IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > CONQUEST TECHNOLOGY SERVICES CORP

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ コンクエスト テクノロジー サーヴィシーズ コーポレイションの特許一覧

特表2022-537124サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション
<>
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図1
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図2
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図3
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図4
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図4A
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図5
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図5A
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図6
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図7
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図8
  • 特表-サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション 図9
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-08-24
(54)【発明の名称】サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション
(51)【国際特許分類】
   G06F 21/57 20130101AFI20220817BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2021572839
(86)(22)【出願日】2020-06-10
(85)【翻訳文提出日】2022-02-07
(86)【国際出願番号】 US2020036967
(87)【国際公開番号】W WO2020252001
(87)【国際公開日】2020-12-17
(31)【優先権主張番号】62/859,414
(32)【優先日】2019-06-10
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】16/897,779
(32)【優先日】2020-06-10
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】521535467
【氏名又は名称】コンクエスト テクノロジー サーヴィシーズ コーポレイション
【氏名又は名称原語表記】CONQUEST TECHNOLOGY SERVICES CORP
(74)【代理人】
【識別番号】100073184
【弁理士】
【氏名又は名称】柳田 征史
(74)【代理人】
【識別番号】100175042
【弁理士】
【氏名又は名称】高橋 秀明
(72)【発明者】
【氏名】エングル,ジェフリー ジェイ
(72)【発明者】
【氏名】ネクレリオ,トーマス アール
(72)【発明者】
【氏名】ポサダ,アリエル
(57)【要約】
サイバーリスクをリアルタイムで判定、処理、修正するためのソフトウェアベースのアプリケーションは、プロファイリングコンポーネント、分析コンポーネント、評価コンポーネント、文書化コンポーネント、実施コンポーネント、検証コンポーネント、および監視コンポーネントを含むことができるが、これらに限定されるものではない。これらのコンポーネントは、組織が組織のネットワーク・セキュリティを継続的に改善し、成熟させるために、組織が組織のネットワーク・セキュリティを適応的に調整できるように動作することができる。このようなコンポーネントは、(1)組織の運用ベースラインを決定すること、(2)そこに内在するリスクと重要性を特定すること、(3)そのようなリスクと重要性に対する修正制御を生成し、その有効性を検証すること、(4)そのような決定を文書化し、監査すること、および(5)組織のネットワーク・セキュリティを継続的に監視することができる。このような方法で、組織のネットワーク・セキュリティ・アーキテクチャは、本明細書に開示された非依存的、リスクに焦点を当てたシステムベースのアプローチに基づき、脅威シナリオに基づく制御の有効性および残留リスク決定に基づいて修正されてもよい。
【特許請求の範囲】
【請求項1】
サイバーリスクをリアルタイムで処理するシステムにおいて、
ユーザーの少なくとも1つのベースラインであって、少なくとも1つの制御を含むベースラインを決定するように構成されたプロファイリングコンポーネントと、
少なくとも1つの脅威フレームワークを生成するように構成された分析コンポーネントと、
少なくとも1つの特定された脅威を決定するために、前記少なくとも1つの脅威フレームワークを前記少なくとも1つのベースラインに適用するように構成された評価コンポーネントであって、前記少なくとも1つの特定された脅威に基づいて少なくとも1つの理論的な制御を決定するようにさらに構成され、前記少なくとも1つの理論的な制御に基づいて少なくとも1つの実施の優先順位を決定するようにさらに構成された前記評価コンポーネントと、
データを記録するように構成された文書化コンポーネントと、
前記少なくとも1つの理論的な制御および前記少なくとも1つの実施の優先順位に基づいて、少なくとも1つの修正制御を実施するように構成された実施コンポーネントと、
前記少なくとも1つの修正制御を検証するように構成された検証コンポーネントと、
ユーザーのサイバーセキュリティ・アーキテクチャを監視および監査するように構成された監視コンポーネントと、
を含む、サイバーリスクをリアルタイムで処理するシステム。
【請求項2】
前記少なくとも1つの実施の優先順位は、前記少なくとも1つの理論的な制御の重要性に基づいて決定される、請求項1に記載のシステム。
【請求項3】
前記少なくとも1つの実施の優先順位は、前記少なくとも1つの理論的な制御のボラティリティに基づいて決定される、請求項1に記載のシステム。
【請求項4】
前記プロファイリングコンポーネントは、少なくとも1つのデータ・フィードに基づいてユーザーの前記少なくとも1つのベースラインを決定するように構成される、請求項1に記載のシステム。
【請求項5】
前記少なくとも1つの脅威フレームワークは、分析ルーチンに基づいて決定される、請求項1に記載のシステム。
【請求項6】
前記少なくとも1つの特定された脅威は、少なくとも1つの評価ルーチンに基づいて決定される、請求項1に記載のシステム。
【請求項7】
前記実施コンポーネントは、前記少なくとも1つの修正制御をユーザーに通知するように構成された通知コンポーネントをさらに含む、請求項1に記載のシステム。
【請求項8】
前記実施コンポーネントは、前記少なくとも1つの修正制御を自動的に実施するように構成される、請求項1に記載のシステム。
【請求項9】
サイバーリスクをリアルタイムで処理するシステムにおいて、
少なくとも1つのデータ・フィードに基づいて、ユーザーの少なくとも1つのベースラインであって、少なくとも1つの制御を含むベースラインを決定するように構成されたプロファイリングコンポーネントと、
複数の考慮対象の変数に基づいて、少なくとも1つの脅威フレームワークを生成するように構成された分析コンポーネントと、
少なくとも1つの特定された脅威を決定するために、前記少なくとも1つの脅威フレームワークを前記少なくとも1つのベースラインに適用するように構成された評価コンポーネントであって、前記少なくとも1つの特定された脅威に基づいて少なくとも1つの理論的な制御を決定するようにさらに構成され、前記少なくとも1つの理論的な制御に基づいて少なくとも1つの実施の優先順位を決定するようにさらに構成された前記評価コンポーネントと、
データを記録するように構成された文書化コンポーネントと、
前記少なくとも1つの理論的な制御および前記少なくとも1つの実施の優先順位に基づいて、少なくとも1つの修正制御を実施するように構成された実施コンポーネントであって、前記少なくとも1つの修正制御をユーザーに通知するように構成された通知コンポーネントをさらに含む実施コンポーネントと、
前記少なくとも1つの修正制御を検証するように構成された検証コンポーネントと、
ユーザーのサイバーセキュリティ・アーキテクチャを監視および監査するように構成された監視コンポーネントと、
を含む、サイバーリスクをリアルタイムで処理するシステム。
【請求項10】
前記少なくとも1つの脅威フレームワークは、分析ルーチンに基づいて決定される、請求項9に記載のシステム。
【請求項11】
前記少なくとも1つの特定された脅威は、少なくとも1つの評価ルーチンに基づいて決定される、請求項9に記載のシステム。
【請求項12】
前記少なくとも1つの実施の優先順位は、前記少なくとも1つの理論的な制御の重要性に基づいて決定される、請求項9に記載のシステム。
【請求項13】
前記少なくとも1つの実施の優先順位は、前記少なくとも1つの理論的な制御のボラティリティに基づいて決定される、請求項9に記載のシステム。
【請求項14】
少なくとも1つのデータ・ウェアハウスに接続して構築された機械学習コンポーネントをさらに含み、前記機械学習コンポーネントは、ユーザーの入力に基づいて訓練されるように構成される、請求項9に記載のシステム。
【請求項15】
前記少なくとも1つの脅威フレームワークは、前記ユーザーによって変更可能である、請求項9に記載のシステム。
【請求項16】
前記通知コンポーネントは、グラフィックユーザーインターフェースとの入出力関係で構築される、請求項9に記載のシステム。
【請求項17】
前記通知は、前記少なくとも1つの修正制御の実施に先立って前記ユーザーから許可を取得するように構成される、請求項16に記載のシステム。
【請求項18】
リアルタイムでサイバーリスクを処理するための方法であって、メモリに接続された少なくとも1つのプロセッサによる処理を含む方法であって、
少なくとも1つのデータ・フィードに基づいて、少なくとも1つのベースラインを決定するために、ユーザーのサイバーセキュリティ・アーキテクチャをプロファイリングするステップと、
少なくとも1つの考慮対象の変数を含む少なくとも1つの脅威フレームワークを決定するために前記少なくとも1つのベースラインを分析するステップと、
少なくとも1つの特定された脅威を決定するために、前記少なくとも1つのベースラインおよび前記少なくとも1つの脅威フレームワークを評価するステップと、
前記少なくとも1つの特定された脅威から、少なくとも1つの理論的な制御および少なくとも1つの実施の優先順位を決定するステップと、
前記少なくとも1つの特定された脅威、前記少なくとも1つの理論的な制御、および前記少なくとも1つの実施の優先順位に関連するデータを文書化するステップと、
前記少なくとも1つの実施の優先順位に基づいて、少なくとも1つの修正制御を実施するステップと、
前記少なくとも1つの修正制御を検証するステップと、
前記ユーザーのサイバーセキュリティ・アーキテクチャを監視および監査するステップと、を含む、リアルタイムでサイバーリスクを処理するための方法。
【請求項19】
前記少なくとも1つの修正制御の実施を前記ユーザーに通知するステップをさらに含む、請求項18に記載の方法。
【請求項20】
前記ユーザーによる前記少なくとも1つの修正制御の実施を拒絶するステップをさらに含む、請求項19に記載の方法。
【請求項21】
前記少なくとも1つの特定された脅威を評価ルーチンに基づいて決定するステップをさらに含む、請求項18に記載の方法。
【請求項22】
前記少なくとも1つの脅威フレームワークを分析ルーチンに基づいて決定するステップをさらに含む、請求項18に記載の方法。
【発明の詳細な説明】
【関連出願の説明】
【0001】
本出願は、特許協力条約出願であり、2019年6月10日に出願された米国仮特許出願第62/859414号に基づく米国法典第35編第119条の下での優先権を主張する、現在係属中の2020年6月10日に出願された米国特許出願第16/897779号であり、これらの各々の内容が、ここにその全てが引用されるものである。
【技術分野】
【0002】
本発明は、ユーザーおよび/または組織がリアルタイムで継続的にサイバーリスクを評価、監視、修正することを可能にするように設計されたソフトウェアアプリケーションおよび/またはシステムに関する。
【背景技術】
【0003】
過去数年間にわたり、組織は外部からのサイバー攻撃を受け、その結果、個人識別情報、組織の営業秘密、資産データなどの機密データが漏洩している。最終的には、組織はこのような攻撃に対応し、その影響を修復するために数百万ドルを費やしている。その結果、経営陣および最高情報セキュリティ責任者は、内部および外部関係先を含む運用エコシステムを長期間にわたって判定し、脆弱性の所在を正確に特定、判断しようとしている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来のサイバーセキュリティのプロトコルは、様々な理由から依然として不十分である。第一に、従来のサイバーリスクコントロールは、通常、組織のネットワーク・セキュリティ・アーキテクチャに事後対応的に展開され、それによって、過去に使用されたツール、戦術、および悪意のある敵対者の手順の影響を防止または制限するためにのみ処理されるので、このようなサイバーセキュリティコントロールおよびネットワーク・アーキテクチャは、悪意のある敵対者によって使用される絶えず進化するサイバー攻撃のソフトウェア、ツール、テクニック、および戦術に対処するには不十分であることが多い。特に、組織は、しばしば事後的にサイバー攻撃に対応しなければならず、そのコントロールシステムを設計し、実施するために、ほとんどの場合、履歴データに依存しているので、コントロールシステムはしばしば時代遅れとなり、コントロールシステムが遭遇するかもしれない新たな脅威に対しては不十分である。このように、システムの防御側は、ほとんどの場合、少なくとも一歩は出遅れている。なぜなら、システムの防御側は、単に、既に特定された攻撃に対応するだけであり、将来の攻撃を防止、または適切に防御する準備ができていないからである。さらに、ネットワーク・アーキテクチャが絶え間なく複雑になり、悪意のある敵対者にとって関心のあるデータが多すぎることを考慮すると、サイバーリスクの進化は指数関数的な速度で成長し続けていることが理解できるであろう。よって、マイクロプロセッサを含むデバイスの数が増加し続けるにつれて、システムへのサイバー脅威も増加している。
【0005】
例えば、マルウェアの歴史を振り返ると、コンピュータウイルス、ワーム、トロイの木馬、バックドアなどのマルウェアは、1980年代以降、サイバー攻撃において最も頻繁に使用されてきたツールのうちの1つであり、主にコンピュータ、サーバ、クライアント、またはコンピュータネットワークに悪意のあるソフトウェアをインストールして隠すという同じ戦術の下で侵入してきたが、マルウェアの設計と機能は、独自の方法で進化し続けている。そのため、新たなマルウェアは検出されないように設計されているため、数年前のマルウェア対策プログラムでは、ユーザーの保護が不十分であることが多く、また、モノのインターネット(Internet-of-Things)に該当するデバイスの開発が進むにつれて、マルウェアが侵入する経路も拡大している。
【0006】
さらに、サイバーセキュリティ・ネットワークが運用されている前述のような現実では、サイバーリスク適合性への現在のリスク管理プラットフォームのアプローチにより、さらに悪化する。具体的には、サイバーリスク適合性への現在の統合リスク管理プラットフォームと従来のアプローチは、静的なポイント・イン・タイム評価戦略の下で運用される。一般的に、そのようなアプローチは、特定の時点における組織のサイバーリスクの成熟度を調査することを含む。しかし、そのような評価戦略は、絶えず変化するサイバー脅威の性質を考慮していないため、ユーザーに誤った安心感を与える。さらに、そのような評価戦略は、静的なポイント・イン・タイムの手順で運用されるため、貴重な時間と資源がそのような評価の準備に費やされることが多くなるため、価値のある新しいコントロール、計画、訓練、および実行のための実施と試験に配分されるべき時間と資源を阻害する。
【0007】
したがって、サイバーセキュリティ・ネットワークを常に最新の状態に更新し、予防的に展開する必要がある。このような問題に対する解決策は、例えば、現実世界の変化をネットワークのサイバーリスクの成熟度に適用するように設計されたシステム、アプリケーション、および/またはプラットフォームを含み、組織が絶え間なく複雑化するサイバーリスク管理ネットワークおよびプロトコルをリアルタイムで管理できるようにすべきである。このような解決策は、さらに、そのような運用に必要な技術資源の量および費用を削減するように行われるべきであり、また、より高いレベルの適合性、成熟度、および有効性を達成するように行われるべきである。
【0008】
具体的には、このようなシステム、アプリケーション、および/またはプラットフォームは、企業全体のサイバーリスク管理のプロセスを促進するように構築されるべきである。これには、内部および外部の関係者、第3者のベンダー、第3者のパートナーシップ、内部および外部のユーザー、データ、物理的なハードウェアシステム、ソフトウェアベースの仮想システム、プラットフォーム、およびアプリケーションが含まれるが、これらに限定されない。よって、このようなシステム、アプリケーション、および/またはプラットフォームを組み込んでいる企業は、組織の運用環境への適応を通じて、リスクシナリオを予測、防止することが可能となるので、そのような組織がほぼリアルタイムで実際の脅威に適応することを可能にする。
【課題を解決するための手段】
【0009】
本発明は、リアルタイムでサイバーリスクを処理するためのソフトウェアベースのウェブ上で実行可能なSaaS(software-as-a-service)アプリケーションを対象とする。この意味で、本明細書で使用されるように、リアルタイムでのサイバーリスクの処理は、本発明の開示に基づいて、例えば、限定されるものではないが、ユーザーおよび/または組織のサイバーセキュリティの判定、分析、評価、修正、その修正措置の実施、修復、変更、改変、改善、またはそれに向けられた他の行動を取ること含むことができる。このようなアプリケーションは、オンプレミス、またはクラウドで構築され、フレームワーク非依存的、リスク焦点型、およびシステムベースのアプローチに焦点を当てることができ、ソフトウェアのコーディングおよびグラフィックユーザーインターフェースを含むことができる。本明細書で使用されるように、用語の「ユーザー」、「組織」、およびその等価物は、互換的に使用されることを意図しており、それによって、ユーザーは、複数のユーザーを含み得る組織であり得ること、またはその逆であり得ることを示す。
【0010】
このようなアプリケーションのコンポーネントは、一般に、ソフトウェアベースのデータ収集エンジンに供給されるデータ・フィード、技術的制御、管理ポリシー、および物理的アクセス制御から構成される。このようなアプリケーションは、さらに、複数のマトリックスおよび方法を使用して、運用制御に改変および/または変更を加え、変更を設定閾値に組み込んで比較を行うように構築されたアルゴリズムをサポートし、それによって、このような改変機能によって促進される、リアルタイム近似またはリアルタイムのサイバーの適合性、成熟度、および有効性を可能にする。このようなマトリックスは、関連する組織に固有の監視体制および実施要件を決定するために、制御に索引を付けるように構築される。さらに、このようなアプリケーションは、第3者のベンダー統合を含む複数のソースからのデータ・フィードを集約するように構築される。特に、このようなデータ・フィードは、共通のスキーマに基づいてステージングデータベースに送信される前に、コレクタに供給され、正規化される。さらに、このようなデータ・フィードは、直接データ・フィードの産物、複数のデータ・フィード、データ・フィードの産物、および/またはその他のウィジェットを含む可能性があるウィジェットを介して、制御に合わせ、ユーザーおよび/または組織に提供される。
【0011】
このようにして、本発明の少なくとも1つの実施形態によるアプリケーションは、組織のネットワーク・セキュリティ・アーキテクチャを継続的に改善および成熟させるように適応的に調整する能力を提供することができる。例えば、本発明のアプリケーションは、限定されるものではないが、文書の物理的な改変、構成の変更、アクセスおよびポートのブロック、および物理的な制御の関与によって、組織のネットワーク・セキュリティ・アーキテクチャに対する制御または他のリスク対応を自動的に適用するように構成されてもよい。
【0012】
より具体的には、本発明のアプリケーションまたはシステムは、一般的な用語で:(1)制御ベースのレベルでユーザーの運用ベースラインのネットワーク・セキュリティの適合性、成熟度、および有効性を決定し、(2)開発された脅威フレームワークに基づいて、そのような運用ベースラインのネットワーク・セキュリティに固有のリスクおよび重要性を特定し、(3)統合されたサイバーセキュリティ・ネットワーク・アーキテクチャの一部と同様に、個々の制御ベースのレベルにおいて、そのようなリスクおよび重要性に対する修正制御を生成し、その有効性を検証し、(4)前述のコンポーネントおよび手順を文書化し、監査し、(5)本発明の範囲内で構築されたコンポーネントの少なくとも一部を継続的、定期的、または任意に再適用することによって、ユーザーのネットワーク・セキュリティを継続的に監視、評価、および改善するように構築された複数のコンポーネントを含むことができる。このようなコンポーネントは、例えば、限定されるものではないが、プロファイリングコンポーネント、分析コンポーネント、評価コンポーネント、文書化コンポーネント、実施コンポーネント、検証コンポーネント、および監視コンポーネントを含むことができる。これらのコンポーネントの各々は、以降、詳細に説明される。
【0013】
前述のように、本発明のアプリケーションまたはシステムは、プロファイリングコンポーネントを含むことができる。具体的には、本発明によるシステムのプロファイリングコンポーネントは、制御ベースのレベルで、ユーザーの物理的および仮想的なネットワーク・セキュリティ環境を効果的に評価するように構築されてもよい。あるいは、本発明のプロファイリングコンポーネントは、制御レベルでユーザーのネットワーク・セキュリティの適合性、成熟度、および有効性を評価してもよい。このような評価に基づいて、本発明のシステムは、次に、ユーザーのネットワーク・セキュリティ・アーキテクチャの運用ベースラインを決定してもよい。
【0014】
本発明のプロファイリングコンポーネントは、様々な方法に基づいてユーザーのネットワーク・セキュリティ・アーキテクチャを評価することができる。例えば、プロファイリングコンポーネントは、ユーザーおよび/または組織からネットワーク・セキュリティ情報を引き出すことを意図した1つ以上のアンケートまたは同様の手順に基づいて提供される、自動化された自己評価を使用することができる。さらに、プロファイリングコンポーネントは、代替的に、適格な第3者によって実施される評価を利用することができる。
【0015】
これに関連して、プロファイリングコンポーネントは、エンドユーザーのプロファイルフレームワークに関連して構築されてもよく、エンドユーザーのプロファイルフレームワークは、産業、規模、地域、サイト、システム、および組織に関連するセクターから導出され、エンドユーザーがエンドユーザーのプロファイルフレームワークを検討および改訂することができるように構成される。例えば、エンドユーザーは、組織の使命およびビジネスプロセスをサポートする組織のシステム、ネットワーク、データ、およびアプリケーションに関する追加情報を提供するとともに、組織内で個人がどのように行動するかを詳細に示すことを選択することができる。
【0016】
さらに、本発明の少なくとも1つの実施形態によるプロファイリングコンポーネントは、ユーザーのサイバーセキュリティ・ネットワーク内に構築された各制御の適合性、成熟度、および有効性を識別するように構築された様々な異なるタスクを含むことができる。例えば、プロファイリングコンポーネントは、資産発掘およびインベントリタスクを実行し、システムプロファイリングを行い、ユーザーの組織運営に依存する要件を決定し、個々の制御を選択および分析するように構築することができる。これは、個別の部分としても、ネットワーク・アーキテクチャ全体の一部としても可能である。よって、プロファイリングコンポーネントは、すべてのシステム、サブシステム、データ、ネットワーク、エンドポイントおよびユーザーに優先順位を付けながら、完全なインベントリおよび重要性の評価を生成することができる。
【0017】
本発明の少なくとも1つの実施形態によれば、前述のプロファイリングコンポーネントに関連して構築されるのは、分析コンポーネントであってもよい。分析コンポーネントは、一般に、少なくとも1つ、またはいくつかの例では、複数の考慮対象の変数を構成、決定、またはその他の方法で生成するように構築されてもよい。考慮対象の変数は、プロファイリングコンポーネントからレンダリングされたベースラインから収集されたキーデータを介して使用可能にすることができ、(a)脅威エージェント、(b)関係者、(c)戦術、技術および手順、(d)資産およびその重要性、および(e)ユーザーのネットワーク・セキュリティ環境で既に実施されている制御の重要性およびボラティリティを含むことができるが、これらに限定されない。さらに、このような考慮対象の変数を利用して、分析コンポーネントは、ユーザーのベースラインに対して発行される可能性のある完全な理論的脅威を構成する脅威フレームワークを開発することができる。
【0018】
この意味で、分析コンポーネントは、ユーザーまたは組織のターゲット状態を決定するように構築できる。ターゲット状態は、例えば、組織のサイバーセキュリティ・ネットワークの適合性、成熟度、および有効性のターゲット・レベルを含む場合があり、本発明のシステムによって自動的に決定される場合がある。逆に、組織のリスクの許容度に基づいてターゲット状態を構成する場合もある。よって、分析コンポーネントは、組織の意図に沿ったターゲット状態を開発しながら、特定のネットワーク・アーキテクチャのセキュリティ有効性を妨げることに関連する考慮対象の変数を決定することを目的としている。
【0019】
理解され得るように、ユーザーのベースラインを分析し、考慮対象の変数を開発することによって、本発明のアプリケーションおよび/またはシステムは、動的リスク分析を効果的に実行することができ、その中で、脅威、脆弱性、および資産が主要な考慮対象の変数であり、さらに、既に実施されている制御の重要性およびボラティリティに基づいて、各制御、対応、および/または処理に与えられる監視の量、および実施の優先順位のレベルを決定する。
【0020】
例えば、このようなプロファイリングコンポーネントおよび分析コンポーネントとともに、本発明の少なくとも1つの実施形態においては、評価コンポーネントをさらに含むことができる。評価コンポーネントは、例えば、分析コンポーネントによって開発された脅威フレームワークに基づいて、資産の重要性、脅威、および脆弱性について既に確立されたベースラインを評価するように構築されたリスクエンジンを含むことができる。
【0021】
具体的には、評価コンポーネントは、例えば脅威フレームワークを利用して、組織の決定されたベースラインのネットワーク・セキュリティに対する理論的脅威を整理および調整することができる。このような方法で、特定の脅威エージェント、戦術、技術、および手順を、様々なモデルを使用して分析してもよい。例えば、本発明の少なくとも1つの実施形態においては、リスクエンジンコンポーネントは、組織のベースラインに存在する特定の脆弱性および修正ステップを識別するために、敵対-防御モデルを利用するように構築されてもよい。
【0022】
完全な理論的脅威を構成する特定の考慮対象の変数を含むことができる脅威フレームワークを適用することにより、評価コンポーネントは、その後、本発明の少なくとも1つの実施形態において、特定の脅威フレームワークを特定された脅威として指定することができると、理解され得る。特定された脅威は、例えば設計ベースの脅威を含むことができ、脅威に関連付けられたリスクのレベルおよびサイバーセキュリティ・ネットワークの現在のベースラインに関係するために許容不可とされ、かつ、実行され得る特定の修正措置が存在するということで処置可能とされる、所定の脅威が構築される。よって、所定の脅威フレームワークがそのような閾値内に入る脅威を生成し、合理的なユーザーがシナリオに対する対応を開発する場合、そのような脅威フレームワークは特定された脅威として指定され、よって、そのように特定された脅威に基づいて特定された考慮対象の変数が識別され得る。
【0023】
このように特定された脅威を利用して、評価コンポーネントは、次に、本発明の少なくとも1つの実施形態において、現在のサイバーセキュリティ・ネットワークのベースラインリスクを決定することができる。評価コンポーネントは、さらに、特定された脅威によって特定されたリスクを修正するように設計された理論的な制御を生成することができる。
【0024】
さらに、前述の評価コンポーネントによる理論的な制御の評価は、理論的な制御の重要性やボラティリティなどの特定のデータを生成する可能性がある。理解され得るように、理論的な制御の重要性は、特定された脅威を修正する際のその制御の有効性を示す可能性がある。さらに、理論的な制御のボラティリティは、特定された脅威を修正する場合での、その制御の頻度を示す可能性がある。このようにして、各理論的な制御を効果的に評価することができる。ここで、重要性とボラティリティの評価の積は、実施の優先順位を提供する可能性がある。理解され得るように、実施の優先順位は、特定された脅威に照らしてベースラインのサイバーセキュリティ・ネットワークに適用される理論的な制御の全体的な有効性を示すことによって、その理論的な制御の実施を指示するように設定される。このように、有効性および頻度を考慮すると、特定の理論的な制御には、より高レベルの必要性がある、と決定され、その特定の理論的な制御は、所定の特定された脅威を修正し得ることが理解され得る。
【0025】
さらに、本発明の少なくとも1つの実施形態においては、上述のコンポーネントとともに文書化コンポーネントを利用して、特定された脅威および実施の優先順位、およびそれらに対して行われた決定、適用された特例、および開発された低減計画などのさらなる関連データを記録することができる。このようにして、本発明の少なくとも1つの実施形態によるシステムは、組織がそのサイバーセキュリティの適合性、成熟度、および有効性に関連する十分な文書を維持することを可能にする。そのような文書は、例えば、特定の修正制御を実施するかどうかの決定、残留リスクの適切な値の決定、組織レベルでのリスク管理戦略の作成、従業員の訓練、および脅威シナリオが物理的環境で実現された場合の適切な修正戦略の決定に使用される。
【0026】
前述のコンポーネントと関連して、本発明の少なくとも1つの実施形態においては、さらに、前述の評価コンポーネントから収集された修正制御を指示、調整、または実施するように構築された実施コンポーネントを提供することができる。そうする際に、実施コンポーネントは、例えば、特定の修正制御の技術的実施を指示するために、評価コンポーネントから収集された前述の特定された脅威、理論的な制御、および実施の優先順位を利用することができる。
【0027】
例えば、評価コンポーネントが特定された脅威を識別する場合、本発明に従うシステムは、続いて、特定された脅威を修正することができる少なくとも1つ、場合によっては複数の理論的な制御を特定することができる。そのような理論的な制御の重要性値およびボラティリティ値に基づいて、各制御の実施の優先順位が決定され、その実施の優先順位を使用して、どの理論的な制御が実施されるべきか、およびその理論的な制御が実施されるべき技術的側面を決定することができる。
【0028】
言い換えれば、本発明の少なくとも1つの実施形態の実施コンポーネントは、修正制御を指示、調整、または実施するように構築され、かかる制御およびそのための技術的実施が評価コンポーネントを介して生成された場合にのみ、かかる制御を実行するように構築される。例えば、理解され得るように、サイバーセキュリティ・ネットワークが複雑であるため、特定された脅威から組織を防御する上で、ある理論的な制御が理想的である可能性がある。しかし、その理論的な制御が、同時に、組織を多くのほかの脅威にさらす可能性もある。よって、評価コンポーネントは、許容可能なリスクのレベルおよび組織の目標の両方に関して、組織の利益に最も役立つ適切な理論的な制御を決定することを目的とする。このように、本発明のシステムにおいて、実施コンポーネントの段階になると、適切な修正制御が評価コンポーネントによってすでに決定されている。
【0029】
また、本発明の実施コンポーネントは、さらに、ユーザーおよび/または組織に、適切な修正制御、適切な修正制御に関連するデータ(例えば、分析オプション、リスク処理オプション、および特定された脅威に対するリスク動態の影響に関するデータ)を通知および報告するように設計された通知コンポーネント、を含むことができる。通知コンポーネントは、電子メールまたはテキストメッセージのシステムなど(これらに限定されない)の複数の適切な通知手段を介して、ユーザーおよび/または組織に通知することができる。理解され得るように、通知コンポーネントは、さらに、本発明のシステムとの入出力関係で構築され、それによってユーザーが修正制御の実施を許可することを可能にすることができる。よって、このようにして、本発明の実施コンポーネントは、修正制御を自動的に実施するように、または代替的に、実施の前に承認を要求するように設計されてもよい。
【0030】
このような修正制御の実施に際して、本発明の少なくとも1つの実施形態においては、修正制御の有効性を試験および検証するように構築された検証コンポーネントをさらに含むことができる。例えば、検証コンポーネントは、修正制御の実施に際して、前述の評価コンポーネントを再適用して、同一または代わりの特定された脅威が修正されたネットワーク・アーキテクチャ内に存在するかどうかを判断することができる。このようにすることで、修正制御の有効性は、離散的な個々の制御ベースのレベルとネットワーク・アーキテクチャ全体の一部の両方で評価される可能性がある。このようにして、組織のネットワーク・セキュリティ・アーキテクチャの適合性、成熟度、および有効性は、強化され、継続的に試験される可能性がある。これにより、組織が継続的にサイバーセキュリティ・ネットワークをリアルタイムで監視および適合できるようになる。
【0031】
さらに、本発明の少なくとも1つの実施形態においては、監視コンポーネントが前述のコンポーネントに接続されるように構築されてもよい。理解され得るように、監視コンポーネントは、現実世界の脅威および効果のない制御の両方を識別するために、組織のサイバーセキュリティ・ネットワークを監視してもよい。それに基づいて、監視コンポーネントは、さらに、特定の文書化および監査手順を提供し、それによって組織のサイバーセキュリティの適合性、成熟度、および有効性を継続的に監視および修正するように構築されてもよい。例えば、監視コンポーネントは、組織のネットワーク・セキュリティが改善される可能性のある箇所を特定するように設計された特定のリスク評価、影響分析、および報告タスクを実行するように構築されてもよい。
【0032】
本発明の前述のコンポーネントに関連して、本開示のシステムは、さらに、ユーザーおよび/または組織のサイバーセキュリティをリアルタイムでさらに改善するように設計された、追加的なコンポーネントを含むことができる。例えば、本開示のシステムは、本発明の少なくとも1つの実施形態において、本発明のシステムに関連して構築された機械学習コンポーネント、および相互接続されたデータ・ウェアハウスをさらに含むことができる。このようにして、機械学習コンポーネントは、組織および/またはエンドユーザーによって提供される訓練に基づいて、例えば、評価コンポーネントおよび実施コンポーネントなどの本発明の特定のコンポーネントを改善するように構築されてもよい。
【0033】
例えば、機械学習コンポーネントは、現実世界で提供される訓練、および本発明のシステムを通じて実行された仮想シナリオの両方に基づいて、通知、割当、および意思決定の改善のための適切な状況を決定することができる。このようにして、例えば、現実世界の脅威シナリオ、エンドユーザーの意思決定および入力、ならびに修正制御の有効性を継続的に追跡することによって、機械学習は、例えば、ユーザーのベースラインのネットワークに適用される、より適切な脅威フレームワークを開発することができる。そうすることで、機械学習コンポーネントを使用して、本発明のシステムを通じて提供される脅威フレームワークが最新のものであることを保証し、それによって、ユーザーおよび/または組織のセキュリティネットワークが過去のある時点に固定されたものではなく、現在の時点で構築されることを可能にする。
【0034】
本発明のこれらおよびその他の目的、特徴および利点は、図面および詳細な説明を考慮に入れると、より明確になる。
【図面の簡単な説明】
【0035】
本発明の本質をより完全に理解するためには、添付図面とともに以下の詳細な説明を参照しなければならない。
図1】本発明の少なくとも1つの実施形態によるリアルタイムでサイバーリスクを判定、処理、修正するためのシステムの概略的なブロック図
図2】本発明の少なくとも1つの実施形態によるリアルタイムでサイバーリスクを処理するためのシステムの概略的なブロック図
図3図2に示す本発明の実施形態によるプロファイリングコンポーネントの概略的なブロック図
図4図2に示す本発明の実施形態による分析コンポーネントの概略的なブロック図
図4A図4に示す本発明の実施形態による脅威フレームワークを決定するための方法の概略的なブロック図
図5図2に示す本発明の実施形態による評価コンポーネントの概略的なブロック図
図5A図5に示す本発明の実施形態による特定された脅威を決定するための方法の概略的なブロック図
図6図2に示す本発明の実施形態による文書化コンポーネントの概略的なブロック図
図7図2に示す本発明の実施形態による実施コンポーネントの概略的なブロック図
図8図2に示す本発明の実施形態による検証コンポーネントの概略的なブロック図を示す。
図9図2に示す本発明の実施形態による監視コンポーネントの概略的なブロック図 同様の参照番号は、いくつかの図面を通じて同様の部位を参照する。
【発明を実施するための形態】
【0036】
先に詳述したように、本発明は、リアルタイムでサイバーリスクを処理するためのソフトウェアベースのウェブ上で実行可能なSaaS(software-as-a-service)アプリケーションを対象とする。前述のように、リアルタイムでのサイバーリスクの処理は、本発明の開示に基づいて、例えば、限定されるものではないが、ユーザーおよび/または組織のサイバーセキュリティの判定、分析、評価、修正、その修正措置の実施、修復、変更、改変、改善、またはそれに向けられたその他の行動を取ること含むことができる。そのようなアプリケーションは、オンプレミスまたはクラウドで構築することができ、その実施のために少なくとも1つのメモリおよび少なくとも1つのプロセッサを用いて構築することができる。一般的に言えば、そのようなアプリケーションは、フレームワーク非依存的、リスク焦点型、およびシステムベースのアプローチに焦点を当てることができ、一般的にソフトウェアのコーディングおよびグラフィックユーザーインターフェースを含むことができる。
【0037】
より具体的には、図1に示す本発明の実施形態を特に参照すると、アプリケーション10は、典型的には、相互接続された複数の個別コンポーネントから構成され得るシステム100を備えることができる。そのようなコンポーネントとしては、例えば、プロファイリングコンポーネント110、分析コンポーネント120、評価コンポーネント130、文書化コンポーネント140、実施コンポーネント150、検証コンポーネント160、および監視コンポーネント170が含まれる。さらに、図1に示されるように、システム100は、データ・フィード20、データ・ウェアハウス30、および機械学習コンポーネント40に接続されるように構築されてもよい。それぞれのシステム100との相互接続については、以降、より詳細に説明する。
【0038】
図1図3に示され、および前述のように、本発明の少なくとも1つの実施形態は、プロファイリングコンポーネント110を含むシステム100を含むことができる。プロファイリングコンポーネント110は、様々な方法を用いて、ユーザーのネットワーク・セキュリティ・アーキテクチャを制御レベルで評価するように構築されてもよい。例えば、プロファイリングコンポーネント110は、少なくとも1つのアンケートに基づいて、または代替的に、適格な第3者によって提示された評価に基づいて、組織の適合性、成熟度、および有効性を、制御レベルで自動的に評価することができる。
【0039】
このようなプロファイリングコンポーネント110は、自動化されているか、認定された第3者によって独立して提供されているか、またはその他であるかにかかわらず、評価に基づき収集されたデータと関連して様々なタスクを実行するように、さらに構築されてもよい。例えば、資産発掘およびインベントリタスク111を利用して、ネットワーク可視性を提供し、ハードウェアデバイスを明らかにし、ハードウェアデバイスとの接続を明らかにするために利用されてもよい。さらに、プロファイリングコンポーネント110は、組織のネットワーク・アーキテクチャに存在するハードウェアおよびソフトウェアに関する詳細の特定を明らかにするように設計されたシステムプロファイリングタスク112を実行するように構築されてもよい。さらに、プロファイリングコンポーネント110は、組織のセキュリティ要件113を識別するように構築されてもよい。理解され得るように、セキュリティ要件113は、適用可能な組織に応じて異なり、よって、所定の脅威に対する許容可能なリスク閾値を設定することができる。さらに、データ・フィード20などの指標を提供する特定のデータ・ソースをシステム100に接続して、必要とされる情報取込エンジンへの接続を可能にすることができる。
【0040】
さらに、プロファイリングコンポーネント110は、制御選択タスク114を実行することもできる。具体的には、プロファイリングコンポーネント110は、組織のネットワーク・アーキテクチャ内で既に実施されている制御を索引付けすることができる。そうすることで、プロファイリングコンポーネント110は、ユーザーおよび/または組織のベースラインを開発することができる。よって、このようなベースラインは、例えば、現在の組織のネットワーク・セキュリティに関する制御、要件、およびハードウェアおよびソフトウェアベースの詳細を含むことができる。このようにして、プロファイリングコンポーネント110はベースラインを開発し、そこから脅威および修正制御151が開発され、試験され、検証されて、修正制御151がユーザーおよび/または組織のサイバーセキュリティ・ネットワークの適合性、成熟度、および有効性を増強するのに有効であることを保証する。理解され得るように、このようなベースラインは、組織および任意のエンドユーザープロファイルの両方の観点から、組織の優先順位、使命および/またはビジネスプロセス、およびシステムの重要性を示すことができる。
【0041】
本発明の少なくとも1つの実施形態において、図1図4に示されるように、分析コンポーネント120は、プロファイリングコンポーネント110に関連して構築されてもよい。前述のように、分析コンポーネント120は、一般に、考慮対象の変数の少なくとも1つ、場合によっては複数を識別するように構築されてもよい。考慮対象の変数は、例えば、脅威エージェント、関係者、戦術、技法と手順、資産、およびそれらの重要性、ならびに組織が既に実施している制御の重要性およびボラティリティを含むことができる。理解され得るように、考慮対象の変数は、プロファイリングコンポーネント110によってレンダリングされたベースラインから収集されたキーデータに基づいて、少なくとも部分的に決定されてもよい。
【0042】
具体的には、分析コンポーネント120は、そのような考慮対象の変数を使用して脅威フレームワーク129を決定するために、様々なタスクおよび評価を実行するように構築されてもよい。例えば、分析コンポーネント120は、脅威識別121、脆弱性識別122、発生可能性の決定123、影響の大きさの決定124、リスク決定125、結果の伝達126、評価127、および設備関与の決定128を含むが、これらに限定されない様々なタスクを実行してもよい。理解され得るように、このようなタスクは、脅威フレームワーク129の開発を支援するように構築されてもよく、ここで、適用可能な考慮対象の変数および組織のベースラインに基づいて、完全な脅威シナリオが開発される。このようにして、分析コンポーネント120は、完全な脅威フレームワーク129を開発してもよく、次に、脅威フレームワーク129がユーザーのベースラインに対して評価されて、脅威フレームワーク129が現在の状態の組織にとって問題があるかどうかを決定することができる。さらに、本発明の少なくとも1つの実施形態においては、ユーザーおよび/または組織は、脅威フレームワーク129が適切と思われる程度に調整または開発することが可能となる。
【0043】
脅威フレームワーク129を決定する1つの方法は、本発明の少なくとも1つの実施形態で使用することができ、図4Aに示される。図示されるように、分析コンポーネント120は、少なくとも1つの脅威フレームワーク129を決定するように構築された分析ルーチン200を含むことができる。具体的には、このような分析方法200は、脅威フレームワーク129を決定するように構築された複数のステップを含むことができる。例えば、分析方法200は、複数の脅威201を反復し、反復された脅威の能力202を決定し、それによって、反復された脅威201が、前述のプロファイリングコンポーネント110で決定されたように、組織のベースラインのネットワーク・セキュリティを損なう能力および意図の両方に関して十分であるかどうかを決定することができる。反復された脅威201が十分であると考えられる場合、分析方法200は、次に、反復された脅威201の背後にある動機および意図204を検討することができる。動機および意図が組織のビジネス、関連データおよびセキュリティ要件に対応する205と考えられる場合、分析方法200は、特定の関連データに基づいて反復された脅威201を分類210することで、反復された脅威201のプロファイルを構築することができる。例えば、この分類タスク210は、限定されるものではないが、反復された脅威201に存在する敵対的行為の数211、敵対的装置212、敵対的知識213、敵対的スキル214、および敵対的ツール215を決定するように構築することができる。この分析方法200によって収集された関連データを用いて、完全な脅威フレームワーク129がそこから得られることが理解され得る。
【0044】
この分析コンポーネント120に基づいて、本発明の少なくとも1つの実施形態においては、それに結合して評価コンポーネント130をさらに配置することができる。図5および図5Aを具体的に参照すれば分かるように、評価コンポーネント130は、例えば、限定されるものではないが、資産の重要性、脅威、および脆弱性を決定するために、既に確立されたベースラインおよび脅威フレームワーク129を評価するように構築されたリスクエンジンを含むことができる。例えば、限定されるものではないが、評価コンポーネント130は、サンドボックス環境でゴールデンイメージを利用して、ユーザーおよび/または組織のベースラインに照らして脅威フレームワーク129を評価することができる。逆に、評価コンポーネント130は、承認されたノードのサブセットにアクセスして、その中で該当する脅威フレームワーク129を実行し、それによって、それに関連する現実世界への影響について脅威フレームワーク129を判定することができる。そのような現実世界への影響は、次に、脅威フレームワーク129によって提示されるリスクに関するより広い評価を得るために、ユーザーのネットワーク・セキュリティ・アーキテクチャ全体にわたって外挿されてもよいことが、理解されるであろう。
【0045】
このようにして、評価コンポーネント130は、一般に、ある閾値に対する組織のベースラインを含む特定の脅威フレームワーク129を識別し、それによって、特定の脅威フレームワーク129は特定された脅威135を構成するはずであることを示すように構築されるであろう。具体的には、特定された脅威135は、脅威フレームワーク129により示されるリスクのレベルについて、許容できないとみなされるが処理可能でもあるとみなされる脅威フレームワーク129を構成することがあり、これは、責任当事者がそのようなシナリオへの対応を開発するであろうことを意味する。よって、その後の措置のために、任意の所定の脅威フレームワーク129が、特定された脅威135とみなされ得る、指定された閾値が残る。
【0046】
より具体的には、本発明の少なくとも1つの実施形態による評価コンポーネント130は、脅威フレームワーク129が特定された脅威135とみなされるべきかどうかを決定するように構築された複数の評価タスクを実行することができる。このようにして、組織の決定されたベースラインに対する特定の脅威、エージェント、戦術、手順などは、様々なモデルに基づいて試験および分析され得る。例えば、少なくとも本発明の実施形態では、組織のベースラインに存在する特定の脆弱性および修正ステップを識別するために、敵対者-防御者モデルを使用して、脅威フレームワーク129を分析してもよい。
【0047】
例えば、本発明の少なくとも1つの実施形態の評価コンポーネント130によって実行される評価タスクは、図5を具体的に参照することができる。理解され得るように、評価コンポーネント130は、特定の意思決定プロセスに基づいて、関連する脅威フレームワーク129を分析するように構築されてもよい。例えば、評価コンポーネント130は、(1)脅威フレームワークが許容可能なレベルのリスク131を提示するかどうか、(2)脅威フレームワーク129が代替手段によって回避132されるかどうか、(3)脅威フレームワーク129によって提示されたリスクが他に移転133されるかどうか、および(4)脅威フレームワーク129によって提示されたリスクが、ユーザーおよび/または組織のベースラインのネットワーク・セキュリティ・アーキテクチャに既に存在する手段によって低減134されるかどうかを決定してもよい。理解され得るように、脅威フレームワーク129が許容可能、回避可能、移転可能、または低減可能のいずれかである場合、評価コンポーネント130は、その特定の脅威フレームワーク129に関して終了し、さらなる別の脅威フレームワーク129の評価を開始する。さらに、脅威フレームワーク129が許容可能、回避可能、移転可能、または低減可能でない場合、評価コンポーネント130は、特定された脅威135の分類、そのような特定された脅威135を修正するための少なくとも1つの理論的な制御136の決定、および理論的な制御136の優位性を示すために構築された実施の優先順位137の計算に進む。
【0048】
特定された脅威135を決定する1つの方法は、図5Aに示される。図5Aに示されるのは、本発明の少なくとも1つの実施形態により使用され得る評価ルーチン300である。理解され得るように、評価方法300は、最初に、脅威フレームワーク129によって提示された脅威310を識別することができる。そのような識別310に続いて、評価方法300は、次に脅威を分析して、脅威に関連する複数のデータ320を決定することができる。例えば、評価方法300は、イベントの複雑度321、脅威イベントにおけるユーザーおよび/または組織に対する特定のシステム、アプリケーションおよびデータ利用の可能性322、敵対的行為の拡散状況323、脅威に関連するイデオロギーのレベル324、脅威に直面した組織の能力325、脅威の背後にある意図326、脅威の履歴頻度327、および脅威イベントにおける組織の設備関与328を決定するように構築されてもよいが、これらに限定されるものではない。さらに、評価方法300は、さらに、脅威の履歴ベース331、脅威の背後にある敵対的行為の能力332、および脅威が取り得るバリエーション333などの脅威に対する追加の変数330を提供するのに役立つ特定のデータを決定してもよい。
【0049】
このように収集されたデータを用いて、評価ルーチン300は、次に、例えば、脅威310に固有のリスクおよび脆弱性を決定するように構築された特定の評価タスク340を実行することができる。例えば、評価タスク340は、資産に関する既知の識別子および/または既知の情報に基づいて、資産を一意的に識別するように設計された資産決定341および/または識別タスクを含むことができる。さらに、評価タスク340は、脅威のターゲットを識別およびランク付けして、ターゲットに固有のリスクおよび脆弱性を決定するように設計された診断評価を含むことができる。例えば、診断評価の1つとして、CARVER分析342の適用、およびCARVER分析342によるCARVERスコア343の決定を含むことができる。代替的な分析評価方法も同様に、本明細書の本発明の代替の実施形態において、使用可能であり、考案される。
【0050】
具体的には、CARVER分析342の下で、評価方法300は、脅威310の重要性(criticality)、アクセス可能性(accessibility)、回復可能性(recuperability)、脆弱性(vulnerability)、効果(effect)、および認識可能性(recognizability)、および前述の決定された資産341のようなユーザーのベースラインのネットワーク・アーキテクチャに対する脅威310の影響に関連する、複数のスコアを決定することができる。その後、評価方法300は、CARVERマトリックスを使用して、決定された資産341のそれぞれに関連するCARVERスコア343を決定することができる。よって、CARVERスコア343が前述の指定された閾値内にあるとみなされる場合、脅威310は、修正措置が実行されるべき特定された脅威135として指定され得ることが理解され得る。
【0051】
特定された脅威135が決定されると、本発明の少なくとも1つの実施形態による評価コンポーネント130は、続いて、図5に示されるように、特定された脅威135を修正するために適用され得る少なくとも1つの理論的な制御136を決定してもよい。具体的には、評価コンポーネント130は、特定された脅威135に存在するリスクおよび脆弱性を修正するように設計された少なくとも1つの理論的な制御136を生成するように構築されてもよい。例えば、図5Aに示された評価メソッド300を利用する実施形態では、評価タスク340から獲得されたスコアに具現化された、脅威データタスク320と追加の変数タスク330を通じて収集されたデータが、リスクがあると決定された特定の資産341、ユーザーおよび/または組織の現在のベースラインのネットワーク・アーキテクチャに関する問題、およびそれに対して実施され得る理論的な制御136を識別するのに役立つことが理解され得る。理解され得るように、理論的な制御136は、例えば、特定された脅威135の確率または重大度を低減する傾向に基づいて生成される。
【0052】
理論的な制御136が生成されると、評価コンポーネント130は、次に、(1)特定された脅威135を修正する際の理論的な制御136の有効性を示す制御の重要性、および(2)特定された脅威135を修正する理論的な制御136の頻度を示す理論的な制御136のボラティリティに基づいて、理論的な制御136を評価するように設計されたタスクを実行することができる。よって、重要性スコアおよびボラティリティスコアが決定されると、評価コンポーネント130は、重要性スコアとボラティリティスコアの積を含むそれぞれの理論的な制御136について実施の優先順位137を決定することができる。理解され得るように、実施の優先順位137は、理論的な制御136の技術的な実施要件を指示するために利用されてもよい。さらに、本発明の少なくとも1つのさらなる実施形態は、重要性スコアおよびボラティリティスコアが、ユーザーおよび/または組織によって設定可能か、さもなければ変更可能とすることで、理論的な制御136の分析に対してより大きな可変性を提供することができる。
【0053】
評価コンポーネント130を利用した後、本発明の少なくとも1つの実施形態においては、特定された脅威135、理論的な制御136、および実施の優先順位137を記録するように構築された文書化コンポーネント140を利用することができる。図6に示されるように、文書化コンポーネント140は、例えば、特定された脅威135に関連するリスクの決定141、特定された脅威135に適用される特例142、および特定された脅威135に基づいて作成された低減計画143(例えば、前述の開発された理論的な制御136、および関連付けられた実施の優先順位137など)を記録することができる。このように、本発明の少なくとも1つの実施形態によるシステムは、組織が、そのサイバーセキュリティの適合性、成熟度、および有効性に関連する十分な文書を維持することを可能にする。そのような文書は、例えば、特定された脅威135が物理的環境で発生した場合に、特定の修正制御を実施するかどうかの決定、残留リスクの適切な値の決定、組織レベルでのリスク管理戦略の作成、従業員の訓練、および適切な修正戦略の決定に使用される。
【0054】
さらに、本発明の少なくとも1つの実施形態においては、システム100の前述のコンポーネントに関連して実施コンポーネント150が構築されてもよい。具体的には実施コンポーネント150は、評価コンポーネント130から収集された修正制御151を指示、調整、または実施するように構築されてもよい。例えば、適用可能な特定された脅威135、開発された理論的な制御136、およびそこから決定された実施の優先順位137に基づいて、実施コンポーネント150は、適切な修正制御151を、ユーザーおよび/または組織のネットワーク・セキュリティ・アーキテクチャおよび/または既に決定されたベースラインに適用するように構築されてもよい。
【0055】
修正制御151の実施に基づいて、実施コンポーネント150は、さらに、通知コンポーネントを含むことができ、通知コンポーネントは、実施される修正制御151を説明するために構築される。例えば、修正制御151の説明は、修正制御151およびそれに関連する関連データを、ユーザーおよび/または組織に通知および報告する機能があり、例えば、関連する特定された脅威135についての分析オプション、リスク処理オプション、およびリスク動態の影響に関するデータなどが挙げられる。通知コンポーネントは、電子メールまたはテキストメッセージのシステムなど(これらに限定されない)、複数の適切な通知手段を介してユーザーおよび/または組織に通知することができる。理解され得るように、通知コンポーネントは、さらに、本発明のシステムとの入出力関係で構築され、それによってユーザーが修正制御の実施を許可することを可能にする。よって、このようにして、本発明の実施コンポーネント150は、修正制御を自動的に実施するように設計されてもよいし、あるいは、実施の前に承認を要求するように設計されてもよい。さらに、実施コンポーネント150は、所定の構成を構築して、修正制御151が自動的に実施されるか、指定された基準に基づいて延期されるか、承認または拒否のために追加の担当者に委任される、などを行う。
【0056】
このような修正制御の実施に際して、本発明の少なくとも1つの実施形態においては、図8に示されるように、修正制御151の有効性を試験および検証するように構築された検証コンポーネント160をさらに含むことができる。具体的には、検証コンポーネント160は、修正制御151の実施に際して、前述の評価コンポーネント130を再適用して、同一またはその他の特定された脅威135が修正されたネットワーク・アーキテクチャ内に存在するかどうかを決定するように構築されてもよい。このようにして、資産処分、脅威、および脆弱性などの現実世界のデータは、特定された脅威135に焦点を当てたシナリオで評価されてもよい。さらに、検証コンポーネント160は、組織に存在するセキュリティおよびプライバシー要件162が、修正制御151の実施によって十分に達成されることを保証するように動作してもよい。よって、かかるプロセスを利用して、修正制御151を検証163してもよい。そうすることで、修正制御151の有効性は、離散的な個々の制御ベースのレベルで、およびネットワーク・アーキテクチャ全体の一部分として評価されてもよい。このようにして、組織のネットワーク・セキュリティ・アーキテクチャの適合性、成熟度、および有効性は、強化され、継続的に試験されてもよい。それによって、組織が継続的にサイバーセキュリティ・ネットワークをリアルタイムで監視および適合させ、残留リスクが組織の決定されたリスク許容値内に維持されることを保証する。
【0057】
さらに、本発明の少なくとも1つの実施形態においては、監視コンポーネント170は、図9に示されるように、システム100の前述のコンポーネントに関連して構築されてもよい。理解され得るように、監視コンポーネント170は、現実世界の脅威および効果のない制御の両方を識別するために、組織のサイバーセキュリティ・ネットワークを監視することができる。それに基づいて、監視コンポーネントは、特定の文書化および監査手順を提供するようにさらに構築され、それによって組織のサイバーセキュリティの適合性、成熟度、および有効性を継続的に監視および修正することができる。例えば、監視コンポーネントは、限定されるものではないが、修正制御の承認171のタスク、修正制御の有効性172のタスク、文書の変更173の監視タスク、リスク評価174のタスク、影響分析175のタスク、および一般報告176のタスクなどの、特定の監視および監査タスクを実行するように構築されてもよい。例えば、リスク評価174は、システム100の前述のコンポーネントで決定される制御の重要性およびボラティリティと対比して、脅威および脆弱性データの階層化に基づいて決定されてもよい。
【0058】
本発明の前述のコンポーネントに基づいて、本開示のシステムは、さらに、ユーザーおよび/または組織のサイバーセキュリティをリアルタイムでさらに改善するように設計された追加のコンポーネントを含むことができる。例えば、図1に示されるように、本発明の少なくとも1つの実施形態において、本開示のシステムは、本発明のシステム100に関連して構築された機械学習コンポーネント40と、相互接続されたデータ・ウェアハウス30とをさらに含むことができる。このようにして、機械学習コンポーネント40は、組織および/またはエンドユーザーによって提供される訓練に基づいて、例えば、評価コンポーネント130および実施コンポーネント150などの本発明の特定のコンポーネントを改善するように構築されてもよい。
【0059】
例えば、機械学習コンポーネント40は、本発明のシステムを通じて制定された現実世界および仮想シナリオの両方を通じて提供される訓練に基づいて、通知、割当、および意思決定の改善のための適切な状況を決定することができる。このような方法で、例えば、現実世界の脅威シナリオ、エンドユーザーの意思決定および入力、ならびに修正制御の有効性を継続的に追跡することによって、機械学習は、例えば、ユーザーのベースラインネットワークに適用される、より適切な脅威フレームワークを開発することができる。そうすることで、機械学習コンポーネントを使用して、本発明のシステムを通じて提供される脅威フレームワーク129が最新のものであることを保証し、それによって、ユーザーおよび/または組織のセキュリティネットワークが過去のある時点に固定されたものではなく、現在の時点で構築されることを可能にする。
【0060】
さらに、システム100は、所定の組織のネットワーク・アーキテクチャの一部であるか否かにかかわらず、複数のデータ・フィード20に関連して構築されてもよいし、または、相互接続された第3者のシステム、アプリケーション、およびネットワークから収集されたデータ・フィードのような他のデータ・フィードに関連して構築されてもよい。例えば、第3者のデータ・フィード20は、第3者から提供されるサービスに基づいてリスク層を決定するために使用されてもよく、リスク層は、例えば、(1)組織の使命および/またはビジネスに対する影響、および(2)重要なデータの検出感度と関連する量の積を含むことができる。よって、リスク層を使用して、第3者のデータ・フィード20は、それらのリスクプロファイルに関して評価され、それによってプロファイリングコンポーネント110によって生成されるベースラインに影響を与えることができる。
【0061】
理解され得るように、本発明の適用は、ある所定の間隔、またはユーザーの裁量で、継続的に実行することができ、それによって、ユーザーおよび/または組織がネットワーク・セキュリティ・アーキテクチャを継続的に調整し、現実世界の脅威シナリオを防止することを可能にする。例えば、システム100は、限定されるものではないが、評価コンポーネント130、実施コンポーネント150、および検証コンポーネント160などの特定のコンポーネントを適合させたり、繰り返したりすることで、組織のネットワーク・セキュリティ・アーキテクチャに対するリアルタイムの変更を可能にする。さらに、そのようなアプリケーションは、重要なシステムがバックアップを失い、危険になったとき、脅威エージェント、戦術、技術または手順が進化したとき、または脆弱性が発見されたときなど、資産の重要性が現実世界で変化したときなど、事後対応的な方法で使用することもできる。このような状況では、このような変化は、システム100のコンポーネントを介したその後の処理のために、修正制御または許容リスクの決定のために、組織のベースラインへの組込が可能であることが理解され得る。
【0062】
よって、本発明は、現実世界での運用、および理論的なリスク変数に対する評価に基づいて組織のネットワーク・セキュリティ・アーキテクチャを調整する継続的なサイクルに基づいて、組織のサイバーセキュリティの適合性、成熟度、および有効性を改善するための具体的な推奨事項を提供することができる。よって、このようにして、本発明の少なくとも1つの実施形態によるアプリケーションは、シナリオベースの制御の有効性および残留リスクに基づいて、リアルタイムで組織のネットワーク・セキュリティ・アーキテクチャを処理し、それによって適応的に調整する能力を提供することができる。このようにすることで、効果のない制御を識別して修正することができ、それによって組織がネットワーク・セキュリティの変化が発生したときに、それを評価、実施、適応することを可能にする。
【0063】
本発明の記載された好ましい実施形態についての詳細は多種多様な改変、変形、および変更を行うことができるので、上述の説明および添付図面に示されるすべての事項は、限定的な意味ではなく、例示的なものとして解釈されることが意図される。よって、本発明の範囲は、付随の特許請求の範囲およびその法的な等価物に基づいて決定されるべきである。
【符号の説明】
【0064】
20 データ・フィード
30 データ・ウェアハウス
40 機械学習コンポーネント
110 プロファイリングコンポーネント
120 分析コンポーネント
130 評価コンポーネント
140 文書化コンポーネント
150 実施コンポーネント
160 検証コンポーネント
170 監視コンポーネント
図1
図2
図3
図4
図4A
図5
図5A
図6
図7
図8
図9
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.