ホーム > 特許ランキング > Logpresso Inc.
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022037896
(43)【公開日】2022-03-09
(54)【発明の名称】脅威対応自動化方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20220302BHJP
【FI】
G06F21/55
【審査請求】有
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2021121973
(22)【出願日】2021-07-26
(31)【優先権主張番号】10-2020-0106709
(32)【優先日】2020-08-25
(33)【優先権主張国・地域又は機関】KR
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
2.Linux
(71)【出願人】
【識別番号】521328607
【氏名又は名称】ログプレッソ インコーポレイテッド
【氏名又は名称原語表記】Logpresso Inc.
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】230118913
【弁護士】
【氏名又は名称】杉村 光嗣
(74)【代理人】
【識別番号】100211395
【弁理士】
【氏名又は名称】鈴木 裕貴
(72)【発明者】
【氏名】ヤン ボンヨル
(57)【要約】 (修正有)
【課題】脅威対応自動化方法、コンピュータプログラム及び記録媒体を提供する。
【解決手段】脅威対応自動化方法において、脅威探知モジュールは、単位セキュリティシステムからセキュリティ関連データを受信し、脅威探知モジュールは、データに基づいて脅威探知結果であるチケットを生成し、チケット管理モジュールは、ワークフローモジュールにチケット分析及び対応を要求し、プラグインプログラムモジュールは、単位セキュリティシステム又は外部セキュリティサービスのAPIを呼び出し、ワークフローモジュールは、呼び出された単位セキュリティシステム又は外部セキュリティサービスのAPI通信によってタスクを実行する。タスクは、調査タスク、隔離タスク、通知タスク及び事後措置タスクのうちの少なくともいずれか一つを含む。
【選択図】図2
【解決手段】脅威対応自動化方法において、脅威探知モジュールは、単位セキュリティシステムからセキュリティ関連データを受信し、脅威探知モジュールは、データに基づいて脅威探知結果であるチケットを生成し、チケット管理モジュールは、ワークフローモジュールにチケット分析及び対応を要求し、プラグインプログラムモジュールは、単位セキュリティシステム又は外部セキュリティサービスのAPIを呼び出し、ワークフローモジュールは、呼び出された単位セキュリティシステム又は外部セキュリティサービスのAPI通信によってタスクを実行する。タスクは、調査タスク、隔離タスク、通知タスク及び事後措置タスクのうちの少なくともいずれか一つを含む。
【選択図】図2
【特許請求の範囲】
【請求項1】
脅威探知モジュールと、チケット管理モジュールと、ワークフローモジュールと、プラグインプログラムモジュールとを含む脅威対応自動化装置が実行する脅威に対応の自動化方法において、
脅威探知モジュールが、単位セキュリティシステムからセキュリティ関連データを受信する第1ステップと、
脅威探知モジュールが、前記データに基づいて脅威探知結果であるチケットを生成する第2ステップと、
チケット管理モジュールが、ワークフローモジュールにチケット分析及び対応を要求する第3ステップと、
プラグインプログラムモジュールが、単位セキュリティシステム又は外部セキュリティサービスのAPIを呼び出す第4ステップと、
ワークフローモジュールが、呼び出された単位セキュリティシステム又は外部セキュリティサービスのAPI通信によってタスクを実行する第5ステップと、
を含み、
前記タスクは、調査タスク、隔離タスク、通知タスク、及び事後措置タスクのうちの少なくともいずれか一つを含み、
調査タスクは、IPレピュテーション照会、資産情報照会、WHOIS照会、GEOIP照会、URL照会、HASH照会、サンドボックス分析、及び既存の警報照会のうちの少なくともいずれか一つであり、
隔離タスクは、アカウントの非アクティブ化、IPブロック、HASHブロック、URLブロック、及びドメインブロックのうちの少なくともいずれか一つである、
脅威対応自動化方法。
脅威探知モジュールが、単位セキュリティシステムからセキュリティ関連データを受信する第1ステップと、
脅威探知モジュールが、前記データに基づいて脅威探知結果であるチケットを生成する第2ステップと、
チケット管理モジュールが、ワークフローモジュールにチケット分析及び対応を要求する第3ステップと、
プラグインプログラムモジュールが、単位セキュリティシステム又は外部セキュリティサービスのAPIを呼び出す第4ステップと、
ワークフローモジュールが、呼び出された単位セキュリティシステム又は外部セキュリティサービスのAPI通信によってタスクを実行する第5ステップと、
を含み、
前記タスクは、調査タスク、隔離タスク、通知タスク、及び事後措置タスクのうちの少なくともいずれか一つを含み、
調査タスクは、IPレピュテーション照会、資産情報照会、WHOIS照会、GEOIP照会、URL照会、HASH照会、サンドボックス分析、及び既存の警報照会のうちの少なくともいずれか一つであり、
隔離タスクは、アカウントの非アクティブ化、IPブロック、HASHブロック、URLブロック、及びドメインブロックのうちの少なくともいずれか一つである、
脅威対応自動化方法。
【請求項2】
第4ステップにおいて、プラグインプログラムモジュールが、単位セキュリティシステム又は外部セキュリティサービスのAPIをクエリで呼び出す、
請求項1に記載の脅威対応自動化方法。
請求項1に記載の脅威対応自動化方法。
【請求項3】
各チケットのワークフローインスタンスは、侵害インジケータ変数と一般変数とを含み、
各タスクは、一般変数空間への入出力を行う、
請求項1又は請求項2に記載の脅威対応自動化方法。
各タスクは、一般変数空間への入出力を行う、
請求項1又は請求項2に記載の脅威対応自動化方法。
【請求項4】
前記脅威対応自動化装置がAI学習モジュールをさらに含み、
AI学習モジュールが、
一般変数から抽出されたカテゴリ型変数と数値型変数、及び侵害インジケータの各モジュールに対する悪性可否の判断のうちの少なくともいずれか一つを学習モデルの入力特徴として受信する第6ステップをさらに含む、
請求項3に記載の脅威対応自動化方法。
AI学習モジュールが、
一般変数から抽出されたカテゴリ型変数と数値型変数、及び侵害インジケータの各モジュールに対する悪性可否の判断のうちの少なくともいずれか一つを学習モデルの入力特徴として受信する第6ステップをさらに含む、
請求項3に記載の脅威対応自動化方法。
【請求項5】
AI学習モジュールが、前記入力特徴と、アナリストが入力した応答結果とを学習用データとして蓄積する第7ステップと、
AI学習モジュールが、第7ステップで蓄積された学習用データで指導学習を行い、AI学習モデルを生成する第8ステップと、
ワークフローモジュールが、前記学習モデルに従って脅威があるか否かを判断し、脅威対応を行う第9ステップと、をさらに含む、
請求項4に記載の脅威対応自動化方法。
AI学習モジュールが、第7ステップで蓄積された学習用データで指導学習を行い、AI学習モデルを生成する第8ステップと、
ワークフローモジュールが、前記学習モデルに従って脅威があるか否かを判断し、脅威対応を行う第9ステップと、をさらに含む、
請求項4に記載の脅威対応自動化方法。
【請求項6】
コンピュータに、請求項1又は請求項2に記載のステップを実行させるためのプログラムを記録した、コンピュータ読み取り可能な記録媒体。
【請求項7】
コンピュータに、請求項1又は請求項2に記載のステップを実行させるために媒体に保存されたコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、脅威対応自動化方法に係り、さらに詳しくは、セキュリティアナリストの攻撃判断及びブロック(遮断)措置判断をAIに基づいて自動化する方法に関する。
【背景技術】
【0002】
COVID-19は、デジタル化、そして非対面化の速度を加速化させており、それに応じて、オンラインネットワークに接続される装置の数と、そのような装置から発生するトラフィックの量とが急激に増加している。又はッキング技術とセキュリティ技術の競争により、セキュリティ管制システムと接続される単位セキュリティシステムの類型と数も急増している。このような状況により、統合セキュリティ管制プラットフォームに流入するセキュリティ関連データ、例えば、セキュリティログ、アプリケーションログの数が爆発的に増えており、セキュリティアナリストが分析して対応しなければならない脅威警報の数が過度に増えている。
【0003】
従来のSIEMのようなセキュリティ管制システムは、統計分析、相関分析、異常探知などの様々な方法を用いて、実際に侵害の可能性が高い脅威を分類することにより、セキュリティアナリストが対応できるレベルまで脅威警報を最小化してはいるが、この場合は、侵害の可能性がある脅威が必然的に排除される可能性があるため、セキュリティ脅威への対応を不可能にするおそれがある。従来のセキュリティ管制システムでは、セキュリティアナリストが分析して対応を決定する必要があるが、脅威の探知後にブロックなどの対応措置が完了するまでのMTTR(Mean Time to Respond)が長いため、セキュリティ脅威が成功的に探知されても対応措置が遅延し、データの破壊又は情報流出などの被害が発生する可能性が高かった。
【0004】
従来のセキュリティ管制システムは、主に一方向のログデータ受信に依存していたが、通常SYSLOGやSNMP等によって収集されたセキュリティログは発生件数が非常に多く、パケット長が制限されているため、十分な情報を担持できないという限界がある。最近、管理コンソールやAPIを通じて実際の侵害が存在するか否かを判断するのに必要な様々な分析情報を提供するセキュリティソリューションが多数開発され、発売されている。ただし、このようなセキュリティソリューションを用いる場合にも、セキュリティ管制システムが受信する情報が制限されるため、セキュリティ管制システムが探知すると、セキュリティアナリストが毎回関連セキュリティソリューションにログインし、脅威源を検索してバイナリ行為分析やトラフィックのメタデータを確認する過程を経なければならない限界がある。したがって、セキュリティ管制システムを通じて侵害分析と対応ポイントを一元化するという目的を達成できず、攻撃の正/誤探知やブロック有無を判断するのに必要な根拠資料収集のためにセキュリティアナリストの時間を使いすぎるという問題がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】韓国特許第10-2090757号(2020年3月19日登録公告)
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、前述した従来技術の問題を解決するためのもので、収集した脅威分析情報、脆弱性情報、資産情報及びアナリストの判断内容を学習して、セキュリティアナリストの判断を補助したり、信頼したりできる脅威対応自動化方法を提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明による脅威対応自動化方法は、脅威探知モジュールと、チケット管理モジュールと、ワークフローモジュールと、プラグインプログラムモジュールとを含む脅威対応自動化装置が実行し、脅威探知モジュールが、単位セキュリティシステムからセキュリティ関連データを受信する第1ステップと、脅威探知モジュールが、前記データに基づいて脅威探知結果であるチケットを生成する第2ステップと、チケット管理モジュールが、ワークフローモジュールにチケット分析及び対応を要求する第3ステップと、プラグインプログラムモジュールが、単位セキュリティシステム又は外部セキュリティサービスのAPIを呼び出す第4ステップと、ワークフローモジュールが、呼び出された単位セキュリティシステム又は外部セキュリティサービスのAPI通信によってタスクを実行する第5ステップと、を含む。
【0008】
前記タスクは、調査タスク、隔離タスク、通知タスク、及び事後措置タスクのうちの少なくともいずれか一つを含み、調査タスクは、IPレピュテーション照会、資産情報照会、WHOIS照会、GEOIP照会、URL照会、HASH照会、サンドボックス分析、及び既存の警報照会のうちの少なくともいずれか一つであり、隔離タスクは、アカウントの非アクティブ化、IPブロック、HASHブロック、URLブロック、及びドメインブロックのうちの少なくともいずれか一つである。
【0009】
プラグインプログラムモジュールは、単位セキュリティシステム又は外部セキュリティサービスのAPIをクエリで呼び出してもよい。
【0010】
各チケットのワークフローインスタンスは、侵害インジケータ変数と一般変数とを含んでもよく、各タスクは、一般変数空間への入出力を行ってもよい。
【0011】
前記脅威対応自動化装置は、AI学習モジュールをさらに含んでもよい。
【0012】
AI学習モジュールが、一般変数から抽出されたカテゴリ型変数と数値型変数、及び各侵害インジケータの各モジュールに対する悪性可否の判断のうちの少なくともいずれか一つを学習モデルの入力特徴として受信する第6ステップを行ってもよい。
【0013】
AI学習モジュールが、前記入力特徴と、アナリストが入力した応答結果とを学習用データとして蓄積する第7ステップと、AI学習モジュールが、第7ステップで蓄積された学習用データで指導学習を行い、AI学習モデルを生成する第8ステップと、ワークフローモジュールが、前記学習モデルに従って脅威があるか否かを判断し、脅威対応を行う第9ステップと、を行ってもよい。
【0014】
本発明による脅威対応自動化方法は、コンピュータ読み取り可能な媒体に保存されたコンピュータプログラムにより行ってもよい。
【発明の効果】
【0015】
本発明によれば、セキュリティアナリストの手動分析に頼ることなく、セキュリティ脅威に対する対応を自動化することができるので、セキュリティ脅威に対する迅速かつ正確な対応が可能となるという効果がある。
【図面の簡単な説明】
【0016】
【図1】本発明による脅威対応自動化方法が実行される環境の一例を示す図である。
【図2】本発明による脅威対応自動化方法のフローチャートである。
【図3】本発明による脅威対応自動化方法を実行する電子演算装置の一例のブロック図である。
【発明を実施するための形態】
【0017】
本明細書で行う情報(データ)伝送/受信過程は、必要に応じて、暗号化/復号化が適用されてよく、本明細書及び特許請求範囲で情報(データ)伝送過程を説明する表現は、格別に言及しなくても、全て暗号化/復号化する場合も含むものとして解釈されるべきである。本明細書で「AからBに伝送(伝達)」又は「AがBから受信」というような形態の表現は、中間に別の媒介体が含まれて伝送(伝達)又は受信されることも含み、必ずしもAからBに直接伝送(伝達)又は受信されることのみを表現するものではない。本発明の説明において、各ステップの順番は、先行ステップが論理的及び時間的に必ずしも後行ステップの前に行われなければならない場合ではなければ、各ステップの順番は非制限的に理解されるべきである。即ち、上記のような例外的な場合を除いては、後行ステップとして説明された過程が先行ステップとして説明された過程より前に行われたとしても、発明の本質には影響がなく、権利範囲もステップの順番によらず定義されるべきである。そして、本明細書で「A又はB」と記載したのは、AとBのうちいずれかを選択的に指すだけでなく、AとBの両方を含むことも意味するものとして定義される。なお、本明細書で「含む」という用語は、含むものとして並び立てられた要素の他に、更に別の構成要素を更に含むことも包括する意味を有する。
【0018】
本明細書において「モジュール」又は「ユニット」とは、汎用的なハードウェアとその機能を実行するソフトウェアの論理的な結合を意味する。
【0019】
本明細書においては、本発明の説明に必要な構成要素のみを説明し、本発明の本質に関係のない構成要素については、言及しない。そして、言及される構成要素のみを含む排他的な意味として解釈されてはならず、他の構成要素も含むことができる非排他的な意味として解釈されるべきである。
【0020】
本発明による方法は、コンピュータ、タブレットPC、携帯電話、携帯用演算装置、固定式の演算装置などの電子演算装置により実行されてもよい。また、本発明の1つ又は複数の方法又は形態が少なくとも一つのプロセッサにより実行できるという点が理解されるべきである。プロセッサは、コンピュータ、タブレットPC、モバイル機器、携帯演算装置などにインストールされてもよい。このような装置に、コンピュータプログラム命令を保存するためのメモリがインストールされ、メモリに保存されたプログラム命令をプロセッサが実行するように特別にプログラムされて、一つ又はそれ以上の、本明細書に記載されたプロセッサを実行することができる。また、本明細書に記載された情報及び方法などは、一つ又はそれ以上の追加の構成要素とプロセッサを含むコンピュータ、タブレットPC、モバイル機器、携帯用演算装置等により実行できるという点が理解されるべきである。また、制御ロジックは、プロセッサ、制御部/制御ユニットなどによって実行される実行可能なプログラム命令を含む不揮発性のコンピュータ読み取り可能な媒体で実現できる。コンピュータ読取可能な媒体の例としては、ROM、RAM、CD?ROM、磁気テープ、フロッピーディスク、フラッシュドライブ、スマートカード、および光学データ保存装置等が挙げられるが、これらに限定されない。また、コンピュータ読取可能な記録媒体は、ネットワークで接続されたコンピュータに分散されて、コンピュータ読取可能な媒体が分散された方法、例えば、リモートサーバ又はCAN(Controller Area Network)によって分散された方式で保存され実行されてもよい。
【0021】
本発明の各ステップを実行する電子演算装置の一例が図3に示されている。図3に示すように、電子演算装置309は、プロセッサ例えば、中央処理ユニット(CPU)310と、メモリ320と、有線又は無線通信ユニット330と、少なくとも1つの入力ユニット340と、少なくとも一つの出力ユニット350と、を含むが、含まれている構成要素は、列挙された構成要素に制限されるものではない。図3に示す構造は、単に説明の目的のために単純化されて提供されるものということを理解しなければならない。電子演算装置309の構造は、後述する特許請求の範囲に基づいて当業者によって適切な方法で変更されてもよい。また、電子演算装置309の各構成要素もまた、後述する特許請求の範囲に基づいて当業者によって適切な方法で変更されてもよい。したがって、図3に示す装置の構造は、単に例示的であり、本発明の権利範囲を制限するものと解釈されてはならない。
【0022】
プロセッサ310は、電子演算装置309の作動を制御することができる。より詳しくは、プロセッサ310は、図3に示すような電子演算装置309にインストールされた複数の構成要素を制御し、相互作用するように作動できる。例えば、メモリ320は、プロセッサ310によって実行されるプログラム命令やデータを保存できる。本明細書で説明するプロセス(ステップ)は、プロセッサ310を実行するためにメモリ320にプログラム命令語の形で保存されてもよい。通信ユニット330は、電子演算装置109が、通信ネットワークを介して少なくとも1つの外部装置にデータを伝送するか、少なくとも1つの外部装置からデータを受信することを可能にする。入力ユニット340は、電子演算装置309がオーディオ/ビデオ入力、ユーザの入力、データ入力などの様々な形態の入力を受信することを可能にする。このような目的のため、入力ユニット340は、様々な形態の入力を受け付けるために、例えば、少なくとも一つのカメラ342(すなわち、「画像(イメージ)取得ユニティ」)、タッチパネル344、マイク((図示せず))、センサ346、キーボード、マウス、少なくとも一つのボタンやスイッチ(図示せず)などの様々な入力装置を含んでいてもよい。本明細書で使用される「画像取得ユニット」とは、カメラ342を指してもよいが、それに制限されるものではない。出力ユニット350は、ユーザに見えるようにディスプレイスクリーン352に情報を表示できる。ディスプレイスクリーン352は、公知の様々なメカニズムを介してユーザタッピング(tapping)やスクリーン352を押すことなどの少なくとも1つの入力を受け付けるように構成されてもよい。出力ユニット350は、光源354をさらに含んでいてもよい。電子演算装置309は、単一の装置として示されているが、使用中に互いに接続及び相互作用できる多重の別個の装置で構成されてもよい。
【0023】
本明細書で説明する例示的な実施形態は、本明細書に開示開示されている装置の構造、機能、製造、及び用途と方法の原理についての全体的な理解を提供する。このような一つ以上の実施形態が添付図面に示されている。当業者であれば、ここに具体的に記載されて添付図面に示されている装置および方法が非限定的で例示的な実施形態であり、本発明の権利範囲は特許請求の範囲によって定義されることを理解する筈である。一つの例示的な実施形態に関連して示され説明されている特徴は、他の実施形態の特徴と組み合わせることができる。このような修正(modification)又は変更(variation)は、本発明の権利範囲に含まれることを意図している。
【0024】
図1には、本発明による脅威対応自動化方法を実行するプラットフォーム1の構造及び外部装置が示されている。
【0025】
本発明による脅威対応自動化方法を実行するプラットフォーム1は、脅威探知モジュール20と、チケット管理モジュール30と、ワークフローモジュール50と、ブロック連動管理ローモジュール60と、タスク管理者70と、プラグインプログラムモジュール(80-1、80-2、...、80-N)と、を含む。
【0026】
単位セキュリティシステム10は、ファイアウォール(防火壁)、Webウェブファイアウォール(WAF)、侵入検知システム(IDS)、侵入防御システム(IPS)、アンチウイルスなどのネットワーク及びシステム階層別の単位セキュリティ機能を提供する構成要素を意味し、脅威探知時にログを発生させる。
【0027】
脅威探知モジュール20は、単位セキュリティシステム10からセキュリティログを受信し、標準化を行い、パターンマッチング、同一データ縮約、異機種データ(heterogeneous data)のリアルタイムのイベント相関分析、統計的相関分析、マシンラーニングに基づく異常探知などの様々な方法で脅威を分析、探知してチケットを生成する。
【0028】
チケット管理モジュール30は、探知された脅威に関連する根拠の内訳を保存し、脅威分析及び対応責任を有するセキュリティチームの担当者に新しいチケットを割り当て、チケットの発生を電子メール、テキストメッセージなどで通知する。チケット管理モジュール30は、チケットに割り当てられた脅威のタイプに応じて、ワークフローモジュール50に対して、事前に指定されたワークフローの実行を要求する。
【0029】
ワークフローモジュール50は、事前に定義されたワークフローに応じてタスクを実行する。
【0030】
ブロック連動管理ローモジュール60は、IPブラックリスト、ドメインブラックリスト、HASHブラックリスト、及びURLブラックリストを含む。ブロック連動管理ローモジュール60のブラックリストは、イベントが発生する際に、リアルタイムで、又は不定期に、又は定期的に更新され得る。タスク管理者70は、調査タスク71、隔離タスク72、通知タスク73、及び事後措置タスク74を含み得る。タスクの種類をさらに含んでもよく、一部のタスクを除外してもよい。
【0031】
調査タスク71は、例えば、IPレピュテーション照会、資産情報照会、WHOIS照会、GEOIP照会、URL照会、HASH照会、サンドボックス分析、既存の警報照会、EDRホストスキャン等を含んでいてもよい。
【0032】
IPレピュテーション照会は、内部で接続したパブリックIPが、他の組織で攻撃履歴を持つ悪意のあるIP(悪性IP)か否かを照会することである。具体的には、チケットに含まれているIPアドレスリストを自動的に抽出し、プラグインプログラムモジュールを介してセキュリティソリューションのAPIを呼び出すことで照会することができる。
【0033】
資産情報照会は、侵害が疑われるホストの情報を確認し、ネットワークブロックに対する危険性を評価することである。たとえば、重要なサービスIPを隔離すると、対顧客障害が発生する可能性がある。アクティブディレクトリベースのインフラストラクチャを運用する場合、LDAPプロトコルを使用してディレクトリで資産情報を自動的に照会することができ、単位セキュリティシステム10としてNAC96を構築した場合、プラグインプログラムモジュールを使用してDBやAPIを呼び出して資産情報を照会することができる。
【0034】
WHOIS照会では、脅威の可能性があると判断されたドメインやIPの情報を照会する。照会される情報のうち重要なのは、ドメイン登録日時(Creation Date)である。目的のある悪性コード(悪意のあるコード)は、攻撃者が制御するサーバに接続する必要がある。ネットワーク上での固定ドメインやIPは簡単にブロックできるため、多くの場合、意味のない文字列を持つドメインは一時的に登録され、短時間で使用され、廃棄される。したがって、最近作成されたドメインであるか、古いドメインであるかを照会し、万が一正常なレピュテーション(評判)を持つ古いドメインが潜在的な脅威を持っていると判断されれば、ドメインのインフラストラクチャが侵害されており、攻撃に悪用されていることが分かる。
【0035】
GEOIP照会は、IPアドレスが属する地域情報を照会することである。代表的にマックスマインド(Maxmind)社が提供するサービスである。例えば、国内地域だけで勤務する役職員がVPN(Virtual Private Network)で海外からアクセスしようとした場合、これを侵害の試みとして判断でき、GEOIP照会を通じて確認できる。
【0036】
URL照会は、特定のURLのレピュテーションを照会することである。例えば、ウイルストータルのサイト(www.virustotal.com)又はAPIを介してURLレピュテーションを照会できる。
【0037】
HASH照会は、バイナリハッシュが既知のバイナリであるか、悪意のあるバイナリであるかを照会することである。例えば、チケットに含まれているハッシュ、例えば、MD5ハッシュのリストを自動的に抽出し、プラグインプログラムモジュールを介してセキュリティソリューションのAPIを呼び出すことで分析する。
【0038】
サンドボックス分析は、疑わしいバイナリをサンドボックスソリューションで実行して行動分析レポートを確認することである。分析する行為には、プロセスの実行、レジストリの記録、ファイルのドロップなどがある。このようなサービスを提供する外部のセキュリティソリューションには、Cisco Threat Grid、Joe Sandboxなどがある。
【0039】
EDRホストスキャンは、同じバイナリが他のホストでも見つかったかどうか、インストール又は伝播の内訳を確認する作業であり、EDRサーバを通じて、EDRエージェントがインストールされたすべてのホストに対して、ファイル検索コマンドを自動的に発行し、検索結果を非同期的に収集することができる。
【0040】
隔離タスク72は、例えば、脅威要素と判断されたアカウントの非アクティブ化、IPブロック、HASHブロック、URLブロック、ドメインブロックを含んでいてもよい。ブロックが実行されると、ブロック連動管理ローモジュール60のブラックリストを、当該情報を用いて更新し得る。
【0041】
通知タスク73は、関係者に脅威を通知する作業であり、例えば、電子メール、テキストメッセージなどを通じて実行され、SlackやJANDIなどのコラボレーションソリューション(協業ソリューション)を通じた通知も可能である。通知を実行するときは、必要に応じて通知の優先順位を調整できる。
【0042】
事後措置タスク74は、例えば、ホワイトリスト、悪性コードの除去、ブラックリスト登録、対応レポートの作成及びIoC情報共有などを含んでいてもよい。
【0043】
プラグインプログラムモジュール(80-1、80-2、...、80-N)は、各種外部セキュリティサービス90及び/又は単位セキュリティシステム10、例えば、NAC96又はファイアウォール97とのリモートAPI通信が可能である。それぞれのセキュリティソリューションやセキュリティユニットごとに脅威の探知に必要なAPI通信を行えるように個別に提供されてもよく、単一のプラグインプログラムモジュールに複数のセキュリティソリューション乃至セキュリティユニットとAPI通信を行えるように提供されてもよい。
【0044】
本明細書において「セキュリティサービス」とは、従来の技術でセキュリティと関連する基本データ(例えば、ログデータ)に基づいて、脅威が探知された後、セキュリティアナリストがアクセスして実際に侵害されているか否かを判断するのに使用する追加の外部セキュリティインテリジェンスサービスを意味する。このようなセキュリティサービスの例としては、ウイルストータル、AlientVault OTX、AbuseIPDB、Abuse.ch、SKインフォセック社の脅威インテリジェンス(Secudium Intelligence)、NSHC社のThreatRecon、セントセキュリティ(Saint Security)社のmalwares.comなどがある。
【0045】
単位セキュリティシステム10の例としては、、ファイアウォール、侵入検知システム(IDS)、侵入防御システム(IPS)、Webファイアウォール(WAF)、DDos防御、APT防御、スパムメールブロックシステム、無線侵入防御システム(WIPS)、セキュアWebゲートウェイ(SWG)、アンチウイルス、メディアコントロール(媒体制御)、DRM、データ漏洩防止(DLP)、アプリ偽変造防止、セキュリティUSB、OTP、DBアクセス制御、DB暗号化、Webシェルブロック、暗号化キー管理、ネットワーク接続機器、アクセス制御、ネットワーク脆弱性診断、ソースコード脆弱性診断、PC個人情報検出、個人情報モニタリング、サーバ個人情報検出、Windows権限昇格の管理、パッチ管理などがある。
【0046】
次に、図2を参照して、本発明による脅威探知対応自動化方法について説明する。
【0047】
脅威探知モジュール20は、単位セキュリティシステム10が生成したセキュリティデータ、例えば、警報ログを受信する(ステップ200)。
【0048】
次のようなログデータを例として説明する。次のログデータは、SNIPER IPSというセキュリティシステムがUDP SYSLOGプロトコルを使用して発生させたログデータである。
【0049】
[SNIPER-0005]
[Attack_Name=30076UDR_ATTACK_MYSQL_login_success_1269_120323]、[Time=2014/12/12 14:33:46]、[Hacker=175.126.56.99]、[Victim=10.202.215.101]、[Protocol=tcp/3306]、[Risk=Medium]、[Handling=Alarm]、[Information=]、[SrcPort=59939]、[HackType=02401]
[Attack_Name=30076UDR_ATTACK_MYSQL_login_success_1269_120323]、[Time=2014/12/12 14:33:46]、[Hacker=175.126.56.99]、[Victim=10.202.215.101]、[Protocol=tcp/3306]、[Risk=Medium]、[Handling=Alarm]、[Information=]、[SrcPort=59939]、[HackType=02401]
【0050】
前記ログデータは、本発明によるプラットフォーム1で処理できるように、以下のフィールド構成で正規化(標準化)できる。正規化は、脅威探知モジュール20によって行われてもよく、脅威探知モジュール20とは別に提供される正規化モジュール(図示せず)によって行われてもよい。
【0051】
_time=2014-12-12 14:33:46(時刻、日付タイプ)
src_ip=175.126.56.99(送信元IP、IPアドレスタイプ)
src_port=59939(送信元ポート、32ビット整数タイプ)
dst_ip=10.202.215.101(宛先IPアドレス、IPアドレスタイプ)
dst_port=3306(宛先ポート、32ビット整数タイプ)
protocol=TCP(プロトコル、文字列タイプ)
action=DETECT(対応、文字列タイプ)
risk=MEDIUM(危険度、文字列タイプ)
signature(30076)UDR_ATTACK_MYSQL_login_success_1269_120323(攻撃名、文字列タイプ)
src_ip=175.126.56.99(送信元IP、IPアドレスタイプ)
src_port=59939(送信元ポート、32ビット整数タイプ)
dst_ip=10.202.215.101(宛先IPアドレス、IPアドレスタイプ)
dst_port=3306(宛先ポート、32ビット整数タイプ)
protocol=TCP(プロトコル、文字列タイプ)
action=DETECT(対応、文字列タイプ)
risk=MEDIUM(危険度、文字列タイプ)
signature(30076)UDR_ATTACK_MYSQL_login_success_1269_120323(攻撃名、文字列タイプ)
【0052】
ステップ205において、脅威探知モジュール20は、脅威シナリオに応じて脅威を探知し、探知された脅威結果に対するチケットを生成する。
【0053】
正規化されたセキュリティデータの入力を受けた脅威探知モジュール20は、イベントとチケットを発生させる。イベントは、以下のフォーマットで標準化できる。
【0054】
_time:日付タイプ、時刻
guid:文字列タイプ、イベント固有識別子
ticket_guid:文字列タイプ、チケット固有識別子
logger_id:32ビット整数タイプ、コレクタ識別子
logger_name:文字列タイプ、コレクタ名
priority:文字列タイプ、重要度(LOW、MEDIUM、HIGH)
rule_type:文字列タイプ、探知シナリオタイプ(STREAM-リアルタイム、BATCH-バッチ)
rule_id:32ビット整数タイプ、探知シナリオ固有識別子
user:文字列タイプ、ユーザアカウント
src_ip:IPアドレスタイプ、送信元IP
src_port:32ビット整数タイプ、送信元ポート
dst_ip:IPアドレスタイプ、宛先IP
dst_port:32ビット整数タイプ、宛先ポート
protocol:文字列タイプ、プロトコル(TCP/UDP/ICMP/IGMP)
src_country:文字列タイプ、送信元ISO-2国コードUS、KRなど
dst_country :文字列タイプ、宛先ISO-2国コード
action:文字列タイプ、対応DETECT、BLOCKなど
msg:文字列タイプ、イベントメッセージ
guid:文字列タイプ、イベント固有識別子
ticket_guid:文字列タイプ、チケット固有識別子
logger_id:32ビット整数タイプ、コレクタ識別子
logger_name:文字列タイプ、コレクタ名
priority:文字列タイプ、重要度(LOW、MEDIUM、HIGH)
rule_type:文字列タイプ、探知シナリオタイプ(STREAM-リアルタイム、BATCH-バッチ)
rule_id:32ビット整数タイプ、探知シナリオ固有識別子
user:文字列タイプ、ユーザアカウント
src_ip:IPアドレスタイプ、送信元IP
src_port:32ビット整数タイプ、送信元ポート
dst_ip:IPアドレスタイプ、宛先IP
dst_port:32ビット整数タイプ、宛先ポート
protocol:文字列タイプ、プロトコル(TCP/UDP/ICMP/IGMP)
src_country:文字列タイプ、送信元ISO-2国コードUS、KRなど
dst_country :文字列タイプ、宛先ISO-2国コード
action:文字列タイプ、対応DETECT、BLOCKなど
msg:文字列タイプ、イベントメッセージ
【0055】
複数のイベントを一つのチケットにN:1としてマッピングでき、複数のイベントを一つのチケットに削減できる。前記イベントに対して、脅威探知モジュール20は、以下の内容のチケットを生成してもよい。
【0056】
時刻:2014-12-12 14:33:46
重要度:MEDIUM
探知シナリオタイプ:アカウント侵害
探知シナリオ名:認可されていないDB接続試行
データソース:SNIPER IPS#1
送信元IP:175.126.56.99
送信元ポート::59939
宛先IPアドレス:10.202.215.101
宛先ポート:3306
プロトコル:TCP
発生回数:1
アカウント:なし
メッセージ:30076UDR_ATTACK_MYSQL_login_success_1269_120323
重要度:MEDIUM
探知シナリオタイプ:アカウント侵害
探知シナリオ名:認可されていないDB接続試行
データソース:SNIPER IPS#1
送信元IP:175.126.56.99
送信元ポート::59939
宛先IPアドレス:10.202.215.101
宛先ポート:3306
プロトコル:TCP
発生回数:1
アカウント:なし
メッセージ:30076UDR_ATTACK_MYSQL_login_success_1269_120323
【0057】
探知シナリオタイプでは、脅威を「Exploit試み」、「悪性コード感染」、「アカウント奪取」に分類し、それに伴うワークフローを定義する。脅威探知によりチケットが生成されると、送信元IP:ポート、宛先IP:ポート、プロトコル、アカウント、ドメイン、URL、HASHなどの標準化されたフィールドを、セキュリティ関連基本データから抽出することができる。
【0058】
チケット管理モジュール30は、ワークフローモジュール50に対して、脅威の分析及び対応を要求し、ワークフローモジュール50は、チケットの脅威分類と、脅威に関連するインジケータ(IP、ドメイン、URL、HASHなど)とを抽出し(ステップ210)、脅威分類に対応するワークフローを実行する(ステップ215)。ワークフローは、調査、ブロック、隔離、通知、及び事後措置に該当する一連のタスクであり、相互依存関係がない場合は、タスクを並列に実行することができる。相互依存関係のあるタスクは、先行タスクの完了後に実行される必要がある。たとえば、特定のIPアドレスを攻撃者IPとして認識してブロック(遮断)するタスクに先立って、正/誤探知判別タスクを前もって実行する必要がある場合である。
【0059】
チケット管理モジュールは、脅威探知に関連するログとIPアドレス、ハッシュ、ドメイン、電子メールアドレス、レジストリキーなどのアーティファクトをまとめてチケットを生成する。チケットは、セキュリティ担当者の分析と対応を必要とする作業単位である。
【0060】
セキュリティ担当者は、チケット管理モジュールを通じて、特定のチケットに対する分析内訳を記録したり、ファイルをアップロードして添付したりできる。また、セキュリティ担当者は、脅威を分析する際、以前の類似チケットを検索して参照してもよい。通常、チケットは、新規、割り当て、処理中、決裁要求、承認又は拒否のステップを経て完了処理される。
【0061】
セキュリティ担当者がチケットを照会するとき、チケット管理モジュールは、チケットの脅威の種類に応じて、事前に定義されたワークフローのタスクと進行状況を表示することができる。
【0062】
チケット管理モジュール30は、チケットが生成されるときに、ワークフローモジュール50を介して、事前に定義されたワークフローを実行する。
【0063】
ワークフローモジュール50は、タスクを実行し、タスクの結果をチケットに収集する(ステップ220)。実行するタスクと収集結果は、次のとおりである。
【0064】
1.調査タスク
[IPレピュテーション照会]
送信元IP“175.126.56.99”についてAbuseIPDB、VirusTotalなどの脅威インテリジェンスサービス(外部セキュリティサービス)を照会した結果を自動的に収集する。この作業は、AbuseIPDB、VirusTotalそれぞれ共通のIP照会インタフェースをサポートするプラグインプログラムモジュールで実現される。プラグイン機能は、サービスがサポートするAPIを使用して実現できる。
[IPレピュテーション照会]
送信元IP“175.126.56.99”についてAbuseIPDB、VirusTotalなどの脅威インテリジェンスサービス(外部セキュリティサービス)を照会した結果を自動的に収集する。この作業は、AbuseIPDB、VirusTotalそれぞれ共通のIP照会インタフェースをサポートするプラグインプログラムモジュールで実現される。プラグイン機能は、サービスがサポートするAPIを使用して実現できる。
【0065】
前記照会タスクを実行すると、
-VirusTotal応答値(応答は178.156.202.86に対する例:疑い有無=悪性、レポート件数=3、国=RO、ASN=48874、ASの所有者=Hostmaze Inc、悪性URL=http://178.156.202.86:8080/syn(detected7/71、2019-07-04 04:41:59)、悪性コードハッシュ=07c7a954306ebe09c9a6980283711e319105d77d8857699b5fc0fab0a71068da、ドメイン=joindebo.com
-AbuseIPDB応答値:疑い有無=悪性、説明=Romania、score 100、レポート件数=47、国=Romania、攻撃の分類=Brute-Force、Blog Spam、Web Spam、Bad Web Bot、Exploited Host、Port Scan、Hacking 、Web App Attack
を得ることができる。
-VirusTotal応答値(応答は178.156.202.86に対する例:疑い有無=悪性、レポート件数=3、国=RO、ASN=48874、ASの所有者=Hostmaze Inc、悪性URL=http://178.156.202.86:8080/syn(detected7/71、2019-07-04 04:41:59)、悪性コードハッシュ=07c7a954306ebe09c9a6980283711e319105d77d8857699b5fc0fab0a71068da、ドメイン=joindebo.com
-AbuseIPDB応答値:疑い有無=悪性、説明=Romania、score 100、レポート件数=47、国=Romania、攻撃の分類=Brute-Force、Blog Spam、Web Spam、Bad Web Bot、Exploited Host、Port Scan、Hacking 、Web App Attack
を得ることができる。
【0066】
[資産情報照会]
宛先IP“10.202.215.101”についてNAC96を照会した結果を自動的に収集する。この例では、資産情報照会共通インタフェースをサポートするNACプラグインプログラムモジュールで実現できる。プラグイン機能は、メーカーがサポートするAPIを使用して実現できる。たとえば、次のような結果が得られる。
宛先IP“10.202.215.101”についてNAC96を照会した結果を自動的に収集する。この例では、資産情報照会共通インタフェースをサポートするNACプラグインプログラムモジュールで実現できる。プラグイン機能は、メーカーがサポートするAPIを使用して実現できる。たとえば、次のような結果が得られる。
【0067】
-ホスト名=KYLE、タイプ=サーバ、IP=10.202.215.101、MAC=AA:BB:CC:DD:EE:FF、プラットフォーム=Linux、ノードポリシー=基本ポリシー
【0068】
[GEOIP照会]
送信元IP“175.126.56.99”について、国、ASN、経緯度を照会する。GEOIP照会は、GEOIP照会サービスを提供する外部のセキュリティソリューション等とのAPI通信を可能にするプラグインプログラムモジュールで実現できる。前記送信元IPの位置情報を、次のように取得できる。
送信元IP“175.126.56.99”について、国、ASN、経緯度を照会する。GEOIP照会は、GEOIP照会サービスを提供する外部のセキュリティソリューション等とのAPI通信を可能にするプラグインプログラムモジュールで実現できる。前記送信元IPの位置情報を、次のように取得できる。
【0069】
-国=KR、緯度=37.511199951171875、経度=126.9740982055664、ASN=AS9318 SK Broadband Co Ltd
【0070】
[既存の警報照会]
既存の警報照会は、プラットフォーム1に保存されている既存の警報を照会して実行でき、例えば、次のような結果が得られる。
既存の警報照会は、プラットフォーム1に保存されている既存の警報を照会して実行でき、例えば、次のような結果が得られる。
【0071】
最近24時間の攻撃タイプ数=3、最近24時間の攻撃回数=8、最近一週間の攻撃タイプ数=5、最近一週間の攻撃回数=20
【0072】
2.隔離タスク
[正/誤探知の判断]
調査タスクで収集された情報を確認して正/誤探知の有無を判断する。
[正/誤探知の判断]
調査タスクで収集された情報を確認して正/誤探知の有無を判断する。
【0073】
-前記情報では、2つ以上の脅威インテリジェンスがすべて悪意のあるIPと診断されるため、攻撃がスパイである可能性が高い。
【0074】
-前記例の変数値と判断結果を集めて学習させると、正探知と誤探知を自動的に分類することができる。
【0075】
[ブロックするか否かの判断]
調査タスクで収集された情報を検討してブロックするか否かを決定する。
調査タスクで収集された情報を検討してブロックするか否かを決定する。
【0076】
-前記情報では、送信元IPが外部のIPであり(GEOIP照会により確認)、レピュテーション照会時に悪意があると確認されるので、ブロックを決定する可能性が高い。
【0077】
-前記例の変数値と判断結果を収集して学習させると、ブロックするか否かを自動的に分類することができる。
【0078】
[ブロックタスク]
ブロックするか否かの判断において、ブロックの決定が完了した後に実行される。
ブロックするか否かの判断において、ブロックの決定が完了した後に実行される。
【0079】
-ブロック用ブラックリストに送信元IPアドレスを自動的に追加する。
【0080】
-メーカー別プラグインの中でIPブロック機能を持っているものは、指定されたブロック用ブラックリストを監視し、IPが追加されると、機器にブロックIPアドレスを配信してポリシーを反映する。
【0081】
3.通知タスク
前記タスクの結果を電子メール又は前述した他の手段により関係者に通知する通知タスクを実行する。
前記タスクの結果を電子メール又は前述した他の手段により関係者に通知する通知タスクを実行する。
【0082】
ステップ225では、前述したタスクの結果からカテゴリ型変数及び数値型変数を収集する。カテゴリ型変数は、所定のタイプに分類できる変数を意味し、数値型変数は、数値で表現できる変数を指す。例えば、カテゴリ型変数と数値型変数は次のように分類できる。
【0083】
ウイルストータルサービスにおける「MD5レピュテーション照会」の際に、悪意があると診断されたアンチウイルスエンジンの数は?
-API応答結果:8(数値型変数)
-API応答結果:8(数値型変数)
【0084】
AbuseIPDBサービスにおける「IPレピュテーション照会」の際に、報告された攻撃試行の数は?
-API応答結果:98回(数値型変数)
-API応答結果:98回(数値型変数)
【0085】
AbuseIPDBサービスにおける「IPレピュテーション照会」の際に、悪意のあるIPと判断する確率は?
-API応答結果:37%(数値型変数)
-API応答結果:37%(数値型変数)
【0086】
「NAC資産情報照会」の際に資産情報の種類は?
-API応答結果:Webサーバ(カテゴリ型変数)
-API応答結果:Webサーバ(カテゴリ型変数)
【0087】
「サンドボックス分析の実行」の結果でホストファイルが改ざんされるか?
-API応答結果:yes(カテゴリ型変数)
-API応答結果:yes(カテゴリ型変数)
【0088】
「サンドボックス分析の実行」の結果で起動(ブート)時の自動実行に関連するレジストリを設定するか?
-API応答結果:yes(カテゴリ型変数)
-API応答結果:yes(カテゴリ型変数)
【0089】
このようにカテゴリ型変数と数値型変数を分類する理由は、侵害指標の各モジュールに対する悪性可否の判断を抽出し、後述するAI学習モデルの入力特性として使用するためである。各モジュールに対する悪性可否の判断を個別変数として分離する理由は、各外部セキュリティサービス(脅威インテリジェンス)の信頼性に違いがあるからである。
【0090】
ステップ230では、セキュリティアナリストが判定結果を入力する。入力された判定結果と入力特性をAI学習データとして蓄積する。ステップ235では、AIの学習、例えば、指導学習を実行する。セキュリティアナリストが入力した判定結果と入力特性に基づいて指導学習を実行し、指導学習の実行によりAIモデルが生成される(ステップ240)。
【0091】
AIモデルが生成されると、その後、ステップ220で収集されたタスク収集結果と、ステップ225で収集されたカテゴリ型変数及び数値型変数等とに基づいて対応措置を自動的に行うことができる。AIモデルは、指定周期又は不定期に再学習を行い、例えば、K-Fold Cross Validationなどの検証方法を用いて、既存のAIモデルよりも正確な場合には、既存のAIモデルを、再学習で生成されたAIモデルに置き換えて精度を向上させることができる。
【0092】
以上、添付図面を参照して本発明について説明したが、本発明の権利範囲は、後述する特許請求の範囲によって決定され、前述した実施形態及び/又は図面に限定されると解釈されてはならない。また、特許請求の範囲に記載された発明の、当業者にとって明らかな改良、変更、及び修正も本発明の権利範囲に含まれることを明確に理解しなければならない。
【符号の説明】
【0093】
10 単位セキュリティシステム
20 脅威探知モジュール
30 チケット管理モジュール
50 ワークフローモジュール
60 ブロック連動管理ローモジュール
70 タスク管理者
20 脅威探知モジュール
30 チケット管理モジュール
50 ワークフローモジュール
60 ブロック連動管理ローモジュール
70 タスク管理者
【図1】
【図2】
【図3】
