知財求人 - 知財ポータルサイト「IP Force」
▶ パロ アルト ネットワークス,インコーポレイテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-03-24
(45)【発行日】2023-04-03
(54)【発明の名称】相関関係駆動型脅威の評価と修復
(51)【国際特許分類】
H04L 12/66 20060101AFI20230327BHJP
H04L 12/22 20060101ALI20230327BHJP
G06F 21/55 20130101ALI20230327BHJP
G06F 21/57 20130101ALI20230327BHJP
【FI】
H04L12/66
H04L12/22
G06F21/55
G06F21/57 370
【請求項の数】
20
(21)【出願番号】P 2019563833
(86)(22)【出願日】2018-05-18
(65)【公表番号】
(43)【公表日】2020-07-16
(86)【国際出願番号】 US2018033504
(87)【国際公開番号】W WO2018213778
(87)【国際公開日】2018-11-22
【審査請求日】2021-05-18
(31)【優先権主張番号】62/508,298
(32)【優先日】2017-05-18
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】62/586,669
(32)【優先日】2017-11-15
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】517392861
【氏名又は名称】パロ アルト ネットワークス,インコーポレイテッド
【氏名又は名称原語表記】Palo Alto Networks,Inc.
【住所又は居所原語表記】3000 Tannery Way,Santa Clara,California 95054,United States of America
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100135079
【弁理士】
【氏名又は名称】宮崎 修
(72)【発明者】
【氏名】クラニング, マシュー
(72)【発明者】
【氏名】ヒオン, グレゴリー
(72)【発明者】
【氏名】トマン, パメラ
【審査官】佐々木 洋
(56)【参考文献】
【文献】米国特許出願公開第2013/0160119(US,A1)
【文献】特開2007-243338(JP,A)
【文献】特開2016-144153(JP,A)
【文献】米国特許第07979694(US,B2)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
H04L 41/00-101/695
G06F 21/55
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
組織が管理する内部ネットワークに対するセキュリティ脅威を識別するためのコンピュータ実装方法であって、前記方法が、現在前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスを識別するステップと、
前記内部ネットワークに対応するネットフローを取得するステップであって、
特定の時間間隔でインターネットを通過した全てのトラフィックを表すグローバルネットフローを取得すること、によるもの、および、
前記ネットフローを取得するために前記グローバルネットフローをフィルタリングすることであって、
(i)前記内部ネットワークから始まる前記グローバルネットフローにおける第1トラフィック、および、(ii)前記内部ネットワークを送信先とする前記グローバルネットフローにおける第2トラフィックを識別することにより、かつ、
前記第1トラフィックおよび前記第2トラフィックを、前記ネットフローとして精査されるように1つのデータセットへと統合することによるもの、であり、
前記ネットフローは、前記特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックを表す、
ステップと、
前記内部IPアドレスと前記内部ネットワーク上に現在存在しない外部IPアドレスとの間の通信を検出するために前記ネットフローを精査するステップと、
前記外部IPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスで実行されている前記サービスから前記応答を受信するステップと、
前記ネットフローと前記応答に基づいて前記内部ネットワークに対するリスクレベルを評価するステップであって、前記リスクレベルが、前記内部IPアドレスと前記外部IPアドレスとの間の前記通信によってもたらされる潜在的な害を表示する、ステップと、
を備える、コンピュータ実装方法。
【請求項2】
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)から取得される、請求項1に記載のコンピュータ実装方法。
【請求項3】
当該プローブするステップが、現在前記内部ネットワークの外部に存在する複数の外部IPアドレスの各外部IPアドレスに、別々のクエリを送信するステップを、
備える、請求項1に記載のコンピュータ実装方法。
【請求項4】
別個のクエリが、前記インターネットプロトコールバージョン4(IPv4)空間内に存在する各外部IPアドレスに、送信される、請求項3に記載のコンピュータ実装方法。
【請求項5】
別個のクエリが、前記インターネットプロトコールバージョン6(IPv6)空間内に存在する各外部IPアドレスに、送信される、請求項3に記載のコンピュータ実装方法。
【請求項6】
前記クエリが、前記外部IPアドレスに送信された複数のクエリの1つであり、そして前記複数のクエリの各クエリが、前記対応する外部IPアドレスで実行される複数のサービスの異なるサービスから応答を引出すように設計されている、請求項1に記載のコンピュータ実装方法。
【請求項7】
プロセッサによって実施されると、前記プロセッサに実行させる操作が、格納されている非一時的コンピュータ可読媒体であって、前記操作が、複数のソースから特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得するステップと、
組織に関連付けられている内部ネットワークについてローカルネットフローを取得するために前記グローバルネットフローをフィルタリングするステップであって、
(i)前記内部ネットワークから始まる前記グローバルネットフローにおける第1トラフィック、および、(ii)前記内部ネットワークを送信先とする前記グローバルネットフローにおける第2トラフィックを識別することにより、かつ、
前記第1トラフィックおよび前記第2トラフィックを、前記ローカルネットフローとして精査されるように1つのデータセットへと統合することによるもの、であり、
前記ローカルネットフローは、前記特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックを含む、
ステップと、
前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスと、前記内部ネットワークに存在しない外部IPアドレスとに関与する通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記内部IPアドレス、前記外部IPアドレス、または前記通信アクティビティに関与するデータパケットの特性に基づいて、前記通信アクティビティによって前記内部ネットワークにもたらされるリスクを評価するステップと、
を備える、非一時的コンピュータ可読媒体。
【請求項8】
前記通信アクティビティが、前記内部IPアドレスから前記外部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項9】
前記通信アクティビティが、前記外部IPアドレスから前記内部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、請求項7に記載に記載の非一時的コンピュータ可読媒体。
【請求項10】
前記特性が、前記データパケットのサイズである、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項11】
前記操作が、さらに、前記外部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから応答を受信するステップであって、不正アクセスに対して脆弱であると判断されたサービスが、前記外部IPアドレスで実行されているか否かを検出するために、当該評価するステップが、前記応答を分析するステップを備える、ステップと
を備える、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項12】
前記操作が、さらに、前記外部IPアドレスで実行されている特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記応答の受信に応じて、前記特定のサービスが、現在前記外部IPアドレスで実行されていると決定するステップと、
を備える、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項13】
前記操作が、さらに、前記内部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記内部IPアドレスをプローブするステップと、
前記内部IPアドレスから前記応答を受信するステップであって、当該評価するステップが、前記不正アクセスに対して脆弱であると決定されたサービスが、前記内部IPアドレスで実行されているか否かを検出するために、前記応答を分析するステップを備える、ステップと、
を備える、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項14】
前記操作が、さらに、精査中の前記内部ネットワークの履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて、閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較するステップであって、当該比較するステップにより、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予想されるよりも大きなトラフィック量を処理しているか否かについての決定を行うことが可能になる、ステップと、
を備える、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項15】
前記操作が、さらに、前記外部IPアドレスを、セキュリティリスクの増加に関連付けられていることが知られている前記外部IPアドレスのリストと比較するステップ、
を備える、請求項7に記載の非一時的コンピュータ可読媒体。
【請求項16】
組織が管理するネットワークに対するセキュリティ脅威を識別するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実行されると、前記プロセッサに、次の動作:特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得する動作;
ローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングする動作であって、
(i)前記ネットワークから始まる前記グローバルネットフローにおける第1トラフィック、および、(ii)前記ネットワークを送信先とする前記グローバルネットフローにおける第2トラフィックを識別することにより、かつ、
前記第1トラフィックおよび前記第2トラフィックを、前記ローカルネットフローとして精査されるように1つのデータセットへと統合することによるもの、であり、
前記ローカルネットフローは、前記特定の時間間隔で前記ネットワークを通過した全てのトラフィックを含む、
動作;
前記ネットワークの境を越えたデータパケットの交換に関与する全ての通信アクティビティを識別するために、前記ローカルネットフローを解析する動作であって、各通信アクティビティが、前記ネットワーク上にある第1のインターネットプロトコール(IP)アドレスと、前記ネットワーク上にない第2のIPアドレスに関与する、動作;
通信アクティビティごとに、ターゲットIPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記第1のIPアドレスまたは前記第2のIPアドレスをプローブする動作;
送信されたクエリに対する全ての応答を含むアクティブプロービングデータを、その後の精査のためにリポジトリに格納する動作;そして
前記ローカルネットフローと前記アクティブプロービングデータに基づいて、前記ネットワークへの各通信アクティビティによってもたらされるリスクを評価する動作、
を行わせる、電子デバイス。
【請求項17】
前記命令が、さらに、前記プロセッサに、以下の動作:前記ネットワーク上に存在する前記通信アクティビティに関与する全てのIPアドレスの第1のリストを生成する動作;
前記第1のリストを、前記組織によって監視されている全てのIPアドレスの第2のリストと比較する動作;
前記第1のリストと前記第2のリストの間に不一致があると決定する動作;そして
前記組織によって現在監視されていない前記ローカルネットフローで発見された少なくとも1つのIPアドレスを指定する通知を生成する動作;
を行わせる、請求項16に記載の電子デバイス。
【請求項18】
当該プローブする動作が、定期的に実行される、請求項16に記載の電子デバイス。
【請求項19】
前記命令が、さらに、前記プロセッサに、以下の動作:統一されたワークフローを作成するために、前記アクティブプロービングデータと前記ローカルネットフローとを統合する動作;および
前記統一されたワークフローに基づいて、前記ネットワークのアーキテクチャのモデルを形成する動作、
を行わせる、請求項16に記載の電子デバイス。
【請求項20】
前記複数のソースは、インターネットサービスプロバイダ(ISP)、前記内部ネットワークの境に沿って装備されたフローコレクタ、前記組織によって管理されるデータベース、または、これらの任意の組み合わせ、を含む、請求項7に記載の非一時的コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
様々な実施態様は、セキュリティ脅威に対する組織の脆弱性を識別、評価、および監視するためのデバイス、コンピュータプログラム、および関連するコンピュータ実装技術に関する。
【背景技術】
【0002】
コンピュータネットワーク(「データネットワーク」とも呼ばれる)は、ノードがリソースを共有することを可能にするデジタル電気通信ネットワークである。コンピュータネットワークでは、コンピューティングデバイスは接続(「データリンク」とも呼ばれる)を介して相互にデータを交換する。これらのデータリンクは、銅線や光ファイバケーブルなどのケーブル媒体、またはWi-FiまたはBluetooth(登録商標)通信チャネルのようなワイヤレス媒体を介して確立させることが出来る。
【0003】
コンピュットワーク内のトラフィックは、ネットワーク操作、セキュリティ技術、等の意思決定を改善するために、しばしば、分析される。トラフィックは、トラフィックフローの広範な可視性を提供するために、コンピュータネットワーク内にある様々なコンピューティングデバイスから取得させることができる。多くのインフラストラクチャを介してルーティングされる複雑でかつ大量であるトラフィックに対し、コンピュータネットワークに対するセキュリティ脅威を識別、分析、および/または処理する、様々なネットワークツールが、従来から使用されて来ている。ネットワークツールの例には、侵入検知システム(IDS: intrusion detection system)および侵入防止システム(IPS: intrusion prevention system)が含まれる。
【発明の概要】
【課題を解決するための手段】
【0004】
本出願では、セキュリティ脅威に対する組織の脆弱性を識別する、評価する、および監視するように構成されているセキュリティ管理プラットフォームが、紹介される。インターネットを通過するトラフィックに関するネットフローデータを監視することにより、セキュリティ管理プラットフォームは、本来なら検出されないであろうセキュリティ脅威を識別することが出来る。このようなアクションは、精査対象の組織に関連付けられているローカルネットワーク(「内部ネットワーク」とも呼ばれる)を通過するトラフィックに関するネットフローデータを監視する代わりに、またはそれに加えて実行させことが出来る。したがって、セキュリティ管理プラットフォームは、ローカルネットワークに存在する公衆向けIPアドレスから離れるトラフィックを監視するのではなく、それに代えてインターネットを通過するトラフィックを監視しそしてこのトラフィックをフィルタリングして、ローカルネットワークから発信されるフロー、ローカルネットワーク宛のフローまたはそれらの任意の組み合わせを、識別することが出来る。
【0005】
これらのフローを精査するとき、このセキュリティ管理プラットフォームは、セキュリティ脅威が存在する可能性が増加する場合に対応した様々なシナリオを監視することが出来る。これらのシナリオは、「リスクフィルタ」と呼ぶことが出来る。これらのリスクフィルタを組み合わせることにより、このセキュリティ管理プラットフォームは、組織の内部のローカルネットワーク上のどの公衆インターネットプロトコール(IP)アドレス(「内部IPアドレス」とも呼ばれる)が、不正アクセスに対して脆弱であり、そして外部のローカルネットワークのどのIPアドレス(「外部IPアドレス」とも呼ばれる)が、通信する内部IPアドレスに対しリスクがあるかを識別することが出来る。本出願で「内部IPアドレス」が言及される場合、これは、RFC1918(IPv4)またはRFC4193(IPv6)(口語ではしばしば「内部IPアドレス」と呼ばれる)で概説されているような予約またはプライベート範囲のIPアドレスではなく、所定の組織または顧客に属する公にルーティング可能なIPアドレスを指す。
【0006】
各リスクフィルタは、第1のIPアドレスが第2のIPアドレスと通信しているという前提に基づいている。一般に、このセキュリティ管理プラットフォームは、内部IPアドレスと外部IPアドレスとの間の通信を精査する。しかしながら、セキュリティ管理プラットフォームは、内部IPアドレスのペア間および/または外部IPアドレスのペア間の通信を精査することも出来る。
【0007】
第1のリスクフィルタについては、このセキュリティ管理プラットフォームは、外部IPアドレスに脆弱性のあるサービスが実行されているか否かを確認するために、アクティブ検知データを引出すことが出来る。アクティブ検知データは、セキュリティ管理プラットフォームにより、外部IPアドレスのアクティブプローブから取得される。より具体的には、セキュリティ管理プラットフォームは、応答を引出すことを目的としたクエリを送信することにより、外部IPアドレスに対しアクティブにプローブすることが出来る。クエリに対する応答で生成される如何なる応答も、アクティブ検知データによって記述される。
【0008】
第2のリスクフィルタについては、このセキュリティ管理プラットフォームは、特定のサービスが、外部IPアドレスに関連付けられているポートで実行されたことが観察されたことがあるか否かを見るために、アクティブ検知データを引出すことが出来る。別の言い方をすれば、このセキュリティ管理プラットフォームは、特定のサービスが外部IPアドレスに存在するか否かをリアル-タイムに確認する機能を目的とするクエリを生成させることが出来る。
【0009】
第3のリスクフィルタについては、セキュリティ管理プラットフォームは、内部IPアドレスに脆弱性のあるサービスが実行されているか否かを見るために、アクティブ検知データを引出すことが出来る。第3のリスクフィルタは、第1のリスクフィルタに似ているが、焦点は、外部IPアドレスではなく内部IPアドレスにある。このセキュリティ管理プラットフォームは、オプションとして、トラフィックが内部IPアドレスからのインバウンドまたはそれへのアウトバウンドの何れに見えるかに基づいて、警告を生成させることも出来る。アウトバウンドトラフィックは、一般にリスクが高い。何故ならば、これが、アクションが脆弱性のあるサービスによって実行されていて、これにより、対応するコンピューティングデバイスの潜在的な侵害が示されることを意味しているためである。
【0010】
第4のリスクフィルタについて、このセキュリティ管理プラットフォームは、精査中のローカルネットワークの全ての部分からの履歴ネットフローを精査することが出来る。例えば、このセキュリティ管理プラットフォームは、各内部IPアドレスへのおよびそれからのフローアクティビティのヒストグラムを精査し、そしてそのヒストグラムに少なくとも部分的に基づいて閾値を生成することができる。一般に、閾値は、通常ローカルネットワークを通過するトラフィックの量に対応する。閾値を実装することにより、このセキュリティ管理プラットフォームは、内部IPアドレスが通常よりもはるかに多くのトラフィック量を送受信していることを容易に検出することが出来る。内部ネットワーク内の総トラフィック量、内部ネットワーク上のコンピューティングデバイスの数、時刻、曜日、等の信号に基づいて、閾値は、自動的に調整させることが出来る。
【0011】
第5のリスクフィルタについて、このセキュリティ管理プラットフォームは、外部IPアドレスを、危険または脆弱であると知られている「不正」外部IPアドレスのセットと比較することが出来る。このセットは、(例、米国連邦政府によって)公開されているまたは組織によって開示されている脅威インテリジェンスを含む様々なソース、およびこのセキュリティ管理プラットフォームによって維持されているハニーポットサーバの様な他のソースから、取得することが出来る。
【0012】
本技術の様々な特徴および特性は、図面と併せて詳細な説明を検討することにより、当業者にはより明らかになるであろう。技術の実施態様は、限定ではなく例として図面に示されており、同様の参照番号は同様の要素を示す場合がある。
【0013】
図面は、例示のみを目的として様々な実施態様を示す。当業者は、技術の原理から逸脱することなく、代替実施態様を採用できることを認識するであろう。したがって、特定の実施態様が図面に示されているが、この技術は様々な修正に適用可能である。
【図面の簡単な説明】
【0014】
【図1】複数のコンピューティングデバイス(「ノード」とも呼ばれる)が、コンピュータネットワークを介して通信するネットワーク構成の一例を示す。
【図2】メールボックスメタファーの使用によるネットフローデータの概念を示す。
【図3】組織が、従来からネットフローデータをどのように使用していたかを示すローカルネットワークの概略図である。
【図4】複数のデータストリームを単一の統一されたワークフローに統合する方法を示す。
【図5】コンピュータネットワーク上に展開された複数のスキャナを含むネットワーク環境を示す。
【図6】内部ネットワークを保護するように設計されたセキュリティ管理プラットフォームの一部として採用され得るハニーポットサーバを含むネットワーク環境を示す。
【図7】内部IPアドレス(「顧客IPアドレス」または「組織IPアドレス」とも呼ばれる)と外部IPアドレスとの間の通信にリスクフィルタをどのように適用できるかを示す。
【図8】いくつかの異なルータイプのリスクフィルタを示す。(1)非常に脆弱性のあるIPアドレスとの通信。 (2)悪評が知られているIPアドレスとの通信。 (3)新規または一時的なサービスとの通信。 (4)非アウトバウンドゲートウェイからの新しいトラフィックを示す。
【図9】外部IPアドレスが、極めて脆弱性が強いサービス(例、Telnet)を実行する内部IPアドレスと通信しているシナリオを示す。
【図10】内部IPアドレスが、既知の評判を有する外部IPアドレスと通信しているシナリオを示す。
【図11】内部IPアドレスが、新規または一時的なサービスを実行しているがブラックリストに載っていない外部IPアドレスと通信しているシナリオを示す。
【図12】長期間(例、数日、数週間、または数ヶ月)にわたって以前は沈黙していた内部IPアドレスが、外部IPアドレスとの通信を開始したシナリオを示す。
【図13】1つ以上のフィルタを満たすレコードを含むレポートを示す。
【図14】ユーザ(例、ネットワークアドミニストレータ)がレコードを選択した場合に、レコードに関する追加情報をどのように提供させることが出来るかを示す。
【図15】組織に属する内部IPアドレスに関与する各フローが、外部IPアドレスへのデータパケットの送信または外部IPアドレスからのデータパケットの受信としてどのようにモデル化できるかを示す。
【図16】ユーザが、レコードに関連付けられている個々の証明書、ドメイン、またはメモを、どのようにして容易に探索することが出来るかを示す。
【図17】フィルタレポート内に表示することが出来るであろうツールのヒントの一例を示す。
【図18】セキュリティ管理プラットフォームの様々な機能を要約するセキュリティガイドの部分を示す。
【図19】セキュリティガイドの異なるセグメントにラベル付けをする一連のタグを含む。
【図20】1つ以上のソースから取得されたネットフローデータを精査することによりセキュリティイベントを検出するように構成されているセキュリティ管理プラットフォームの一例を示すブロック図である。
【図21】セキュリティ管理プラットフォームの一例を示すブロック図である。
【図22】内部ネットワーク(「エンティティネットワーク」、「組織ネットワーク」、または「顧客ネットワーク」とも呼ばれる)の一例を示すブロック図である。
【図23】インターネットサービスプロバイダ(ISP: internet service provider)ファブリックの一例を示すブロック図である。
【図24】コンピューティングデバイスが関与するセキュリティイベントを検出するプロセスのフロー図を示す。
【図25】精査中のコンピュータネットワーク上に存在するコンピューティングデバイスをアクティブにプローブするためのプロセスのフロー図を示す。
【図26】セキュリティイベントを経験したか、そうでなければ関与したコンピューティングデバイスと同様のコンピューティングデバイスのリストを構築するためのプロセスのフロー図を示す。
【図27】コンピューティングデバイスがボットネットの一部であるか否かを判断するプロセスのフロー図を示す。
【図28】コンピューティングデバイスが、ドメインネームサーバ(DNS)トンネリングイベントに関与したことがあるか否かを決定するプロセスのフロー図を示す。
【図29】本明細書に記載される少なくともいくつかの操作を実装することが出来る処理システムの一例を示すブロック図である。
【発明を実施するための形態】
【0015】
コンピュータネットワークは、コンピューティングデバイスがリソースを共有することを可能にするデジタル電気通信ネットワークである。図1は、複数のコンピューティングデバイス(「ノード」とも呼ばれる)が、コンピュータネットワーク108を介して通信するネットワーク構成100の一例を示す。これらのノードは、発信デバイス102(例、デスクトップコンピュータ)を受信デバイス106(例、コンピュータサーバ)に結合する。したがって、これらのノードは、発信元デバイス102と受領者デバイス106との間にデータパケットを送信することを可能にする。これらのノードの例には、スイッチ(例、スイッチ104a、104d)、ルータ(例、ルータ104b、104c)、等を含む。
【0016】
各ノードは、コンピュータネットワーク108への可能なエントリポイントを表す。これらのエントリポイントは、コンピュータネットワーク108内の異なるポイントからのものとすることが出来、そしてしばしば現実にそのようになっている。
【0017】
コンピュータネットワーク(例、インターネット)を介して長大な距離を通信する能力は、日常生活および商取引において著しい変化をもたらして来た。例えば、様々な国にあるコンピューティングデバイスが、容易に、相互に通信して、商取引を実行することが出来る。しかしながら、コンピュータネットワークによって容易になった相互接続も、悪意を持って使用されることも可能になり、そしてこれらのコンピュータネットワークを介した通信の容易さにより、悪意のある行為者によって実行された不正なアクティビティを識別することが困難になる。
【0018】
悪意のある行為の脅威を管理する1つの技術は、コンピュータネットワークを横断するトラフィックフローをアクティブに監視することに関わる。この手法は、「ネットフロー監視」とも呼ばれる。
【0019】
図2は、メールボックスのメタファを使用して、ネットフローデータの概念を示す。封筒がメールボックスに投函されると、配送業者(ここでは、米国郵政公社)に、特定の情報が明らかになるであろう。例えば、配送業者は、誰が封筒を送信したか、誰が目的の受領者であるか、いつ封筒が送信されたか、封筒の重さ、応答リズム、等を容易に確認することが出来るであろう。しかしながら、一部の情報は、配送業者には明らかではないであろう。そのような情報の一例は、封筒の内容である。配送業者は、また、別の配送業者(FedEx、USP、DHL、等)によって配送された封筒を知ることはないであろう。
【0020】
データパケットの文脈では、同様の情報をネットフローデータから導出させることが出来る。例えば、ネットフローデータを監視する機構は、誰がデータパケットを送信したか(つまり、送信元)、誰がデータパケットを受信するか(つまり、送信先)、いつデータパケットが送信されたか、ペイロードの大きさ、応答の流れ、等を容易に監視することが出来る。ネットフローデータを精査することにより、コンピュータネットワークを通過するトラフィックフローの全体像を確立することが出来る。例えば、アドミニストレータは、トラフィックの発信元、トラフィックの送信先、生成されつつあるトラフィックの量、等を監視することができる。
【0021】
図3は、組織が、従来からネットフローデータをどのように使用して来たかを示すローカルネットワーク300の概略図である。一般に、組織は、これらの境界ノード302a-cにフローコレクタを配置することにより、組織が所有するまたは制御する全ての公衆向けインターネットプロトコール(IP)アドレスでのトラフィックフローを監視するであろう。このようなアクションにはいくつかの利点がある。第1に、フローコレクタは、これらの境界ノードを通るトラフィックの不規則な量を容易に検出することが出来る。第2に、フローコレクタは、データパケットがローカルネットワーク300を離れる前に、特定の受領者(例、外国の受領者)宛てのトラフィックフローを容易に停止させることが出来る。
【0022】
しかし、これらの従来の解決策にはいくつかの欠点がある。第1に、フローコレクタは、ローカルネットワーク300に出入りする全てのトラフィックフローを常にキャプチャできるとは限らない。例えば、コストと労力には制限があるため、組織は、典型的には、通常通信しないローカルネットワーク300内のコンピューティングデバイスを、監視しないことを選択するであろう。このため、これらのコンピューティングデバイスとの間で送受信されるデータパケットは、失われる可能性がある。第2に、フローコレクタは、一意のルーティング番号としてはIPアドレスしか使用しないため、セキュリティ脅威の高レベル分析を実行することは出来ない。第三に、フローコレクタは、ローカルネットワーク300の外側の第1の接続(「第1のホップ」とも呼ばれる)を超えてホップ分析を実行することは出来ない。
【0023】
したがって、本願では、セキュリティ脅威に対する組織の脆弱性を識別する、評価する、および監視するように構成されたセキュリティ管理プラットフォームが紹介される。コンピュータネットワーク(例、インターネット)を通過するトラフィックに関するネットフローデータを監視することにより、セキュリティ管理プラットフォームは、本来なら検出されないセキュリティ脅威を識別することが出来る。例えば、セキュリティ管理プラットフォームは、組織に関連付けられているローカルネットワーク(「内部ネットワーク」とも呼ばれる)に対するセキュリティ脅威を識別するように構成することが出来る。しかしながら、このセキュリティ管理プラットフォームは、内部ネットワーク内に存在する公衆向けIPアドレスを離れるトラフィックを監視するのではなく、インターネットを通過するグローバルトラフィックを監視し、そしてグローバルトラフィックをフィルタ処理して、内部ネットワークから発信されるトラフィック、内部ネットワークに至るトラフィック、またはそれらの任意の組み合わせを識別することが出来る。
【0024】
本明細書に記載される技術のいくつかの実施態様は、1つまたは複数のコンピュータネットワークに展開できるスキャナ(「スキャン機構」とも呼ばれる)、およびこれらのスキャナ機構によって返されるデータを含むリポジトリに関する。セキュリティ管理プラットフォームが、ローカルネットワークに対するセキュリティ脅威を識別するように構成されている場合、スキャナは、ローカルネットワークおよびインターネットに展開させることが出来る。このスキャナは、応答を得るために、精査中のコンピュータネットワークの公衆向けIPアドレスに多種多様なデータパケットを送信することが可能な分散システムを備えていても良い。いくつかの実施態様では、スキャナは、コンピュータネットワークの全ての公衆向けIPアドレスにデータパケットを送信するが、他の実施態様では、スキャナは、コンピュータネットワークのいくつかの公衆向けIPアドレスにしかデータパケットを送信しない。これらのデータパケットは、インターネットプロトコールバージョン4(IPv4)またはインターネットプロトコールバージョン6(IPv6)に従って、スキャナによって送信させることが出来る。IPv4は、232(約4.3x109)のアドレスを提供し、IPv6は、2128(約3.4x1038)のアドレスを提供する。したがって、スキャナは、あらゆる種類の異なる信号を、精査中のコンピュータネットワーク内にあるコンピューティングデバイスに送信するように構成させることが出来るであろう。
【0025】
実施態様は、特定のネットワーク構成、プロトコール、ネットワーク、等を参照して記載させることができる。しかしながら、当業者は、これらの特徴が、他のネットワーク構成、プロトコールタイプ、ネットワークタイプ、等にも等しく適用できることを認識するであろう。特定の実施態様は、インターネットの文脈で説明することができるが、関連する特徴は、他のタイプのコンピュータネットワーク(例、組織に関連付けられている内部ネットワーク)とともに使用することもできる。
【0026】
さらに、この技術は、専用ハードウェア(例、回路)、ソフトウェアおよび/またはファームウェアで適切にプログラムされたプログラマブル回路、または専用ハードウェアとプログラマブル回路との組み合わせを使用して実施させることが出来る。したがって、実施態様は、コンピューティングデバイスが、コンピュータネットワークのネットフローデータを収集し、ネットワークインフラストラクチャの全体像を作成するためにネットフローデータを他の情報に統合させて、ネットワークインフラストラクチャの脆弱性を識別する、コンピュータネットワークへの脅威を評価する、脅威を修正する、等をするプロセスを、実行するようにプログラムするために使用することができる命令を有する機械可読媒体を含んでいても良い。
【0027】
[用語]
本明細書における「実施態様」または「一実施態様」への言及は、記載されている特定の特徴、機能、構造、または特性が、少なくとも一つの実施態様に含まれていることを意味する。このようなフレーズの出現は、必ずしも同じ実施態様を指すものではなく、また必ずしも相互に排他的な代替実施態様を指すものでもない。
本明細書における「実施態様」または「一実施態様」への言及は、記載されている特定の特徴、機能、構造、または特性が、少なくとも一つの実施態様に含まれていることを意味する。このようなフレーズの出現は、必ずしも同じ実施態様を指すものではなく、また必ずしも相互に排他的な代替実施態様を指すものでもない。
【0028】
文脈がそれに反することを明確に要求しない限り、用語「含む“comprise”」および「含む”comprising”」は、排他的または網羅的ではなく、包括的な意味で(すなわち、「~を含むが~に限定されない」という意味で)解釈されるべきである。「接続された」、「結合された」、またはこれらの変形は、2つ以上の要素間の直接または間接の接続または結合を含むことを意図している。結合/接続は、物理的、論理的、またはこれらの組み合わせとすることが出来る。例えば、デバイスは、物理的な接続を共有していないにもかかわらず、互いに電気的または通信的に結合させても良い。
【0029】
「に基づく」という用語は、また、排他的または網羅的な意味ではなく、包括的な意味で解釈されるべきである。したがって、特に明記しない限り、「~に基づいて」という用語は、「少なくとも一部に基づいて」を意味することを意図している。
【0030】
「モジュール」という用語は、広く、ソフトウェアコンポーネント、ハードウェアコンポーネント、および/またはファームウェアコンポーネントを指す。モジュールとは、通常、指定された入力に基づいて有用なデータまたは他の出力を生成することができる機能コンポーネントのことである。モジュールは、自己完結型であっても良い。コンピュータプログラムは、1つ以上のモジュールを含んでいても良い。したがって、コンピュータプログラムは、様々なタスクを完了するための複数のモジュール、または全てのタスクを完了するための1つのモジュールを含んでいても良い。
【0031】
「または」という用語は、複数のアイテムのリストに関して使用される場合、リスト内のアイテムの何れか、リスト内のアイテムの全て、およびリスト内のアイテムの任意の組み合わせ、の解釈の全てを網羅することが意図されている。
【0032】
本明細書に記載されるプロセスの何れかで実行されるステップのシーケンスは、例示である。しかしながら、物理的な可能性に反しない限り、ステップは、様々なシーケンスおよび組み合わせで実行することが出来る。例えば、本明細書に記載されるプロセスにステップを追加する、またはそこからプロセスを削除することも出来るであろう。同様に、ステップを置換または並べ替えることが出来るであろう。したがって、全てのプロセスの説明は、オープンエンドであることが意図されている。
【0033】
[技術概要]
本明細書に記載される技術の1つの利点は、組織のデジタル資産(「サイバ資産」とも呼ばれる)に対する攻撃のベクトルを予測して識別および拒否する能力である。複数のソースからのデータは、統一されたワークフローを作成するためにインテリジェントに統合させることが出来る。例えば、図4では、3つの未分類のインターネット規模のデータストリーム402a-cが、単一の統一されたワークフロー404に統合されている。
本明細書に記載される技術の1つの利点は、組織のデジタル資産(「サイバ資産」とも呼ばれる)に対する攻撃のベクトルを予測して識別および拒否する能力である。複数のソースからのデータは、統一されたワークフローを作成するためにインテリジェントに統合させることが出来る。例えば、図4では、3つの未分類のインターネット規模のデータストリーム402a-cが、単一の統一されたワークフロー404に統合されている。
【0034】
その後、この統一されたワークフロー404は、脅威検出モジュール406によって取得させることが出来る。脅威検出モジュール406は、統一されたワークフロー404から得られた知識を、収集し、構造化し、索引付けし、統合し、そして対応するコンピューティングデバイス408a-b上の組織に関連付けられている1つ以上のアドミニストレータに提示することが出来る。例えば、脅威検出モジュール406によって生成された出力は、ウェブブラウザ、デスクトップアプリケーション、モバイルアプリケーション、またはオーバーザトップ(OTT)アプリケーションのようなコンピュータプログラムにより、各アドミニストレータにアクセス可能としても良い。いくつかの実施態様において、このコンピュータプログラムは、サービスとしてのソフトウェア(SaaS: software as a service)ライセンス供与/配信モデルを通じて利用可能である。
【0035】
データストリーム402a-cは、以下を含む様々なタイプのデータを含んでいても良い。
●定期的にスキャンさせかつ高度なデータ分析を行うことができるネットワーク地図データ。例えば、ネットワーク地図データは、毎日インターネットから取得させ、次いでスキャンさせて、公衆向けIPアドレス、コンピューティングデバイス、およびサービスのリアル-タイムの攻撃対象領域を検出させても良い。
●組織に属する資産とインターネット上にある外部IPアドレスとの間で発生するパケット交換を特徴付けるネットフローデータ。送信元IPアドレス、送信先IPアドレス、通信時間、通信ポート、等を含むパケット交換の様々な特性を精査することが出来る。
●これらのコンピュータプログラムが、特定のインターネットサービスプロバイダ(ISP)およびコンテンツ配信ネットワーク(CDN)によりハイパーテキスト転送プロトコール(HTTP: Hypertext Transfer Protocol)またはHTTPセキュア(HTTPS)要求を行う際に、ネットワーク地図上のコンピュータプログラムのクラスおよび/またはバージョンを識別するユーザエージェントデータ。
●定期的にスキャンさせかつ高度なデータ分析を行うことができるネットワーク地図データ。例えば、ネットワーク地図データは、毎日インターネットから取得させ、次いでスキャンさせて、公衆向けIPアドレス、コンピューティングデバイス、およびサービスのリアル-タイムの攻撃対象領域を検出させても良い。
●組織に属する資産とインターネット上にある外部IPアドレスとの間で発生するパケット交換を特徴付けるネットフローデータ。送信元IPアドレス、送信先IPアドレス、通信時間、通信ポート、等を含むパケット交換の様々な特性を精査することが出来る。
●これらのコンピュータプログラムが、特定のインターネットサービスプロバイダ(ISP)およびコンテンツ配信ネットワーク(CDN)によりハイパーテキスト転送プロトコール(HTTP: Hypertext Transfer Protocol)またはHTTPセキュア(HTTPS)要求を行う際に、ネットワーク地図上のコンピュータプログラムのクラスおよび/またはバージョンを識別するユーザエージェントデータ。
【0036】
上述したように、本技術の1つの目的は、複数のソースから受信したデータを統一されたワークフロー404に統合することである。ここでは、3つの未分類のインターネット規模データストリーム402a-cが統合される。各未分類データストリーム402a-cは、例えば、ネットワーク地図データ、ネットフローデータ、およびユーザエージェントデータに対応することが出来るであろう。統一されたワークフロー404を精査することにより、この脅威検出モジュール406は、組織に属するサイバ資産に対する攻撃のベクトルを、予測して、識別しかつ拒否することが出来る。
【0037】
このようなアプローチは、「攻撃者の見解」サイバ分析の分野における大きな進歩を表す。組織のサイバ資産に影響を与える可能性のある攻撃ベクトルの予知は、公衆向け組織の資産(例、組織のIP範囲および特定コントラクタのIP範囲で実行されている公的に利用可能なコンピューティングデバイスとサービス)の包括的かつ継続的な知識、およびこれらの公衆向け組織の資産と、外部IPアドレス、コンピューティングデバイス、およびインターネット上にあるサービスとの通信とに基づいて、予測することが出来る。より具体的には、この脅威検出モジュール406は、組織の資産の既知の/緊急の脆弱性の高信号トリアージを可能にするために、統一されたワークフロー404をフィルタリングすることが出来る。
【0038】
1つ以上のスキャナは、分類されていないデータストリーム402a-cを生成/検索するように構成することが出来る。脅威検出モジュール406およびスキャナを、併せて、「セキュリティ管理プラットフォーム」と呼ぶことがある。以下でさらに説明されるように、このセキュリティ管理プラットフォームは、他のコンポーネントを含んでいても良い。設計上、このセキュリティ管理プラットフォームは、インターネット全体に拡張可能としても良い。したがって、このセキュリティ管理プラットフォームは、それぞれのステータスを決定するように、インターネットに接続されたコンピューティングデバイスとサービスを継続的に調査するように構成することが出来る。さらに、このセキュリティ管理プラットフォームは、これらの尋問に関連付けられているデータを格納し、次いで、このデータを分析して、インターネット接続された各コンピューティングデバイスとサービスの状態を長期間(例、数か月、数年、または無期限に)監視することが出来る。
【0039】
異なるタイプのデータが、異なる理由で、セキュリティ管理プラットフォームにとって有用であることをプローブしても良い。例えば、ネットワーク地図データは、脆弱性の最小化に使用することが出来るであろうが、通信の意図を推定し、かつ強化されたエッジノード(例、コンピュータサーバ)の背後にあるアプリケーション層クライアントとして機能する資産の脆弱性を評価するためには、追加のコンテキスト知識が必要になるかもしれない。ネットフローデータとユーザエージェントデータは、これらの点で、セキュリティ管理プラットフォームの機能をさらに強化し、これにより、サイバネットワークの防御を加速させることが出来る。
【0040】
ネットワーク地図データをネットフローデータおよびユーザエージェントデータで強化することにより、このセキュリティ管理プラットフォームは、ネットワークディフェンダ(例、組織のサードパーティサービスおよびアドミニストレータ)に、これらの通信の内容ではなく、サイバ資産と外部世界と間の通信の性質に対する前例のない可視性を提供することが出来る。強化された可視性は、攻撃の指標を識別する、敵のインフラストラクチャのブラックリストを登録する、攻撃者の偵察の予測モデルを形成すると言う様な重要な機能に使用させても良い。
【0041】
[脅威の評価と修復]
図5は、コンピュータネットワーク504上に展開された複数のスキャナ502a-cを含むネットワーク環境500を示す。コンピュータネットワーク504は、例えば、インターネットまたは組織に関連付けられているローカルネットワーク(「内部ネットワーク」とも呼ばれる)としても良い。
図5は、コンピュータネットワーク504上に展開された複数のスキャナ502a-cを含むネットワーク環境500を示す。コンピュータネットワーク504は、例えば、インターネットまたは組織に関連付けられているローカルネットワーク(「内部ネットワーク」とも呼ばれる)としても良い。
【0042】
スキャナ502a-cによって受信されたデータは、脅威検出モジュール508およびリポジトリ510を含むこのセキュリティ管理プラットフォーム506に送信させることが出来る。この脅威検出モジュール508は、スキャナ502a-cによって返されたデータの少なくとも一部を精査するように構成することが出来、リポジトリ510は、スキャナ502a-cによって返されたデータの少なくとも一部を格納するように構成することが出来る。スキャナ502a-cは、このセキュリティ管理プラットフォーム506の一部と見なしても良い。
【0043】
各スキャナは、多種多様な異なる種類のデータパケットを、精査中のコンピュータネットワーク504の一部または全ての公衆向けIPアドレスに送信するように構成することができる。これらのデータパケットは、IPv4および/またはIPv6に従ってスキャナで送信することが出来る。したがって、スキャナは、あらゆる種類の異なる信号を、精査中のコンピュータネットワーク504内にあるコンピューティングデバイスに送信するように構成することが出来るであろう。
【0044】
スキャナによって生成された信号に応答するコンピュータソフトウェアを実行するコンピューティングデバイスの場合、このセキュリティ管理プラットフォーム506は、返される応答を記録することが出来る。例えば、このセキュリティ管理プラットフォーム506は、スキャナ(例えば、スキャナA 502a)に、対応するサービスにWebページがホストされているか否かを尋ねることができるHTTP GETリクエストを、特定のIPアドレスに送信させ、そしてホストされている場合には、メインページのコピーを返させることができる。このセキュリティ管理プラットフォーム506の実施態様は、このようなアクションを大規模に実行することが出来る。例えば、スキャナ502a-cは、コンピュータネットワーク504全体にわたってHTTP GETリクエストを(例、IPv4空間全体にわたって約43億回)送信することが出来るであろう。これらの要求は、こうした要求に応答できるサービスが多数存在するので、様々なプロトコールの様々なペイロードを使用して、送信させることが出来る。
【0045】
異なる種類のウェブサーバがある場合とは異なり、世界中のコンピューティングデバイス上で実行される様々なサービスが存在する。これらのサービスの例には、ファイルトランスファプロトコール(FTP: File Transfer Protocol)およびセキュアシェル(SSH: Secure Shell)プロトコールが含まれ、これらの各々は、非HTTPおよびHTTPSコンピューティングデバイスが、インデックス付けされることを可能にする。telnet、SNMP、RDP、SMB、NetBIOS、MSSQL、MySQLの様々なプロトコールに応答するエンタープライズシステムのホストも多数存在する。
【0046】
このセキュリティ管理プラットフォーム506は、返された応答から学習された情報を取得し、そして他のソースからのデータとこの情報を統合して、インターネット上のインフラストラクチャが異なる組織にどのようにリンクされているかを示すビューを作成することが出来る。このようなアクションにより、このセキュリティ管理プラットフォームが、それが対応するインフラストラクチャに基づいて、各組織のステータスまたは脆弱性をより良く理解することが可能になる。いくつかの場合には、インフラストラクチャの脆弱性の検出には、多くのニュアンスがある。例えば、所定の組織に属する特定のIP上のログインプロンプトをTelnetサービスで観察することは、このサービスにサインインしようとするユーザは、クリアテキストで資格情報を送信しなければならないので、ネットワークの攻撃者が、これらの資格情報を見て、そしてこれらの情報を潜在的に悪意のある目的に使用することを可能にする脆弱性が、その組織のインフラストラクチャにあることを示す。また、インフラストラクチャが、公開仕様に設計されていない(つまり、セキュリティを念頭に置いて設計されていない)との理由のみで、脆弱性が識別されてしまい、そのためこれを容易に悪用することが出来る場合もある。例えば、産業用制御システム(例、BACnetまたはModbus)の一部のプロトコールは、インターネット上(しばしば、実際にはほとんどのインターネットより古いものである)にある。これらのプロトコールは、ネットワークセキュリティを考慮して設計されていない。その代わりに、これらのプロトコールは、認証を必要とせずに、基礎となる制御システムへの容易で生のアクセスを提供する。したがって、これらのプロトコールは、プロトコール自体の特性から、および実装を担当するコンピュータソフトウェアであることから、インターネット上で一般公開されていると、本質的に安全ではない。そのため、悪意のある人物によるあらゆる種類の不正行為に対して脆弱になることがあり得る。
【0047】
このセキュリティ管理プラットフォーム506のいくつかの実施態様は、組織およびそれらのデジタル資産のためのインフラストラクチャの部分を見出すように構成されている。このようなアクションは、リスクの高いデジタル資産のみならず、組織が認識していないデジタル資産も識別することを可能にする。したがって、このセキュリティ管理プラットフォーム506は、コンピュータネットワーク504を横断するトラフィックの統一されたレビューを提供して、組織に属する特定の資産カテゴリ内の全てのアイテムを識別し、そして一般的な意味でステータスおよび/またはリスクに基づいてこれらのアイテムのランク順を提供することが出来る。
【0048】
このセキュリティ管理プラットフォーム506は、様々な異なる公共登録データベースを含む一次信号、およびインターネット上で利用可能な分析および/または公共信号を使用してこれを達成することができる。いくつかの実施態様では、このセキュリティ管理プラットフォーム506は、可視性製品(「可視性サービス」とも呼ばれる)をサポートする制御モジュール(図示せず)を含む。可視性製品は、それが脆弱性に関して知らないことを組織に伝えたり、これらの脆弱性が発見されたときに組織にリアル-タイムで警告したり、等を行うことが出来る。
【0049】
これらの脆弱性が修正されるプロセスも重要である。このセキュリティ管理プラットフォーム506のいくつかの実施態様は、もしウイルス、破損ファイル、または生のアクセスポイントの様なリスクがある組織のローカルネットワークに何かが存在すると、より速い応答およびほぼリアル-タイムの価値配信を提供するために、制御ループを閉じるコネクタ(図示せず)を含む。通常、これらのコネクタは、制御ループを、自動的にまたはほぼ自動的に閉じる。しかしながら、これらのコネクタは、アドミニストレータから手動入力を受け取ったときにのみ制御ループを閉じるように構成しても良い。このアドミニストレータは、このセキュリティ管理プラットフォーム506の管理を担当する組織またはサードパーティのセキュリティサービスに関連付けても良い。したがって、このセキュリティ管理プラットフォーム506の実施態様は、コンピュータネットワークの可視性の改善と、発見された脆弱性を制御するためにどのようなアクションを採用することが出来るかについての対処に関わることが出来る。例えば、ローカルネットワーク上にあるコンピューティングデバイス内に脆弱性が自動的に発見された場合、ポリシが、コンピューティングデバイスをシャットダウンすべきであると言うようにしても良い。
【0050】
組織ネットワーク上に存在するIPアドレス上にあるデジタル資産(例えば、証明書およびドメイン名)を有する組織を考えよう。これは、組織のネットワークの境と呼んでも良い。このセキュリティ管理プラットフォーム506は、インターネット全体を見ることができるため、このセキュリティ管理プラットフォーム506は、各デジタル資産を、何らかの形で組織に関連付けられているインターネット上の各外部デジタル資産に関連付けることが出来る。
【0051】
このようなアクションは、このセキュリティ管理プラットフォーム506が、外部から覗き込むことができる組織のデジタル資産の全体像をせいせいることを可能にする。この全体像は、しばしば、組織が知らなかった項目を含む。例えば、デジタル資産は、組織が完全に認識していない、および/または組織の管理下にない、組織のネットワークの境に入ることもある。デジタル資産は、何らかのアクションが組織によって実行されたため、組織のネットワークの境を離れることもある。組織に関連付けられているデジタル資産を監視することにより、ネットワークの境の変化は、容易に識別させることが出来る。組織に特定の結果をもたらす変更には、何らかの方法でフラグを立てても良い(例、警告を、アドミニストレータによるレビューのためにインターフェースに投稿しても良い)。さらに、変更により、(その発生を確認することができる)何らかの修復アクションを起こさせるフィードバックループを駆動させても良い。修復アクションにより、組織のネットワークの境を、縮小させるまたは何らかの方法で改善させても良い。
【0052】
したがって、このセキュリティ管理プラットフォーム506の実施態様は、組織のネットワークの境のみならず、ネットワークトラフィック情報のデータベースから得られた知識を、ソース、送信先、および/またはネットワークトラフィックが経由するパスの所有者に関する知識と組み合わせることにより、組織のネットワークの境を移動しているものも見ることが出来る。所定の組織のネットワークの境を通過するネットワークトラフィックのこれらの観測は、「フラックス」と呼ぶことが出来る。ネットワークの境は、ネットワークの境の変化に関する情報を組織に提供し、かつネットワークの境を通るフラックスを見ることができるように定義しても良い。このセキュリティ管理プラットフォーム506は、このフラックスを結果に関連付けても良い(例、このフラックスは、ボットネットのコマンド-アンド-コントロールシステムと話している、このフラックスは、通信すべきではないネットワークの境内のコンピューティングデバイスと通信している、等)。
【0053】
一部の実施態様では、このセキュリティ管理プラットフォーム506は、パートナーシップを介して、インターネットサービスプロバイダ(ISP)と、サービスを通過するものに関するデータ/メタデータを記録する他のネットワークサービスプロバイダと、協力する。これに加えまたは代えて、このセキュリティ管理プラットフォーム506は、監視対象のネットワークの境を通過するものに関するデータ/メタデータを記録する組織と提携させても良い。したがって、このセキュリティ管理プラットフォーム506は、他のIPアドレスと「話している」IPアドレスを観察しても良い。このセキュリティ管理プラットフォーム506は、これらのIPアドレスが使用しているポートやプロトコールについての、通信が、伝送制御プロトコール(TCP: Transmission Control Protocol)またはユーザデータグラムプロトコール(UDP: User Datagram Protocol)に従って発生しているか否かについての、通信が、インターネットプロトコールセキュリティ(IPSec)などのプロトコールを使用する仮想プライベートネットワーク(VPN: virtual private network)トランザクションであるか否かについて、のような情報も受信する。したがって、大量(例、1日あたり約ペタバイト程度)のデータは、このセキュリティ管理プラットフォーム506によって受信させても良い。通常、このデータの全てを処理するにはコストが高すぎるため、このセキュリティ管理プラットフォーム506は、どのデータを処理すればセキュリティ関連のアクションがより関連するようになるかをインテリジェントに決定することが出来る。
【0054】
いくつかの実施態様において、このセキュリティ管理プラットフォーム506は、特定の組織のネットワークの境(例、このセキュリティ管理プラットフォーム506により促進されるセキュリティサービスの現在および/または見込み客)を定義する。このような実施態様では、このセキュリティ管理プラットフォーム506は、ネットフローを引出し、かつ異なる時間範囲(例、先週、月、等)についてネットフローを問い合わせることが出来る。このようなアクションにより、このセキュリティ管理プラットフォーム506が、これらのIPアドレスが誰と話しているかを理解し、かつこれらのIPアドレスをこのセキュリティ管理プラットフォーム506がすでに知っているIPアドレスと関連付けることが可能になる。このセキュリティ管理プラットフォーム506は、ネットワークの境界のみならず、グローバルインターネットにも装備されているので、従来のネットフローセキュリティ製品とは異なり、分析は、シングルホップに限定されることはない。さらに、このセキュリティ管理プラットフォーム506は、組織に関連付けられている内部ネットワークに出入りするトラフィックのみならず、組織のネットワークの一部ではないIPアドレス間のトラフィックも確認することが出来る。
【0055】
この結果、トラフィックが、1つまたは複数のプロキシノードを介してルーティングされる場合、このセキュリティ管理プラットフォーム506は、それらのプロキシノードを通過するトラフィックを追跡して、実際のソースを識別することが出来る。例えば、(組織が所有する)IPアドレス1.1.1.1がIPアドレス2.2.2.2と話し、次にIPアドレス2.2.2.2がIPアドレス3.3.3.3と話す場合、このセキュリティ管理プラットフォーム506は、これら2つの別々の通信が、これらのノード間の通信が直接行われていないにもかかわらず、実際には、IPアドレス1.1.1.1とIPアドレス3.3.3.3の間の単一の通信であったことを推測することができ、そして組織のネットワークの境からのトラフィックしか監視しないシステムは、3.3.3.3との接続を推測できないであろう。別の言い方をすれば、このセキュリティ管理プラットフォーム506は、IPアドレス22.22が、単にプロキシ(「ルーティング導管」とも呼ばれる)として機能していたと推測しても良い。いくつかの実施態様では、このセキュリティ管理プラットフォーム506は、任意の数の中間ルーティング導管間の任意の数のホップを検出するためにそのような分析を実行するように構成されている(例、IPアドレス3.3.3.3がIPアドレス4.4.4.4と話す場合、IPアドレス4.4.4.4はIPアドレス5.5.5.5と話す、等)。したがって、このセキュリティ管理プラットフォーム506は、「n」ホップ分析を実行することにより、従来のネットフローセキュリティ製品よりも多くを観察することが出来る。
【0056】
本明細書で紹介する技術は、IPアドレスで実行されているサービスに関する情報を、IPアドレス間のアクティビティおよび通信の性質/挙動に関する情報と相関させるように設計することが出来る。例えば、このセキュリティ管理プラットフォーム506は、IPアドレスレベル、証明書レベル、またはドメイン名レベルに関係なく、インターネット上の様々なタイプのデータを収集することが出来る。特にIPアドレスの場合、このセキュリティ管理プラットフォーム506は、適切なIPアドレスに後に関連付けることが出来るかなりの量の情報を収集することが出来る。例えば、このセキュリティ管理プラットフォーム506は、IPアドレスを問い合わせて、対応するコンピューティングデバイス上でどのようなサービスが実行されていて、かつそれらのサービスがどのポートで利用可能であるかを知ることができる。さらに、このセキュリティ管理プラットフォーム506は、コンピューティングデバイス上で過去に良く実行されていたサービスおよびそれらのサービスが利用可能であったポートを知ることができる。しばしば、このセキュリティ管理プラットフォーム506は、誰が、レビュー中のIPアドレスを所有し、および/または管理を担当するかについてのセンスも持つであろう。一般に、このセキュリティ管理プラットフォーム506は、個人が郵便局を介して封筒を送信することができるように、一意のアドレスにルーティングするために、IPアドレスが、インターネット上でどのように使用されているかというそのセンスを、使用することが出来る。
【0057】
次に、このセキュリティ管理プラットフォーム506は、どの内部IPアドレスが関係しているか(すなわち、通信が内部ネットワーク上の誰と話しているか)、およびどの外部IPアドレスが関係しているか(すなわち、通信が、インターネットの様な外部ネットワーク上の誰と話しているか)に基づいて、通信が内部ネットワークに入るまたはそれから出るリスクを評価することが出来る。例えば、このセキュリティ管理プラットフォーム506は、外部IPアドレスが、テイクオーバーに対して特に脆弱に見えるか否か、脆弱性のあるサービスを実行しているか否か、不正の行為者が内部のネットワークと話すプロキシとして使用するために引き継ぐための良い方法を持っているように見えるか否か、等を決定することができる。
【0058】
相関関係の一例は、内部IPアドレス(「組織IPアドレス」または「顧客IPアドレス」とも呼ばれる)が、非常に脆弱性のあるサービスが実行されている外部IPアドレスと通信している場合である。 Telnet、MySQL、HTTPSサービスの自己署名証明書のような項目は、このセキュリティ管理プラットフォーム506が、内部IPアドレスがどの外部IPアドレスと話しているかと言うセンスのみならず、何故これらの外部IPアドレスが危険にさらされている可能性があるその理由も把握することを可能にする。このセキュリティ管理プラットフォーム506は、また、外部IPアドレスが、内部IPアドレスに関与する内部ネットワークに対する攻撃において、プロキシとして使用するのに脆弱である理由も決定することができる。
【0059】
このセキュリティ管理プラットフォーム506は、新しいサービスまたは一時的なサービスにより興味深いことを行うことも出来る。これらは、所定のIPアドレスで最近立ち上がったサービス、および短時間で立ち上がったサービスとして定義される。一例は、1日6時間だけIP 2.2.2.2に存在し、かつそのIPで二度と見られないSSHサーバであろう。これらのサービスは、このようなサービスがネットワークと通信するために合法的に使用されることはめったにないため、そして悪意のある行為者が、ブラックリストを回避することによりネットワークを攻撃するために以前から未使用のIPで攻撃インフラストラクチャをしばしば立ち上げるので、興味深い。これらのサービスでは、このセキュリティ管理プラットフォーム506は、ネットワーク上にあるIPアドレスが、IPアドレス1.2.3.4と話していることを観察することが出来る。この場合、外部IPアドレス1.2.3.4との通信は、ポート80で行われると想定されているが、標準プロトコールのポートであれば何れのものでも可能であろう。もしこのセキュリティ管理プラットフォーム506が、ポート80で外部IPアドレス1.2.3.4からの着信通信と、ネットワークのアクティブスキャンから得られた情報から、ポート80で実行されているサービスがないと判断された場合の発信応答とを観測すると、このセキュリティ管理プラットフォーム506は、これを警告動作として分類することができる。また、このセキュリティ管理プラットフォーム506は、ブロックするのが非常に難しい優れたインフラストラクチャを備えている場合があるので、このセキュリティ管理プラットフォーム506は、もしアクティブスキャンに基づいて実行中のサービスが無いと決定されると、そのサービスは、実際には、検討中のネットワーク(例、内部ネットワークまたはインターネット)では実行されていないと、確信して推測することが出来る。
【0060】
このセキュリティ管理プラットフォーム506が、最後のスキャン(例えば、前日または先週から)の間に存在しなかったネットワーク外部の所定のIPアドレス上の所定のポートで応答するサービスを見ると、このセキュリティ管理プラットフォーム506は、このサービスを、潜在的に悪意のある行為者に関連付けることができる。例えば、潜在的に悪意のある行為者は、悪意の理由から(例、ネットワーク内のデジタル資産への不正アクセスを取得するために)このサービスを立ち上げた可能性がある。この潜在的に悪意のある行為者は、限られた時間枠(例、1時間)でこのサービスを立ち上げた可能性もある。しかしながら、もしこのセキュリティ管理プラットフォーム506が、一貫した頻度(例、2時間、6時間、12時間、または24時間ごと)で監視中のネットワークをスキャンすると、潜在的脅威によって危害が加えられる前に、このセキュリティ管理プラットフォーム506が、それらを検出する可能性は高くなる。このセキュリティ管理プラットフォーム506が、全ての潜在的な脅威を即座に捕捉することができるとは限らないが、このセキュリティ管理プラットフォーム506は、通常、新しいまたは一時的なサービスが立ち上がったときを大きな成功率で検出するであろう。さらに、もし潜在的に悪意のある行為者が、巧妙に、短命サービスを即座に立ち上げ、次いで、それを攻撃のためにクローズすることを画策すると、このセキュリティ管理プラットフォーム506は、これらの通信を発見しかつそれを適切な個人に警告することが出来る。
【0061】
第3の相関関係は、外部IPアドレスとの通信に関与する組織に属するIPアドレスで実行されているサービスを見る。このセキュリティ管理プラットフォーム506が、高リスクの内部IPアドレスで過去に警告したもの(例、公開されたデータベースサービスまたは産業用制御システムプロトコール)が存在する場合、外部IPアドレスとの通信は、リスクが非常に高い行動となる。このような場合、このセキュリティ管理プラットフォーム506は、ネットワークに関連付けられている個人(例、ネットワークアドミニストレータ)に、この内部IPアドレスをネットワーク上でアクセス可能とすべきか否かを決定するように促しても良い。さらに、このセキュリティ管理プラットフォーム506が、外部世界(すなわち、ネットワーク外に存在する1つ以上の外部IPアドレス)と話す内部IPアドレスを知ると、このセキュリティ管理プラットフォーム506は、個人に警告することができる。
【0062】
第4の相関関係は、アクティブ検知データをグローバルネットフローデータに相関させる必要はない。これに代えて、このセキュリティ管理プラットフォーム506は、対応する内部ネットワークからのフローの収集が組織に完全に装備されていると、組織が信じている場合であっても、このセキュリティ管理プラットフォーム506が、これらの組織が観察することができないことを観察することができるものがあるように見えるという事実を活用することが出来る。このセキュリティ管理プラットフォーム506は、しばしば、大規模なデータパケットが、データ流出を示す方法で送受信されているインスタンスのような、最も警戒すべきフローを知ることができる。理論的には、これらの組織は、これらが、これらの内部IPアドレスに装備されているフローコレクタを有する(フローコレクタがこれらの内部IPアドレスに装備されている)と考える。しかしながら、一部の組織のIPアドレスは、一貫して企業ネットワーク監視システムから見逃されていて、または、それらの企業ネットワーク監視システムに適切に配置されていない。このセキュリティ管理プラットフォーム506は、組織の内部ネットワークの境界に沿うフローコレクタを計測するのではなく、インターネットを通過する通信を精査するときに、これらのフローを知ることが出来る。この相関関係について、このセキュリティ管理プラットフォーム506は、長期間(例、数日、数週間、または数ヶ月)沈黙していた内部IPアドレスを探すことが出来る。内部IPアドレスが沈黙状態から外部IPアドレスとの通信に移行すると、このセキュリティ管理プラットフォーム506は、この組織のIPアドレスが追加の精査を受けるべきであることを示す警告を生成することが出来る。通常、このようなアクションはインターネットには報告されない。また、それが通信することを組織が予測することはなかった可能性があるので、内部IPアドレスに装備(instrumentation)が存在しない可能性は非常に高い。したがって、この内部IPアドレスが外部との通信を開始するときには、このセキュリティ管理プラットフォーム506は、この組織がそのような通信が発生していることを認識すると、適切なアクションを実行することが出来るように、この組織に関連付けられている個人に警告することが出来る。このような通信は、この組織によって実装されたセキュリティ対策を回避しようとする不正なエンティティを示すことが出来る。
【0063】
第5の相関関係は、「不正」外部IPアドレス(例、既知のマルウェアコマンドおよびコントロールサーバに対応するもの)のリストと内部IPアドレスとの間のマルチホップ通信パターンを探すことが出来る。不正外部IPアドレスは、様々な公衆およびプライベートソースから取得することが出来る。一方、内部IPアドレスは、監視中のネットワーク内に存在するIPアドレスである。通常、監視中のネットワークは、組織に関連付けられているエンタープライズネットワークまたはエンタープライズネットワークのセットである。しかしながら、このセキュリティ管理プラットフォーム506は、インターネットでアクセス可能なIPアドレスを精査することも出来るであろう。この場合、このセキュリティ管理プラットフォーム506は、IPアドレスのペア間の通信を分析することができる。不正外部IPアドレスのリストが与えられると、このセキュリティ管理プラットフォーム506は、これらの不正外部IPアドレスと直接通信している他の外部IPアドレスを探すことが出来る。これらの他の外部IPアドレスは「Set P」と呼ばれる。このセキュリティ管理プラットフォーム506は、内部IPアドレスとSet Pとの間の通信を探すことが出来る。如何なる通信が発見されたにも、このセキュリティ管理プラットフォーム506は警告を生成することが出来る。次に、このセキュリティ管理プラットフォーム506は、Set Pの中間IPアドレスと内部IPアドレスの両方と通信した如何なるIPアドレスも探すことが出来る。これらの中間IPアドレスは、Set PのIPアドレスによって開始された攻撃のプロキシとして機能する可能性があるため、これらの中間IPアドレスに関与する発見されたフローには、さらなるレビューのためにフラグを立てることが出来る。このような技術は、複数のホップに容易に拡張させることが出来る。
【0064】
各相関関係は、フローごとに行うことが出来る。したがって、内部IPアドレスから外部IPアドレスへのフローが与えられると、このセキュリティ管理プラットフォーム506は、これらの相関関係の何れかが存在するか否かを知ることが出来る。
【0065】
前述の相関関係によって表されるアクションの多くは、組織のネットワークに対する悪意のある攻撃またはデータ流出の試みの何れかを示す。データの流出の試みを示す指標の1つは、通信に関係するデータパケットのサイズとすることができる。一般に、データパケットが大きいほど、通信がデータの流出の試みの部分であるリスクが高くなる。このセキュリティ管理プラットフォーム506は、中規模のデータパケットが、同じエンティティが所有する複数のIPアドレスに送信されつつあることを知ることもできる。したがって、総ペイロードが集約されると、データパケットによって伝達される集合データは膨大になる。このセキュリティ管理プラットフォーム506は、通信に関与する各IPアドレスの所有者に関する情報にアクセスおよび/またはそれを導出することができるため、このセキュリティ管理プラットフォーム506は、両方の可能性を監視することが出来る。
【0066】
このセキュリティ管理プラットフォーム506のいくつかの実施態様は、ボットネット追跡および/または動的ブラックリスト化のために構成される。ボットネットは、インターネットに接続された一連のコンピューティングデバイスであり、各デバイスが、タスクを集合的に実行するように構成された1つ以上のボットを実行する。例えば、ボットネットは、しばしば、分散型サービス拒否(DDoS: distributed denial-of-service)攻撃を実行し、データを盗み、スパムを送信し、そして不正なエンティティが、対象のコンピューティングデバイスとそのネットワーク接続にアクセスすることを可能にするために使用される。いくつかの実施態様では、上述の5つの相関関係は、積極的(proactive)ではなく応答的(responsive)であるように設定されている。しかしながら、このセキュリティ管理プラットフォーム506は、組織(「顧客」とも呼ばれる)からデータを受信するときに、これらのリスクフィルタを精査することも出来るであろう。特定のリスクがほぼ常に不正と考えられる場合、このセキュリティ管理プラットフォーム506は、この特定のリスクに関して積極的(proactive)になり始める可能性がある。例えば、このセキュリティ管理プラットフォーム506は、特定のタイプのトラフィックがネットワークに対して重大なリスクを表すという決定に応答して、特定のタイプのトラフィックの送信を防ぐ考慮の下で、ネットワークの境界上のファイアウォールに適切な装備をプッシュしても良い。
【0067】
このセキュリティ管理プラットフォーム506のいくつかの実施態様は、グローバルネットフローを通じてボットネットを追跡することにより動的ブラックリストにアプローチするように構成されている。「グローバルネットフロー」という用語は一般に、インターネットを通過する全てのトラフィックフローを指す。これは、IPアドレスレベルまたは別のレベル(例、ポートレベル)で実行させることが出来る。例えば、このセキュリティ管理プラットフォーム506は、どのボットがどのボットネットの一部であるかを知るために、動的制御ノードおよびボットとの通信をリアル-タイムで監視しても良い。組織がこれらのマッピングを利用できるようにすることにより、組織がこれらのボットの何れかから大量のトラフィックを受信し始めると、他のIPアドレスがヒットする前に、この組織が、適切なIPアドレスをシャットダウンすることが出来る。例えば、数千のボットがボットネットの一部であり、そしてこれらのボットのうちの5つが組織の内部ネットワークに対するDDoS攻撃の一部として大量のトラフィックを送信し始める場合がある。この時点で、このセキュリティ管理プラットフォーム506は、他の995ボットを先制的にブラックリストに載せることができる。これらのポットは、もし担当するエンティティが、どのホストがトラフィックを送信するホストであるかをローテートすると、DDoS攻撃の一部として大量のトラフィックを送信することも出来るであろう。
【0068】
図6は、内部ネットワーク610を保護するように設計されたセキュリティ管理プラットフォームの一部として採用することができるハニーポットサーバ612を含むネットワーク環境600を示す。(「ハニーポット」とも呼ばれる)ハニーポットサーバ612は、内部ネットワーク610にある情報システムの不正使用の試みを、検出する、偏向する、または何らかの方法で打ち消すように設定されているセキュリティ機構である。一般に、ハニーポットサーバ612は、攻撃者にとって価値のある情報/リソースが含まれている内部ネットワーク610の正当な部分と思われるデータを含むが、ハニーポットサーバ612は、攻撃者をブロックすることが出来るように、実際には、隔離されかつ監視されている。
【0069】
より具体的には、攻撃者は、インターネット602上の他の場所に存在する外部IPアドレスを介して内部IPアドレスと通信することにより、組織のネットワーク610を侵害しようと試みることができる。通信は、一般に、組織ネットワーク610の外側境界を表すファイアウォール604により受信される。ファイアウォール604は、ハニーポットサーバ612および内部ネットワーク610に接続されたハブ608に通信可能に結合することができるルータ606に通信可能に結合させることが出来る。ファイアウォール604は、入ってくるスキャン攻撃614をハニースポットサーバ612に偏向させるように構成することが出来る。このようなアクションは、スキャン攻撃614が、組織ネットワーク610を侵害し、そして価値のあるデジタル資産を知ることを防ぐ。
【0070】
ボットネットには、脆弱性のあるIPアドレスをスキャンする傾向がある。したがって、本明細書に記載されるセキュリティ管理プラットフォームは、定期的にインターネット全体にランダムスキャンを実行しても良い。このような実施態様では、ハニーポットサーバは、インターネット全体に渡るIPアドレスに配置させることが出来、そしてセキュリティ管理プラットフォームは、個人がネットフローをIPアドレスから引出すことにより、これらのIPアドレスをスキャンするのを、待っていれば良い。別の言い方をすれば、セキュリティ管理プラットフォームは、グローバルネットフローを解析して、ハニーポットサーバに対応するIPアドレスに関与するトラフィックを識別することができる。これらのIPアドレスは、このようなアクションに意図的に同意する組織、およびこの組織が対話するエンティティ(例、サードパーティのセキュリティサービス)に属していても良い。しばしば、セキュリティ管理プラットフォームは、それが、ハニーポットサーバに関連付けられている少なくとも1つのIPアドレスをスキャンすることを担当するオブジェクトへの、コマンド-アンド-コントロールインフラストラクチャからのコマンドを見出すことが出来る、類似性のセンスを探している。問い合わせの例には、誰が、少なくとも1つのIPアドレスをスキャンするようボットネットに指示したか、いつスキャンが発生したか、他に誰とボットネットが話をしているか、等の発見が含まれる。ボットがハニーポットサーバをスキャンすると、セキュリティ管理プラットフォームは、(例、ボットのIPアドレスに関与するインターネット通信を識別することにより)このボットに対応するネットフローを即座に引出すことが出来る。
【0071】
このようなアクションにより、セキュリティ管理プラットフォームは、ボットが通信している他の全てのオブジェクトを知ることが出来る。これらのオブジェクトの大部分は、通常、スキャンされつつある他のIPアドレスである。
【0072】
セキュリティ管理プラットフォームは、単一IPアドレスまたは複数のIPアドレスに対応し得る、ボットとコマンド-アンド-コントロールセンタとの間のこれらの主要な通信を見出すようと試みることができる。コマンド-アンド-コントロールセンタはしばしば分散されているであろう。セキュリティ管理プラットフォームは、ボットネットのこれらの特性を発見し、そしてこのボットネットが、所定の時点でどのコンピューティングデバイスと話しているかを検証することが出来る。あるノイズは、一貫して除去する必要があるが、セキュリティ管理プラットフォームは、これらの潜在的な新しいボットが、組織に関連付けられているIPアドレスをスキャンしている方法と、確認されたボットが、これらおよび他のIPアドレスを以前にスキャンした方法との間の類似パターンを探すことが出来る。スキャンのタイミング、スキャン対象の外部ポート、スキャン対象、これらのボットの動作、等、いくつかの異なるパターン機能を精査することが出来る。如何なる種類の類似性も、ボットネット(および、場合によっては、既知のボットネット)が原因であるとの確信を増大させることができる。
【0073】
経時的に通信を追跡することにより、セキュリティ管理プラットフォームは、どのボットがコマンド-アンド-コントロールインフラストラクチャと通信しつつあるかを監視することが出来る。これにより、セキュリティ管理プラットフォームは、コマンド-アンド-コントロールインフラストラクチャに関連付けられているボットの動的ブラックリストを構築することが出来る。より具体的には、セキュリティ管理プラットフォームは、コマンド-アンド-コントロールノードのリストおよびボットのリストを維持することが出来る。これらのリストは、様々な信頼レベルに関連付けことができる(例、セキュリティ管理プラットフォームは、コマンド-アンド-コントロールノードのリストの精度には高い信頼性を持ち、かつボットのリストの精度には低い信頼性を持つことができる)。したがって、1つまたは複数の組織が所有する全てのIPアドレスに対して、セキュリティ管理プラットフォームは、監視対象の全てのコマンド-アンド-コントロールインフラストラクチャの傍受を見出すことが出来る。この組織は、それらの内部ネットワークがセキュリティ管理プラットフォームによって監視されている組織の一部または全てを表すことができる。もしセキュリティ管理プラットフォームが、コマンド-アンド-コントロールノードに関連付けられている外部IPアドレスと、組織に関連付けられているIPアドレスとが、同じオブジェクトと通信していることを発見すると、セキュリティ管理プラットフォームは、この組織に警告を発することができる。
【0074】
コマンド-アンド-コントロールセンタに関連付けられているIPアドレスを取得するには他の方法もある。いくつかの実施態様に存在する重要な機能の1つは、統合である。ここでは、IPアドレスは、コマンド-アンド-コントロールセンタに関連付けられているかもしれないが、このIPアドレスは、通常、内部ネットワークと直接話さないことを、既に示している個人によって作成されたことがある他のリストが、存在する。むしろ、このIPアドレスは、1つまたは複数の侵害されたホストを介して、組織のネットワークと通信する可能性がある。攻撃者は、通常、セキュリティ管理プラットフォームが、この種の通信の可視性を持っていることを完全に知らないであろう。その結果、もしセキュリティ管理プラットフォームが、コマンド-アンド-コントロールセンタに関連付けられているIPアドレスのリストを有していると、セキュリティ管理プラットフォームは、組織が、侵害されている可能性があるオブジェクトと話しつつありかつそれ自体が攻撃者と通信しているか否かを容易に決定することが出来る。このセキュリティ管理プラットフォームは、通信の高次分析(例、2次ホップ、3次ホップ、等)のために、複数のインスタンスを連結することも出来る。
【0075】
セキュリティ管理プラットフォームのいくつかの実施態様は、リスクフィルタも含む。例えば、米国連邦政府は、最近、北朝鮮に関連付けられている隠しコブラ(Hidden Cobra)IPアドレスのリストをリリースした。これらのIPアドレスは、全て、リスクフィルタに入れることが出来る。次に、セキュリティ管理プラットフォームが、リスト上の外部IPアドレスと通信している組織を知ると、セキュリティ管理プラットフォームは、この外部IPアドレスとのリスクセンスを推定することが出来る。セキュリティ管理プラットフォームは、リスクセンスが特定の閾値を超えると、この組織に警告することができる。
【0076】
ボットネット攻撃では、コマンド-アンド-コントロールセンタは、一般に、これらのボットが関心のあるIPアドレスをどのようにスキャンすべきかを指定する複数のボットに、オーダを中継する。例えば、このコマンド-アンド-コントロールセンタは、第1のボットと第2のボットに、将来のある時点で特定のIPアドレスをスキャンするように命令することができる。 これらの第1と第2のボットは、それまで沈黙していたかもしれない。これらの(例、ある種のサービス拒否(DoS)攻撃による)ボット攻撃の前に、このコマンド-アンド-コントロールセンタは、各ボットに、攻撃する時間を示す命令を送信する。このコマンド-アンド-コントロールセンタと複数のボットの間の通信を見ることにより、このセキュリティ管理プラットフォームは、このアプローチの様々な要素を観察することが出来る。例えば、このセキュリティ管理プラットフォームは、攻撃が実際に発生する前に、外部IPアドレスが攻撃の一部になることを検出し、そしてこの外部IPアドレスを自動的にブラックリストに登録することができる。
【0077】
いくつかの修復アクションは、手動で実行することができる。例えば、個人(例、ネットワークアドミニストレータ)は、内部ネットワークの証明書を手動でアップグレードさせることができる。セキュリティ管理プラットフォームによって実行されるいくつかのアクションは、手動でプロンプトさせることができるが、他のものは、自動的に開始される(例、提供モジュールは、組織のネットワークに証明書を分散することによりインフラストラクチャを定期的に更新することができる)。例えば、対応するIPアドレスとの間のフローが疑わしい場合、オブジェクトは、イメージを再作成することが出来るであろう。別の例として、ローカルネットワークは、リスクに基づいてインターネットから切出すことが出来るであろう。同様に、ローカルネットワークのサブセットは、リスクに基づいてローカルの他の部分から切出すことが出来るであろう。
【0078】
IPアドレスのリスクは、この組織によって管理されている如何なるコンピューティングデバイスも、このIPアドレスと通信できないことを確実にするために、ファイアウォールを越えて組織全体にプッシュさせることも出来るであろう。一部の実施態様では、高リスクに関連付けられているIPアドレスのログは、セキュリティ管理プラットフォームによって維持される。これらのアクションの一部は、組織全体の脅威に対処するために、セキュリティ管理プラットフォームと連携する自動化オーケストレーションフレームワークによって促進させることが出来る。
【0079】
セキュリティ管理プラットフォームによって採用されるフィードバックループの一部は、チケット発行システムを介して実装させることが出来るであろう。このチケット発行システムは、将来のアクションを改善するために、セキュリティ管理プラットフォームが取得しかつ使用するアクションチケットを生成するように、構成することが出来る。これに代えて、このアクションチケットは、元のアクションが閉じられたことを示すフィードバックを最終的にもたらす他のアクションを生成することもできる。したがって、これらのアクションチケットは、例えば、実際に変更が発生したことを検証するために使用することが出来るであろう。セキュリティ管理プラットフォームのいくつかの実施態様は、継続的に連続する監視も提供し、かつ一貫した変化の進行が観察されると、警告を生成する。一部の是正アクションは、完全に内部的なものであるかもしれない(つまり、組織のネットワークにあるIPアドレスおよびコンピューティングデバイスにのみ実行される)。いくつかの是正措置は、他の組織との対話に関与するかもしれない(例、ドメイン名が変更されたとき、IPアドレスが更新されたとき、等)。別の言い方をすれば、いくつかの是正措置は、セキュリティ管理プラットフォームがサードパーティと対話すること、または組織とサードパーティ間の対話を促進することを、必要とする場合がある。その後、このセキュリティ管理プラットフォームは、フィードバックループを検証することが出来る。
【0080】
したがって、第1のステップは、セキュリティ管理プラットフォームが内部ネットワーク内の脆弱性を識別することとすることができる。次いで、脆弱性が識別されると、セキュリティ管理プラットフォームは、これらの脅威を修正するために必要なアクションを実行することが出来る。如何なる数のアクションも実行することが出来るであろう。例えば、セキュリティ管理プラットフォームは、危険なIPアドレスのログをキャプチャすることにより、ブラックリストを自動的に生成させることが出来る。その後、このブラックリストは、この組織内の特定のポリシに従って適用させることが出来る。したがって、このセキュリティ管理プラットフォームは、リアル-タイムで通信を監視することができ、そしてこれらの観察により、ブラックリストの作成および/または拡張を実現させることが出来る。
【0081】
一般に、セキュリティ管理プラットフォームは、1つまたは複数のIPアドレスに信号を送信するであろう。このセキュリティ管理プラットフォームは、これらのIPアドレスから受信された応答を精査することが出来る。通常、各応答は、セキュリティ管理プラットフォームが、ソース(例、対応するコンピューティングデバイス)についての情報を推測することを可能にするデータおよびメタデータ、ソースで実行されているコンピュータソフトウェア、組織の関連付け、脆弱性、および/または構成ミスを含むであろう。その後、この情報は、これらのIPアドレスに関与する通信をより良く理解するために、追加データと統合させることが出来る。
【0082】
従来のフロー分析では、セキュリティ製品は、組織に関連付けられている内部ネットワークの境界全体のネットフローを監視し、そして組織のセキュリティに関する簡単な結論を導出するであろう。例えば、もしデータパケットが中国またはロシアにあるIPアドレスに送信されると、セキュリティ製品には、高いセキュリティリスクが存在すると決定する可能性は高い。しかしながら、このようなアクションは、より高度なセキュリティ脅威を知るには不十分である。通信に関与するIPアドレスの機能や動作に焦点を当てることにより、セキュリティ管理プラットフォームは、従来のセキュリティ製品の欠点に対処することが出来る。より具体的には、本明細書に記載するセキュリティ管理プラットフォームは、ネットワーク(例、ローカルネットワークまたはインターネット)を通過する通信に関する大量の詳細を調査し、そして必要に応じてセキュリティ脅威が識別される際にリアル-タイムで修復アクションを実行することが出来る。また、このセキュリティ管理プラットフォームは、修正アクションをより迅速に(例、セキュリティ脅威が問題になる前に)実行できるように、様々なソースからのデータを統合することが出来る。
【0083】
いくつかの実施態様では、セキュリティ管理プラットフォームは、インターネット全体にわたって組織に属する資産(例、IPアドレス)を知ることができる。これらの資産が識別された後、セキュリティ管理プラットフォームは、組織に関連付けられているネットワークの境上の資産から発せられる(または資産に向けられる)フローを探すことが出来る。別の言い方をすれば、このセキュリティ管理プラットフォームは、ネットワークが、組織によって明示的に未だ装備されていない場合、または組織自体が、認識されていないまたはそれらの他のエンタープライズシステムのそのネットワークを追跡していない場合でも、組織のネットワークからインターネットに入るまたは逆のトラフィックを精査することが出来る。セキュリティ管理プラットフォームは、インターネット上でアクセス可能なIPアドレスをアクティブにスキャンすることによりこれを実行しても良い。いくつかの実施態様では、セキュリティ管理プラットフォームは、また、(例、IPアドレスに信号を送信し、そして返信で受信した応答を解析することにより)これらの通信に参加することを可能にする情報へのアクセスを有する。
【0084】
再び図2を参照すると、もしセキュリティエンティティが、郵便局でどの封筒を検査するかを知りたいとすると、住所だけでそのような決定に到達することは難しい。しかしながら、このセキュリティエンティティが、誰が封筒を送ったか(送信者)、誰が封筒を受け取るか(受領者)、組織がアドレスに関連付けられているか否か、等知っていると、この決定は、はるかに容易に出来る。この情報は、セキュリティエンティティが、誰が、何を誰に発送しているかについてより良いセンスを得ることを可能にする。同様に、このセキュリティ管理プラットフォームは、通信が受信されるIPアドレス、およびデータパケットの交換に関与する他のIPアドレスに関する追加情報を精査することが出来る。前述したように、このセキュリティ管理プラットフォームは、高い信頼性を持って内部ネットワークの境を確立することも出来る。
【0085】
もし組織が、(例、封筒が郵便室以外の場所に配られることによって)検査プロセスを経ていない封筒を受け取ると、この組織は、封筒が存在することを完全に知らない可能性がある。しかしながら、郵便局は、封筒を送信元から送信先に運ぶ責任があるため、この封筒が存在していることは知っているであろう。このセキュリティ管理プラットフォームは、インターネットを通過する通信に関して同様の方法で機能することが出来る。一般に、ほとんどの組織は、それらの内部ネットワークの境界に沿ったIPアドレスで装備を使用する。このような設計は、異常な量のトラフィックを検出すること、および特定の場所(例、外国)への直接的な流れを停止させることを含む、いくつかの点で優れている。しかしながら、この設計では、しばしば、一部の通信が見落とされるであろう。セキュリティ管理プラットフォームがインターネット上のトラフィックを観察するので、組織がこれらの通信を認識しているか否かに関係なく、このセキュリティ管理プラットフォームは、組織との間の全ての通信を確認することが出来る。
【0086】
内部IPアドレスが、外部IPアドレスと通信することが危険であるか否かを判定する際に、セキュリティ管理プラットフォームは、3つの項目、(1)フローに関する詳細、(2)内部IPアドレスの詳細、(3)外部IPアドレスの詳細を考慮することが出来る。もし通信が、内部IPアドレスが存在する内部ネットワークにリスクをもたらすと、セキュリティ管理プラットフォームが決定すると、このセキュリティ管理プラットフォームは、組織ネットワークに関連付けられている組織に、リスクを通知することが出来る。この通信は、内部IPアドレスおよび/または外部IPアドレスに関するコンテキスト、適切な修復アクションのセンス、等を提供しても良い。
【0087】
内部IPアドレスおよび/または外部IPアドレスに関する情報は、1つまたは複数のスキャナ(例、図5のスキャナ502a-c)を含むグローバルスキャンインフラストラクチャによって導出させることが出来る。グローバルスキャンインフラストラクチャは、各IPアドレスに対応するコンピューティングデバイスの種類、コンピューティングデバイスの所属先、他のリスク要因、等を精査することが出来る。例えば、もしセキュリティ管理プラットフォームが、内部IPアドレスがTelnetコンピュータサーバに対応することを知ると、このセキュリティ管理プラットフォームは、この内部IPアドレスをインターネット上で公開すべきではないと指定することにより、対応する情報を充実させることが出来る。このようなアクションは、リスクの決定に役立つ追加の詳細を指定する「タグ付け」データと呼ぶことができる。これらの追加の詳細の一部は、内部IPアドレスを知るのみで識別することが出来る。セキュリティ管理プラットフォームは、これらの追加の詳細をアクティブスキャンおよび他のデータベースによって収集された情報に統合し、そして分析を適用して、統計的な意味でこの関連性の強さを決定することが出来る。
【0088】
上述したように、組織は、時折それらのフローの全てを見ることができない場合がある。この情報を公開することにより、これらの組織は、どのフローが最大のリスクを表しているかに基づいて、実行する必要があるアクションを決定することが出来る。特定の内部ネットワークまたは特定のIPアドレスの履歴データ(過去数か月または数年にわたって調査されたデータ)は、セキュリティリスクの頻度が増加/減少しつつあるか否か、セキュリティリスクが同じIPアドレスまたは異なるIPアドレスに影響しつつあるか否か、等を決定するために使用することも出来るであろう。
【0089】
[リスクフィルタ]
上述の5つのリスクフィルタに関して、各リスクフィルタは、第1のIPアドレスが第2のIPアドレスと通信していることを要求する。通常、これは、内部IPアドレスが外部IPアドレスと通信している形態で発生する。一般に、内部IPアドレスは、組織に関連付けられている組織ネットワークの境の内にあるIPアドレスであるが、外部IPアドレスは、内部ネットワークの境の外にあるIPアドレスである。セキュリティ管理プラットフォームは、内部ネットワークを通過するフローを精査するのではなく、グローバルネットフロー(例、全てのインターネットトラフィック)を、内部IPアドレスに関与するフローにフィルタリングすることが出来る。つまり、セキュリティ管理プラットフォームは、グローバルネットワークを、ソースまたは送信先の何れかとして内部IPアドレスを持つフローに、フィルタリングすることが出来る。
上述の5つのリスクフィルタに関して、各リスクフィルタは、第1のIPアドレスが第2のIPアドレスと通信していることを要求する。通常、これは、内部IPアドレスが外部IPアドレスと通信している形態で発生する。一般に、内部IPアドレスは、組織に関連付けられている組織ネットワークの境の内にあるIPアドレスであるが、外部IPアドレスは、内部ネットワークの境の外にあるIPアドレスである。セキュリティ管理プラットフォームは、内部ネットワークを通過するフローを精査するのではなく、グローバルネットフロー(例、全てのインターネットトラフィック)を、内部IPアドレスに関与するフローにフィルタリングすることが出来る。つまり、セキュリティ管理プラットフォームは、グローバルネットワークを、ソースまたは送信先の何れかとして内部IPアドレスを持つフローに、フィルタリングすることが出来る。
【0090】
第1のリスクフィルタについて、セキュリティ管理プラットフォームは、アクティブ検知データを引出して、外部IPアドレスで例外的に脆弱性のあるサービスが実行されているか否かを見ることが出来る。これには、設計上安全でないプロトコールのセットに加えて、容易におよび/または一般的に悪用されるサービスが含まれる。脆弱性のあるサービスの例:
●BACnet、Modbus、DNS3、Vxworks、Niagara Fox、EthrtnetIPの様な産業用制御システム;
●MSSQL、MySQL、Postgres、Redis、MongoDBの様なデータベースサービス;
●セッション開始プロトコール(SIP: Session Initiated Protocol);
)およびリアル-タイムストリーミングプロトコール(RSTP: Real Time Streaming Protocol)の様なオーディオ/ビデオ(A/V)プロトコール;
●Telnet、NetBIOS、簡易ネットワーク管理プロトコール(SNMP: Simple Network Management Protocol)、仮想ネットワークコンピューティング(VNC: Virtual Network Computing)、リモートデスクトッププロトコール(RDP: Remote Desktop Protocol)、サーバメッセージブロック(SMB: Server Message Block)の様なネットワークプロトコール;そして
●ファイル転送プロトコール(FTP: File Transfer Protocol)およびセキュアシェル(SSH: Secure Shell)の様な古いWebサーバプロトコール、および様々なメーカーのデフォルトのWebサーバ構成を備えたコンピューティングデバイス。
●BACnet、Modbus、DNS3、Vxworks、Niagara Fox、EthrtnetIPの様な産業用制御システム;
●MSSQL、MySQL、Postgres、Redis、MongoDBの様なデータベースサービス;
●セッション開始プロトコール(SIP: Session Initiated Protocol);
)およびリアル-タイムストリーミングプロトコール(RSTP: Real Time Streaming Protocol)の様なオーディオ/ビデオ(A/V)プロトコール;
●Telnet、NetBIOS、簡易ネットワーク管理プロトコール(SNMP: Simple Network Management Protocol)、仮想ネットワークコンピューティング(VNC: Virtual Network Computing)、リモートデスクトッププロトコール(RDP: Remote Desktop Protocol)、サーバメッセージブロック(SMB: Server Message Block)の様なネットワークプロトコール;そして
●ファイル転送プロトコール(FTP: File Transfer Protocol)およびセキュアシェル(SSH: Secure Shell)の様な古いWebサーバプロトコール、および様々なメーカーのデフォルトのWebサーバ構成を備えたコンピューティングデバイス。
【0091】
第2のリスクフィルタについて、セキュリティ管理プラットフォームは、アクティブ検知データを引出して、所定のフローレコードの外部IPアドレスに関連付けられているポートで実行中のアクティブサービスまたはオープンポートが、既に観察されたか否かを見ることが出来る。第2のリスクフィルタは、アクティブ検知に応答したサービスのセキュリティ管理プラットフォームが、どれだけ前までの過去(例、1時間、1日、6日、2か月、等)を見るかを指定するパラメータにより調整することが可能である。セキュリティ管理プラットフォームは、オプションとして、フローレコードで見出された対応するポートで外部IPアドレスのアクティブスキャンを実行することを決定して、より高い保証を得ることが出来る。別の言い方をすれば、セキュリティ管理プラットフォームは、外部IPアドレスにサービスが存在するか否かをリアル-タイムで確認する、外部IPアドレスへの応答を、引出すことを目的とした信号を、送信することが出来る。
【0092】
第3のリスクフィルタについて、セキュリティ管理プラットフォームは、第1のリスクフィルタに関して上述した脆弱性のあるサービスと同じセットを取得し、これらを外部IPアドレスではなくフローレコードの内部IPアドレスに適用することが出来る。セキュリティ管理プラットフォームは、オプションとして、トラフィックが内部IPアドレスからのインバウンドまたはアウトバウンドに見えるかに基づいて、警告を生成することが出来る。アウトバウンドトラフィックは、一般にリスクが高い。何故ならば、これが、アクションが脆弱性のあるサービスによって実行されつつあり、これにより対応するコンピューティングデバイスの潜在的な侵害が示されることを意味するからである。セキュリティ管理プラットフォームは、通信が双方向であるように見えるか否かに基づいて警告を生成することも出来る(例、セキュリティ管理プラットフォームは、TCPの場合は肯定応答(ACK: acknowledgement)の存在を確認する、またはUDPの場合は複数の双方向フローレコードを確認することが出来る。通常、双方向通信は、セキュリティ管理プラットフォームが、同期メッセージ(SYN: synchronize)のみを観察する単方向通信よりもリスクが高くなる。
【0093】
第4のリスクフィルタについて、セキュリティ管理プラットフォームは、組織のネットワークの全ての部分からのネットフローの履歴を精査することが出来る。例えば、セキュリティ管理プラットフォームは、各内部IPアドレスおよび内部IPアドレスのブロック(例、組織内の特定の部門に対応するもの)との間で送受信されるフローアクティビティの様々なヒストグラムを確認することが出来る。セキュリティ管理プラットフォームは、他の機能の中でも特に、データ量と通信頻度の調整可能なトリガを有していても良い。これらの調整可能なトリガにより、セキュリティ管理プラットフォームは、もし例えば、過去30日間に24の内部IPアドレスに関与するブロックに通信がなく、かつ突然1日あたり50メガバイト(MB)のアウトバウンドトラフィック送信が開始されると、組織に警告を発することを可能にする閾値を容易に設定することが出来る。いくつかの実施態様では、閾値は固定されている。例えば、閾値は、25MB、50MB、100MB、等に手動で設定させても良い。他の実施態様では、閾値は可変である。閾値は、例えば、内部ネットワーク内の総トラフィック量、内部ネットワーク上のコンピューティングデバイスの数、時刻、曜日、等の他の信号に基づいて、時間とともに自動的に調整するように設定させることが出来る
【0094】
第5のリスクフィルタについて、既知の「不正」外部IPアドレスのSet Pは、公的に(例、米国連邦政府によって)掲示される、または組織によって開示される脅威インテリジェンスを含む様々なソースから、およびセキュリティ管理プラットフォームにより管理されているハニーポットサーバの様な他のソースから来ることがあり得る。Set Pが判明すると、セキュリティ管理プラットフォームは、グローバルネットフローをフィルタリングし、そしてこれらの「不正」外部IPアドレスと精査中の組織に属する内部IPアドレスとの間の直接通信に対応するフローレコードに対し警告を生成することが出来る。セキュリティ管理プラットフォームは、グローバルネットフローをフィルタリングし、そして「不正」外部IPアドレスと内部IPアドレスの両方と通信する外部IPアドレスに対し警告を生成しても良い。いくつかの実施態様では、Set Pは、特定の時間ウィンドウに関連付けられている(例、セット内のそれらの外部IPアドレスは、特定の期間だけ「不正」と見なされる場合がある)。当業者は、「不正」外部IPアドレスが、必ずしもボットネットに関連付けられているわけではないことを認識するであろう。さらに、「不正」外部IPアドレスは、組織固有のものである場合がある。例えば、米国に拠点を置く金融会社の場合、「不正」外部IPアドレスには、外国資産管理局(OFAC: Office of Foreign Assets Control)によって指定された外国企業に関連付けられているIPアドレスが含まれるであろう。別の例として、米国連邦政府が運営するコンピューティングデバイスの場合、「不正」外部IPアドレスには、カスペルスキラボ(Kaspersky Labs)に関連付けられているIPアドレスが含まれるであろう。したがって、Set Pは、組織ごとに異なる可能性がある。
【0095】
これらのリスクフィルタのそれぞれは、そのソースに関係なくネットフローを使用することが出来る。例えば、いくつかの実施態様では、ネットフローはISPから直接受信されるが、他の実施態様では、ネットフローは組織自体から直接受信される。例えば、ネットフローは、組織によって内部ネットワークの境界に沿って配置されたフローコレクタによって収集されたトラフィックを含んでいても良い。例え、組織が、ISPによって提供されるフローに加えて独自のフローを提供する場合でも、この技術は同じように動作させることが出来る。このような実施態様の場合、セキュリティ管理プラットフォームは、過剰なトラフィックを、考慮されるべき追加のネットフローとして扱うことが出来る(例、セキュリティ管理プラットフォームは、特定のソースからのフローには高い優先度を割り当てなくても良い)。
【0096】
図7に示されるように、各リスクフィルタは、内部IPアドレス(「顧客IPアドレス」または「組織IPアドレス」とも呼ばれる)と外部IPアドレスとの間の通信に適用させることができる。ここでは、内部IPアドレスは、「C」エンドポイントとして描かれ、外部IPアドレスは、「E」エンドポイントとして描かれている。
【0097】
これらのエンドポイント間のフローに関する詳細は、通常、(例、インターネット上のトラフィックを収集、フィルタリング、および精査することにより)グローバルネットフローから導出される。これらの詳細は、内部IPアドレスが存在する組織に関連付けられている内部ネットワークから流出するフローから導出させることも出来るであろう。上述したように、セキュリティ管理プラットフォームは、通常、組織に関連する全てのフローをより良く理解するために、組織ネットワークの外部に存在するであろう。しかしながら、リスクの全体像を把握するために、セキュリティ管理プラットフォームは、内部ネットワークを通過する組織に関連する全てのフローを精査しても良い。このような実施態様では、セキュリティ管理プラットフォームは、グローバルネットフローで検出されたフローを、組織ネットワークの境界を通るネットフローで検出されたフローと比較することが出来る。
【0098】
セキュリティ管理プラットフォームは、グローバルネットフローをスキャンするので、このセキュリティ管理プラットフォームは、組織ネットワークを離れる(例、各内部IPアドレスを離れる)通信の送信先および内部ネットワークの外部に存在するオブジェクトに関する詳細を有していても良い。例えば、セキュリティ管理プラットフォームは、対応するオブジェクトに関する情報を学習することが出来る応答を引出す目的で、各オブジェクトに信号が送られるアクティブ検知手順により、これらの存在を発見しても良い。したがって、セキュリティ管理プラットフォームは、内部IPアドレスが外部IPアドレスと通信しているか否か、どのタイプのコンピューティングデバイスが外部IPアドレスに関連付けられているか、外部IPアドレスが悪意のあるエンティティに関連付けられているか否か、等を理解することが出来る。
【0099】
一般に、レビューしている組織内で関心がある可能性のある2つの異なるソースがある:
●組織内の実際のターゲットに関する詳細を指定するフロー情報;および
●内部IPアドレスを介した通信を担当するコンピューティングデバイスの種類(例、デスクトップコンピュータ、コンピュータサーバ、支払い処理システム)を指定する提供情報。
●組織内の実際のターゲットに関する詳細を指定するフロー情報;および
●内部IPアドレスを介した通信を担当するコンピューティングデバイスの種類(例、デスクトップコンピュータ、コンピュータサーバ、支払い処理システム)を指定する提供情報。
【0100】
組織は、しばしば、非武装地帯(DMZ: demilitarized zone)の部分であり、したがって内部ネットワーク内の脆弱点を表す内部IPアドレスに関与するフローに対して、警告を受け取ることに特に関心がある。セキュリティにおいて、DMZは、インターネットのような信頼できないネットワークへの組織の外部向けサービスを含む/公開する物理的または論理的なサブネットワークである。内部ネットワークアーキテクチャは、通常、ファイアウォールの背後にあるため、グローバルネットフローからは理解することは出来ない。しかしながら、組織は、しばしば、内部ネットワークの最も脆弱性のある点を認識するであろうことから、この組織は、セキュリティ管理プラットフォームと連携して、リスクのある内部IPアドレスがDMZ内にあるか否かを識別することができる。
【0101】
本明細書に記載されるセキュリティ管理プラットフォームの利点の1つは、事後の脅威戦略から事前の脅威戦略へ、またはその逆に移行する能力である。例えば、セキュリティ管理プラットフォームは、脅威に関する完全な情報を持っていなかったため、それは、以前はこのリスクを深刻に考えていなかったにもかかわらず、脅威が存在していることを組織に通知することができる。セキュリティ管理プラットフォームは、内部IPアドレスと外部IPアドレスの両方を観察することが出来るため、セキュリティ管理プラットフォームは、組織が、内部ネットワークへの不正侵入に使用される可能性のある内部IPアドレスを精査することを推奨することが出来る。
【0102】
セキュリティ管理プラットフォームは、単一の組織に対応する単一の内部ネットワークまたは複数の組織に対応する複数の内部ネットワークを分析した結果を精査することにより、パターンが存在するか否かを決定しても良い。もしセキュリティ管理プラットフォームが、機能(例、特定の脆弱性のあるサービスの存在、特定の外部IPアドレスとの通信、等)が高レベルのリスクに対応するパターンを発見すると、このセキュリティ管理プラットフォームは、将来この機能を見るときに、適切な修復アクションを積極的に実行することを選択しても良い。このセキュリティ管理プラットフォームは、通信を事後的に精査するのではなく、既知のリスクから組織のネットワークを予防的に保護することが出来る。
【0103】
図8は、いくつかの異なるタイプのリスクフィルタ:(1)非常に脆弱性のあるIPアドレスとの通信;(2)悪評が知られているIPアドレスとの通信;(3)新規または一時的なサービスとの通信;(4)非アウトバウンドゲートウェイからの新しいトラフィックを示す。当業者は、セキュリティ管理プラットフォームが、内部ネットワークを精査する際に、如何なる数のこれらのリスクフィルタも使用することが出来るであろうことを認識するであろう。
【0104】
図9-12は、これらの異なるタイプのリスクフィルタの例を示す。図9は、外部IPアドレスが非常に脆弱性のあるサービス(例、Telnet)を実行している内部IPアドレスと通信しているシナリオを示す。図10は、内部IPアドレスが、既知の評判を持つ外部IPアドレスと通信しているシナリオを示す。ここで、例えば、外部IPアドレスは、それが、外部IPアドレスがプロキシとして使用されるであろうリスクを高める非常に脆弱性のあるサービス(例、Telnet)を実行しているため、リスクが高いという評価を有する。図11は、内部IPアドレスが、新規または一時的なサービスを実行しているが、ブラックリストには載っていない外部IPアドレスと通信しているシナリオを示す。このようなシナリオでは、セキュリティ管理プラットフォームは、外部IPアドレスをアクティブにスキャンし、そして返される応答がある場合にはそれを精査することができる。例えば、セキュリティ管理プラットフォームは、TCPの場合にACKが受信されたか否かを決定したり、UDPの場合にデータパケットサイズを精査することができる。図12は、以前は長期間(例、数日、数週間、または数か月)沈黙状態にあった内部IPアドレスが、外部IPアドレスとの通信を開始したシナリオを示す。このセキュリティ管理プラットフォームは、内部IPアドレスが既に通信を開始していることを、組織が知っていることを確認するための警告を生成しても良い、これにより必要な修復アクション(例、内部IPアドレスに対応するコンピューティングデバイスをオフラインにする)の実行が促される。
【0105】
[ユーザエージェントベースの脅威相関]
組織と協働することにより、セキュリティ管理プラットフォームは、内部ネットワーク上に永続的に存在するエンドポイント(例、デスクトップコンピュータおよびコンピュータサーバ)を識別することが出来る。さらに、グローバルネットフローを精査することにより、セキュリティ管理プラットフォームは、内部ネットワーク上に一時的に存在するエンドポイント(例、携帯電話およびラップトップコンピュータ)を識別することが出来る。内部ネットワーク全体をより良く理解するために、セキュリティ管理プラットフォームは、永続的なエンドポイントと非永続的なエンドポイントを監視することが出来なければならない。
組織と協働することにより、セキュリティ管理プラットフォームは、内部ネットワーク上に永続的に存在するエンドポイント(例、デスクトップコンピュータおよびコンピュータサーバ)を識別することが出来る。さらに、グローバルネットフローを精査することにより、セキュリティ管理プラットフォームは、内部ネットワーク上に一時的に存在するエンドポイント(例、携帯電話およびラップトップコンピュータ)を識別することが出来る。内部ネットワーク全体をより良く理解するために、セキュリティ管理プラットフォームは、永続的なエンドポイントと非永続的なエンドポイントを監視することが出来なければならない。
【0106】
いくつかの実施態様では、セキュリティ管理プラットフォームは、内部ネットワーク上にあるエンドポイントのタイプを識別することが出来る。このようなアクションは、サイト上のエンドポイントを装備する必要無しに、内部ネットワークの外部で実行させることが出来る。これに代えて、セキュリティ管理プラットフォームは、ユーザエージェントを使用してこれを行うことが出来る。各ユーザエージェントには、エンドポイントと通信するように構成されている1つまたは複数のスキャナ(例、図5のスキャナ502a-c)を含めることが出来る。エンドポイントがWeb要求を行うと、このエンドポイントは、このWeb要求を受領するはずの受領者に情報を提供するであろう。この情報は、例えば、関与するエンドポイントのタイプ、関与するデータの種類、エンドポイントで実行されているサービス、エンドポイントに含まれるハードウェアのタイプ、等を指定することが出来る。この情報は、通常、受領者が戻すコンテンツが、適切なサイズ、フォーマット、等を有するように、提供される。ユーザエージェントは、内部ネットワークの外部に装備されるが、ユーザエージェントは、これらのエンドポイント間の通信を精査することにより、内部ネットワーク上のエンドポイントの特性を決定することが出来る。例えば、ユーザエージェントは、内部ネットワークで実行されているユーザ向けのコンピュータソフトウェアの種類を決定することが出来るであろう。
【0107】
内部ネットワーク上のエンドポイントに関して発見されたものに基づいて、異なる行動を取っても良い。例えば、セキュリティ管理プラットフォームは、エンドポイントがWindows XP(登録商標)オペレーティングシステムを実行していることを発見しても良い。このようなシナリオでは、セキュリティ管理プラットフォームは、組織のポリシでサポートまたは許可されていないオペレーティングシステムを識別することが出来る。同様に、セキュリティ管理プラットフォームは、古いコンピューティングデバイスを探すことも出来る。特定の種類のコンピューティングデバイス(例、中国製のもの)が、情報を盗み出すことが知られているため、多くの組織は、これらのデバイスを許可していない。ユーザエージェントが学習した情報を精査することにより、セキュリティ管理プラットフォームは、組織ポリシに準拠していないエンドポイント(もしあれば)を確認することが出来る。さらに、セキュリティ管理プラットフォームは、内部ネットワークからのフローを観察して、如何なるエンドポイントも機密情報を外部IPアドレスに漏洩していないか否かを確認し、外部IPアドレスがこのエンドポイントを戻りのターゲットにできるようにする信号を生成することが出来る。
【0108】
例えば、組織ネットワーク上のエンドポイントは、ディレクトリ構造がどのように設定されているかのような、関心のあるアイテムに関する情報を裏切るスクリプトを持っている場合がある。もしセキュリティ管理プラットフォームが、スクリプトの存在を知ると、このセキュリティ管理プラットフォームは、エンドポイントが、不正のエンティティ(「外部エンティティ」とも呼ばれる)によってターゲットにされている可能性が高いと決定することが出来る。いくつかの実施態様では、外部エンティティは、エンドポイントを望ましくない方法で実行させるペイロードを提供する。例えば、ペイロードが、エンドポイントが意図しない受領者への通信を指示する場合がある。セキュリティ管理プラットフォームは、(例、更新が、予定どおりに、および/または組織のポリシに従ってスケジュールどおりに、行われたか否かを精査することによって)マルウェアを検索したり、監査を確認したりすることも出来る。
【0109】
セキュリティ管理プラットフォームは、経時的にエンドポイントを監視しても良い。例えば、セキュリティ管理プラットフォームは、エンドポイントが過去に存在した場所を確認したり、エンドポイントが将来存在する場所を予測したりすることが出来る。このようなアクションは、組織ポリシへのコンプライアンスを促進するために使用することが出来る。例えば、セキュリティ管理プラットフォームは、地理的制限ポリシに違反しているエンドポイントを識別しても良い(例、いくつかの組織は、携帯電話またはラップトップコンピュータを特定の国に持ち込むことを許可しない)。したがって、セキュリティ管理プラットフォームは、組織に関連付けられているエンドポイントが危険にさらされているか否か、およびエンドポイントが組織のポリシに準拠しているか否かを監視することが出来る。
【0110】
より多くの組織が侵害を被るにつれて、セキュリティ管理プラットフォームは、侵害中にどの程度組織の情報が流出されたかを追跡することが出来る。これは、侵害の前、最中、および/または後に、この組織に対応する組織ネットワークに流入するおよびそれから流出入するトラフィックを精査することにより実現させることが出来る。組織ネットワークの境を越えて流れる間に、例え、トラフィックが暗号化されていても、セキュリティ管理プラットフォームは、そのトラフィックにアクセスすることが出来る。これに加えまたは代えて、セキュリティ管理プラットフォームは、ISPから暗号化されていないトラフィックを受信しても良い。
【0111】
いくつかの実施態様では、セキュリティ管理プラットフォームは、複数のソースからトラフィックに関するデータを取得する。例えば、セキュリティ管理プラットフォームは、内部ネットワークの境に沿って装備されているスキャナから暗号化されたトラフィックを、ISPから暗号化されていないトラフィックを、および/またはそれらに宛てられた通信を解読するように構成されているCDNから、暗号化されていないトラフィックを取得しても良い。このようなアプローチの利点の1つは、セキュリティ管理プラットフォームが、管理されていない組織ネットワーク上のエンドポイントの種類を識別することが出来ることである。一般に、セキュリティ管理プラットフォームでは、異常な通信アクティビティを知ることは出来るが、一貫性のない状態で非永続的なエンドポイントを見る可能性は低い。例えば、ラップトップコンピュータは、オン/オフされる時、異なる場所間で移動されるとき、等には、組織ネットワーク上に永続的に存在しない場合がある。しかしながら、セキュリティ管理プラットフォームは、異常な通信アクティビティを検出することが出来る(例、ラップトップコンピュータが、通常は動作しない午前3時に大量のデータを送信する操作を開始した場合)。
【0112】
ネットフローによって表される通信アクティビティも、エンドポイントが何であるか、エンドポイント上でどのコンピュータソフトウェアが実行されているか、等を決定するために、精査させることが出来る。いくつかのエンドポイントは、実際に、外部に向かう通信におけるそれらの特性を指定しても良い。例えば、セキュリティ管理プラットフォームは、トラフィックが旧バージョンのエンドポイントから来ている時には、Windows(登録商標)NT2000オペレーティングシステムを実行している旧バージョンのエンドポイントがあることを検出することができる。トラフィックが、旧バージョンのエンドポイントから来ている場合、旧バージョンのエンドポイントは、オープンなインターネットに接続される(したがって、不正のエンティティによる攻撃に対してオープンになる)。
【0113】
複数のエンドポイントは、しばしば、組織ネットワークの境界内にあるであろうが、これらのエンドポイントは、組織ネットワークの外部にある外部オブジェクトとランダムに通信する可能性がある。これは「ネットワークの境の概念」と呼ばれる。もしエンドポイントが、外部IPアドレスによって呼出される、または悪意のあるWebサイト(例、フィッシングWebサイト)にアクセスすると、このエンドポイントは、アウトバウンド接続を確立しているので保護されないであろう。この組織ネットワーク内のエンドポイントは、これらのエンドポイントが、外部オブジェクトを呼出すことができるため、依然として関心のある境内に存在し得る。しかしながら、これらのエンドポイントは、外部オブジェクトの呼出しのみを行い、セキュリティ管理プラットフォームがそれらのいくつかをすでに装備している可能性があるので、焦点を、これらのエンドポイントが何をしているかではなく、これらのエンドポイントが何であるかとしても良い。セキュリティ管理プラットフォームは、これらのエンドポイントによって生成される様々な種類のコマンド(例、データを送信するためのPUTおよびデータを受信するためのGETのような命令)を精査しても良い。
【0114】
セキュリティ管理プラットフォームのいくつかの実施態様は、通信アクティビティに含まれるデータパケットのコンテンツを監視するように構成される。例えば、HTTP GETリクエストには、ソースの説明を含めることが強く推奨されるヘッダ(「ユーザエージェントヘッダ」とも呼ばれる)を含めることが出来る。ヘッダに含める情報の種類を指定するいくつかの異なる標準が、存在する。例えば、ヘッダは、エンドポイントで実行されているブラウザの種類、モバイルアプリケーションがデータパケットを生成したか否か、等を指定しても良い。しばしば、ヘッダは、エンドポイントの基盤となるハードウェアおよび/またはどのオペレーティングシステムがエンドポイントで実行されているかに関する情報を含むであろう。
【0115】
セキュリティ管理プラットフォームのいくつかの実施態様は、インターネット全体に分散されているオブジェクトの知識に基づいて、情報のストリームにコンテキストを提供する。セキュリティ管理プラットフォームは、オブジェクト(例、内部または外部IPアドレス)がどのように通信しているかについて、およびこれらのオブジェクトが組織および組織のネットワークにどのように関連するかについての詳細とコンテキストを提供することにより、非常に大きな価値を追加することが出来る。これらの通信アクティビティをより良く理解することにより、セキュリティ管理プラットフォームは、より大きな価値を組織に配信することが出来る。例えば、セキュリティ管理プラットフォームは、組織に関連する通信アクティビティが、時間の経過とともに(例、量、関係する内部IPアドレス、関係する外部IPアドレス、等に関して)どのように変化したかを示すことが出来る。別の例として、セキュリティ管理プラットフォームは、以前はこの組織には無関係であったエンドポイントが、いつこの組織のネットワークに参加したかを知ることが出来る。
【0116】
セキュリティ管理プラットフォームは、また、組織のネットワークの境の地図の作成に役立つデータセットを精査することが出来る。これらのデータセットは、以前は特定されていなかったIPアドレス空間に装備されている組織的に一意のユーザエージェントによって作成させても良い。いくつかの実施態様では、これらのデータセットは、IPアドレスのブロックを、対応する組織に関連付けるために使用される。同様に、もし2つのブロックと、VPN、IPSec、GRE(Generic Routing Encapsulation)、等のプロトコールを使用する他のブロックとの間にフローの優位性があるとすると、セキュリティ管理プラットフォームは、これら2つのブロックが同じ組織に属すると推測することができる。
【0117】
セキュリティ管理プラットフォームが観察したオブジェクトも、異なる相関関係およびアクションに引込むことが出来るであろう。別の言い方をすれば、セキュリティ管理プラットフォームは、一連のオブジェクトを観察し、そしてこれらの観察に基づいて適切なアクションを実行することが出来る。例えば、もしセキュリティ管理プラットフォームが、旧式のまたはサポートされていないコンピュータソフトウェアを実行している旧バージョンのエンドポイントを発見すると、セキュリティ管理プラットフォームは、セキュリティリスクに対処する必要があることを、対応する組織に警告することが出来る。通常、組織に関連付けられている個人(例、サイトで作業をしているアドミニストレータ)は、旧バージョンのエンドポイントを見出し、そして適切なアクションを実行し(例、旧バージョンのエンドポイントを廃止または更新する)なければならないであろう。
【0118】
アクションは、主に可視性に基づかせても良い。例えば、もしエンドポイントが、承認されたセキュリティベースラインに含まれる企業によって製造されているとすると、セキュリティ管理プラットフォームは、警告を生成する、および/またはエンドポイントが低セキュリティ脅威であることを示すチケットを作成しても良い。これらのアクションは、主に、制御に基づかせることも出来るであろう。例えば、もしMicrosoft Windows(登録商標)オペレーティングシステムの旧バージョンを実行しているエンドポイントが、所定のサブネットワークで発見されると、セキュリティ管理プラットフォームは、エンドポイントをアップグレードする、メンテナンスのスケジュールを行う、等を行わせる自動提供システムに、警告をプッシュしても良い。これに代えて、この自動提供システムが、所定のサブネットワーク(例、内部ローカルエリアネットワーク(LAN))を、積極的な予防的対策として他のネットワークから一時的に分離させても良い。
【0119】
上述したように、セキュリティ管理プラットフォームは、ユーザエージェントによって生成されたデータから、エンドポイントで実行されているオペレーティングシステムのバージョン、エンドポイントにインストールされているコンピュータソフトウェアの種類、および(例、別のインストールされたコンピュータソフトウェアのソフトウェア更新エージェントに基づいて)インストールされたコンピュータソフトウェアのバージョンを推測するように構成しても良い。この情報から、組織全体に渡って、コンピュータソフトウェアと異なるバージョンの分散を、内部ネットワークの現実とベースラインポリシ/義務が規定するものとの相違(「デルタ」とも呼ばれる)のように推測することが出来る。もし不一致が検出されると、セキュリティ管理プラットフォームは警告を発行しても良い。例えば、特定のコンピュータプログラムの古いバージョンの数が閾値を超えたことが発見されると、警告を生成させることが出来るであろう。
【0120】
一般に、セキュリティ管理プラットフォームは、特定のカテゴリの情報に対して警告を生成することに焦点を合わせている。これらのカテゴリの例は、次のとおりである:
●旧バージョンのコンピュータソフトウェア(例、まだ幾つのWindows XP(登録商標)オペレーティングシステムのインスタンスが、内部ネットワークに存在しているか、まだ幾つのInternet Explorer(登録商標)6が、水飲み場型攻撃により容易に搾取されるリスクがある内部ネットワークに存在しているか、等);
●脆弱性のあるまたは禁止されているコンピューティングデバイス(例、Huawei Technologies Co.、ZTE Corporation、およびXiaomi Inc.が製造した中国製コンピューティングデバイスは、米国連邦政府および多くの企業に関連する内部ネットワークに対し禁止されている);
●脆弱性のあるコンピュータソフトウェア(例、多くのモバイルアプリケーションが、それらが企業データポリシに違反してインストールされている携帯電話に関するビーコン情報に、知られている);
●マルウェアビーコン(例、既知のユーザエージェントシグネチャは、脅威インテリジェンスフィードによって提供される既知のマルウェアサンプルと比較させる、または一致が存在するか否かを決定するリバースエンジニアリングによって導出させることが出来る);そして
●一意に識別された通信(例、対応する組織に固有の内部ネットワーク上には、ユーザエージェント文字列が存在し、そしてこれらのユーザエージェント文字列は、内部サービスがインターネットと確立している接続を識別するために、不正なエンティティによって使用される可能性がある)。
●旧バージョンのコンピュータソフトウェア(例、まだ幾つのWindows XP(登録商標)オペレーティングシステムのインスタンスが、内部ネットワークに存在しているか、まだ幾つのInternet Explorer(登録商標)6が、水飲み場型攻撃により容易に搾取されるリスクがある内部ネットワークに存在しているか、等);
●脆弱性のあるまたは禁止されているコンピューティングデバイス(例、Huawei Technologies Co.、ZTE Corporation、およびXiaomi Inc.が製造した中国製コンピューティングデバイスは、米国連邦政府および多くの企業に関連する内部ネットワークに対し禁止されている);
●脆弱性のあるコンピュータソフトウェア(例、多くのモバイルアプリケーションが、それらが企業データポリシに違反してインストールされている携帯電話に関するビーコン情報に、知られている);
●マルウェアビーコン(例、既知のユーザエージェントシグネチャは、脅威インテリジェンスフィードによって提供される既知のマルウェアサンプルと比較させる、または一致が存在するか否かを決定するリバースエンジニアリングによって導出させることが出来る);そして
●一意に識別された通信(例、対応する組織に固有の内部ネットワーク上には、ユーザエージェント文字列が存在し、そしてこれらのユーザエージェント文字列は、内部サービスがインターネットと確立している接続を識別するために、不正なエンティティによって使用される可能性がある)。
【0121】
[リスクフィルタレポート]
図13-14は、セキュリティ管理プラットフォームが生成することが出来るレポートのいくつかの例を示す。図13は、1つ以上のフィルタを満たすレコードを含むレポートを示す。ここでは、4つの異なるフィルタ(つまり、ACK、顧客へのフロー、全ての理由、および最後の7日)が指定されていて、そして4つ全てのフィルタを満たすレコードが、ポートごとにグループ化されている。各レコードは、セキュリティ管理プラットフォームが管理する内部ネットワークに対する様々なセキュリティ脅威に、対応することができる。例えば、ポート80は、内部IPアドレスと外部IPアドレスの異なるペア間の通信に対応する4つの異なるレコードに、関連付けられている。一方、図14は、もしユーザ(例、ネットワークアドミニストレータ)がレコードを選択すると、このレコードに関する追加情報がどのように提供させることが出来るかを示す。例えば、ユーザは、レコードを選択して、どのような修復アクション(ある場合)がセキュリティ管理プラットフォームによって推奨されるかを決定しても良い。同様に、ユーザは、レコードを選択して、修復アクション(例、資格情報の取消し、インターネットへのアクセス禁止、またはコンピュータソフトウェアの更新)を開始させても良い。
図13-14は、セキュリティ管理プラットフォームが生成することが出来るレポートのいくつかの例を示す。図13は、1つ以上のフィルタを満たすレコードを含むレポートを示す。ここでは、4つの異なるフィルタ(つまり、ACK、顧客へのフロー、全ての理由、および最後の7日)が指定されていて、そして4つ全てのフィルタを満たすレコードが、ポートごとにグループ化されている。各レコードは、セキュリティ管理プラットフォームが管理する内部ネットワークに対する様々なセキュリティ脅威に、対応することができる。例えば、ポート80は、内部IPアドレスと外部IPアドレスの異なるペア間の通信に対応する4つの異なるレコードに、関連付けられている。一方、図14は、もしユーザ(例、ネットワークアドミニストレータ)がレコードを選択すると、このレコードに関する追加情報がどのように提供させることが出来るかを示す。例えば、ユーザは、レコードを選択して、どのような修復アクション(ある場合)がセキュリティ管理プラットフォームによって推奨されるかを決定しても良い。同様に、ユーザは、レコードを選択して、修復アクション(例、資格情報の取消し、インターネットへのアクセス禁止、またはコンピュータソフトウェアの更新)を開始させても良い。
【0122】
図15は、組織に属する内部IPアドレスに関与する各フローが、どのようにして、データパケットの外部IPアドレスへの送信として、またはデータパケットの外部IPアドレスからの受信として、モデル化させることが出来るかを示す。ここで、例えば、Space Kitty Corpに属するIPアドレス199.29.255.16は、2つのデータパケットを、外部IPアドレス24.31.240147に送信している。ユーザによるレビューのために、リスクの決定に関連する他の情報も、インターフェースに投稿しても良い。このような情報の例には、ポート番号、地理的場所、パケットサイズ、確認応答が受信されたか否か、等が含まれる。
【0123】
図16は、レコードに関連付けられている個々の証明書、ドメイン、またはメモをユーザが如何に容易に探索することが出来るかを示す。レコードが選択されると、このレコードに関連する情報を含むレポートが、さらなる検討のために、ユーザに表示させることができる。ここでは、例えば、レポートは、ポート80を介して通信する外部IPアドレス24.31.240147に関係する。他の情報(例、自律システム番号(ASN: Autonomous System Number)、所有者、登録日)を表示させても良い。ユーザは、レポートでそれを選択することにより、特定の証明書、ドメイン、またはメモに関する詳細を確認することができる。
【0124】
図17は、フィルタレポート内に表示することが出来るであろうツールのヒントの例を示す。もしユーザが、所定の時間(例、2秒、3秒、5秒)アイテムの上をホバーする、またはこれらのアイテムに関与する特定のアクション(例、右クリックまたはダブルクリック)を実行すると、ツールのヒントを表示させることもできる。ツールのヒントは、様々なトピックに関連させることが出来る。ここでは、例えば、ツールのヒントは、「非ゲートウェイからのトラフィック」という用語を説明する。図17に示されている他の理由(例、脆弱性のあるIPへのインバウンドおよびIP評価)および本明細書には示されていない他の理由についても、同様の説明を加えることができる。
【0125】
図18-19は、セキュリティ管理プラットフォームの様々な機能を要約するセキュリティガイドの一部を示す。具体的には、図18に示されているセキュリティガイドの部分では、いくつかの異なる種類のリスクフィルタが説明されている。セキュリティ管理プラットフォームに関する一般的な情報に加えて、セキュリティガイドには、良く使用される用語集、様々なネットワーク構成の図表現、ホワイトペーパ、等を含めることも出来るであろう。
【0126】
図19は、セキュリティガイドの異なるセグメントにラベル付けをする一連のタグを含む。一般的に、セキュリティガイドが、コンピューティングデバイス(例、携帯電話、ラップトップコンピュータ、またはデスクトップコンピュータ)で表示されるとき、トピックヘッダ1902は、インターフェースの上部に沿ってドッキングされる。したがって、ユーザが、例えば、リスクフィルタに関連する情報を閲覧すると、関連トピックヘッダ(例、「リスクフィルタ」)がインターフェースの上部に沿ってドッキングされる。ユーザが、別のトピックに関連する情報の閲覧を開始すると、既存のトピックヘッダは、新しいトピックヘッダに置換えることが出来る。いくつかの実施態様では、インターフェースは、選択時に、ユーザが現在見ているセキュリティガイドのセクションを、1人または複数の他のユーザと共有することができるようにする共有ボタン1904も含む。セキュリティガイドのセクションは、電子メール、テキストメッセージ、ハイパーリンク、等の様々な形式の電子通信を介して共有することが出来る。
【0127】
上述したように、セキュリティガイドは、タイプの異なる資産の説明を含むことが出来る。各資産タイプは、重要性、定義、ケーススタディ、設定方法、および/またはベストプラクティスを説明するパラグラフを有していても良い。セキュリティガイドの一部のセクションは、公開しても良いが、セキュリティガイドの他のセクションはプライベートにしても良い(つまり、適切な資格情報でログインできるセキュリティ管理プラットフォームの顧客に対してのみロックが解除される)。
【0128】
一部の実施態様では、セキュリティガイドは、ユーザが1つ以上の用語を入力することによりセキュリティガイド全体を容易に検索できるようにする検索フィールド1906を含む。ユーザは、検索がセキュリティガイドの特定の部分(例、現在表示されている部分)に限定されるように、指定しても良い。セキュリティガイドは、ユーザがフィルタを指定することができるようにしても良い。例えば、ユーザは、セキュリティガイドのコンテンツをフィルタ処理して、各資産タイプのベストプラクティスのみを表示することも出来るであろう。
【0129】
[セキュリティ管理プラットフォーム]
本明細書では、1つまたは複数のネットワークを横断するトラフィックを精査してセキュリティ脅威を検出することができるセキュリティ管理プラットフォーム(「セキュリティイベント検出システム」とも呼ばれる)が、説明されている。図5に示されるように、このセキュリティ管理プラットフォームは、脅威検出モジュールとリポジトリを含むことが出来る。このセキュリティ管理プラットフォームは、コンピューティングデバイスに関連付けられているネットワークトラフィックデータおよび/またはアクティブプローブデータを受信するように構成されているインターフェースを含んでいても良い。いくつかの実施態様では、異なるインターフェースが、これらの異なるタイプのデータを受信する。
本明細書では、1つまたは複数のネットワークを横断するトラフィックを精査してセキュリティ脅威を検出することができるセキュリティ管理プラットフォーム(「セキュリティイベント検出システム」とも呼ばれる)が、説明されている。図5に示されるように、このセキュリティ管理プラットフォームは、脅威検出モジュールとリポジトリを含むことが出来る。このセキュリティ管理プラットフォームは、コンピューティングデバイスに関連付けられているネットワークトラフィックデータおよび/またはアクティブプローブデータを受信するように構成されているインターフェースを含んでいても良い。いくつかの実施態様では、異なるインターフェースが、これらの異なるタイプのデータを受信する。
【0130】
これらのデータを解析することにより、脅威検出モジュールは、ネットワークトラフィックデータとアクティブプローブデータとの間に相関関係が存在するか否かを決定し、そしてこれらの相関関係が、セキュリティイベントが発生したことを示すか否かを決定することが出来る。これらの相関関係が、セキュリティイベントが既に発生していることを示す場合、この脅威検出モジュールは、このセキュリティイベントが特定のコンピューティングデバイスに関連付けられていることを示すことが出来る。この脅威検出モジュールは、アクティブプローブデータから、どのコンピューティングデバイスがセキュリティイベントに関与しているかを知ることができる。「セキュリティイベント」という用語は、一般に、セキュリティ脅威を高める結果をもたらす如何なるイベントも指す。上記のリスクフィルタに対応する通信アクティビティは、セキュリティイベントと見なされるであろう。したがって、セキュリティイベントの例には、新しいまたは一時的なサービスとの通信の検出、内部ネットワークに存在する脆弱性のあるコンピューティングデバイス(「内部コンピューティングデバイス」、「組織コンピューティングデバイス」、または「顧客コンピューティングデバイス」とも呼ばれる)の検出、内部コンピューティングデバイスから、乗っ取りに対し脆弱でありかつ内部ネットワークの外部にあるコンピューティングデバイス(「外部コンピューティングデバイス」とも呼ばれる)への通信の検出、指定された時間間隔(例、数日、数週間、または数か月)の間、如何なる通信とも関与していない内部コンピューティングデバイスに関する通信の検出、等が含まれる。
【0131】
より一般的には、セキュリティ管理プラットフォームは、インターネットに接続されたコンピューティングデバイスが関与するセキュリティイベントを識別するために、2つの異なるタイプのデータ:(1)アクティブ検知データ;および(2)ネットフローデータを利用することが出来る。
【0132】
アクティブ検知データは、コンピューティングデバイスがコンピュータネットワーク(例、インターネット)に接続されている間に、このコンピューティングデバイスのプローブの結果としてこのコンピューティングデバイスから受信される情報を含む。プローブは、コンピュータネットワークでアクセス可能な任意のIPアドレスから情報を積極的に検索することが出来る。リポジトリは、オープンポート、利用可能なサービス、証明書、コンピューティングデバイス情報、またはネットワークを介したコンピューティングデバイスのプローブから利用可能となる他の種類の情報を含んでいても良い。いくつかの実施態様では、単一のコンピューティングデバイスの複数のプローブは、特定の時間間隔にわたって異なる時刻に実行される。このようなアクションは、セキュリティ管理プラットフォームが、経時的なセキュリティリスクの変化を容易に発見することを可能にする。さらに、異なるコンピューティングデバイスの複数のプローブは、単一の時点で同時に実行させることも出来る。
【0133】
ネットフローデータは、コンピュータネットワーク(例、内部ネットワークまたはインターネット)を通過するトラフィックに関連する情報を含む。具体例には、パケットのソース情報と送信先情報、パケットの送信および/または受信時間、ソースから送信先へのパスに沿ったホップデータ、等が含まれる。ネットワークトラフィックデータは、ネットワークアドミニストレータ、組織、ISP、ルーティングデバイス(例、図1のスイッチ104a、104dまたはルータ104b、104c)、ファイアウォールデバイス、セキュリティ情報およびイベント管理(SIEM)システム、または交通情報用の他の適切な収集ソースまたはストレージを含むことが出来るであろう。
【0134】
これらの2つのデータタイプ間の相関関係を精査することにより、セキュリティ管理プラットフォームは、コンピュータネットワーク(例、組織に関連付けられている内部ネットワーク)に対するセキュリティ脅威を識別することが出来る。場合によっては、タイミング情報は、何れかのデータタイプで検出されたセキュリティイベントの決定部分として使用される。例えば、長時間(例、145分、7時間、30日、57日、等)そのローカルネットワーク外にある他の如何なるコンピューティングデバイスとも今まで通信していないが、突然通信を開始するコンピューティングデバイスは、このコンピューティングデバイスの管理を担当する組織が、このコンピューティングデバイスが、これらの通信を記録/精査することを監視していた確率は低いので、通常、そのリスクスコアは高くなる。セキュリティイベントが識別されると、この識別により、このコンピューティングデバイスを出入りするトラフィックのフィルタリングがトリガされる。これに代えて、この識別は、コンピューティングデバイスが存在するコンピュータネットワークを出入りするトラフィックのフィルタリングをトリガしても良い。このようなアクションは、コンピュータネットワーク上の他のコンピューティングデバイスに影響を与える、関連するセキュリティ脅威も、適切に識別されることが確保されるために、必要としても良い。この識別は、また、ブラックリストの作成および/または修正、通信および関連するコンピューティングデバイスに関する警告の生成、同様のアクティビティに従事する可能性のある他のコンピューティングデバイスの予測、等をプロンプト表示しても良い。
【0135】
図20は、1つまたは複数のソースから取得されたネットフローデータを精査することにより、セキュリティイベントを検出するように構成されているセキュリティ管理プラットフォーム2000の一例を示すブロック図である。上述したように、セキュリティ管理プラットフォーム2000は、コンピュータネットワーク(例、インターネット)でアクセス可能なIPアドレスをアクティブにプローブし、そしてこのプローブに基づいて受信した応答に関する情報を格納することも出来る。IPアドレスがプローブされると、セキュリティ管理プラットフォーム2000は、利用可能なサービスに関する情報、オープンポート、ソフトウェアバージョン、証明書、メタデータ情報、およびIPアドレスに対応するコンピューティングデバイスに関する他の関連情報に関する情報を、学習することが出来る。プローブは、IPアドレスに関連する格納された情報を精査することにより、IPアドレスに対するリスク(またはIPアドレスによってもたらされるリスク)を長期にわたって確立することが出来るように、様々なタイミングで実行させることが出来る。
【0136】
IPアドレスは、コンピューティングデバイス(例、外部システムA2010および外部システムB2012)、コンピュータネットワーク(例、エンティティAネットワーク2004、エンティティBネットワーク2006、およびエンティティCネットワーク2008)、および/またはISPファブリック(ISP1ファブリック2002およびISP 2ファブリック2014、等)に関連付けても良い。いくつかの実施態様では、セキュリティ管理プラットフォーム2000は、ソースからネットフローデータを直接受信する。この場合、例えば、セキュリティ管理プラットフォーム2000は、エンティティCネットワーク2008からネットフローデータを直接受信する。他の実施態様では、セキュリティ管理プラットフォーム2000は、ソースから間接的にネットワークデータを受信する。この場合、例えば、セキュリティ管理プラットフォーム2000は、エンティティネットワークA2004または外部システムB2012に関連するネットフローデータを、ISP1ファブリック2002から受信しても良い。
【0137】
上述したように、セキュリティ管理プラットフォーム2000は、内部ネットワーク(「組織ネットワーク」、「顧客ネットワーク」、または「エンティティネットワーク」とも呼ばれる)に存在するIPアドレスのセキュリティを監視するように構成しても良い。このような実施態様では、セキュリティ管理プラットフォーム2000は、第1のコンピュータネットワーク(例、ISP1ファブリック2002および/またはISP2ファブリック2014)と、第2のコンピュータネットワーク(例、エンティティAネットワーク2004、エンティティBネットワーク2006、および/またはエンティティCネットワーク2008)を介して、このIPアドレスと通信しても良い。
【0138】
ネットフローデータは、対応するコンピュータネットワークを通過するトラフィックの特性を推測/知るために、使用することが出来る。したがって、ネットフローデータは、トラフィックのソース、トラフィックの送信先、トラフィックの送信に関連付けられている時刻/日付、ホップ情報(例、トラフィックが、ソースから送信先までどのルートをたどったか)、送信されたバイト、送信されたデータのタイプ、送信制御プロトコールのマルチステップハンドシェイクの状態、等を示しても良い。ネットフローデータは、エンティティネットワーク、外部システム、トラフィックデータの既存のデータベース、ISP、および/または他の適切なソースから受信させることが出来るであろう。
【0139】
図21は、セキュリティ管理プラットフォーム2100の一例を示すブロック図である。セキュリティ管理プラットフォーム2100は、例えば、図20のセキュリティ管理プラットフォーム2000または図5のセキュリティ管理プラットフォーム506としても良い。この場合、このセキュリティ管理プラットフォーム2100は、アクティブプローブエンジン2106を有するプロセッサ2104を含む。アクティブプローブエンジン2106は、少なくとも1つのコンピュータネットワークによりインターフェース2102を介して送信される信号を生成することによりIPアドレスをプローブするように構成することが出来る。いくつかの実施態様では、アクティブプローブエンジン2106は、アクティブ検知ストレージ2114(「アクティブプローブストレージ」とも呼ばれる)に格納されているコマンドを使用する。
【0140】
ネットフローデータは、インターフェース2102を介してセキュリティ管理プラットフォーム2100によって受信させることも出来る。次いで、ネットフローデータは、必要に応じて、トラフィックを解析し、フィルタリングし、および/またはフォーマットするように構成することができるトラフィックハンドラ2118によって処理させることが出来る。アクティブ検知ストレージ2114およびネットフローストレージ2116は、ストレージ2112の一部としても良い。上述したように、ネットフローデータは、インターフェース2102(例、外部システム、インターネットに接続されたコンピューティングデバイス、ISP、既存のデータベース、ファイアウォール、ルータ、SIEMシステム、等)に通信可能に結合されている1つまたは複数のソースから受信させることが出来る。
【0141】
セキュリティイベントは、プロセッサ2104のセキュリティイベント検出器2110によって検出させることが出来る。より具体的には、セキュリティイベント検出器2110は、アクティブ検知ストレージ2114に格納されているデータと、ネットフローストレージ2116に格納されているデータとの相関関係を精査することが出来る。インターフェース2102を介して送信される通知により、組織に、検出されたセキュリティイベントについて、警告をすることが出来る。これらの通知は、何らかの修復アクションを実行するよう組織にプロンプトすることが出来る。修復アクションの例には、セキュリティイベントに関連するトラフィックのフィルタリング、IPアドレスおよびコンピューティングデバイスのブラックリストへの追加、セキュリティイベントおよびコンピューティングデバイスに関するアドミニストレータへの警告、等が、含まれる。いくつかの実施態様では、相関器2108は、アクティブ検知ストレージ2114およびネットフローストレージ2116に格納されたデータをさらに精査し、そして将来どのセキュリティイベントが発生する可能性が最も高いかをセキュリティイベント検出器2110が予測することを支援する。予測されたセキュリティイベントは、上記の修復アクションの何れかのパフォーマンスをプロンプトしても良い。
【0142】
アクティブプローブには多くの種類があり、そして各種類は、特定のIPアドレスおよびそれが対応するコンピューティングデバイスの状態に関する情報を収集するために、使用することが出来る。アクティブプローブは、全てのIPアドレスの状態と、特定のコンピュータネットワーク(例、内部ネットワークおよびインターネット)に接続されている、対応するコンピューティングデバイスに関する情報を取得するためにも、使用することが出来る。例えば、所定のポートについて、プローブは、インターネット上で利用可能な全てのIPアドレスでそのポートが開いているか否かをチェックすることが出来るであろう。他の実施態様では、プローブは、所定のポートで、トランスポート層セキュリティ(TLS: Transport Layer Security)またはセキュアソケットレイヤ(SSL: Secure Sockets Layer)ハンドシェイクプロトコールに従って、ハンドシェイクを試みても良い。このようなアクションは、交換で許可されている非推奨のプロトコール(例、SSLバージョン3)の存在をチェックし、そして返される如何なる証明書の特性(例、短いキー長または自己署名証明書)も分析することが出来るであろう。プローブは、これらのサービス/プロトコールに関連付けられている、およびTCP / UDPベースの接続による標準および非標準ポート上の標準サービス/プロトコールの存在を探すことも出来る。例えば、アクティブプローブエンジン2106は、ポート21および2121のFTP、ポート22および2222のSSH、ポート23および2323のTelnet、ポート22、465、および587のSMTP、ポート53および5353のドメインネームシステム(DNS)、ポート80および8080のHTTP、ポート110および993のPOP3、ポート123のNTP、ポート137、138、および139のNetBIOS、ポート143および995のIMAPP、ポート161、162および199のSNMP、ポート389および636のLDAP、ポート443および8443のHTTPS、ポート445のSMB、ポート464、543、544、749、750、751、752、753、754、および760のKerberos、ポート530のRPC、ポート1433および1434のMSSQL、ポート1521、2483、および2484のOracleDB、ポート3306のMySQL、ポート3389のRDP、ポート5060および5061のSIP、ポート5432のPostgreSQL、ポート5800のVNC、ポート6379のRedis、ポート27017のMongoDB、ポート1900のUPnP、等の存在をプローブすることが出来る。アクティブプローブエンジン2106は、前述のプロトコール(および本明細書で言及されていない他のプロトコール)が、1つ以上のポートの任意の組み合わせで実行されているか否かを精査することが出来る。各プローブは、ソフトウェアバージョン、製造元、等のようなサービス自体に関する情報に加えて、所定のポートでの所定のサービスの有無に関する情報を返すことが出来る。この情報は、不正のエンティティまたは敵対的な行為者への所定のサービスの搾取に対する脆弱性の評価を分析させることが出来る。
【0143】
ネットフローストレージ2116は、関心のあるIPアドレスに関与する全ての通信についての詳細を含むことができる。これらのIPアドレスには、組織または組織にとって関心のあるエンティティ(例、部門、子会社、またはベンダ)に静的または動的に割り当てられているIPアドレス、およびセキュリティ管理プラットフォーム2100、組織、オープンソースデータベース、または他のソースの実装者によって、悪意のあるアクティビティに過去に関連付けられていたIPアドレスを含んでいても良い。これらの詳細は、関与するIPアドレス、ソースコンピューティングデバイスのポート番号、ルーティングに使用されるASN、ソースコンピューティングデバイスに関する場所情報(例:ソースコンピューティングデバイスが存在する国)のような、通信のソースまたは送信先に関する情報を、含むことが出来る。これらの詳細は、送受信の時間、使用されるプロトコール、パケット数、送信のサイズ、トラフィックを記録したリスニング機構(例、フローコレクタまたはスキャナ)よって実行されるサンプリングに関する情報、等のような通信自体に関する情報も含むことが出来る。
【0144】
上述したように、相関器2108は、アクティブ検知ストレージ2114およびネットフローストレージ2116からのデータを使用して、潜在的なセキュリティイベントを検出することが出来る。セキュリティイベントの例には、新規または一時的なサービスとの通信、脆弱性のある内部コンピューティングデバイス(例、内部ネットワーク内に存在する組織によって管理されているコンピューティングデバイス)が関係する通信、脆弱性のある外部コンピューティングデバイス(例、内部ネットワークの外部にあるコンピューティングデバイス)が関係する通信、および非ゲートウェイコンピューティングデバイスとの通信が、含まれる。
【0145】
組織、この組織の子会社、この組織のベンダ、またはこの組織が一般的な関心を持つベンダによって、またはこれらに代わって、静的にまたは動的に割り当てられ、または所有、管理、または運用されているIPアドレスが、IPアドレスの最近の履歴プローブにもかかわらず、アクティブプローブエンジン2106によって検出されていなかったサービスと通信するときは、常に、新しいサービスまたは一時サービスとの組織通信を検出することが出来る。これらのIPアドレスは、しばしば、「組織IPアドレス」、「顧客IPアドレス」、または「内部IPアドレス」と呼ばれる。以前のプローブが、対応するサービス検出を検出しなかった時間間隔は、さまざまである(例、5分、3時間、8日、3か月、等)。さらに、連続する先行プローブ間の時間も、異なる。例えば、第1の事前プローブと第2の事前プローブは、数日離れている場合があり、第2の事前プローブと第3の事前プローブは数週間離れていることもある。
【0146】
一般に、もし内部IPアドレスへのインバウンド通信に、この内部IPアドレスからの対応するアウトバウンド通信が伴うと、組織ネットワークに対するリスクは、大幅に高まる。このような場合、この内部IPアドレスは、ネットワークトラフィックデータに見られるソースを表すことができ、または、外部IPアドレスに関連付けられているポートが共通サービスに関連付けられていて、この内部IPアドレスに関連付けられているポートが、大きい数になることがある。一般的なサービスの例には、ポート21および2121のFTP、ポート22および2222のSSH、ポート23および2323のTelnet、ポート25、465、および587のSMTP、ポート53および5353のDNS、ポート80および8080のHTTP、ポート110および993のPOP3、ポート123のNTP、ポート137、138、および139のNetBIOS、ポート143および995のIMAP、ポート161、162、および199のSNMP、ポート389および636のLDAP、ポート443および8443のHTTPS、ポート445のSMB、ポート464、543、544、749、750、751、752、753、754、および760のKerberos、ポート530のRPC、ポート1433および1434のMSSQL、ポート1521、2483のOracleDB、および2484、ポート3306のMySQL、ポート3389のRDP、ポート5060および5061のSIP、ポート5432のPostgreSQL、ポート5800のVNC、ポート6379のRedis、ポート27017のMongoDB、ポート1900のUPnP、別のポートで実行されている前述の何れかのプロトコール、または別のポートで実行されている他の任意のサービスが、含まれる。
【0147】
もしポート番号が少なくとも1024であり、かつ上記の条件の全てが満たされると、セキュリティ管理プラットフォーム2100は、新しいサービスまたは一時サービスとの通信が、低い信頼性で発生したと結論付けることが出来る。しかしながら、もしポート番号が少なくとも10,000で、かつ上記の全ての条件が満たされていると、セキュリティ管理プラットフォーム2100は、新しいサービスまたは一時サービスとの通信が、高い信頼性で発生したと結論付けることが出来る。この相関関係からの3つの潜在的な結論は、(1)外部IPアドレスがアクティブプローブエンジン2106によるプローブに応答しないように構成されている;(2)外部IPアドレスがごく最近応答し始めた;または(3)内部IPアドレスと通信するために外部IPアドレスが非常に短時間立ち上がった。後者の2つの潜在的な結論は、不正エンティティにより通常採用されている攻撃パターンと整合するため、これらの其々には、潜在的なセキュリティイベントであるとしてフラグを立てることが出来るであろう。
【0148】
脆弱性のあるコンピューティングデバイスとの組織通信は、非HTTP、非HTTPS、または非DNSサービスを実行している内部IPアドレスに関与する通信が検出されるたびに識別させることが出来る。このようなサービスの例には、ポート21および2121のFTP、ポート22および2222のSSH、ポート23および2323のTelnet、ポート123のNTP、ポート137、138および139のNetBIOS、ポート161、162および199のSNMP、ポート389および636のLDAP、ポート445のSMB、ポート464、543、544、749、750、751、752、753、754および760のKerberos、ポート530のRPC、ポート1433および1434のMSSQL、ポート1521、2483および2484のOracleDB、ポート3306のMySQL、ポート3389のRDP、ポート5060および5061のSIP、ポート5432のPostgreSQL、ポート5800のVNC、ポート6379のRedis、ポート27017のMongoDB、ポート1900のUPnP 、別のポートで実行されている前述のプロトコール、およびその作成者が公衆インターネット上でアクセスすることができるようには設計されていない(したがって、サービスのプログラミング中セキュリティの強化が少ない)他の非HTTP、非HTTPS、または非DNSサービスが、含まれる。寿命のあるHTTPまたはHTTPSサービスの実行、署名付き証明書またはメーカーのデフォルト証明書のような、HTTPSサービスの貧弱な暗号健全性、公開された脆弱性を有する古いDNSサービス、等のような、既知の脆弱性を持つ内部IPアドレスに関与する通信が、検出されるたびにも、脆弱性のあるコンピューティングデバイスを含む組織の通信は、発生し得る。コンピューティングデバイスで実行されている前述のサービスは、何れも、このコンピューティングデバイスを、不正なエンティティによる侵害に対して脆弱にすることが出来る。脆弱性のある外部コンピューティングデバイスから内部コンピューティングデバイスへ、または外部コンピューティングデバイスから脆弱性のある内部コンピューティングデバイスへの通信が、セキュリティイベントを表しても良い。
【0149】
脆弱性のある外部コンピューティングデバイスとの組織通信は、内部IPアドレスに関与する通信が検出されるときはいつでも、識別させることが出来る。ここでは、内部IPアドレスに対応する内部コンピューティングデバイスは、共通サービスを実行している。一般的なサービスの例には、ポート21および2121のFTP、ポート22および2222のSSH、ポート23および2323のTelnet、ポート25、465、および587のSMTP、ポート53および5353のDNS、ポート80のHTTP、ポート110および993のPOP3、ポート123のNTP、ポート137、138、および139のNetBIOS、ポート143および995のIMAP、ポート161、162、および199のSNMP、ポート389および636のLDAP、ポート443のHTTPS、SMBポート445、ポート464、543、544、749、750、751、752、753、754、および760のKerberos、ポート530上のRPC、ポート1433および1434上のMSSQL、ポート1521、2483、および2484上のOracleDB、ポート3306のMySQL、ポート3389のRDP、ポート5060および5061のSIP、ポート5432のPostgreSQL、ポート5800のVNC、ポート6379のRedis、ポート27017のMongoDB、ポート1900のUPnP、またはインターネット上の一般的に使用される他のポートプロトコール/サービスが含まれる。セキュリティ管理プラットフォーム2100は、SSL/TLSハンドシェイクが成功した場合に返される公開鍵暗号化に使用される証明書を探すこともできる。この証明書は、自己署名されている、または非推奨の暗号または署名アルゴリズムを使用する。これらのサービスは、しばしば、いくつかの理由で脆弱であると考えられるので、これらのサービスの何れかを実行する内部コンピューティングデバイスが、悪意のあるトラフィックのプロキシとして使用される悪意のある攻撃者によって、侵害される可能性は高い。このため、脆弱性のある外部コンピューティングデバイスと内部IPアドレスとの間の通信は、本質的に悪意がある可能性が高いため、これは、セキュリティイベントと分類することが出来る。
【0150】
非ゲートウェイデバイスから送信される組織通信は、アクティブプローブエンジン2106によって実行されるスキャンに最近応答したことがなく、かつ歴史的に外部通信に関与したことがない内部IPアドレスに関与する通信が検出されるたびに、識別させることが出来る。組織が、通常インターネットと通信しないコンピューティングデバイスのセキュリティイベントのトラフィックを監視する可能性は低いため、悪意のある行為者は、この性質の内部IPアドレスを使用して内部ネットワークにアクセスしようとする可能性がある。したがって、これらの内部IPアドレスに関与する通信は、セキュリティイベントを表すことが出来るであろう。
【0151】
図22は、内部ネットワーク2200(「エンティティネットワーク」、「組織ネットワーク」、または「顧客ネットワーク」とも呼ばれる)の例を示すブロック図である。内部ネットワーク2200は、図20のエンティティAネットワーク2004、エンティティBネットワーク2006、またはエンティティCネットワーク2008としても良い。内部ネットワーク2200は、エッジコンピューティングデバイス2202(「エッジデバイス」とも呼ばれる)を介して別のコンピュータネットワーク(例、インターネット)とインターフェースをとることが出来る。より具体的には、内部ネットワーク2200に出入りする全てのトラフィックは、エッジデバイス2202によって処理させることが出来る。エンティティネットワーク2200に入るトラフィックも、エッジデバイス2202によって精査および/またはフィルタリングさせることが出来る。いくつかの実施態様では、このエッジデバイス2002は、ファイアウォールを含む。
【0152】
次いで、着信トラフィックは、内部ネットワーク2200内のトラフィックを1つ以上の内部システム(例、内部コンピューティングデバイス2206、内部コンピューティングデバイス2208、内部コンピューティングデバイス2210、内部コンピューティングデバイス2212、または内部コンピューティングデバイス2214)にルーティングするスイッチ2204に渡すことが出来る。いくつかの実施態様では、内部ネットワーク2200は、複数のエッジデバイスを含む。同様に、内部ネットワーク2200は、トラフィックのルーティングを担当する複数のスイッチを含んでいても良い。内部ネットワーク2200から出るトラフィックの場合、内部システムから発信されるトラフィックは、スイッチ2204からエッジデバイス2202にルーティングされ、次いで外部コンピュータネットワーク(例、インターネット)にルーティングされる。一方、セキュリティ管理プラットフォーム(例、図5のこのセキュリティ管理プラットフォーム506)からのプローブは、エッジデバイス2202で内部ネットワーク2200に入ることが出来、そしてこれらのプローブへの応答は、エッジで内部ネットワーク2200を出ることにより返すことが出来る。いくつかの実施態様では、内部ネットワーク2200内のトラフィックは、スイッチ2204またはエッジデバイス2202によって測定される。他の実施態様では、内部ネットワーク2200内のトラフィックは、各内部システムによって独立して測定され、そしてその後(例、スイッチ2204またはエッジデバイス2202によって)統合される。
【0153】
図23は、インターネットサービスプロバイダ(ISP)ファブリック2300の一例を示すブロック図である。ISPファブリック2300は、図20のISP1ファブリック2002またはISP2ファブリック2014とすることが出来る。ISPファブリック2300は、複数のルータ(例、ルータ2302、ルータ2304、ルータ2306、ルータ2308、ルータ2310、ルータ2312、またはルータ2314)を使用してトラフィックをダウンストリームで中継することにより、ネットワークとして機能することが出来る。これらのルータは、最終送信先(例、図1の受領者デバイス106)に向かう途中で、ISPファブリック2300の入口ポイントで受信したトラフィックを、ISPファブリック2300の適切な出口ポイントにルーティングすることを担当する。いくつかの実施態様では、ルータの少なくとも1つは、フローを記録し、そしてトラフィック情報を(例、セキュリティ管理プラットフォームに)報告する。例えば、所定のルータは、この所定のルータを通過する全てのトラフィックに関する情報を監視および格納しても良い。このような情報の例には、トラフィックのソース、トラフィックの送信先、パス情報、データパケット情報、トラフィックのバイト数、等に関する情報が含まれる。
【0154】
図24は、コンピューティングデバイスが関与するセキュリティイベントを検出するプロセス2400のフロー図を示す。このプロセスは、セキュリティ管理プラットフォームのプロセッサ(例、図21のプロセッサ2104)によって実行させても良い。ステップ2401で、このプロセッサは、コンピューティングデバイスに関連するアクティブ検知データを受信する。例えば、セキュリティ管理プラットフォームは、応答を引出すことを目的とする、対応するIPアドレスに信号を送信することにより、コンピューティングデバイスをアクティブにプローブしても良い。プローブへの応答を受信すると、このセキュリティ管理プラットフォームは、応答を示すデータをストレージに格納することが出来る。コンピューティングデバイスのプローブは、アクティブ検知データに基づいて決定されたその履歴に基づいて、コンピューティングデバイスの状態の変化を検出するために定期的に実行させても良い。ステップ2402で、このプロセッサは、ネットフローデータを受信する。このネットフローデータは、コンピュータネットワーク(例、内部ネットワークまたはインターネット)を通過するトラフィックを記述する。したがって、いくつかの実施態様では、このネットフローデータは、組織から取得され、他の実施態様では、このネットフローデータは、1つまたは複数のISPから取得される。
【0155】
ステップ2403で、プロセッサは、アクティブ検知データとネットフローデータとの間に相関関係が存在するか否かを判定することが出来る。別の言い方をすると、プロセッサは、アクティブ検知データとネットフローデータを解析して、セキュリティ脅威を示すリスクフィルタを解析しても良い。ステップ2404で、プロセッサは、相関関係が、セキュリティイベントが発生したことを示しているか否かを決定することが出来る。セキュリティイベントが発生したとの決定がなされた場合、ステップ2405で、プロセッサは、このコンピューティングデバイスが関与するセキュリティイベントが発生したことを示すことが出来る。例えば、このプロセッサは、このコンピューティングデバイスが存在するコンピュータネットワークに関連付けられているアドミニストレータに、適切なアクションを取るよう警告する通知を生成させても良い。しかし、何のセキュリティイベントも発生していないとの決定がなさされた場合、ステップ2406で、このプロセッサは、このコンピューティングデバイスが関与するセキュリティイベントが発生しなかったことを示すことが出来る。プロセス2400の他の実施態様では、アクティブ検知データとネットフローデータを受信する順序を逆にしても良い。さらに、何れかのタイプのデータは、定期的に(例、1時間ごと、1日ごと、または1週間ごと)または継続的に受信させることも出来るであろう。
【0156】
図25は、精査中のコンピュータネットワーク上に存在するコンピューティングデバイスをアクティブに精査するためのプロセス2500の流れ図を示す。一部の実施態様では、このコンピューティングデバイスは、内部ネットワーク(例、組織イントラネット)にある内部コンピューティングデバイスであるが、一方、他の実施態様では、このコンピューティングデバイスは、他のネットワーク(例、インターネット)にある外部ネットワークデバイスである。このプロセスは、セキュリティ管理プラットフォームのプロセッサ(例、図21のプロセッサ2104)によって実行させても良い。
【0157】
ステップ2501で、このプロセッサは、アクティブにプローブされるべきコンピューティングデバイスを選択することが出来る。例えば、もしこのコンピューティングデバイスが、内部ネットワーク上にある内部コンピューティングデバイスであるとすると、このプロセッサは、組織に関連付けられているコンピューティングデバイスのリストからこのコンピューティングデバイスを既に選択している可能性がある。このような実施態様では、組織によって管理される各コンピューティングデバイスは、調査のために定期的に選択させても良い。別の例として、このコンピューティングデバイスが、インターネット上にある外部ネットワークデバイスであるとすると、このプロセッサは、このコンピューティングデバイスをランダムに選択していたり、内部コンピューティングデバイスへの接続のためにこのコンピューティングデバイスを選択していたり、等する可能性がある。
【0158】
ステップ2502において、このプロセッサは、対応するIPアドレスにクエリを送信することにより、このコンピューティングデバイスをプローブすることが出来る。
このクエリは、応答を引起こすことを目的としてこのコンピューティングデバイスに送信される。この応答の精査によって、セキュリティ管理プラットフォームは、このコンピューティングデバイスによってどのようなリスク(ある場合)がもたらされるかを決定することが出来る。これに加えまたは代えて、このセキュリティ管理プラットフォームは、コンピューティングデバイス自体がどのようなリスクを経験しているのかを決定することが出来る。ステップ2503で、このプロセッサは、このコンピューティングデバイスからクエリに対する応答を受け取ることが出来る。いくつかの実施態様では、このプロセッサは、さらなる精査のためにクエリおよび応答をストレージに格納する。例えば、ステップ2504に示されるように、このプロセッサは、クエリおよび応答をこのコンピューティングデバイスに対応するデータベースレコードに格納しても良い。より具体的には、このプロセッサは、クエリ、応答、および他の情報(例、プローブの日付および時刻)を含むレコードをデータベース内に生成および/または配置しても良い。
このクエリは、応答を引起こすことを目的としてこのコンピューティングデバイスに送信される。この応答の精査によって、セキュリティ管理プラットフォームは、このコンピューティングデバイスによってどのようなリスク(ある場合)がもたらされるかを決定することが出来る。これに加えまたは代えて、このセキュリティ管理プラットフォームは、コンピューティングデバイス自体がどのようなリスクを経験しているのかを決定することが出来る。ステップ2503で、このプロセッサは、このコンピューティングデバイスからクエリに対する応答を受け取ることが出来る。いくつかの実施態様では、このプロセッサは、さらなる精査のためにクエリおよび応答をストレージに格納する。例えば、ステップ2504に示されるように、このプロセッサは、クエリおよび応答をこのコンピューティングデバイスに対応するデータベースレコードに格納しても良い。より具体的には、このプロセッサは、クエリ、応答、および他の情報(例、プローブの日付および時刻)を含むレコードをデータベース内に生成および/または配置しても良い。
【0159】
ステップ2505で、このプロセッサは、プロービングを必要とする精査中のネットワーク上に、他のコンピューティングデバイスが存在するか否かを決定することが出来る。少なくとも1つの他のコンピューティングデバイスをプローブする必要があるという決定に応じて、このプロセッサは、別のコンピューティングデバイスに対してこれらのステップを再び完了させることが出来る。しかしながら、他のコンピューティングデバイスをプローブする必要がないという決定に応じて、このプロセッサは、ステップ2506に示されるように、このコンピューティングデバイスを別の時刻にプローブすべきか否かを精査することが出来る。従って、このプロセッサは、同じコンピューティングデバイスに対して再びこれらのステップを即座に完了させる、またはこのプロセッサは、ステップ2507に示されるように、指定された時間が経過するまで待つことが出来る。
【0160】
いくつかの実施態様では、これらのステップは、このプロセッサによって並行して実行される。例えば、このプロセッサは、同じまたは異なるネットワーク上の他のコンピューティングデバイスを同時にプローブしつつ、指定された時間間隔で定期的にコンピューティングデバイスをプローブすることが出来る。
【0161】
図26は、セキュリティイベントを既に経験している、またはそれにすでに関与しているコンピューティングデバイスに類似するコンピューティングデバイスのリストを構築するためのプロセス2600のフロー図を示す。各コンピューティングデバイスは、内部ネットワーク(例、組織のイントラネット)に存在する内部コンピューティングデバイス、または他のネットワーク(例、インターネット)に存在する外部コンピューティングデバイスとすることが出来る。セキュリティ管理プラットフォームは、潜在的なセキュリティリスクをより迅速に識別するために、同様の外部コンピューティングデバイスのリストを作成しても良い。これに加えまたは代えて、このセキュリティ管理プラットフォームは、どのコンピューティングデバイスが将来のセキュリティイベントに関与する可能性が最も高いかを識別するために、同様の内部コンピューティングデバイスのリストを構築しても良い。このプロセスは、セキュリティ管理プラットフォームのプロセッサ(例、図21のプロセッサ2104)によって実行させても良い。
【0162】
ステップ2601で、このプロセッサは、コンピューティングデバイスを選択することができる。次に、ステップ2602で、このプロセッサは、このコンピューティングデバイスがセキュリティイベントに関連するコンピューティングデバイス(「リスクのあるコンピューティングデバイス」または「脆弱性のあるコンピューティングデバイス」とも呼ばれる)に類似するか否かを決定することが出来る。例えば、このプロセッサは、このコンピューティングデバイスの機能を、全ての危険なコンピューティングデバイスの機能と比較して、一致が存在するか否かを決定しても良い。別の例では、このプロセッサは、コンピューティングデバイスで実行されているサービスと、全ての脆弱性のあるコンピューティングデバイスで実行されているサービスを比較して、一致するものがあるか否かを決定しても良い。コンピューティングデバイスが、危険なまたは脆弱性のあるコンピューティングデバイスに類似していないという決定に応じて、このプロセッサは、別のコンピューティングデバイスを選択することによりこのプロセスを開始することが出来る。しかしながら、このコンピューティングデバイスが少なくとも1つのリスクのあるまたは脆弱性のあるコンピューティングデバイスに類似しているという決定に応じて、このプロセッサは、ステップ2603に示されているように、このコンピューティングデバイスを、少なくとも1つのリスクのあるまたは脆弱性のあるコンピューティングデバイスを含む類似のコンピューティングデバイスのセットに、追加することが出来る。
【0163】
ステップ2604で、このプロセッサは、チェックする他のコンピューティングデバイスがあるか否かを決定する。例えば、このプロセッサは、精査中のコンピュータネットワーク(例、組織の内部ネットワーク)上に他のコンピューティングデバイスが存在するか否かを決定することが出来る。もし別のコンピューティングデバイスをチェックする必要があるとなると、このプロセッサは、別のコンピューティングデバイスに対してこれらの手順を再度実行することが出来る。しかしながら、他のコンピューティングデバイスをチェックする必要がない場合、このプロセッサは、ステップ2605に示されるように、セキュリティ管理プラットフォームに同様のコンピューティングデバイスのセットを提供することが出来る。同様のコンピューティングデバイスのセットは、潜在的なセキュリティリスクを、およびこれらの同様のコンピューティングデバイスに対してどのような修復アクション(ある場合)が実行されるべきであるかを、よりインテリジェントに識別するために使用することが出来る。
【0164】
図27は、コンピューティングデバイスが、ボットネットの一部であるか否かを決定するためのプロセス2700の流れ図を示す。このプロセスは、図24のプロセスを部分的に反映しても良い。したがって、図27のステップ2701、2702、および2703は、図24のステップ2401、2402、および2403と実質的に同様とすることが出来る。
【0165】
ステップ2704で、このプロセッサは、相関関係が、ボットネットイベントが発生したことを示すか否かを決定することが出来る。別の言い方をすると、このプロセッサは、アクティブ検知データおよび/またはネットフローデータが、内部コンピューティングデバイスがボットネットの一部である可能性が高い外部コンピューティングデバイスと通信したことを示すか否かを、決定することが出来る。ボットネットイベントが発生したとの決定がなされた場合、ステップ2705で、このプロセッサは、このコンピューティングデバイスがボットネットの一部であることを、示すことが出来る。例えば、このプロセッサは、このコンピューティングデバイスがボットネットデバイスであることをアドミニストレータに通知する警告を生成させても良い。しかし、ボットネットイベントが発生していないとの決定がなされた場合、ステップ2706で、このプロセッサは、コンピューティングデバイスがボットネットの一部ではないことを示すことが出来る。
【0166】
図28は、コンピューティングデバイスが、DNSトンネリングイベントに関与したことがあるか否かを決定するためのプロセス2800のフロー図を示す。このプロセスは、図24のプロセスを部分的に反映しても良い。したがって、図28のステップ2801、2802、および2803は、図24のステップ2401、2402、および2403と実質的に同様としても良い。
【0167】
ステップ2804で、このプロセッサは、DNSトンネリングイベントが発生したことを相関関係が示すか否かを決定することが出来る。DNSトンネリングは、DNSクエリおよび応答内の他のプログラムまたはプロトコールのデータをエンコードする機能である。したがって、DNSトンネリングイベントが発生したか否かを決定するために、このプロセッサは、コンピューティングデバイスとの通信が今までにエンコードされたことがあるか否かを精査しても良い。このプロセッサは、(例、クエリや応答のサイズ/長さを精査することにより)ペイロード分析をおよび/または(例、クエリや応答のボリュームや頻度を精査することにより)トラフィック分析を実行しても良い。DNSトンネリングイベントが発生したという決定が行われた場合、ステップ2805で、このプロセッサは、このネットワークデバイスがDNSトンネリングスキームの一部であることを示すことが出来る。例えば、このプロセッサは、コンピューティングがDNSデバイスであることをアドミニストレータに通知する警告を生成しても良い。しかしながら、DNSトンネリングイベントが発生しなかったという決定がなされた場合、ステップ2806で、このプロセッサは、このコンピューティングデバイスがDNSトンネリングスキームの一部ではないことを示すことが出来る。
【0168】
[処理システム]
図29は、本明細書に記載される少なくともいくつかの操作を実施することができる処理システム2900の一例を示すブロック図である。例えば、処理システム2900のいくつかのコンポーネントは、セキュリティ管理プラットフォーム(例、図5のこのセキュリティ管理プラットフォーム506)を含むコンピューティングデバイス上でホストさせても良い。別の例では、処理システム2900のいくつかのコンポーネントは、アクティブプロービングセッション中にセキュリティ管理プラットフォームによって照会されるコンピューティングデバイス上でホストされても良い。
図29は、本明細書に記載される少なくともいくつかの操作を実施することができる処理システム2900の一例を示すブロック図である。例えば、処理システム2900のいくつかのコンポーネントは、セキュリティ管理プラットフォーム(例、図5のこのセキュリティ管理プラットフォーム506)を含むコンピューティングデバイス上でホストさせても良い。別の例では、処理システム2900のいくつかのコンポーネントは、アクティブプロービングセッション中にセキュリティ管理プラットフォームによって照会されるコンピューティングデバイス上でホストされても良い。
【0169】
処理システム2900は、1つまたは複数の中央処理装置(「プロセッサ」)2902、メインメモリ2906、不揮発性メモリ2910、ネットワークアダプタ2912(例、ネットワークインターフェース)、ビデオディスプレイ2918、入出力デバイス2920、制御デバイス2922(例、キーボードおよびポインティングデバイス)、格納媒体2926を含む駆動ユニット2924、およびバス2916に通信可能に接続されている信号生成デバイス2930を含んでいても良い。バス2916は、適切なブリッジ、アダプタ、またはコントローラによって接続される1つ以上の物理バスおよび/またはポイントツーポイント接続を表す抽象として示されている。したがって、バス2916は、システムバス、PCI(Peripheral Component Interconnect)バスまたはPCI-Expressバス、HyperTransportまたは業界標準アーキテクチャ(ISA)バス、小型コンピュータシステムインターフェイス(SCSI)バス、ユニバーサルシリアルバス(USB)、IIC(I2C)バス、または米国電気電子技術者協会(IEEE)標準1394バス(「Firewire」とも呼ばれる)を含むことが出来る。
【0170】
処理システム2900は、デスクトップコンピュータ、タブレットコンピュータ、携帯情報端末(PDA)、携帯電話、ゲームコンソール、音楽プレーヤ、ウェアラブル電子デバイス(例、時計またはフィットネストラッカ)、ネットワーク接続(「スマート」)デバイス(例、テレビまたはホームアシスタントデバイス)、仮想/拡張現実システム(例、ヘッドマウントディスプレイ)、または処理システム2900が実行するアクションを指定する(シーケンシャルまたは他の)命令セットを実行することができる別の電子デバイスと同様のコンピュータプロセッサアーキテクチャを共有しても良い。
【0171】
メインメモリ2906、不揮発性メモリ2910、および格納媒体2926(「機械可読媒体」とも呼ばれる)は、単一の媒体であるように示されているが、用語「機械可読媒体」および「格納媒体」には、1つまたは複数の命令セット2928を格納する単一の媒体または複数の媒体(例えば、集中型/分散型データベースおよび/または関連するキャッシュおよびサーバ)が含まれると解すべきである。この用語「機械可読媒体」および「格納媒体」は、処理システム2900による実行のための命令セットを、格納、エンコード、または実行することができる任意の媒体を含むものと見なすべきである。
【0172】
一般に、本開示の実施態様を実施するために実行されるルーチンは、オペレーティングシステムまたは特定のアプリケーション、コンポーネント、プログラム、オブジェクト、モジュール、または命令のシーケンス(まとめて「コンピュータプログラム」と呼ばれる)の一部として実施させても良い。このコンピュータプログラムは、典型的には、コンピューティングデバイス内の様々なメモリおよびストレージデバイス内の様々な時点で設定される1つまたは複数の命令(例、命令29062930、2908、2928)を備える。1つまたは複数のプロセッサ2902によって読取られかつ実行されると、この命令は、処理システム2900に、本開示の様々な態様に関係する要素を実行するための操作を実行させる。
【0173】
さらに、実施態様は、これまで、完全に機能するコンピューティングデバイスの文脈で説明されて来たが、当業者は、様々な実施態様が、プログラム製品として様々な形態で配信されることが可能であることを理解するであろう。本開示は、実際にこの配信を行うために使用される特定のタイプのマシンまたはコンピュータ読み取り可能な媒体に関係なく、適用される。
【0174】
さらに、機械可読格納媒体、機械可読媒体、またはコンピュータ可読媒体のさらなる例には、揮発性および不揮発性メモリデバイス2910、フロッピーおよび他のリムーバブルディスク、ハードディスクドライブ、光ディスク(例、コンパクトディスク読み取り専用メモリ(CD-ROM)、デジタル多用途ディスク(DVD))、デジタルおよびアナログ通信リンクのような伝送タイプの媒体のような記録可能なタイプの媒体が、含まれる。
【0175】
ネットワークアダプタ2912は、処理システム2900が、処理システム2900および外部エンティティによってサポートされる任意の通信プロトコールを介して、処理システム2900の外部にあるエンティティとネットワーク2914内のデータを仲介することを可能にする。ネットワークアダプタ2912は、ネットワークアダプタカード、無線ネットワークインターフェースカード、ルータ、アクセスポイント、無線ルータ、スイッチ、多層スイッチ、プロトコールコンバータ、ゲートウェイ、ブリッジ、ブリッジルータ、ハブ、デジタル媒体レシーバ、および/またはリピータを含むことが出来る。
【0176】
ネットワークアダプタ2912は、コンピュータネットワーク内のデータへのアクセス/プロキシの許可を支配および/または管理し、そして異なるマシンおよび/またはアプリケーション間の様々なレベルの信頼を追跡するファイアウォールを含んでいても良い。このファイアウォールは、(例、これらのエンティティ間のトラフィックおよびリソース共有のフローを調整するために)マシンとアプリケーション、マシンとマシン、および/またはアプリケーションとアプリケーションの間の特定のセットの間の既定のアクセス権のセットを実施することができるハードウェアおよび/またはソフトウェアコンポーネントの任意の組み合わせを有する任意の数のモジュールとすることが出来る。このファイアウォールは、加えて、個人、マシン、および/またはアプリケーションによるオブジェクトのアクセス権と操作権、および許可権が存在する状況を含む許可を詳述するアクセス制御リストへのアクセス制御を管理するおよび/またはそれにアクセスしても良い。
【0177】
本明細書で紹介される技術は、プログラム可能な回路(例、1つ以上のマイクロプロセッサ)、ソフトウェアおよび/またはファームウェア、専用ハードワイヤード(すなわち、プログラム不可能な)回路、またはそのような形態の組み合わせによって実装させることが出来る。専用回路は、1つまたは複数の特定用途向け集積回路(ASIC)、プログラマブルロジックデバイス(PLD)、フィールドプログラマブルゲートアレイ(FPGA)などの形式にすることが出来る。
【0178】
[備考]
請求される主題の様々な実施態様の前述の説明は、例示および説明の目的のために提供されている。制限列挙であること、または請求された主題を開示された正確な形態に限定することは、意図されていない。当業者には多くの修正および変形が明らかであろう。実施態様は、本発明の原理およびその実際の用途を最もよく説明するために選択および説明された。これにより、関連分野の当業者が、特定の用途に適したクレームされた主題、様々な実施態様、および様々な修正を理解することが可能になる。
請求される主題の様々な実施態様の前述の説明は、例示および説明の目的のために提供されている。制限列挙であること、または請求された主題を開示された正確な形態に限定することは、意図されていない。当業者には多くの修正および変形が明らかであろう。実施態様は、本発明の原理およびその実際の用途を最もよく説明するために選択および説明された。これにより、関連分野の当業者が、特定の用途に適したクレームされた主題、様々な実施態様、および様々な修正を理解することが可能になる。
【0179】
詳細な説明は、特定の実施態様および企図される最良のモードを説明しているが、詳細な説明がどの程度詳細に表示されても、技術は多くの方法で実施することができる。実施態様は、それらの実装の詳細においてかなり異なり得るが、それでも依然として明細書に包含されている。様々な実施態様の特定の特徴または態様を説明するときに使用される特定の用語は、その用語が関連する技術の特定の特性、特徴、または態様に限定されるように本明細書で用語が再定義されていることを意味すると解釈されるべきではない。一般に、以下の特許請求の範囲で使用される用語は、本明細書で明示的に定義されない限り、技術を本明細書で開示される特定の実施態様に限定すると解釈されるべきではない。したがって、技術の実際の範囲は、開示された実施態様だけでなく、実施態様を実践または実施する全ての同等の方法も包含する。
【0180】
本明細書で使用される言語は、主に読みやすさと教示目的のために選択されている。主題の輪郭を描く、または外接するために選択されていない可能性がある。したがって、技術の範囲は、発明の詳細な説明によってではなく、本書に基づいた出願に発行される請求項によって制限されることが意図されている。したがって、様々な実施態様の開示は、添付の請求項記載される技術の範囲を例示することを意図していて、限定することを意図するものではない。
[例]
1.
組織が管理する内部ネットワークに対するセキュリティ脅威を識別するためのコンピュータ実装方法であって、前記方法が、
現在前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスを識別するステップと、
前記内部ネットワークに対応するネットフローを取得するステップであって、前記ネットフローには、特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックが含まれる、ステップと、
前記内部ネットワーク上に現在存在しない外部IPアドレスを識別するステップと、
前記外部IPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスで実行されている前記サービスから前記応答を受信するステップと、
前記ネットフローと前記応答に基づいて前記内部ネットワークに対する前記リスクレベルを評価するステップであって、前記リスクレベルが、前記内部IPアドレスと前記外部IPアドレスとの間の通信によってもたらされる潜在的な害を表示する、ステップと
を備える方法。
2.
当該ネットフローを取得するステップが、
前記インターネットに対応するグローバルネットフローを取得するステップであって、前記グローバルネットフローが、特定の時間間隔で前記インターネットを通過した全てのトラフィックを含む、ステップと、
前記ネットフローを得るために前記グローバルネットフローをフィルタリングするステップと、
を備える、例1に記載のコンピュータ実装方法。
3.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)から取得される、例2に記載のコンピュータ実装方法。
4.
当該ネットフローを取得するステップが、
前記内部ネットワークの境に沿って装備された1つ以上のフローコレクタから前記ネットフローを取得するステップ
を備える、例1に記載のコンピュータ実装方法。
5.
当該ネットフローを取得するステップが、
前記インターネットに対応するグローバルネットフローを取得するステップであって、前記グローバルネットフローが、前記特定の時間間隔で前記インターネットを通過した全てのトラフィックを含む、ステップと、
前記グローバルネットフローをフィルタリングして、前記ネットフローを示す第1のデータを取得するステップと、
前記内部ネットワークの境に沿って装備された1つ以上のフローコレクタから前記ネットフローを示す第2データを取得するステップと、
前記第1のデータと前記第2のデータとを、前記ネットフローとして精査される1つのデータセットに統合するステップと、
を備える、例1に記載のコンピュータ実装方法。
6.
前記第1のデータおよび前記第2のデータが、前記内部ネットワークの境を越えた通信に関与する全てのデータパケットの同一のコピーを含む、例5に記載のコンピュータ実装方法。
7.
当該プローブするステップが、
現在前記内部ネットワークの外部に存在する複数の外部IPアドレスの各外部IPアドレスに、別々のクエリを送信するステップを、
備える、例1に記載のコンピュータ実装方法。
8.
別個のクエリが、前記インターネットプロトコールバージョン4(IPv4)空間内に存在する各外部IPアドレスに、送信される、例7に記載のコンピュータ実装方法。
9.
別個のクエリが、前記インターネットプロトコールバージョン6(IPv6)空間内に存在する各外部IPアドレスに、送信される、例7に記載のコンピュータ実装方法。
10.
前記クエリが、前記外部IPアドレスに送信された複数のクエリの1つであり、そして前記複数のクエリの各クエリが、前記対応する外部IPアドレスで実行される複数のサービスの異なるサービスから応答を引出すように設計されている、例1に記載のコンピュータ実装方法。
11.
プロセッサによって実施されると、前記プロセッサに実行させる操作が、格納されている非一時的コンピュータ可読媒体であって、前記操作が、
特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得するステップと、
特定の時間間隔で組織に関連付けられている内部ネットワークを通過した全てのトラフィックを含むローカルネットフローを取得するために前記グローバルネットワークをフィルタリングするステップと、
前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスと、前記内部ネットワークに存在しない外部IPアドレスとに関与する通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記内部IPアドレス、前記外部IPアドレス、または前記通信アクティビティに関与するデータパケットの特性に基づいて、前記通信アクティビティによって前記内部ネットワークにもたらされるリスクを評価するステップと、
を備える、非一時的コンピュータ可読媒体。
12.
前記通信アクティビティが、前記内部IPアドレスから前記外部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、例11に記載の非一時的コンピュータ可読媒体。
13.
前記通信アクティビティが、前記外部IPアドレスから前記内部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、例11に記載に記載の非一時的コンピュータ可読媒体。
14.
前記特性が、前記データパケットのサイズである、例11に記載の非一時的コンピュータ可読媒体。
15.
前記操作が、さらに、
前記外部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから応答を受信するステップであって、不正アクセスに対して脆弱であると判断されたサービスが、前記外部IPアドレスで実行されているか否かを検出するために、当該評価するステップが、前記応答を分析するステップを備える、ステップと
を備える、非一時的コンピュータ可読媒体。
16.
前記操作が、さらに、
前記外部IPアドレスで実行されている特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記応答の受信に応じて、前記特定のサービスが、現在前記外部IPアドレスで実行されていると決定するステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
17.
前記操作が、さらに、
前記内部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記内部IPアドレスをプローブするステップと、
前記内部IPアドレスから前記応答を受信するステップであって、当該評価するステップが、前記不正アクセスに対して脆弱であると決定されたサービスが、前記内部IPアドレスで実行されているか否かを検出するために、前記応答を分析するステップを備える、ステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
18.
前記操作が、さらに、
精査中の前記内部ネットワークの履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて、閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較するステップであって、当該比較するステップにより、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予想されるよりも大きなトラフィック量を処理しているか否かについての決定を行うことが可能になる、ステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
19.
前記操作が、さらに、
前記外部IPアドレスを、セキュリティリスクの増加に関連付けられていることが知られている前記外部IPアドレスのリストと比較するステップ、
を備える、例11に記載の非一時的コンピュータ可読媒体。
20.
組織が管理するネットワークに対するセキュリティ脅威を識別するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実行されると、前記プロセッサに、次の動作:
特定の時間間隔で前記インターネットを通過した全てのトラフィックを含むグローバルネットフローを取得する動作;
前記特定の時間間隔で前記ネットワークを通過した全てのトラフィックを含むローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングする動作;
前記ネットワークの境を越えたデータパケットの交換に関与する全ての通信アクティビティを識別するために、前記ローカルネットフローを解析する動作であって、各通信アクティビティが、前記ネットワーク上にある第1のインターネットプロトコール(IP)アドレスと、前記ネットワーク上にない第2のIPアドレスに関与する、動作;
通信アクティビティごとに、ターゲットIPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記第1のIPアドレスまたは前記第2のIPアドレスをプローブする動作;
送信されたクエリに対する全ての応答を含むアクティブプロービングデータを、その後の精査のためにリポジトリに格納する動作;そして
前記ローカルネットフローと前記アクティブプローブデータに基づいて、前記ネットワークへの各通信アクティビティによってもたらされるリスクを評価する動作、
を行わせる、電子デバイス。
21.
前記命令が、さらに、前記プロセッサに、以下の動作:
前記ネットワーク上に存在する前記通信アクティビティに関与する全てのIPアドレスの第1のリストを生成する動作;
前記第1のリストを、前記組織によって監視されている全てのIPアドレスの第2のリストと比較する動作;
前記第1のリストと前記第2のリストの間に不一致があると決定する動作;そして
前記組織によって現在監視されていない前記ローカルネットフローで少なくとも1つのIPアドレスが検出されたことを示す通知を生成する動作;
を行わせる、例20に記載の電子デバイス。
22.
当該プローブが、定期的に実行される、例20に記載の電子デバイス。
23.
前記命令が、さらに、前記プロセッサに、以下の動作:
統一されたワークフローを作成するために、前記アクティブプロービングデータと前記ローカルネットフローとを統合する動作;および
前記統一されたワークフローに基づいて、前記ネットワークのアーキテクチャのモデルを形成する動作、
を行わせる、例20に記載の電子デバイス。
24.
組織に関連付けられている内部ネットワークに存在する1つ以上の内部インターネットプロトコール(IP)アドレスに関与するトラフィックフローを発見するためのコンピュータ実装方法であって、前記方法が、
特定の時間間隔中に前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得するステップと、
ローカルネットフローを示す第1のデータを取得するために、前記グローバルネットフローをフィルタリングするステップであって、前記ローカルネットフローには、前記特定の時間間隔中に前記内部ネットワークの境界を通過した前記特定の特性を持つ全てのトラフィックが含まれている、ステップと、
前記特定の時間間隔中に公衆通信アクティビティに関与している各内部IPアドレスを識別するために、前記第1のデータを解析するステップであって、前記公衆通信アクティビティが、前記内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスとの間のデータパケットの交換に関与している、ステップと、
上記の解析に基づいて、前記特定の時間間隔中に公衆通信アクティビティに関与した全ての内部IPアドレスに関与する第1のリストを作成するステップと
を備える、コンピュータ実装方法。
25.
前記内部ネットワークの前記境界に沿って装備された1つまたは複数のフローコレクタから前記ローカルネットフローを示す第2のデータを取得するステップと、
前記第1のデータと前記第2のデータを組み合わせて、解析されるべき単一のデータセットにするステップと
をさらに備える、例24に記載のコンピュータ実装方法。
26.
前記ローカルネットフローが、前記外部IPアドレスによって内部IPアドレスに送信されるデータパケット、内部IPアドレスによって前記外部IPアドレスに送信されるデータパケット、またはそれらの任意の組み合わせを含む、例24に記載のコンピュータ実装方法。
27.
前記組織によって現在監視されている全ての内部IPアドレスに関与する第2のリストを取得するステップと、
前記第1のリストと前記第2のリストを比較して、不一致を識別するステップと、
前記比較に基づいて、前記第1のリストに含まれる少なくとも1つの内部IPアドレスが、前記第2のリストに含まれないことを決定するステップと、
をさらに備える、例24に記載のコンピュータ実装方法。
28.
前記少なくとも1つの内部IPアドレスを識別する前記通知を生成するステップと、
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信するステップと、
をさらに備える、例27に記載のコンピュータ実装方法。
29.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)、1つまたは複数のコンテンツ配信ネットワーク(CDN)、またはそれらの任意の組み合わせから取得される、例24に記載のコンピュータ実装方法。
30.
定期的に前記インターネットから地図データを取得するステップと、
前記地図データに基づいて前記内部ネットワークのモデルを生成するステップ、
をさらに備える、例24に記載のコンピュータ実装方法。
31.
応答を引出すように設計されているクエリを送信することにより、前記第1のリストに含まれる各内部IPアドレスをプローブするステップと、
前記第1のリストに含まれる前記内部IPアドレスから受信した応答からプローブデータを作成するステップであって、前記プローブデータが、前記内部ネットワークに存在する少なくともいくつかのコンピュータプログラムのクラス、タイプ、またはバージョンを指定する、ステップと
をさらに備える、例30に記載のコンピュータ実装方法。
32.
プロセッサによって実施されると、前記プロセッサに、以下のステップ:
セキュリティ管理プラットフォームによって、少なくとも2つの異なるソースから複数の未分類のデータストリームを取得するステップであって、前記複数の未分類データストリームの各未分類データストリームには、組織に関連付けられている内部ネットワークの境界を通過したトラフィックに関する情報が含まれている、ステップ;
前記セキュリティ管理プラットフォームが、複数の未分類のデータストリームを統合して、統一されたワークフローを形成するステップ;
前記セキュリティ管理プラットフォームが、前記統一されたワークフローを精査することにより、前記内部ネットワークに存在するサイバ資産に対する攻撃のベクトルを識別するステップ;
修復のアクションを実行して、攻撃の前記ベクトルを拒否させるステップ、
を備える操作を実行させる命令が、格納されている非一時的コンピュータ可読媒体。
33.
当該拒否させるステップが、
前記セキュリティ管理プラットフォームが、前記修復アクションを識別する通知を生成するステップと、
前記セキュリティ管理プラットフォームが、前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信するステップと、
を備える、例32に記載の非一時的コンピュータ可読媒体。
34
前記複数の未分類のデータストリームが、
前記内部ネットワークに存在するIPアドレス、コンピューティングデバイス、またはサービスの攻撃対象領域を特徴付ける地図データ、
前記内部ネットワークの前記境界を越えるデータパケットの交換を含む通信アクティビティを特徴付けるネットフローデータ、および
前記内部ネットワークに存在する少なくとも1つのコンピュータプログラムのクラス、タイプ、またはバージョンを特徴付けるプローブデータ。
を含む、例32に記載の非一時的コンピュータ可読媒体。
35.
前記操作が、
前記セキュリティ管理プラットフォームが、応答を引出すように設計されているクエリを送信することにより、内部ネットワークに存在する各内部IPアドレスをプローブするステップと、
前記セキュリティ管理プラットフォームが、前記対応する内部IPアドレスから受信した応答を精査することにより、前記内部ネットワークに存在する各インターネット接続コンピューティングデバイスのステータスを決定するステップと、
をさらに備える、例32に記載の非一時的コンピュータ可読媒体。
36.
当該プローブするステップが、各インターネット接続コンピューティングデバイスの前記ステータスが、特定の時間間隔にわたって監視させることが出来るように、定期的に実行される、例35に記載の非一時的コンピュータ可読媒体。
37.
前記時間間隔が、日、月、年、または無期限の期間である、例36に記載の非一時的コンピュータ可読媒体。
38.
前記操作が、さらに、前記セキュリティ管理プラットフォームが、さらなる分析のために全ての応答を示すデータを格納するステップを、備える、例35に記載の非一時的コンピュータ可読媒体。
39.
インターネットを介して外部IPアドレスと通信する内部インターネットプロトコール(IP)アドレスを発見するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実施されると、前記プロセッサに、次の動作:
特定の時間間隔で前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得する動作;
前記特定の時間間隔の少なくとも一部の間に前記内部IPアドレスが存在していた内部ネットワークに対応するローカルネットフローを取得するために、グローバルネットフローをフィルタリングする動作であって、前記ローカルネットフローには、前記特定の時間間隔中に前記内部ネットワークの境界を通過した前記特定の特性を持つ全てのトラフィックが含まれる、動作;
前記特定の時間間隔中に公衆通信アクティビティに関与した各内部IPアドレスを識別するために、前記ローカルネットフローを解析する動作;
前記特定の時間間隔中に公衆通信アクティビティに関与した全ての内部IPアドレスに関与する第1のリストを作成する動作;
前記第1のリストを、現在監視されている全ての内部IPアドレスに関与する第2のリストと比較する動作;そして
前記公衆通信アクティビティによってもたらされるリスクを決定する動作;
を行わせる、電子デバイス。
40.
前記命令が、さらに、前記プロセッサに、前記第1のリストに含まれる少なくとも1つの内部IPアドレスが、前記第2のリストに含まれていないことを決定させる、例39の電子デバイス。
41.
前記命令が、さらに、前記プロセッサに、
少なくとも1つの内部IPアドレスを識別する通知を生成させ、そして
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信させる、例40に記載の電子デバイス。
42.
前記命令が、さらに、前記プロセッサに、前記内部ネットワークに関連付けられている組織により管理されているストレージから前記第2のリストを検索させる、例39に記載の電子デバイス。
43.
前記グローバルネットフローが、前記インターネット上に展開された1つまたは複数のスキャン機構から取得される、例39に記載の電子デバイス。
44.
組織に関連付けられている内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
ローカルネットフローを精査して、内部ネットワークに存在する内部IPアドレスと前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティを検出するステップと、
応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから前記応答を受信するステップと、
前記応答を分析して、不正アクセスに対して脆弱であると判断されたサービスが、前記外部IPアドレスで実行されているか否かを検出することにより、前記内部ネットワークに対する前記公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備えるコンピュータ実装方法。
45.
特定の時間間隔中に前記インターネットを通過した特定の特性を有する全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記グローバルネットフローをフィルタリングして、前記特定の時間間隔中に前記内部ネットワークの境界を越えた特定の特性を持つ全てのトラフィックを含むローカルネットフローを取得するステップと
を備える、例44に記載のコンピュータ実装方法。
46
各データパケットの構造を精査することにより、前記グローバルネットフローに含まれるデータパケットに特定の特性があるか否かを決定するステップをさらに備える、例44に記載のコンピュータ実装方法。
47
当該決定するステップが、各データパケットのヘッダのコンテンツを精査することを含む、例46に記載のコンピュータ実装方法。
48.
前記構造が、各データパケットが、インターネットプロトコールバージョン4(IPv4)またはインターネットプロトコールバージョン6(IPv6)に従ってルーティングされるか否かを示す、例46に記載のコンピュータ実装方法。
49.
組織に関連する内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
ローカルネットフローを精査して、前記内部ネットワークに存在する前記内部IPアドレスと前記内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するステップと、
特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから前記応答を受信するステップと、
前記応答の受信に応じて、特定のサービスが現在前記外部IPアドレスで実行されていると判断するステップと、
前記外部IPアドレスに特定のサービスが存在するために、前記公衆通信アクティビティが前記内部アクティビティに与えるリスクを評価するステップと
を備える、コンピュータ実装方法。
50.
特定の時間間隔で前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記特定の時間間隔中に前記内部ネットワークの境界を越えた前記特定の特性を持つ全てのトラフィックを含む前記ローカルネットフローを取得するために前記グローバルネットフローをフィルタリングするステップと、
を備える、例49に記載のコンピュータ実装方法。
51.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)、1つまたは複数のコンテンツ配信ネットワーク(CDN)、またはそれらの任意の組み合わせから取得される、例50に記載のコンピュータ実装方法。
52.
組織に関連付けられている内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するために、ローカルネットフローを精査するステップと、
前記内部IPアドレスを精査するために、前記応答を引出すように設計されているクエリを送信するステップと、
前記内部IPアドレスから応答を受信するステップと、
不正アクセスに対して脆弱であると判断されたサービスが、前記内部IPアドレスで実行されているか否かを検出するために前記応答を分析することにより、前記公衆通信アクティビティによる前記内部ネットワークへのリスクを評価するステップと、
を備える、コンピュータ実装方法。
53.
脆弱性のあるサービスが、前記内部IPアドレスで実行されていると決定するステップと、
前記脆弱性のあるサービスを識別する通知を生成するステップと、
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに、前記通知を送信するステップと
をさらに備える、例52に記載のコンピュータ実装方法。
54.
前記通知が、前記脆弱性のあるサービスによるセキュリティリスクの増加に対処するように設計されている修復アクションを実行するための推奨事項を含む、例53に記載のコンピュータ実装方法。
55.
前記公共通信アクティビティが、前記内部ネットワークの境界を横切る前記内部IPアドレスから前記外部IPアドレスへのデータパケットの送信に関与する、例52に記載のコンピュータ実装方法。
56.
前記通信アクティビティが、前記内部ネットワークの境界を越える前記外部IPアドレスから内部IPアドレスへのデータパケットの送信に関与する、例52に記載のコンピュータ実装方法。
57.
組織に関連付けられている内部ネットワークに存在する1つまたは複数の内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
第1の時間間隔で前記内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップと、
第2の時間間隔で前記内部ネットワークの前記境界を通過した全てのトラフィックを含む履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較することにより、前記ローカルネットワークに対する前記第1の時間間隔での公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備える、コンピュータ実装方法。
58.
前記第1および第2の時間間隔が、日、週、または月に対応する、例57に記載のコンピュータ実装方法。
59.
前記ローカルネットフローを前記閾値と比較することが、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予測以上に大きなトラフィックの量を扱っているか否かについて、決定を下すことを可能にする、例57に記載のコンピュータ実装方法。
60.
組織が管理する内部ネットワーク上に存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
特定の時間間隔で前記内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップと、
前記内部ネットワークに存在する内部IPアドレスと前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記外部IPアドレスを、セキュリティリスクの増加に関連付けられていることが知られている1つ以上の前記外部IPアドレスを含むソースリストと比較するステップと、
当該比較に基づいて、前記内部ネットワークに対する前記公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備えるコンピュータ実装方法。
61.
米国連邦政府により維持されているWebサイトから前記ソースリストを取得するステップを、さらに備える、例60に記載のコンピュータ実装方法。
62.
前記ソースリストのコンテンツが時間とともに変化し、当該検索が定期的に実行されるステップを、さらに備える、例61に記載のコンピュータ実装方法。
63.
前記ソースリストが、外国資産管理局によってセキュリティリスクとみなされる外国企業に関連付けられている少なくとも1つのIPアドレスを含む、例60に記載のコンピュータ実装方法。
64.
組織に関連付けられている内部ネットワークに対するセキュリティ脅威を評価するためのシステムであって、前記システムが、
第1のネットワークに展開された1つ以上のスキャン機構であって、各スキャン機構が、
応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブし、かつ
前記少なくとも1つのIPアドレスから受信された応答からプローブデータを作成するように、構成されている、スキャン機構と、
次の動作:
特定の時間間隔中に第2のネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得する動作;
公衆通信アクティビティを検出するために前記ローカルネットフローを精査する動作であって、各公衆通信アクティビティが、前記第2のネットワークにある内部IPアドレスと前記第2のネットワークにない前記外部IPアドレスに関与している、動作;および
前記ローカルネットフローと前記プローブデータに基づいて、前記公衆通信アクティビティによってもたらされるリスクを評価する動作、
を行うように構成されているセキュリティ管理プラットフォームと
を備える、システム。
65.
前記第1のネットワークと前記第2のネットワークが、異なるネットワークである、例64に記載のシステム。
66.
前記第1のネットワークがインターネットであり、前記第2のネットワークが組織に関連付けられている内部ネットワークである、例64に記載のシステム。
67.
各走査機構が、さらに、
公衆通信アクティビティに関与する各前記外部IPアドレスから発信された、またはそれに送信されたトラフィックを精査して、どのサービスが、各外部IPアドレスを実行しているかを決定するように構成されている、例64に記載のシステム。
68.
当該精査することが、前記トラフィックに含まれるデータパケットのヘッダのコンテンツを分析することを含む、例67に記載のシステム。
69.
前記第2のネットワークに存在するサイバ資産への不正アクセスの試行を隔離するように構成されたハニーポットサーバと、
前記第2のネットワークの前記境界に沿って展開されたファイアウォールであって、
前記ファイアウォールが、
特定の前記外部IPアドレスから通信を受信し、
前記通信が着信スキャン攻撃を表していることを決定し、
前記ハニーポットサーバへの通信をそらすことにより、前記第2のネットワークの侵害を防ぐ、
ように構成されている、ファイアウォールと
をさらに備える、例67に記載のシステム。
70.
前記セキュリティ管理プラットフォームが、
特定の時間間隔で第1のネットワークを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得し、
前記ハニーポットサーバに関連付けられている1つ以上のIPアドレスに関与するトラフィックを取得するために、前記グローバルネットフローをフィルタリングし、そして、
前記トラフィックが、ボットによるスキャンの試行を含むことを決定する、
ように構成されている、例69に記載のシステム。
71.
前記セキュリティ管理プラットフォームが、さらに、
前記ボットの特性を識別するために前記試行されたスキャンを精査し、そして、
前記ボットとの通信に現在関与している全ての内部IPアドレスを識別する、
ように構成されている、例70に記載のシステム。
72.
前記セキュリティ管理プラットフォームが、さらに、
前記試行されたスキャンを精査して、前記ボットの特性を特定し、そして、
前記特性に基づいて、前記ボットとコマンド-アンド-コントロールセンタに関与する公衆通信アクティビティを識別する、
ように構成されている、例70に記載のシステム。
73.
内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスと、前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
セキュリティ管理プラットフォームが、前記インターネット上に展開された1つ以上のスキャン機構からプローブデータを取得するステップであって、
各スキャン機構が、特定のサービスから応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブするように構成されていて、そして
前記プローブデータが、前記内部IPアドレスによって提供される第1の応答と、前記外部IPアドレスによって提供される第2の応答とを含む、ステップと、
前記セキュリティ管理プラットフォームが、前記プローブデータに基づいて前記公衆通信アクティビティによってもたらされるリスクを評価するステップと、
前記セキュリティ管理プラットフォームが、前記リスクが特定の閾値を超えていると決定するステップと、
前記セキュリティ管理プラットフォームが、前記内部ネットワークの境界に展開されたファイアウォールに指示を送信するステップであって、前記命令が、着信通信を前記外部IPアドレスからハニーポットサーバにそらすことにより、前記内部ネットワークの将来の侵害を防ぐようにファイアウォールに命令する、ステップと
を備える、コンピュータ実装方法。
74.
前記セキュリティ管理プラットフォームが、特定の時間間隔中に内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップを、 さらに備える、例73に記載のコンピュータ実装方法。
75.
前記セキュリティ管理プラットフォームが、前記外部IPアドレスに関与する全ての公衆通信アクティビティを識別する前記ローカルネットフローを精査するステップを、さらに備える、例74に記載のコンピュータ実装方法。
76.
当該取得するステップが、
前記セキュリティ管理プラットフォームが、前記特定の時間間隔中に前記インターネットを通過した特定の特性を有する全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記ローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングするステップと
をさらに備える、例74に記載のコンピュータ実装方法。
77.
前記セキュリティ管理プラットフォームが、前記内部ネットワークに通信可能に結合されたコンピュータサーバ上に存在する、例73に記載のコンピュータ実装方法。
78.
インターネット上に展開された1つ以上のスキャン機構であって、各スキャン機構が、
応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブし、そして、
少なくとも1つのIPアドレスから受信した応答からプローブデータを作成する、
ように構成されている、1つ以上のスキャン機構と、
次の動作:
特定の時間間隔中に内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得する動作;
内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するために前記ローカルネットフローを精査する動作;
公衆通信アクティビティによってもたらされるリスクが特定の閾値を超えると決定する動作;
前記内部IPネットワークの境界に沿って展開されたファイアウォールに、前記外部IPアドレスから受信した今後の通信がハニーポットサーバに転送されるべきであると通知する動作、
を行うように構成されているセキュリティ管理プラットフォームと、
を備える、システム。
79.
前記ハニーポットサーバが、内部ネットワーク上に存在するサイバ資産への不正アクセスを得る試みを隔離するように構成されている、例78に記載のシステム。
80.
前記ファイアウォールが、前記外部IPアドレスからの通信を受信すると、前記ハニーポットサーバへの通信を偏向させて、内部ネットワークの侵害を防ぐように構成されている、例78に記載のシステム。
81.
前記セキュリティ管理プラットフォームが、
ボットネットに関連付けられているブラックリストに前記外部IPアドレスを追加し、そして
前記ブラックリストに含まれる前記外部IPアドレスに関与する全ての公衆通信アクティビティを識別することにより、ボットネットアクティビティを監視する、
ように構成される、例78に記載のシステム。
82.
前記セキュリティ管理プラットフォームが、さらに、一定期間、公衆通信アクティビティに関与していない前記外部IPアドレスを削除することにより、前記ブラックリストを定期的に更新する、ように構成されている、例81に記載のシステム。
83.
前記セキュリティ管理プラットフォームが、さらに、
前記外部IPアドレスから発信される、または前記外部IPアドレスに向けられるトラフィックを精査して、もしあれば、どのサービスが、前記外部IPアドレスで実行されているかを決定するように、構成されている、例78に記載のシステム。
ここでは、説明のみを目的として特定の例が示されている。当業者は、物理的な可能性に反しない限り、各例を他の例と組み合わせることができることを認識するであろう。
[例]
1.
組織が管理する内部ネットワークに対するセキュリティ脅威を識別するためのコンピュータ実装方法であって、前記方法が、
現在前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスを識別するステップと、
前記内部ネットワークに対応するネットフローを取得するステップであって、前記ネットフローには、特定の時間間隔で前記内部ネットワークを通過した全てのトラフィックが含まれる、ステップと、
前記内部ネットワーク上に現在存在しない外部IPアドレスを識別するステップと、
前記外部IPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスで実行されている前記サービスから前記応答を受信するステップと、
前記ネットフローと前記応答に基づいて前記内部ネットワークに対する前記リスクレベルを評価するステップであって、前記リスクレベルが、前記内部IPアドレスと前記外部IPアドレスとの間の通信によってもたらされる潜在的な害を表示する、ステップと
を備える方法。
2.
当該ネットフローを取得するステップが、
前記インターネットに対応するグローバルネットフローを取得するステップであって、前記グローバルネットフローが、特定の時間間隔で前記インターネットを通過した全てのトラフィックを含む、ステップと、
前記ネットフローを得るために前記グローバルネットフローをフィルタリングするステップと、
を備える、例1に記載のコンピュータ実装方法。
3.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)から取得される、例2に記載のコンピュータ実装方法。
4.
当該ネットフローを取得するステップが、
前記内部ネットワークの境に沿って装備された1つ以上のフローコレクタから前記ネットフローを取得するステップ
を備える、例1に記載のコンピュータ実装方法。
5.
当該ネットフローを取得するステップが、
前記インターネットに対応するグローバルネットフローを取得するステップであって、前記グローバルネットフローが、前記特定の時間間隔で前記インターネットを通過した全てのトラフィックを含む、ステップと、
前記グローバルネットフローをフィルタリングして、前記ネットフローを示す第1のデータを取得するステップと、
前記内部ネットワークの境に沿って装備された1つ以上のフローコレクタから前記ネットフローを示す第2データを取得するステップと、
前記第1のデータと前記第2のデータとを、前記ネットフローとして精査される1つのデータセットに統合するステップと、
を備える、例1に記載のコンピュータ実装方法。
6.
前記第1のデータおよび前記第2のデータが、前記内部ネットワークの境を越えた通信に関与する全てのデータパケットの同一のコピーを含む、例5に記載のコンピュータ実装方法。
7.
当該プローブするステップが、
現在前記内部ネットワークの外部に存在する複数の外部IPアドレスの各外部IPアドレスに、別々のクエリを送信するステップを、
備える、例1に記載のコンピュータ実装方法。
8.
別個のクエリが、前記インターネットプロトコールバージョン4(IPv4)空間内に存在する各外部IPアドレスに、送信される、例7に記載のコンピュータ実装方法。
9.
別個のクエリが、前記インターネットプロトコールバージョン6(IPv6)空間内に存在する各外部IPアドレスに、送信される、例7に記載のコンピュータ実装方法。
10.
前記クエリが、前記外部IPアドレスに送信された複数のクエリの1つであり、そして前記複数のクエリの各クエリが、前記対応する外部IPアドレスで実行される複数のサービスの異なるサービスから応答を引出すように設計されている、例1に記載のコンピュータ実装方法。
11.
プロセッサによって実施されると、前記プロセッサに実行させる操作が、格納されている非一時的コンピュータ可読媒体であって、前記操作が、
特定の時間間隔でインターネットを通過した全てのトラフィックを含むグローバルネットフローを取得するステップと、
特定の時間間隔で組織に関連付けられている内部ネットワークを通過した全てのトラフィックを含むローカルネットフローを取得するために前記グローバルネットワークをフィルタリングするステップと、
前記内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスと、前記内部ネットワークに存在しない外部IPアドレスとに関与する通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記内部IPアドレス、前記外部IPアドレス、または前記通信アクティビティに関与するデータパケットの特性に基づいて、前記通信アクティビティによって前記内部ネットワークにもたらされるリスクを評価するステップと、
を備える、非一時的コンピュータ可読媒体。
12.
前記通信アクティビティが、前記内部IPアドレスから前記外部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、例11に記載の非一時的コンピュータ可読媒体。
13.
前記通信アクティビティが、前記外部IPアドレスから前記内部IPアドレスへの、前記内部ネットワークの境を越える前記データパケットの送信に関与する、例11に記載に記載の非一時的コンピュータ可読媒体。
14.
前記特性が、前記データパケットのサイズである、例11に記載の非一時的コンピュータ可読媒体。
15.
前記操作が、さらに、
前記外部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから応答を受信するステップであって、不正アクセスに対して脆弱であると判断されたサービスが、前記外部IPアドレスで実行されているか否かを検出するために、当該評価するステップが、前記応答を分析するステップを備える、ステップと
を備える、非一時的コンピュータ可読媒体。
16.
前記操作が、さらに、
前記外部IPアドレスで実行されている特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記応答の受信に応じて、前記特定のサービスが、現在前記外部IPアドレスで実行されていると決定するステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
17.
前記操作が、さらに、
前記内部IPアドレスから応答を引出すように設計されているクエリを送信することにより、前記内部IPアドレスをプローブするステップと、
前記内部IPアドレスから前記応答を受信するステップであって、当該評価するステップが、前記不正アクセスに対して脆弱であると決定されたサービスが、前記内部IPアドレスで実行されているか否かを検出するために、前記応答を分析するステップを備える、ステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
18.
前記操作が、さらに、
精査中の前記内部ネットワークの履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて、閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較するステップであって、当該比較するステップにより、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予想されるよりも大きなトラフィック量を処理しているか否かについての決定を行うことが可能になる、ステップと、
を備える、例11に記載の非一時的コンピュータ可読媒体。
19.
前記操作が、さらに、
前記外部IPアドレスを、セキュリティリスクの増加に関連付けられていることが知られている前記外部IPアドレスのリストと比較するステップ、
を備える、例11に記載の非一時的コンピュータ可読媒体。
20.
組織が管理するネットワークに対するセキュリティ脅威を識別するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実行されると、前記プロセッサに、次の動作:
特定の時間間隔で前記インターネットを通過した全てのトラフィックを含むグローバルネットフローを取得する動作;
前記特定の時間間隔で前記ネットワークを通過した全てのトラフィックを含むローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングする動作;
前記ネットワークの境を越えたデータパケットの交換に関与する全ての通信アクティビティを識別するために、前記ローカルネットフローを解析する動作であって、各通信アクティビティが、前記ネットワーク上にある第1のインターネットプロトコール(IP)アドレスと、前記ネットワーク上にない第2のIPアドレスに関与する、動作;
通信アクティビティごとに、ターゲットIPアドレスで実行されているサービスから応答を引出すように設計されたクエリを送信することにより、前記第1のIPアドレスまたは前記第2のIPアドレスをプローブする動作;
送信されたクエリに対する全ての応答を含むアクティブプロービングデータを、その後の精査のためにリポジトリに格納する動作;そして
前記ローカルネットフローと前記アクティブプローブデータに基づいて、前記ネットワークへの各通信アクティビティによってもたらされるリスクを評価する動作、
を行わせる、電子デバイス。
21.
前記命令が、さらに、前記プロセッサに、以下の動作:
前記ネットワーク上に存在する前記通信アクティビティに関与する全てのIPアドレスの第1のリストを生成する動作;
前記第1のリストを、前記組織によって監視されている全てのIPアドレスの第2のリストと比較する動作;
前記第1のリストと前記第2のリストの間に不一致があると決定する動作;そして
前記組織によって現在監視されていない前記ローカルネットフローで少なくとも1つのIPアドレスが検出されたことを示す通知を生成する動作;
を行わせる、例20に記載の電子デバイス。
22.
当該プローブが、定期的に実行される、例20に記載の電子デバイス。
23.
前記命令が、さらに、前記プロセッサに、以下の動作:
統一されたワークフローを作成するために、前記アクティブプロービングデータと前記ローカルネットフローとを統合する動作;および
前記統一されたワークフローに基づいて、前記ネットワークのアーキテクチャのモデルを形成する動作、
を行わせる、例20に記載の電子デバイス。
24.
組織に関連付けられている内部ネットワークに存在する1つ以上の内部インターネットプロトコール(IP)アドレスに関与するトラフィックフローを発見するためのコンピュータ実装方法であって、前記方法が、
特定の時間間隔中に前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得するステップと、
ローカルネットフローを示す第1のデータを取得するために、前記グローバルネットフローをフィルタリングするステップであって、前記ローカルネットフローには、前記特定の時間間隔中に前記内部ネットワークの境界を通過した前記特定の特性を持つ全てのトラフィックが含まれている、ステップと、
前記特定の時間間隔中に公衆通信アクティビティに関与している各内部IPアドレスを識別するために、前記第1のデータを解析するステップであって、前記公衆通信アクティビティが、前記内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスとの間のデータパケットの交換に関与している、ステップと、
上記の解析に基づいて、前記特定の時間間隔中に公衆通信アクティビティに関与した全ての内部IPアドレスに関与する第1のリストを作成するステップと
を備える、コンピュータ実装方法。
25.
前記内部ネットワークの前記境界に沿って装備された1つまたは複数のフローコレクタから前記ローカルネットフローを示す第2のデータを取得するステップと、
前記第1のデータと前記第2のデータを組み合わせて、解析されるべき単一のデータセットにするステップと
をさらに備える、例24に記載のコンピュータ実装方法。
26.
前記ローカルネットフローが、前記外部IPアドレスによって内部IPアドレスに送信されるデータパケット、内部IPアドレスによって前記外部IPアドレスに送信されるデータパケット、またはそれらの任意の組み合わせを含む、例24に記載のコンピュータ実装方法。
27.
前記組織によって現在監視されている全ての内部IPアドレスに関与する第2のリストを取得するステップと、
前記第1のリストと前記第2のリストを比較して、不一致を識別するステップと、
前記比較に基づいて、前記第1のリストに含まれる少なくとも1つの内部IPアドレスが、前記第2のリストに含まれないことを決定するステップと、
をさらに備える、例24に記載のコンピュータ実装方法。
28.
前記少なくとも1つの内部IPアドレスを識別する前記通知を生成するステップと、
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信するステップと、
をさらに備える、例27に記載のコンピュータ実装方法。
29.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)、1つまたは複数のコンテンツ配信ネットワーク(CDN)、またはそれらの任意の組み合わせから取得される、例24に記載のコンピュータ実装方法。
30.
定期的に前記インターネットから地図データを取得するステップと、
前記地図データに基づいて前記内部ネットワークのモデルを生成するステップ、
をさらに備える、例24に記載のコンピュータ実装方法。
31.
応答を引出すように設計されているクエリを送信することにより、前記第1のリストに含まれる各内部IPアドレスをプローブするステップと、
前記第1のリストに含まれる前記内部IPアドレスから受信した応答からプローブデータを作成するステップであって、前記プローブデータが、前記内部ネットワークに存在する少なくともいくつかのコンピュータプログラムのクラス、タイプ、またはバージョンを指定する、ステップと
をさらに備える、例30に記載のコンピュータ実装方法。
32.
プロセッサによって実施されると、前記プロセッサに、以下のステップ:
セキュリティ管理プラットフォームによって、少なくとも2つの異なるソースから複数の未分類のデータストリームを取得するステップであって、前記複数の未分類データストリームの各未分類データストリームには、組織に関連付けられている内部ネットワークの境界を通過したトラフィックに関する情報が含まれている、ステップ;
前記セキュリティ管理プラットフォームが、複数の未分類のデータストリームを統合して、統一されたワークフローを形成するステップ;
前記セキュリティ管理プラットフォームが、前記統一されたワークフローを精査することにより、前記内部ネットワークに存在するサイバ資産に対する攻撃のベクトルを識別するステップ;
修復のアクションを実行して、攻撃の前記ベクトルを拒否させるステップ、
を備える操作を実行させる命令が、格納されている非一時的コンピュータ可読媒体。
33.
当該拒否させるステップが、
前記セキュリティ管理プラットフォームが、前記修復アクションを識別する通知を生成するステップと、
前記セキュリティ管理プラットフォームが、前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信するステップと、
を備える、例32に記載の非一時的コンピュータ可読媒体。
34
前記複数の未分類のデータストリームが、
前記内部ネットワークに存在するIPアドレス、コンピューティングデバイス、またはサービスの攻撃対象領域を特徴付ける地図データ、
前記内部ネットワークの前記境界を越えるデータパケットの交換を含む通信アクティビティを特徴付けるネットフローデータ、および
前記内部ネットワークに存在する少なくとも1つのコンピュータプログラムのクラス、タイプ、またはバージョンを特徴付けるプローブデータ。
を含む、例32に記載の非一時的コンピュータ可読媒体。
35.
前記操作が、
前記セキュリティ管理プラットフォームが、応答を引出すように設計されているクエリを送信することにより、内部ネットワークに存在する各内部IPアドレスをプローブするステップと、
前記セキュリティ管理プラットフォームが、前記対応する内部IPアドレスから受信した応答を精査することにより、前記内部ネットワークに存在する各インターネット接続コンピューティングデバイスのステータスを決定するステップと、
をさらに備える、例32に記載の非一時的コンピュータ可読媒体。
36.
当該プローブするステップが、各インターネット接続コンピューティングデバイスの前記ステータスが、特定の時間間隔にわたって監視させることが出来るように、定期的に実行される、例35に記載の非一時的コンピュータ可読媒体。
37.
前記時間間隔が、日、月、年、または無期限の期間である、例36に記載の非一時的コンピュータ可読媒体。
38.
前記操作が、さらに、前記セキュリティ管理プラットフォームが、さらなる分析のために全ての応答を示すデータを格納するステップを、備える、例35に記載の非一時的コンピュータ可読媒体。
39.
インターネットを介して外部IPアドレスと通信する内部インターネットプロトコール(IP)アドレスを発見するための命令を含むメモリを備える電子デバイスであって、前記命令が、プロセッサによって実施されると、前記プロセッサに、次の動作:
特定の時間間隔で前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得する動作;
前記特定の時間間隔の少なくとも一部の間に前記内部IPアドレスが存在していた内部ネットワークに対応するローカルネットフローを取得するために、グローバルネットフローをフィルタリングする動作であって、前記ローカルネットフローには、前記特定の時間間隔中に前記内部ネットワークの境界を通過した前記特定の特性を持つ全てのトラフィックが含まれる、動作;
前記特定の時間間隔中に公衆通信アクティビティに関与した各内部IPアドレスを識別するために、前記ローカルネットフローを解析する動作;
前記特定の時間間隔中に公衆通信アクティビティに関与した全ての内部IPアドレスに関与する第1のリストを作成する動作;
前記第1のリストを、現在監視されている全ての内部IPアドレスに関与する第2のリストと比較する動作;そして
前記公衆通信アクティビティによってもたらされるリスクを決定する動作;
を行わせる、電子デバイス。
40.
前記命令が、さらに、前記プロセッサに、前記第1のリストに含まれる少なくとも1つの内部IPアドレスが、前記第2のリストに含まれていないことを決定させる、例39の電子デバイス。
41.
前記命令が、さらに、前記プロセッサに、
少なくとも1つの内部IPアドレスを識別する通知を生成させ、そして
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに前記通知を送信させる、例40に記載の電子デバイス。
42.
前記命令が、さらに、前記プロセッサに、前記内部ネットワークに関連付けられている組織により管理されているストレージから前記第2のリストを検索させる、例39に記載の電子デバイス。
43.
前記グローバルネットフローが、前記インターネット上に展開された1つまたは複数のスキャン機構から取得される、例39に記載の電子デバイス。
44.
組織に関連付けられている内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
ローカルネットフローを精査して、内部ネットワークに存在する内部IPアドレスと前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティを検出するステップと、
応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから前記応答を受信するステップと、
前記応答を分析して、不正アクセスに対して脆弱であると判断されたサービスが、前記外部IPアドレスで実行されているか否かを検出することにより、前記内部ネットワークに対する前記公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備えるコンピュータ実装方法。
45.
特定の時間間隔中に前記インターネットを通過した特定の特性を有する全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記グローバルネットフローをフィルタリングして、前記特定の時間間隔中に前記内部ネットワークの境界を越えた特定の特性を持つ全てのトラフィックを含むローカルネットフローを取得するステップと
を備える、例44に記載のコンピュータ実装方法。
46
各データパケットの構造を精査することにより、前記グローバルネットフローに含まれるデータパケットに特定の特性があるか否かを決定するステップをさらに備える、例44に記載のコンピュータ実装方法。
47
当該決定するステップが、各データパケットのヘッダのコンテンツを精査することを含む、例46に記載のコンピュータ実装方法。
48.
前記構造が、各データパケットが、インターネットプロトコールバージョン4(IPv4)またはインターネットプロトコールバージョン6(IPv6)に従ってルーティングされるか否かを示す、例46に記載のコンピュータ実装方法。
49.
組織に関連する内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
ローカルネットフローを精査して、前記内部ネットワークに存在する前記内部IPアドレスと前記内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するステップと、
特定のサービスから応答を引出すように設計されているクエリを送信することにより、前記外部IPアドレスをプローブするステップと、
前記外部IPアドレスから前記応答を受信するステップと、
前記応答の受信に応じて、特定のサービスが現在前記外部IPアドレスで実行されていると判断するステップと、
前記外部IPアドレスに特定のサービスが存在するために、前記公衆通信アクティビティが前記内部アクティビティに与えるリスクを評価するステップと
を備える、コンピュータ実装方法。
50.
特定の時間間隔で前記インターネットを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記特定の時間間隔中に前記内部ネットワークの境界を越えた前記特定の特性を持つ全てのトラフィックを含む前記ローカルネットフローを取得するために前記グローバルネットフローをフィルタリングするステップと、
を備える、例49に記載のコンピュータ実装方法。
51.
前記グローバルネットフローが、1つまたは複数のインターネットサービスプロバイダ(ISP)、1つまたは複数のコンテンツ配信ネットワーク(CDN)、またはそれらの任意の組み合わせから取得される、例50に記載のコンピュータ実装方法。
52.
組織に関連付けられている内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するために、ローカルネットフローを精査するステップと、
前記内部IPアドレスを精査するために、前記応答を引出すように設計されているクエリを送信するステップと、
前記内部IPアドレスから応答を受信するステップと、
不正アクセスに対して脆弱であると判断されたサービスが、前記内部IPアドレスで実行されているか否かを検出するために前記応答を分析することにより、前記公衆通信アクティビティによる前記内部ネットワークへのリスクを評価するステップと、
を備える、コンピュータ実装方法。
53.
脆弱性のあるサービスが、前記内部IPアドレスで実行されていると決定するステップと、
前記脆弱性のあるサービスを識別する通知を生成するステップと、
前記内部ネットワークの管理を担当するアドミニストレータに関連付けられているコンピューティングデバイスに、前記通知を送信するステップと
をさらに備える、例52に記載のコンピュータ実装方法。
54.
前記通知が、前記脆弱性のあるサービスによるセキュリティリスクの増加に対処するように設計されている修復アクションを実行するための推奨事項を含む、例53に記載のコンピュータ実装方法。
55.
前記公共通信アクティビティが、前記内部ネットワークの境界を横切る前記内部IPアドレスから前記外部IPアドレスへのデータパケットの送信に関与する、例52に記載のコンピュータ実装方法。
56.
前記通信アクティビティが、前記内部ネットワークの境界を越える前記外部IPアドレスから内部IPアドレスへのデータパケットの送信に関与する、例52に記載のコンピュータ実装方法。
57.
組織に関連付けられている内部ネットワークに存在する1つまたは複数の内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
第1の時間間隔で前記内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップと、
第2の時間間隔で前記内部ネットワークの前記境界を通過した全てのトラフィックを含む履歴ローカルネットフローを精査するステップと、
前記履歴ローカルネットフローに少なくとも部分的に基づいて閾値を生成するステップと、
前記ローカルネットフローを前記閾値と比較することにより、前記ローカルネットワークに対する前記第1の時間間隔での公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備える、コンピュータ実装方法。
58.
前記第1および第2の時間間隔が、日、週、または月に対応する、例57に記載のコンピュータ実装方法。
59.
前記ローカルネットフローを前記閾値と比較することが、前記内部ネットワークが、前記履歴ローカルネットフローに基づいて予測以上に大きなトラフィックの量を扱っているか否かについて、決定を下すことを可能にする、例57に記載のコンピュータ実装方法。
60.
組織が管理する内部ネットワーク上に存在する内部インターネットプロトコール(IP)アドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
特定の時間間隔で前記内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップと、
前記内部ネットワークに存在する内部IPアドレスと前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティを検出するために、前記ローカルネットフローを精査するステップと、
前記外部IPアドレスを、セキュリティリスクの増加に関連付けられていることが知られている1つ以上の前記外部IPアドレスを含むソースリストと比較するステップと、
当該比較に基づいて、前記内部ネットワークに対する前記公衆通信アクティビティによってもたらされるリスクを評価するステップと
を備えるコンピュータ実装方法。
61.
米国連邦政府により維持されているWebサイトから前記ソースリストを取得するステップを、さらに備える、例60に記載のコンピュータ実装方法。
62.
前記ソースリストのコンテンツが時間とともに変化し、当該検索が定期的に実行されるステップを、さらに備える、例61に記載のコンピュータ実装方法。
63.
前記ソースリストが、外国資産管理局によってセキュリティリスクとみなされる外国企業に関連付けられている少なくとも1つのIPアドレスを含む、例60に記載のコンピュータ実装方法。
64.
組織に関連付けられている内部ネットワークに対するセキュリティ脅威を評価するためのシステムであって、前記システムが、
第1のネットワークに展開された1つ以上のスキャン機構であって、各スキャン機構が、
応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブし、かつ
前記少なくとも1つのIPアドレスから受信された応答からプローブデータを作成するように、構成されている、スキャン機構と、
次の動作:
特定の時間間隔中に第2のネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得する動作;
公衆通信アクティビティを検出するために前記ローカルネットフローを精査する動作であって、各公衆通信アクティビティが、前記第2のネットワークにある内部IPアドレスと前記第2のネットワークにない前記外部IPアドレスに関与している、動作;および
前記ローカルネットフローと前記プローブデータに基づいて、前記公衆通信アクティビティによってもたらされるリスクを評価する動作、
を行うように構成されているセキュリティ管理プラットフォームと
を備える、システム。
65.
前記第1のネットワークと前記第2のネットワークが、異なるネットワークである、例64に記載のシステム。
66.
前記第1のネットワークがインターネットであり、前記第2のネットワークが組織に関連付けられている内部ネットワークである、例64に記載のシステム。
67.
各走査機構が、さらに、
公衆通信アクティビティに関与する各前記外部IPアドレスから発信された、またはそれに送信されたトラフィックを精査して、どのサービスが、各外部IPアドレスを実行しているかを決定するように構成されている、例64に記載のシステム。
68.
当該精査することが、前記トラフィックに含まれるデータパケットのヘッダのコンテンツを分析することを含む、例67に記載のシステム。
69.
前記第2のネットワークに存在するサイバ資産への不正アクセスの試行を隔離するように構成されたハニーポットサーバと、
前記第2のネットワークの前記境界に沿って展開されたファイアウォールであって、
前記ファイアウォールが、
特定の前記外部IPアドレスから通信を受信し、
前記通信が着信スキャン攻撃を表していることを決定し、
前記ハニーポットサーバへの通信をそらすことにより、前記第2のネットワークの侵害を防ぐ、
ように構成されている、ファイアウォールと
をさらに備える、例67に記載のシステム。
70.
前記セキュリティ管理プラットフォームが、
特定の時間間隔で第1のネットワークを通過した特定の特性を持つ全てのトラフィックを含むグローバルネットフローを取得し、
前記ハニーポットサーバに関連付けられている1つ以上のIPアドレスに関与するトラフィックを取得するために、前記グローバルネットフローをフィルタリングし、そして、
前記トラフィックが、ボットによるスキャンの試行を含むことを決定する、
ように構成されている、例69に記載のシステム。
71.
前記セキュリティ管理プラットフォームが、さらに、
前記ボットの特性を識別するために前記試行されたスキャンを精査し、そして、
前記ボットとの通信に現在関与している全ての内部IPアドレスを識別する、
ように構成されている、例70に記載のシステム。
72.
前記セキュリティ管理プラットフォームが、さらに、
前記試行されたスキャンを精査して、前記ボットの特性を特定し、そして、
前記特性に基づいて、前記ボットとコマンド-アンド-コントロールセンタに関与する公衆通信アクティビティを識別する、
ように構成されている、例70に記載のシステム。
73.
内部ネットワークに存在する内部インターネットプロトコール(IP)アドレスと、前記内部ネットワークに存在しない外部IPアドレスに関与する公衆通信アクティビティによってもたらされるリスクを推定するためのコンピュータ実装方法であって、前記方法が、
セキュリティ管理プラットフォームが、前記インターネット上に展開された1つ以上のスキャン機構からプローブデータを取得するステップであって、
各スキャン機構が、特定のサービスから応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブするように構成されていて、そして
前記プローブデータが、前記内部IPアドレスによって提供される第1の応答と、前記外部IPアドレスによって提供される第2の応答とを含む、ステップと、
前記セキュリティ管理プラットフォームが、前記プローブデータに基づいて前記公衆通信アクティビティによってもたらされるリスクを評価するステップと、
前記セキュリティ管理プラットフォームが、前記リスクが特定の閾値を超えていると決定するステップと、
前記セキュリティ管理プラットフォームが、前記内部ネットワークの境界に展開されたファイアウォールに指示を送信するステップであって、前記命令が、着信通信を前記外部IPアドレスからハニーポットサーバにそらすことにより、前記内部ネットワークの将来の侵害を防ぐようにファイアウォールに命令する、ステップと
を備える、コンピュータ実装方法。
74.
前記セキュリティ管理プラットフォームが、特定の時間間隔中に内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得するステップを、 さらに備える、例73に記載のコンピュータ実装方法。
75.
前記セキュリティ管理プラットフォームが、前記外部IPアドレスに関与する全ての公衆通信アクティビティを識別する前記ローカルネットフローを精査するステップを、さらに備える、例74に記載のコンピュータ実装方法。
76.
当該取得するステップが、
前記セキュリティ管理プラットフォームが、前記特定の時間間隔中に前記インターネットを通過した特定の特性を有する全てのトラフィックを含むグローバルネットフローを取得するステップと、
前記ローカルネットフローを取得するために、前記グローバルネットフローをフィルタリングするステップと
をさらに備える、例74に記載のコンピュータ実装方法。
77.
前記セキュリティ管理プラットフォームが、前記内部ネットワークに通信可能に結合されたコンピュータサーバ上に存在する、例73に記載のコンピュータ実装方法。
78.
インターネット上に展開された1つ以上のスキャン機構であって、各スキャン機構が、
応答を引出すように設計されているクエリを送信することにより、少なくとも1つのインターネットプロトコール(IP)アドレスをプローブし、そして、
少なくとも1つのIPアドレスから受信した応答からプローブデータを作成する、
ように構成されている、1つ以上のスキャン機構と、
次の動作:
特定の時間間隔中に内部ネットワークの境界を通過した全てのトラフィックを含むローカルネットフローを取得する動作;
内部ネットワークに存在する内部IPアドレスと内部ネットワークに存在しない前記外部IPアドレスに関与する公衆通信アクティビティを検出するために前記ローカルネットフローを精査する動作;
公衆通信アクティビティによってもたらされるリスクが特定の閾値を超えると決定する動作;
前記内部IPネットワークの境界に沿って展開されたファイアウォールに、前記外部IPアドレスから受信した今後の通信がハニーポットサーバに転送されるべきであると通知する動作、
を行うように構成されているセキュリティ管理プラットフォームと、
を備える、システム。
79.
前記ハニーポットサーバが、内部ネットワーク上に存在するサイバ資産への不正アクセスを得る試みを隔離するように構成されている、例78に記載のシステム。
80.
前記ファイアウォールが、前記外部IPアドレスからの通信を受信すると、前記ハニーポットサーバへの通信を偏向させて、内部ネットワークの侵害を防ぐように構成されている、例78に記載のシステム。
81.
前記セキュリティ管理プラットフォームが、
ボットネットに関連付けられているブラックリストに前記外部IPアドレスを追加し、そして
前記ブラックリストに含まれる前記外部IPアドレスに関与する全ての公衆通信アクティビティを識別することにより、ボットネットアクティビティを監視する、
ように構成される、例78に記載のシステム。
82.
前記セキュリティ管理プラットフォームが、さらに、一定期間、公衆通信アクティビティに関与していない前記外部IPアドレスを削除することにより、前記ブラックリストを定期的に更新する、ように構成されている、例81に記載のシステム。
83.
前記セキュリティ管理プラットフォームが、さらに、
前記外部IPアドレスから発信される、または前記外部IPアドレスに向けられるトラフィックを精査して、もしあれば、どのサービスが、前記外部IPアドレスで実行されているかを決定するように、構成されている、例78に記載のシステム。
ここでは、説明のみを目的として特定の例が示されている。当業者は、物理的な可能性に反しない限り、各例を他の例と組み合わせることができることを認識するであろう。
【0181】
(関連出願への相互参照)
本出願は、「グローバルインターネットセンサの統合(Global Internet Sensor Fusion)」という名称で2017年5月18日に出願された米国仮出願第62/508,298号、および2017年11月15日に出願された「相関関係駆動型脅威の評価と修復(Correlation Driven Threat Assessment and Remediation)」という名称の米国仮出願第62/586,669号、に対して優先権を主張し、これらの出願のそれぞれは、参照によりその全体が本書に組み込まれている。
本出願は、「グローバルインターネットセンサの統合(Global Internet Sensor Fusion)」という名称で2017年5月18日に出願された米国仮出願第62/508,298号、および2017年11月15日に出願された「相関関係駆動型脅威の評価と修復(Correlation Driven Threat Assessment and Remediation)」という名称の米国仮出願第62/586,669号、に対して優先権を主張し、これらの出願のそれぞれは、参照によりその全体が本書に組み込まれている。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】