KR20210065687A - Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information - Google Patents

Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information Download PDF

Info

Publication number
KR20210065687A
KR20210065687A KR1020190154728A KR20190154728A KR20210065687A KR 20210065687 A KR20210065687 A KR 20210065687A KR 1020190154728 A KR1020190154728 A KR 1020190154728A KR 20190154728 A KR20190154728 A KR 20190154728A KR 20210065687 A KR20210065687 A KR 20210065687A
Authority
KR
South Korea
Prior art keywords
asset
damage
score
cyber
importance
Prior art date
Application number
KR1020190154728A
Other languages
Korean (ko)
Other versions
KR102291142B1 (en
Inventor
김이형
구성모
김상수
오행록
임선영
류한얼
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020190154728A priority Critical patent/KR102291142B1/en
Publication of KR20210065687A publication Critical patent/KR20210065687A/en
Application granted granted Critical
Publication of KR102291142B1 publication Critical patent/KR102291142B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Educational Administration (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Computer Hardware Design (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Game Theory and Decision Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

A cyber asset damage analyzing device using system operation state information, a method thereof, a recording medium thereof and a computer program thereof are introduced. Among those, the cyber asset damage analyzing device comprises: a system state evaluation unit that inquires for operation state information of a cyber asset including a network-enabled utility and calculates a system state score according to a preset system state calculation standard based on the inquired operation state information; and an asset damage analysis unit that calculates a damage evaluation score that is a degree, at which the cyber asset is damaged, by applying the calculated system state score to a CVSS for evaluating damage of the cyber asset.

Description

시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램{APPARATUS, METHOD, STORAGE MEDIUM OF STORING PROGRAM AND COMPUTER PROGRAM FOR ANALYZING CYBER ASSETS DAMAGE USING SYSTEM OPERATION STATUS INFORMATION}Apparatus, method, recording medium and computer program for cyber asset damage analysis using system operation status information

본 발명은 시스템 운용 상태 정보를 이용하여 피해를 분석하는 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램에 관한 것이다. The present invention relates to a cyber asset damage analysis apparatus, method, recording medium and computer program using system operation state information for analyzing damage using system operation state information.

인터넷에 연결된 사이버 자산이 늘어남에 따라 사이버 자산의 취약점을 악용하는 공격이 증가하고 있다. 사이버 공격이 증가하면서 이로 인한 사이버 자산의 피해도 심각해지고 있다.As the number of cyber assets connected to the Internet increases, attacks that exploit vulnerabilities in cyber assets are increasing. As cyber attacks increase, the damage to cyber assets is also increasing.

종래에는 CVSS(Common Vulnerability Scoring System)를 이용하여 알려진 취약점 점수를 이용하여 사이버 자산의 보안 상태 메트릭으로 사용하였다.Conventionally, a vulnerability score known using a Common Vulnerability Scoring System (CVSS) was used as a security status metric for cyber assets.

그러나 CVSS만을 이용하는 경우 실제 환경과 동적인 시스템 상태를 반영하지 못하므로, 동일한 취약점을 가졌지만 시스템 상태가 다른 사이버 자산에 대해서 동일한 취약점 점수가 나오게 되는 문제점이 있다.However, when only CVSS is used, the real environment and dynamic system state cannot be reflected, so there is a problem in that the same vulnerability score is obtained for cyber assets having the same vulnerabilities but different system states.

이에 따라, 사이버 자산 피해평가를 현실성 있게 하기 위해서는 시스템 상태정보와 자산 중요도 산정 값을 반영하여 실제 시스템 상태와 환경을 고려하는 기술이 필요하다.Accordingly, in order to make the cyber asset damage assessment realistic, it is necessary to have a technology that considers the actual system state and environment by reflecting system state information and asset importance calculation values.

한국등록특허 제10-0623552호 (2006. 09. 06 등록)Korean Patent Registration No. 10-0623552 (Registered on Sep. 06, 2006)

본 발명이 해결하고자 하는 과제는, 사이버 자산의 취약점 식별 결과를 기반으로 기준 점수를 산정하고, 기준 점수에 중요도 등급값 및 시스템 상태 점수를 반영하여 피해 평가 점수를 산출하는 자산 피해 분석부를 제공함으로써 시스템의 현재 상태를 반영하여 동적인 환경 변화에 따른 사이버 자산 피해 평가를 수행할 수 있는 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램을 제공하는 것이다. The problem to be solved by the present invention is to provide an asset damage analysis unit that calculates a reference score based on the vulnerability identification result of a cyber asset, and calculates a damage evaluation score by reflecting the importance rating value and system state score in the reference score. To provide a cyber asset damage analysis device, method, recording medium and computer program using system operation status information that can perform cyber asset damage assessment according to dynamic environmental changes by reflecting the current status of

또한, 본 발명이 해결하고자 하는 과제는, 군 환경에 맞게 자산과 연관된 과업과 임무의 중요도를 반영하여 동일 자산이라도 해당 자산과 연관된 과업과 임무의 중요도에 따라 피해평가 값을 보정할 수 있는 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램을 제공하는 것이다. In addition, the problem to be solved by the present invention is to reflect the importance of tasks and missions related to assets in accordance with the military environment, even for the same asset, depending on the importance of the tasks and tasks related to the asset. To provide an apparatus, method, recording medium, and computer program for analyzing cyber asset damage using state information.

다만, 본 발명이 해결하고자 하는 과제는 이상에서 언급한 바로 제한되지 않으며, 언급되지는 않았으나 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있는 목적을 포함할 수 있다.However, the problem to be solved by the present invention is not limited as mentioned above, and although not mentioned, it includes the purpose that can be clearly understood by those of ordinary skill in the art to which the present invention belongs from the description below. can do.

본 발명의 일 실시예에 따른 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치는, 네트워크가 가능한 유틸리티를 포함하는 사이버 자산의 운용 상태 정보를 조회하고, 조회된 상기 운용 상태 정보를 기반으로 하여 기 설정된 시스템 상태 산정 기준에 따라, 시스템 상태 점수를 산정하는 시스템 상태 평가부; 및 산정한 상기 시스템 상태 점수를 사이버 자산의 피해를 평가하는 CVSS(Common Vulnerability Scoring System)에 적용하여, 상기 사이버 자산이 피해를 입은 정도인 피해 평가 점수를 산출하는 자산 피해 분석부를 포함할 수 있다.The cyber asset damage analysis apparatus using system operation state information according to an embodiment of the present invention inquires the operational state information of a cyber asset including a network-enabled utility, and a preset setting based on the inquired operational state information a system state evaluation unit that calculates a system state score according to a system state calculation standard; and an asset damage analysis unit that applies the calculated system state score to a Common Vulnerability Scoring System (CVSS) that evaluates the damage of the cyber asset, and calculates a damage evaluation score that is the degree to which the cyber asset is damaged.

또한, 본 발명의 일 실시예에 따른 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법은, 네트워크가 가능한 유틸리티를 포함하는 사이버 자산의 운용 상태 정보를 조회하고, 조회된 상기 운용 상태 정보를 기반으로 하여 기 설정된 시스템 상태 산정 기준에 따라, 시스템 상태 점수를 산정하는 단계; 및 산정한 상기 시스템 상태 점수를 사이버 자산의 피해를 평가하는 CVSS(Common Vulnerability Scoring System)에 적용하여, 상기 사이버 자산이 피해를 입은 정도인 피해 평가 점수를 산출하는 단계를 포함할 수 있다.In addition, the cyber asset damage analysis method using system operation state information according to an embodiment of the present invention inquires the operational state information of a cyber asset including a network-enabled utility, and based on the inquired operational state information, calculating a system state score according to a preset system state calculation standard; and applying the calculated system state score to a Common Vulnerability Scoring System (CVSS) that evaluates damage to a cyber asset, and calculating a damage evaluation score that is a degree to which the cyber asset is damaged.

또한, 본 발명의 일 실시예에 따른 컴퓨터 판독 가능한 기록매체는, 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서, 상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면, 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함할 수 있다.In addition, the computer-readable recording medium according to an embodiment of the present invention is a computer-readable recording medium storing a computer program, and when the computer program is executed by a processor, cyber asset damage using system operation state information It may include instructions for causing the processor to perform the analysis method.

또한, 본 발명의 일 실시예에 따른 컴퓨터 프로그램은, 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면, 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함할 수 있다.In addition, the computer program according to an embodiment of the present invention is a computer program stored in a computer-readable recording medium, and when the computer program is executed by a processor, a cyber asset damage analysis method using system operation state information is performed. It may include instructions to be executed by the processor.

본 발명의 실시예에 따르면, 사이버 자산의 취약점 식별 결과를 기반으로 기준 점수를 산정하고, 기준 점수에 중요도 등급값 및 시스템 상태 점수를 반영하여 피해 평가 점수를 산출하는 자산 피해 분석부를 제공함으로써 시스템의 현재 상태를 반영하여 동적인 환경 변화에 따른 사이버 자산 피해 평가를 수행할 수 있다.According to an embodiment of the present invention, by providing an asset damage analysis unit that calculates a reference score based on the vulnerability identification result of the cyber asset, and calculates a damage evaluation score by reflecting the importance rating value and the system state score in the reference score, the system By reflecting the current state, it is possible to perform cyber asset damage assessment according to dynamic environmental changes.

또한, 본 발명의 실시예에 따르면, 군 환경에 맞게 자산과 연관된 과업과 임무의 중요도를 반영하여 동일 자산이라도 해당 자산과 연관된 과업과 임무의 중요도에 따라 피해평가 값을 보정할 수 있다.In addition, according to an embodiment of the present invention, the damage evaluation value may be corrected according to the importance of the task and the task related to the asset even for the same asset by reflecting the importance of the task and the mission related to the asset in accordance with the military environment.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다. The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned may be clearly understood by those of ordinary skill in the art to which the present disclosure belongs from the description below. will be.

도 1은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치를 나타낸 블록도이다.
도 2는 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치의 시스템 상태 평가부를 나타낸 블록도이다.
도 3은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치의 자산 피해 분석부를 나타낸 블록도이다.
도 4는 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법을 나타낸 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 사이버 자산의 중요도 등급값을 산정하는 방법을 나타낸 흐름도이다.
도 6 및 도 7은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법 사이버 자산의 중요도 평가를 설명하기 위한 도면이다.
도 8은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치의 자산 피해 분석부를 통해 산출된 자산 피해평가 산출 화면이다.
도 9는 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 시스템 상태 점수를 산정하는 방법을 나타낸 흐름도이다.
도 10은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 피해 평가 점수를 산출하는 방법을 나타낸 흐름도이다.
도 11은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 피해 평가 점수를 산출하는 방법을 구체적으로 나타낸 흐름도이다.1 is a block diagram illustrating a cyber asset damage analysis apparatus according to an embodiment of the present invention.
2 is a block diagram illustrating a system state evaluation unit of a cyber asset damage analysis apparatus according to an embodiment of the present invention.
3 is a block diagram illustrating an asset damage analysis unit of a cyber asset damage analysis apparatus according to an embodiment of the present invention.
4 is a flowchart illustrating a cyber asset damage analysis method according to an embodiment of the present invention.
5 is a flowchart illustrating a method of calculating an importance rating value of a cyber asset in a cyber asset damage analysis method according to an embodiment of the present invention.
6 and 7 are diagrams for explaining the importance evaluation of cyber assets in a method for analyzing cyber asset damage according to an embodiment of the present invention.
8 is an asset damage evaluation calculation screen calculated through the asset damage analysis unit of the cyber asset damage analysis apparatus according to an embodiment of the present invention.
9 is a flowchart illustrating a method of calculating a system state score in a cyber asset damage analysis method according to an embodiment of the present invention.
10 is a flowchart illustrating a method of calculating a damage evaluation score in a cyber asset damage analysis method according to an embodiment of the present invention.
11 is a flowchart specifically illustrating a method of calculating a damage evaluation score in a cyber asset damage analysis method according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명의 범주는 청구항에 의해 정의될 뿐이다.Advantages and features of the present invention and methods of achieving them will become apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various forms, and only these embodiments allow the disclosure of the present invention to be complete, and those of ordinary skill in the art to which the present invention pertains. It is provided to fully inform the person of the scope of the invention, and the scope of the invention is only defined by the claims.

본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명은 본 발명의 실시예들을 설명함에 있어 실제로 필요한 경우 외에는 생략될 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, detailed descriptions of well-known functions or configurations will be omitted except when it is actually necessary to describe the embodiments of the present invention. In addition, the terms to be described later are terms defined in consideration of functions in an embodiment of the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the content throughout this specification.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예들을 포함할 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로서 이해되어야 한다.The present invention is capable of making various changes and may include various embodiments, and specific embodiments are illustrated in the drawings and described in the detailed description. However, this is not intended to limit the present invention to specific embodiments, and should be understood as including all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

제 1, 제 2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 이와 같은 용어들에 의해 한정되지는 않는다. 이 용어들은 하나의 구성요소들을 다른 구성요소로부터 구별하는 목적으로만 사용된다.Terms including an ordinal number such as 1st, 2nd, etc. may be used to describe various components, but the components are not limited by these terms. These terms are used only for the purpose of distinguishing one component from another.

어떤 구성요소가 다른 구성요소에 '연결되어' 있다거나 '접속되어' 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.When it is said that an element is 'connected' or 'connected' to another element, it is understood that it may be directly connected or connected to the other element, but other elements may exist in between. it should be

본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치(10)는, 사이버 공격에 대한 정확한 임무 영향성을 평가하고 이에 맞게 대응하기 위해 사이버 자산에 대한 피해를 파악할 수 있다. The cyber asset damage analysis apparatus 10 according to an embodiment of the present invention may determine the damage to the cyber asset in order to accurately evaluate the impact of the mission on the cyber attack and respond accordingly.

예를 들어, 사이버 자산 피해 분석 장치(10)는 사이버 자산 피해평가를 현실성 있게 하기 위해 시스템 상태 정보와 자산 중요도 산정 값을 반영하여 실제 시스템 상태와 환경을 고려하며, 시스템 상태 정보와 자산 중요도 산정 값을 반영한 사이버 피해 분석 방법을 수행할 수 있다.For example, the cyber asset damage analysis device 10 considers the actual system state and environment by reflecting the system state information and the asset importance estimation value to make the cyber asset damage assessment realistic, and the system state information and the asset importance estimation value A cyber damage analysis method that reflects

도 1을 참조하면, 이러한 사이버 자산 피해 분석 장치(10)는 자산 중요도 평가부(100), 시스템 상태 평가부(200), 자산 피해 분석부(300)를 포함할 수 있다.Referring to FIG. 1 , the cyber asset damage analysis device 10 may include an asset importance evaluation unit 100 , a system state evaluation unit 200 , and an asset damage analysis unit 300 .

구체적으로, 자산 중요도 평가부(100)는 컴퓨팅 환경 내 하나 이상의 네트워크가 가능한 유틸리티를 포함하는 사이버 자산의 임무에 영향을 미치는 정도에 대한 중요도 등급값을 산정한다.Specifically, the asset importance evaluation unit 100 calculates the importance rating value for the degree to which one or more networks in the computing environment affect the mission of the cyber asset including the available utility.

여기서, 사이버 자산(20)은, 서버(21), 네트워크 장비(22) 및 보안 장비(23)를 포함할 수 있다. 상기 자산 중요도 평가부(100)는, 기 분류된 사이버 자산(20)의 속성에 따라 특정 자산을 식별하고, 상기 특정 자산별로 평가 요소 항목을 구분하여 중요도를 평가한다. 평가 요소 항목은, 기밀성(Confidentiality), 무결성(Integrity) 및 가용성(Availability)을 포함하는 항목들 중 어느 하나 또는 복수를 조합하여 이루어질 수 있다.Here, the cyber asset 20 may include a server 21 , a network device 22 , and a security device 23 . The asset importance evaluation unit 100 identifies a specific asset according to the pre-classified properties of the cyber asset 20 , classifies evaluation element items for each specific asset, and evaluates the importance. The evaluation element item may be made by combining any one or a plurality of items including confidentiality (Confidentiality), integrity (Integrity), and availability (Availability).

기밀성(Confidentiality)은 인가(authorization)된 사용자만 정보 자산에 접근할 수 있는 것을 의미하며, 비인가자의 정보에 대한 접근을 막는 역할을 한다. 예를 들어, 방화벽이나 암호, 패스워드 같은 것들을 포함한다.Confidentiality means that only authorized users can access information assets, and serves to prevent unauthorized access to information. Examples include firewalls, passwords, passwords, etc.

무결성(Integrity)은 적절한 권한을 가진 사용자에 의해 인가된 방법으로만 정보를 변경할 수 있도록 하는 것이다. 예컨대 메신저에서 제1 사용자가 대화명을 설정한 후, 제2 사용자가 대화명을 임의로 바꾸어 원하지 않은 대화명으로 변경한 경우, 대화명은 공개되는 정보이므로 기밀성은 영향을 받지 않지만 무결성은 잃게 된다.Integrity is to ensure that information can be changed only in a way authorized by a user with appropriate privileges. For example, when the first user sets a nickname in the messenger and then the second user arbitrarily changes the nickname to an unwanted nickname, since the nickname is public information, confidentiality is not affected, but integrity is lost.

가용성(Availability)은 정보 자산에 대해 적절한 시간에 접근 가능한 것을 의미한다.Availability refers to the availability of timely access to information assets.

자산 중요도 평가부(100)는, 사용자로부터 상기 평가 요소 항목에 따른 평가 점수를 입력 받고, 기 설정된 평가 요소 항목을 기초로 하여 상기 평가 점수에 따른 중요도 등급값을 산정한 후 산정한 상기 중요도 등급값을 데이터 베이스(41)에 저장한다.The asset importance evaluation unit 100 receives the evaluation score according to the evaluation element item from the user, calculates the importance rating value according to the evaluation score based on the preset evaluation element item, and then calculates the importance rating value is stored in the database 41 .

자산 중요도 평가부(100)는, 자산의 중요도를 서버, 네트워크 장비, 보안 장비에 따라 각기 다른 평가요소를 가지고 중요도를 평가하며, 수동 평가 요소뿐만 아니라 현재 상태를 반영할 수 있는 자동 평가요소도 포함하여 정적뿐만 아니라 동적인 중요도도 반영할 수 있다.The asset importance evaluation unit 100 evaluates the importance of the asset with different evaluation elements according to the server, network equipment, and security equipment, and includes not only manual evaluation elements but also automatic evaluation elements that can reflect the current state. Thus, not only static but also dynamic importance can be reflected.

시스템 상태 평가부(200)는 서버(21), 네트워크 장비(22), 보안 장비(23) 세 종류의 자산에 대해 시스템 상태를 평가한다.The system state evaluation unit 200 evaluates the system state for three types of assets: the server 21 , the network equipment 22 , and the security equipment 23 .

시스템 상태 평가부(200)는 실시간으로 저장되는 상기 사이버 자산의 운용 상태 정보를 조회하고, 기 설정된 시스템 상태 산정 기준에 따라, 상기 운용 상태 정보를 기반으로 시스템 상태 점수를 산정한다.The system state evaluation unit 200 inquires the operational state information of the cyber asset stored in real time, and calculates a system state score based on the operational state information according to a preset system state calculation standard.

여기서, 운용 상태 정보는, 트래픽 송수신량, 세션의 수, 중앙처리유닛(CPU) 사용량, 시스템의 총 메모리 사용량 및 실행중인 프로세스(Process)의 수를 포함하는 정보들 중 어느 하나 또는 복수를 조합하여 이루어진다.Here, the operation state information is obtained by combining any one or a plurality of information including the amount of traffic transmission/reception, the number of sessions, the central processing unit (CPU) usage, the total memory usage of the system, and the number of running processes. is done

종래, 사이버 자산의 피해를 평가하기 위한 CVSS(Common Vulnerability Scoring System, 공통 취약점 평가 시스템)만을 가지고 피해를 평가하였으며, 이에 따라, 종래 CVSS은 실제 환경과 동적인 시스템 상태를 반영하지 못하므로, 동일한 취약점을 가졌지만 시스템 상태가 다른 사이버 자산에 대해서 동일한 취약점 점수가 나왔으나, 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치는, 시스템 상태 평가부를 이용하여 시스템의 현재 상태를 반영하여 동적인 환경 변화도 반영할 수 있다.Conventionally, damage was evaluated using only CVSS (Common Vulnerability Scoring System) for evaluating the damage of cyber assets. Accordingly, the conventional CVSS does not reflect the real environment and dynamic system state, so the same vulnerability Although the same vulnerability score was obtained for cyber assets with different system states, the cyber asset damage analysis apparatus according to an embodiment of the present invention uses a system state evaluation unit to reflect the current state of the system to dynamically change the environment. can also be reflected.

여기서, CVSS(Common Vulnerability Scoring System)은, 공통 취약점 등급 시스템(Common Vulnerability Scoring System)의 준말로, 취약점의 위험성을 나타내는 표준이다. CVSS(Common Vulnerability Scoring System)은, 종래 취약점 점수를 이용하여 사이버 자산의 보안 상태 메트릭으로 사용하는 CVSS와 대응되는 개념이므로, 이에 대한 자세한 설명은 생략하기로 한다.Here, CVSS (Common Vulnerability Scoring System) is an abbreviation of Common Vulnerability Scoring System, and is a standard indicating the risk of vulnerabilities. Since CVSS (Common Vulnerability Scoring System) is a concept corresponding to CVSS used as a security state metric of cyber assets using conventional vulnerability scores, a detailed description thereof will be omitted.

자산 피해 분석부(300)는 사이버 공격을 받은 자산의 취약점, 자산 중요도, 시스템 상태, 임무 중요도, 과업 중요도를 반영하여 자산의 피해평가 점수를 산출할 수 있다. 사이버 자산의 취약점 식별 결과는, 위협에 대한 일련 번호와 함께 데이터 베이스(40)에 저장되어 취합될 수 있다. 자산 피해 분석부(300), 외부의 메시지 관리부(30)로부터 기 취합된 사이버 자산의 취약점 식별 결과를 조회할 수 있는 상기 일련 번호를 취약점 식별 메시지로 수신 받는다. 여기서, 취약점 식별 메시지는 일련 번호뿐만 아니라 항목 식별자, 날짜, 일련번호 및 표본값을 더 포함할 수 있다.The asset damage analysis unit 300 may calculate a damage evaluation score of the asset by reflecting the vulnerability of the cyber-attacked asset, asset importance, system state, mission importance, and task importance. The vulnerability identification result of the cyber asset may be stored and collected in the database 40 together with the serial number for the threat. From the asset damage analysis unit 300 and the external message management unit 30 , the serial number for inquiring the previously collected vulnerability identification results of cyber assets is received as a vulnerability identification message. Here, the vulnerability identification message may further include an item identifier, a date, a serial number, and a sample value as well as a serial number.

자산 피해 분석부(300)는 기 취합된 사이버 자산의 취약점 식별 결과를 기반으로 기준 점수를 산정하고, 상기 기준 점수에 상기 중요도 등급값 및 상기 시스템 상태 점수를 반영하여 피해 평가 점수를 산출하여, 실제 상태와 환경에 맞게 사이버 자산의 피해를 분석한다.The asset damage analysis unit 300 calculates a reference score based on the previously collected vulnerability identification results of cyber assets, and calculates a damage evaluation score by reflecting the importance rating value and the system state score in the reference score, Analyze the damage of cyber assets according to the state and environment.

자산 피해 분석부(300)는 군 환경에 맞게 자산과 연관된 과업과 임무의 중요도도 산정하여 반영한다. 이는 동일 자산이라도 해당 자산과 연관된 과업과 임무의 중요도에 따라 피해평가 값을 보정할 수 있다.The asset damage analysis unit 300 also calculates and reflects the importance of tasks and missions related to assets according to the military environment. Even if it is the same asset, the damage assessment value can be corrected according to the importance of tasks and missions related to the asset.

이에 따라, 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치(10)는 사이버 공격을 받을 수 있는 사이버 자산들(서버, 네트워크 장비, 보안 장비)의 피해도를 파악하여 대응 및 복구의 시급성을 판단하고 의사결정자가 의사결정을 내리는 것을 지원할 수 있는 소프트웨어로서 활용이 가능하다.Accordingly, the cyber asset damage analysis apparatus 10 according to an embodiment of the present invention identifies the degree of damage to cyber assets (server, network equipment, and security equipment) that may be subjected to a cyber attack, thereby reducing the urgency of response and recovery. It can be used as software that can make decisions and support decision makers in making decisions.

여기서, 자산 중요도 평가부(100)에서 산정한 중요도 등급값, 시스템 상태 평가부(200)에서 산정한 시스템 상태 점수, 자산 피해 분석부(300)에서 산출한 피해 평가 점수는, 각각의 데이터 베이스(41, 42, 43)에 저장될 수 있으며, 데이터 베이스(40)는 장치에 포함될 수도 있으며, 각각의 데이터 베이스는 통합될 수도 있다.Here, the importance rating value calculated by the asset importance evaluation unit 100, the system state score calculated by the system state evaluation unit 200, and the damage evaluation score calculated by the asset damage analysis unit 300 are, in each database ( 41 , 42 , 43 , the database 40 may be included in the device, and each database may be integrated.

도 2는 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치의 시스템 상태 평가부를 나타낸 블록도이다.2 is a block diagram illustrating a system state evaluation unit of a cyber asset damage analysis apparatus according to an embodiment of the present invention.

도 2를 참조하면, 시스템 상태 평가부(200)는 상태 정보 조회부(210), 영향 추정부(220), 평균값 산출부(230), 상태 점수 산정부(240)를 포함한다.Referring to FIG. 2 , the system state evaluation unit 200 includes a state information inquiry unit 210 , an influence estimation unit 220 , an average value calculation unit 230 , and a state score calculation unit 240 .

시스템 상태 평가부(200)는 실시간으로 저장되는 상기 사이버 자산의 운용 상태 정보를 조회하고, 상기 운용 상태 정보를 기반으로 시스템 상태 점수를 산정한다. 여기서, 운용 상태 정보는, 트래픽 송수신량, 세션의 수, 중앙처리유닛(CPU) 사용량, 시스템의 총 메모리 사용량 및 실행중인 프로세스(Process)의 수를 포함하는 정보들 중 어느 하나 또는 복수를 조합하여 이루어진다.The system state evaluation unit 200 inquires the operational state information of the cyber asset stored in real time, and calculates a system state score based on the operational state information. Here, the operation state information is obtained by combining any one or a plurality of information including the amount of traffic transmission/reception, the number of sessions, the central processing unit (CPU) usage, the total memory usage of the system, and the number of running processes. is done

상태 정보 조회부(210)는 데이터 베이스(40)에 실시간으로 저장되는 상기 사이버 자산의 운용 상태 정보를 조회한다.The state information inquiry unit 210 inquires the operational state information of the cyber asset stored in the database 40 in real time.

영향 추정부(220)는 조회된 상기 운용 상태 정보를 기반으로 상기 사이버 자산 운용에 미치는 영향을 추정하여 시스템 상태값으로 수치화한다.The impact estimator 220 estimates the impact on the cyber asset management based on the inquired operation state information and quantifies it as a system state value.

평균값 산출부(230)는 기 설정된 기간 동안 조회된 상기 운용 상태 정보들에 따른 시스템 상태값들의 평균값을 산출한다.The average value calculating unit 230 calculates an average value of the system state values according to the operation state information inquired for a preset period.

상태 점수 산정부(240)는 기 설정된 시스템 상태 산정 기준에 따라, 상기 시스템 상태값들의 평균값과 마지막으로 조회된 운용 상태 정보에 따른 시스템 상태값을 비교하여 상기 시스템 상태 점수를 산정한다.The state score calculating unit 240 calculates the system state score by comparing the average value of the system state values with the system state value according to the last inquired operating state information according to a preset system state calculation standard.

구체적으로, 현재 시스템 상태 값이 존재하면 지난 일주일간 시스템 상태 평균 값을 조회한다. 지난 일주일간 시스템 상태 평균 값 대비 현재 시스템의 상태 값의 비율(ratio)에 따라 시스템 상태 점수(state)를 산정한다. 기 설정된 시스템 상태 산정 기준은 아래와 같다.Specifically, if the current system state value exists, the average value of the system state for the past week is inquired. The system state score (state) is calculated according to the ratio of the current system state value to the average system state value for the past week. The preset system state calculation criteria are as follows.

state = 0.0 (20% 이하의 영향): 0.8 <= ratio <= 1 or 1 <= ratio <= 1.2state = 0.0 (influence less than 20%): 0.8 <= ratio <= 1 or 1 <= ratio <= 1.2

state = 0.1 (30% 이하의 영향): 0.7 <= ratio < 0.8 or 1.2 < ratio <= 1.3state = 0.1 (influence less than 30%): 0.7 <= ratio < 0.8 or 1.2 < ratio <= 1.3

state = 0.3 (40% 이하의 영향): 0.6 <= ratio < 0.7 or 1.3 < ratio <= 1.4state = 0.3 (influence less than 40%): 0.6 <= ratio < 0.7 or 1.3 < ratio <= 1.4

state = 0.4 (50% 이하의 영향): 0.5 <= ratio < 0.6 or 1.4 < ratio <= 1.5state = 0.4 (influence less than 50%): 0.5 <= ratio < 0.6 or 1.4 < ratio <= 1.5

state = 0.5 (50% 초과의 영향): ratio < 0.5 or 1.5 < ratiostate = 0.5 (influence greater than 50%): ratio < 0.5 or 1.5 < ratio

예를 들어, 지난 일주일간 시스템 상태 평균 값 대비 현재 시스템의 상태 값의 비율(ratio)이 0.9 또는 1.1인 경우 시스템 상태 점수(state)는 0.0으로 산정되며, 지난 일주일간 시스템 상태 평균 값 대비 현재 시스템의 상태 값의 비율(ratio)이 0.75 또는 1.23인 경우 시스템 상태 점수(state)는 0.1로 산정된다.For example, if the ratio of the current system state value to the average system state value for the past week is 0.9 or 1.1, the system state score is calculated as 0.0, and the current system state to the average system state value for the past week If the ratio of the state values of is 0.75 or 1.23, the system state score is calculated as 0.1.

도 3은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치의 자산 피해 분석부를 나타낸 블록도이다.3 is a block diagram illustrating an asset damage analysis unit of a cyber asset damage analysis apparatus according to an embodiment of the present invention.

도 3을 참조하면, 자산 피해 분석부(300)는 메시지 수신부(310), 자산 리스트 생성부(320), 취약점 리스트 생성부(330), 표적화 과정 확인부(340), 기준 점수 산정부(350), 시스템 분포도 산정부(360), 환경 점수 산정부(370), 영향성 평가 호출부(380)를 포함한다.Referring to FIG. 3 , the asset damage analysis unit 300 includes a message receiving unit 310 , an asset list generation unit 320 , a vulnerability list generation unit 330 , a targeting process verification unit 340 , and a reference score calculation unit 350 . ), a system distribution map calculating unit 360 , an environmental score calculating unit 370 , and an impact evaluation call unit 380 .

자산 피해 분석부(300)는 기 취합된 사이버 자산의 취약점 식별 결과를 기반으로 기준 점수를 산정하고, 상기 기준 점수에 상기 중요도 등급값 및 상기 시스템 상태 점수를 반영하여 피해 평가 점수를 산출한다.The asset damage analysis unit 300 calculates a reference score based on the previously collected vulnerability identification results of cyber assets, and calculates a damage evaluation score by reflecting the importance rating value and the system state score in the reference score.

상기 사이버 자산의 취약점 식별 결과는 위협에 대한 일련 번호와 함께 데이터 베이스(40)에 저장되어 취합될 수 있다. 메시지 수신부(310)는, 외부의 메시지 관리부(30)로부터 기 취합된 사이버 자산의 취약점 식별 결과를 조회할 수 있는 상기 일련 번호를 취약점 식별 메시지로 수신 받는다.The vulnerability identification result of the cyber asset may be stored and collected in the database 40 together with the serial number for the threat. The message receiving unit 310 receives, as a vulnerability identification message, the serial number for inquiring the previously collected vulnerability identification results of the cyber assets from the external message management unit 30 .

외부의 메시지 관리부는 카프카(Kafka) 분산 메시징 시스템인 것이 바람직하다. 메시지는 메시지명, 메시지 내용으로 구성되어 있으며 메시지명으로 메시지의 종류를 구분할 수 있다. 메시지명은 자산 수집, 위협분석, 피해평가, 시각화, 공격예측, 방어방책 등으로 구분된다. The external message management unit is preferably a Kafka distributed messaging system. A message consists of a message name and message content, and the type of message can be distinguished by the message name. The message name is divided into asset collection, threat analysis, damage evaluation, visualization, attack prediction, and defense measures.

여기서, 상기 취약점 식별 메시지는, 위협이 발생하고 상기 위협에 대한 분석을 한 후 생성되는 위협 분석 메시지 및 상기 위협에 대한 대응을 한 뒤 생성되는 방어 방책 메시지를 포함한다.Here, the vulnerability identification message includes a threat analysis message generated after a threat occurs and analysis of the threat and a defense policy message generated after responding to the threat.

메시지 내용으로는 ha_seq_no(위협분석 경보 일련번호)가 있다. 사이버 위협이 들어왔을 때 위협에 대한 일련번호를 매기고 그 위협을 분석한 결과를 ha_seq_no를 key(31)로 하여 데이터베이스(40)에 저장한다. 이 ha_seq_no로 해당 위협을 받은 자산, 취약점 등을 조회할 수 있다.The message content includes ha_seq_no (threat analysis alert serial number). When a cyber threat comes in, a serial number is assigned to the threat, and the result of analyzing the threat is stored in the database 40 with ha_seq_no as the key (31). With this ha_seq_no, you can inquire about the threatened assets, vulnerabilities, etc.

자산 리스트 생성부(320)는 상기 메시지 수신부가, 상기 위협 분석 메시지 또는 방어 방책 메시지를 수신하는 경우, 상기 위협을 받은 사이버 자산을 조회하여, 위협 자산 IP 리스트를 생성한다.When the message receiving unit receives the threat analysis message or the defense policy message, the asset list generator 320 inquires the threatened cyber asset and generates a threat asset IP list.

취약점 리스트 생성부(330)는 상기 메시지 수신부가 상기 위협 분석 메시지를 수신하는 경우, 상기 위협 자산 IP 리스트에서 상기 위협에 대한 분석을 한 후 생성되는 사이버 자산의 취약점을 조회하여, 취약점 리스트를 생성한다.When the message receiving unit receives the threat analysis message, the vulnerability list generator 330 generates a vulnerability list by inquiring a vulnerability of a cyber asset created after analyzing the threat from the threat asset IP list. .

표적화 과정 확인부(340)는 상기 위협 분석 메시지를 수신하는 경우, 시한성 긴급표적(Time Sensitive Target)에 대한 표적화 과정(Targeting steps) 수행 여부에 따라 실제로 피해를 주는 공격(Attack)과 위협은 있지만 피해를 주지 않는 사전 공격(Pre-Attack)을 구분한다.When the targeting process check unit 340 receives the threat analysis message, there are attacks and threats that actually cause damage depending on whether targeting steps for a time sensitive target are performed. Distinguishes pre-attacks that do no damage.

기준 점수 산정부(350)는 상기 실제로 피해를 주는 공격(Attack)으로 구분될 경우, 취약점 등록 기준일에 따른 사이버 자산의 취약점 식별 결과를 기반으로 상기 기준 점수를 산정한다.The reference score calculating unit 350 calculates the reference score based on the vulnerability identification result of the cyber asset according to the vulnerability registration reference date when the attack is classified as the attack that actually causes damage.

시스템 분포도 산정부(360)는 상기 데이터 베이스에서 자산 중요도, 임무 중요도, 과업 중요도에 따른 중요도 등급값을 조회하고, 상기 시스템 상태 평가부로부터 산정된 상기 시스템 상태 점수를 조회하여, 상기 사이버 자산의 취약점에 대응되는 공통 플랫폼 목록을 가진 자산의 수를 찾아 해당 취약점에 피해를 받을 수 있는 시스템 분포도를 산정한다.The system distribution chart calculation unit 360 inquires the importance rating value according to the asset importance, the mission importance, and the task importance in the database, and inquires the system state score calculated from the system state evaluation unit, Find the number of assets with a common platform list that corresponds to , and calculate the distribution of systems that can be damaged by the vulnerability.

환경 점수 산정부(370)는 상기 자산 중요도, 임무 중요도, 과업 중요도에 따른 중요도 등급값, 상기 시스템 상태 점수, 상기 시스템 분포도를 상기 기준 점수에 반영하여 환경 점수를 산정한다.The environmental score calculation unit 370 calculates an environmental score by reflecting the asset importance, the mission importance, the importance grade value according to the task importance, the system state score, and the system distribution map to the reference score.

이러한 자산 피해 분석부(300)는 산정된 중요도 등급값과 시스템 상태 점수를 CVSS에 적용하여, 피해 평가 점수를 산출할 수 있다. 예를 들어, 자산 피해 분석부(300)는 아래와 수식 1 및 수식 2에서 보듯이, 취약점 목록(CVE)에 따라 취약점을 정량적으로 평가할 수 있는 일반화된 산정방식에서, 수식을 부분을 부분 추가함으로써, 기준 점수, 임시 점수 및 환경 점수 등을 계산할 수 있다. The asset damage analysis unit 300 may calculate a damage evaluation score by applying the calculated importance rating value and the system state score to the CVSS. For example, as shown in Equation 1 and Equation 2 below, the asset damage analysis unit 300 is a generalized calculation method that can quantitatively evaluate a vulnerability according to a vulnerability list (CVE), by partially adding a part of the equation, Base scores, provisional scores, and environmental scores can be calculated.

이때, 수식 1의 CVSS 산정 방식은 v2.0에서 v3.0으로 수식이 수정/보완될 수 있다. 수식2는 CVE 목록이 2016년부터는 CVSS v3.0을 사용하였다.In this case, the CVSS calculation method of Equation 1 may be modified/complemented from v2.0 to v3.0. In Equation 2, the CVE list used CVSS v3.0 from 2016.

[수식 1][Formula 1]

Figure pat00001
Figure pat00001

[수식 2][Formula 2]

Figure pat00002
Figure pat00002

도 4는 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법을 나타낸 흐름도이다.4 is a flowchart illustrating a cyber asset damage analysis method according to an embodiment of the present invention.

도 4를 참조하면, 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법은, 자산 중요도 평가부가 컴퓨팅 환경 내 하나 이상의 네트워크가 가능한 유틸리티를 포함하는 사이버 자산의 중요도 등급값을 산정하는 단계(S100)에서 시작한다.Referring to FIG. 4 , in the method for analyzing cyber asset damage according to an embodiment of the present invention, the asset importance evaluation unit calculates an importance rating value of a cyber asset including a utility capable of one or more networks in a computing environment ( S100 ) starts from

단계 S200에서 시스템 상태 평가부가 실시간으로 저장되는 상기 사이버 자산의 운용 상태 정보를 조회하고, 상기 운용 상태 정보를 기반으로 시스템 상태 점수를 산정한다.In step S200, the system state evaluation unit inquires the operational state information of the cyber asset stored in real time, and calculates a system state score based on the operational state information.

여기서, 운용 상태 정보는, 트래픽 송수신량, 세션의 수, 중앙처리유닛(CPU) 사용량, 시스템의 총 메모리 사용량 및 실행중인 프로세스(Process)의 수를 포함하는 정보들 중 어느 하나 또는 복수를 조합하여 이루어진다.Here, the operation state information is obtained by combining any one or a plurality of information including the amount of traffic transmission/reception, the number of sessions, the central processing unit (CPU) usage, the total memory usage of the system, and the number of running processes. is done

단계300에서 자산 피해 분석부가 사이버 자산의 취약점 식별 결과를 기반으로 기준 점수를 산정하고, 상기 기준 점수에 상기 중요도 등급값 및 상기 시스템 상태 점수를 반영하여 피해 평가 점수를 산출한다.In step 300, the asset damage analysis unit calculates a reference score based on the vulnerability identification result of the cyber asset, and calculates a damage evaluation score by reflecting the importance rating value and the system state score in the reference score.

도 5는 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 사이버 자산의 중요도 등급값을 산정하는 방법을 나타낸 흐름도이다.5 is a flowchart illustrating a method of calculating an importance rating value of a cyber asset in a cyber asset damage analysis method according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 사이버 자산의 중요도 등급값을 산정하는 방법은, 자산 선택을 입력 받는 단계(S110)에서 시작한다.Referring to FIG. 5 , the method of calculating the importance rating value of a cyber asset in the cyber asset damage analysis method according to an embodiment of the present invention starts at the step S110 of receiving an asset selection.

단계 S110에서 사용자는 자산 중요도를 평가할 자산을 선택한다. 자산은 서버, 네트워크 장비, 보안 장비의 세 종류를 포함한다. 평가요소는 CIA((Confidentiality(기밀성), Integrity(무결성), Availability(가용성))로 구분된다.In step S110, the user selects an asset to evaluate the importance of the asset. Assets include three types: servers, network equipment, and security equipment. Evaluation factors are classified into CIA ((Confidentiality, Integrity, Availability).

자산 중요도 평가요소는 군 특성에 맞게 해당 자산이 임무에 얼마나 영향을 미칠 수 있는지에 대한 중요도를 평가할 수 있게 구성된다.The asset importance evaluation element is configured to evaluate the importance of how much the asset can affect the mission according to the characteristics of the military.

단계 S120에서 사이버 자산이 서버인지 확인한다.In step S120, it is checked whether the cyber asset is a server.

단계 S130에서 사이버 자산이 서버이면, 자동으로 평가요소를 조회한다.If the cyber asset is the server in step S130, the evaluation factor is automatically inquired.

서버를 선택한 경우에는 자동 평가요소 조회가 포함된다. 서버인 경우 기밀성 2개, 무결성 2개, 가용성 4개(자동 평가요소 2개 포함) 항목에 대해 중요도를 평가한다. If a server is selected, automatic evaluation element search is included. In the case of a server, the importance is evaluated for 2 confidentiality, 2 integrity, and 4 availability (including 2 automatic evaluation factors).

단계 S140에서 사이버 자산이 서버가 아닌 경우, 수동으로 평가요소를 조회한다.If the cyber asset is not the server in step S140, the evaluation factor is manually inquired.

예를 들어, 네트워크 장비의 경우 수동 평가 요소만 포함하며 가용성 1개에 대해 평가한다.For example, in the case of network equipment, only the passive evaluation elements are included and are evaluated for 1 availability.

보안 장비의 경우 수동 평가 요소만 포함하며 무결성 2개, 가용성 1개 항목에 대해 평가한다.For security equipment, only manual evaluation elements are included, and 2 items of integrity and 1 of availability are evaluated.

단계 S150에서 평가 점수를 입력하며, 단계 S160에서 평가 점수에 따른 중요도 등급을 산정한다.In step S150, an evaluation score is input, and in step S160, an importance rating according to the evaluation score is calculated.

자동 및 수동 평가요소가 조회되면 사용자는 0~배점 사이의 실수의 점수를 각 항목에 대해 입력할 수 있다. 자동 평가요소 점수는 산정 기준에 맞게 자동으로 점수가 입력된다. 중요도 합계는 0~9점 사이의 점수를 갖는다. When the automatic and manual evaluation elements are queried, the user can input a real score between 0 and a score for each item. Scores for automatic evaluation factors are automatically entered according to the calculation criteria. Sum of importance has a score between 0 and 9.

일 예로, 기 설정된 평가 요소 항목은 아래와 같다. 예컨대, 중요도 등급은 0<= 중요도 합계 < 4 이면 하, 4 <= 중요도 합계 < 7 이면 중, 7 <= 중요도 합계 <= 9이면 상이 된다. 중요도 등급이 높을 수록 중요도가 높다.As an example, the preset evaluation element items are as follows. For example, the importance rating is lower if 0 <= sum of importance < 4, medium if 4 <= sum of importance <= 7, and higher if 7 <= sum of importance <= 9. The higher the importance rating, the higher the importance.

사용자가 평가 점수를 입력하면 자동으로 해당 점수에 대한 중요도 등급이 산정되고 등록 버튼을 누르면 해당 자산의 중요도가 데이터베이스에 저장된다.When a user inputs an evaluation score, the importance rating for the score is automatically calculated, and when the register button is clicked, the importance of the asset is saved in the database.

도 6 및 도 7은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법 사이버 자산의 중요도 평가를 설명하기 위한 도면이다.6 and 7 are diagrams for explaining the importance evaluation of cyber assets in a method for analyzing cyber asset damage according to an embodiment of the present invention.

도 6은 각 자산의 중요도 평가요소를 항목으로 나타낸 것이다.6 shows the importance evaluation factors of each asset as items.

여기서, 사이버 자산(20)은, 서버(21), 네트워크 장비(22) 및 보안 장비(23)를 포함하며, 상기 자산 중요도 평가부(100)는, 기 분류된 사이버 자산(20)의 속성에 따라 특정 자산을 식별하고, 상기 특정 자산별로 평가 요소 항목을 구분하여 중요도를 평가한다.Here, the cyber asset 20 includes a server 21 , a network equipment 22 , and a security equipment 23 , and the asset importance evaluation unit 100 determines the properties of the pre-classified cyber assets 20 . The specific asset is identified according to the method, and the importance is evaluated by classifying the evaluation element items for each specific asset.

구체적으로, 평가 요소 항목은, 기밀성(Confidentiality), 무결성(Integrity) 및 가용성(Availability)을 포함하는 항목들 중 어느 하나 또는 복수를 조합하여 이루어진다.Specifically, the evaluation element item is made by combining any one or a plurality of items including confidentiality (Confidentiality), integrity (Integrity), and availability (Availability).

예를 들어, 서버의 경우, 평가 구분은 기밀성, 무결성, 가용성을 포함하고, 네트워크 장비의 경우 평가 구분은 가용성을 포함한다.For example, in the case of a server, the evaluation classification includes confidentiality, integrity, and availability, and in the case of a network device, the evaluation classification includes availability.

보안 장비의 경우 평가 구분은 무결성과 가용성을 포함한다.In the case of security equipment, the classification of evaluation includes integrity and availability.

각 평가 요소 별로 평가 요소 가중치와 배점을 다르게 배정할 수 있으며, 이에 따라 중요도에 따른 평가 점수 산출이 가능하다.Evaluation factor weights and points can be assigned differently for each evaluation factor, and accordingly, evaluation scores can be calculated according to importance.

도 7은 자산 중요도 평가 등록 화면을 나타낸다.7 shows an asset importance evaluation registration screen.

자산 중요도 평가부(100)는, 사용자로부터 상기 평가 요소 항목에 따른 평가 점수를 입력 받고, 상기 평가 점수에 따른 중요도 등급값을 산정한 후 산정한 상기 중요도 등급값을 데이터 베이스(41)에 저장한다.The asset importance evaluation unit 100 receives the evaluation score according to the evaluation element item from the user, calculates the importance grade value according to the evaluation score, and stores the calculated importance grade value in the database 41 . .

도 7을 참조하면, 자산 중요도 평가 등록 화면은 구체적으로 기밀성(101), 무결성(102), 가용성(103)을 항목별로 평가하며, 각각의 배점(106)에 따른 평가 점수(107)를 입력할 수 있다. 평가 항목 별로 가중치(108)가 다르게 배정되어 점수(109)가 산출된다.Referring to FIG. 7 , the asset importance evaluation registration screen specifically evaluates confidentiality 101, integrity 102, and availability 103 by item, and input evaluation score 107 according to each score 106. can A weight 108 is allocated differently for each evaluation item, and a score 109 is calculated.

산출된 점수의 총합이 중요도 합계(104) 항목에 나타나며, 합계 점수에 따라 중요도 등급(105)이 산정된다. The total of the calculated scores appears in the importance sum 104 item, and the importance grade 105 is calculated according to the total score.

도 8은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 장치의 자산 피해 분석부를 통해 산출된 자산 피해평가 산출 화면이다. 8 is an asset damage evaluation calculation screen calculated through the asset damage analysis unit of the cyber asset damage analysis apparatus according to an embodiment of the present invention.

도 8을 참조하면, 자산 피해 분석부(300)를 통해 산출된 자산 피해평가 산출 화면을 확인할 수 있다. 이때, 취약점 목록(CVE)에 따라 입력 값이 다르므로 정확한 예시는 어려울 수 있다. 도 8의 빨간색 박스를 보면, 각 factor 들에 대한 값이 입력되었을 때 피해평가 점수가 8.3으로 산출됨을 알 수 있다. 또한, 각 단락별로 피해평가 점수가 다르게 산정됨을 확인할 수 있다.Referring to FIG. 8 , the asset damage evaluation calculation screen calculated through the asset damage analysis unit 300 may be checked. In this case, an accurate example may be difficult because the input value is different depending on the vulnerability list (CVE). Referring to the red box in FIG. 8 , it can be seen that the damage evaluation score is calculated as 8.3 when values for each factor are input. In addition, it can be seen that the damage evaluation score is calculated differently for each paragraph.

도 9는 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 시스템 상태 점수를 산정하는 방법을 나타낸 흐름도이다.9 is a flowchart illustrating a method of calculating a system state score in a cyber asset damage analysis method according to an embodiment of the present invention.

도 9를 참조하면, 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 시스템 상태 점수를 산정하는 방법은, 상태 정보 조회부가 실시간으로 저장되는 상기 사이버 자산의 운용 상태 정보를 조회하는 단계(S210)에서 시작한다.Referring to FIG. 9 , in the method for calculating a system state score in the cyber asset damage analysis method according to an embodiment of the present invention, the state information inquiry unit inquires the operation state information of the cyber asset stored in real time (S210) ) starts at

구체적으로, 데이터베이스에서 자산의 최신 상태를 조회한다. 조회하는 항목은 트래픽 송수신량, 세션 수, CPU 사용량, 총 메모리 사용량, 프로세스 수의 5가지 항목을 포함하여 구성되는 것이 바람직하다. Specifically, the latest status of assets is retrieved from the database. It is preferable that the item to be inquired includes five items: traffic transmission/reception amount, number of sessions, CPU usage, total memory usage, and number of processes.

단계 S220에서 영향 추정부가 조회된 상기 운용 상태 정보를 기반으로 상기 사이버 자산 운용에 미치는 영향을 추정하여 시스템 상태값으로 수치화한다.In step S220, the impact estimator estimates the impact on the cyber asset management based on the inquired operation state information and quantifies it as a system state value.

단계 S221에서 시스템 상태값의 존재 여부를 판별한다.In step S221, it is determined whether a system state value exists.

단계 S222에서 시스템 상태값이 존재하지 않으면, 시스템 상태 점수를 0으로 할당하고 종료한다.If the system state value does not exist in step S222, the system state score is assigned to 0 and the process is terminated.

단계 S230에서 평균값 산출부가 기 설정된 기간 동안 조회된 상기 운용 상태 정보들에 따른 시스템 상태값들의 평균값을 산출한다.In step S230, the average value calculator calculates an average value of the system state values according to the operation state information inquired for a preset period.

구체적으로, 현재 시스템 상태 값이 존재하면 지난 일주일간 시스템 상태 평균 값을 조회한다. 지난 일주일간 시스템 상태 평균 값 대비 현재 시스템의 상태 값의 비율(ratio)에 따라 시스템 상태 점수(state)를 산정한다.Specifically, if the current system state value exists, the average value of the system state for the past week is inquired. The system state score (state) is calculated according to the ratio of the current system state value to the average system state value for the past week.

state = 0.0 (20% 이하의 영향): 0.8 <= ratio <= 1 or 1 <= ratio <= 1.2state = 0.0 (influence less than 20%): 0.8 <= ratio <= 1 or 1 <= ratio <= 1.2

state = 0.1 (30% 이하의 영향): 0.7 <= ratio < 0.8 or 1.2 < ratio <= 1.3state = 0.1 (influence less than 30%): 0.7 <= ratio < 0.8 or 1.2 < ratio <= 1.3

state = 0.3 (40% 이하의 영향): 0.6 <= ratio < 0.7 or 1.3 < ratio <= 1.4state = 0.3 (influence less than 40%): 0.6 <= ratio < 0.7 or 1.3 < ratio <= 1.4

state = 0.4 (50% 이하의 영향): 0.5 <= ratio < 0.6 or 1.4 < ratio <= 1.5state = 0.4 (influence less than 50%): 0.5 <= ratio < 0.6 or 1.4 < ratio <= 1.5

state = 0.5 (50% 초과의 영향): ratio < 0.5 or 1.5 < ratiostate = 0.5 (influence greater than 50%): ratio < 0.5 or 1.5 < ratio

예를 들어, 지난 일주일간 시스템 상태 평균 값 대비 현재 시스템의 상태 값의 비율(ratio)이 0.9 또는 1.1인 경우 시스템 상태 점수(state)는 0.0으로 산정되며, 지난 일주일간 시스템 상태 평균 값 대비 현재 시스템의 상태 값의 비율(ratio)이 0.75 또는 1.23인 경우 시스템 상태 점수(state)는 0.1로 산정된다.For example, if the ratio of the current system state value to the average system state value for the past week is 0.9 or 1.1, the system state score is calculated as 0.0, and the current system state to the average system state value for the past week If the ratio of the state values of is 0.75 or 1.23, the system state score is calculated as 0.1.

단계 S240에서 상태 점수 산정부가 상기 시스템 상태값들의 평균값과 마지막으로 조회된 운용 상태 정보에 따른 시스템 상태값을 비교하여 상기 시스템 상태 점수를 산정한다.In step S240, the state score calculating unit calculates the system state score by comparing the average value of the system state values with the system state value according to the last inquired operational state information.

도 10은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 피해 평가 점수를 산출하는 방법을 나타낸 흐름도이다. 10 is a flowchart illustrating a method of calculating a damage evaluation score in a cyber asset damage analysis method according to an embodiment of the present invention.

도 10을 참조하면, 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 피해 평가 점수를 산출하는 방법은, 메시지 수신부가 상기 일련 번호를 취약점 식별 메시지로 수신 받는 단계(S310)에서 시작한다.Referring to FIG. 10 , the method of calculating the damage evaluation score in the cyber asset damage analysis method according to an embodiment of the present invention starts at the step S310 of the message receiving unit receiving the serial number as a vulnerability identification message.

구체적으로, 사이버 자산의 취약점 식별 결과는 위협에 대한 일련 번호와 함께 데이터 베이스에 저장되며, 상기 메시지 수신부가 외부의 메시지 관리부로부터 상기 사이버 자산의 취약점 식별 결과를 조회할 수 있는 상기 일련 번호를 취약점 식별 메시지로 수신 받는다.Specifically, the vulnerability identification result of the cyber asset is stored in the database together with the serial number for the threat, and the message receiving unit identifies the vulnerability with the serial number through which the vulnerability identification result of the cyber asset can be inquired from an external message management unit. receive by message.

외부의 메시지 관리부는 카프카(Kafka) 분산 메시징 시스템인 것이 바람직하다. 메시지는 메시지명, 메시지 내용으로 구성되어 있으며 메시지명으로 메시지의 종류를 구분할 수 있다. 메시지명은 자산 수집, 위협분석, 피해평가, 시각화, 공격예측, 방어방책 등으로 구분된다. The external message management unit is preferably a Kafka distributed messaging system. A message consists of a message name and message content, and the type of message can be distinguished by the message name. The message name is divided into asset collection, threat analysis, damage evaluation, visualization, attack prediction, and defense measures.

여기서, 취약점 식별 메시지는, 위협이 발생하고 상기 위협에 대한 분석을 한 후 생성되는 위협 분석 메시지 및 상기 위협에 대한 대응을 한 뒤 생성되는 방어 방책 메시지를 포함한다.Here, the vulnerability identification message includes a threat analysis message generated after a threat occurs and analysis of the threat and a defense policy message generated after responding to the threat.

단계 S312에서 취약점 식별 메시지가 위협 분석 메시지 또는 방어 방책 메시지를 포함하는지 확인한다.In step S312, it is checked whether the vulnerability identification message includes a threat analysis message or a defense policy message.

단계 S320에서, 자산 리스트 생성부가, 상기 메시지 수신부가 상기 위협 분석 메시지 또는 방어 방책 메시지를 수신하는 경우, 상기 위협을 받은 사이버 자산을 조회하여, 위협 자산 IP 리스트를 생성한다.In step S320, when the message receiving unit receives the threat analysis message or the defense policy message, the asset list generator inquires the cyber asset that has received the threat and generates a threat asset IP list.

단계 S330에서, 취약점 리스트 생성부가, 상기 메시지 수신부가 상기 위협 분석 메시지를 수신하는 경우, 상기 위협 자산 IP 리스트에서 상기 위협에 대한 분석을 한 후 생성되는 사이버 자산의 취약점을 조회하여, 취약점 리스트를 생성한다.In step S330, when the message receiving unit receives the threat analysis message, the vulnerability list generator inquires about the vulnerabilities of the cyber assets created after analyzing the threats in the threat asset IP list, and generates the vulnerability list. do.

단계 S339에서, 취약점 식별 메시지가 위협 분석 메시지인지 확인한다.In step S339, it is checked whether the vulnerability identification message is a threat analysis message.

위협 분석 메시지인 경우, 단계 S340에서 킬체인 정찰 단계인지를 판단한다.In the case of a threat analysis message, it is determined whether it is a kill chain reconnaissance step in step S340.

위협 분석 메시지가 아닌 경우, 단계 S341에서, 피해 평가 점수를 0으로 저장한다.If it is not a threat analysis message, in step S341, the damage evaluation score is stored as 0.

구체적으로, 단계 S340에서, 표적화 과정 확인부가, 시한성 긴급표적(Time Sensitive Target)에 대한 표적화 과정(Targeting steps) 수행 여부에 따라 실제로 피해를 주는 공격(Attack)과 위협은 있지만 피해를 주지 않는 사전 공격(Pre-Attack)을 구분한다.Specifically, in step S340, the targeting process confirmation unit, depending on whether the targeting process for the time-sensitive target (Time Sensitive Target) is performed, there is an attack and a threat that actually cause damage, but a dictionary that does not do damage Distinguish between Pre-Attack.

피해를 주지 않는 사전 공격(Pre-Attack)인 경우, 단계 S342에서 피해 평가 점수를 -1로 저장한다.In the case of a pre-attack that does not cause damage, the damage evaluation score is stored as -1 in step S342.

피해를 주는 공격(Attack)인 경우, 단계 S343에서, 취약점 ID가 NULL인지를 확인한다.In the case of an attack that causes damage, in step S343, it is checked whether the vulnerability ID is NULL.

NULL이면, 단계 S344에서, taxonomy_info의 CIA(Confidentiality(기밀성), Integrity(무결성), Availability(가용성)) 값으로 피해평가 점수를 산정한다.If NULL, in step S344, a damage evaluation score is calculated using the CIA (Confidentiality, Integrity, Availability) values of taxonomy_info.

NULL이 아닌 경우, 단계 S350에서, 기준 점수 산정부가 취약점 등록 기준일에 따른 상기 사이버 자산의 취약점 식별 결과를 기반으로 상기 기준 점수를 산정한다.If it is not NULL, in step S350, the reference score calculation unit calculates the reference score based on the vulnerability identification result of the cyber asset according to the vulnerability registration reference date.

단계 S352에서 시스템 분포도 산정부가 상기 데이터 베이스에서 자산 중요도, 임무 중요도, 과업 중요도에 따른 중요도 등급값을 조회하고, 단계 S354에서 상기 시스템 상태 평가부로부터 산정된 상기 시스템 상태 점수를 조회하여, 단계 S60에서 상기 사이버 자산의 취약점에 대응되는 공통 플랫폼 목록을 가진 자산의 수를 찾아 해당 취약점에 피해를 받을 수 있는 시스템 분포도를 산정한다.In step S352, the system distribution calculation unit inquires the importance grade value according to asset importance, mission importance, and task importance in the database, and inquires the system state score calculated from the system state evaluation unit in step S354, in step S60 The number of assets having a common platform list corresponding to the vulnerability of the cyber asset is found and the distribution of systems that can be damaged by the vulnerability is calculated.

단계 S370에서 환경 점수 산정부가 상기 자산 중요도, 임무 중요도, 과업 중요도에 따른 중요도 등급값, 상기 시스템 상태 점수, 상기 시스템 분포도를 상기 기준 점수에 반영하여 환경 점수를 산정한다.In step S370, the environmental score calculating unit calculates the environmental score by reflecting the importance grade value according to the asset importance, the mission importance, and the task importance, the system state score, and the system distribution map to the reference score.

단계 S372에서 피해 평가 점수를 저장한다.In step S372, the damage evaluation score is stored.

단계 S380에서 임무 영향성 평가를 호출한다.In step S380, the mission impact assessment is called.

도 11은 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 피해 평가 점수를 산출하는 방법을 구체적으로 나타낸 흐름도이다.11 is a flowchart specifically illustrating a method of calculating a damage evaluation score in a cyber asset damage analysis method according to an embodiment of the present invention.

도 11a 및 11b를 참조하면, 본 발명의 일 실시예에 따른 사이버 자산 피해 분석 방법에서 피해 평가 점수를 산출하는 방법은, 메시지 수신부가 상기 일련 번호를 취약점 식별 메시지로 수신 받는 단계(S311)에서 시작한다.11A and 11B , the method for calculating the damage evaluation score in the cyber asset damage analysis method according to an embodiment of the present invention starts at the step (S311) of the message receiving unit receiving the serial number as a vulnerability identification message. do.

구체적으로, 사이버 자산의 취약점 식별 결과는 위협에 대한 일련 번호와 함께 데이터 베이스에 저장될 수 있다. 상기 메시지 수신부가 외부의 메시지 관리부로부터 기 취합된 사이버 자산의 취약점 식별 결과를 조회할 수 있는 상기 일련 번호를 취약점 식별 메시지로 수신 받는다.Specifically, the vulnerability identification result of the cyber asset may be stored in a database together with the serial number for the threat. The message receiving unit receives the serial number through which the vulnerability identification result of the previously collected cyber assets can be inquired as a vulnerability identification message from an external message management unit.

외부의 메시지 관리부는 카프카(Kafka) 분산 메시징 시스템인 것이 바람직하다. 메시지는 메시지명, 메시지 내용으로 구성되어 있으며 메시지명으로 메시지의 종류를 구분할 수 있다. 메시지명은 자산 수집, 위협분석, 피해평가, 시각화, 공격예측, 방어방책 등으로 구분된다. The external message management unit is preferably a Kafka distributed messaging system. A message consists of a message name and message content, and the type of message can be distinguished by the message name. The message name is divided into asset collection, threat analysis, damage evaluation, visualization, attack prediction, and defense measures.

여기서, 취약점 식별 메시지는, 위협이 발생하고 상기 위협에 대한 분석을 한 후 생성되는 위협 분석 메시지 및 상기 위협에 대한 대응을 한 뒤 생성되는 방어 방책 메시지를 포함한다.Here, the vulnerability identification message includes a threat analysis message generated after a threat occurs and analysis of the threat and a defense policy message generated after responding to the threat.

메시지 내용으로는 ha_seq_no(위협분석 경보 일련번호)가 있다. 사이버 위협이 들어왔을 때 위협에 대한 일련번호를 매기고 그 위협을 분석한 결과를 ha_seq_no를 key(31)로 하여 데이터베이스(40)에 저장한다. 이 ha_seq_no로 해당 위협을 받은 자산, 취약점 등을 조회할 수 있다.The message content includes ha_seq_no (threat analysis alert serial number). When a cyber threat comes in, a serial number is assigned to the threat, and the result of analyzing the threat is stored in the database 40 with ha_seq_no as the key (31). With this ha_seq_no, you can inquire about the threatened assets, vulnerabilities, etc.

단계 S312에서 취약점 식별 메시지가 위협 분석 메시지 또는 방어 방책 메시지를 포함하는지 확인한다. 메시지를 분석하여 위협분석 또는 방어방책 메시지가 아닌 경우 처음으로 돌아간다.In step S312, it is checked whether the vulnerability identification message includes a threat analysis message or a defense policy message. Analyzes the message and returns to the beginning if it is not a threat analysis or defense policy message.

단계 S321에서, 자산 리스트 생성부가, 상기 메시지 수신부가 상기 위협 분석 메시지 또는 방어 방책 메시지를 수신하는 경우, 상기 위협을 받은 사이버 자산을 조회하여, 위협 자산 IP 리스트를 생성한다.In step S321, when the message receiving unit receives the threat analysis message or the defense policy message, the asset list generator inquires the cyber asset that has received the threat and generates a threat asset IP list.

구체적으로, 위협분석 또는 방어방책 메시지인 경우 ha_seq_no로 위협 받은 자산을 조회하여 asset_ip_list(위협 받은 자산 IP 리스트)를 생성한다. Specifically, in the case of a threat analysis or defense policy message, asset_ip_list (a list of threatened asset IPs) is generated by inquiring the threatened asset with ha_seq_no.

단계 S322에서, asset_ip_list(위협 받은 자산 IP 리스트)가 NULL이면 단계 S323에서, 위협 받은 자산이 없다고 로그를 출력하고 처음으로 돌아간다.In step S322, if asset_ip_list (the threatened asset IP list) is NULL, in step S323, a log is output that there is no threatened asset, and the process returns to the beginning.

asset_ip_list(위협 받은 자산 IP 리스트)가 NULL이 아니면 단계 S324에서, asset_id_list(위협 받은 자산 ID 리스트)를 생성한다.If asset_ip_list (the threatened asset IP list) is not NULL, in step S324, asset_id_list (the threatened asset ID list) is generated.

단계 S325에서, 위협분석 메시지인지를 판단하고, 위협 분석 메시지가 아니면 방어방책에서 위협에 대한 대응이 완료되었다는 것이므로 단계 S326에서, cve_id_list(취약점 리스트, cve code)를 0으로 초기화한다.In step S325, it is determined whether the message is a threat analysis message, and if it is not a threat analysis message, since it means that the response to the threat is completed in the defense strategy, in step S326, cve_id_list (vulnerability list, cve code) is initialized to 0.

위협분석 메시지인 경우, 단계 S331에서, ha_seq_no로 취약점을 조회하여 취약점 리스트(cve_id_list)를 생성한다.In the case of a threat analysis message, in step S331, a vulnerability list (cve_id_list) is created by inquiring for a vulnerability with ha_seq_no.

즉, 취약점 리스트 생성부가, 상기 메시지 수신부가 상기 위협 분석 메시지를 수신하는 경우, 상기 위협 자산 IP 리스트에서 상기 위협에 대한 분석을 한 후 생성되는 사이버 자산의 취약점을 조회하여, 취약점 리스트를 생성한다.That is, when the message receiving unit receives the threat analysis message, the vulnerability list generator generates a vulnerability list by inquiring about the vulnerabilities of the cyber asset generated after analyzing the threat from the threat asset IP list.

단계 S332에서 i값은 0이며, 단계 S333에서 i 값이 cve_id_list의 길이에 도달할 때까지 하기의 단계 S334 내지 단계 S338을 반복한다.In step S332, the value of i is 0, and in step S333, the following steps S334 to S338 are repeated until the value of i reaches the length of cve_id_list.

단계 S334에서, 취약점 리스트(cve_id_list)의 처음부터 끝까지 cve_id_list에 NULL이 있는지 확인한다. 하나의 위협에 다수의 자산이 위협을 받을 수 있고 자산 마다 그 위협에 취약한 취약점이 다르기 때문에 취약점이 있을 수도 없을 수도 있다.In step S334, it is checked whether there is NULL in cve_id_list from the beginning to the end of the vulnerability list (cve_id_list). Because multiple assets can be threatened by a single threat, and each asset has a different vulnerability to that threat, there may or may not be a vulnerability.

i번 째 cve_id_list의 값이 NULL이 아니면 단계 S335에서, taxonomy_cve 테이블에서 ha_seq_no에 해당하는 cve_id(취약점 ID)를 조회하고 그 값을 cve_id_list에 할당한다. 이는 위협분석에서 자산의 취약점을 찾지 못한 경우 rule을 적용하여 추가적으로 취약점을 찾을 수 있게 보정하기 위함이다.If the value of the i-th cve_id_list is not NULL, in step S335, the cve_id (vulnerability ID) corresponding to ha_seq_no is searched in the taxonomy_cve table and the value is assigned to the cve_id_list. This is to correct the vulnerability so that additional vulnerabilities can be found by applying the rule when the vulnerability of the asset is not found in the threat analysis.

단계 S336에서, i번 째 cve_id_list의 값이 NULL인 경우, 단계 S337에서, cve_id_list에 taxonomy_cve.cve_id 값을 할당 한 후 단계 S338에서, i값을 1 증가 시킨다.In step S336, if the value of the i-th cve_id_list is NULL, in step S337, the value of taxonomy_cve.cve_id is assigned to cve_id_list, and in step S338, the i value is incremented by 1.

i값이 cve_id_list의 길이에 도달할 때까지 단계 S334 내지 단계 S338을 반복한다.Steps S334 to S338 are repeated until the i value reaches the length of cve_id_list.

단계 S339에서, 취약점 식별 메시지가 위협 분석 메시지인지 확인한다.In step S339, it is checked whether the vulnerability identification message is a threat analysis message.

위협분석 메시지가 아니면 방어방책 메시지이므로 해당 피해에 대한 복구가 완료됐다는 의미이므로 단계 S341에서, 피해평가 점수를 0으로 할당하고 단계 S380에서 임무 영향성 평가를 호출한다.If it is not a threat analysis message, it is a defense policy message, so it means that the restoration of the damage is completed. In step S341, a damage evaluation score is assigned to 0, and mission impact evaluation is called in step S380.

위협 분석 메시지인 경우, 단계 S340에서 킬체인 정찰 단계인지를 판단한다.In the case of a threat analysis message, it is determined whether it is a kill chain reconnaissance step in step S340.

구체적으로, 단계 S340에서, 표적화 과정 확인부가, 시한성 긴급표적(Time Sensitive Target)에 대한 표적화 과정(Targeting steps) 수행 여부에 따라 실제로 피해를 주는 공격(Attack)과 위협은 있지만 피해를 주지 않는 사전 공격(Pre-Attack)을 구분한다.Specifically, in step S340, the targeting process confirmation unit, depending on whether the targeting process for the time-sensitive target (Time Sensitive Target) is performed, there is an attack and a threat that actually cause damage, but a dictionary that does not do damage Distinguish between pre-attack.

피해를 주지 않는 사전 공격(Pre-Attack)인 경우, 단계 S342에서 피해 평가 점수를 -1로 저장한다.In the case of a pre-attack that does not cause damage, the damage evaluation score is stored as -1 in step S342.

구체적으로, 킬체인 정찰 단계이면 위협은 있었지만 피해는 없는 것이므로 피해평가 점수를 -1로 저장하고 처음으로 돌아간다. 이를 통해 실제로 피해를 주는 공격(Attack)과 위협은 있지만 피해를 주지는 않는 사전 공격(Pre-Attack)을 구분하여 피해평가를 수행한다.Specifically, in the kill chain reconnaissance stage, there was a threat but no damage, so the damage evaluation score is saved as -1 and returns to the beginning. Through this, damage assessment is performed by distinguishing between an attack that actually causes damage and a pre-attack that does not cause damage even though there is a threat.

킬체인 정찰 단계가 아니면, 단계 S343에서 cve_id가 NULL인지 다시 확인하고 NULL이면 단계 S344에서, taxonomy_info의 CIA(Confidentiality(기밀성), Integrity(무결성), Availability(가용성)) 값으로 피해평가 점수를 산정하고, 단계 S380에서 임무 영향성 평가를 호출한다. CIA는 각각 HIGH, MEDIUM, LOW 세 가지의 값을 가질 수 있다.If it is not the kill chain reconnaissance step, check again whether cve_id is NULL in step S343. If it is NULL, in step S344, the damage evaluation score is calculated using the CIA (Confidentiality, Integrity, Availability) values of taxonomy_info, and , the mission impact assessment is called in step S380. CIA can have three values, HIGH, MEDIUM, and LOW, respectively.

cve_id가 NULL이 아니면 단계 S345에서 cve_id_year(취약점 등록 년도)가 2016년 이후인지 확인한다.If cve_id is not NULL, in step S345, it is checked whether cve_id_year (vulnerability registration year) is after 2016.

cve_id_year가 2016년 이전이면 단계 S350에서 CVSS v2.0을 기준으로 취약점에 대한 기준 점수를 산정하고, 단계 S352에서 정의 해 놓은 자산 중요도, 임무 중요도, 과업 중요도를 조회한다. 그리고 단계 S354에서 시스템 상태 점수를 조회하고, 단계 S360에서 해당 cve_id와 대응되는 cpe(Common Platform Enumeration, 공통 플랫폼 목록)를 가진 자산의 수를 찾아 해당 취약점에 피해를 받을 수 있는 시스템 분포도를 산정한다. 그리고 단계 S370에서 환경 점수를 산정하는데 이때 자산 중요도, 임무 중요도, 과업 중요도, 시스템 상태 점수, 시스템 분포도를 반영하여 산정한다.If cve_id_year is before 2016, in step S350, based on CVSS v2.0, calculate the reference score for the vulnerability, and inquire about the asset importance, mission importance, and task importance defined in step S352. Then, in step S354, the system status score is inquired, and in step S360, the number of assets with cpe (Common Platform Enumeration) corresponding to the corresponding cve_id is found, and the system distribution that can be damaged by the vulnerability is calculated. Then, in step S370, the environmental score is calculated by reflecting the asset importance, the mission importance, the task importance, the system state score, and the system distribution map.

cve_id_year가 2016년 이후이면 단계 S351에서 CVSS v3.0를 기준으로 취약점에 대한 기준 점수를 산정하고, 단계 S353에서 정의 해 놓은 자산 중요도, 임무 중요도, 과업 중요도를 조회한다. 그리고 단계 S355에서 시스템 상태 점수를 조회하고 단계 S371에서 환경 점수를 산정한다. 환경 점수 산정 시 자산 중요도, 임무 중요도, 과업 중요도, 시스템 상태 점수를 반영한다. If cve_id_year is after 2016, in step S351, the reference score for the vulnerability is calculated based on CVSS v3.0, and the asset importance, mission importance, and task importance defined in step S353 are inquired. Then, the system state score is inquired in step S355 and the environment score is calculated in step S371. Asset criticality, mission criticality, task importance, and system health scores are taken into account when calculating the environmental score.

단계 S372에서 산정된 피해평가 점수를 저장하고, 단계 S380에서 임무 영향성 평가를 호출하고 처음으로 돌아간다Store the damage evaluation score calculated in step S372, call the mission impact evaluation in step S380 and return to the beginning

또한, 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In addition, there is provided a computer-readable recording medium in which a program for executing a cyber asset damage analysis method using system operation state information is recorded on a computer.

이러한 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 기록 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Such computer-readable media may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the recording medium may be specially designed and configured for the present invention, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 명세서에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and various modifications and variations will be possible without departing from the essential quality of the present invention by those skilled in the art to which the present invention pertains. Accordingly, the embodiments disclosed in the present specification are for explanation rather than limiting the technical spirit of the present invention, and the scope of the technical spirit of the present invention is not limited by these embodiments. The protection scope of the present invention should be interpreted by the following claims, and all technical ideas within the scope equivalent thereto should be interpreted as being included in the scope of the present invention.

10: 사이버 자산 피해 분석 장치
100: 자산 중요도 평가부
200: 시스템 상태 평가부
300: 자산 피해 분석부10: Cyber Asset Damage Analysis Device
100: Asset materiality evaluation unit
200: system state evaluation unit
300: asset damage analysis unit

Claims (20)

네트워크가 가능한 유틸리티를 포함하는 사이버 자산의 운용 상태 정보를 조회하고, 조회된 상기 운용 상태 정보를 기반으로 하여 기 설정된 시스템 상태 산정 기준에 따라, 시스템 상태 점수를 산정하는 시스템 상태 평가부; 및
산정한 상기 시스템 상태 점수를 사이버 자산의 피해를 평가하는 CVSS(Common Vulnerability Scoring System)에 적용하여, 상기 사이버 자산이 피해를 입은 정도인 피해 평가 점수를 산출하는 자산 피해 분석부를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
a system state evaluation unit that inquires for operational state information of a cyber asset including a network-enabled utility, and calculates a system state score according to a preset system state calculation standard based on the inquired operational state information; and
By applying the calculated system state score to CVSS (Common Vulnerability Scoring System) that evaluates the damage of the cyber asset, comprising an asset damage analysis unit that calculates a damage evaluation score that is the degree to which the cyber asset is damaged,
A cyber asset damage analysis device using system operation status information.
 제1항에 있어서,
기 설정된 평가 요소 항목을 기초로 하여 상기 사이버 자산의 임무에 영향을 미치는 정도에 대한 중요도 등급값을 산정하는 자산 중요도 평가부를 더 포함하고,
상기 자산 피해 분석부는,
산정된 상기 중요도 등급값과 상기 시스템 상태 점수를 상기 CVSS에 적용하여, 상기 피해 평가 점수를 산출하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
According to claim 1,
Further comprising an asset importance evaluation unit that calculates an importance rating value for the degree of influence on the mission of the cyber asset based on a preset evaluation element item,
The asset damage analysis unit,
calculating the damage evaluation score by applying the calculated importance rating value and the system state score to the CVSS,
A cyber asset damage analysis device using system operation status information.
 제1항에 있어서,
상기 자산 피해 분석부는,
기 취합된 취약점 식별 결과를 기반으로 기준 점수를 산정하고, 상기 기준 점수에 상기 시스템 상태 점수를 반영하여 피해 평가 점수를 산출하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
According to claim 1,
The asset damage analysis unit,
Calculating a reference score based on the previously collected vulnerability identification results, and calculating a damage evaluation score by reflecting the system state score in the reference score,
A cyber asset damage analysis device using system operation status information.
 제2항에 있어서,
상기 사이버 자산은,
서버, 네트워크 장비 및 보안 장비 중 적어도 어느 하나를 포함하고,
상기 자산 중요도 평가부는,
기 분류된 상기 사이버 자산의 속성에 따라 특정 자산을 식별하고, 식별한 상기 특정 자산별로 평가 요소 항목을 구분하여 중요도를 평가하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
3. The method of claim 2,
The cyber asset is
At least one of a server, network equipment, and security equipment,
The asset importance evaluation unit,
Identifying a specific asset according to the pre-classified properties of the cyber asset, classifying evaluation element items for each identified specific asset, and evaluating the importance,
A cyber asset damage analysis device using system operation status information.
 제2항에 있어서,
상기 평가 요소 항목은,
기밀성(Confidentiality), 무결성(Integrity) 및 가용성(Availability) 중 적어도 어느 하나를 포함하고,
상기 자산 중요도 평가부는,
상기 평가 요소 항목에 따른 평가 점수를 사용자로부터 입력 받고, 입력 받은 상기 평가 점수에 따른 중요도 등급값을 산정한 후, 산정한 상기 중요도 등급값을 데이터 베이스에 저장하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
3. The method of claim 2,
The evaluation element items are,
At least one of confidentiality (Confidentiality), integrity (Integrity) and availability (Availability),
The asset importance evaluation unit,
receiving an evaluation score according to the evaluation element item from a user, calculating an importance rating value according to the received evaluation score, and storing the calculated importance rating value in a database;
A cyber asset damage analysis device using system operation status information.
 제1항에 있어서,
상기 운용 상태 정보는,
트래픽 송수신량, 세션의 수, 중앙처리유닛(CPU) 사용량, 시스템의 총 메모리 사용량 및 실행중인 프로세스(Process)의 수를 포함하는 정보들 중 적어도 어느 하나를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
According to claim 1,
The operating state information is,
Including at least one of information including traffic transmission/reception amount, number of sessions, central processing unit (CPU) usage, total memory usage of the system, and the number of running processes,
A cyber asset damage analysis device using system operation status information.
 제1항에 있어서,
상기 시스템 상태 평가부는,
실시간으로 저장되는 사이버 자산의 운용 상태 정보를 조회하는 상태 정보 조회부;
조회한 상기 운용 상태 정보를 기반으로 상기 사이버 자산의 운용에 미치는 영향을 추정하여 시스템 상태값으로 수치화하는 영향 추정부;
기 설정된 기간 동안 조회된 상기 운용 상태 정보들에 따른 시스템 상태값들의 평균값을 산출하는 평균값 산출부; 및
상기 시스템 상태값들의 평균값과 마지막으로 조회된 운용 상태 정보에 따른 시스템 상태값을 비교하여 상기 시스템 상태 점수를 산정하는 상태 점수 산정부를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
According to claim 1,
The system state evaluation unit,
a state information inquiry unit that inquires the operational state information of cyber assets stored in real time;
an influence estimator for estimating an impact on the operation of the cyber asset based on the inquired operation state information and quantifying it as a system state value;
an average value calculator for calculating an average value of system state values according to the operation state information inquired for a preset period; and
Comprising a state score calculation unit for calculating the system state score by comparing the average value of the system state values and the system state value according to the last queried operating state information,
A cyber asset damage analysis device using system operation status information.
 제3항에 있어서,
상기 사이버 자산의 취약점 식별 결과는
위협에 대한 일련 번호와 함께 데이터 베이스에 저장되며,
상기 자산 피해 분석부는
외부의 메시지 관리부로부터 상기 사이버 자산의 취약점 식별 결과를 조회할 수 있는 일련 번호를 취약점 식별 메시지로 수신 받는 메시지 수신부;를 포함하고,
상기 취약점 식별 메시지는
위협이 발생하고 상기 위협에 대한 분석을 한 후 생성되는 위협 분석 메시지; 및 상기 위협에 대한 대응을 한 뒤 생성되는 방어 방책 메시지를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
4. The method of claim 3,
The vulnerability identification result of the cyber asset is
It is stored in the database along with the serial number of the threat,
The asset damage analysis unit
and a message receiving unit that receives, as a vulnerability identification message, a serial number for inquiring the vulnerability identification result of the cyber asset from an external message management unit;
The vulnerability identification message is
a threat analysis message that is generated after a threat occurs and the threat is analyzed; and a defense policy message generated after responding to the threat.
A cyber asset damage analysis device using system operation status information.
 제8항에 있어서,
상기 자산 피해 분석부는
상기 메시지 수신부가 상기 위협 분석 메시지 또는 방어 방책 메시지를 수신하는 경우, 상기 위협을 받은 사이버 자산을 조회하여 위협 자산 IP 리스트를 생성하는 자산 리스트 생성부; 및
상기 메시지 수신부가 상기 위협 분석 메시지를 수신하는 경우, 상기 위협 자산 IP 리스트에서 상기 위협에 대한 분석을 한 후 생성되는 사이버 자산의 취약점을 조회하여, 취약점 리스트를 생성하는 취약점 리스트 생성부를 더 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
9. The method of claim 8,
The asset damage analysis unit
an asset list generator configured to generate a threat asset IP list by inquiring the cyber asset that has received the threat when the message receiver receives the threat analysis message or the defense policy message; and
When the message receiving unit receives the threat analysis message, further comprising a vulnerability list generator configured to generate a vulnerability list by inquiring a vulnerability of a cyber asset generated after analyzing the threat from the threat asset IP list;
A cyber asset damage analysis device using system operation status information.
 제9항에 있어서,
상기 자산 피해 분석부는,
상기 위협 분석 메시지를 수신하는 경우, 시한성 긴급표적(Time Sensitive Target)에 대한 표적화 과정(Targeting steps) 수행 여부에 따라 실제로 피해를 주는 공격(Attack)과, 위협은 있지만 피해를 주지 않는 사전 공격(Pre-Attack)을 구분하는 표적화 과정 확인부를 더 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
10. The method of claim 9,
The asset damage analysis unit,
When the threat analysis message is received, an attack that actually causes damage depending on whether or not the targeting steps for a time sensitive target is performed, and a pre-attack that does not damage even though there is a threat ( Pre-Attack) further comprising a targeting process confirmation unit to distinguish,
A cyber asset damage analysis device using system operation status information.
 제10항에 있어서,
상기 자산 피해 분석부는,
상기 실제로 피해를 주는 공격(Attack)으로 구분될 경우, 취약점 등록 기준일에 따른 상기 사이버 자산의 취약점 식별 결과를 기반으로 상기 기준 점수를 산정하는 기준 점수 산정부;
상기 데이터 베이스에서 자산 중요도, 임무 중요도, 과업 중요도에 따른 중요도 등급값을 조회하고, 상기 시스템 상태 평가부로부터 산정된 상기 시스템 상태 점수를 조회하여, 상기 사이버 자산의 취약점에 대응되는 공통 플랫폼 목록을 가진 자산의 수를 찾아 해당 취약점에 피해를 받을 수 있는 시스템 분포도를 산정하는 시스템 분포도 산정부; 및
상기 자산 중요도, 임무 중요도, 과업 중요도에 따른 중요도 등급값, 상기 시스템 상태 점수, 상기 시스템 분포도를 상기 기준 점수에 반영하여 환경 점수를 산정하는 환경 점수 산정부를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치.
11. The method of claim 10,
The asset damage analysis unit,
a reference score calculation unit for calculating the reference score based on the vulnerability identification result of the cyber asset according to the vulnerability registration reference date when the attack is classified as the attack that actually causes damage;
In the database, by inquiring the importance grade value according to the asset importance, mission importance, and task importance, and by inquiring the system state score calculated from the system state evaluation unit, a common platform list corresponding to the vulnerability of the cyber asset has a list a system distribution calculation unit that finds the number of assets and calculates the distribution of systems that can be damaged by the vulnerability; and
Comprising an environmental score calculation unit for calculating an environmental score by reflecting the asset importance, the mission importance, the importance grade value according to the task importance, the system state score, and the system distribution to the reference score,
A cyber asset damage analysis device using system operation status information.
 네트워크가 가능한 유틸리티를 포함하는 사이버 자산의 운용 상태 정보를 조회하고, 조회된 상기 운용 상태 정보를 기반으로 하여 기 설정된 시스템 상태 산정 기준에 따라, 시스템 상태 점수를 산정하는 단계; 및
산정한 상기 시스템 상태 점수를 사이버 자산의 피해를 평가하는 CVSS(Common Vulnerability Scoring System)에 적용하여, 상기 사이버 자산이 피해를 입은 정도인 피해 평가 점수를 산출하는 단계를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법.
inquiring for operational state information of a cyber asset including a network-enabled utility, and calculating a system state score according to a preset system state calculation standard based on the inquired operational state information; and
Comprising the step of applying the calculated system state score to CVSS (Common Vulnerability Scoring System) that evaluates the damage of the cyber asset, calculating a damage evaluation score that is the degree to which the cyber asset is damaged,
A cyber asset damage analysis method using system operation status information.
 제12항에 있어서,
기 설정된 평가 요소 항목을 기초로 하여 상기 사이버 자산의 임무에 영향을 미치는 정도에 대한 중요도 등급값을 산정하는 단계를 더 포함하고,
상기 피해 평가 점수를 산출하는 단계는,
산정된 상기 중요도 등급값과 상기 시스템 상태 점수를 상기 CVSS에 적용하여, 상기 피해 평가 점수를 산출하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법.
13. The method of claim 12,
Further comprising the step of calculating an importance rating value for the degree of influence on the mission of the cyber asset based on a preset evaluation element item,
Calculating the damage evaluation score comprises:
calculating the damage evaluation score by applying the calculated importance rating value and the system state score to the CVSS,
A cyber asset damage analysis method using system operation status information.
 제12항에 있어서,
상기 시스템 상태 점수를 산정하는 단계는,
실시간으로 저장되는 사이버 자산의 운용 상태 정보를 조회하는 단계;
조회한 상기 운용 상태 정보를 기반으로 상기 사이버 자산의 운용에 미치는 영향을 추정하여 시스템 상태값으로 수치화하는 단계;
기 설정된 기간 동안 조회된 상기 운용 상태 정보들에 따른 시스템 상태값들의 평균값을 산출하는 단계; 및
상기 시스템 상태값들의 평균값과 마지막으로 조회된 운용 상태 정보에 따른 시스템 상태값을 비교하여 상기 시스템 상태 점수를 산정하는 단계를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법.
13. The method of claim 12,
Calculating the system state score comprises:
Inquiring the operational state information of the cyber asset stored in real time;
estimating an impact on the operation of the cyber asset based on the inquired operation state information and quantifying it as a system state value;
calculating an average value of system state values according to the operation state information inquired for a preset period; and
Comprising the step of calculating the system state score by comparing the average value of the system state values and the system state value according to the last queried operating state information,
A cyber asset damage analysis method using system operation status information.
 제13항에 있어서,
상기 피해 평가 점수를 산출하는 단계는,
외부의 메시지 관리부로부터 상기 사이버 자산의 취약점 식별 결과를 조회할 수 있는 일련 번호를 취약점 식별 메시지로 수신 받는 단계를 포함하고,
상기 취약점 식별 메시지는
위협이 발생하고 상기 위협에 대한 분석을 한 후 생성되는 위협 분석 메시지; 및 상기 위협에 대한 대응을 한 뒤 생성되는 방어 방책 메시지;를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법.
14. The method of claim 13,
Calculating the damage evaluation score comprises:
and receiving, as a vulnerability identification message, a serial number for inquiring the vulnerability identification result of the cyber asset from an external message management unit,
The vulnerability identification message is
a threat analysis message that is generated after a threat occurs and the threat is analyzed; and a defense policy message generated after responding to the threat.
A cyber asset damage analysis method using system operation status information.
 제15항에 있어서,
상기 피해 평가 점수를 산출하는 단계는,
상기 위협 분석 메시지 또는 방어 방책 메시지가 수신되면, 상기 위협을 받은 사이버 자산을 조회하여, 위협 자산 IP 리스트를 생성하는 단계; 및
상기 위협 분석 메시지가 수신되면, 상기 위협 자산 IP 리스트에서 상기 위협에 대한 분석을 한 후 생성되는 사이버 자산의 취약점을 조회하여, 취약점 리스트를 생성하는 단계를 더 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법.
16. The method of claim 15,
Calculating the damage evaluation score comprises:
generating a threat asset IP list by inquiring the cyber asset that has received the threat when the threat analysis message or the defense policy message is received; and
When the threat analysis message is received, the method further comprising: generating a vulnerability list by inquiring a vulnerability of a cyber asset generated after analyzing the threat from the threat asset IP list;
A cyber asset damage analysis method using system operation status information.
 제16항에 있어서,
상기 피해 평가 점수를 산출하는 단계는,
상기 위협 분석 메시지가 수신되면, 시한성 긴급표적(Time Sensitive Target)에 대한 표적화 과정(Targeting steps) 수행 여부에 따라 실제로 피해를 주는 공격(Attack)과 위협은 있지만 피해를 주지 않는 사전 공격(Pre-Attack)을 구분하는 단계;를 더 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법.
17. The method of claim 16,
Calculating the damage evaluation score comprises:
When the threat analysis message is received, depending on whether or not the targeting steps for the time sensitive target are performed, an attack that actually causes damage (Attack) and a pre-attack that does not damage even though there is a threat (Pre- Attack) to distinguish; further comprising,
A cyber asset damage analysis method using system operation status information.
 제17항에 있어서,
상기 피해 평가 점수를 산출하는 단계는,
상기 실제로 피해를 주는 공격(Attack)으로 구분될 경우, 취약점 등록 기준일에 따른 상기 사이버 자산의 취약점 식별 결과를 기반으로 상기 기준 점수를 산정하는 단계;
상기 데이터 베이스에서 자산 중요도, 임무 중요도, 과업 중요도에 따른 중요도 등급값을 조회하고, 상기 시스템 상태 평가부로부터 산정된 상기 시스템 상태 점수를 조회하여, 상기 사이버 자산의 취약점에 대응되는 공통 플랫폼 목록을 가진 자산의 수를 찾아 해당 취약점에 피해를 받을 수 있는 시스템 분포도를 산정하는 단계; 및
상기 자산 중요도, 임무 중요도, 과업 중요도에 따른 중요도 등급값, 상기 시스템 상태 점수, 상기 시스템 분포도를 상기 기준 점수에 반영하여 환경 점수를 산정하는 단계를 포함하는,
시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 방법.
18. The method of claim 17,
Calculating the damage evaluation score comprises:
calculating the reference score based on the vulnerability identification result of the cyber asset according to the vulnerability registration reference date when the attack is classified as the attack that actually causes damage;
In the database, by inquiring the importance grade value according to the asset importance, mission importance, and task importance, and by inquiring the system state score calculated from the system state evaluation unit, a common platform list corresponding to the vulnerability of the cyber asset has a list finding the number of assets and calculating a system distribution that can be damaged by the corresponding vulnerability; and
Comprising the step of calculating an environment score by reflecting the importance rating value according to the asset importance, mission importance, task importance, the system state score, and the system distribution map to the reference score,
A cyber asset damage analysis method using system operation status information.
 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서,
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
제13항 내지 제18항 중 어느 한 항에 따른 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 판독 가능한 기록매체.
As a computer-readable recording medium storing a computer program,
The computer program, when executed by a processor,
A computer-readable recording medium comprising instructions for causing a processor to perform the method according to any one of claims 13 to 18.
 컴퓨터 판독 가능한 기록매체에 저장되어 있는 컴퓨터 프로그램으로서,
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
제13항 내지 제18항 중 어느 한 항에 따른 방법을 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 프로그램.As a computer program stored in a computer-readable recording medium,
The computer program, when executed by a processor,
A computer program comprising instructions for causing a processor to perform a method according to any one of claims 13 to 18.
KR1020190154728A 2019-11-27 2019-11-27 Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information KR102291142B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190154728A KR102291142B1 (en) 2019-11-27 2019-11-27 Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190154728A KR102291142B1 (en) 2019-11-27 2019-11-27 Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information

Publications (2)

Publication Number Publication Date
KR20210065687A true KR20210065687A (en) 2021-06-04
KR102291142B1 KR102291142B1 (en) 2021-08-18

Family

ID=76391802

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190154728A KR102291142B1 (en) 2019-11-27 2019-11-27 Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information

Country Status (1)

Country Link
KR (1) KR102291142B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102468156B1 (en) * 2022-06-29 2022-11-17 국방과학연구소 Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats
KR20230068696A (en) * 2021-11-11 2023-05-18 국방과학연구소 Method, system and computer program for assessment of cyber attack damage
CN116975567A (en) * 2023-07-28 2023-10-31 上海优立检测技术股份有限公司 Method, system, equipment and storage medium for testing radiation interference resistance of server
KR102608923B1 (en) * 2023-09-12 2023-12-01 주식회사 엔키 Apparatus and method of valuation for security vulnerability
KR102665697B1 (en) * 2023-08-16 2024-05-10 국방과학연구소 Apparatus and method for simulating calculating mission system damage by cyber-attack

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100623552B1 (en) 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
KR20090037538A (en) * 2007-10-12 2009-04-16 한국정보보호진흥원 Method for risk analysis using information asset modelling
KR20110011935A (en) * 2009-07-29 2011-02-09 한국전자통신연구원 Apparatus for detecting network attack based on visual data analysis and its method thereof
JP5304243B2 (en) * 2006-07-06 2013-10-02 日本電気株式会社 Security risk management system, apparatus, method, and program
KR20150070331A (en) * 2012-12-18 2015-06-24 맥아피 인코퍼레이티드 Automated asset criticality assessment
KR20160141457A (en) * 2015-06-01 2016-12-09 주식회사 에스씨엘 Risk assessment system for information security management system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100623552B1 (en) 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
JP5304243B2 (en) * 2006-07-06 2013-10-02 日本電気株式会社 Security risk management system, apparatus, method, and program
KR20090037538A (en) * 2007-10-12 2009-04-16 한국정보보호진흥원 Method for risk analysis using information asset modelling
KR20110011935A (en) * 2009-07-29 2011-02-09 한국전자통신연구원 Apparatus for detecting network attack based on visual data analysis and its method thereof
KR20150070331A (en) * 2012-12-18 2015-06-24 맥아피 인코퍼레이티드 Automated asset criticality assessment
KR20160141457A (en) * 2015-06-01 2016-12-09 주식회사 에스씨엘 Risk assessment system for information security management system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230068696A (en) * 2021-11-11 2023-05-18 국방과학연구소 Method, system and computer program for assessment of cyber attack damage
KR102468156B1 (en) * 2022-06-29 2022-11-17 국방과학연구소 Apparatus, method, computer-readable storage medium and computer program for calculating priority of targets in response to cyber threats
CN116975567A (en) * 2023-07-28 2023-10-31 上海优立检测技术股份有限公司 Method, system, equipment and storage medium for testing radiation interference resistance of server
CN116975567B (en) * 2023-07-28 2024-03-15 上海优立检测技术股份有限公司 Method, system, equipment and storage medium for testing radiation interference resistance of server
KR102665697B1 (en) * 2023-08-16 2024-05-10 국방과학연구소 Apparatus and method for simulating calculating mission system damage by cyber-attack
KR102608923B1 (en) * 2023-09-12 2023-12-01 주식회사 엔키 Apparatus and method of valuation for security vulnerability

Also Published As

Publication number Publication date
KR102291142B1 (en) 2021-08-18

Similar Documents

Publication Publication Date Title
KR102291142B1 (en) Apparatus, method, storage medium of storing program and computer program for analyzing cyber assets damage using system operation status information
US11924246B2 (en) Uniform resource locator classifier and visual comparison platform for malicious site detection preliminary
US9690937B1 (en) Recommending a set of malicious activity detection rules in an automated, data-driven manner
CN110620759B (en) Multi-dimensional association-based network security event hazard index evaluation method and system
CN110602029B (en) Method and system for identifying network attack
US8539586B2 (en) Method for evaluating system risk
US7013395B1 (en) Method and tool for network vulnerability analysis
US10282542B2 (en) Information processing apparatus, information processing method, and computer readable medium
US20080148398A1 (en) System and Method for Definition and Automated Analysis of Computer Security Threat Models
CN109831459B (en) Method, device, storage medium and terminal equipment for secure access
CN116846619A (en) Automatic network security risk assessment method, system and readable storage medium
CN114095232A (en) Power information system dynamic threat quantitative analysis method based on hidden Markov
Mathew et al. Situation awareness of multistage cyber attacks by semantic event fusion
CN114301659A (en) Network attack early warning method, system, device and storage medium
CN111885011B (en) Method and system for analyzing and mining safety of service data network
CN112613893A (en) Method, system, equipment and medium for identifying malicious user registration
JP7000271B2 (en) Vehicle unauthorized access countermeasure device and vehicle unauthorized access countermeasure method
JP2002229946A (en) Vulnerability examination system
Wagner et al. A security requirements approach for web systems
CN112804192A (en) Method, apparatus, electronic device, program, and medium for monitoring hidden network leakage
Dai et al. Trust evaluation of data provenance
CN116627466B (en) Service path extraction method, system, equipment and medium
Beramendi Higueras Detection of cryptocurrency mining malware from network measurements
CN116527290A (en) Information security detection method, device, equipment and medium
CN114697110A (en) Network attack detection method, device, equipment and storage medium

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant