(58)【調査した分野】(Int.Cl.,DB名)
セキュリティイベントを標的型攻撃として分類するコンピュータ実装方法であって、前記方法の少なくとも一部が少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実行され、前記方法が、
少なくとも1つの組織と関連する少なくとも1つの悪意あるセキュリティイベントを検出することと、
前記悪意あるセキュリティイベントを、複数のカテゴリーを含む標的型攻撃タクソノミーと比較することであって、各カテゴリーは標的型攻撃の複数の特性を含む、ことと、
前記悪意あるセキュリティイベントと前記標的型攻撃タクソノミーとの比較に少なくとも部分的に基づいて、
前記悪意あるセキュリティイベントと前記標的型攻撃タクソノミーとの比較に少なくとも部分的に基づいて、前記標的型攻撃タクソノミーに含まれる前記複数のカテゴリー内の各カテゴリーに対するカテゴリースコアを計算することと、
前記標的型攻撃タクソノミーで識別された対応する特性と一致する前記悪意あるセキュリティイベントの特徴の数を判断することと、
各カテゴリースコアと、前記標的型攻撃タクソノミーで識別された対応する特性と一致する前記悪意あるセキュリティイベントの特徴の数とに少なくとも部分的に基づいて、前記悪意あるセキュリティイベントが無差別又は非標的型攻撃ではなく標的型攻撃運動の一部である可能性を表すタクソノミースコアを計算することと、
前記タクソノミースコアが特定の閾値を上回ると判断することと、
によって、前記悪意あるセキュリティイベントが前記組織を具体的に標的にしている可能性が高いと判断することと、
前記悪意あるセキュリティイベントが前記組織を具体的に標的にしている可能性が高いと判断することに応答して、前記悪意あるセキュリティイベントを、無差別又は非標的型攻撃の代わりに、前記組織を具体的に標的にしている標的型攻撃運動の一部として分類することと、
を含む、方法。
前記タクソノミースコアの計算における前記特性の影響を増加又は減少させるため、前記標的型攻撃タクソノミーで識別された前記特性のうち少なくとも1つを重み付けすることを更に含む、請求項1に記載の方法。
前記タクソノミースコアの計算における前記特性の影響を増加又は減少させるため、前記標的型攻撃タクソノミーで識別された前記特性のうち少なくとも1つを重み付けすることを更に含む、請求項8に記載のシステム。
1つ以上のコンピュータ実行可能命令を含む非一時的コンピュータ可読媒体であって、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
少なくとも1つの組織と関連する悪意あるセキュリティイベントを検出することと、
前記悪意あるセキュリティイベントを、複数のカテゴリーを含む標的型攻撃タクソノミーと比較することであって、各カテゴリーは標的型攻撃の複数の特性を含む、ことと、
前記悪意あるセキュリティイベントと前記標的型攻撃タクソノミーとの比較に少なくとも部分的に基づいて、
前記悪意あるセキュリティイベントと前記標的型攻撃タクソノミーとの比較に少なくとも部分的に基づいて、前記標的型攻撃タクソノミーに含まれる前記複数のカテゴリー内の各カテゴリーに対するカテゴリースコアを計算することと、
前記標的型攻撃タクソノミーで識別された対応する特性と一致する前記悪意あるセキュリティイベントの特徴の数を判断することと、
各カテゴリースコアと、前記標的型攻撃タクソノミーで識別された対応する特性と一致する前記悪意あるセキュリティイベントの特徴の数とに少なくとも部分的に基づいて、前記悪意あるセキュリティイベントが無差別又は非標的型攻撃ではなく標的型攻撃運動の一部である可能性を表すタクソノミースコアを計算することと、
前記タクソノミースコアが特定の閾値を上回ると判断することと、
によって、前記悪意あるセキュリティイベントが前記組織を具体的に標的にしている可能性が高いと判断することと、
前記悪意あるセキュリティイベントが前記組織を具体的に標的にしている可能性が高いと判断することに応答して、前記セキュリティイベントを、無差別又は非標的型攻撃の代わりに、前記組織を具体的に標的にしている標的型攻撃運動の一部として分類することと、
を行わせる、非一時的コンピュータ可読媒体。
【発明を実施するための形態】
【0017】
本開示は、概して、セキュリティイベントを標的型攻撃として分類するシステム及び方法を対象とする。より詳細に後述するように、セキュリティに関連するテレメトリデータを異なるセキュリティシステムから収集することによって、本明細書に記載する様々なシステム及び方法は、セキュリティに関連するテレメトリデータ内の標的型攻撃を示す複数の特性を識別してもよい。これらのシステム及び方法は、次に、セキュリティに関連するテレメトリデータ内で識別された複数の特性から、標的型攻撃タクソノミーを作成してもよい。
【0018】
標的型攻撃タクソノミーを作成する際、これらのシステム及び方法は、検出されたセキュリティイベントを標的型攻撃タクソノミーと比較してもよい。検出されたセキュリティイベントを標的型攻撃タクソノミーと比較することによって、これらのシステム及び方法は、特定の未知のセキュリティイベント(例えば、ゼロデイ脅威)に対して、特異的に適合された新しい行動シグネチャの生成前に、かかるセキュリティイベントを標的型攻撃の一部として分類することが可能であってもよい。したがって、これらのシステム及び方法は、セキュリティイベントを標的型攻撃の一部として分類することに対する、(純粋にシグネチャに基づいた方策に対抗する)幾分ヒューリスティックに基づく方策を容易にしてもよい。
【0019】
以下、
図1〜
図2を参照して、セキュリティイベントを標的型攻撃として分類する例示的なシステムの詳細な説明を提供する。対応するコンピュータ実装方法の詳細な説明も
図3に関連して提供される。例示的な標的型攻撃タクソノミーの詳細な説明も、
図4及び
図5に関連して提供される。それに加えて、本明細書に記載される実施形態のうちの1つ以上を実現することができる例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明が、それぞれ
図6及び
図7に関連して提供される。
【0020】
図1は、セキュリティイベントを標的型攻撃として分類する例示的なシステム100のブロック図である。この図に例証されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、より詳細に後述するように、例示的なシステム100は、少なくとも1つの組織と関連するセキュリティイベントを検出する、検出モジュール104を含んでもよい。例示的なシステム100はまた、セキュリティイベントを、標的型攻撃の複数の特性を識別する標的型攻撃タクソノミーと比較し、次に、この比較に少なくとも部分的に基づいて、セキュリティイベントが組織を標的にしている可能性が高いと判断する、判断モジュール106を含んでもよい。
【0021】
それに加えて、より詳細に後述するように、例示的なシステム100は、セキュリティイベントが組織を標的にしている可能性が高いという判断に応答して、セキュリティイベントを標的型攻撃として分類する、分類モジュール108を含んでもよい。別個の要素として例証されるが、
図1のモジュール102のうち1つ以上は、単一のモジュール又はアプリケーション(セキュリティ情報管理(SIM)アプリケーション、セキュリティイベント管理(SEM)アプリケーション、及び/又はセキュリティ情報及びイベント管理(SIEM)アプリケーションなど)の部分を表してもよい。
【0022】
特定の実施形態では、
図1のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させてもよい、1つ以上のソフトウェアアプリケーション又はプログラムを表してもよい。例えば、より詳細に後述するように、モジュール102のうち1つ以上は、
図2に示されるデバイス(例えば、コンピューティングデバイス202及び/又はサーバ206)、
図6のコンピューティングシステム610、並びに/あるいは
図7の例示的なネットワークアーキテクチャ700の部分など、1つ以上のコンピューティングデバイスに格納され、その上で動くように構成された、ソフトウェアモジュールを表してもよい。
図1のモジュール102のうち1つ以上はまた、1つ以上のタスクを実施するように構成された1つ以上の専用コンピュータの全て又は一部を表してもよい。
【0023】
図1に示されるように、例示的なシステム100はまた、標的型攻撃タクソノミー120など、1つ以上のタクソノミーを含んでもよい。「タクソノミー」という用語は、本明細書で使用するとき、一般に、セキュリティイベントの特定の特性及び/又は特徴に少なくとも部分的に基づいてセキュリティイベントを分類するのに使用される、任意のタイプ又は形態のオントロジー、ヒューリスティック、モデル、及び/又はルールのセットを指す。一実施例では、標的型攻撃タクソノミー120は、標的型攻撃の複数の特性122(1)〜(N)を含んでもよく、かつ/又は識別してもよい。この実施例では、特性122(1)〜(N)は、既知の標的型攻撃と関連して以前に観察された特徴の集合を表してもよい。追加的に又は代替案として、特性122(1)〜(N)は、セキュリティイベントを標的型攻撃として分類するのに使用される特定の行動シグネチャに関するメタデータを表してもよい。
【0024】
特性122(1)〜(N)の例としては、非限定的に、偵察の証拠、スピアフィッシング電子メールの検出、攻撃が高価値資産を対象にしているか否か、漏洩したインフラストラクチャ機密のデータ損失防止(DLP)検出、攻撃が偽装分散型サービス妨害(DDoS)に関与しているか否か、秘密のバックドアの使用、攻撃が散発的に家に電話を掛ける別の休眠ファイルに関与しているか否か、リモートデスクトップ及び/又はバーチャルネットワークコンピューティング(VNC)ツールの異常な使用、攻撃と関連する特定ファイルによって送られるネットワークトラフィックの疑わしい量、夜間及び/又は週末における異常なネットワーク挙動、攻撃がパスワードファイルの読み取りに関与しているか否か、それらの1つ以上の変形、それらの1つ以上の組み合わせ、あるいは標的型攻撃の他の任意の特性が挙げられる。
【0025】
標的型攻撃タクソノミー120は、単一のデータベース若しくはコンピューティングデバイス、又は複数のデータベース若しくはコンピューティングデバイスの部分を表してもよい。例えば、
図1の標的型攻撃タクソノミー120は、
図2のコンピューティングデバイス202及び/若しくはサーバ206の一部分、
図6のコンピューティングシステム610、並びに/又は
図7の例示的なネットワークアーキテクチャ700の部分を表してもよい。あるいは、
図1の標的型攻撃タクソノミー120は、
図2のコンピューティングデバイス202及び/若しくはサーバ206、
図6のコンピューティングシステム610、並びに/又は
図7の例示的なネットワークアーキテクチャ700の部分などのコンピューティングデバイスがアクセスすることができる、1つ以上の物理的に別個のデバイスを表してもよい。
【0026】
図1の例示的なシステム100は、様々な方法で実装されてもよい。例えば、例示的なシステム100の全て又は一部は、
図2における例示的なシステム200の部分を表してもよい。
図2に示されるように、システム200は、ネットワーク204を介してサーバ206と通信するコンピューティングデバイス202を含んでもよい。一実施例では、コンピューティングデバイス202は、モジュール102のうち1つ以上でプログラムされてもよい。この実施例では、コンピューティングデバイス202は、標的型攻撃タクソノミー120の全て若しくは一部分を格納し、並びに/又はセキュリティイベント210を検出してもよい。
【0027】
それに加えて、又は別の方法として、サーバ206はモジュール102のうち1つ以上でプログラムされてもよい。この実施例では、サーバ206は、標的型攻撃タクソノミー120の全て若しくは一部分を格納し、並びに/又はセキュリティイベント210を検出してもよい。「セキュリティイベント」という用語は、本明細書で使用するとき、一般に、コンピューティングデバイス及び/又はネットワークのセキュリティに潜在的に関係及び/又は影響する、任意のタイプ若しくは形態のイベント、プロセス、アラート、及び/又はアプリケーションを指す。セキュリティイベント210の例としては、非限定的に、電子メールの送信及び/又は受信、ファイルのダウンロード及び/又はアップロード、ファイルの作成及び/又は実行、ネットワークアクティビティ及び/又は通信、マルウェア感染、ソーシャルエンジニアリング攻撃、不審なアクティビティ、それらの1つ以上の変形、それらの1つ以上の組み合わせ、或いは他の任意のセキュリティイベントが挙げられる。
【0028】
一実施形態では、
図1によるモジュール102のうち1つ以上は、コンピューティングデバイス202及び/又はサーバ206のうちの少なくとも1つのプロセッサによって実行されると、コンピューティングデバイス202及び/又はサーバ206がセキュリティイベントを標的型攻撃として分類することができる。例えば、より詳細に後述するように、モジュール102のうち1つ以上によって、コンピューティングデバイス202及び/又はサーバ206に、(1)少なくとも1つの組織と関連するセキュリティイベント210を検出すること、(2)セキュリティイベント210を、標的型攻撃の複数の特性122(1)〜(N)を識別する標的型攻撃タクソノミー120と比較すること、(3)セキュリティイベント210と標的型攻撃タクソノミー120との比較に少なくとも部分的に基づいて、セキュリティイベント210が組織を標的にしている可能性が高いと判断すること、及び、(4)セキュリティイベント210が組織を標的にしている可能性が高いと判断することに応答して、セキュリティイベント210を標的型攻撃として分類すること、を行わせてもよい。
【0029】
コンピューティングデバイス202は、一般に、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、非限定的に、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらの1つ以上の組み合わせ、
図6の例示的なコンピューティングシステム610、あるいは他の任意の好適なコンピューティングデバイスが挙げられる。
【0030】
サーバ206は、一般に、セキュリティイベントを標的型攻撃として分類することができる、任意のタイプ又は形態のコンピューティングデバイスを表す。サーバ206の例としては、非限定的に、特定のソフトウェアアプリケーションを実行する、並びに/あるいは様々なセキュリティサービス、ウェブサービス、ストレージサービス、及び/又はデータベースサービスを提供するように構成された、セキュリティサーバ、アプリケーションサーバ、ウェブサーバ、ストレージサーバ、及び/又はデータベースサーバが挙げられる。一実施例では、サーバ206は、標的組織をサイバー攻撃から保護する責任を果たす、セキュリティサービスプロバイダに属してもよい。単一のデバイスとして例証されるが、サーバ206は、標的組織をサイバー攻撃から保護するために互いに連係して働く複数のサーバを表してもよい。
【0031】
ネットワーク204は、一般に、通信若しくはデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、非限定的に、イントラネット、広域ネットワーク(Wide Area Network)(WAN)、ローカルエリアネットワーク(Local Area Network)(LAN)、パーソナルエリアネットワーク(Personal Area Network)(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、Global System for Mobile Communications(GSM(登録商標))ネットワーク)、
図7の例示的なネットワークアーキテクチャ700などが挙げられる。ネットワーク204は、無線接続又は有線接続を使用して、通信又はデータ転送を容易にしてもよい。一実施形態では、ネットワーク204は、コンピューティングデバイス202とサーバ206との間の通信を容易にしてもよい。
【0032】
図3は、セキュリティイベントを標的型攻撃として分類する、例示的なコンピュータ実装方法300のフローチャートである。
図3に示されるステップは、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施されてもよい。いくつかの実施形態では、
図3に示されるステップは、
図1のシステム100、
図2のシステム200、
図6のコンピューティングシステム610、及び/又は
図7の例示的なネットワークアーキテクチャ700の部分の構成要素のうち1つ以上によって実施されてもよい。
【0033】
図3に示されるように、ステップ302で、本明細書に記載するシステムのうち1つ以上は、少なくとも1つの組織と関連するセキュリティイベントを検出してもよい。例えば、検出モジュール104は、
図2のコンピューティングデバイス202及び/又はサーバ206の一部として、少なくとも1つの組織と関連するセキュリティイベント210を検出してもよい。かかる組織の例としては、非限定的に、企業、政府機関、軍事機関、事業者、セキュリティカスタマーベース、学校、単科大学、総合大学、研究機関、協会、グループ、集団、シンクタンク、それらの1つ以上の変形、それらの1つ以上の組み合わせ、又は他の任意の好適な組織が挙げられる。
【0034】
本明細書に記載するシステムは、様々な方法及び/又は文脈でステップ302を実施してもよい。いくつかの実施例では、検出モジュール104は、組織内における特定のコンピューティングアクティビティを監視することによって、セキュリティイベント210を検出してもよい。一実施例では、検出モジュール104は、組織のメンバー及び/又は従業員のコンピューティングアクティビティを監視してもよい。例えば、検出モジュール104は、組織のメンバー及び/又は従業員が操作するコンピューティングデバイス202のコンピューティングアクティビティを監視してもよい。この実施例では、検出モジュール104は、コンピューティングデバイス202のコンピューティングアクティビティを監視しながら、セキュリティイベント210を検出してもよい。
【0035】
いくつかの実施例では、検出モジュール104は、組織によって実装された特定のセキュリティシステムから収集した、セキュリティに関連するデータ及び/又は情報(例えば、テレメトリデータ)をマイニング並びに/あるいは解析することによって、セキュリティイベント210を検出してもよい。例えば、検出モジュール104は、組織によって実装されたSIEMアプリケーションの一部を表してもよい。この実施例では、SIEMアプリケーションは、様々なセキュリティアラートを、組織のコンピューティングデバイス並びに/あるいはネットワーク上で作動する、特定のファイアウォール、ネットワーク侵入検知システム(IDS)、ウイルス対策ソリューション、及び/又はDLPソリューションから収集してもよい。SIEMアプリケーションがセキュリティアラートを収集すると、検出モジュール104は、標的型攻撃の証拠に関してこれらのセキュリティアラートをマイニング及び/又は解析してもよい。したがって、検出モジュール104は、これらのアラートをマイニング及び/又は解析しながら、セキュリティイベント210を検出してもよい。
【0036】
図3に戻ると、ステップ304で、本明細書に記載するシステムの1つ以上は、セキュリティイベントを、標的型攻撃の複数の特性を識別する標的型攻撃タクソノミーと比較してもよい。例えば、判断モジュール106は、
図2のコンピューティングデバイス202及び/又はサーバ206の一部として、セキュリティイベント210を、標的型攻撃の複数の特性122(1)〜(N)を識別する標的型攻撃タクソノミー120と比較してもよい。「標的型攻撃」という用語は、本明細書で使用するとき、一般に、1つ以上の組織を特異的に標的にしている、任意のタイプ若しくは形態のコンピュータベースの攻撃及び/又は運動を指す。
【0037】
一実施例では、標的型攻撃は単一の組織を標的にしてもよい。別の実施例では、標的型攻撃は複数の組織を標的にしてもよい。それに加えて、又は別の方法として、標的型攻撃の部分は、特定の脅威グループが犯した1つ以上の過去の標的型攻撃から再使用及び/又は再利用されていることがある。
【0038】
本明細書に記載するシステムは、様々な方法及び/又は文脈でステップ304を実施してもよい。一実施例では、判断モジュール106は、セキュリティイベント210の特定の特性及び/又は特徴に少なくとも部分的に基づいて、セキュリティイベント210と標的型攻撃タクソノミー120とを比較してもよい。例えば、判断モジュール106は、セキュリティイベント210の複数の特徴を識別してもよい。この実施例では、判断モジュール106は、セキュリティイベント210の複数の特徴を、標的型攻撃タクソノミー120で識別された複数の特性122(1)〜(N)と比較してもよい。
【0039】
セキュリティイベント210のかかる特徴の例としては、非限定的に、偵察の証拠,スピアフィッシング電子メール、セキュリティイベント210が高価値資産を対象にしているか否か、漏洩したインフラストラクチャ機密、セキュリティイベント210が偽装DDoSに関与しているか否か、秘密のバックドアの使用、セキュリティイベント210が散発的に家に電話を掛ける別の休眠ファイルに関与しているか否か、リモートデスクトップ及び/又はVNCツールの異常な使用、セキュリティイベント210と関連する特定ファイルによって送られるネットワークトラフィックの疑わしい量、夜間及び/又は週末における異常なネットワーク挙動、セキュリティイベント210がパスワードファイルの読み取りに関与しているか否か、それらの1つ以上の変形、それらの1つ以上の組み合わせ、あるいはセキュリティイベント210の他の任意の特徴が挙げられる。
【0040】
一実施例では、判断モジュール106は、標的型攻撃タクソノミー120で識別された特性122(1)〜(N)のうち少なくとも1つと一致する、セキュリティイベント210の特徴それぞれを識別してもよい。例えば、判断モジュール106は、セキュリティイベント210の識別された各特徴に対して、特性ごとに標的型攻撃タクソノミー120全体を反復してもよい。この実施例では、判断モジュール106は、これらの反復に少なくとも部分的に基づいて、特性122(1)〜(N)のうち少なくとも1つと一致する、セキュリティイベント210の各特徴を識別してもよい。判断モジュール106は、次に、一致する各特徴にそれを示すインジケータをラベル付けしてもよい。それに加えて、又は別の方法として、判断モジュール106は、一致する各特徴に、その特徴が一致する特性の数を識別するインジケータをラベル付けしてもよい。
【0041】
図4は、例示的な標的型攻撃タクソノミー120のブロック図である。
図4に示されるように、標的型攻撃タクソノミー120は、標的型攻撃の特性をそれぞれ含み、かつ/又は識別する複数のカテゴリー400(1)〜(N)を含み、並びに/あるいは識別してもよい。「カテゴリー」という用語は、本明細書で使用するとき、一般に、タクソノミー内における特性の任意のタイプ若しくは形態のクラスタ化及び/又はグループ化を指す。一実施例では、
図4のカテゴリー400(1)は、特定の共通性、技術、及び/又は特徴に少なくとも部分的に基づいて、標的型攻撃の特性122(1)〜(N)を共にクラスタ化及び/又はグループ化してもよい。同様に、
図4のカテゴリー400(N)は、特定の共通性、技術、及び/又は特徴に少なくとも部分的に基づいて、標的型攻撃の特性422(1)〜(N)を共にクラスタ化及び/又はグループ化してもよい。カテゴリー400(1)〜(N)の例としては、非限定的に、偵察の証拠、秘密のバックドアの使用、横方向移動、漏出、人間が引き起こす攻撃挙動、攻撃の洗練化、リスクのレベル、それらの1つ以上の変形、それらの1つ以上の組み合わせ、または他の任意の好適なカテゴリーが挙げられる。
【0042】
図5は、例示的な標的型攻撃タクソノミー120の図である。
図5に示されるように、標的型攻撃タクソノミー120は、例示的なカテゴリー400(1)〜(N)(この実施例では、「偵察の証拠」、「秘密のバックドアの使用」など)、例示的な特性122(1)〜(4)(この実施例では、「スピアフィッシング電子メールの検出」、「高価値資産を対象とした攻撃」、「漏洩したインフラストラクチャ機密のDLP検出」、「偽装DDoS攻撃の検出」)、並びに特性422(1)〜(4)(この実施例では、散発的に家に電話を掛ける長期休眠ファイル」、「リモートデスクトップ又はVNCの異常な使用」、「特定ファイルによって送られるネットワークトラフィックの量」、及び「夜間又は週末における異常なネットワーク挙動」)を含み、並びに/あるいは識別してもよい。
【0043】
いくつかの実施例では、本明細書に記載するシステムの1つ以上は、標的型攻撃タクソノミー120を作成してもよい。一実施例では、タクソノミーモジュール110は、
図2のコンピューティングデバイス202及び/又はサーバ206の一部として、標的型攻撃を潜在的に示す特定の特性に少なくとも部分的に基づいて、標的型攻撃タクソノミー120を作成してもよい。例えば、タクソノミーモジュール110は、組織のコンピューティングデバイス上で作動する特定のファイアウォール、ネットワークIDS、ウイルス対策ソリューション、及び/又はDLPソリューションから、セキュリティに関連するテレメトリデータを収集してもよい。セキュリティに関連するテレメトリデータを収集する際、タクソノミーモジュール110は、標的型攻撃を潜在的に示す特定の特性に関して、セキュリティに関連するテレメトリデータをマイニング及び/又は解析してもよい。タクソノミーモジュール110は、次に、このセキュリティに関連するテレメトリデータのマイニング及び/又は解析に少なくとも部分的に基づいて、標的型攻撃タクソノミー120を作成してもよい。
【0044】
具体例として、タクソノミーモジュール110は、特定の多基準意思決定分析(MCDA)技術を、セキュリティに関連するテレメトリデータに適用してもよい。「多基準意思決定分析」という用語及び「MCDA」という略称は、本明細書で使用するとき、一般に、特定の共通性、技術、及び/又は特徴に少なくとも部分的に基づいて、セキュリティに関連するデータ及び/又は情報をデータセットの形にクラスタ化及び/又はグループ化する、任意のタイプ若しくは形態のアルゴリズム及び/又は解析を指す。したがって、MCDA技術によって、タクソノミーモジュール110が、組織と関連する特定のセキュリティイベント間での複雑なパターン及び/又は関係を識別することが可能になってもよい。例えば、タクソノミーモジュール110は、MCDA技術を、組織の特定のメンバー及び/又は従業員が関与するセキュリティイベントに適用してもよい。MCDA技術をこれらのセキュリティイベントに適用することによって、タクソノミーモジュール110は、特性122(1)〜(N)及び/又は422(1)〜(N)をクラスタ化並びに/あるいはグループ化し、次に、これらのクラスタ及び/又はグループに少なくとも部分的に基づいて、標的型攻撃タクソノミー120を作成することが可能であってもよい。
【0045】
追加的に又は代替案として、タクソノミーモジュール110は、MCDA技術を標的型攻撃タクソノミー120に適用して、その分類精度レベルを増加させてもよい。一実施例では、タクソノミーモジュール110は、MCDA技術を適用して、カテゴリー400(1)〜(N)の1つ以上に対する特定の閾値を決定及び/又は選択してもよい。例えば、タクソノミーモジュール110は、セキュリティイベント210を標的型攻撃として分類するために、任意の特定のセキュリティイベントの特徴が、カテゴリー400(1)に含まれる特性122(1)〜(N)のうち少なくとも3つと一致する必要があると判断してもよい。結果として、タクソノミーモジュール110は、カテゴリー400(1)に対して3という閾値を選択してもよい。任意の特定のセキュリティイベントの特徴が特性122(1)〜(N)のうち少なくとも3つと一致しない場合、特定のセキュリティイベントは非標的型攻撃として分類されてもよい。
【0046】
別の実施例では、タクソノミーモジュール110は、MCDA技術を適用して、カテゴリー400(1)〜(N)及び/又は特性122(1)〜(N)若しくは422(1)〜(N)に対する特定の重みを決定及び/又は選択してもよい。例えば、タクソノミーモジュール110は、カテゴリー400(1)〜(N)のうち少なくとも1つを互いに対して重み付けしてもよい。具体例として、タクソノミーモジュール110は、カテゴリー400(N)に比べてカテゴリー400(1)に係数1又は2の重み付けをしてもよい。カテゴリー400(1)〜(N)のうち少なくとも1つをこのように重み付けすることによって、タクソノミーモジュール110は、任意の特定のセキュリティイベントに対するタクソノミースコアを計算する際のカテゴリーの影響を増加又は減少してもよい。
【0047】
追加的に又は代替案として、タクソノミーモジュール110は、特性122(1)〜(N)又は422(1)〜(N)のうち少なくとも1つを互いに対して重み付けしてもよい。例えば、タクソノミーモジュール110は、特性122(N)及び/又は422(1)〜(N)に比べて特性122(1)に係数3の重み付けをしてもよい。カテゴリー400(1)〜(N)及び/又は特性122(1)〜(N)若しくは422(1)〜(N)のうちの少なくとも1つをこのように重み付けすることによって、タクソノミーモジュール110は、任意の特定のセキュリティイベントに対するタクソノミースコアを計算する際の特性の影響を増加又は減少してもよい。「タクソノミースコア」という用語は、本明細書で使用するとき、一般に、セキュリティイベントをタクソノミーと比較することによって得られる、任意のタイプ若しくは形態のスコア、数、及び/又は計算を指す。タクソノミースコアは、セキュリティイベントが組織を標的にしている可能性を表してもよい。
【0048】
一実施例では、タクソノミーモジュール110は、MCDA技術を適用して、カテゴリー400(1)〜(N)及び/又は特性122(1)〜(N)若しくは422(1)〜(N)に対する順序付き重み付き平均化(OWA)を達成してもよい。追加的に又は代替案として、タクソノミーモジュール110によって、ユーザが、カテゴリー400(1)〜(N)及び/又は特性122(1)〜(N)若しくは422(1)〜(N)のうちの1つ以上の重み付けを制御することが可能になってもよい。
【0049】
図3に戻ると、ステップ306で、本明細書に記載するシステムの1つ以上は、セキュリティイベントと標的型攻撃タクソノミーとの比較に少なくとも部分的に基づいて、セキュリティイベントが組織を標的にしている可能性が高いと判断してもよい。例えば、判断モジュール106は、
図2のコンピューティングデバイス202及び/又はサーバ206の一部として、セキュリティイベント210と標的型攻撃タクソノミー120との比較に少なくとも部分的に基づいて、セキュリティイベント210が組織を標的にしている可能性が高いと判断してもよい。「標的にする」又は「標的にしている」という語句は、本明細書で使用するとき、一般に、(いずれかの無差別の組織若しくはユーザではなく)少なくとも1つの特定の組織を対象とする、並びに/あるいは意図する、任意のタイプ若しくは形態の目標、目的、及び/又は意図を指す。
【0050】
本明細書に記載するシステムは、様々な方法及び/又は文脈でステップ306を実施してもよい。いくつかの実施例では、判断モジュール106は、特性122(1)〜(N)のうちの少なくとも1つと一致するセキュリティイベント210の特徴の数に少なくとも部分的に基づいて、セキュリティイベント210が組織を標的にしている可能性が高いと判断してもよい。例えば、判断モジュール106は、セキュリティイベント210の12個の特徴が、標的型攻撃タクソノミー120で識別された特性122(1)〜(N)のうちの少なくとも1つと一致すると判断してもよい。この実施例では、判断モジュール106は、セキュリティイベント210のこれら12個の一致する特徴が特定の閾値(例えば、少なくとも10個の一致する特徴)を上回っていると判断してもよい。判断モジュール106は、次に、セキュリティイベント210の一致する特徴の数が閾値を上回っているので、セキュリティイベント210が組織を標的にしている可能性が高いと判断してもよい。
【0051】
いくつかの実施例では、判断モジュール106は、セキュリティイベント210のタクソノミースコアに少なくとも部分的に基づいて、セキュリティイベント210が組織を標的にしている可能性が高いと判断してもよい。例えば、判断モジュール106は、セキュリティスコア210のタクソノミースコア55%を計算してもよい。この実施例では、タクソノミースコアは、セキュリティイベント210の識別された特徴の55%が、標的型攻撃タクソノミー120で識別された特性122(1)〜(N)のうちの少なくとも1つと一致することを示してもよい。セキュリティイベント210のタクソノミースコアを計算する際、判断モジュール106は、このタクソノミースコアが特定の閾値(例えば、少なくとも50%)を上回っていると判断してもよい。判断モジュール106は、次に、セキュリティイベント210のタクソノミースコアが閾値を上回っているので、セキュリティイベント210が組織を標的にしている可能性が高いと判断してもよい。
【0052】
いくつかの実施例では、判断モジュール106は、カテゴリー400(1)〜(N)の特定のカテゴリースコアに少なくとも部分的に基づいて、セキュリティイベント210が組織を標的にしていると判断してもよい。例えば、判断モジュール106は、セキュリティイベント210に対して、カテゴリー400(1)のカテゴリースコア50%及びカテゴリー400(N)のカテゴリースコア60%を計算してもよい。この実施例では、各カテゴリースコアは、セキュリティイベント210のうち少なくとも1つの特徴が一致している対応するカテゴリーに含まれる、特性の数及び/又は比率を示してもよい。セキュリティイベント210に対するこれらのカテゴリースコアを計算する際、判断モジュール106は、これらのカテゴリースコアがそれぞれ対応する閾値(例えば、それぞれ少なくとも45%及び55%)を上回っていると判断してもよい。判断モジュール106は、次に、これらのカテゴリースコアが全てそれらの対応する閾値を上回っているので、セキュリティイベント210が組織を標的にしている可能性が高いと判断してもよい。
【0053】
いくつかの実施例では、判断モジュール106は、セキュリティイベント210のうち少なくとも1つの特徴がその特性と一致しているカテゴリーの数に少なくとも部分的に基づいて、セキュリティイベント210が組織を標的にしている可能性が高いと判断してもよい。例えば、判断モジュール106は、セキュリティイベント210の特徴が、標的型攻撃タクソノミー120の5つの異なるカテゴリーに含まれる特性のうちの少なくとも1つと一致すると判断してもよい。換言すれば、判断モジュール106は、セキュリティイベント210の特徴が、標的型攻撃タクソノミー120に含まれる5つの異なるカテゴリーに及ぶと判断してもよい。追加的に又は代替案として、判断モジュール106は、セキュリティイベント210の特徴が及ぶカテゴリーの数が特定の閾値(例えば、少なくとも3つのカテゴリー)を上回っていると判断してもよい。判断モジュール106は、次に、セキュリティイベント210の特徴が及ぶカテゴリーの数が閾値を上回っているので、セキュリティイベント210が組織を標的にしていると判断してもよい。
【0054】
図3に戻ると、ステップ308で、本明細書に記載するシステムの1つ以上は、セキュリティイベントが組織を標的にしている可能性が高いという判断に応答して、セキュリティイベントを標的型攻撃として分類してもよい。例えば、分類モジュール108は、
図2のコンピューティングデバイス202及び/又はサーバ206の一部として、セキュリティイベント210が組織を標的にしている可能性が高いという判断に応答して、セキュリティイベント210を標的型攻撃(又は少なくとも標的型攻撃の一部)として分類してもよい。
【0055】
本明細書に記載するシステムは、様々な方法及び/又は文脈でステップ308を実施してもよい。いくつかの実施例では、分類モジュール108は、セキュリティイベント210をラベル付けすることによって、セキュリティイベント210を標的型攻撃として分類してもよい。例えば、分類モジュール108は、組織に対する標的型攻撃の一部であるものとして、セキュリティイベント210をラベル付けしてもよい。この実施例では、ラベルは、組織に対する標的型攻撃の一部としてセキュリティイベント210を有効に分類してもよい。
【0056】
いくつかの実施例では、分類モジュール108は、セキュリティイベント210を既知の脅威グループに帰属させることによって、セキュリティイベント210を標的型攻撃として分類してもよい。例えば、判断モジュール106は、セキュリティイベント210と標的型攻撃タクソノミー120との比較に少なくとも部分的に基づいて、セキュリティイベント210を犯しているのが「パープルトークン」として知られている脅威グループである可能性が高いと判断してもよい。結果として、分類モジュール108は、「パープルトークン」脅威グループが犯しているものとしてセキュリティイベント210をラベル付けしてもよい。このラベルは、セキュリティイベント210を「パープルトークン」脅威グループに有効に帰属させてもよい。
【0057】
いくつかの実施例では、分類モジュール108は、セキュリティイベント210を1つ以上の他のセキュリティイベントとクラスタ化及び/又はグループ化することによって、セキュリティイベント210を標的型攻撃として分類してもよい。例えば、判断モジュール106は、セキュリティイベント210と標的型攻撃タクソノミー120との比較に少なくとも部分的に基づいて、セキュリティイベント210及び1つ以上の他のセキュリティイベントが同じ標的型攻撃の一部を表す可能性が高いと判断してもよい。結果として、分類モジュール108は、セキュリティイベント210及び/又は他のセキュリティイベントを、同じ標的型攻撃のそれぞれ一部であるものとしてラベル付けしてもよい。このラベルは、セキュリティイベント210を標的型攻撃と関連する他のセキュリティイベントと有効にクラスタ化及び/又はグループ化してもよい。
【0058】
一実施例では、分類モジュール108は、セキュリティイベント210が標的型攻撃である可能性が高いことを標的組織に通知してもよい。例えば、分類モジュール108は、「パープルトークン」脅威グループが、セキュリティイベント210及び/又は標的型攻撃によって組織に対する侵入、潜入、及び/又は感染を試みていることを、組織の情報技術(IT)専門家に通知してもよい。この試みをIT専門家に通知することによって、分類モジュール108は、標的組織のIT専門家が有効な応答を適時に展開して、セキュリティイベント210及び/又は標的型攻撃を緩和及び/又は無効化することを可能にしてもよい。
【0059】
追加的に又は代替案として、分類モジュール108は、セキュリティイベント210及び/又は標的型攻撃に関与並びに/あるいは関連する、任意の悪意ある実行可能ファイルをラベル付けしてもよい。例えば、分類モジュール108は、セキュリティイベント210と関連して転送された悪意ある実行可能ファイルを識別してもよい。分類モジュール108は、次に、この悪意ある実行可能ファイルを、セキュリティイベント210に関与及び/又は関連するものとしてラベル付けしてもよい。このラベルは、この悪意ある実行可能ファイルをセキュリティイベント210及び/又は標的型攻撃に有効にリンクさせてもよい。
【0060】
一実施例では、分類モジュール108は、コンピューティングデバイスが悪意ある実行可能ファイルに感染している、少なくとも1つのユーザ及び/又は組織に通知してもよい。例えば、分類モジュール108は、標的組織のIT専門家に、標的組織に属する1つ以上のコンピューティングデバイスに悪意ある実行可能ファイルが感染していることを通知してもよい。この実施例では、通知は、「パープルトークン」脅威グループが悪意ある実行可能ファイルを製作及び/又は分配したことを示してもよい。この感染をIT専門家に通知することによって、分類モジュール108は、IT専門家が、有効な応答を適時に展開して、悪意ある実行可能ファイルによって引き起こされるあらゆる害を緩和及び/又は無効化することを可能にしてもよい。
【0061】
図3の方法300と関連して上述したように、SIEMは、標的型攻撃を示す特性のタクソノミーを作成してもよい。一実施例では、このSIEMは、セキュリティに関連するテレメトリデータを、組織のコンピューティングデバイス及び/又はネットワークを保護する様々なセキュリティシステムから収集することによって、セキュリティイベントを識別してもよい。セキュリティイベントを識別する際、SIEMは、セキュリティイベント及びタクソノミーの両方が共有する、かつ/又は両方に共通する特性の量に少なくとも部分的に基づいて、セキュリティイベントのスコアをつけてもよい。
【0062】
このスコアは、本質的に、セキュリティイベントが組織を標的にしている可能性を表してもよい。換言すれば、スコアは、セキュリティイベントが標的型攻撃又は単なる無差別のマルウェアであることを提示する証拠の量を反映してもよい。一方で、セキュリティイベント及びタクソノミーが比較的多数の特性を共有している場合、セキュリティイベントのスコアは比較的高くてもよく、それによってセキュリティイベントが標的型攻撃であることが提示される。他方で、セキュリティイベント及びタクソノミーが共有する特性が比較的少数である場合、セキュリティイベントのスコアは比較的低くてもよく、それによってセキュリティイベントが無差別の非標的型攻撃であることが提示される。
【0063】
図6は、本明細書に記載及び/又は例証される実施形態のうち1つ以上を実現することができる例示的なコンピューティングシステム610のブロック図である。例えば、コンピューティングシステム610の全て又は一部は、単独で又は他の要素と組み合わせて、(
図3に例証されるステップのうち1つ以上などの)本明細書に記載されるステップのうち1つ以上を実施してもよく、かつ/又はそれを実施するための手段であってもよい。コンピューティングシステム610の全て又は一部はまた、本明細書に記載及び/又は例証される他の任意のステップ、方法、若しくは処理を実施してもよく、並びに/あるいはそれを実施するための手段であってもよい。
【0064】
コンピューティングシステム610は、コンピュータ可読命令を実行することが可能な任意のシングル若しくはマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム610の例としては、非限定的に、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム610は、少なくとも1つのプロセッサ614及びシステムメモリ616を含んでもよい。
【0065】
プロセッサ614は、一般に、データの処理又は命令の解釈及び実行が可能な任意のタイプ若しくは形態の物理的処理装置(例えば、ハードウェア実装型中央処理装置)を表す。特定の実施形態では、プロセッサ614は、ソフトウェアアプリケーション又はモジュールから命令を受信してもよい。これらの命令は、プロセッサ614に、本明細書に記載及び/又は例証される例示的な実施形態のうち1つ以上の機能を実施させてもよい。
【0066】
システムメモリ616は、一般に、データ及び/又は他のコンピュータ可読命令を格納することが可能な、任意のタイプ若しくは形態の揮発性又は不揮発性記憶デバイス若しくは媒体を表す。システムメモリ616の例としては、非限定的に、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は他の任意の好適なメモリデバイスが挙げられる。必須ではないが、特定の実施形態では、コンピューティングシステム610は、揮発性メモリユニット(例えば、システムメモリ616など)、及び不揮発性記憶デバイス(例えば、詳細に後述するような、一次記憶デバイス632など)の両方を含んでもよい。一実施例では、
図1のモジュール102の1つ以上がシステムメモリ616にロードされてもよい。
【0067】
特定の実施形態では、例示的なコンピューティングシステム610はまた、プロセッサ614及びシステムメモリ616に加えて、1つ以上の構成要素又は要素を含んでもよい。例えば、
図6に示されるように、コンピューティングシステム610は、メモリコントローラ618、入力/出力(I/O)コントローラ620、及び通信インターフェース622を含んでもよく、それらはそれぞれ通信基盤612を介して相互接続されてもよい。通信基盤612は、一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ若しくは形態の基盤を表す。通信基盤612の例としては、非限定的に、通信バス(産業標準アーキテクチャ(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
【0068】
メモリコントローラ618は、一般に、メモリ若しくはデータを扱うか、又はコンピューティングシステム610の1つ以上の構成要素間の通信を制御することができる、任意のタイプ若しくは形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ618は、通信基盤612を介して、プロセッサ614、システムメモリ616、及びI/Oコントローラ620の間の通信を制御してもよい。
【0069】
I/Oコントローラ620は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することができる、任意のタイプ若しくは形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ620は、プロセッサ614、システムメモリ616、通信インターフェース622、ディスプレイアダプタ626、入力インターフェース630、及び記憶インターフェース634など、コンピューティングシステム610の1つ以上の要素間におけるデータの転送を制御するか又は容易にしてもよい。
【0070】
通信インターフェース622は、例示的なコンピューティングシステム610と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ若しくは形態の通信デバイス又はアダプタを広く表す。例えば、特定の実施形態では、通信インターフェース622は、コンピューティングシステム610と、追加のコンピューティングシステムを含む私設又は公衆ネットワークとの間の通信を容易にしてもよい。通信インターフェース622の例としては、非限定的に、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース622は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供してもよい。通信インターフェース622はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通して、かかる接続を間接的に提供してもよい。
【0071】
特定の実施形態では、通信インターフェース622はまた、外部バス又は通信チャネルを介して、コンピューティングシステム610と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成された、ホストアダプタを表してもよい。ホストアダプタの例としては、非限定的に、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース622はまた、コンピューティングシステム610が分散型又はリモートコンピューティングに関与することを可能にしてもよい。例えば、通信インターフェース622は、実行のためにリモートデバイスから命令を受信するか又はリモートデバイスに命令を送信してもよい。
【0072】
図6に示されるように、コンピューティングシステム610はまた、ディスプレイアダプタ626を介して通信基盤612に連結される少なくとも1つのディスプレイデバイス624を含んでもよい。ディスプレイデバイス624は、一般に、ディスプレイアダプタ626によって転送される情報を視覚的に表示することができる、任意のタイプ若しくは形態のデバイスを表す。同様に、ディスプレイアダプタ626は、一般に、ディスプレイデバイス624に表示するために、通信基盤612から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された、任意のタイプ若しくは形態のデバイスを表す。
【0073】
図6に示されるように、例示的なコンピューティングシステム610はまた、入力インターフェース630を介して通信基盤612に連結される少なくとも1つの入力デバイス628を含んでもよい。入力デバイス628は、一般に、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム610に提供することができる、任意のタイプ若しくは形態の入力デバイスを表す。入力デバイス628の例としては、非限定的に、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられる。
【0074】
図6に示されるように、例示的なコンピューティングシステム610はまた、記憶インターフェース634を介して通信基盤612に連結される、一次記憶デバイス632及びバックアップ記憶デバイス633を含んでもよい。記憶デバイス632及び633は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス632及び633は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであってもよい。記憶インターフェース634は、一般に、記憶デバイス632及び633とコンピューティングシステム610の他の構成要素との間でデータを転送するための、任意のタイプ若しくは形態のインターフェース又はデバイスを表す。
【0075】
特定の実施形態では、記憶デバイス632及び633は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を格納するように構成された、取外し可能な記憶ユニットから読み取り、かつ/又はそれに書き込むように構成されてもよい。好適な取外し可能な記憶ユニットの例としては、非限定的に、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス632及び633はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム610にロードされることを可能にする、他の同様の構造体又はデバイスを含んでもよい。例えば、記憶デバイス632及び633は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み取り、かつこれを書き込むように構成されてもよい。記憶デバイス632及び633はまた、コンピューティングシステム610の一部であってもよく、又は他のインターフェースシステムを介してアクセスされる別個のデバイスであってもよい。
【0076】
他の多くのデバイス又はサブシステムがコンピューティングシステム610に接続されてもよい。反対に、
図6に示される構成要素及びデバイスの全てが、本明細書に記載及び/又は例証される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムはまた、
図6に示されるのとは異なる形で相互接続されてもよい。コンピューティングシステム610はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を用いてもよい。例えば、本明細書で開示する例示的な実施形態の1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。「コンピュータ可読媒体」という用語は、本明細書で使用するとき、一般に、コンピュータ可読命令を格納又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、非限定的に、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY(登録商標))ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的媒体が挙げられる。
【0077】
コンピュータプログラムを包含するコンピュータ可読媒体は、コンピューティングシステム610にロードされてもよい。次に、コンピュータ可読媒体に格納されたコンピュータプログラムの全て又は一部は、システムメモリ616に、並びに/又は記憶デバイス632及び633の様々な部分に格納されてもよい。プロセッサ614によって実行されると、コンピューティングシステム610にロードされたコンピュータプログラムは、プロセッサ614に、本明細書に記載及び/又は例証される例示的な実施形態のうち1つ以上の機能を実施させてもよく、かつ/又はそれらを実施するための手段であってもよい。追加的に又は代替案として、本明細書に記載及び/又は例証される例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム610は、本明細書に開示される例示的な実施形態の1つ以上を実現するように適合された、特定用途向け集積回路(ASIC)として構成されてもよい。
【0078】
図7は、クライアントシステム710、720、及び730、並びにサーバ740及び745がネットワーク750に連結されてもよい、例示的なネットワークアーキテクチャ700のブロック図である。上記で詳述したように、ネットワークアーキテクチャ700の全て又は一部は、単独で又は他の要素と組み合わせて、本明細書に開示されるステップの1つ以上(
図3に示されるステップの1つ以上など)を実施してもよく、並びに/あるいはそれを実施するための手段であってもよい。ネットワークアーキテクチャ700の全て又は一部はまた、本開示に記載される他のステップ及び特徴を実施するのに使用されてもよく、並びに/あるいはそれを実施するための手段であってもよい。
【0079】
クライアントシステム710、720、及び730は、一般に、
図6の例示的なコンピューティングシステム610など、任意のタイプ若しくは形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ740及び745は、一般に、様々なデータベースサービスを提供し、かつ/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ若しくはデータベースサーバなどの、コンピューティングデバイス又はシステムを表す。ネットワーク750は、一般に、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを表す。一実施例では、クライアントシステム710、720、及び/若しくは730、並びに/又はサーバ740及び/若しくは745は、
図1からのシステム100の全て又は一部を含んでもよい。
【0080】
図7に示されるように、1つ以上の記憶デバイス760(1)〜(N)はサーバ740に直接取り付けられてもよい。同様に、1つ以上の記憶デバイス770(1)〜(N)はサーバ745に直接取り付けられてもよい。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。特定の実施形態では、記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用して、サーバ740及び745と通信するように構成されたネットワーク接続ストレージ(NAS)デバイスを表してもよい。
【0081】
サーバ740及び745はまた、ストレージエリアネットワーク(SAN)ファブリック780に接続されてもよい。SANファブリック780は、一般に、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ若しくは形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック780は、サーバ740及び745と、複数の記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795との間の通信を容易にしてもよい。SANファブリック780はまた、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795が、クライアントシステム710、720、及び730にローカルで取り付けられたデバイスとして現れるような方式で、ネットワーク750並びにサーバ740及び745を介して、クライアントシステム710、720、及び730と、デバイス790(1)〜(N)及び/又はアレイ795との間の通信を容易にしてもよい。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)と同様に、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。
【0082】
特定の実施形態では、
図6の例示的なコンピューティングシステム610を参照して、
図6の通信インターフェース622などの通信インターフェースは、それぞれのクライアントシステム710、720、及び730とネットワーク750との間の接続を提供するために使用されてもよい。クライアントシステム710、720、及び730は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ740又は745上の情報にアクセスすることが可能であってもよい。かかるソフトウェアは、クライアントシステム710、720、及び730が、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、又はインテリジェント記憶アレイ795によってホストされるデータにアクセスすることを可能にしてもよい。
図7は、データを交換するために(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は例証される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
【0083】
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、インテリジェント記憶アレイ795、又はこれらの任意の組み合わせ上にロードされ、これらによって実行されてもよい。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ740に記憶され、サーバ745によって作動し、ネットワーク750上でクライアントシステム710、720、及び730に配信されてもよい。
【0084】
上記で詳述したように、コンピューティングシステム610、及び/又はネットワークアーキテクチャ700の1つ以上の構成要素は、それぞれ単独で又は他の要素と組み合わせて、セキュリティイベントを標的型攻撃として分類する例示的な方法の1つ若しくは2つ以上のステップを実施してもよく、並びに/あるいは実施するための手段であってもよい。
【0085】
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書に記載及び/又は例証されるそれぞれのブロック図の構成要素、フローチャートのステップ、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせ)の構成を使用して実現されてもよい。それに加えて、同じ機能性を達成するように他の多くのアーキテクチャを実現することができるので、他の構成要素内に包含される構成要素のあらゆる開示は、本質的に例示と見なされるべきである。
【0086】
いくつかの実施例では、
図1の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表してもよい。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供してもよい。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であってもよい。本明細書に記載する様々な機能は、リモートデスクトップ環境又は他の任意のクラウドベースのコンピューティング環境を通して提供されてもよい。
【0087】
様々な実施形態では、
図1の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナンシーを容易にしてもよい。換言すれば、本明細書に記載するソフトウェアモジュールは、本明細書に記載する機能の1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載するソフトウェアモジュールの1つ以上は、2つ以上のクライアント(例えば、顧客)がサーバ上で作動しているアプリケーションを共有するのを可能にするように、サーバをプログラムしてもよい。このようにプログラムされたサーバは、複数の顧客(即ち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有してもよい。本明細書に記載するモジュールの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
【0088】
様々な実施形態によれば、
図1の例示的なシステム100の全て又は一部は仮想環境内で実現されてもよい。例えば、本明細書に記載するモジュール及び/又はデータは、仮想機械内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想機械」という用語は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。それに加えて、又は別の方法として、本明細書に記載するモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という用語は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しを、仮想化層内の場所にリダイレクトしてもよい。
【0089】
いくつかの実施例では、
図1の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表してもよい。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実現されてもよい。いくつかの実施例では、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理機構、タッチスクリーン機構、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、かつ/又は第三者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する、制限されたプラットフォーム、アプリケーションのインストールを(例えば、認可されたアプリケーションストアからのみに)制限する制御など、1つ以上の明確な特徴を有してもよい。本明細書に記載する様々な機能は、モバイルコンピューティング環境に対して提供されてもよく、かつ/又はモバイルコンピューティング環境と相互作用してもよい。
【0090】
それに加えて、
図1の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という用語は、データの保護、組織化、及び/又は記憶を指してもよい。情報管理のためのシステムの例としては、非限定的に、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができる。
【0091】
いくつかの実施形態では、
図1の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という用語は、保護されたデータに対するアクセスの制御を指してもよい。情報セキュリティのためのシステムの例としては、非限定的に、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどを挙げることができる。
【0092】
いくつかの実施例によれば、
図1の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という用語は、不正及び/若しくは違法な使用、アクセス、並びに/又は制御からのエンドポイントシステムの保護を指してもよい。エンドポイント保護のためのシステムの例としては、非限定的に、アンチマルウェアシステム、ユーザ認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができる。
【0093】
本明細書に記載及び/又は例証されるプロセスパラメータ及びステップの順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に例証及び/又は記載されるステップは特定の順序で図示又は考察されることがあるが、これらのステップは、必ずしも例証又は考察される順序で実施される必要はない。本明細書に記載及び/又は例証される様々な例示的な方法はまた、本明細書に記載若しくは例証されるステップの1つ以上を省略するか、又は開示されるものに加えて追加のステップを含んでもよい。
【0094】
様々な実施形態を、完全に機能的なコンピューティングシステムの文脈で本明細書に記載及び/又は例証してきたが、これらの例示的な実施形態の1つ以上は、実際に配布を実施するのに使用されるコンピュータ可読媒体の特定のタイプにかかわらず、様々な形態のプログラム製品として配布されてもよい。本明細書に開示される実施形態はまた、特定のタスクを実施するソフトウェアモジュールを使用して実現されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに格納されてもよい、スクリプト、バッチ、若しくは他の実行可能ファイルを含んでもよい。いくつかの実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態の1つ以上を実施するようにコンピューティングシステムを構成してもよい。
【0095】
それに加えて、本明細書に記載するモジュールの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態へと変換してもよい。例えば、本明細書に列挙されるモジュールの1つ以上は、変換されるセキュリティに関連するテレメトリデータを受信し、セキュリティに関連するテレメトリデータを変換し、変換の結果を標的型攻撃タクソノミーとして出力し、標的型攻撃を識別するのに変換の結果を使用し、今後使用するために変換の結果を格納してもよい。それに加えて、又は別の方法として、本明細書に列挙されるモジュールの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、並びに/あるいは別の方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの他の任意の部分を、1つの形態から別の形態へと変換してもよい。
【0096】
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を他の当業者が最良に利用するのを可能にするために提供されてきた。この例示的な記載は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
【0097】
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(即ち、他の要素若しくは構成要素を介する)の両方を許容するものとして解釈されるものである。それに加えて、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈されるものである。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と互換性があり、同じ意味を有する。