WO2021130933A1 - 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体 - Google Patents

分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体 Download PDF

Info

Publication number
WO2021130933A1
WO2021130933A1 PCT/JP2019/050981 JP2019050981W WO2021130933A1 WO 2021130933 A1 WO2021130933 A1 WO 2021130933A1 JP 2019050981 W JP2019050981 W JP 2019050981W WO 2021130933 A1 WO2021130933 A1 WO 2021130933A1
Authority
WO
WIPO (PCT)
Prior art keywords
attack
vulnerability
virtual
vulnerabilities
analyzer according
Prior art date
Application number
PCT/JP2019/050981
Other languages
English (en)
French (fr)
Inventor
啓文 植田
諒 水島
智彦 柳生
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to US17/785,487 priority Critical patent/US20230024824A1/en
Priority to PCT/JP2019/050981 priority patent/WO2021130933A1/ja
Priority to JP2021566662A priority patent/JP7331948B2/ja
Publication of WO2021130933A1 publication Critical patent/WO2021130933A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Definitions

  • the attack route analysis unit 103 may analyze the attack route from the set entry port and attack target, or may analyze the attack route arbitrarily specified. For example, as an analysis element, as shown in FIG. 9, in addition to an entry point and an attack target, a final attack (attack result), an assumed attack path between nodes (attack route), and the like are set, and the attack route is analyzed.
  • the attack route extraction unit 104 generates an attack graph by using the attack graph generation technique based on the set and analyzed information, and extracts all potential attack routes. That is, by inputting the system configuration information in which virtual vulnerabilities are set, the entry point, the attack target, etc. into the attack graph generation technology, the attack graph from the entry point to the attack target via the virtual vulnerability of each node. To generate.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

分析装置(10)は、分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定する設定部(11)と、設定部(11)により設定された仮想脆弱性に基づいて情報システムの攻撃経路を抽出する抽出部(12)と、抽出部(12)により抽出された攻撃経路上の仮想脆弱性に基づいて監視対象の脆弱性を判別する判別部(13)と、を備える。

Description

分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体
 本発明は、分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体に関する。
 近年、情報システムの脆弱性を攻撃するサイバー攻撃が著しく増加しており、サイバーセキュリティへの脅威が高まっている。そのため、制御システムやIoT(Internet of Things)など含む情報システムの多様化、複雑化が進む中で、増加し続ける脆弱性への対応が大きな課題となっている。
 関連する技術として、例えば、特許文献1や2が知られている。特許文献1には、セキュリティ診断システムにおいて、対象システムの情報資産への侵入ルートを探索し、侵入ルートの脆弱性の一覧を表示することが記載されている。また、特許文献2には、ネットワーク脆弱性検査装置において、未知な脆弱性および未発見のセキュリティホールに対する脆弱性テストデータを自動生成し、検査対象ネットワーク機器の脆弱性テストを行うことが記載されている。
特開2008-257577号公報 特開2005-354338号公報
 特許文献1や2などの関連する技術では、情報システムの脆弱性を分析するために、侵入ルートの探索や脆弱性テストを行っている。しかしながら、関連する技術は、情報システムの資産に明確に存在する、あるいは実際に存在する脆弱性を抽出する技術であるため、情報システムに対して影響する可能性のある脆弱性(現在は存在の確認がされていないが、発見されるとシステムに影響を与える脆弱性)を把握することが困難であるという問題がある。
 本開示は、このような課題に鑑み、情報システムに対して影響する可能性のある脆弱性を把握することが可能な分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体を提供することを目的とする。
 本開示に係る分析装置は、分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定する設定手段と、前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出する抽出手段と、前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別する判別手段と、を備えるものである。
 本開示に係る分析方法は、分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定し、前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出し、前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別するものである。
 本開示に係る分析プログラムが格納された非一時的なコンピュータ可読媒体は、分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定し、前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出し、前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別する、処理をコンピュータに実行させるための分析プログラムが格納された非一時的なコンピュータ可読媒体である。
 本開示によれば、情報システムに対して影響する可能性のある脆弱性を把握することが可能な分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体を提供することができる。
関連する脆弱性管理方法を示すフローチャートである。 実施の形態に係る分析装置の概要を示す構成図である。 実施の形態1に係る脆弱性タイプを説明するための図である。 実施の形態1に係る分析システムの構成例を示す構成図である。 実施の形態1に係る仮想脆弱性の例を示す図である。 実施の形態1に係る分析システムの動作例を示すフローチャートである。 実施の形態1に係る分析システムが分析する情報システムの構成例を示す図である。 実施の形態1に係る攻撃経路の分析方法を説明するための図である。 実施の形態1に係る攻撃経路の分析要素の例を示す図である。 実施の形態1に係る攻撃グラフの例を示す図である。 実施の形態1に係る攻撃経路上の仮想脆弱性の例を示す図である。 実施の形態1に係る攻撃経路上の仮想脆弱性の例を示す図である。 実施の形態1に係る解析結果の表示例を示す図である。 実施の形態1に係る解析結果の表示例を示す図である。 実施の形態に係るコンピュータのハードウェアの概要を示す構成図である。
 以下、図面を参照して実施の形態について説明する。各図面においては、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略される。
(実施の形態に至る検討)
 まず、情報システムにおける脆弱性の管理について検討する。図1は、関連する脆弱性管理方法を示している。この方法は、主に管理者により実施される。
 図1に示すように、関連する脆弱性管理方法では、まず、対象となる情報システムの脆弱性を認定し(S110)、認定した脆弱性への対応を実施する(S120)。
 脆弱性の認定(S110)では、情報システムの構成を把握する(S101)。情報システムの詳細設計書を参照したり、情報システムのシステム構成情報を取得することで、情報システムに含まれるソフトウェア及びハードウェアを把握する。
 続いて、情報システムの脆弱性情報を収集する(S102)。把握されたソフトウェア及びハードウェアの脆弱性情報を、IPA(Information-technology Promotion Agency:情報処理推進機構)によるアラート情報、CVE(Common Vulnerabilities and Exposures)やNVD(National Vulnerability Database)など脆弱性情報の公開データベース等から収集する。
 続いて、脆弱性に対する対応要否を判断する(S103)。収集された脆弱性情報に基づいて、そのソフトウェア及びハードウェアの脆弱性が、情報システムにおいて対処すべきものか否か判断する。
 対応が必要であると判断された場合、脆弱性への対応(S120)として、脆弱性を悪用した攻撃の検知および分析を行う(S104)。情報システムのログを参照等することで、対応する脆弱性を悪用した攻撃による痕跡の有無を確認する。脆弱性を悪用した攻撃の検知結果や脆弱性の内容に応じて、予防(緩和策)(S105)、封じ込め/根絶/復旧(S106)、予防(恒久策)(S107)など必要な対応を実施する。予防(緩和策)(S105)では、情報システムにIP(Internet Protocol)アドレスやURL(Uniform Resource Locator)のフィルタリング等を設定する。封じ込め/根絶/復旧(S106)では、インシデントハンドリングを行う。予防(恒久策)(S107)では、情報システムにパッチの適用等を行う。
 このような管理方法により、例えば新たな脆弱性が発見された際、情報システムに対する影響を評価し、管理者が脆弱性の対応要否を判断する。新たに発見される脆弱性へ必要な対処を行うことで、情報システムの安全性を維持することが可能となる。
 しかしながら、情報システムの脆弱性が年々増え続けていることから、管理者が確認すべき脆弱性が多くなり、脆弱性の対応要否の判断が困難となっている。すなわち、関連する技術では、脆弱性が発見される度に情報システムへの影響を判断しているため、発見される全ての脆弱性について情報システムへの影響を確認(監視)しなければならない。
 そこで、以下の実施の形態では、情報システムに対して影響の可能性がある脆弱性のみを把握し監視対象とすることで、脆弱性管理の負荷低減を可能とする。
(実施の形態の概要)
 図2は、実施の形態に係る分析装置の概要を示している。図2に示すように、実施の形態に係る分析装置10は、設定部11、抽出部12、判別部13を備えている。
 設定部11は、情報システムを構成するノードに仮想脆弱性を設定する。抽出部12は、設定部11により設定された仮想脆弱性に基づいて情報システムの攻撃経路を抽出する。例えば、抽出部12は、攻撃経路生成技術(攻撃グラフ生成技術)を用いて、仮想脆弱性が設定された情報システムに潜在する攻撃経路を抽出する。
 判別部13は、抽出部12により抽出された攻撃経路上のノードにおける仮想脆弱性に基づいて監視対象の脆弱性を判別する。例えば、判別部13は、抽出した攻撃経路のうち攻撃の起点から攻撃の終点までの経路上に出現する脆弱性一覧を把握し、その経路上の脆弱性一覧において、現状において発見/未発見の脆弱性を調査し、未発見の脆弱性を監視対象の脆弱性とする。
 このように、疑似的な脆弱性である仮想脆弱性に基づいて潜在する攻撃経路を抽出し、その攻撃経路上の仮想脆弱性を判別することで、情報システムにおいて攻撃経路を成立させる可能性があり得る脆弱性、つまり、情報システムに対して影響があり得る脆弱性を把握することができる。
(実施の形態1)
 以下、図面を参照して実施の形態1について説明する。
<脆弱性のタイプ分類>
 まず、本実施の形態の理解を助けるため、本実施の形態における脆弱性(脆弱性情報)の扱い方について説明する。本実施の形態では、脆弱性を、その攻撃内容に基づき任意に決めた所定のタイプに分類して扱う。ソフトウェア(製品)ごとや攻撃内容ごとに様々な脆弱性が発見されているものの、脆弱性の「攻撃区分」及び「悪用の影響」に基づくことで、脆弱性をいくつかの種類にタイプ分類することができる。「攻撃区分」は、リモート攻撃/ローカル攻撃等の区分(侵入方法)である。「悪用の影響」は、脆弱性が悪用された場合のシステムへの影響(攻撃結果)である。
 図3は脆弱性のタイプ分類の具体例を示している。例えば、公開データベース等から得られる脆弱性情報として、図3に示すような脆弱性Xや脆弱性Yがあるとする。脆弱性情報には、攻撃対象である「対象製品」と脆弱性の詳細である「脆弱性内容」が含まれている。脆弱性X及び脆弱性Yは、対象製品が「ソフトウェアA」及び「ソフトウェアB」であり、それぞれ異なる製品を対象としているものの、脆弱性内容が「リモートから脆弱性を悪用することで攻撃者は悪意のあるコードを実行することができる」という内容であり、いずれも同じものである。そうすると、「攻撃区分」及び「悪用の影響」を脆弱性内容から抽出し、脆弱性X及び脆弱性Yをタイプ分類した場合、脆弱性Xの脆弱性タイプは、攻撃区分が「リモート」、悪用の影響が「任意コード実行」となり、脆弱性Yの脆弱性タイプでも同じ攻撃区分及び悪用の影響となる。
 このように、脆弱性(脆弱性情報)を脆弱性タイプに変換することで、異なる脆弱性であっても、同じタイプとして扱うことができる。本実施の形態では、脆弱性の分析として、攻撃経路上のノードが有する脆弱性タイプを判別することで、情報システムに影響のある脆弱性を把握する。例えば、攻撃に悪用され得る脆弱性タイプが判別できた場合、すなわち、脆弱性タイプが発見されると攻撃される可能性がある場合、当該脆弱性タイプの脆弱性を監視対象とする。
<システムの構成>
 図4は、本実施の形態に係る分析システム1の構成例を示している。本実施の形態に係る分析システム1は、分析対象の情報システムにおける潜在的な脆弱性(攻撃経路)を分析し、分析結果を可視化するシステムである。
 図4に示すように分析システム(分析装置)1は、リスク可視化装置100、システム構成情報DB(データベース)200、脆弱性情報DB300を備えている。システム構成情報DB200及び脆弱性情報DB300は、リスク可視化装置100とインターネット等のネットワークを介して接続されていてもよいし、直接接続されていてもよい。また、システム構成情報DB200及び脆弱性情報DB300は、リスク可視化装置100に内蔵された記憶装置としてもよい。
 システム構成情報DB200は、分析対象の情報システムのシステム構成情報を予め記憶するデータベースである。システム構成情報は、情報システムを構成するノード装置(端末)のハードウェア情報、ソフトウェア情報、ネットワーク情報、各種設定情報等である。
 脆弱性情報DB300は、発見(公開)されている脆弱性情報を記憶するデータベースである。脆弱性情報は、例えば図3のように、脆弱性ごとに対象製品や脆弱性内容等が含まれている。さらに、脆弱性情報は、予め脆弱性タイプ(攻撃区分及び悪用の影響)に分類されている。脆弱性情報DB300は、IPAやCVEやNVD、JVN(Japan Vulnerability Notes)のように公の組織が公開する脆弱性情報の他、セキュリティベンダーやその他のベンダー等が公開する脆弱性情報を記憶してもよい。また、公開されている脆弱性情報が取得できればよいため、データベースに限らず任意の構成でよく、例えばブログ等でもよい。
 リスク可視化装置100は、仮想脆弱性設定部101、分析要素設定部102、攻撃経路分析部103、攻撃経路抽出部104、脆弱性解析部105、表示部106を備える。なお、後述の動作が可能であれば、その他の構成でもよい。
 仮想脆弱性設定部101は、分析対象の情報システムを構成するノードに対し、仮想脆弱性を設定する。仮想脆弱性は、仮想的(疑似的な)な脆弱性の脆弱性タイプである。仮想脆弱性は、脆弱性タイプが取り得るタイプを網羅する、すなわち、脆弱性を分類するための所定のタイプをすべて含んでいる。このような仮想脆弱性を設定することで、潜在する全ての攻撃経路を抽出可能とする。
 図5は、仮想脆弱性の具体例を示している。脆弱性タイプは、「攻撃区分」及び「悪用の影響」を含み、仮想脆弱性は、「攻撃区分」の種類と「悪用の影響」の種類の全ての組み合わせである。例えば、攻撃区分は「リモート」及び「ローカル」の2種類であり、悪用の影響は「任意コード実行」、「データアクセス」、「データ改ざん」及び「DoS(Denial of Service)」の4種類である。この場合、図5に示すように、8種類の脆弱性タイプが仮想脆弱性となる。なお、図5は一例であり、必要に応じてその他の種類を含めてもよい。例えば、攻撃区分に「管理者権限」及び「一般権限」等を含めても良いし、悪用の影響に「権限昇格」等も含めてもよい。
 分析要素設定部102は、攻撃グラフを生成するため、情報システムにおける攻撃経路の侵入口及び攻撃目標などの分析要素を設定する。例えば、分析要素は予め設定されていてもよいし、ユーザの操作等により設定されてもよい。攻撃経路分析部103は、設定された侵入口及び攻撃目標などの分析要素に基づき攻撃経路(攻撃パス)を分析する。攻撃経路抽出部104は、分析結果に基づき、攻撃グラフ生成技術(攻撃グラフ生成ツール)を用いて攻撃グラフを生成し、生成した攻撃グラフから潜在する全ての攻撃経路を抽出する。攻撃グラフは、分析対象の情報システムに対して想定される攻撃ステップを表すグラフであり、侵入口から攻撃目標まで攻撃ステップの順に経由されるノードが結ばれている。攻撃グラフにおける侵入口から攻撃目標までのノードの接続経路が攻撃経路となる。
 脆弱性解析部(判別部)105は、抽出した攻撃経路上の仮想脆弱性を解析し、監視対象の脆弱性を判別する。脆弱性解析部105は、攻撃経路上の仮想脆弱性が発見済の脆弱性であるか否かにより、監視対象を判別する。脆弱性解析部105は、攻撃経路上の仮想脆弱性が未発見の場合、その仮想脆弱性を監視対象であると判断する。
 表示部(出力部)106は、解析結果等を表示する表示装置であり、GUI(Graphical User Interface)等により、判別された監視対象等を表示する。例えば、表示部106は、攻撃経路における監視対象の脆弱性とその他の脆弱性とを区別して表示する。表示部106は、例えば、液晶ディスプレイや有機ELディスプレイ等であり、リスク可視化装置100の外部の装置としてもよい。なお、監視対象等を、表示に限らず、他の方法により出力してもよい(メールやデータ送信等)。
<システムの動作>
 図6は、本実施の形態に係る分析システム1の動作例(分析方法)を示している。図6に示すように、まず、リスク可視化装置100は、仮想脆弱性を設定する(S201)。仮想脆弱性設定部101は、図5に示したような全ての脆弱性タイプ(例えば8種類)を含む仮想脆弱性(仮想脆弱性情報)を生成する。さらに、仮想脆弱性設定部101は、システム構成情報DB200から分析対象の情報システムのシステム構成情報を取得し、情報システムを構成する各ノードに対し、生成した仮想脆弱性を設定する。ノードは、脆弱性の適用対象となり得る端末やサーバ等の装置であり、例えば、ハードウェアであるが、ソフトウェアでもよい。
 図7は、分析対象の情報システムの構成例を示している。図7に示すように、例えば、情報システム400は、情報ネットワーク410、制御ネットワーク420、フィールドネットワーク430を備えた生産管理システムである。情報ネットワーク410は、ファイヤーウォールFW1を介してインターネット401に接続され、OA端末411を有する。制御ネットワーク420は、ファイヤーウォールFW2を介して情報ネットワーク410に接続され、ログサーバ421、保守サーバ422、監視制御サーバ423、HMI(Human Machine Interface)424を有する。フィールドネットワーク430は、プログラマブルロジックコントローラPLC1及びPLC2を介して制御ネットワーク420に接続され、IoT機器431及びFA(Factory Automation)機器432等を有する。
 仮想脆弱性設定部101は、情報システム400における全てのノードに対して仮想脆弱性を設定する。この例では、OA端末411、ログサーバ421、保守サーバ422、監視制御サーバ423、HMI424、IoT機器431及びFA機器432に仮想脆弱性を設定する。なお、仮想脆弱性が適用可能であれば、ファイヤーウォールFW1及びFW2やプログラマブルロジックコントローラPLC1及びPLC2のような中継装置等に仮想脆弱性を設定してもよい。
 続いて、リスク可視化装置100は、攻撃経路を分析する(S202)。分析要素設定部102は、攻撃経路の侵入口及び攻撃目標などの分析要素を設定し、攻撃経路分析部103は、設定された分析要素に基づき攻撃経路を分析する。
 例えば、表示部106が図8に示すような表示画面501を表示し、表示画面501のGUIを介してユーザが分析要素を設定可能とする。図8の例では、表示画面501に情報システム400のシステム構成を表示し、ユーザがノードを選択して侵入口及び攻撃目標などの分析要素を設定する。必要に応じて情報システムにノードを追加して設定してもよい。例えば、インターネット401と新たに追加した持ち込みPC(Personal Computer)411とを攻撃の侵入口に設定し、監視制御サーバ423とHMI424とを攻撃目標に設定する。
 攻撃経路分析部103は、設定された侵入口及び攻撃目標から攻撃経路を分析してもよいし、任意に指定された攻撃経路を分析しても良い。例えば、分析要素として、図9に示すように、侵入口や攻撃目標のほか、最終攻撃(攻撃結果)、ノード間の想定攻撃パス(攻撃経路)等を設定し、攻撃経路を分析する。
 続いて、リスク可視化装置100は、攻撃経路を抽出する(S203)。攻撃経路抽出部104は、設定及び分析された情報をもとに、攻撃グラフ生成技術を用いて攻撃グラフを生成し、潜在する全ての攻撃経路を抽出する。すなわち、攻撃グラフ生成技術に、仮想脆弱性を設定したシステム構成情報と、侵入口及び攻撃目標等を入力することで、各ノードの仮想脆弱性を介した、侵入口から攻撃目標までの攻撃グラフを生成する。
 図10は、生成される攻撃グラフの具体例を示している。図10の攻撃グラフは、インターネット401を侵入口として、インターネット401から攻撃目標までの全ての攻撃経路を含んでいる。例えば、攻撃経路r1及びr2は、インターネット401から監視制御サーバ423までの攻撃経路の例である。攻撃経路r1は、インターネット401から侵入し、OA端末411、ログサーバ421及び保守サーバ422を経由して、監視制御サーバ423を攻撃する経路である。攻撃経路r1は、インターネット401から侵入し、OA端末411及びログサーバ421を経由して、監視制御サーバ423を攻撃する経路である。
 攻撃経路は、ノード間を結ぶ攻撃パスから構成されている。各攻撃パスには、ノード間の攻撃が成立するためのパス成立条件が設定される。例えば、攻撃経路r2は、インターネット401とOA端末411間の攻撃パスp1、OA端末411とログサーバ421間の攻撃パスp2、ログサーバ421と監視制御サーバ423間の攻撃パスp3を含む。すなわち、攻撃パスp1~p3のパス成立条件を満たす攻撃を順に受けた場合に、攻撃経路r2に沿った攻撃目標までの攻撃が成立する。図10に示すように、攻撃パスのパス成立条件は、例えば、攻撃元、攻撃先、攻撃条件(攻撃元の条件)、攻撃結果(攻撃先の条件)、攻撃手段(仮想脆弱性)を含む。
 続いて、リスク可視化装置100は、脆弱性を解析する(S204)。脆弱性解析部105は、攻撃グラフから抽出される攻撃経路上の仮想脆弱性を解析する。脆弱性解析部105は、攻撃グラフにおける攻撃経路に含まれる各攻撃パスを参照し、攻撃起点から攻撃終点までの攻撃経路上の全ての仮想脆弱性(脆弱性一覧)を把握する。攻撃グラフに含まれる全ての攻撃経路を解析してもよいし、最短経路のみを解析してもよい。全ての攻撃経路を解析することで、潜在的な攻撃経路を網羅的に解析することができる。また、最短経路のリスクが最も高いため、最短経路のみを解析することでリスクの高い脆弱性を効果的に解析することができる。
 図11は、攻撃経路上で把握される仮想脆弱性の例を示している。例えば、攻撃経路r2が最短経路であるとして、攻撃経路r2の攻撃パスp2を参照すると、攻撃パスp2のパス成立条件には、攻撃元にOA端末、攻撃先にログサーバ、攻撃条件に任意コード実行、攻撃結果に任意コード実行、攻撃手段に仮想脆弱性V1と仮想脆弱性V2が含まれている。仮想脆弱性V1及びV2は、例えば図5に示した、いずれかのタイプの仮想脆弱性である。このパス成立条件から、攻撃パスp2が成立するための脆弱性として、OA端末411で任意コード実行を可能とする仮想脆弱性V1と、ログサーバ421で任意コード実行を可能とする仮想脆弱性V1及び仮想脆弱性V2が把握できる。
 その他、図11の例では、攻撃パスp2及びp3が成立するための脆弱性として、ログサーバ421でデータアクセスを可能とする仮想脆弱性V3と、監視制御サーバ423でデータアクセスを可能とする仮想脆弱性V3及び任意コード実行を可能とする仮想脆弱性V1が把握されている。例えば、OA端末411で仮想脆弱性V1により任意コードが実行された後、ログサーバ421で仮想脆弱性V1及び仮想脆弱性V2により任意コードが実行されるか、もしくは、OA端末411で仮想脆弱性V1により任意コードが実行されて、ログサーバ421で仮想脆弱性V3によりデータアクセスが行われた後、仮想脆弱性V1及び仮想脆弱性V2により任意コードが実行されると、監視制御サーバ423にアクセスが可能となる。さらに、監視制御サーバ423で仮想脆弱性V3によりデータアクセスが行われて、仮想脆弱性V1により任意コードが実行されると、最終的な重要資産に影響を及ぼす。本実施の形態では、この重要資産に影響を与える可能性のある潜在的な攻撃経路を成立させる仮想脆弱性に基づいて、監視対象の脆弱性を判別する。
 リスク可視化装置100は、仮想脆弱性の発見済/未発見を確認し(S205)、仮想脆弱性が未発見の脆弱性である場合、その脆弱性(脆弱性タイプ)を監視対象とする(S206)。脆弱性解析部105は、発見済の脆弱性を記憶する脆弱性情報DB300を参照し、攻撃経路上で把握された各仮想脆弱性(脆弱性タイプ)が発見済か否か確認する。例えば、脆弱性情報DB300には、発見済(公開されている)脆弱性の脆弱性タイプを含む脆弱性情報が記憶されている。仮想脆弱性の脆弱性タイプ(攻撃区分及び悪用の影響)と発見済の脆弱性の脆弱性タイプとを比較し、一致する脆弱性の有無を確認する。
 脆弱性情報DB300に該当する脆弱性が存在しない場合、すなわち、攻撃経路上の仮想脆弱性が未発見である場合、発見されることで攻撃経路を成立させ得る脆弱性であるとして、その仮想脆弱性(脆弱性タイプ)を監視対象とする。なお、必要に応じて発見済の脆弱性を監視対象に含めてもよい。
 例えば、図12に示すように、OA端末411の仮想脆弱性V1、監視制御サーバ423の仮想脆弱性V1及び3が発見済の脆弱性であり、ログサーバ421の仮想脆弱性V1~3が未発見の脆弱性であるとする。そうすると、ログサーバ421の仮想脆弱性V1~3が未発見の脆弱性であるものの、今後新たな脆弱性として発見された場合には、攻撃経路が成立することになるため、ログサーバ421の仮想脆弱性V1~3を監視対象とする。
 続いて、リスク可視化装置100は、解析結果を表示する(S207)。表示部106は、情報システム400において監視対象とする脆弱性(脆弱性タイプ)や、脆弱性を含む攻撃経路を識別可能に表示する。また、潜在的な攻撃経路のみを表示してもよいし、潜在的な攻撃経路上で監視対象とする脆弱性を表示してもよい。図13及び図14は、解析結果の表示例を示している。
 図13は、潜在的な攻撃経路のみを表示する例である。図13に示すように、表示画面502は、例えば、システム情報表示領域502a、攻撃経路情報表示領域502b、参考情報表示領域502cを有する。
 システム情報表示領域502aには、分析した情報システム400のシステム構成を表示し、設定された侵入口と攻撃目標を表示し、抽出した侵入口から攻撃目標までの攻撃経路を表示する。攻撃経路のうち、発見済の脆弱性を含む攻撃パス(既に存在する攻撃パス)と未発見の脆弱性を含む攻撃パス(悪用可能な脆弱性が発見されていない潜在パス)を区別して表示する。
 例えば、インターネット401とOA端末411間の攻撃パス521は、発見済の脆弱性を含む攻撃パスであるため、実線(例えば赤色の実践)で表示する。また、OA端末411から監視制御サーバ423及びHMI424までの攻撃パス522~526は、未発見の脆弱性を含む攻撃パス(非攻撃経路)であるため、破線(例えば青色の破線)で表示する。
 また、分析した攻撃経路の攻撃ステップ(攻撃手順)を表示する。例えば、攻撃ステップA1で、OA端末411がメールで感染する可能性があること、攻撃ステップA2で、ファイヤーウォールFW2によりログサーバ421に侵入不可であることを表示する。
 攻撃経路情報表示領域502bには、システム情報表示領域502aに表示した攻撃経路に対する詳細情報(危険性等)を表示する。システム情報表示領域502aに表示した攻撃経路の攻撃ステップに対応して表示する。発見済の脆弱性を含む攻撃パスによる危険性と未発見の脆弱性を含む攻撃パスによる危険性を区別して表示(色を変える等)することが好ましい。例えば、攻撃ステップA1の表示で、OA端末411が攻撃される危険性があることを説明する。また、攻撃ステップA2の表示で、ログサーバ421より内部へ侵入される危険性がないことを説明する。攻撃ステップA2では、安全であることを示すマーク等を表示する。
 参考情報表示領域502cには、攻撃経路情報表示領域502bに表示した攻撃経路の詳細情報に対する参考情報を表示する。攻撃経路情報表示領域502bと同様、攻撃経路の攻撃ステップに対応して表示する。例えば、攻撃ステップA1では、攻撃経路に発見済みの脆弱性が含まれるため、参考情報として、その脆弱性を公開しているWebサイトのリンク情報(情報源)等を表示する。
 図14は、攻撃経路を顕在化させる脆弱性を表示する例である。図14に示すように、表示画面503は、例えば、図13と同様、システム情報表示領域503a、攻撃経路情報表示領域503b、参考情報表示領域503cを有する。
 システム情報表示領域503aには、図13と同様、分析した情報システム400のシステム構成及び攻撃経路を表示する。攻撃パス531を実線で表示し、攻撃パス532~536を破線で表示する。この例では、攻撃パス534は、発見済の脆弱性(監視対象)を含むものの、攻撃経路として繋がっていないため、太い破線(例えば赤色の破線)で表示する。また、攻撃経路の攻撃ステップとして。攻撃ステップA1では、OA端末411がメールで感染すること、攻撃ステップA2では、ログサーバ421に侵入される恐れがあること、攻撃ステップA3では、監視制御サーバ423で脆弱性の悪用の恐れがあることを表示する。攻撃ステップA2では、脆弱性が発見されると、攻撃経路が繋がるため、太文字(例えば青色の太文字)で表示する。
 攻撃経路情報表示領域503bには、図13と同様、システム情報表示領域503aに表示した攻撃経路の攻撃ステップに対応した詳細情報を表示する。例えば、攻撃ステップA1の表示で、OA端末411が攻撃される危険性があることを説明する。また、攻撃ステップA2の表示で、脆弱性が発見されると、ログサーバ421に侵入される危険性があることを説明する。攻撃ステップA2では、まだ脆弱性が発見されていないものの注意が必要であることを示すマーク等を表示する。攻撃ステップA3の表示では、攻撃ステップA2の後、攻撃目標と設定した監視制御サーバ423に侵入される危険性があることを説明する。さらに、必要に応じて、最終的な攻撃結果として事業被害の発生について表示してもよい。
 参考情報表示領域503cには、図13と同様、攻撃経路情報表示領域503bに表示した攻撃経路の攻撃ステップに対応する参考情報を表示する。例えば、攻撃ステップA1及び攻撃ステップA3では、発見済みの脆弱性に関する参考情報を表示する。攻撃ステップA2では、脆弱性が発見されると侵入される恐れがあるため、脆弱性の情報に注意が必要であることを表示する。
<効果>
 以上のように、本実施の形態では、情報システムの各ノードに全ての脆弱性タイプを含む仮想脆弱性を設定し、攻撃グラフ生成技術を用いることで潜在的な攻撃経路を抽出し、潜在的な攻撃経路上の仮想脆弱性を把握する。その仮想脆弱性の発見/未発見により、新たに脆弱性が発見された場合に、攻撃経路を成立させる可能性がある脆弱性を判別する。これにより、発見される全ての脆弱性について情報システムへの影響を確認する必要がなくなり、本実施の形態で判別した脆弱性のみを確認(監視)することで、情報システムの脆弱性管理が可能となるため、管理作業の負担を低減することができる。
(その他の実施の形態)
 実施の形態1における分析方法を定期的に実施してもよい。脆弱性情報のデータベースは随時更新されて新たな脆弱性が追加されるため、より新しい情報を用いて脆弱性を分析することが好ましい。例えば、前回の分析結果を記憶装置に記憶しておき、仮想脆弱性の発見済/未発見の判断を定期的に繰り返すことで、攻撃経路に含まれる脆弱性が新たに発見されたことを検知することができる。すなわち、リスク可視化装置100は、脆弱性情報DB300を参照し、監視対象と判断した脆弱性が新たに発見されたか否か検知し、新たに発見された場合に通知する通知部(出力部)を備えていてもよい。
 なお、上述の実施形態における各構成は、ハードウェア又はソフトウェア、もしくはその両方によって構成され、1つのハードウェア又はソフトウェアから構成してもよいし、複数のハードウェア又はソフトウェアから構成してもよい。各装置及び各機能(処理)を、図15に示すような、CPU(Central Processing Unit)等のプロセッサ21及び記憶装置であるメモリ22を有するコンピュータ20により実現してもよい。例えば、メモリ22に実施形態における方法を行うためのプログラム(分析プログラム)を格納し、各機能を、メモリ22に格納されたプログラムをプロセッサ21で実行することにより実現してもよい。
 これらのプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
 また、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
 以上、実施の形態を参照して本開示を説明したが、本開示は上記実施の形態に限定されるものではない。本開示の構成や詳細には、本開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
 上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
 分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定する設定手段と、
 前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出する抽出手段と、
 前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別する判別手段と、
 を備える分析装置。
(付記2)
 前記仮想脆弱性は、疑似的に脆弱性を分類した脆弱性タイプを含む、
 付記1に記載の分析装置。
(付記3)
 前記仮想脆弱性は、前記脆弱性を分類するために取り得る脆弱性タイプである、
 付記2に記載の分析装置。
(付記4)
 前記脆弱性タイプは、侵入方法の種類または攻撃結果の種類を含む、
 付記3に記載の分析装置。
(付記5)
 前記仮想脆弱性は、前記侵入方法の種類と前記攻撃結果の種類の組み合わせである、
 付記4に記載の分析装置。
(付記6)
 前記侵入方法は、リモート攻撃またはローカル攻撃を含む、
 付記4または5に記載の分析装置。
(付記7)
 前記攻撃結果は、任意コード実行、データアクセス、データ改ざん、またはDoS(Denial of Service)を含む、
 付記4乃至6のいずれかに記載の分析装置。
(付記8)
 前記抽出手段は、前記仮想脆弱性に基づいた攻撃グラフを生成し、前記生成した攻撃グラフから前記攻撃経路を抽出する、
 付記1乃至7のいずれかに記載の分析装置。
(付記9)
 前記生成される攻撃グラフは、前記複数のノードを結ぶ攻撃パスの成立条件を含む、
 付記8に記載の分析装置。
(付記10)
 前記判別手段は、前記攻撃パスの成立条件に基づいて、前記攻撃経路上の仮想脆弱性を把握する、
 付記9に記載の分析装置。
(付記11)
 前記判別手段は、前記攻撃グラフに含まれる全ての攻撃経路上の仮想脆弱性を把握する、
 付記10に記載の分析装置。
(付記12)
 前記判別手段は、前記攻撃グラフに含まれる攻撃経路のうち最短経路上の仮想脆弱性を把握する、
 付記10に記載の分析装置。
(付記13)
 前記判別手段は、前記攻撃経路上の仮想脆弱性が発見済の脆弱性であるか否かに応じて、前記監視対象の脆弱性を判別する、
 付記1乃至12のいずれかに記載の分析装置。
(付記14)
 前記判別手段は、前記攻撃経路上の仮想脆弱性が発見済の脆弱性ではない場合、前記仮想脆弱性を前記監視対象の脆弱性であると判断する、
 付記13に記載の分析装置。
(付記15)
 前記判別された監視対象の脆弱性を出力する出力手段をさらに備える、
 付記1乃至14のいずれかに記載の分析装置。
(付記16)
 前記出力手段は、前記攻撃経路における前記監視対象の脆弱性とその他の脆弱性とを区別して表示する、
 付記15に記載の分析装置。
(付記17)
 分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定し、
 前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出し、
 前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別する、
 分析方法。
(付記18)
 前記仮想脆弱性は、疑似的に脆弱性を分類した脆弱性タイプを含む、
 付記17に記載の分析方法。
(付記19)
 分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定し、
 前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出し、
 前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別する、
 処理をコンピュータに実行させるための分析プログラム。
(付記20)
 前記仮想脆弱性は、疑似的に脆弱性を分類した脆弱性タイプを含む、
 付記19に記載の分析プログラム。
1   分析システム
10  分析装置
11  設定部
12  抽出部
13  判別部
20  コンピュータ
21  プロセッサ
22  メモリ
100 リスク可視化装置
101 仮想脆弱性設定部
102 分析要素設定部
103 攻撃経路分析部
104 攻撃経路抽出部
105 脆弱性解析部
106 表示部
200 システム構成情報DB
300 脆弱性情報DB
400 情報システム
401 インターネット
410 情報ネットワーク
411 OA端末
420 制御ネットワーク
421 ログサーバ
422 保守サーバ
423 監視制御サーバ
424 HMI
430 フィールドネットワーク
431 IoT機器
432 FA機器
501、502、503 表示画面
502a、503a システム情報表示領域
502b、503b 攻撃経路情報表示領域
502c、503c 参考情報表示領域
FW1、FW2 ファイヤーウォール
PLC1、PLC2 プログラマブルロジックコントローラ

Claims (20)

  1.  分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定する設定手段と、
     前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出する抽出手段と、
     前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別する判別手段と、
     を備える分析装置。
  2.  前記仮想脆弱性は、疑似的に脆弱性を分類した脆弱性タイプを含む、
     請求項1に記載の分析装置。
  3.  前記仮想脆弱性は、前記脆弱性を分類するために取り得る脆弱性タイプを含む、
     請求項2に記載の分析装置。
  4.  前記脆弱性タイプは、侵入方法の種類または攻撃結果の種類を含む、
     請求項3に記載の分析装置。
  5.  前記仮想脆弱性は、前記侵入方法の種類と前記攻撃結果の種類の組み合わせである、
     請求項4に記載の分析装置。
  6.  前記侵入方法は、リモート攻撃またはローカル攻撃を含む、
     請求項4または5に記載の分析装置。
  7.  前記攻撃結果は、任意コード実行、データアクセス、データ改ざん、またはDoS(Denial of Service)を含む、
     請求項4乃至6のいずれか一項に記載の分析装置。
  8.  前記抽出手段は、前記仮想脆弱性に基づいた攻撃グラフを生成し、前記生成した攻撃グラフから前記攻撃経路を抽出する、
     請求項1乃至7のいずれか一項に記載の分析装置。
  9.  前記生成される攻撃グラフは、前記複数のノードを結ぶ攻撃パスの成立条件を含む、
     請求項8に記載の分析装置。
  10.  前記判別手段は、前記攻撃パスの成立条件に基づいて、前記攻撃経路上の仮想脆弱性を把握する、
     請求項9に記載の分析装置。
  11.  前記判別手段は、前記攻撃グラフに含まれる全ての攻撃経路上の仮想脆弱性を把握する、
     請求項10に記載の分析装置。
  12.  前記判別手段は、前記攻撃グラフに含まれる攻撃経路のうち最短経路上の仮想脆弱性を把握する、
     請求項10に記載の分析装置。
  13.  前記判別手段は、前記攻撃経路上の仮想脆弱性が発見済の脆弱性であるか否かに応じて、前記監視対象の脆弱性を判別する、
     請求項1乃至12のいずれか一項に記載の分析装置。
  14.  前記判別手段は、前記攻撃経路上の仮想脆弱性が発見済の脆弱性ではない場合、前記仮想脆弱性を前記監視対象の脆弱性であると判断する、
     請求項13に記載の分析装置。
  15.  前記判別された監視対象の脆弱性を出力する出力手段をさらに備える、
     請求項1乃至14のいずれか一項に記載の分析装置。
  16.  前記出力手段は、前記攻撃経路における前記監視対象の脆弱性とその他の脆弱性とを区別して表示する、
     請求項15に記載の分析装置。
  17.  分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定し、
     前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出し、
     前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別する、
     分析方法。
  18.  前記仮想脆弱性は、疑似的に脆弱性を分類した脆弱性タイプを含む、
     請求項17に記載の分析方法。
  19.  分析対象の情報システムを構成する複数のノードに仮想脆弱性を設定し、
     前記設定された仮想脆弱性に基づいて前記情報システムの攻撃経路を抽出し、
     前記抽出された攻撃経路上の前記仮想脆弱性に基づいて監視対象の脆弱性を判別する、
     処理をコンピュータに実行させるための分析プログラムが格納された非一時的なコンピュータ可読媒体。
  20.  前記仮想脆弱性は、疑似的に脆弱性を分類した脆弱性タイプを含む、
     請求項19に記載の非一時的なコンピュータ可読媒体。
PCT/JP2019/050981 2019-12-25 2019-12-25 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体 WO2021130933A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US17/785,487 US20230024824A1 (en) 2019-12-25 2019-12-25 Analysis apparatus, analysis method, and non-transitory computer readable mediumstoring analysis program
PCT/JP2019/050981 WO2021130933A1 (ja) 2019-12-25 2019-12-25 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体
JP2021566662A JP7331948B2 (ja) 2019-12-25 2019-12-25 分析装置、分析方法及び分析プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/050981 WO2021130933A1 (ja) 2019-12-25 2019-12-25 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体

Publications (1)

Publication Number Publication Date
WO2021130933A1 true WO2021130933A1 (ja) 2021-07-01

Family

ID=76574093

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/050981 WO2021130933A1 (ja) 2019-12-25 2019-12-25 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体

Country Status (3)

Country Link
US (1) US20230024824A1 (ja)
JP (1) JP7331948B2 (ja)
WO (1) WO2021130933A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117459323B (zh) * 2023-12-21 2024-02-27 杭州海康威视数字技术股份有限公司 智能进化物联网设备的威胁建模方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003108521A (ja) * 2001-09-29 2003-04-11 Toshiba Corp 脆弱性評価プログラム、方法及びシステム
JP2014130502A (ja) * 2012-12-28 2014-07-10 Hitachi Systems Ltd 脆弱性分析装置、脆弱性分析プログラムおよび脆弱性分析方法
JP2016091402A (ja) * 2014-11-07 2016-05-23 株式会社日立製作所 リスク評価システムおよびリスク評価方法
WO2018215957A1 (en) * 2017-05-25 2018-11-29 XM Ltd. Verifying success of compromising a network node during penetration testing of a networked system
US20190268369A1 (en) * 2017-11-15 2019-08-29 Xm Cyber Ltd. Selectively Choosing Between Actual-Attack and Simulation/Evaluation for Validating a Vulnerability of a Network Node During Execution of a Penetration Testing Campaign

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003108521A (ja) * 2001-09-29 2003-04-11 Toshiba Corp 脆弱性評価プログラム、方法及びシステム
JP2014130502A (ja) * 2012-12-28 2014-07-10 Hitachi Systems Ltd 脆弱性分析装置、脆弱性分析プログラムおよび脆弱性分析方法
JP2016091402A (ja) * 2014-11-07 2016-05-23 株式会社日立製作所 リスク評価システムおよびリスク評価方法
WO2018215957A1 (en) * 2017-05-25 2018-11-29 XM Ltd. Verifying success of compromising a network node during penetration testing of a networked system
US20190268369A1 (en) * 2017-11-15 2019-08-29 Xm Cyber Ltd. Selectively Choosing Between Actual-Attack and Simulation/Evaluation for Validating a Vulnerability of a Network Node During Execution of a Penetration Testing Campaign

Also Published As

Publication number Publication date
JP7331948B2 (ja) 2023-08-23
JPWO2021130933A1 (ja) 2021-07-01
US20230024824A1 (en) 2023-01-26

Similar Documents

Publication Publication Date Title
US10601853B2 (en) Generation of cyber-attacks investigation policies
EP2633646B1 (en) Methods and systems for detecting suspected data leakage using traffic samples
US11956208B2 (en) Graphical representation of security threats in a network
JP5440973B2 (ja) コンピュータ検査システム、コンピュータ検査方法
US9584541B1 (en) Cyber threat identification and analytics apparatuses, methods and systems
EP3337106B1 (en) Identification system, identification device and identification method
US9450974B2 (en) Intrusion management
US20180034837A1 (en) Identifying compromised computing devices in a network
EP4409434A1 (en) Detection of escalation paths in cloud environments
US10652259B2 (en) Information processing apparatus, method and medium for classifying unauthorized activity
JP6401424B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
CN112184091A (zh) 工控系统安全威胁评估方法、装置和系统
US12081569B2 (en) Graph-based analysis of security incidents
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP2019050477A (ja) インシデント分析装置およびその分析方法
Subramanian et al. Threat hunting using elastic stack: An evaluation
Boukebous et al. A comparative analysis of Snort 3 and Suricata
JP4161989B2 (ja) ネットワーク監視システム
WO2021130897A1 (ja) 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体
WO2021130933A1 (ja) 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体
Sharma et al. Comparative analysis of open-source vulnerability assessment tools for campus area network
CN117749426A (zh) 一种基于图神经网络的异常流量检测方法
Aar et al. Analysis of penetration testing tools
Nursidiq et al. Cyber Threat Hunting to Detect Unknown Threats in the Enterprise Network
WO2021059471A1 (ja) セキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19957799

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2021566662

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19957799

Country of ref document: EP

Kind code of ref document: A1