WO2014107104A1 - System and method for the scoring, evaluation and ranking of the assets of the information system - Google Patents

System and method for the scoring, evaluation and ranking of the assets of the information system Download PDF

Info

Publication number
WO2014107104A1
WO2014107104A1 PCT/MA2013/000001 MA2013000001W WO2014107104A1 WO 2014107104 A1 WO2014107104 A1 WO 2014107104A1 MA 2013000001 W MA2013000001 W MA 2013000001W WO 2014107104 A1 WO2014107104 A1 WO 2014107104A1
Authority
WO
WIPO (PCT)
Prior art keywords
solution
evaluation
assets
vulnerability
classification
Prior art date
Application number
PCT/MA2013/000001
Other languages
French (fr)
Original Assignee
Netpeas S.A.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netpeas S.A. filed Critical Netpeas S.A.
Priority to PCT/MA2013/000001 priority Critical patent/WO2014107104A1/en
Publication of WO2014107104A1 publication Critical patent/WO2014107104A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Definitions

  • the present invention relates to a system and method for the rating, evaluation and classification of the assets of the information system of organizations.
  • the present invention relates to the field of vulnerability management of computer systems, e
  • Global vulnerability management is understood in the present invention as a new, homogenous and more comprehensive, even global, approach to; the security of computer systems.
  • the present invention is classified in that it is possible to denote "SaaS Security".
  • SaaS Security A better understanding of the present invention is to consider that it has been designed to audit and analyze the security of information systems, and provide an orderly, systematic, comprehensive, integrated and real-time solution.
  • the "COREvidence” solution has the particularity of aggregating the content of several APIs or engines I scan.
  • the result sought and obtained is the definition of the level of identification of common vulnerabilities, still conceived as a set of Vulnerabilities common to several scan engines. This result is in itself a response to the frequently encountered problem of the accuracy of audits and the 'false positives' that can result.
  • the importance of defining this environment has earned it the title of "COREVidence Marketplace Marketplace Concept”.
  • COREvidence's (proprietary) 'proprietary' concept for the methodological and quantitative assessment of risks to assets, which is fundamentally based on the following criteria, as will be detailed in more detail. before:
  • Weighting This is based on the ⁇ scoring) rating for the severity and usability of the CVSS v2.0 evaluation system.
  • Pre-identified or Classification Marked when the vulnerability is identified as part of a major hazard list according to the CWE / SANS Top 25 ordered list.
  • the COREvidençe system is structured as follows:
  • Figure 7 typically summarizes the score calculations (according to the ScorRisk'j Scoring Guide).
  • Figure 8 (Table 5) çist, a table that typically summarizes the ScoRISK Quality Grades used to mark an asset.
  • n the number of APIs
  • Occurrence The number of times Vulnerability is detected by APIs. A vulnerability is detected n fols (by all APIs involved) up to 1 time (per 1 API).
  • Ratio (v) Occurrence (v) / n * 100
  • Table 3 ( Figure 6) shows how the Ratio and Global Ratio are calculated using the example shown! Table 1 above. - Notes

Abstract

A solution (« SCORISKj® ») integrated into the « Place de Marché COREvidence ® des Technologies de l'Information » concept intended, in this environment, for the calculation and quantification of risk levels during assessment or compliance scans, on the basis of the following structured critera: the Precision, that is to say the common vulnerabilities reported by all the scan engines involved; the Weighting (or weight), based on the classification (scoring) regarding severity and exploitability of the CVSS v2.0 evaluation system; the predetermined Tagging, or Classification, when the vulnerability is tagged as part of a list of major risks according to the ordered list ΟψΕ/SANS Top 25; the Persistence, a criterion measuring the longevity of the vulnerability; a solution relating to an integrated and global approach of the security of assets.

Description

Système et Méthode pour la notation, l'évaluation et le classement des actifs du système d'information  System and Method for the rating, evaluation and classification of information system assets
La présente invention a pour objet un système et méthode pour la notation, l'évaluation et le classement des actifs du système d'information des organisations.The present invention relates to a system and method for the rating, evaluation and classification of the assets of the information system of organizations.
La présente invention concerne le domaine de la gestion des vulnérabilités des systèmes informatiques, e|t se positionne dans un domaine beaucoup plus vaste qui est connu couramment cortime « Logiciel en tant que Service » (en anglais Software as a Service ou SaaS), qui. a connu toutes ces dernières années des The present invention relates to the field of vulnerability management of computer systems, e | t is positioned in a much larger field that is commonly known as "Software as a Service" (SaaS). . has experienced in recent years
développements importante, et qui semble vouloir se continuer fortement avec de larges applications telles que la "virtualisation" et le cloud Computing, et autres développements réseauxjet en ligne. La gestion globale des vulnérabilités s'entend dans la présente invention en tant qu'approche nouvelle, homogène et plus complète, voire globale, de; la sécurité des systèmes informatiques. Ainsi, la présente invention se classe dans ç!è qu'il est possible de dénommer « La Sécurité en SaaS ». Une meilleure compréhension de la présente invention est de considérer qu'elle a été conçue pour auditer et analyser la sécurité des systèmes d'information, et apporter une solution ordonnée, systématique, exhaustive, intégrée et en temps réel.important developments, and that seems to want to continue strongly with broad applications such as "virtualization" and cloud computing, and other online networkjet developments. Global vulnerability management is understood in the present invention as a new, homogenous and more comprehensive, even global, approach to; the security of computer systems. Thus, the present invention is classified in that it is possible to denote "SaaS Security". A better understanding of the present invention is to consider that it has been designed to audit and analyze the security of information systems, and provide an orderly, systematic, comprehensive, integrated and real-time solution.
Note : Dans ce qui suit, eiflraison de la prépondérance inévitable des expressions anglaises dans les technologies de l'information (Tl), il leur sera le plus souvent référé entre parenthèses, et ces expressions ou abréviations seront en italique. Note: In the following, eiflraison of the inevitable preponderance of English expressions in information technology (Tl), it will be most often referred to in parentheses, and these expressions or abbreviations will be italicized.
Parmi les fonctionnalités globales du système décrit ici, il y a lieu d'insister en premier lieu sur le caractè^ intégré de la solution présentée, par rapport à l'état de la technique antérieure. En ejjjfet, les besoins en matière de sécurité des systèmes informatiques sont très varj'jés : Gestion des Vulnérabilités, Evaluation des risques, Suivi/Surveillance (Monitô pg), Evaluation des applications, Détection et  Among the overall functionalities of the system described here, it is necessary to insist firstly on the integrated character of the presented solution, compared with the state of the prior art. In fact, the security needs of IT systems are very varied: Vulnerability Management, Risk Assessment, Monitoring / Surveillance (Monitô pg), Application Evaluation, Detection and
maîtrise/réduction des Ma /are, ...etc. Dans la pratique et sur le marché, chaque Editeur est focalisé sur son domaine plus ou moins délimité. Cependant, comme conséquences, les utilisatjeurs de telles solutions qui souhaitent couvrir un maximum d'aspects de la sécurité dë;s systèmes informatiques se trouvent dans l'obligation d'acquérir plusieurs solutions. Ce constat fait qu'une vision globale de la sécurité s'avère une tâche très difficile à réaliser pour les raisons ci-après : problèmes d'agrégation des données, compatibilité des rapports due à la multiplicité et à la variété des documents réçupérés, différences dans la gestion des équipes de support, tarifications différjentes, plans de règlements différents, temps et efforts considérables - et répétitifs^ - pour comparer les éditeurs de solutions, modalités de classement des rapports, etc. A ces problèmes, il v a encore lieu de rajouter que certaines Solutions ne sont pas en SaaS, ce qui a pour résultats de les rendre plus coûteuses et de mobiliser plus de ressources humaines et matérielles. En synthèse sur l'état actuel de la technique, la vaste hétérogénéité des infrastructures des systèmes d'informations rjèhd complexe une évaluation complète en s'en tenant aux solutions de sécurité existantes sur le marché. control / reduction of Ma / are, ... etc. In practice and on the market, each Publisher is focused on its more or less delimited domain. However, as consequences, the users of such solutions who wish to cover a maximum of aspects of the security of computer systems are obliged to acquire several solutions. This fact makes a global vision of security a very difficult task for the following reasons: data aggregation problems, compatibility of reports due to the multiplicity and variety of documents retrieved, differences in the management of support teams, different pricing, different settlement plans, time and considerable effort - and repetitive ^ - to compare the solution editors, how to classify reports, etc. To these problems, it is still necessary to add that some Solutions are not in SaaS, which results in making them more expensive and mobilizing more human and material resources. In summary, on the current state of the art, the vast heterogeneity of information systems infrastructures makes a complete evaluation by sticking to existing security solutions on the market.
Au-delà des fonctionnalité^ globales du système décrit ici, qui seront plus détaillées ci-après, il y a lieu d'insistjër sur ses principaux avantages qui sont un gain de temps et une productivité considérables, en raison du fait qu'en matière d'analyse des données de sécurité, le problème qui se pose est d'arriver rapidement à identifier et isoler les priorités avec la plus grande garantie - techniquement et Beyond the overall functionality of the system described here, which will be more detailed below, it is necessary to emphasize its main advantages, which are considerable time and productivity, because of the fact that analysis of safety data, the problem is to quickly identify and isolate priorities with the greatest guarantee - technically and
méthodologiquement possible - que ces priorités sont effectivement pertinentes. La solution qui répond efficacement à cette problématique est à présent disponible et porte la dénomination « COREvidence ® ». methodologically possible - that these priorities are indeed relevant. The solution that responds effectively to this problem is now available and bears the name "COREvidence ®".
Le résumé suivant de cette solution est fourni à titre d'explication seulement, car elle constitue le cadre de l'invèotion, qui concerne en effet la solution technique - précisée ci-après - exposée en détail dans le présent descriptif.  The following summary of this solution is provided for explanation only, as it provides the framework for the invocation, which refers to the technical solution - as detailed below - detailed in this specification.
La solution « COREvidence » possède donc la particularité d'agréger le contenu de plusieurs API ou moteurs j je scan. Le résultat recherché et obtenu est la définition du niveau d'identification de Vulnérabilités communes, encore conçu comme ensemble de Vulnérabilités communes à plusieurs moteurs 'de scan. Ce résultat est en soi une réponse au problème fréquemment posé de la précision des audits et des 'faux- positifs' qui peuvent en résulter. L'importance de la définition de cet environnement lui a valu l'appellation de « Concept de Place de Marché COREvidence des The "COREvidence" solution has the particularity of aggregating the content of several APIs or engines I scan. The result sought and obtained is the definition of the level of identification of common vulnerabilities, still conceived as a set of Vulnerabilities common to several scan engines. This result is in itself a response to the frequently encountered problem of the accuracy of audits and the 'false positives' that can result. The importance of defining this environment has earned it the title of "COREVidence Marketplace Marketplace Concept".
Technologies de l'Information » (The COREvidence IT Security Marketplace Concept). Information Technology "(The COREvidence IT Security Marketplace Concept).
Et c'est à ce niveau qu'intervient la présente invention, en constituant l'élément central de ce concept, qui; permet le calcul et la quantification des niveaux de risque pendant les scans d'analys;e ou de conformité (assessment or compliance scans). And it is at this level that the present invention intervenes, constituting the central element of this concept, which; allows the calculation and quantification of risk levels during analysis or compliance scans.
En d'autres termes, la technologie constituante de la présente invention est le concept 'propriétaire' (spécifique) de COREvidence pour l'évaluation méthodologique et quantitative des risquesjiàttachés aux actifs, qui fondamentalement est basée sur les critères suivants, comme il sera détaillé plus avant : In other words, the constituent technology of the present invention is COREvidence's (proprietary) 'proprietary' concept for the methodological and quantitative assessment of risks to assets, which is fundamentally based on the following criteria, as will be detailed in more detail. before:
Précision : Les Vulnérabilités Communes rapportées par tous les moteurs de scan impliqués. Plus ce ratio estjélevé, plus la vulnérabilité est considérée comme sûre. Accuracy: Common Vulnerabilities reported by all scan engines involved. The higher this ratio is, the more the vulnerability is considered safe.
Pondération (ou poids) : Ceci est basé sur la classification {scoring) en matière de sévérité et exploitabilité du système d'évaluation CVSS v2.0. Weighting (or weight): This is based on the {scoring) rating for the severity and usability of the CVSS v2.0 evaluation system.
Repérage prédéterminé ou Classification : Marqué lorsque la vulnérabilité est repérée en tant que partie {d'une liste de risques majeurs selon la liste ordonnée CWE/SANS Top 25.
Figure imgf000005_0001
Le système COREvidençe est structuré comme suit : Pre-identified or Classification: Marked when the vulnerability is identified as part of a major hazard list according to the CWE / SANS Top 25 ordered list.
Figure imgf000005_0001
The COREvidençe system is structured as follows:
Basé sur une multiplicité de Scanners de vulnérabilité de réseaux Based on a multiplicity of Network Vulnerability Scanners
Scanners automatisés d'Applications et de Services Réseau (web) Automated Scanners of Applications and Network Services (web)
Modèles prédéfinis de Scanning Réglementaires et Standards  Predefined Scanning Models Regulatory and Standards
Tests de Pénétration et boîte à outils à la demande, de piratage informatique 'éthique'.  Penetration tests and toolbox on demand, hacking 'ethics'.
Scanner de sécurité à distance de Voix sur Internet ( VoIP) Remote Voice Security Scanner over the Internet (VoIP)
Questionnaires d'Autoévaluation Techniques et Organisationnels  Technical and Organizational Self-Assessment Questionnaires
(NIST, CIS, ISO27001 , PCI DSS ...) (NIST, CIS, ISO27001, PCI DSS ...)
Outils de Sécurité et Logiciels malveillants, Exécution de Ressources Frontales Security and Malware Tools, Running Front End Resources
Scans d'outils (O jen Source & Commercial) et Capacités d'importation de sondes Tool Scans (Ojen Source & Commercial) and Sensor Import Capabilities
Service de Vulnérabilité Tl et de Surveillance des Outils. Tl Vulnerability Service and Tools Monitoring.
Bénéfices apportés par Ijé Système : Benefits provided by Ije System:
Flexibilité d'utilisation basée sur Plan de crédit Flexibility of use based on Credit Plan
Plans de Souscription sur mesure pour les Consultants SMB et Libres  Customized Subscription Plans for SMB and Free Consultants
(Free lance) (Free lance)
Scans précis utilisant des APIs Multiples et des Moteurs de Scan Scans illimités & Suivi (Monitoring) d'Actifs Fixes ou Variables Precise Scans Using Multiple APIs and Unlimited Scans Scan Engines & Fixed Asset Tracking or Variable Monitoring
Interface facile et apte à être personnalisée.  Easy interface and able to be personalized.
Rapports Consolides, Précis et Unifiés  Consolidated, Accurate and Unified Reports
Fonctionnalités features
Figure imgf000007_0001
Figure imgf000008_0001
La Figure 7 (Tableau 4) résume typiquement les calculs de score (selon le 'Guide de Notation de ScorRisk'j.
Figure imgf000007_0001
Figure imgf000008_0001
Figure 7 (Table 4) typically summarizes the score calculations (according to the ScorRisk'j Scoring Guide).
La Figure 8 (Tableau 5) çist, une table qui résume typiquement les Grades de Qualité ScoRISK (ScoRlSK Quality Grades) utilisés pour marquer un actif.  Figure 8 (Table 5) çist, a table that typically summarizes the ScoRISK Quality Grades used to mark an asset.
Ce cadre étant établi, l'expression de l'invention se décline en étapes et procédures spécifiques qui sont décrijtjês ci-après, essentiellement en tant qu'exemples concrets de l'application du systèrrjië, qui par ailleurs révèlent une méthodologie et des modes opératoires précis. On procède donc comme suit ou de manière similaire aux étapes ci-après exposées.  As this framework is established, the expression of the invention is broken down into specific steps and procedures which are described below, essentially as concrete examples of the application of the system, which moreover reveal a methodology and operating procedures. specific. The procedure is therefore as follows or similarly to the steps below.
On suppose un nombre 'n' de Moteurs de Scan ou (n APIs), impliqués dans un processus de scan (comme on pourrait s'y référer dans COREvidence) et nous considérons les formules suivantes :  We assume a number 'n' of Scan Engines or (n APIs), involved in a scan process (as we could refer to it in COREvidence) and we consider the following formulas:
Niveau 1 Vulnérabilités Communes (VC) = VC identifiées avec 'n' APIs  Level 1 Common Vulnerabilities (VC) = VC identified with 'n' APIs
Niveau 2 Vulnérabilités Communes (VC) = VC identifiées avec (n-1) APIs ... Level 2 Common Vulnerabilities (VC) = VC identified with (n-1) APIs ...
Niveau 'N' Vulnérabilités Communes (VC) = VC rapportées avec chaque APILevel 'N' Common Vulnerabilities (VC) = VC reported with each API
L'exemple de la Figure 1 i(Tableau 1 ) schématise le concept. The example in Figure 1 i (Table 1) schematizes the concept.
j ';■  i ■
Par l'application de la forrnule, trois niveaux seront déterminés (du fait de 3 APIs dans cet exemple), ainsi que le montre le Tableau 2 (Figure 5).  By the application of the formula, three levels will be determined (because of 3 APIs in this example), as shown in Table 2 (Figure 5).
On définit par convention jd'ans ce qui suit les éléments ci-après :  The following elements are defined by convention as follows:
v: Vulnérabilité v: Vulnerability
n : le nombre d'APIs n: the number of APIs
L : est le niveau = (Nb (API): -M) (3 APIs si le nombre de niveaux est 2)  L: is the level = (Nb (API): -M) (3 APIs if the number of levels is 2)
Occurrence : le Nombre de fois que la Vulnérabilité est détectée par les APIs. Une vulnérabilité est détectée n fols (par tous les APIs impliqués) jusqu'à 1 fois (par 1 API).  Occurrence: The number of times Vulnerability is detected by APIs. A vulnerability is detected n fols (by all APIs involved) up to 1 time (per 1 API).
Ratio (v) = Occurrence (v) / n * 100  Ratio (v) = Occurrence (v) / n * 100
GR (Global Ratio) = Somme (Ratio (v)) i / (Total des Ratios sauf Niveau 1) * 100  GR (Global Ratio) = Sum (Ratio (v)) i / (Total Ratios except Level 1) * 100
(i allant de n à L). En fait, nous ne calculons pas les vulnérabilités de niveau 1. Ce qui est normal, puisque nous recherchons celles trouvées par plusieurs APIs.  (i ranging from n to L). In fact, we do not compute level 1 vulnerabilities. This is normal since we are looking for the ones found by more than one API.
Score +2 si Global Ratio >= 80 %  Score +2 if Global Ratio> = 80%
Score ÷ 1 si Global Ratio <50 < 70 %  Score ÷ 1 if Global Ratio <50 <70%
Score +0 si pas de commune vulnérabilité  Score +0 if no common vulnerability
Le Tableau 3 (Figure 6) montre comment le Ratio et le Global Ratio sont calculés en utilisant l'exemple montré! âu Tableau 1 susmentionné. - Notes Table 3 (Figure 6) shows how the Ratio and Global Ratio are calculated using the example shown! Table 1 above. - Notes
Figure imgf000010_0001
Figure imgf000010_0001

Claims

REVENDICATIONS
1 - Système et méthode pour la notation, l'évaluation et le classement des actifs du système d'information, constituant l'élément central du concept de « Place de Marché COREvidence® jdes Technologies de l'Information », une solution qui possède la particularité d'agréger le contenu de plusieurs API ou moteurs de scan, et approche-cadre dont le but premier est la définition du niveau d'identification de Vulnérabilités communes jencore conçu comme ensemble de Vulnérabilités communes à plusieurs moeurs de scan, et résultat constituant en soi une réponse au problème fréquemment posé de la précision des audits et des 'faux-positifs' qui peuvent en résulter, ayaritjcomme principaux avantages un gain de temps et une productivité considérables] en raison du fait qu'en matière d'analyse des données de sécurité, le problème quijsje pose est d'arriver rapidement à identifier et isoler les priorités avec la plus grande garantie techniquement et méthodologiquement possible, que ces prioritéjsjsont effectivement pertinentes ; solution dans le cadre ainsi décrit, caractérisée par la possibilité de calcul et de quantification des niveaux de risque pendant les scans d'analyse ou de conformité (assessment or compliance scans), sur la base au moins des critères structurés suivants : la Précision, c-à-d les Vulnérabilités Communeà; rapportées par tous les moteurs de scan impliqués ; la Pondération (ou poids), baisée sur la classification (scoring) en matière de sévérité et exploitabilité du système d'évaluation CVSS v2.0 ; le Repérage prédéterminé, ou Classification, lorsque la vulnérabilité est repérée en tant que partie d'une liste de risques majeurs selon la liste ordonnée CWE/SANS Top 25 ; la Persistance, critère mesurant la longévité de [Ici vulnérabilité. (Figures 1 à 3). 1 - System and method for the rating, evaluation and classification of information system assets, constituting the central element of the concept of "COREvidence® Market Place of Information Technologies", a solution that has the particularity of aggregating the content of several APIs or scan engines, and framework approach whose primary purpose is the definition of the level of identification of common vulnerabilities designed as a set of Vulnerabilities common to several mores of scan, and result constituting in an answer to the frequently asked problem of the accuracy of the audits and the 'false-positives' that can result from them, having as their main advantages a considerable time saving and productivity] because of the fact that in the analysis of the data of safety, the problem I am asking is to quickly identify and isolate priorities with the greatest technical and methodological possible, that these priorities are actually relevant; solution in the framework thus described, characterized by the possibility of calculating and quantifying risk levels during the assessment or compliance scans, on the basis of at least the following structured criteria: Precision, c Common Vulnerabilities; reported by all the scan engines involved; the weighting (or weight), scored on the scoring for the severity and usability of the CVSS v2.0 evaluation system; the pre-determined Scoring, or Classification, when the vulnerability is identified as part of a list of major hazards according to the ordered list CWE / SANS Top 25; Persistence, criterion measuring the longevity of [Here vulnerability. (Figures 1 to 3).
2 - Système et méthode pjour la notation, l'évaluation et le classement des actifs du système d'information, selon Revendication 1 , caractérisé en ce que, au titre d'une solution intégrée, répondait à des besoins en matière de sécurité des systèmes informatiques très variés j ëlle résout notamment les problèmes suivants: gestion des Vulnérabilités, évaluation; des risques, suivi/surveillance (Monitoring), évaluation des applications, détection et [maîtrise et réduction des Logiciels Malveillants (Malware),  2 - System and method for the evaluation, evaluation and classification of information system assets, according to Claim 1, characterized in that, as an integrated solution, meets system security requirements A wide range of computer-related issues, such as: Vulnerability management, evaluation; risks, monitoring / surveillance (monitoring), evaluation of applications, detection and [control and reduction of Malware,
3 - Système et méthode p;Î3ur la notation, l'évaluation et le classement des actifs du système d'information, selon Revendications 1 et 2, caractérisé en ce que - étant donné que dans la pratiquée et sur le marché, chaque Editeur est focalisé sur son domaine plus ou moins délimité - avec comme conséquences que les utilisateurs de telles solutions qui souhaitant couvrir un maximum d'aspects de la sécurité des systèmes informatiques sjèj trouvent dans l'obligation d'acquérir plusieurs solutions - cette solution apporte une vision globale de la sécurité, évitant notamment aux exploitants les problèmes! -de : agrégation des données, difficile compatibilité des rapports due à la multiplicité et à la variété des documents récupérés, différences dans la gestion des équipas de support, tarifications différentes, plans de règlements différents, temps et effortsllconsidérables et répétitifs, pour comparer les éditeurs de solutions, et modalités disparates de classement des rapports. 3 - System and method for rating, evaluating and classifying the assets of the information system, according to Claims 1 and 2, characterized in that - since in the practice and on the market each Publisher is focused on its more or less delimited domain - with the consequence that users of such solutions who want to cover a maximum of aspects of the security of IT systems are obliged to acquire several solutions - this solution brings a global vision safety, especially avoiding the operators the problems! -de: aggregation of data, difficult compatibility of reports due to the multiplicity and variety of documents retrieved, differences in the management of support equipment, different pricing, different settlement plans, time and effortsllconsiderable and repetitive, to compare publishers solutions, and disparate methods of filing reports.
4 - Système et méthode pour la notation, l'évaluation et le classement des actifs du système d'information, selon Revendications 1 à 3, caractérisé en ce que, dans le but pour le client de minimiser le coût de la Solution, notamment en termes de ressources humaines matérielles et méthodologiques, ladite solution est prodiguée en mode SaaS, ou Logici!ej en tant que Service. 4 - System and method for rating, evaluating and classifying the assets of the information system, according to Claims 1 to 3, characterized in that, in the purpose for the client to minimize the cost of the Solution, particularly in terms of material and methodological human resources, said solution is provided in SaaS mode, or Logici! ej as a Service.
5 - Système et méthode ur la notation, l'évaluation et le classement des actifs du système d'information, selon Revendications 1 à 4, caractérisé en ce que cette Solution est déployée pour pallier à la vaste hétérogénéité des infrastructures des systèmes d'informations, kiàii dans l'état actuel de la technique rend complexe une évaluation complète en s]|n tenant aux solutions disparates de sécurité existantes sur le marché, en constituant une solution unique, exhaustive et intégrée.  5 - System and method for rating, evaluating and classifying the assets of the information system, according to Claims 1 to 4, characterized in that this solution is deployed to compensate for the vast heterogeneity of the infrastructures of the information systems In the present state of the art, it is complex to make a comprehensive assessment of existing disparate security solutions on the market, providing a unique, comprehensive and integrated solution.
PCT/MA2013/000001 2013-01-02 2013-01-02 System and method for the scoring, evaluation and ranking of the assets of the information system WO2014107104A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/MA2013/000001 WO2014107104A1 (en) 2013-01-02 2013-01-02 System and method for the scoring, evaluation and ranking of the assets of the information system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/MA2013/000001 WO2014107104A1 (en) 2013-01-02 2013-01-02 System and method for the scoring, evaluation and ranking of the assets of the information system

Publications (1)

Publication Number Publication Date
WO2014107104A1 true WO2014107104A1 (en) 2014-07-10

Family

ID=51062363

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/MA2013/000001 WO2014107104A1 (en) 2013-01-02 2013-01-02 System and method for the scoring, evaluation and ranking of the assets of the information system

Country Status (1)

Country Link
WO (1) WO2014107104A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115102751A (en) * 2022-06-17 2022-09-23 西安热工研究院有限公司 Method for testing capability of safety service manufacturer
US11768945B2 (en) 2020-04-07 2023-09-26 Allstate Insurance Company Machine learning system for determining a security vulnerability in computer software

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040221176A1 (en) * 2003-04-29 2004-11-04 Cole Eric B. Methodology, system and computer readable medium for rating computer system vulnerabilities
US20080092237A1 (en) * 2006-10-13 2008-04-17 Jun Yoon System and method for network vulnerability analysis using multiple heterogeneous vulnerability scanners
US20110138469A1 (en) * 2009-12-03 2011-06-09 Recursion Software, Inc. System and method for resolving vulnerabilities in a computer network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040221176A1 (en) * 2003-04-29 2004-11-04 Cole Eric B. Methodology, system and computer readable medium for rating computer system vulnerabilities
US20080092237A1 (en) * 2006-10-13 2008-04-17 Jun Yoon System and method for network vulnerability analysis using multiple heterogeneous vulnerability scanners
US20110138469A1 (en) * 2009-12-03 2011-06-09 Recursion Software, Inc. System and method for resolving vulnerabilities in a computer network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11768945B2 (en) 2020-04-07 2023-09-26 Allstate Insurance Company Machine learning system for determining a security vulnerability in computer software
CN115102751A (en) * 2022-06-17 2022-09-23 西安热工研究院有限公司 Method for testing capability of safety service manufacturer
CN115102751B (en) * 2022-06-17 2023-09-15 西安热工研究院有限公司 Method for checking capability of security service manufacturer

Similar Documents

Publication Publication Date Title
US11848760B2 (en) Malware data clustering
US10891371B2 (en) Detecting malicious user activity
US9961115B2 (en) Cloud-based analytics to mitigate abuse from internet trolls
US8161060B2 (en) Methods and systems for identifying, assessing and clearing conflicts of interest
Vasilescu et al. On the variation and specialisation of workload—a case study of the Gnome ecosystem community
US9639902B2 (en) System and method for managing targeted social communications
US11748488B2 (en) Information security risk management
US20110302103A1 (en) Popularity prediction of user-generated content
WO2013129548A1 (en) Document classification system, document classification method, and document classification program
US11222199B2 (en) Automatically suggesting behavioral adjustments during video conferences
US11100148B2 (en) Sentiment normalization based on current authors personality insight data points
US8819442B1 (en) Assessing risk associated with a computer technology
US10387467B2 (en) Time-based sentiment normalization based on authors personality insight data points
US20100228730A1 (en) Inferring sensitive information from tags
US20180210728A1 (en) Evaluating project maturity from data sources
Al-Sai et al. A review on big data maturity models
Herr et al. Taking stock: Estimating vulnerability rediscovery
US20170272453A1 (en) User interface for displaying network analytics
Gundur et al. Using digital open source and crowdsourced data in studies of deviance and crime
WO2014107104A1 (en) System and method for the scoring, evaluation and ranking of the assets of the information system
Pavel et al. Exploring the Discrepancy between Marketing Focused on Racial and Ethnic Diversity and the Availability of Support for Immigrant Entrepreneurs in Economic Development
Birhane et al. AI auditing: The broken bus on the road to AI accountability
US10587487B2 (en) Selecting time-series data for information technology (IT) operations analytics anomaly detection
Schütz et al. CHASING CYBER SECURITY UNICORNS: A TAXONOMY-BASED ANALYSIS OF CYBER SECURITY START-UPS’BUSINESS MODELS
Mashima et al. Privacy settings from contextual attributes: A case study using google buzz

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13717577

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13717577

Country of ref document: EP

Kind code of ref document: A1

WA Withdrawal of international application