(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-01-26
(54)【発明の名称】ドキュメント・シェアリングによるフィッシング攻撃の防止
(51)【国際特許分類】
G06F 21/55 20130101AFI20240119BHJP
G06F 21/62 20130101ALI20240119BHJP
【FI】
G06F21/55
G06F21/62
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022553644
(86)(22)【出願日】2022-01-20
(85)【翻訳文提出日】2023-03-15
(86)【国際出願番号】 US2022013171
(87)【国際公開番号】W WO2022159611
(87)【国際公開日】2022-07-28
(32)【優先日】2021-01-21
(33)【優先権主張国・地域又は機関】US
(32)【優先日】2021-07-30
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
(71)【出願人】
【識別番号】517325652
【氏名又は名称】ネットスコープ, インク.
【氏名又は名称原語表記】NETSKOPE, INC.
(74)【代理人】
【識別番号】100114476
【氏名又は名称】政木 良文
(72)【発明者】
【氏名】パサパティ, ヴェンカタスワミー
(72)【発明者】
【氏名】クマール, アヌパム
(72)【発明者】
【氏名】ラヴィ, プラセンナ
(72)【発明者】
【氏名】シャフィーク, ムハンマド
(57)【要約】
開示された技術は、ネットワーク上でドキュメントを悪意のあるコンテンツとシェアリングすることによって生じるフィッシング攻撃を防止するためのシステム及び方法を含み、シェアリングしたドキュメントは、ユーザを悪意のあるウェブサイトにリダイレクトするリンクを含み得る。クラウドベースの方法は、シェアリングしたドキュメントの所有者または発信者を識別することに基づいて、一連の規則及びポリシーを適用して、シェアリングしたドキュメントを許可するか、またはネットワークからシェアリングしたドキュメントをブロックする。ブロックされたドキュメントは隔離され、脅威について分析され、企業データを侵害する可能性のある悪意のあるコンテンツを判定するためにサンドボックス法が適用される。分析によって、ブロックされたドキュメントが安全であることが証明された場合、それは、同じ所有者または発信者を有する後続のドキュメントとともに、ネットワーク中にリリースされ得る。開示された技術は、悪意のある攻撃者がGoogleドライブ等のクラウドベース・ストア内に悪意のあるファイルを作成し、それをエンドポイント・ユーザとシェアリングする場合に特に有用である。ユーザがシェアリングしたドキュメントを開くと、ユーザは、企業の重要な情報が侵害され得る悪意のあるウェブサイトにリダイレクトされる。
【選択図】
図1
【特許請求の範囲】
【請求項1】
悪意のあるコンテンツへのリンクを含む可能性のあるリンクされたドキュメント・ファイルであって、企業ネットワークからアクセス可能なクラウドベースのアプリケーションからのリンクされたドキュメント・ファイルをシェアリングすることによる前記企業ネットワークに対するフィッシング攻撃を軽減するための方法であって、
多数のドキュメントに繰り返し適用される前記方法は、
インライン・プロキシを使用して、シェアリングを受け入れるか、或いは、前記企業ネットワークにアクセス可能なクラウドベースのアプリケーションを介して前記リンクされたドキュメントにアクセスするためにAPIアクセスに応答して、リンクされたドキュメントのファイルを傍受すること、
多数のドキュメントについて、前記リンクされたドキュメントが前記企業ネットワークの外部から入ってくると判定し、前記外部から入ってくる前記多数のドキュメントを制限すること、及び、更に前記制限されたドキュメントを処理すること、を備え、
少なくとも1つの第1のドキュメントについて、前記リンクされたドキュメントが信頼できるソースからの認可されたドキュメントであると判定し、前記リンクされたドキュメントが前記企業ネットワーク内に入ることを許可すること、
少なくとも1つの第2のドキュメントについて、前記リンクされたドキュメントが信頼できるソースからではない未知または未認可のドキュメントであると判定し、前記ドキュメントの所有者を識別し、所有者に基づいてポリシー・ルールを適用して、前記リンクされたドキュメントが前記企業ネットワーク内に入るのを許可されるか、または隔離されるかを判定すること、
悪意のあるリンクに対して、前記リンクされたドキュメントのコンテンツを脅威スキャンすること、
少なくとも1つの第3のドキュメントについて、悪意のあるリンクを含む前記リンクされたドキュメントをブロックすること、及び、
少なくとも1つの第4のドキュメントについて、悪意のあるリンクを含まない前記リンクされたドキュメントを受け入れ、前記受け入れたドキュメントのファイルの所有者をGUIDによって記録し、少なくとも同じGUIDに基づいて、前記ドキュメント・ファイルの前記企業ネットワークへのアクセス及び継続するアクセスを許可すること、
を含む方法。
【請求項2】
前記隔離されたドキュメント・ファイルがサンドボックス内に分離され、悪意のあるリダイレクト・コードについて検査される請求項1に記載の方法。
【請求項3】
トラフィック・メタデータの分析に基づいて、または、前記ネットワークを介して所有者を問い合わせることで、前記ドキュメントの前記所有者を判定することを更に含む請求項1に記載の方法。
【請求項4】
前記ドキュメント・ファイルが、個人及び企業の何れのファイルかを判定することを更に含む請求項1に記載の方法。
【請求項5】
ドキュメント・ファイルが、ブラックリストに載っているウェブサイトまたはURLから発信されたものかを判定することを更に含む請求項1に記載の方法。
【請求項6】
ブラックリストに載っているウェブサイトまたはURLから発信されたドキュメント・ファイルが、自動的にブロックされる請求項5に記載の方法。
【請求項7】
ドキュメント・ファイルの前記所有者が、以前に認可されたウェブサイトの保持されたリストと対比され、リストされていた場合は、自動的に許可される請求項1に記載の方法。
【請求項8】
受け入れられたドキュメント・ファイルがCRCコード及びファイル・サイズによって更に識別される請求項1に記載の方法。
【請求項9】
ネットワーク管理者が前記企業ネットワーク上でアクセスされているドキュメントを監視することができる請求項1に記載の方法。
【請求項10】
前記ネットワーク管理者が、前記企業ネットワークの外部から発信された公開ドキュメントにアクセスするユーザを監視することができる請求項9に記載の方法。
【請求項11】
前記ネットワーク管理者が、前記企業ネットワーク内において、所定の企業グループ間のドキュメント・ファイルのシェアリングを許可できる請求項9に記載の方法。
【請求項12】
前記ネットワーク管理者が、前記企業ネットワーク内において、所定の企業グループ間のドキュメント・ファイルのシェアリングを制限できる請求項9に記載の方法。
【請求項13】
悪意のあるコンテンツへのリンクを含む可能性のあるリンクされたドキュメント・ファイルであって、企業ネットワークからアクセス可能なクラウドベースのアプリケーションからのリンクされたドキュメント・ファイルをシェアリングすることによる前記企業ネットワークに対するフィッシング攻撃を軽減するためのシステムであって、
評価エンジン、ネットワーク・ポリシー・ストア、脅威スキャナ、及び、サンドボックスを備える、前記企業ネットワークと有効に通信するネットワーク・セキュリティ・システムと、
前記企業ネットワークとアクセス可能なクラウドベースのアプリケーションによって前記リンクされたドキュメント・ファイルがシェアリングまたはアクセスされている場合に、前記リンクされたドキュメント・ファイルを傍受するために、前記評価エンジンとメタデータ・ストアと通信するインライン・プロキシと、を備え、
前記インライン・プロキシと前記評価エンジンは、前記リンクされたドキュメント・ファイルが前記企業ネットワークの外部から入ってくるかどうかを判定し、前記企業ネットワークの外部から入ってくるドキュメント・ファイルを制限し、
前記システムは、前記制限されたドキュメントを更に処理し、
前記インライン・プロキシと前記評価エンジンと前記メタデータ・ストアが、少なくとも1つの第1のドキュメントについて、前記リンクされたドキュメント・ファイルが信頼できるソースからの認可されたドキュメントであると判定し、前記リンクされたドキュメントが前記企業ネットワーク内に入ることを許可すること、
前記インライン・プロキシと前記評価エンジンと前記メタデータ・ストアが、少なくとも1つの第2のドキュメントについて、前記リンクされたドキュメントが信頼できるソースからではない未知または未認可のドキュメントであると判定し、前記ドキュメントの所有者を識別し、前記所有者に基づいてポリシー・ルールを適用して、前記リンクされたドキュメントが前記企業ネットワーク内に入るのを許可されるか、または隔離されるかを判定すること、
悪意のあるリンクに対して、前記リンクされたドキュメントのコンテンツをスキャンする脅威スキャナ、
少なくとも1つの第3のドキュメントについて、悪意のあるリンクを含む前記リンクされたドキュメントをブロックすること、及び、
少なくとも1つの第4のドキュメントについて、悪意のあるリンクを含まない前記リンクされたドキュメントを受け入れ、前記評価エンジンが前記受け入れたドキュメントのファイルの所有者をGUIDによって更に記録し、少なくとも同じGUIDに基づいて、前記ドキュメント・ファイルの前記企業ネットワークへのアクセス及び継続するアクセスを許可すること、
を含むシステム。
【請求項14】
ドキュメント・ファイルが、個人及び企業の何れのファイルかを更に判定する請求項13に記載のシステム。
【請求項15】
前記脅威スキャナが、悪意のあるリンクを含む可能性のあるドキュメント・ファイルを、前記ドキュメント・ファイルの所有者データに基づいて隔離する請求項13に記載のシステム。
【請求項16】
隔離されたドキュメントがサンドボックスにおいて更に分析され、前記ドキュメント・ファイルが悪意のあるリダイレクト・コードを含むかどうかを判定する請求項15に記載のシステム。
【請求項17】
前記メタデータ・ストアが、自動的にブロックされるブラックリストに載っているウェブサイト及びURLのデータベースのリストを保持する請求項13に記載のシステム。
【請求項18】
前記メタデータ・ストアが、自動的に許可される以前に認可されたウェブサイト及びURLのデータベースのリストを保持する請求項13に記載のシステム。
【請求項19】
前記企業ネットワーク上でアクセスされているドキュメント・ファイルを監視することができるネットワーク管理者を更に含む請求項13に記載のシステム。
【請求項20】
前記ネットワーク管理者が、前記企業ネットワーク上でアクセスされている公開ドキュメント・ファイルを監視することができる請求項19に記載のシステム。
【請求項21】
前記ネットワーク管理者が、前記企業ネットワーク上での所定の企業グループ間のドキュメント・ファイルのシェアリングを許可することができる請求項19に記載のシステム。
【請求項22】
前記ネットワーク管理者が、前記企業ネットワーク上での所定の企業グループ間のドキュメント・ファイルのシェアリングを制限することができる請求項19に記載のシステム。
【請求項23】
トラフィック・メタデータを分析すること、または、前記ネットワークを介して所有者を問い合わせることで、未知のドキュメント・ファイルの所有者が判定される請求項13に記載のシステム。
【請求項24】
前記ネットワーク管理者が、企業ユーザと信頼できる外部インスタンスとの間のドキュメント・ファイルのシェアリングを許可することができる請求項19に記載のシステム。
【請求項25】
前記ネットワーク管理者が、企業グループと信頼できる外部ユーザとの間を許可することができる請求項19に記載のシステム。
【請求項26】
前記評価エンジンが、DNSサーバ接続を介して導入されるデータの引き出しのインスタンスを更に検出する、前記企業ネットワークからアクセス可能なクラウドベースのアプリケーションからのリンクされたドキュメント・ファイルをシェアリングすることによる企業ネットワークに対するフィッシング攻撃を軽減するための請求項13に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
開示された技術は、一般にクラウドベース・セキュリティに関し、より具体的には、クラウドベース・ストアを使用したドキュメントのシェアリングに起因するフィッシング攻撃を防止するためのシステム及び方法に関する。開示された技術は、悪意のある攻撃者が、Googleドライブ等のクラウドベース・ストアに悪意のあるファイルを作成し、それをエンドポイント・ユーザとシェアリングするフィッシング手法を防止するためのシステム及び方法に関する。ユーザがシェアリングしたドキュメントを開くと、ユーザは悪意のあるウェブサイトにリダイレクトされ、そこでユーザのデータ及び企業の重要なデータが侵害される可能性がある。
【背景技術】
【0002】
本セクションで議論される主題は、本セクションにおけるその言及の結果、単に従来技術であると仮定すべきではない。同様に、本セクションで言及される、または背景として提供される主題に関連する問題または欠点は、従来技術において以前に認識されていたと仮定すべきではない。本セクションの主題は、単に様々なアプローチを表しており、これらのアプローチ自体もまた、請求項に記載された技術の実施態様に対応することができる。
【0003】
クラウド・サービスは、企業及び事業に柔軟性を提供する等、その複数の利点のために、企業コンピューティングを処理するための好ましい方法になりつつある。残念ながら、クラウド・サービスを使用することに関連するリスクが増加し、特に、機密性の高い企業情報のための適切なセキュリティを提供することに関連するリスクが増加する。財務情報、人材情報、マーケティング情報、知的財産、及び、技術製品開発情報は、クラウドベース・ストレージシステムに格納される場合、その情報を保護するために適切なセキュリティ・システム及びプロセスが提供されない限り、侵害または盗まれる可能性がある。企業の機密データは、日々、アップロード、ダウンロード、コピー、及び、シェアリングされており、フィッシング攻撃に対して脆弱である。
【0004】
「フィッシング」という用語は、無防備なユーザからウェブを介して機密情報を不正に取得するための幾つかの方法を指す。フィッシングは、一つには、企業の機密情報を「釣り上げる」ためにますます巧妙化するルアーを使用することから発生する。これらの方法は、一般に「フィッシング攻撃」と呼ばれる。
【0005】
クラウドベースのストレージ・プラットフォームを伴うクラウド・コンピューティングでは、フィッシング攻撃の一形態は、ドキュメントをクラウドベースのストレージ・プラットフォームにシェアリングすることを伴う。フィッシング攻撃者は、信頼できるウェブサイトのようになりすまし、企業ネットワーク内のドキュメントをシェアリングする。シェアリングしたドキュメントにアクセスするネットワーク・ユーザは、ドキュメントを開くことを促される。シェアリングしたドキュメントは、機密情報が侵害されたり盗まれたりする可能性のある悪意のあるウェブサイトにユーザをリダイレクトするためのリンクを提供する。シェアリングした「悪意のある」ドキュメントは、企業ネットワーク上の全ての人によってアクセス可能であるので、企業組織に対する損害は極度となり得る。
【0006】
オフ・プレミスのストレージ・プラットフォームの普及は、さらに企業データを危険にさらしている。組織は、通常、1つまたは2つの選択されたクラウドベースのストレージ・プラットフォームを認可する。スポンサー・アカウント以外にも、組織には、従業員によって使用される多数の追加のストレージ・プラットフォームを有する場合がある。これらの一部は、TwitterやLinkedIn等のソーシャル・メディア・サイトである。Google Drive、Box、Dropbox等のファイル・シェアリング・サービスもある。殆どの大きな組織は認可されたサービスを監視するが、ユーザは、企業のクラウド・セキュリティ・システムの「レーダーの下を飛行する」ことができるため、ネットワーク・セキュリティに対してより深刻な脅威をもたらす未認可のクラウド・サービスを使用することがある。未認可のクラウド・サービスは、シャドウITと呼ばれる。
【0007】
ドキュメントは、益々、シェアリングやリンクを介して組織に到達するようになる。シェアリングしたドキュメントは、アカウントにコピーすることも、クラウドベースのストレージ・プラットフォーム上に設定されたリンクを介してアクセス可能にすることもできる。リンクは、1つのコピーが多くのユーザを扱うので効率的である。ユーザは同じドキュメントをアップデートする。同時更新は、ストレージ・プラットフォーム自体によって管理される。クラウドベースのストレージ・プラットフォームによってシェアリングされるドキュメントは、電子メールへの添付よりも検査が困難である。ドキュメント・シェアリングされたリンクにはドキュメント・コンテンツは含まれない。例えば、電子メールに添付されたコンテンツを検査するシステムは、リンクによって参照されるドキュメントを検査することができない。
【0008】
従って、特にクラウドベースのストレージ・プラットフォームからのドキュメントをシェアリングまたはリンクすることに起因するフィッシング攻撃に対する安全性を提供するための改善されたシステム及び方法が必要とされている。本発明の実施態様は、これらのフィッシング攻撃を防止しようとするものである。
【図面の簡単な説明】
【0009】
図面において、同様の参照符号は、一般に、異なる図を通して同様の部分を指す。また、図面は必ずしも縮尺通りではなく、開示された技術の原理を例示することに重点が置かれている。以下の説明では、開示された技術の様々な実施態様が、以下の図面を参照して説明される。
【0010】
【
図1】クラウドベースのストレージ・プラットフォームからのドキュメントのシェアリング及びリンクに起因するフィッシング攻撃を防止するためのシステムのアーキテクチャ・レベルの概略図を示す。
【0011】
【
図2】クラウドベース・サービスをエンドユーザに配信するために、クラウドベースのネットワークにおいてネットワーク・セキュリティを提供するために使用され得るコンピュータ・システムの簡略化されたブロック図である。
【0012】
【
図3】企業ネットワーク内でシェアリングされるドキュメント・ファイルを評価する処理フローを示す。
【0013】
【
図4】Gメール・パーソナル・インスタンス向けのGoogleドキュメント・トラフィックを示す。
【0014】
【
図5】企業インスタンス向けのグーグル・ドキュメント・トラフィックを示す。
【0015】
【
図6】Boxアプリケーション(企業及び個人)のためのトラフィック分析を示す。
【0016】
【
図7】ユーザが企業アカウントにログオンし、ログイン・ユーザによって作成されたファイルをダウンロードするメタ・トランザクションを示す。
【0017】
【
図8】企業ユーザが企業インスタンスによってシェアリングされるファイルをダウンロードするメタ・トランザクションを示す。
【0018】
【
図9】ユーザが企業アカウントにログインし、個人アカウントによってシェアリングされるファイルを表示及びダウンロードするメタ・トランザクションを示す。
【0019】
【
図10】ユーザが企業インスタンスにログインし、企業インスタンスによってシェアリングされるファイルを表示及びダウンロードするメタ・トランザクションを示す。
【発明を実施するための形態】
【0020】
以下の考察は、当業者が開示された技術を作製及び使用することを可能にするために提示され、特定の用途及びその要件に即して提供される。開示された実施態様に対する種々の変形は当業者には容易に明らかであり、本明細書で定義された一般原則は、開示された技術の精神及び範囲から逸脱することなく、他の実施態様及び用途に適用され得る。従って、開示された技術は、示された実施態様に限定されることを意図するものではなく、本明細書に開示された原理及び特徴と一致する最も広い範囲が与えられるべきである。
[序論]
【0021】
開示された技術は、クラウドベースのストレージ・プラットフォームからのシェアリングしたドキュメントを介したフィッシング攻撃に対処する。近年、オフ・プレミスのストレージ・プラットフォームが急増している。組織は、通常、1つまたは2つの選択されたクラウドベースのストレージ・プラットフォームのスポンサーになる。スポンサー・アカウント以外にも、組織には、従業員によって使用される多数の追加のストレージ・プラットフォームを有する場合がある。
【0022】
ドキュメントは、益々、シェアリングやリンクを介して組織に到達するようになる。シェアリングしたドキュメントは、アカウントにコピーすることも、クラウドベースのストレージ・プラットフォーム上に設定されたリンクを介してアクセス可能にすることもできる。リンクは、1つのコピーが多くのユーザを扱うので効率的である。ユーザは同じドキュメントをアップデートする。同時更新はプラットフォームによって管理される。
【0023】
クラウドベースのストレージ・プラットフォームによってシェアリングされるドキュメントは、電子メールへの添付よりも検査が困難である。ドキュメント・シェアリングされたリンクにはドキュメント・コンテンツは含まれない。例えば、電子メールに添付されたコンテンツを検査するシステムは、リンクによって参照されるドキュメントを検査することができない。ユーザは、クラウドベース・ストレージでスポンサー・アカウントに到達したドキュメントを信頼することに追い込まれる可能性があるため、フィッシング・リスクはシェアリングしたドキュメントの方が電子メールよりも大きくなり得る。
【0024】
開示された技術は、クラウドベースのストレージ・プラットフォームを介してシェアリングされるドキュメントによってもたらされるリスク、特にフィッシング・リスクを軽減するために、組織ポリシーを実施する。クラウド・ストレージ・デバイスにおけるシェアリングしたドキュメントのソースを迅速に確認することは有益である。本技術は、ドキュメントの所有者を判定するために、ネットワーク・ポリシーによって強制されるルールを使用する。
【0025】
ドキュメントの所有者は、クラウドベースのプラットフォーム・メタデータからドキュメント・インスタンスの出所を追跡するための鍵である。メタデータがネットワーク・トラフィック内で公開される場合があり、その場合にドキュメントの所有者を判定する効果的な手段が提供される。また、企業ネットワークまたは企業デバイスに対するフィッシングの脅威に対処するためのソリューションも提供される。他の方法は、ソースに問い合わせることを含む。
【0026】
従って、悪意のあるリンクを含む可能性のあるドキュメント・ファイルは、安全なサンドボックスを含む既知の手法を利用して、識別され、隔離され、脅威について検査される。
【0027】
ユーザとクラウドベースのストレージ・プラットフォームとの間に位置するインライン・プロキシは、シェアリングしたドキュメントが組織ネットワーク上で利用可能になる前に、潜在的に悪意のあるリンクを検査、隔離、及び、サンドボックスするためのシステムを提供する際の重要な要素である。システムのプロキシは、埋め込まれたリンクに対応するコンテンツにアクセスし、コンテンツをサンドボックスし、埋め込まれたリンクを検査/探索して、シェアリングしたドキュメントが安全であることを確認してから、ユーザがプロキシを介してシェアリングしたドキュメントにアクセスできるように構成することができる。
[シェアリングされたリンクの所有者の判定]
【0028】
シェアリングされたリンクの所有者の識別は、ネットワーク・トラフィックにおけるメタデータの検査を必要とする。所有者は、シェアリングされたリンクに付随するメタデータで識別されることがある。他の場合には、所有者情報を取得するために、プロキシからクラウドベースのストレージ・プラットフォームへの別個の管理上の呼び出しが行われる必要がある。
【0029】
開示された技術は、シェアリングまたはリンクされたドキュメントの所有者を判定し、所有者を使用して制御ポリシーを適用する。これは非常に効率的な方法である。他のアプローチは、多数のリンクについて大きなドキュメントを検査し、ドキュメント内の全てのリンクをナビゲートする等、比較的費用がかかり、不便である。例えば、PDFドキュメント内のキャプチャされたウェブページは、多数の直接的及び間接的なリンクを含む。
【0030】
幾つかのドキュメントのソースは信頼できると考えることができ、縮小したスクリーニングを受け入れることができるか、または一旦スクリーニングが実施された後に容易に受け入れることができる。対照的に、ブラックリストに載っているドキュメントの所有者は、どのようなスクリーニングが行われても、組織へのドキュメントのシェアリングができない。2つの両極端の間では、幾つかのドキュメントのソースが完全なスクリーニングの後にのみ受け入れられ、結果として生じる不便さにもかかわらず、受信者によるコメントさえも必要とし得る。従って、所有者は、ポリシーの仕様と実装の一部として有効に利用できる。
【0031】
開示された技術は、コンテンツを自動的に取得し、次いで、安全なサンドボックスを使用して、殆どの外部ソースからのシェアリングしたドキュメント内のリンクを検査し、探索するように設計される。システムのプロキシは、プロキシを介してのシェアリングしたドキュメントへのアクセスをユーザに許可する前に、埋め込みリンクに対応するコンテンツにアクセスし、コンテンツをサンドボックスし、埋め込みリンクを検査/探索して、シェアリングしたドキュメントが安全であることを確認するように設定できる。
[システム概要]
【0032】
以下では、オフサイトのクラウドベース・ストアを含むクラウドベース・システムにおけるフィッシング攻撃を防止するためのシステム及び様々な実施態様を、アーキテクチャの形態で説明する。システム100のアーキテクチャ図が、説明を明確にするために意図的に簡略化された
図1に示されている。
図1は、様々な主要な要素の相互接続を示す。これらの要素の使用は、これらの要素の特定の構造及び使用の議論に関連して更に詳細に説明される。
【0033】
図1は、エンドポイント142を含むシステム100を含む。ユーザ・エンドポイント142は、コンピュータ144、スマートフォン146、及び、コンピュータ・タブレット148等のデバイスを含むことができ、これらは、クラウドベース・ストア136及びクラウドベース・サービス138上に記憶されたデータへのアクセスを提供し、データのやり取りを行う。インライン・プロキシ132は、ユーザ・エンドポイント142とクラウドベース・サービス138との間に、ネットワーク140を介して、特に、ネットワーク管理者122、ネットワーク・ポリシー124、評価エンジン126、脅威スキャン・サブシステム128、及び、サンドボックス130を含むネットワーク・セキュリティ・システム、並びに、メタデータ・ストア134を介して、配置される。この詳細については後述する。インライン・プロキシ132は、ネットワーク140を介してアクセス可能であってもよいし、ネットワーク・セキュリティ・システム120の一部として常駐していてもよい。インライン・プロキシ132は、ユーザ・エンドポイント142、クラウドベース・ストア136、及び、他のクラウドベース・ネットワーク・セキュリティ・システムとの間のトラフィック監視及び制御を提供する。
【0034】
インライン・プロキシ132は、ユーザ・エンドポイント142とクラウドベース・サービス138間のネットワーク・トラフィックを監視し、特に、データ損失防止(DLP)ポリシー及びプロトコルを含むネットワーク・セキュリティ・ポリシーを実施する。
【0035】
次に、システム100の要素の相互接続について説明する。ネットワーク140は、コンピュータ144と、スマートフォン146と、コンピュータ・タブレット148、及び、メタデータ・ストア134、及び、インライン・プロキシ132を相互に結合する。通信経路は、公衆ネットワーク及び/またはプライベート・ネットワークを通じてポイント・ツー・ポイントであり得る。
【0036】
通信は、プライベート・ネットワーク、VPN、MPLS回線、または、インターネットを含む様々なネットワークを介して行うことができ、適切なアプリケーション・プログラミング・インタフェース(API)と、リプレゼンテーショナル・ステート・トランスファ(REST)、JavaScriptオブジェクト表記(JSON)、拡張マークアップ言語(XML)、シンプル・オブジェクト・アクセス・プロトコル(SOAP)、Javaメッセージ・サービス(JMS)、及び/または、Javaプラットフォーム・モジュール・システム等のデータ交換フォーマットを使用することができる。
【0037】
全ての通信は暗号化することができる。通信は一般に、LAN(ローカル・エリア・ネットワーク)、WAN(ワイド・エリア・ネットワーク)、電話網(公衆交換電話網)、セッション開始プロトコル(SIP)、ワイヤレス・ネットワーク、ポイント・ツー・ポイント・ネットワーク、星型ネットワーク、トークン・リング型ネットワーク,ハブ型ネットワーク、及び、EDGE、3G、4G LTE、Wi-Fi、WiMAX等のプロトコルを介したモバイル・インターネットを含むインターネット等のネットワークを介して行われる。
【0038】
図1のエンジンまたはシステム要素は、様々な種類のコンピュータ・デバイス上で実行されるソフトウェアによって実施される。例えば、ワークステーション、サーバ、コンピュータ・クラスタ、ブレード・サーバ、サーバ・ファーム等である。更に、ユーザ名/パスワード、オープン認証(OAuth)、Kerberos、SecureID、デジタル証明書等の様々な承認及び認証技術を使用して、通信を保護することができる。
【0039】
クラウドベース・サービス138は、クラウドまたはインターネット上に実装される機能をユーザに提供する。クラウドベース・サービス138は、ニュース・ウェブサイト、ブログ、ビデオストリーミング・ウェブサイト、ソーシャルメディア・ウェブサイト、ホスティッド・サービス、クラウド・アプリケーション、クラウド・ストア、クラウド・コラボレーション、及び、メッセージング・プラットフォーム、並びに/または、クラウド顧客関係管理(CRM)プラットフォーム等のインターネット・ホステッド・サービスを含むことができる。クラウドベース・サービス138は、ブラウザ(URLを介して)またはネイティブ・アプリケーション(同期クライアント)を使用してアクセスすることができる。
【0040】
クラウドベース・サービス138のカテゴリには、ソフトウェア・アズ・ア・サービス(SaaS)の提供、プラットフォーム・アズ・ア・サービス(PaaS)の提供、及び、インフラストラクチャ・アズ・ア・サービス(IaaS)の提供が含まれる。
【0041】
今日の一般的なウェブ・サービスの例としては、YouTube(登録商標)、Facebook(商標)、Twitter(商標)、Google(商標)、LinkedIn(商標)、Wikipedia(商標)、Yahoo(商標)、Baidu(商標)、Amazon(商標)、MSN(商標)、Pinterest(商標)、Taobao(商標)、Instagram(商標)、Tumblr(商標)、eBay(商標)、Hotmail(商標)、Reddit(商標)、IMDb(商標)、Netflix(商標)、PayPal(商標)、Imgur(商標)、Snapchat(商標)、Yammer(商標)、Skype(商標)、Slack(商標)、HipChat(商標)、Confluence(商標)、TeamDrive(商標)、Taskworld(商標)、Chatter(商標)、Zoho(商標)、ProsperWorks(商標)、Google Gmail(商標)、Salesforce.com(商標)、Box(商標)、Dropbox(商標)、Google Apps(商標)、Amazon AWS(商標)、Microsoft Office 365(商標)、Workday(商標)、Oracle on Demand(商標)、Taleo(商標)、Jive(商標)、及び、Concur(商標)が含まれる。
【0042】
企業組織に属するユーザは、クラウドベース・サービスの何百ものプロバイダにアクセスして、組織の内部または外部の他のユーザと、データを生成し、格納し、協働し、シェアリングする。これが、フィッシング攻撃の誘因となり得る。クラウドベース・サービス138は、セキュリティ・ポリシーを実装している組織のユーザに機能を提供する。ユーザがエンドポイント142を介してクラウドベース・サービスにリクエストを送信すると、インライン・プロキシ132が、リクエスト・メッセージを傍受する。インライン・プロキシ132は、データベースにアクセスすることによって、アクセスされているクラウドベース・サービス138を識別しようとする。一実施態様では、本発明に準じて、インライン・プロキシがユーザからメタデータ・ストア134へのリクエスト・メッセージにメタデータを蓄積して、アクセスされているクラウドベース・サービス138を識別する。クラウドベース・ストア136とユーザ・エンドポイント142との間で、ネットワークを介してドキュメント・インスタンスがシェアリングまたはリンクされている場合、フィッシング攻撃の危険性がある。スマートフォン等のモバイル・デバイスの形態の企業デバイス(以下の説明では企業ネットワーク・デバイスとも呼ばれる)は、しばしばネットワーク外で動作する。モバイル・デバイスに記憶された企業データは、容易に侵害される可能性がある。企業の従業員はしばしば、遠隔地から日々の企業タスクを実行するために、自身のモバイル・デバイスを使用する。そうすることで、彼らは重要な組織データと情報を収集し、シェアリングし、アクセスする傾向がある。この慣行は企業の従業員が生産性を維持し、シームレスに活動する場合には、容易に回避することができない。残念なことに、このプロセスを使用することで、これらの従業員は無意識のうちに、これらの個人用デバイスに保存されている重要な企業データを損失や悪用に対して脆弱にしてしまう。
[ネットワーク・セキュリティ・システム]
【0043】
企業の内部ドキュメント152のドキュメント及びリンクは一般に、殆ど気にせずに、企業内で配布、コピー、またはリンクすることができる。企業ネットワークの外部で発生したクラウド・ストレージからのドキュメント・インスタンスは、通常、脅威レベルによって分類される。第1のカテゴリは、Cisco、Juniper、Netskope等の信頼できるサイトから発信されるドキュメント・インスタンスを含む。これらは認可されたサイト154であり、これは、安全であり、フィッシング攻撃に関連しないという高い信頼を提示する。信頼できるサイトからリンクをシェアリングするドキュメントは、最小限の分析しか必要としない。
【0044】
次のカテゴリは、未知のソース156から発信されたドキュメント・インスタンスである。未知のソース156からのドキュメントはブロックされ、詳細な評価及び分析を受けてから、企業ネットワークに入ることができる。分析は、さらに説明される方法を使用して所有者の識別を必要とする。多くの場合、所有者が合理的な信頼度をもって判定され得ない場合、ドキュメントは、サンドボックス130における分離も含み得る詳細な脅威スキャン128を受け、任意の埋め込まれたコードが分離された環境において実行され、任意の埋め込まれたリンクが悪意のあるウェブサイトへの指示を引き起こすかどうかを判定する。分析が正常に完了した場合にのみ、ドキュメントは、企業ネットワーク内で、または企業デバイスとシェアリングされることが許可される。
【0045】
最後のカテゴリは、既知の悪意のあるウェブサイト150に由来するドキュメントである。これらは、過去にフィッシング攻撃に関連付けられた、または、その他の方法でネットワーク・セキュリティを侵害するウェブサイト及びURLである。メタデータ・ストア134は、全ての既知のブラックリスト158のサイトをデータベース内で追跡し、格納し、保持する。評価エンジン126は、これらのブラックリスト158に載っているURLのデータベース・レコードをチェックする。これらのフィッシングURLの何れかからシェアリングまたはリンクされているドキュメントは、自動的且つ永続的にブロックされる。幾つかの実施形態によれば、本技術は、悪意のあるオブジェクト及びリンクを含むことが知られているブラックリストに載っているURLを検出及び破棄する方法を対象とする。ブラックリストに載っているURLの場合、詳細な脅威スキャンは必要なく、これにより、待ち時間が短縮され、データ・スループットの効率が向上する。
【0046】
一実施態様では、Gmail、Googleドライブ、Googleドキュメント/スプレッドシート/スライド/サイトを介して、添付ファイルをシェアリングしているユーザを識別する必要がある。第1に、システム100は、ドキュメントをシェアリングするユーザが企業ネットワーク内に位置するか、企業ネットワーク外に位置するかを判定しなければならない。ネットワーク・ポリシー124は、企業ネットワークの外部から発信される、シェアリングされているファイルをブロックするために実装され得る。
図4~
図10は、未確認ドキュメントの所有者の判定に関連するコードを示す。
【0047】
Googleは、アカウントにアクセスするための様々な方法を提供する。ユーザは、異なるブラウザ・タブの異なるアカウント(1つのブラウザ・タブの個人アカウント、別のブラウザ・タブの法人アカウント、及び、登録外)にログインできる。ユーザは、chromeブラウザでサポートされる様々なchromeプロファイルを作成することもできる。各chromeプロファイルは、異なるアカウントを有することができる。システム100は、トラフィックから2つの重要なパラメータ(auth_id、SID)を抽出して、アカウントを区別し、全ての可能なアクセス方法の正しい「from_user」及びインスタンスの詳細を識別する。ユーザが上述のアクセス方法の何れかを使用する場合、システムは、「from_user」及びインスタンスの詳細を識別することができる。
[Google Chromeプロファイルのサポート]
【0048】
ユーザが電子メールで添付物(Googleドライブのファイル、ドキュメント、シート等)を取得し、ユーザのログイン・アカウント(企業)からファイルを開くと、開いたファイルには、auth_idやSID(cookie)等のログイン・ユーザ・セッション情報が既に含まれる。従って、現在のアプローチでは、このファイルは既にログインしているユーザとして識別される。
【0049】
例えば、ユーザは「abc@kkrlog.com」でGmailにログオンし、外部ユーザ「xyz@Gmail.com」からドキュメントを取得する。ユーザがファイルを開くと、「abc@kkrlog.com」がアクティビティを実行するユーザであり、ファイルのインスタンスは「kkrlog.com」であるが、「gmail.com」がファイルの実際のインスタンスであることが示される。
[添付物に関するポリシー]
【0050】
一般に、ファイル添付に関するユーザのための2つの基本的なポリシーがある。1つのポリシーは「許可された企業インスタンス」で、他のポリシーは「個人インスタンスのブロック」である。シェアリングされたファイルの所有者は外部ユーザであるにもかかわらず、ファイルのインスタンスは企業と見なされるため、最初のポリシー「許可された企業インスタンス」が有効化され、ユーザが外部でシェアリングされたファイルに対してアクティビティを実行できるようになる。本考察では、企業インスタンスが、クラウド・アプリケーションの企業認可インスタンスとして定義される。
【0051】
システムは、作成されたファイルの所有者を識別する必要がある。表示中にファイルの作成者を識別するために、外部ファイルが企業ネットワークにアクセスする、或いは、アクティビティを実行することは許可されない。従って、フィッシング攻撃者は、この手法で企業情報を盗むことはできない。
[Googleドライブ/ドキュメント/シート/スライド・ファイル表示時のトラフィック分析]
【0052】
ユーザが電子メールまたはシェアリングされたリンクを介してGoogleドライブ、シート、ドキュメント、スライド等の何れかからドキュメントを取得すると、ユーザは通常それを開く。ユーザがそれを開くと、応答トランザクション・データはファイルの所有者を有する。つまり、ファイルはGmail(gmail.com)または特定のインスタンスになり得る。ドキュメントが個人アカウントによって作成される場合、パターンは空("docs-dodn":"")になり、ドキュメントがGmailインスタンス以外で作成される場合、パターンは("docs-dodn":"bigbira","docs-dodn":"kkrlog","docs-dodn":"netskope")になる。
【0053】
docs-dodnが空の場合、ドキュメントはGmail(個人)によって作成され、インスタンスはgmail.comになると想定し得る。パターンがdocs-dodnに存在する場合は、それはインスタンスとみなすことができる。個人アカウント(venkat@gmail.com、venkat123@gmail.com等)によって作成されるドキュメントの場合、インスタンスは「gmail.com」になる。特定のインスタンス(venkat@kkrlog.com)で作成されたドキュメントの場合、インスタンスは「kkrlog.com」になる。上記のインスタンスの抽出は、ユーザが、企業ユーザによる個人的に作成されたドキュメントの表示をブロックし、企業ドキュメントのみを許可するのに役立つ。しかし、これは、個人的に作成されたドキュメントにアクセスしている顧客を、その個人的なインスタンスからブロックすることになる。
【0054】
システムはファイル表示アクティビティのインスタンスを抽出し、ファイルの所有者としてインスタンスを追加する。同じファイル上の他のアクティビティ(ダウンロード/編集)では、ファイルの所有者はトラフィック内では不明であるが、file_idは少なくともインスタンス全体で固有である。少なくとも、各ファイルに対して、固有の不透明IDが存在する。ファイルIDは、ファイル名が変更されても、ファイルの存続期間を通して不変である。他のアクティビティのためにfile_id対インスタンスのマッピングが必要である。
[Gmailインスタンス(個人)のGoogleドキュメント・トラフィック]
【0055】
ユーザがGoogleドライブ、ドキュメント、シート等からドキュメントを表示する場合のインスタンスは、次のようになる。ユーザがGoogleドライブ、ドキュメント、シートのアカウント(個人または企業)にログインし、ドキュメントを表示すると、レスポンス・データはインスタンスの詳細を有する。従って、ユーザが個人アカウントにログインする場合、インスタンスはgmail.comになり、ユーザが企業アカウントでログインする場合、インスタンスは企業インスタンスになる。この動作は、上記したものと同じである。
[プロセス・フロー]
【0056】
図3は、企業ネットワーク内でシェアリングされたドキュメント・ファイルを評価するプロセス・フローを示す。悪意のあるウェブサイト150から送信される悪意のあるドキュメント151は、企業ネットワークにアクセス可能なクラウドベース・ストア136にシェアリングされる。悪意のある攻撃者の論理的根拠は、悪意のあるドキュメントを誘惑的にすることであり、その結果、悪意のあるドキュメントは、企業ネットワーク内の多数のユーザによって、または遠隔の企業デバイスを使用してアクセスされることになる。ネットワーク・セキュリティ・システム120の一部であるインライン・プロキシ132は、企業ネットワークの外部から来るファイルを制御するクラウドと企業ネットワークとの間の仲介者として機能する。
【0057】
企業への侵入を試みるドキュメント・ファイルは、上述の方法及びドキュメント・ファイルの出所を識別する他のメタデータによって識別される。メタデータは、インライン・プロキシによってアクセス可能なメタデータ・ストア134に格納される。企業内ドキュメントは、常に認可されている。企業ネットワークの外部から発信されたドキュメントは、認可された場合(152)、常に脅威スキャンなしで企業ネットワーク内に許可される。これらは、大規模な組織及び企業ネットワークとの過去の履歴を有する組織を含む既知のソースからのドキュメントである。例えば、Cisco、Netskope、Juniper等の企業またはクライアントのウェブサイトから受信したドキュメントである。認可されたウェブサイト152から受信した悪意のあるドキュメント151は、稀であるか、または事実上存在しないと仮定される。メタデータ・ストア134は、企業ネットワークによって認可された全てのウェブサイト及びURLのリストを含む。
【0058】
インライン・プロキシによってブラックリスト158のサイトとされる既知の悪意のあるウェブサイト150から受信されたドキュメント・ファイル。前述のように、これらは、過去にフィッシング攻撃に関連付けられた、または、ネットワーク・セキュリティを侵害する他の方法で関連付けられたウェブサイト及びURLである。メタデータ・ストア134は全ての既知のブラックリスト158のサイトを追跡し、格納し、データベースに保持する。このカテゴリで受信されたドキュメントは、自動的且つ永続的にブロックされる。本技術は、悪意のあるオブジェクトまたはリンクを含むことが知られているブラックリストに載っているURLを検出し、破棄する方法を対象とする。ブラックリストに載っているURLの場合、詳細な脅威スキャンは必要なく、待ち時間が短縮され、データ・スループット効率が向上する。
【0059】
未知のドキュメント156は、その所有者及び他のメタデータプロパティに関して評価され、未知のドキュメント156のソースが特定される。ドキュメントがそのソースに関して特定できない場合、そのドキュメントは一時的に企業ネットワークへの侵入がブロックされる。これには、マッチング手法を含むポリシーベースのルールが含まれる。ドキュメントは隔離され、最初に脅威スキャン128がなされる。この作業の多くは、ネットワーク・セキュリティ管理者122の関与を必要とする。悪意のあるコードが含まれ得ることが確実である場合、ドキュメントはサンドボックス130に入る。
[サンドボックス法]
【0060】
サイバーセキュリティ、コンピュータ・セキュリティでは、サンドボックスは、ソフトウェアにホスト・デバイスを害させずに、悪意のあるコードを含む可能性のある未検証のプログラムを隔離してテストする方法である。サンドボックス130は、ファイルを開いたり、プログラムを実行したりするために使用されるソフトウェア環境であり、それらがオンになっているデバイスに干渉したり、影響を与えたりすることはない。サンドボックスは、デバイスに提供する前に悪意のあるコードやアプリケーションをテストするために使用される。悪意のあるアプリケーション、リンク、及び、ダウンロードは、サンドボックス・ソフトウェアによって最初にテストされない場合、ネットワークのデータへの無制限のアクセスを取得する可能性がある。クラウド・サンドボックスは、脅威を分析し、それらをネットワークから分離するためのセキュリティの追加レイヤーを提供する。ネットワーク及びWebセキュリティは、オンライン脅威がオペレーションを侵害しないようにするための、企業全体のサイバーセキュリティ戦略における重要なレイヤーである。
【0061】
サンドボックスは、同様のマルウェア攻撃を検出し、ネットワークに侵入する前にそれらをブロックするツールとしても使用できる。悪意のあるコードでエンドポイント・デバイス142に侵入される前に、システムは、ネットワーク・セキュリティ管理者122がコードをテストし、それがどのように機能するかを正確に理解することを可能にする。システムはまた、代替シナリオや将来のシナリオで何を探すべきかについての洞察も提供する。
【0062】
潜在的に悪意のあるコードは、企業ネットワークとは別個のソフトウェア環境で実行することが許可され、コードが相当な損害を伴って「侵入」する可能性がある状況を防止する。
[コンピュータ・システム]
【0063】
ここで
図2を参照すると、クラウドベース・サービスを配信するクラウドベースのネットワークにおいてネットワーク・セキュリティを提供するために使用され得るコンピュータ・システム200の簡略化されたブロック図が示されている。コンピュータ・システム200は、バス・サブシステム206を介して幾つかの周辺デバイスと通信する少なくとも1つの中央処理装置(CPU)204と、本明細書で説明するネットワーク・セキュリティ・サービスを提供するためのネットワーク・セキュリティ・システム120とを含む。これらの周辺デバイスは、例えば、メモリ・デバイス210とファイル・ストレージ・サブシステム212を含むストレージ・サブシステム208、ユーザ・インタフェース入力デバイス214、ユーザ・インタフェース出力デバイス216、及び、ネットワーク・インタフェース・サブシステム218を含むことができる。入力及び出力デバイスは、ユーザにコンピュータ・システム200との相互作用を可能にする。ネットワーク・インタフェース・サブシステム218は、他のコンピュータ・システム内の対応するインタフェース・デバイスへのインタフェースを含む、外部ネットワークへのインタフェースを提供する。
【0064】
一実施態様では、
図1のネットワーク・セキュリティ・システム120は、ストレージ・サブシステム208とユーザ・インタフェース入力デバイス214に通信可能にリンクされる。ユーザ・インタフェース入力デバイス214は、キーボード、マウス、トラックボール、タッチパッド、または、グラフィック・タブレット等のポインティング・デバイス、スキャナ、ディスプレイに組み込まれたタッチスクリーン、音声認識システム及びマイクロフォン等の音声入力デバイス、並びに、他のタイプの入力デバイスを含むことができる。一般に、「入力デバイス」という用語の使用は、コンピュータ・システム200に情報を入力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。
【0065】
ユーザ・インタフェース出力デバイス216は、ディスプレイ・サブシステム、プリンタ、ファックス・マシン、または、オーディオ出力デバイス等の非視覚ディスプレイを含むことができる。ディスプレイ・サブシステムは、LEDディスプレイ、陰極線管(CRT)、液晶ディスプレイ(LCD)等のフラットパネル・デバイス、投影デバイス、または可視画像を作成するための何らかの他のメカニズムを含むことができる。ディスプレイ・サブシステムはまた、オーディオ出力デバイス等の非視覚ディスプレイを提供することができる。一般に、「出力デバイス」という用語の使用は、コンピュータ・システム200からユーザまたは別のマシンもしくはコンピュータ・システムに情報を出力するための全ての可能なタイプのデバイス及び方法を含むことが意図される。
【0066】
ストレージ・サブシステム208は、本明細書に記載のモジュール及び方法の一部または全部の機能を提供するプログラム及びデータ構造を記憶する。追加のサブシステム220は、グラフィックス処理ユニット(GPU)またはフィールド・プログラマブル・ゲートアレイ(FPGA)とすることができる。
【0067】
ストレージ・サブシステム208において使用されるメモリ・サブシステム210は、プログラム実行中の命令及びデータの記憶のためのメイン・ランダム・アクセス・メモリ(RAM)222と、固定命令が記憶される読み出し専用メモリ(ROM)224とを含む、幾つかのメモリを含むことができる。ファイル・ストレージ・サブシステム212は、プログラム及びデータ・ファイルのための持続性ストレージを提供することができ、ハードディスク・ドライブ、フロッピー・ディスク・ドライブと関連するリムーバブル・メディア、CD-ROMドライブ、光学ドライブ、または、リムーバブル・メディア・カートリッジを含むことができる。特定の実施態様の機能を実施するモジュールは、ファイル・ストレージ・サブシステム212によって、ストレージ・サブシステム208に、または、プロセッサ204によってアクセス可能な他のマシンに格納することができる。
【0068】
バス・サブシステム206は、コンピュータ・システム200の様々なコンポーネント及びサブシステムに、意図されたように互いに通信させるためのメカニズムを提供する。バス・サブシステム206は、単一のバスとして概略的に示されているが、バス・サブシステムの他に採り得る実施態様は、多数のバスを使用することができる。
【0069】
コンピュータ・システム200自体は、パーソナル・コンピュータ、ポータブル・コンピュータ、ワークステーション、コンピュータ端末、ネットワーク・コンピュータ、テレビ、メインフレーム、サーバ・ファーム、広範囲に分散した一連の疎結合コンピュータ、または、任意の他のデータ処理システムもしくはユーザ・デバイスを含む様々なタイプのものとすることができる。コンピュータ及びネットワークの絶えず変更する性質のために、
図2に示されるコンピュータ・システム200の説明は、本発明の好ましい実施形態を説明する目的のための特定の実施例としてのみ意図される。コンピュータ・システム200の多くの他の構成は、
図2に示されるコンピュータ・システム200よりも多いまたは少ないコンポーネントを有することが可能である。
[特定の実施態様]
【0070】
開示された技術は、ネットワークを介してドキュメントを悪意のあるコンテンツとシェアリングすることによって生じるフィッシング攻撃を防止するためのシステム及び方法に関し、シェアリングしたドキュメントは、ユーザを悪意のあるウェブサイトにリダイレクトするリンクを含み得る。1つの特定の実施態様では、クラウドベースの方法が、シェアリングしたドキュメントの所有者または発信者を識別することに基づいて、一連の規則及びポリシーを適用して、リンクされたドキュメント・ファイルが企業ネットワークへ入るのを許可するか、または、ドキュメント・ファイルがネットワークに入ることを制限する。
【0071】
開示された技術は、システム、方法、デバイス、製品、コンピュータ可読媒体、または、製造品として実施することができる。実施態様の1以上の特徴は、基本実施態様と組み合わせることができる。相互に排他的でない実施態様は、組み合わせ可能であると教示される。実施態様の1以上の特徴は、他の実施態様と組み合わせることができる。本開示は、これらのオプションをユーザに定期的に想起させる。幾つかの実施態様からのこれらのオプションを繰り返す記述の省略は、前のセクションで教示された組合せを限定するものとして解釈されるべきではない。これらの記述は、参照により、以下の実施態様のそれぞれに組み込まれる。
【0072】
クラウドベースのアプリケーションにおいて益々使用されるフィッシング方法の1つは、悪意のあるリンクされたドキュメント・ファイルを、Googleドライブを介してシェアリングすることである。フィッシング攻撃者はGoogleドライブで悪意のあるファイルを作成し、他のユーザとシェアリングする。エンドユーザがシェアリングしたドキュメントを開くと、エンドユーザが侵害される悪意のあるサイトにユーザをリダイレクトする。このフィッシング攻撃は、金融、戦略的計画、知的財産、顧客リスト、または、顧客もしくは従業員に属する個人を特定可能な情報等の機密の企業情報を侵害することを目的として、企業ユーザを対象とする。
【0073】
本技術の一実施態様では、Googleドライブ、Googleドキュメント/シート/スライド、Box、Dropbox、One Drive等のクラウド・ストレージ・アプリケーションを使用して、リンクされたドキュメント・ファイルをシェアリングしたユーザを識別するための解決策が提供される。リンクされたドキュメントは、企業ネットワーク内の企業ドキュメントとして識別されるか、または、ドキュメント・ファイルが企業ネットワーク外から発信されたものとして識別される。目標は、リンクされたドキュメントをシェアリングしたユーザを識別することである。企業ネットワーク用のネットワーク・セキュリティ・システムは、識別されていないシェアリングしたドキュメント・ファイルのアクセスを制限するインライン・ポリシーを提供する。
【0074】
一実施態様では、企業ネットワークからアクセス可能なクラウドベースのアプリケーションからのリンクされたドキュメント・ファイルをシェアリングすることによる企業ネットワークに対するフィッシング攻撃を軽減するための方法が提供される。ドキュメント・ファイルへのリンクには、悪意のあるコンテンツへの悪意のあるリンクが含まれる場合がある。請求項に記載された方法では、任意のリンクされたドキュメント・ファイルが悪意のあるコンテンツを含み得ると最初に仮定されており、請求項に記載された方法は多数のドキュメントに繰り返し適用される。
【0075】
ドキュメント・トラフィックは、企業ネットワークの外部に格納され、インライン・プロキシを介して企業ネットワークに転送されるリンクされたドキュメント・ファイルを含み得る。インライン・プロキシは、APIアクセスに応答して、シェアリングを受け入れるか、或いは、企業ネットワークにアクセス可能なクラウドベースのアプリケーションを介してリンクされたドキュメントにアクセスする。インライン・プロキシは、ネットワークに入ってくるドキュメント・ファイルを傍受し、最初に、リンクされたドキュメントが企業ネットワークの内部または外部から入ってくるかどうかを判定する。企業ネットワーク内にあると判定されたドキュメントは、アクセスが許可される。これには、企業ネットワークから遠隔に位置する企業デバイスから発信されるドキュメント・ファイルが含まれる。他の全てのドキュメント・ファイルは、企業ネットワークに入る前に、最初に制限される。これらのドキュメントは、更なる処理を必要とする。
【0076】
この特定の実施態様の一部として、ネットワークは、発信者の識別または所有者に部分的に基づいて、制限されたドキュメントがネットワーク・セキュリティ・システムによってどのように処理されるかを判定するポリシーを含む。ドキュメント・トラフィックは、多くの場合、リンクされたドキュメントの出所のインジケータを提供する。ドキュメント・トラフィックが所有者を判定しない場合、ドキュメントのソースを問い合わせる等の他の方法が有用である。
【0077】
幾つかのドキュメントは、信頼できるソースに由来する認可ドキュメントであると判定される。ソースは、例として、Cisco、Netskope、及び、Juniper等の他の企業ネットワークを含み得る。既知の信頼できるソースのリストは、メタデータ・ストア内に保持される。このカテゴリの認可されたドキュメントは、それ以上の処理を行わずに、企業ネットワークへのアクセスが可能となる。
【0078】
どの時点においても、多数のドキュメントは、制限が維持され、未知または未認可のドキュメントとして分類される。つまり、所有者は判定されていない。これらのリンクされたドキュメントは、どの時点においても多数のドキュメントであり得て、それらがどのように処理されるかを判定するためのネットワーク・セキュリティ・システム・ポリシーベースのルールに従う。所有者が安全なソースからのものであると成功裏に判定されるリンクされたドキュメントの場合では、ドキュメントは企業ネットワーク内に入ることが許可される。身元が不明である場合、リンクされたドキュメントは、更なる処理のために隔離される。隔離されたドキュメントは、ネットワークへ侵入しないよう分離される。隔離されたドキュメントは、ドキュメントのコンテンツの脅威スキャンを受けて、悪意のあるサイトへの悪意のあるリンクを含むかどうかが判定され得る。ドキュメントに悪意のあるリンクがないと判定された場合、ドキュメントは、企業ネットワークへのアクセスが許可される。リンクされたドキュメントの所有者は、GUIDによってシステムにログインされる。同じGUIDに基づくドキュメントとそれ以降のドキュメントが許可される。
【0079】
ユーザを悪意のあるウェブサイトにリダイレクトする悪意のあるリンクがドキュメントに含まれている場合、ドキュメントはネットワークへの侵入がブロックされる。1つの特定の実施態様では、ブロックされたドキュメントは、企業ネットワークから完全に分離されたソフトウェア環境において、更なる分析のためにサンドボックスに入る。更なる実施態様では、ブロックされたドキュメントは、それらの関連する悪意のあるウェブサイトとともに、ブラックリストに載るドキュメントとして分類され得る。メタデータ・ストアは、これらの悪意のあるウェブサイトのリストを保持し、悪意のあるウェブサイトに関連する如何なるドキュメントも、自動的にブラックリストに入れられる。
【0080】
別の実施態様では、該方法は、ドキュメントの所有者を個人または企業として識別することを含む。別の実施態様では、受け入れられたドキュメント・ファイルがCRCコード及びファイル・サイズによって更に識別される。
【0081】
幾つかの実施態様では、ネットワーク管理者が企業ネットワーク上でアクセスされているドキュメントを監視することができる。ネットワーク管理者は更に、企業ネットワークの外部から発信された公開ドキュメントにアクセスするユーザを監視することができ、更に、ネットワーク管理者は、企業ネットワーク内のドキュメント・アクセスを許可または制限するための制御機能を有する。
【0082】
場合によっては、企業ネットワーク内の部門間の機密情報の交換を制限することが有益である。例えば、企業の財務情報は一般に、全ての企業グループに亘ってシェアリングされるわけではない。人事情報のシェアリングは、ユーザが雇用関連の職務を遂行するために必要な場合に限るものとする。知的財産及び開発情報は、顧客リスト及び連絡先とともに高度に分類されるべきである。一方、特定の機密データの交換は、企業ネットワーク内の特定の指定された部門間では、アクセス可能であるべきである。これらは、多くの場合、部門または製品グループ間の情報の配布に関する企業ポリシーによって判定される個々の判定事項である。更に、場合によっては、企業ユーザがドキュメントを一連の信頼できる外部インスタンスとシェアリングすることが有益である。更に、企業グループと信頼できる外部ユーザとの間の協働を可能にすることも有益である。セキュリティ管理者は、一実施態様では、ドキュメントのシェアリングを特定のグループ間で許可するか、特定のグループ間で制限するかを事前に判定する。
【0083】
このシステムの実施態様及び開示された他のシステムは、以下の特徴の1以上を任意に含む。請求項に記載されたシステムはまた、開示された方法に関連して開示される特徴を含むことができる。簡潔にするために、システムの特徴の他に取り得る組み合わせは、個々に列挙されない。システム、方法、及び、製造品に適用可能な特徴は、基本特徴の法定部類のセット毎に繰り返されていない。読者は、このセクションで識別された特徴が、他の法定部類の基本特徴とどのように容易に組み合わせることができるかを理解するであろう。システムの実施態様のこの特定の実施態様のセクションで説明した特徴のそれぞれは、方法の実施態様にも同様に適用される。上述したように、全てのシステムの特徴は、ここでは繰り返されず、参照により、繰り返されると考えられるべきである。
【0084】
このシステムの実施態様では、企業ネットワークからアクセス可能なクラウドベースのアプリケーションからのリンクされたドキュメント・ファイルのシェアリングを介しての企業ネットワークに対するフィッシング攻撃を軽減するためのシステムが提供され、ドキュメント・ファイルへのリンクは、悪意のあるコンテンツへのリンクを含み得る。この実施態様では、ネットワーク・セキュリティ・システムは、評価エンジンと、ネットワーク・ポリシー・ストアと、脅威スキャナと、サンドボックスとを備える。インライン・プロキシは、企業ネットワークにアクセス可能なクラウドベースのアプリケーションによってシェアリングまたはアクセスされているリンクされたドキュメント・ファイルを傍受するために、評価エンジン及びメタデータ・ストアと通信する。
【0085】
ドキュメントの継続的なストリームからの各ドキュメントは、企業ネットワークに入ることが許可される前に、そのソースまたは所有者を識別するために評価される。インライン・プロキシは、評価エンジン及びメタデータ・ストアに接続して、リンクされたドキュメント・ファイルが企業ネットワーク内から来るのか、または、企業ネットワーク外から来るのかを判定する。企業ネットワーク内から来るドキュメントは、企業ネットワークへの無制限のアクセスが許可される。企業ネットワーク外からのドキュメントに対しては、ポリシーベースのルールが適用され、システムによりドキュメントに対する処理方法が判定される。
【0086】
第1のケースでは、既知の信頼できるソースに由来するリンクされたドキュメント・ファイルが企業ネットワークに入ることが許可される。未知のドキュメントは、ドキュメントの所有者が最初に判定される間、最初に制限される。この場合、企業ネットワークへの侵害の危険性は常に、未確認の悪意のあるリンクされたドキュメントから生じ、該ドキュメントは、所有者が判定され得る間、最初は制限されている。インライン・プロキシ、評価エンジン、及び、メタデータ・ストアは、少なくとも第1のドキュメントについて、リンクされたドキュメント・ファイルが信頼できるソースからの認可されたドキュメントであることを判定する。認可されたドキュメントは、企業ネットワークへの評価が許可されている。
【0087】
インライン・プロキシ、評価エンジン、及び、メタデータ・ストアは、少なくとも第2のドキュメントについて、リンクされたドキュメントが信頼できるソースからではない未知または未認可のドキュメントであると判定し、ドキュメントの所有者を識別し、所有者に基づいてポリシー・ルールを適用して、リンクされたドキュメントが企業ネットワーク内に入るのを許可されるか、または、隔離されるかを判定する。
【0088】
システムは、リンクされたドキュメントのコンテンツを、悪意のあるリンクについてスキャンするための脅威スキャナを含む。少なくとも1つの第3のドキュメントに対して、システムは、リンクされたドキュメントが悪意のあるリンクを含み、ブロックされ、もしかするとサンドボックスされていると判定する。
【0089】
少なくとも1つの第4のドキュメントに対して、評価エンジンは、ドキュメントが悪意のあるリンクを含んでいないと判定する。所有者に関連付けられたGUIDが記録され、ドキュメント・ファイルは、少なくとも同じGUIDに基づいて、企業ネットワーク及び継続する後続のファイルへのアクセスが許可される。
【0090】
開示された技術はまた、一般にDNS接続を介して実装される、データの引き出し等のフィッシング攻撃の他のベクトルを軽減するために使用され得る。このフィッシング攻撃方法では、信頼できない外部関係者が企業のデバイス・インサイダーと安全なドキュメントをシェアリングする。インサイダーは、機密データをその中に配置することによってドキュメントを意図せずに編集することができ、即座にそのデータが信頼できない外部ユーザに利用可能になる。
【国際調査報告】