱性は、ネットワークノードにモデリングされる。また、リスク評価では、定量的に難易度を評価する必要がある。特許請求の範囲に記載された方法は、以下に説明するように、これを必要としない。
特許US9,608,855B2もまた、リスクを評価するために攻撃経路を利用する。しかし、この方法は損害及び実現確率の定量的測定値に依存する。この方法は、例えば金銭的損害に限定される。したがって、リスクに関する主張には、定量的な測定値も必要である。特許請求の範囲に記載された方法は、以下に説明するように、これを必要としない。
US2006021048Aは、脆弱性がネットワーク要素と関連している、攻撃可能な箇所を特定する。次に、対応するネットワーク要素の不正利用が決定され得る。ここで、攻撃経路とは、悪用されたすべての脆弱性の合計である。次いで、ディフィートタイム値が決定される。
この方法はネットワーク要素を越えた攻撃経路、例えばドアロックの特性の影響を示すことができない。また、リスクは攻撃経路に基づいて評価されない。
US2005193430Aは、そのネットワークにおける潜在的な攻撃をシミュレーションするために、脆弱性と既存のコンピュータネットワークに関する情報を使用する。その結果、脆弱性により攻撃が実現する確率が確認される。しかし、脆弱性を割り当てるため、この方法は、ITネットワークおよびITネットワークコンポーネントの弱点に限定される。この方法はITネットワークの解析にのみ用いられる。さらに、この方法は、ITネットワークにおける構造情報(デバイス間の接続)にのみ対処できる。
US2017046519Aでは、攻撃経路は確認されない。むしろネットワークの脆弱性が検出される。これらは互いに依存して秩序化している。これに基づいて隠れマルコフモデルが生成される。したがって、一連の脆弱性が攻撃の可能性を評価するために使用され得る。しかし、この特許は、ITネットワークにおける特定の脆弱性を使用する場合に限定される。
したがって、本発明の目的は、既知の方法の既存の問題を克服し、変更された条件に容易に適応可能な、リスクの柔軟な評価を可能にすることである。本開示の範囲内で、評価は、アセスメントとして理解されてもよい、すなわち、アセスメントを含んでもよく、またはアセスメントであってもよい。
この目的は、独立クレームの主題によって達成される。有利な実施形態は、従属クレーム、説明および図面から明らかになるであろう。
そこで、以下では、この問題に対処するために、攻撃ツリーを開発する自動化手法と、それを基にして損害イベントや損害シナリオの発生確率や実現確率を把握するアプローチを示す。説明されたアプローチは、攻撃の論理または仮定すなわち攻撃論理を、考慮されている特定のシステムまたは考慮されている特定のインフラストラクチャの基礎を形成するトポロジーのモデリングから分離することが有利であるという発見に基づいている。情報セキュリティリスクの評価は、ここでは分散プロセスとして計画される、攻撃論理は、例えばそれに応じて専門化されたITセキュリティスタッフによって、より具体的にはそれが適用されるトポロジーとは独立して中央で提供され、例えば、会社または会社の構成要素の間で交換され得る。以下でより詳細に説明するように、記述されたアプローチは、したがって以下のステップを提供する:トポロジーのモデリング、攻撃論理のモデリング、リスク仮定のモデリング、リスク分析の実行つまり情報セキュリティリスクの評価。
一態様は、インフラストラクチャにおける情報セキュリティリスクの自動評価方法に関し、特に情報技術(IT)インフラストラクチャを含むかまたはITインフラストラクチャであるインフラストラクチャにおける情報セキュリティリスクの自動評価方法であって、一連の方法ステップを含む方法に関する。したがって、インフラストラクチャは、特に、ITインフラストラクチャと、さらにITインフラストラクチャとは異なるインフラストラクチャ、例えば建築インフラストラクチャなどの物理インフラストラクチャとを含み得る。ITインフラストラクチャは、生産セル、ITネットワーク、およびソフトウェアシステムを含み得る。したがって、説明されたアプローチの特定の利点は、セキュリティリスクが評価またはアセスメントされるインフラストラクチャが、ITインフラストラクチャに追加されているか、またはITインフラストラクチャから独立しているかにかかわらず、ITインフラストラクチャとは異なるインフラストラクチャを含み得ることである。
第1の方法ステップは、評価部にトポロジー情報を提供するステップであり、トポロジー情報は、インフラストラクチャの複数の指定された技術的トポロジー要素、例えばドアまたはルータを定義し、各インスタンスは、複数の指定された技術特性、例えば、あるタイプのドアロック、ルータ上で動作する特定のソフトウェア、またはルータのバージョンの少なくとも1つを有する。したがって、特定のトポロジー要素に割り当てられた単数または複数の特性は、トポロジー要素のタイプによって暗黙的に指定または定義される場合がある。ここで、タイプは、種類(例えば、ドアまたはルータ)に関連していてもよいし、同じ種類の要素の異なるバージョン(例えば、ルータタイプA、ルータタイプB)に関連していてもよい。
さらなる方法ステップは、損害の量を表すことができる、指定された損害重大性指標値を有する少なくとも1つの損害イベントまたは損害シナリオを、トポロジー要素の少なくとも1つに割り当てることである。損害イベントまたは損害シナリオはまた、複数の個々の損害イベントを含み得る。
次の方法ステップは、攻撃論理情報を評価部に提供するステップであり、ここで攻撃論理情報は、複数の指定された技術的攻撃ステップを定義する。ここで、各攻撃ステップは、トポロジー要素に割り当てられ得る対応する特性にリンクされる操作を表す。例えば、攻撃ステップ「ロック(タイプA)の開放」は、特性「ロック(タイプA)」にリンクされる。次に、この種の攻撃ステップは、特性に依存する成功確率を含み得る、例えば、攻撃ステップ「ロック(タイプA)の開放」が成功する確率は、攻撃ステップ「ロック(タイプB)の開放」が成功する確率より低くてもよい。市場にすでに存在し、したがって外部で指定される攻撃論理も、ここで使用され拡張され得る。既に存在する製品の例は、攻撃論理情報として使用され得るMITRE ATT&CKマトリクスである。しかしながら、外部から指定された攻撃論理は、既存の脆弱性データベースおよび/または、例えば侵害指標の通知のような最新の脅威に関する情報に基づいて、個々の好みに応じて指定された方法で更新され得る。
攻撃論理の各攻撃ステップの成功確率は、予め定義された定性的確率カテゴリまたはクラスに基づいてまたはその形式で、低、中、高として定義され得る。確率カテゴリまたはクラスは、好ましくは離散確率カテゴリまたはクラス、例えばn個の確率カテゴリまたはクラスであり、ここでnは自然数である。
攻撃ステップは、各事例において、複数の指定された特性の少なくとも1つ、例えばロック、に関連し、ここで特性は、特定のトポロジー要素に次々に割り当てられてもよく、そして各インスタンスにおいて(好ましくは)定性的な成功確率を含み、これは特に、特定の攻撃ステップが関連する単数または複数の特性に依存する。トポロジー情報に関係なく、このようにして、攻撃ステップのライブラリを生成することもでき、当該方法における後の実際の使用に関係なく、一連の指定された特性、例えば異なるロックタイプのドア、異なるルートタイプ、またはルータの異なるソフトウェアコンポーネント等、について、対応する成功確率を有する攻撃ステップが蓄積される。さらに以下で説明する攻撃経路の生成中、トポロジー情報から始めて、関連するトポロジー要素において指定された特性に基づいて、一致する攻撃ステップが自動的に選択され、情報セキュリティリスクの自動評価において考慮されてもよい。
グラフ中の経路探索アルゴリズムを用いてトポロジーを調べるため、攻撃論理が用いられる。肯定的な場合、トポロジー要素の特性が攻撃論理の特定の攻撃ステップの必要条件に対応するかどうかが、トポロジー要素ごとに調査される。この場合、現在の攻撃ステップに続く攻撃ステップ(例えば、AND、OR特にXOR、REQUIREDまたはMITIGATINGリンク)が、現在および/または接続されたトポロジー要素について考慮される。この場合のトポロジー要素間の接続は、それらの間の因果関係を表す。このような因果関係は、例えば、2つのITシステム間のITネットワークにおけるネットワーク接続によって与えられるが、ビル内のITシステムの位置や、ITシステムとビルとの間によっても与えられる。
さらなる方法ステップは、確率の伝搬方法を指定または定義するステップであり、特に多数の指定された確率伝搬方法のうちの1つを選択し、ここで確率伝搬方法は(例えば、1つ以上のトポロジー要素を介して)互いにリンクされた攻撃ステップ、または(例えば、トポロジー要素内で)相互作用する攻撃ステップの成功確率を組み合わせる。相互作用する攻撃ステップ、すなわち、例えば別の攻撃ステップによってのみ可能となる攻撃ステップは、相互に条件付けられる攻撃ステップとも称される。指定された確率伝播によって、要求する攻撃ステップに、論理的にリンクされた攻撃ステップの確率を転送する方法が決まる。したがって、要求する攻撃ステップの成功確率は、反復的に適応され得る。適応は、ここでは論理リンクに依存する。ここで、特に「AND」伝播、および/または「OR」伝播特に「排他的OR」(「XOR」)伝播、および/または「MITIGATING」伝播、および/または「REQUIRED」伝播を区別し得る。「OR」伝播は、「AND」と「XOR」の組み合わせによって生成され得るので、確率伝播において明示的に指定される必要はない。
確率伝播方法を選択または定義することによって、以下でさらに説明する、攻撃ステップの連続的なシーケンスまたは並列に実行可能な相互作用する攻撃ステップの全体的な確率の算出において、個々の攻撃ステップの成功確率が、どのように算出またはアセスメントされるかが指定される。例えば、攻撃経路の点、例えばトポロジー要素内、に存在する成功確率に対して、最大セキュリティ原理が選択されることが定義され従って選択されてもよく、すなわち、各インスタンスにおいて、攻撃経路に従って、先行する必要な攻撃ステップの成功確率がより大きくなることが考慮され(たとえば、「or」または「xor」伝播の場合)、または、例えば異なる成功確率が乗算されるか、またはそれらに対して平均値が形成され(たとえば、「and」伝播の場合)てもよい。例えば、攻撃経路の点、例えばトポロジー要素内に存在する、の成功確率について、成功確率の定性的クラスが減少または増加するように定義され従って選択されてもよい。
ここで好ましくは、指定された、特に交換できるように指定された、確率伝搬が定義され、その結果、利用可能な確率クラスの最小値または最大値を表さない確率カテゴリまたはクラスが組み合わさって確率クラスの漸進的な減少を導く一方、すべてのさらなる組合せに対して、先行する攻撃ステップの成功確率の最大原理が適用される。さらに、この種の確率伝搬では、攻撃ステップの長い連鎖による漸進的緩和が仮定され、最も低いおよび中間の確率クラスに適用されるが、最も高い定性的な確率クラスには適用されない。図4を参照してこれをより詳細に説明する。
例えば、タイプAのロック付きドアAをタイプBのロック付きドアBを通過する前に通過しなければならず、タイプAのロック付きドアAを通過する成功確率が低く、タイプBのロック付きドアを通過する成功確率が高い場合、最大セキュリティ原理によれば、ドアBを通過する成功確率も低い、これを行うには、まずタイプAの鍵付きドアAを通過しなければならないからである。あるいは、例えば、ロックを通過するための2つの成功確率の平均値を形成することもでき、その後、算出された平均値を関連する成功確率として使用できる。
最後に、評価部による情報セキュリティリスクの自動評価を行う。この文脈において、「自動的に」という用語は、前述の方法ステップの成功し完了したときに、推定される情報セキュリティリスク、またはインフラストラクチャの対応する技術的適応の提案を得るために、オペレータによる評価部へのさらなる入力が必要でないことを意味すると理解できる。
ここで、評価の一部は、提供されたトポロジー情報および提供された攻撃論理情報に基づいて、複数の攻撃経路、特に論理的におよび/または組み合わせ可能なすべての攻撃経路、または少なくとも1つの攻撃経路の(好ましくは自動の)生成である。攻撃経路は、少なくとも1つのトポロジー要素およびさらなるトポロジー要素を少なくとも1つの攻撃ステップによってリンクし、攻撃ステップは攻撃経路のトポロジー要素の指定された特性に関する。攻撃経路はまた、攻撃者が1つのトポロジー要素からさらなるトポロジー要素に通る成功確率を表し、ここでさらなるトポロジー要素は対応する攻撃ステップを介して第1のトポロジー要素にリンクされる。攻撃経路はまた、一連のトポロジー要素をリンクする一連の攻撃ステップを含んでもよい。
攻撃経路は、また互いに交差したり互いに統合したりし得る、ここで例えば攻撃者が最初に攻撃手段として一般にアクセス可能なドアを通過し、ドアの後ろにある部屋、例えばその部屋にはルータがある、に入る必要がある場合、攻撃者がルータの場所に物理的に存在することを必要とする追加の攻撃ステップを実行できるようになる。従って、攻撃経路はまた分割され得る、ここで例えば説明した例の場合、攻撃者は、ルータの場所において一度だけそこでハッキングして機密データが保存されているコンピュータに侵入し、またはルータの場所からコンピュータの場所へ物理的に移動してそこで機密情報を読む。
また、好ましくは自動評価の一部は、生成された攻撃経路を自動調査し、問題の攻撃経路が損害イベントの割り当てられたトポロジー要素に関連するかどうかを確認することである。これは、例えばトポロジー要素のタイプ、タイプのバージョン、およびタイプに対する攻撃に対して存在する対抗手段を含む、トポロジー要素の特性の指定された仕様フォーマットに基づいて実施されてもよい。調査結果が肯定的な場合、特に調査結果が肯定的な場合にのみ、次いで、好ましくは自動算出が、攻撃経路によって影響を受けるトポロジー要素の損害イベントの発生確率または全体確率を算出するために、選択された確率伝搬方法に従って実行され得る、ここで算出は特定の攻撃経路に従った必要な攻撃ステップの成功確率に応じて、または損害イベントが割り当てられたトポロジー要素に影響を及ぼす特定の攻撃経路に応じて行われる。算出は、先行する攻撃ステップの論理的結合および/または先行する攻撃ステップの鎖長に応じて、先行する攻撃ステップの確率のクラスの再結合および/または条件付き分類(離散増加、離散削減、維持)を用いて行われ得る。算出された全体確率は、特に、定性的および/または離散的な全体確率であり得る。損害イベントまたはシナリオにリンクされた攻撃経路のすべての攻撃ステップにわたって確率伝搬が実行されると、結果として生じる、攻撃ステップ(損害イベントに関連付けられ、トポロジー要素に関連する攻撃ステップ)の全体確率が損害イベントに転送され得る。したがって、評価の一般的な傾向は、確率伝搬の選択によって影響を受ける可能性があり、例えば、高い傾向にある成功確率は低い確率よりも重視され、またはその逆となる。
さらに、自動評価の一部は、算出された全体確率と損害重大性指標値とに応じた、推定される情報セキュリティリスクの自動出力であることが好ましい。また、推定されるセキュリティリスクは、定性的にアセスメントされたセキュリティリスクであると理解され得る。例えば、情報セキュリティリスクを評価し、全体確率と損害重大性指標値との積に比例した情報セキュリティリスクを出力してもよい。出力は、表示手段上の表示、データキャリア上の記憶、または他の提供手段を含み得る。
代替的にまたは付加的に、自動評価および/またはアセスメントは、情報セキュリティリスクを低減するために、1つ以上のトポロジー要素の1つ以上の特性の技術的な適応の自動提案が好ましく、および/または複数のトポロジー要素の1つの1つ以上の特性の自動適応も好ましくは含み得る。このような手段は、インフラストラクチャ保護とも称される。例えば、このことは、トポロジー要素としてのルータのファームウェアおよび/またはソフトウェアの更新などの、特定の攻撃ステップにリンクされた対抗手段のライブラリを提供することによって実施されてもよい。例えば、その成功確率が全体確率に最も大きく寄与する攻撃ステップに基づいて、評価またはアセスメント部は、全体確率ひいては情報セキュリティリスクの低減に最も大きく寄与する1または複数の対抗手段を提案または開始できる。
説明された方法ステップのうちの少なくとも1つ、すなわち、説明された1つ以上またはすべての方法ステップをコンピュータ上で実行することができる。
このアプローチでは、攻撃ステップのモデリング、つまり攻撃論理(攻撃者が標的に到達するためにしなければならないこと)をトポロジーのモデリング(ステップが何と関係し得るか)と区別することで、最初に説明した問題を解決する。
これには、ITセキュリティの専門家が一般的な攻撃ステップ、したがって攻撃経路をモデリングできるという利点がある。攻撃ステップの成功確率は、一般的な攻撃ステップ内または攻撃経路内で定義される。トポロジーのモデリングは、例えば特定の専門分野によって実行され得る。ここで、一般的な攻撃ステップが、提案した方法を用いて、モデリングしたトポロジーに適用される。トポロジー要素に対して、ある特定の瞬間に攻撃ステップが適用され得るか否かがチェックされる(たとえば、パスワードの推測は、パスワードで保護されたトポロジー要素にのみ適用され、ロックの選択は、ロックを持つ要素にのみ適用される)。肯定的な場合、対応する攻撃経路が確立される。この攻撃経路が損害シナリオにつながる場合、この攻撃経路は、情報セキュリティリスクの評価のためにさらに考慮され、例えば、保存され表示されてもよい。肯定的な場合、評価部は、生成された攻撃経路を調査し、適用された攻撃ステップの成功確率から、損害イベントまたはシナリオの全体確率を決定する。方法が実行されると、次のような結果になる。
現在の仮定の下で関連する攻撃経路(例えば一般的な攻撃経路を介する)。
モデリングされた(一般的な)攻撃経路は、分析が実行された仮定を示す。例えば、情報技術攻撃のみ、または物理的攻撃のみが仮定される場合、これは攻撃経路に反映される。分析から作成された攻撃経路は、トポロジーに実際に関連する攻撃を示し、対抗手段の選択と優先順位付けに使用できる。
モデリングされた(一般的な)攻撃経路は、分析が実行された仮定を示す。例えば、情報技術攻撃のみ、または物理的攻撃のみが仮定される場合、これは攻撃経路に反映される。分析から作成された攻撃経路は、トポロジーに実際に関連する攻撃を示し、対抗手段の選択と優先順位付けに使用できる。
現在の対抗手段と現在のトポロジーに関連する情報セキュリティリスク。
関連する攻撃経路の自動発達、および攻撃の成功確率または全体確率の決定は、仮定される損害の量と併用され、情報セキュリティリスクを表示するために使用され得る。
関連する攻撃経路の自動発達、および攻撃の成功確率または全体確率の決定は、仮定される損害の量と併用され、情報セキュリティリスクを表示するために使用され得る。
トポロジーのモデリングは攻撃ステップのモデリングから分離されるので、この方法は低コストで実行できる。適用可能な攻撃経路の自動決定のために、モデリングされた攻撃ステップを例えば(一般的な攻撃経路の形で)再利用することができ、その結果、労力をさらに低減し、柔軟性を向上させる。
さらに、この方法は、リスクの実現可能な種類をトレース可能に示し、また、決定された確率または実現確率または全体確率を示す。例えば脅威の状況の変化、トポロジーや対抗手段の変化などによる(一般的な)攻撃経路の変化は、関連するモデル内で直接トレースできる。決定されたリスクおよび攻撃経路の変化に対するそれらの影響は、直接的に明らかとなる。
説明されたアプローチは、攻撃の損害の量と成功確率に関する正確な量的記述に依存せず、定性的な損害及び確率クラス(上記のように主観的に影響されることが多い)だけで動作できる。これにより、ITネットワークを超えて、純粋に経済上の損害を考慮する方法を使用できる。この方法は、生産システムやスマートシティなどの異種アプリケーションに適用できる。この方法は、直接測定可能な場合にも使用でき、同時に間接的で測定不可能な予想損害(例えば評判の低下)にも使用できる。
この方法では、次のことが可能である。
1.攻撃経路指向のリスク分析の自動化方法により、トレース可能なリスクと、トポロジーの変化、脅威の展望、対抗手段またはリスク分析の仮定の変更による、これらのリスクの変化とを、低コストで表示できる。
2.攻撃経路によって生成された攻撃ツリーの確率、特に成功の定性的確率、の自動的なアセスメント方法。
3.リスク分析やセキュリティ対策の優先順位付けにおいて、業務分担や独立業務を可能とする方法、これは、トポロジー固有のセキュリティの固有モデリングの面と、専門家のモデリングの面とが分離されているためである。
4.既存のリスク分析アプローチに容易に統合できる方法。
1.攻撃経路指向のリスク分析の自動化方法により、トレース可能なリスクと、トポロジーの変化、脅威の展望、対抗手段またはリスク分析の仮定の変更による、これらのリスクの変化とを、低コストで表示できる。
2.攻撃経路によって生成された攻撃ツリーの確率、特に成功の定性的確率、の自動的なアセスメント方法。
3.リスク分析やセキュリティ対策の優先順位付けにおいて、業務分担や独立業務を可能とする方法、これは、トポロジー固有のセキュリティの固有モデリングの面と、専門家のモデリングの面とが分離されているためである。
4.既存のリスク分析アプローチに容易に統合できる方法。
従来公知の方法と比較して、上述した方法は以下の利点を奏する。
1.リスク評価または分析のトレーサビリティとアカウンタビリティの向上
記述された方法によると、トポロジーと、リスク分析の仮定、すなわち攻撃論理およびリスク仮定に関する仮定、とは互いに分離されているが、以前の方法ではそれらは一般的にテキスト形式で一緒に文書化されている。この分離により、作成された攻撃経路つまりリスク分析の決定の基礎を、分離形式の攻撃論理、リスク仮定、またはトポロジーの変更に帰することができる。新たに作成された攻撃経路とそれに関連する効果的な対抗手段についても、したがって明確に推論できる。
1.リスク評価または分析のトレーサビリティとアカウンタビリティの向上
記述された方法によると、トポロジーと、リスク分析の仮定、すなわち攻撃論理およびリスク仮定に関する仮定、とは互いに分離されているが、以前の方法ではそれらは一般的にテキスト形式で一緒に文書化されている。この分離により、作成された攻撃経路つまりリスク分析の決定の基礎を、分離形式の攻撃論理、リスク仮定、またはトポロジーの変更に帰することができる。新たに作成された攻撃経路とそれに関連する効果的な対抗手段についても、したがって明確に推論できる。
2.結果の伝達可能性
考慮されている主題すなわち、例えば、インフラストラクチャを記述するトポロジーと、仮定、すなわち本事例では攻撃論理とリスク仮定、とが別々にモデリングされるので、結果が伝達され得る。したがって、同一のトポロジーは、同一のトポロジーモデルを用いて分析され得る。モデリングされた攻撃論理は、様々なトポロジーに対して順番に使用され得る。たとえば、企業全体の攻撃論理は、中央ビジネスユニット、外部サービスプロバイダー、または個人によってモデリングされ、文書化され得る。この論理は、トポロジーの責任者(サービス所有者など)に分析のために提供される。最後に、リスク仮定のモデリングは、ISO/IEC27005、NIST SP800-30、またはOCTAVEの実装のような既存のアプローチの比較と改良を可能にする。
考慮されている主題すなわち、例えば、インフラストラクチャを記述するトポロジーと、仮定、すなわち本事例では攻撃論理とリスク仮定、とが別々にモデリングされるので、結果が伝達され得る。したがって、同一のトポロジーは、同一のトポロジーモデルを用いて分析され得る。モデリングされた攻撃論理は、様々なトポロジーに対して順番に使用され得る。たとえば、企業全体の攻撃論理は、中央ビジネスユニット、外部サービスプロバイダー、または個人によってモデリングされ、文書化され得る。この論理は、トポロジーの責任者(サービス所有者など)に分析のために提供される。最後に、リスク仮定のモデリングは、ISO/IEC27005、NIST SP800-30、またはOCTAVEの実装のような既存のアプローチの比較と改良を可能にする。
3.環境や実質の変化の際の応答時間の短縮
異なるモデリング見地を分離し、攻撃経路を自動生成することによって、リスク分析またはリスク評価は、環境または実質の変化に応じて予防的にまたはアドホックに実行され得る。このようにして、攻撃論理は、例えば新たに攻撃や不正利用が作成された場合、またはWiFi監査プラットフォームの普及が増加した場合に適応され得る。今や新たに生成された攻撃経路や、例えば損害シナリオの実現確率の増大によって変化するリスクは、自動決定され得る。したがって、例えば、更新された攻撃論理情報が提供されたときに、評価部による情報セキュリティリスクの自動評価を開始するトリガイベントが提供されてもよい。
異なるモデリング見地を分離し、攻撃経路を自動生成することによって、リスク分析またはリスク評価は、環境または実質の変化に応じて予防的にまたはアドホックに実行され得る。このようにして、攻撃論理は、例えば新たに攻撃や不正利用が作成された場合、またはWiFi監査プラットフォームの普及が増加した場合に適応され得る。今や新たに生成された攻撃経路や、例えば損害シナリオの実現確率の増大によって変化するリスクは、自動決定され得る。したがって、例えば、更新された攻撃論理情報が提供されたときに、評価部による情報セキュリティリスクの自動評価を開始するトリガイベントが提供されてもよい。
トポロジー内の新しい弱点のモデリングや、トポロジー要素またはトポロジー接続の追加または削除による変更についても同様である。例えば、追加の建築物を更新する場合、トポロジー情報を自動的に更新し、更新されたトポロジー情報が提供されると、情報セキュリティリスクを自動的に再評価するようにしてもよい。トポロジー情報と攻撃論理情報とで別々に変更をモデリングできること、および自動実行により、環境または実質の変更のリスクは、より迅速に、より経済的に、より容易に評価され得る。これにより、情報セキュリティは、これらの変化に迅速に対応できる。
4.リスク評価やリスク分析を行う労力の大幅な削減
NIST SP800-30、OKTAVE、FRAP、またはISO/IEC27005の実装など、リスク分析を実行するための現在のアプローチは、現在、情報セキュリティ以外のさまざまなビジネス分野の専門家を集めるか、複数の会議を開催するか、複数ページの文書を作成するかのいずれかを規定している。記載された方法では、単に、攻撃論理の連続的な適応と、考慮されているトポロジー、例えば建物構造および/またはITインフラストラクチャ、の適応および導入時の最初のモデリングだけが必要となる。これにより、作業を分担して経済的に分析を継続実行できる。
NIST SP800-30、OKTAVE、FRAP、またはISO/IEC27005の実装など、リスク分析を実行するための現在のアプローチは、現在、情報セキュリティ以外のさまざまなビジネス分野の専門家を集めるか、複数の会議を開催するか、複数ページの文書を作成するかのいずれかを規定している。記載された方法では、単に、攻撃論理の連続的な適応と、考慮されているトポロジー、例えば建物構造および/またはITインフラストラクチャ、の適応および導入時の最初のモデリングだけが必要となる。これにより、作業を分担して経済的に分析を継続実行できる。
このように、このアプローチは、例えばEP2816773A1とは著しく異なっている、なぜならば、攻撃ステップ間の論理的依存性がモデル化されており、攻撃ステップは、トポロジー要素の特定の特性の存在下または非存在下で適用され得る行為または操作であり得るからである。潜在的な弱点や脆弱性に加えて、これらの特性には、特定のバージョンの存在や、特定のセキュリティ手段の有無も含まれる。脆弱性などはトポロジー要素に割り当てられていない、むしろ、これは、攻撃論理情報内の攻撃ステップの指定を介してトポロジー要素から分離された方法で生じる。
一方、ここで分業が可能である(トポロジーは攻撃ステップとは別にモデリングされる)。一方、この方法は、ネットワーク要素に限定されるだけでなく、例えば、建物要素または他のインフラストラクチャ要素を含んでもよい。説明された方法における攻撃経路は、ネットワーク要素の利用された弱点の量ではなく、代わりに、任意の種類のトポロジー要素、特に任意の種類のインフラストラクチャ、に対して可能な攻撃ステップの量またはリンクである。この方法は、全ての攻撃経路を決定することができ、この目的のために脆弱性を相互に関連させて設定する必要がないので、ITネットワークに限定されない。
したがって、ここで説明する方法では、例えば、作業者を追跡しマルウェアをインストールすることによるセキュリティエリアへの物理的な侵入を(追加的または代替的に)示すことができる。さらに、説明された方法によると、ネットワーク要素と(IT)サービスとの間の通信を考慮できる。たとえば、さまざまなサブネットワークを介したITコンポーネント間のアカウントデータの交換が示される。また、ここで述べたリスク評価のアプローチは、重大さの程度の定量的な評価を必要としない、なぜならば、この場合、自由に定義できる規格に従って定性的なリスクが評価されるからである。
定性的なリスクをアセスメントするため、この方法は、財務上の損害や定量的に測定可能な確率(例えば、US9,608,855B2)に限定されない。この方法は、この結果、直接的および間接的な損害であって、客観的に測定できる損害および非客観的に測定できる損害の両方に使用できる。攻撃ステップの成功確率もまた、意味のある定量化が必ずしも可能ではなく、成功確率の単に定性的な記述が可能である。組織は通常、情報セキュリティリスクに対処する際に定性的なリスク分析を用いる。定性的な成功確率を使用するため、この方法は、組織における既存のリスク分析アプローチに容易に統合でき、既存の従来の定義に従って解釈できる。
有利な実施形態によれば、トポロジー情報は、攻撃論理情報の提供とは独立および/または、別々および/または、区別して提供される。また最初に説明したように、これにより、トポロジーまたは可能な攻撃が変化した場合、柔軟性が増加し、適応コストが減少するという利点を有する。本実施形態では、問題となる提供は、ウェブサービスを介して実施されてもよく、それによって、攻撃論理情報の提供は、局所的に完全に分離されてもよい。これにより、方法の柔軟性および使いやすさが向上する。
別の有利な実施形態では、トポロジー情報は、少なくとも1つのルータおよび/または少なくとも1つのコンピュータをトポロジー要素として有する情報技術ネットワークおよび/または、特に少なくとも1つの接続および/または分岐点をトポロジー要素として有するケーブルハーネスおよび/または、特に少なくとも1つの部屋および/またはドアおよび/または少なくとも1つの廊下をトポロジー要素として有する単数または複数の建物および/または、特に少なくとも1つのコンピュータ(またはアプリケーション)プログラムおよび/またはコンピュータプログラムインタフェースをトポロジー要素として有するコンピュータ(またはアプリケーション)プログラムネットワーク、および/または、別の製品、例えばハードウェア製品および/またはソフトウェア製品、または一般的にグラフとして表示可能な製品、特に少なくとも1つの製品コンポーネントをトポロジー要素として有する、例えば自動車両を表す。また、トポロジー情報は、例えばアプリケーション(またはアプリケーションプログラム)をトポロジー要素として有する、ITサービスネットワーク、および/または組織および/または組織ユニットおよび/または、社会技術情報システムを表すことができる。トポロジー情報は(特に、情報技術ネットワークを表すトポロジー情報に加えて)、情報技術ネットワークを表すトポロジー情報とは異なるトポロジー情報を含むことが特に好ましい。
このことは、参照トポロジーに関して説明された柔軟性が利用され、トポロジー情報の基礎を形成する異なるインフラストラクチャまたは製品、及び特に相互に織り合わされている定性的に異なるインフラストラクチャの組み合わせの情報セキュリティリスクにも使用され得るという利点を有する。
さらなる有利な実施形態では、トポロジー要素の特性が、指定された、特に技術的弱点および/またはタイプ説明、例えばバージョン番号、および/またはシステムタイプおよび/または、指定されたセキュリティ手段の有無を表す。これは、攻撃ステップが特性に特に効果的に割り当てられ、従ってトポロジー要素に間接的に割り当てられるという利点を有する。
特に有利な実施形態では、トポロジー情報は、評価部によって(好ましくは自動的に)処理され、指定されたタイプのトポロジー要素、例えば一般にアクセス可能なドアなどの指定された特性を用いて、深さ優先検索および/または、幅優先検索および/または、既知の類似または同等の検索方法が、1つ以上好ましくはすべての他のトポロジー要素上で実行され、これは指定されたタイプのトポロジー要素、1つのトポロジー要素であってもよい、とのすべての組合せがそれらの有効性に関して攻撃論理情報を考慮して調査されるまで実行される。この場合、組み合わせは、その組み合わせの特定のトポロジー要素が、攻撃ステップを介してリンク可能である場合に有効であり、攻撃ステップはそれらがリンクするトポロジー要素の特性の少なくとも1つにそれぞれ関連する。
従って、評価部により攻撃経路が生成される場合、攻撃経路は、無効な組み合わせではなく有効な組み合わせに従って生成される。このように、指定されたタイプの1つまたは複数のトポロジー要素から進むと、(指定されたタイプの初期の)どのトポロジー要素でどの攻撃ステップが可能であり、どのさらなるトポロジー要素がそこからマッチングする攻撃ステップで攻撃され得るかが調査される。したがって、有効な組み合わせは一連のトポロジー要素を含み、そこから特定のトポロジー要素にマッチングする攻撃を、組み合わせまたは連続における続くトポロジー要素へと通過させることができる。例えば、攻撃者は、攻撃ステップとしてドアのロックをピッキングすることによって、公共エリア内のドアを通過することができ、ドアの後ろに位置するプライベート空間に入ることができ、そこで、さらなるトポロジー要素を攻撃するためのさらなる攻撃ステップを実行できる。
これによると、実際の脅威または損害シナリオに対応するトポロジー要素の可能な組み合わせの数が取り除かれて算出され、全体としての方法の効率が増加するという利点を有する。
各攻撃ステップは、攻撃ステップが関連するトポロジー要素の単数又は複数の特性の存在下または非存在下で、対応するトポロジー要素内または上で実行され得る操作を表す。具体的には、各攻撃ステップには、攻撃起点が割り当てられる、これは攻撃経路の特定のトポロジー要素(トポロジーノード)がどの単数又は複数の特性を持っている必要があるかを示し、その結果対応する攻撃ステップが1つのトポロジー要素内または上で実行され、したがって攻撃経路の一部として特定のトポロジー要素にリンクされる、ここで、説明された攻撃経路は、説明された対応する攻撃ステップによって特定のトポロジー要素とさらなるトポロジー要素とをリンクする。代替的にまたは追加的に、各攻撃ステップは、攻撃目標を割り当てられてもよい、これは攻撃経路のさらなるトポロジー要素が、どの単数または複数の特性を有しなければならないかを示し、その結果、対応する攻撃ステップが攻撃経路の一部としてさらなるトポロジー要素とリンクされ、および/または、どの損害イベントが特定のまたはさらなるトポロジー要素に割り当てられるかを示し、その結果、攻撃ステップが、割り当てられた成功確率で損害イベントをトリガしてもよい。
これにより、攻撃経路が、トポロジー自体とは無関係に、特に効率的に指定され得るという利点を有する。攻撃起点と攻撃目標の割当てにより、攻撃経路にとって適格なトポロジー要素もまたそれらの対応する特性のために明確であり、従って互いに特に効率的にリンクされ、その結果上記方法が特に迅速に実行され得る。
さらなる有利な実施形態では、リンクされた攻撃ステップの成功確率を組み合わせるための多数の確率伝播方法が指定され、「AND」伝播および/または「OR」伝播および/または「排他的OR」(「X-OR」)伝播および/または「排他的OR」(「X-OR」)伝播および/または「MITIGATING」伝播および/または「REQUIRED」伝播を含む。ここで、確率伝搬は、決定された攻撃経路における先行攻撃ステップまたは先行攻撃ステップの組み合わせの確率を考慮して、適用される攻撃ステップ(トポロジー要素に適用)の攻撃確率を適応させることを示す。トポロジー要素に対する攻撃ステップの実際の発生確率、および最後に攻撃経路の成功確率は、このように評価され得る。例えば、「AND」伝播の場合、攻撃経路が成功するためには、複数の先行する攻撃ステップが発生しなければならない。対照的に「OR」伝播の場合、攻撃経路が成功するためには、先行する攻撃ステップの1つが発生すれば十分であり得る。この場合、最後に「排他的OR」伝播の場合、対応する攻撃ステップは相互に排他的である。異なる伝播を1つの攻撃パスに組み合わせることもできる。「REQUIRED」伝播では、特定の攻撃ステップは、別の攻撃ステップが事前に成功した場合にのみ発生し得る。最後に、「MITIGATING」伝播の場合、攻撃ステップの成功確率は、最後に、条件付き攻撃ステップの前のチェーンの長さ、およびそれらの成功確率(特に成功クラスの確率の形で、つまり簡単に言えば、「それらの成功クラスの確率」)に従って定義され得る。
従って、損害イベントまたはシナリオの確率は、損害シナリオに至る攻撃ステップの成功確率と、また攻撃ステップの論理リンクに従う先行する相互に条件付けられる攻撃ステップと、チェーンを決定する攻撃ステップの長さと、の反復的な適応に基づいて、反復的に定義され得る。
これは、一般的に情報セキュリティリスクが過大または過小評価される傾向を僅かなコストで選択できるという利点を有する。
さらなる実施形態では、トポロジー情報および/または攻撃論理がグラフとして提供される。これには、攻撃経路が特に効率的に作成されるという利点があり、特に、深さ優先探索および/または幅優先探索を特に効率的に実行できる。深さ優先/幅優先探索は、ここでは、既知のDFS(深さ優先探索)またはBFS(幅優先探索)と理解できる。
さらに有利な実施形態では、自動評価は、指定された時間間隔で、および/または更新されたトポロジー情報が提供されたときに、および/または更新された攻撃論理情報が提供されたときに、および/または、別のトリガ基準が提供されたときに自動実行される。これには、リスク評価が自動的に現状に維持される、すなわち、時代遅れではなく、常に適切な評価を提供するという利点がある。
さらなる態様は、コマンドを含むコンピュータプログラムまたはコンピュータプログラム製品に関し、プログラムがコンピュータによって実行されるとき、当該コマンドは説明された実施形態の1つにおいて、コンピュータに自動評価を実行するように促す。さらに、コンピュータプログラム製品は、コンピュータに、トポロジー情報を提供するように、および/または損害イベントを割り当てるように、および/または攻撃論理情報を提供するように、および/または確率伝搬方法を選択するように促せる。結果として得られる利点は、前述のコメントと一致する。
追加の態様は、インフラストラクチャの保護方法であって、特に情報技術ネットワーク、および/またはビルディング複合体、および/またはコンピュータプログラムネットワークを伴うインフラストラクチャと、上記方法のステップの1つ以上と、インフラストラクチャを保護する追加の方法ステップとを伴う。インフラストラクチャは、特に情報技術(IT)インフラストラクチャとは異なるインフラストラクチャ、すなわち、ITインフラストラクチャに属さない少なくとも1つの要素を含み得る。
保護することは、その適応により、推定される情報セキュリティリスクを最大限に低減するトポロジー要素のうちの少なくとも1つを選択すること、及び選択されたトポロジー要素を表示することを含み得る。適応は、更新および/または置換を含み得る。推定される情報セキュリティリスクを最大限に低減させる単数または複数のトポロジー要素は以下のように選択される、例えば、関連する成功確率が、生成された攻撃経路において変動するとき、情報セキュリティリスクが、変動する成功確率について評価され、その変動が情報セキュリティリスク評価を最も低減させる成功確率に割り当てられたトポロジー要素が選択される。選択時には、適応に関連する指定されたコストも(例えば保存されたデータベースを介して)考慮に入れられる。例えば、ドアロックを交換する方が、ルータを更新するよりもすばやく簡単である。
保護することには、推定される情報セキュリティリスクの出力に基づくインフラストラクチャの保護、および/または示されたトポロジー要素の適応(特に更新または置換)を含めることができる。
別の態様は、情報セキュリティリスクの自動評価システム、特に情報技術インフラストラクチャにおける情報セキュリティリスクの自動評価システムに関する。
この場合、システムは、それぞれ複数の指定された特性のうちの少なくとも1つを有する複数の指定されたトポロジー要素を規定するトポロジー情報を提供する第1提供部と、指定された損害重大性指標値を有する少なくとも1つの損害イベントをトポロジー要素の少なくとも1つに割り当てる割当部と、を有する。さらに、システムは、複数の指定された攻撃ステップを定義する攻撃論理情報を提供する、好ましくは第1のものとは異なる、第2提供部を有し、攻撃ステップは、各インスタンスにおいて複数の指定された特性のうちの少なくとも1つに関連し、各インスタンスにおいて成功確率を含む。また、システムは、互いにリンクしているかまたは相互作用する攻撃ステップの成功確率を組合せる確率伝搬法を定義する(または、指定された多数の確率伝播方法の1つを選択するために使用する)選択部と、情報セキュリティリスクを自動評価する評価部とを備える。
この場合、評価部は、第1提供部により提供されたトポロジー情報と、第2提供部により提供された攻撃論理情報と、に基づいて、複数の攻撃経路を生成するように設計され、攻撃経路は、攻撃経路内のトポロジー要素の指定された特性に関連する少なくとも1つの攻撃ステップによって、少なくとも1つのトポロジー要素とさらなるトポロジー要素とをリンクする。さらに、評価部は、生成された攻撃経路を調査して、攻撃経路が、損害イベントが割り当てられたトポロジー要素を含むか否かを確認し、この調査結果が肯定的である場合には、選択された確率伝搬方法に従って、攻撃ステップの成功確率に応じて損害イベントの全体確率を算出するように設計される。最後に、評価部は、算出された全体確率と損害重大性指標値に応じて、推定される情報セキュリティリスクを出力するようにも設計される。
説明されたシステムの利点および有利な実施形態は、ここで、説明された方法の利点および有利な実施形態に対応する。
この説明において上述した特徴および特徴の組合せ、ならびに図面の説明において以下に説明するおよび/または図面に示される特徴および特徴の組合せは、本発明の範囲から逸脱することなく、示された組合せだけでなく、他の組合せにおいても適用できる。したがって、図面に明示的に示されていないか、または説明されていないが、説明された実施形態の特徴の分離された組み合わせから得られ、生成され得る本発明の実施形態も、含まれ開示されると考えられる。したがって、最初にドラフトされた独立クレームまたは従属クレームのすべての特徴を含まない特徴の実施形態および組合せも開示されると考えられる。特許請求の範囲の従属参照に記載されている特徴の組合せを超えているかまたは逸脱している特徴の実施形態および組合せ、特に上述の説明によって示されている実施形態および組合せは、追加的に開示されると考えられる。
技術的応用分野
この方法は、情報セキュリティリスクの評価に適用できる。これは、改良方法として、例えば、NIST SP800-30、ISO/IEC27005、OKTAVEまたはFRAPのような全社的な抽象的リスクの分析アプローチや、ITベースライン保護、ISO27001またはNIST SP800-53のようなセキュリティ管理アプローチで使用できる。改良は、任意の1つの検討レベルで、または異なる検討レベルにわたって、ここで行うことができる。したがって、企業のあらゆる側面を考慮することも、ITインフラストラクチャなどの個々の側面を個別に考慮することもできる。このため、例えば全社的なリスクの分析およびアセスメントのための唯一の手法としても活用できる。
この方法は、情報セキュリティリスクの評価に適用できる。これは、改良方法として、例えば、NIST SP800-30、ISO/IEC27005、OKTAVEまたはFRAPのような全社的な抽象的リスクの分析アプローチや、ITベースライン保護、ISO27001またはNIST SP800-53のようなセキュリティ管理アプローチで使用できる。改良は、任意の1つの検討レベルで、または異なる検討レベルにわたって、ここで行うことができる。したがって、企業のあらゆる側面を考慮することも、ITインフラストラクチャなどの個々の側面を個別に考慮することもできる。このため、例えば全社的なリスクの分析およびアセスメントのための唯一の手法としても活用できる。
以下、本発明の実施例を模式図に基づいて詳細に説明する。
同様のまたは機能的に同様の要素は、様々な図において同様の参照符号を備えている。
図1は、情報セキュリティリスクの自動評価システム1を示しており、第1提供部2と、割当部3と、第2提供部4と、選択部5と、評価部6とを備えている。
この場合、第1提供部2は、トポロジー情報を提供するように設計されており、トポロジー情報は、複数の指定されたトポロジー要素を規定し、それぞれが複数の指定された特性のうちの少なくとも1つを有する。割当3は、指定された損害重大性指標値を有する少なくとも1つの損害イベントをトポロジー要素の少なくとも1つに割り当てるように設計される。なお、この場合、割当部3は、第1提供部2に接続されているが、評価部6に直接接続されていてもよい。
第2提供部4は、攻撃論理情報を提供するように設計されており、攻撃論理情報は、複数の指定された攻撃ステップを定義し、攻撃ステップは各インスタンスにおいて、複数の指定された特性のうちの少なくとも1つに関連し、各インスタンスにおいて成功確率を含む。
選択部5は、互いにリンクされたまたは相互作用する攻撃ステップの成功確率を組み合わせる複数の指定された確率伝搬法の中から1つを選択するように設計される。
最後に、評価部6は、第1提供部2によって提供されたトポロジー情報と第2提供部4によって提供された攻撃論理情報とに基づいて複数の攻撃経路を生成するように設計されており、攻撃経路は、少なくとも1つのトポロジー要素とさらなるトポロジー要素とを、攻撃経路内のトポロジー要素の指定された特性に関連する少なくとも1つの攻撃ステップでリンクする。設計され、生成された攻撃経路を調査し、問題の攻撃経路が、損害イベントが割り当てられたトポロジー要素を含むかどうかを確認し、この調査結果が肯定的な場合は、選択された確率伝播方法に従って、攻撃ステップの成功確率に応じた損害イベントの全体的な確率を算出し、最後に、算出された全体確率と損害重大性指標値に応じて、推定される情報セキュリティリスクを出力する。
図2は、例示的な攻撃論理情報7の例示的な項目間の関係を示しており、図示の例では、明瞭さの理由から、例示的なトポロジー要素9との相互作用において、単一の攻撃ステップ8のみを含む。この場合の攻撃論理情報7は、攻撃ステップ8を含み、この場合、攻撃起点10および攻撃目標11に関連付けられる。この場合の攻撃ステップ8は、成功確率12も含む。攻撃ステップ8は、攻撃起点によって、特性13を介してトポロジー要素9にリンクされる。この場合、損害イベント14がトポロジー要素9に割り当てられる。この場合の損害イベント14は、損害重大性指標値15を有する。図示の例では、攻撃ステップ8は、攻撃目標11によって損害イベント14に追加的にリンクされ、この例では、攻撃ステップ8に割り当てられる。この損害イベント14は、損害重大性指標値15によって、推定される情報セキュリティリスク16とリンクされる。
したがって、攻撃論理7をモデリングするために、図示の例では、攻撃の可能な起点、すなわち攻撃起点10と、それに基づいて開始される攻撃ステップ8と、短期的に実現される(中間の)攻撃目標11と、起こり得る損害イベントまたは損害シナリオ14との間で区別がなされる。この場合、攻撃起点10は、攻撃に対する最も基本的な仮定である。これは、攻撃者が攻撃8の最初のステップを実行するためにどの論理的または物理的位置にいなければならないかを示す。従って、攻撃起点10は、指定された特性13を有する考慮されるトポロジーの全ての要素9に適用されてもよく、あるいは特定のトポロジー要素9に適用されてもよい。後者の場合、対応する攻撃起点10は、特定のトポロジー要素9に関連付けられる。
ここで、攻撃ステップ8は、トポロジー要素9の1つ以上の特定の特性13に常に関連する。ここで、攻撃は、様々な種類のトポロジー上でモデリングすることもできる。攻撃ステップ8はまた、ここでは、少なくとも1つの攻撃目標11に関連付けられる。攻撃目標11は、どの(中間の)目標が攻撃ステップ8に続くかを示す。これらの(中間的な)目標には、特定の(中間的な)目標を達成するために、排他的に適用しなければならないまたはしてはならない、または他の条件と併用して適用しなければならないまたはしてはならない条件を定めることができる。
例えば、攻撃8の攻撃目標11は、実施されなければならない、または前もって実施されなければならない別の攻撃を前提とすることができる。(中間)目標に加えて、ここでは、確率クラスとも呼ばれる成功確率12も、攻撃ステップ8したがって攻撃目標11と関連付けられる。この成功確率12は、例えば、所与の攻撃ステップ8の後に(中間)目標の達成が期待される通常スケールの定性的確率を示す。複数の(中間的な)目標を論理演算子で結合することもできる。関連する(中間の)目標が、選択された論理演算子に従って生じる場合、論理演算子に関連する攻撃ステップが続く。しかし、(中間)目標は、損害イベント14の実現を伴うこともある。損害イベント14は、この場合、少なくとも1つのトポロジー要素9に割り当てられ、この場合、通常スケールされた定性的損害量すなわち損害重大性指標値15、または衝撃クラスに関連付けられる。
攻撃論理のモデリングでは、さらに別のコンポーネントを使用してもよい、別のコンポーネントは、RSSフィード、セキュリティインシデントおよびイベントモニタリングシステム(SIEM)、またはNational Vulnerability Database(NVD)、Common Vulnerabilities and Exposures(CVE)などの脆弱性および不正使用に関連するデータベースから新しい攻撃を抽出し、注釈のために処理する。このさらなるコンポーネントは、自然言語処理(NLP)法を介して、(中間)目標、それに関連する属性、先行する(中間)目標、および攻撃ステップを抽出できる。ユーザは、これらを利用可能な攻撃論理に組み込むことができる。最後に、攻撃論理は、データベースにグラフとして格納されることが好ましい。
記載されたアプローチは、様々な程度に抽象化された、また様々なトポロジーレベルのトポロジーの手動モデリングを可能にする。攻撃論理においてモデリングされた(中間の)目標は、選択可能な属性に自由に適用できるので、様々なトポロジー要素内の属性の特徴もまた、自由に選択される。これは、攻撃起点と攻撃ステップにも当てはまる。したがって、トポロジー要素は、必要に応じて自由に定義できる。例えば、モデリングできるそのようなトポロジーは、ITネットワーク、組織内のアプリケーション、部屋、廊下、ドア等、組織、組織ユニット、ケーブルハーネス、製品コンポーネント、および上述した個々のトポロジーの様々な層の組み合わせである。このリストは完全ではない。
加えて、提供されたトポロジー情報つまり提供されたトポロジーは、半自動コンポーネントによって処理されてもよい。ここでは、ネットワークプラン、アプリケーショントポロジー、部屋と建物のドキュメント、またはコンフィギュレーション管理データベース(CMDB)などの提供された情報ソースを使用して、対応するトポロジー要素を抽出できる。さらに、半自動コンポーネントは、CERT RSSフィード、SIEMシステム、またはFull DB、NVD、CVEなどの脆弱性データベースからの情報を使用して、新たに発見された特性に関する提供されたトポロジー要素を更新し、したがって攻撃論理内に新たなステップを作成するために、提供されたトポロジー要素に対する潜在的な攻撃を更新できる。モデルリングされたトポロジーは、データベースにグラフとして格納され、その結果トポロジー情報はグラフを含む。
この方法のアプローチは、多層的な抽象化アプローチから離れ、限られたコストで詳細なリスク分析を提供するので、特に第三者、企業パートナー、経営者または監査人とのコミュニケーションに関して、全社的に適用される抽象的なアプローチの統合が有利である。このコミュニケーションを確実にするために、本方法では、現代のリスク分析手法では日常的に用いられている通常スケールの定性的変数が、リスクの確率(確率クラス)および重大性(インパクトクラス)に用いられる。ここでは、全社的なリスクアプローチで示される、リスクマトリックスのような日常的なアプローチにおいて確率と重大性から算出されるリスク(リスククラス)を用いることができる。
通常スケールの定性的変数の使用のために、リスク評価は、生成されたアクセス経路に沿って、通常は数学的に検証できない方法で実行されてもよい。たとえば、ANDリンク、ORリンク、またはEXCLUSIVE ORリンクの障害発生確率の定量的な結合に関する仕様は、DIN25424-2:1990-04に存在する、しかしながら、これらの手法を通常スケールの変数に直接適用することは数学的に不可能であり、通常スケールの変数の顕在性、妥当性、トレーサビリティおよび量によっては、解析の結論を誤る可能性がある(テクニカルレポート,♯DIN25424-2:1990:04.DIN)。
したがって、例えば、確率伝播に関する企業固有の仮定を選択し、本方法とともに表示できる。この目的のために、AND、OR、XOR(排他的論理和)、REQUIREDおよびMITIGATINGの場合を区別できる。確率伝播に関する仮定は、対応するクラス伝播、つまり伝播クラスAND、REQUIRED、MITIGATING(,OR)およびXORの特殊化によって使用される。リスクの自動分析中に、対応する特殊化が確率伝播によってロードされ、確率伝播に使用され得る。さらに、特殊化されたクラス、つまり伝播クラスAND、(ORおよび)XOR、REQUIRED、およびMITIGATINGのそれぞれにおいて、論理演算子によってリンクされていない(中間の)目標がある場合に使用されるクラスを決定できる。
これにより、決定された攻撃経路の確率アセスメントの広範な柔軟性を達成できる。確率伝播の例としては、乗算、ANDの場合のスケール値の生成および丸めの手段、ORおよびXORの場合の最大原理の使用などがある。その他の例としては、確率クラスの最小原理、漸進的減少、または漸進的増加などがある。
静的ネットワークにおける論理情報フローの自動作成
与えられたトポロジーまたはトポロジー情報によっては、静的構造から論理シーケンスを抽出することが必要な場合がある。これは、ITネットワーク図を検討する場合などに当てはまる。このようなネットワークにおける論理シーケンスは、例えばOSI層などの異なる層における所定のフィルタおよびルーティング規則のために、どのコンポーネントまたはトポロジー要素が互いに通信するかを示すことができる。これは、例えば攻撃論理内の中間者攻撃の確立を、所与のトポロジーに適用するために必要となる。
与えられたトポロジーまたはトポロジー情報によっては、静的構造から論理シーケンスを抽出することが必要な場合がある。これは、ITネットワーク図を検討する場合などに当てはまる。このようなネットワークにおける論理シーケンスは、例えばOSI層などの異なる層における所定のフィルタおよびルーティング規則のために、どのコンポーネントまたはトポロジー要素が互いに通信するかを示すことができる。これは、例えば攻撃論理内の中間者攻撃の確立を、所与のトポロジーに適用するために必要となる。
この場合、本方法は、トポロジー要素と情報フローセンターまたは情報フローコントローラとの追加的な関連付けを提供できる。トポロジー要素が情報フローコントローラに関連付けられたトポロジー要素である場合、関連付けは、対応する要素が情報フローを制御することを示す。これは、例えば、ファイアウォール、スタティックルーティングテーブル、またはスイッチによって提供される。
与えられたトポロジーまたはトポロジー情報によっては、静的構造から論理シーケンスを抽出することが必要な場合がある。これは、ITネットワーク図を検討する場合などに当てはまる。このようなネットワークにおける論理シーケンスは、異なる層、例えば、開放型システム相互接続(OSI)層における所定のフィルタおよびルーティング規則のために、どのコンポーネントまたはトポロジー要素が互いに通信するかを示すことができる。これは、たとえば、攻撃論理内の中間者攻撃の確立を特定のトポロジーに適用できるようにするために必要となる。
この場合、本方法は、トポロジー要素と情報フローセンターまたは情報フローコントローラとの追加的な関連付けを提供できる。トポロジー要素が情報フローコントローラに関連付けられたトポロジー要素である場合、関連付けは、対応する要素が情報フローを制御することを示す。これは、たとえば、ファイアウォール、スタティックルーティングテーブル、またはスイッチによって提供される。情報フローが制御される対応するルールは、フィルタ属性に格納されてもよい。これに対して、トポロジー要素が情報フローセンターに関連付けられている場合、トポロジー要素は中央のルーティング要素である。これは、例えばルータ、L3またはL4スイッチ等であり、ファイアウォールではない。トポロジー要素は、情報コントローラ、情報フローセンター、またはその両方に関連付けることができる。
これらの属性が対応するトポロジー要素に割り当てられる場合、リスク分析が実行される前に、所与のトポロジーから論理情報フローが自動抽出され得る。この場合、次のアプローチが採用される。
1.深さ優先検索および/または幅優先検索(DFSおよび/またはBFS)は、影響を受けるすべてのトポロジー要素から開始して、定義済みタイプのトポロジー要素に対して実行される。
a)この場合、DFSまたはBFSは、最初に情報フローセンターを検索できる。所定のステップ数内に情報フローセンターが見つからない場合は、検索を終了できる。
b)DFSまたはBFSが情報フローセンターに出会うと、情報フロー制御ルール(ファイアウォールのルールなど)が読み取られる。次に、以前に仮定したコースがDFSまたはBFSのコースで収集されたルールに基づいて実行できるかどうかを調査する。肯定的でない場合、DFSまたはBFSを終了する。
c)DFSまたはBFSがトポロジー要素を検出すると、DFSまたはBFSのコースで収集されたルールに基づいて、仮定されたコースを実施できるかどうかが検証される。肯定的でない場合、DFSまたはBFSは終了する。肯定的である場合、情報フローに対して以前に定義されたタイプの新しいトポロジー要素が生成される。このトポロジー要素は、DFSまたはBFSの検出された経路上のすべてのトポロジー要素に関連づけられる。
2.DFSまたはBFSは、事前に定義されたタイプのすべてのトポロジー要素の組み合わせがその有効性に関して検証されるまで実行される。
図3は、情報セキュリティリスクの自動評価の例示的なシーケンスを示す。本例では、リスク評価を行うために、攻撃論理情報305とトポロジー情報310とをデータベース化している。この場合のリスク評価は、自動化方法で行われ、ユーザによって定期的に、攻撃論理情報305および/またはトポロジー情報310の変更と共にまたはアドホックベースで実行され得る。
この場合、まず、攻撃論理305を記述するグラフが対応するデータベースから読み出され、得られた論理の各攻撃起点が選択される、手順313。次に、これらの各攻撃起点について、1つ以上のトポロジー要素に関連付けられているか、1つのトポロジー要素タイプだけに関連付けられているかを調べる、手順314。攻撃起点が1つ以上のトポロジー要素に関連付けられている場合、攻撃起点とリンクされた攻撃ステップが、トポロジー情報310の対応するトポロジー要素上で実行される、手順315。
攻撃起点が単に1つのトポロジー要素タイプに関連付けられている場合、本例では、まず問題のタイプのすべてのトポロジー要素がトポロジー情報310から呼び出され、次に攻撃起点に関連付けられた攻撃ステップが、取得されたトポロジー要素に対して実行される、手順316。攻撃ステップが、後続の(中間の)目標が現在のイテレーションのトポロジー要素に関連することを示す場合、(中間の)目標が現在のイテレーションのトポロジー要素に適用され得るかどうかが検査される、手順317。
しかし、攻撃ステップが現在のイテレーションのトポロジー要素に関連しない場合、攻撃ステップが関連するタイプが決定される。次に、現在のイテレーションのトポロジー要素に関連する要素がデータベース310から呼び出される。次に、攻撃ステップにリンクされた(中間)目標が、対応する要素に適用できるかどうかを調べる、手順317。(中間)目標が損害イベントに関連付けられている場合、現在のイテレーションのトポロジー要素が、損害イベントに関連付けられているトポロジー要素の1つに対応するかどうかが調査される。肯定的な場合、攻撃経路が作成される、最後の要素は損害イベントを表し、最初の要素は攻撃起点に関連付けられた攻撃ステップを表す。したがって、攻撃経路には、すべての(中間の)目標、これらの目標に必要または前提となる攻撃ステップ、攻撃論理の適用された論理演算子、および影響を受けるトポロジー要素が含まれる。これらの結果得られる経路は、グラフとしてデータベース318に格納される。
最後に、データベース318から得られた攻撃経路は、手順319において、確率伝搬を実行するために、関連する攻撃起点からのDFSおよび/またはBFS法を用いて、本事例において処理される。この場合、確率クラスの格納されたルールAND、ORまたはXORを使用して、攻撃経路に含まれる各(中間)目標の前の(中間)目標を用いて、(中間)目標の確率が適応される。同様に、損害シナリオの実現確率は、攻撃経路の基礎となる(中間)目標によって決定される。損害シナリオの損害量、すなわち、損害イベントの損害重大性指標値は既知であるので、つまり対応するリスククラスまたは情報セキュリティリスクを提示できる。例えば、リスク特性320を導き出し、リスクマトリックスの形式で提示し、トポロジーの関連リスクを示すことができる。さらに、取得された攻撃経路321は、どの脆弱性がどのリスクに関連するかを示すことができる。これは、セキュリティアーキテクチャの選択と優先順位付け、およびトレース可能なコストパフォーマンスに優れた設計に使用できる。
図4は、確率伝搬の例示的な実施形態を示す。この例の確率伝搬は最大原理に従う。このように、前の攻撃ステップにおける高い確率は、特に高い影響力を与えられ、セキュリティリスクは過小評価されるよりも過大評価される傾向がある。この場合の確率クラスは、離散的に特定され、より具体的にこの例では低確率L、中確率M、および高確率Hとして指定される。したがって、確率クラスの数は、特に明確な分類を提供する数n、ここでは3に制限される。異なる論理リンクの異なる組み合わせ、この場合AND、XOR、REQUIREDおよびMITIGATINGは、図4の関連する行に示される。
「AND」リンクは、この場合において最初の行に示されているように定義される、ANDを介してリンクされた2つの確率がL&M、L&HまたはM&Hである場合、これは、それぞれ確率L、MおよびHになる、したがって、高確率Hは、中確率Mと比較して、それにリンクされた確率を増加させる。2つのリンクされた確率が同じ(列5)、たとえばL(列4)である場合、結果として得られる確率も同じとなる。この場合、「=」は、各インスタンスにおいて、条件付き攻撃ステップの成功確率が同一であることを示す、したがって、「=」は、各インスタンスにおいて「L」、「M」、または「H」に対応する。
行2に示される「XOR」リンクの場合、それぞれL&M、L&H、およびM&Hの組み合わせの結果のM、H、およびHにつながる論理演算の結果として、各インスタンスにおいて確率がより高くなっている。この場合も、2つの連結確率が同じ(列5)、例えばL(列4)であれば、結果として得られる確率も同じである。
3行目に示すように、確率は「REQUIRED」リンクによって変更されない。
「MITIGATING」リンクによって、確率は、攻撃ステップの長いチェーンによって、この場合にはチェーン長2から、漸進的に緩和される。緩和は、定性的確率が最も低いクラスと中程度のクラス(列1と2)では達成されるが、定性的確率が最も高いクラス(列3)では達成されない。
「MITIGATING」リンクによって、確率は、攻撃ステップの長いチェーンによって、この場合にはチェーン長2から、漸進的に緩和される。緩和は、定性的確率が最も低いクラスと中程度のクラス(列1と2)では達成されるが、定性的確率が最も高いクラス(列3)では達成されない。
このように、確率伝播は、本事例において、利用可能な確率クラスの最小Lまたは最大Hを表さない確率カテゴリまたはクラスが結合し確率クラスの漸進的な減少を導く一方、すべてのさらなる結合では先行する攻撃ステップの成功確率の最大原理が適用されるように定義される。さらに、この種の確率伝搬では、攻撃ステップの長い連鎖による漸進的緩和が仮定され、最小(L)と中間(M)に適用されるが、最大(H)の定性的確率クラスには適用されない。
Claims (13)
- 情報セキュリティリスク(16)の自動評価方法、特に情報技術インフラストラクチャにおける情報セキュリティリスク(16)の自動評価方法であって、
a)それぞれが複数の指定された特性(13)の少なくとも1つを有する複数の指定されたトポロジー要素(9)を定義するトポロジー情報(310)を評価部(6)に提供するステップと、
b)指定された損害重大性指標値(15)を持つ少なくとも1つの損害イベント(14)をトポロジー要素(9)の少なくとも1つに割り当てるステップと、
c)複数の指定された攻撃ステップ(8)を定義する攻撃論理情報(7、305)を評価部(6)に提供するステップであって、攻撃ステップ(8)は、それぞれ複数の指定された特性(13)のうち少なくとも1つに関連し、それぞれ成功確率(12)を含み、各攻撃ステップは、当該攻撃ステップが関連するトポロジー要素の特性(13)の存在下または非存在下で、対応するトポロジー要素(9)内または上で実行され得る操作を表す、ステップと、
d)互いにリンクしているか、または相互作用している攻撃ステップ(8)の成功確率(12)を組み合わせるための指定された確率伝搬法を定義するステップと、
e)情報セキュリティリスク(16)を評価部(6)により自動評価するステップであって、
提供されたトポロジー情報(310)および提供された攻撃論理情報(7、305)に基づいて複数の攻撃経路を生成するステップであって、ここで攻撃経路は、少なくとも1つのトポロジー要素(9)およびさらなるトポロジー要素(9)を、攻撃経路内のトポロジー要素(9)の指定された特性(13)に関連する少なくとも1つの攻撃ステップによってリンクする、ステップと
生成された攻撃経路それぞれを調査して、その攻撃経路が方法ステップb)で損害イベント(14)が割り当てられたトポロジー要素(9)に影響を及ぼすかどうかを確認するステップと、
調査結果が肯定的である場合、選択された確率伝搬法に従って、攻撃ステップ(8)の成功確率(12)に応じて損害イベント(14)の全体確率を算出するステップと、
算出された全体確率及び損害重大性指標値(15)に応じて、推定される情報セキュリティリスク(16)を出力するステップと、
を含むステップと、
を含む方法。 - トポロジー情報(310)は、攻撃論理情報(7、305)とは独立し、かつ/または別々に提供されることを特徴とする請求項1に記載の方法。
- トポロジー情報(310)は、特に少なくとも1つのルータおよび/またはコンピュータをトポロジー要素(9)として有する情報技術ネットワーク、および/または特に少なくとも1つの接続および/または分岐点をトポロジー要素(9)として有するケーブルハーネス、および/または特に少なくとも1つの部屋および/またはドアおよび/または廊下をトポロジー要素(9)として有する建物複合体、および/または特に少なくとも1つのコンピュータプログラムおよび/またはコンピュータプログラムインタフェースをトポロジー要素(9)として有するコンピュータプログラムネットワーク、および/または特に少なくとも1つの製品コンポーネントをトポロジー要素として有する製品、を示すことを特徴とする請求項1または2のいずれかに記載の方法。
- トポロジー要素(9)の特性(13)は、指定された技術的弱点、および/またはタイプ説明、および/または指定されたセキュリティ手段の有無を表すことを特徴とする請求項1から3のいずれか1項に記載の方法。
- トポロジー情報(310)が評価部(6)によって処理され、ここで、指定されたタイプのトポロジー要素(9)から開始し、深さ優先および/または幅優先探索が、1つ以上または全ての他のトポロジー要素(9)上で、指定されたタイプのトポロジー要素(9)との全ての組合せがその有効性に関して調査されるまで攻撃論理情報(7、305)を考慮して実行される、ここで組合せは、組合せにおける関連するトポロジー要素(9)が、それらをリンクする攻撃ステップ(8)を介してリンク可能である場合に有効であり、当該攻撃ステップは各インスタンスにおいてそれらのトポロジー要素(9)の少なくとも1つの特性(13)に関連する、そして、
ステップe)の攻撃経路生成時に、有効な組み合わせに従って攻撃経路を生成する、
ことを特徴とする請求項1から4のいずれかに記載の方法。 - 各攻撃ステップに対して、
攻撃起点(10)が割り当てられ、これは攻撃経路の特定のトポロジー要素(9)がどの特性(13)を有しなければならないかを示し、その結果、対応する攻撃ステップが、トポロジー要素(9)内または上で実行され、攻撃経路の一部として特定のトポロジー要素(9)にリンクされる、
攻撃目標(11)が割り当てられ、これは攻撃経路のさらなるトポロジー要素(9)がどの特性(13)を有しなければならないかを示し、その結果、対応する攻撃ステップが、攻撃経路の一部としてさらなるトポロジー要素(9)と連結され、および/または、これはどの損害イベント(14)が特定のトポロジー要素(9)に割り当てられなければならないかを示し、その結果、攻撃ステップは割り当てられた成功確率(12)で損害イベント(14)をトリガし得る、
ことを特徴とする請求項1から5のいずれか1項に記載の方法。 - リンクされた攻撃ステップ(8)の成功確率(12)を組み合わせるために複数の確率伝搬方法が指定され、当該複数の確率伝搬方法は「AND」伝搬および/または「排他的OR」「XOR」伝搬および/または「REQUIRED」伝搬および/または「MITIGATING」伝搬を含む、ことを特徴とする請求項1から6のいずれか1項に記載の方法。
- 方法ステップe)による自動評価は、指定された間隔で、および/または更新されたトポロジー情報(310)が提供されたとき、および/または更新された攻撃論理情報が提供されたとき実行される、ことを特徴とする請求項1から7のいずれか1項に記載の方法。
- コマンドを含むコンピュータプログラムであって、当該コンピュータプログラムがコンピュータによって実行されるとき、当該コマンドは、特に請求項2~8の有利な実施形態に従って請求項1の方法ステップe)をコンピュータに実行させる、コンピュータプログラム。
- インフラストラクチャを保護する方法であって、インフラストラクチャは特に情報技術ネットワーク、および/または建物複合体、および/またはコンピュータプログラムネットワークを含み、
当該インフラストラクチャを保護することを含む、
請求項1~8のいずれか1項に記載の方法。 - 当該保護することは、
その適応を行うことにより、評価された情報セキュリティリスクを最大限に低減するトポロジー要素(9)の少なくとも1つを選択するステップと、
選択したトポロジー要素(9)を示すステップと、
を含む請求項10に記載の方法。 - 当該保護することは、
推定される情報セキュリティリスクの出力に基づいて、または示されたトポロジー要素(9)を適応させて、インフラストラクチャを保護する、
請求項10または11に記載の方法。 - 情報セキュリティリスク(16)の自動評価システム(1)、特に情報技術インフラストラクチャにおける情報セキュリティリスク(16)の自動評価システムであって、
それぞれが複数の指定された特性(13)の少なくとも1つを有する複数の指定されたトポロジー要素(9)を定義するトポロジー情報(310)を提供する第1提供部(2)と、
指定された損害重大性指標値(15)を有する少なくとも1つの損害イベント(14)をトポロジー要素(9)の少なくとも1つに割り当てる割当部(3)と、
複数の指定された攻撃ステップ(8)を定義する攻撃論理情報(7、305)を提供する第2提供部(4)であって、攻撃ステップ(8)は、各インスタンスにおいて複数の指定された特性(13)の少なくとも1つに関連し、各インスタンスにおいて成功確率(12)を含む、第2提供部(4)と、
互いにリンクしているか、または相互作用する攻撃ステップ(8)の成功確率(12)を組み合わせる指定された確率伝搬方法を定義する選択部(5)と、
情報セキュリティリスク(16)を自動評価する評価部(6)であって、
第1提供部(2)が提供するトポロジー情報(310)と、第2提供部(4)が提供する攻撃論理情報(7、305)とに基づいて、複数の攻撃経路を生成する、ここで攻撃経路は、少なくとも1つのトポロジー要素(9)とさらなるトポロジー要素(9)とを少なくとも1つの攻撃ステップによってリンクし、攻撃ステップは、攻撃経路のトポロジー要素(9)の指定された特性(13)に関連し、かつ、攻撃ステップが関連するトポロジー要素の特性(13)の存在または非存在下において、対応するトポロジー要素(9)内または上で実行され得る操作を示す、
生成された攻撃経路を調査して、攻撃経路が、それぞれ損害イベント(14)が割り当てられたトポロジー要素(9)に影響を及ぼすかどうかを確認し、
調査結果が肯定的である場合、選択された確率伝搬法に従って、攻撃ステップ(8)の成功確率(12)に応じて損害イベント(14)の全体確率を算出し、
算出された全体確率及び損害重大性指標値(15)に応じて、推定される情報セキュリティリスク(16)を出力する、
評価部(6)と、
を備えるシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102018216887.3A DE102018216887A1 (de) | 2018-10-02 | 2018-10-02 | Automatisches Abschätzen von Informationssicherheitsrisiken |
| DE102018216887.3 | 2018-10-02 | ||
| PCT/EP2019/076586 WO2020070122A1 (de) | 2018-10-02 | 2019-10-01 | Automatisches abschätzen von informationssicherheitsrisiken |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022504140A JP2022504140A (ja) | 2022-01-13 |
| JP7333814B2 true JP7333814B2 (ja) | 2023-08-25 |
Family
ID=68159091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021518184A Active JP7333814B2 (ja) | 2018-10-02 | 2019-10-01 | 情報セキュリティリスクの自動評価 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210367962A1 (ja) |
| JP (1) | JP7333814B2 (ja) |
| DE (1) | DE102018216887A1 (ja) |
| WO (1) | WO2020070122A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6710716B2 (ja) * | 2018-03-27 | 2020-06-17 | 日本電信電話株式会社 | 脅威情報評価装置、脅威情報評価方法およびプログラム |
| EP3786823A1 (en) * | 2019-08-29 | 2021-03-03 | Darktrace Limited | An endpoint agent extension of a machine learning cyber defense system for email |
| US20210194924A1 (en) * | 2019-08-29 | 2021-06-24 | Darktrace Limited | Artificial intelligence adversary red team |
| CN111582673B (zh) * | 2020-04-23 | 2023-03-31 | 北京邮电大学 | 一种配电自动化系统主站的攻击风险评估方法及装置 |
| RU202083U1 (ru) * | 2020-07-22 | 2021-01-29 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Устройство моделирования заражения компьютерным вирусом локальной компьютерной сети |
| CN114793182B (zh) * | 2022-06-21 | 2022-09-02 | 湖南前行科创有限公司 | 一种智慧园区分布式网络安全风险评估方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009070084A (ja) | 2007-09-12 | 2009-04-02 | Hitachi Ltd | システムセキュリティ設計装置、システムセキュリティ設計方法、システムセキュリティ設計プログラム |
| JP2016143299A (ja) | 2015-02-04 | 2016-08-08 | 株式会社日立製作所 | リスク評価システムおよびリスク評価方法 |
| US20170286690A1 (en) | 2016-03-31 | 2017-10-05 | International Business Machines Corporation | Automatic Generation of Data-Centric Attack Graphs |
| JP6253862B1 (ja) | 2017-01-18 | 2017-12-27 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| US20060021048A1 (en) | 2004-07-22 | 2006-01-26 | Cook Chad L | Techniques for determining network security using an attack tree |
| US8539586B2 (en) * | 2006-05-19 | 2013-09-17 | Peter R. Stephenson | Method for evaluating system risk |
| JP2013152095A (ja) | 2012-01-24 | 2013-08-08 | Sony Corp | 時刻制御装置、時刻制御方法、およびプログラム |
| EP2816773B1 (en) | 2013-06-18 | 2018-10-03 | Alcatel Lucent | Method for calculating and analysing risks and corresponding device |
| US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
| US20160379326A1 (en) * | 2015-06-25 | 2016-12-29 | Marie N. Chan-Gove | Risk modeling system |
| US10185832B2 (en) | 2015-08-12 | 2019-01-22 | The United States Of America As Represented By The Secretary Of The Army | Methods and systems for defending cyber attack in real-time |
-
2018
- 2018-10-02 DE DE102018216887.3A patent/DE102018216887A1/de active Pending
-
2019
- 2019-10-01 US US17/281,556 patent/US20210367962A1/en active Pending
- 2019-10-01 WO PCT/EP2019/076586 patent/WO2020070122A1/de active Application Filing
- 2019-10-01 JP JP2021518184A patent/JP7333814B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009070084A (ja) | 2007-09-12 | 2009-04-02 | Hitachi Ltd | システムセキュリティ設計装置、システムセキュリティ設計方法、システムセキュリティ設計プログラム |
| JP2016143299A (ja) | 2015-02-04 | 2016-08-08 | 株式会社日立製作所 | リスク評価システムおよびリスク評価方法 |
| US20170286690A1 (en) | 2016-03-31 | 2017-10-05 | International Business Machines Corporation | Automatic Generation of Data-Centric Attack Graphs |
| JP6253862B1 (ja) | 2017-01-18 | 2017-12-27 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020070122A1 (de) | 2020-04-09 |
| JP2022504140A (ja) | 2022-01-13 |
| DE102018216887A1 (de) | 2020-04-02 |
| US20210367962A1 (en) | 2021-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7333814B2 (ja) | 情報セキュリティリスクの自動評価 | |
| US11637853B2 (en) | Operational network risk mitigation system and method | |
| US8095984B2 (en) | Systems and methods of associating security vulnerabilities and assets | |
| EP1724990B1 (en) | Communication network security risk exposure management systems and methods | |
| CN1941782B (zh) | 将安全漏洞关联于资产的系统和方法 | |
| CN105721424B (zh) | 基于策略的网络安全 | |
| US8239951B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| US8272061B1 (en) | Method for evaluating a network | |
| US9088617B2 (en) | Method, a system, and a computer program product for managing access change assurance | |
| US20060265324A1 (en) | Security risk analysis systems and methods | |
| US20030182582A1 (en) | Network security simulation system | |
| US20220191230A1 (en) | Diagnosing and managing network vulnerabilities | |
| JP2003523140A (ja) | ネットワークのセキュリティ態勢を評価するためのシステム及び方法 | |
| US20090100077A1 (en) | Network risk analysis method using information hierarchy structure | |
| Schlegel et al. | Structured system threat modeling and mitigation analysis for industrial automation systems | |
| US20220150271A1 (en) | Deep cyber vulnerability mitigation system | |
| Khosravi-Farmad et al. | Considering temporal and environmental characteristics of vulnerabilities in network security risk assessment | |
| Anisetti et al. | An assurance-based risk management framework for distributed systems | |
| Aissa et al. | A novel stochastic model for cybersecurity metric inspired by Markov Chain model and Attack Graphs | |
| Weintraub et al. | Defining network exposure metrics in security risk scoring models | |
| Alsaleh et al. | Automated cyber risk mitigation: making informed cost-effective decisions | |
| Schmidt et al. | A quantitative framework for dependency-aware organizational IT Risk Management | |
| Koufos et al. | Dynamic risk management | |
| Welberg | Vulnerability management tools for COTS software-A comparison | |
| Enoch | Dynamic cybersecurity modelling and analysis. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220202 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220324 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230322 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230328 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230628 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230718 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230815 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7333814 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |