CN104040554B - 计算定量资产风险 - Google Patents

计算定量资产风险 Download PDF

Info

Publication number
CN104040554B
CN104040554B CN201280067493.XA CN201280067493A CN104040554B CN 104040554 B CN104040554 B CN 104040554B CN 201280067493 A CN201280067493 A CN 201280067493A CN 104040554 B CN104040554 B CN 104040554B
Authority
CN
China
Prior art keywords
weakness
assets
fraction
countermeasure
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201280067493.XA
Other languages
English (en)
Other versions
CN104040554A (zh
Inventor
P.G.巴萨瓦帕特纳
D.科林吉瓦迪
S.施雷克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
McAfee LLC
Original Assignee
Mai Kefei Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mai Kefei Co filed Critical Mai Kefei Co
Publication of CN104040554A publication Critical patent/CN104040554A/zh
Application granted granted Critical
Publication of CN104040554B publication Critical patent/CN104040554B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

识别用于多个已知弱点中的特定弱点的标准化弱点分数,其中,标准化弱点分数指示相对于其他弱点的与特定弱点相关联的相对风险水平。确定指示特定资产拥有特定弱点的估计概率的弱点检测分数;以及确定用于特定资产对特定弱点的弱点复合分数,其中,从标准化弱点分数和弱点检测分数导出弱点复合分数。识别对策分量分数,其中,对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率。根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。在某些实例中,可以根据多个计算的风险度量来计算聚合风险分数。

Description

计算定量资产风险
技术领域
本公开一般地涉及计算机安全性评定领域,并且更具体地涉及用于在计算资产系统中计算用于资产的风险度量。
背景技术
资产是计算机或其他电子设备。资产系统可以通过一个或多个网络被连接。例如,家庭可能具有五个资产,其中的每一个被相互联网并通过因特网连接到外面世界。作为另一示例,企业可能具有三个在物理上独立的办公室,其中的每一个具有许多资产。每个办公室内的资产和跨办公室的资产可以通过网络被连接。
资产系统中的每个资产可能在任何给定时间处于来自多个威胁的风险。每个威胁可对应于由特定病毒、恶意软件或其他未授权实体对资产的潜在攻击。攻击在未授权实体利用资产的已知弱点以求访问或控制资产时发生。某些威胁和弱点具有已知的补救措施,其如果被针对资产实施,则消除或降低该威胁将影响资产的风险。某些威胁不具有已知补救措施。此外,某些已知弱点可能并未与已知威胁相关联。
附图说明
图1是被网络监视器监视的示例性资产系统的简化示意图;
图2是网络监视器所使用的数据源的示例的简化框图;
图3A是用于生成用于资产和威胁的威胁中心风险度量的示例性过程的流程图;
图3B是用于生成用于资产和弱点的弱点中心风险度量的示例性过程的流程图;
图4是用于基于每个威胁或每个弱点将用于资产的风险度量聚合的示例性过程的流程图;以及
图5是用于基于每个资产将风险度量聚合的示例性过程的流程图。
图6是根据用于资产的聚合风险度量而呈现前十个最处于风险中资产的示例性用户接口。
各个图中的相同附图标记和命名指示相同的元件。
具体实施方式
概述
一般地,可以用各方法来体现在本说明书中描述的主题的一个方面,所述方法包括识别用于多个已知弱点中的特定弱点的标准化弱点分数的动作,该标准化弱点分数指示相对于其他弱点的与特定弱点相关联的相对风险水平。可以确定弱点检测分数,其指示特定资产拥有特定弱点的估计概率,并且可以针对特定资产确定对特定弱点的弱点复合分数,弱点复合分数是从标准化弱点分数和弱点检测分数导出的。可以识别对策分量分数,其指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率。可以根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。
此外,在另一一般方面,提供了包括至少一个处理器设备、至少一个存储器元件以及网络监视器的系统。网络监视器在被处理器执行时能够识别用于多个已知弱点中的特定弱点的标准化弱点分数,该标准化弱点分数指示相对于其他弱点的与特定弱点相关联的相对风险水平。网络监视器还可以确定指示特定资产拥有特定弱点的估计概率的弱点检测分数,确定从标准化弱点分数和弱点检测分数导出的用于特定资产对特定弱点的弱点复合分数。此外,网络监视器可以识别对策分量分数并根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量,对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率。
此外,可以以各方法来体现在本说明书中描述的主题的一个方面,所述方法包括接收弱点定义数据的动作,该弱点定义数据包括用于多个弱点中的每一个的弱点指示、降低与资产拥有弱点相关联的风险的一个或多个对策的标识、潜在地由针对弱点的每个对策给予的保护水平的指示以及描述弱点所适用的资产的一个或多个配置的适用性信息。还可以针对一个或多个资产中的每一个接收弱点检测数据、对策检测数据以及配置数据,弱点检测数据识别可应用于资产的弱点,用于每个资产的对策检测数据识别保护资产的一个或多个对策,并且用于每个资产的配置数据描述资产的配置。可以针对一个或多个弱点中的每一个针对一个或多个资产中的每一个确定各风险度量。确定该风险度量可以针对每个资产和每个弱点包括:识别用于弱点的标准化弱点分数,该标准化弱点分数指示与弱点相关联的相对于其他弱点的相对风险水平;根据用于资产的弱点检测数据来确定用于资产的弱点检测分数;确定从标准化弱点分数和弱点检测分数导出的用于特定资产对特定弱点的弱点复合分数;通过分析由在用于弱点的弱点定义数据中和在对策数据中都识别为保护资产的每个对策给予的保护水平,来根据弱点定义数据和对策检测数据而确定对策分量分数;以及根据弱点复合分数和对策分量分数来确定用于资产和弱点的风险度量。
这些及其他实施例每个能够可选地包括以下特征中的一个或多个。标准化弱点分数可以包括标准化分量和根据包括特定资产的特定系统的特征来调整标准化分量的环境分量。环境分量可以表示特定系统内的特定资产的关键性,并且可以基于用于特定资产的关键性数据信息导出,该关键性信息定义损失特定资产的影响。标准化分量和环境分量中的每一个可以包括描述基于特定弱点的对资产的机密性影响、基于特定弱点的对资产的完整性影响以及基于特定弱点的对资产的可用性影响的数据。标准化分量可以包括反映随时间推移对由特定弱点引起的风险的改变的时间分量。标准化弱点分数可以至少部分地基于公共弱点评分系统(CVSS)的标准分数。可以针对特定弱点接收弱点定义数据,该弱点定义数据包括特定弱点的标识、降低弱点将影响资产的风险的一个或多个对策的标识、指示潜在地由用于弱点的每个对策给予的保护水平的对策保护数据以及描述弱点所适用的资产的一个或多个配置的适用性数据。还可以接收用于特定资产的弱点检测数据、对策检测数据以及配置数据;用于特定资产的弱点检测数据包括暗示特定资产是否拥有弱点的信息、识别保护特定资产的一个或多个对策的用于资产的对策检测数据以及描述特定资产的配置的用于特定资产的配置数据。可以至少从对策保护数据和对策检测数据导出对策分量分数。还可以从用于特定资产的配置数据导出对策分量分数。识别对策分量分数可以包括计算对策分量分数。可以至少从弱点检测数据导出弱点检测分数。还可以从用于特定资产的配置数据导出弱点检测分数。
此外,实施例每个可以可选地包括以下特征中的一个或多个。用于特定资产的所确定风险度量可以是弱点中心风险度量,并且还可以针对特定资产确定威胁中心风险度量。确定用于特定资产的威胁中心风险度量可以包括:确定从估计特定威胁的严重性的威胁严重性分数和估计特定威胁对特定资产的适用性的适用性分数导出的用于特定资产和特定威胁的威胁因数;确定从威胁因数、弱点分量分数以及威胁对策分量分数导出的用于特定资产和特定威胁的威胁暴露因数,弱点分量分数指示特定资产针对特定威胁是否是脆弱的,并且确定从第二对策将缓解关于特定威胁的攻击对特定资产的影响的可能性估计导出的对策分量分数。可以根据用于特定资产的威胁暴露因数和关键性分数来确定用于特定资产和特定威胁的威胁中心风险度量,关键性分数表示损失资产的影响。特定威胁可以利用特定弱点,弱点分量分数可以等于弱点检测分数,并且特定对策可以是第二对策。所确定弱点中心度量和威胁中心度量的各计算值可以是不同的。
此外,实施例每个可以可选地包括以下特征中的一个或多个。标准化弱点分数可以具有在预定义范围内的值。标准化对策分量分数也可以具有在预定义范围内的值。可使所述多个已知弱点中的至少某些弱点与多个已知威胁中的至少一个相关联,而特定弱点并未与任何已知威胁相关联。可以针对资产确定各风险度量,并且可以根据用于资产和所述多个弱点中的每一个的各风险度量而针对资产确定聚合风险度量。聚合风险度量可以是以下各项中的一个:各风险度量的和、各风险度量的平均值、各风险度量的最大值、各风险度量的最小值或各风险度量的模。可以选择包括特定资产的一组资产,并且可以针对该组中的每个资产确定聚合风险度量以然后根据资产的各聚合风险度量来确定用于该组资产的聚合风险度量。在其他实例中,可以针对多个资产中的每一个确定各风险度量,并且可以根据用于所述多个资产中的每一个和弱点的各风险度量而针对该弱点确定聚合风险度量。
特征中的某些或全部可以是计算机实现方法,或者进一步地包括在用于执行此所述功能的各系统或其他设备中。在附图和以下描述中阐述了本公开的这些及其他特征、方面以及实施方式的细节。根据该描述和附图以及根据权利要求,本公开的其他特征、目的和优点将是显而易见的。
示例性实施例
§1.0资产系统概述
图1图示出被网络监视器102监视的示例性资产系统100。系统100中的资产104通过网络106被相互连接,并且可选地连接到其他系统。
每个资产104可能对于一个或多个威胁而言是脆弱的。这些威胁包括例如引起未授权攻击的病毒、恶意软件及其他软件或代理。可以用多种对策来保护每个资产。这些对策包括被动对策和主动对策。
主动对策可以是完全地或部分地消除弱点的存在的对策。例如,对脆弱应用程序或OS部件应用补丁去除弱点。类似地,在其中浏览器设置过于宽松或口令过于短的情况下重配置可消除弱点(并且您创建新的更强口令)。其他主动对策包括卸载脆弱应用程序、关掉脆弱服务并且甚至关掉脆弱机器或将其网络电缆拔掉插头。
被动对策隐藏弱点的存在以屏蔽其而不被(例如被威胁)利用。例如,被动对策可以包括利用防火墙来保护被脆弱的应用程序侦听的端口,或者激活主机入侵保护系统(HIPS)以检测尝试利用应用程序或操作系统部件中的脆弱代码片上的缓冲器溢出的签名。主动和被动对策可以是基于网络或主机的,并且可以是传感器相关的(诸如防病毒或HIPS),或者被配置为用于主机的屏蔽(诸如网络或主机防火墙、代理服务器、分组过滤器等)。被动对策总体地保护主机直至弱点可以具有所应用的主动对策为止,或者针对未知弱点进行保护。
被动对策可以由两种传感器提供:基于主机的传感器108和基于网络的传感器110。基于主机的传感器108和基于网络的传感器110监视资产本身和/或到和来自资产的网络业务。出于说明性目的,下面将传感器描述为通过提供一个或多个对策来监视资产和保护资产两者。然而,监视和对策功能不一定由同一传感器提供。在以下描述中,使用传感器来指代各种类型的监视和保护系统,包括例如防火墙、主机入侵预防系统、网络入侵预防系统、网络访问控制系统、入侵检测系统、防病毒软件以及垃圾过滤器。
基于主机的传感器108和基于网络的传感器110可以包括作为传感器的一部分的一个或多个被动对策。这些被动对策是保护资产免受各种威胁的软件程序和/或硬件。每个被动对策降低威胁将影响资产的风险。被动对策通过检测并停止与威胁相关联的攻击、通过检测并停止与攻击相关联的活动或者通过缓解由攻击引起的损害来针对威胁进行保护。例如,可将被动对策配置成检测具有与特定攻击相关联的签名的数据,并且阻挡具有该签名的数据。作为另一示例,被动对策可生成被攻击作为目标的特定文件的备份拷贝,使得即使攻击影响了文件,也能够恢复文件。示例性被动对策包括但不限于硬件防火墙、软件防火墙、数据丢失预防系统、web代理、邮件过滤器、基于主机的入侵预防系统、基于网络的入侵预防系统、基于速率的入侵预防系统、基于内容的入侵预防系统、入侵检测系统以及病毒检测软件。
被动对策也可以是并未完全保护免受攻击的影响或缓解攻击的影响的部分对策。例如,部分被动对策可以阻挡与特定攻击相关联的网络业务中的某些但不是全部。作为另一示例,如果威胁需要直接物理访问或网络访问以损害资产,则示例性部分被动对策将阻挡对资产的网络访问,但不阻挡物理访问。
基于主机的传感器108可以包括安装在各资产104上的基于代理或否则基于软件的传感器。例如,基于主机的传感器108a被安装在资产104a上,基于主机的传感器108b被安装在资产104c上,并且基于主机的传感器108c被安装在资产104e上。基于主机的传感器108在其各自资产104上运行各种分析例如以识别资产104上的弱点或识别在资产104上执行的病毒或其他恶意软件。基于主机的传感器还可提供用于威胁的一个或多个被动对策,如上所述。示例性基于主机的传感器可以包括防病毒及其他防恶意软件的软件。
基于网络的传感器110是在受传感器保护的资产104与资产尝试访问的网络资源之间的数据通信路径中的硬件设备和/或软件。例如,传感器110a被连接到资产104a和104b,并且传感器110b被连接到资产104c、104d和104e。虽然图1图示出在与每个资产的通信路径中的单个基于网络的传感器110,但其他配置是可能的。例如,可以将多个基于网络的传感器110连接到同一资产104,并且可不将某些资产104连接到任何基于网络的传感器110。
当资产104尝试通过网络106来发送信息或通过基于网络的传感器110在网络106上接收信息时,传感器分析关于资产104的信息和正在发送或接收的信息,并确定是否允许通信。示例性基于网络的传感器包括一个或多个处理器、存储器子系统以及输入/输出子系统。所述一个或多个处理器根据存储在存储器子系统中的指令而被编程,并监视传递通过输入/输出子系统的网络业务。所述一个或多个处理器被编程为独自地采取一个或多个保护动作,或者查询传感器控制系统(未示出)并按照传感器控制系统102的指示采取进一步动作。示例性基于网络的传感器包括网络访问控制系统、防火墙、路由器、交换机、桥、集线器、web代理、应用程序代理、网关、网络访问控制系统、邮件过滤器、虚拟专用网、入侵预防系统和入侵检测系统。
还可以用应用于资产的一个或多个主动对策来保护资产104。主动对策对资产配置或现有被动对策的配置做出改变以主动地消除弱点。相对地,被动对策隐藏弱点的影响,但是不去除弱点。每个主动对策在主动对策被应用于资产时通过消除或至少减少弱点而消除或至少降低威胁将影响资产的风险。主动对策通过修改资产104的配置使得资产针对威胁不再是脆弱的而针对威胁进行保护。例如,主动对策可以关闭资产上开放的后门或者修正另一种类型的系统弱点。示例性主动对策包括但不限于应用于资产的软件补丁。
资产104可能在任何给定时间针对许多不同的威胁是脆弱的。某些资产104可已用一个或多个被动对策来保护,并且某些资产104可能需要使附加对策付诸实施以保护资产免受该威胁影响。因此,确定用于每个资产和每个威胁的风险度量是有帮助的。该风险度量是在威胁将影响资产的概率和威胁将引起的影响的大小两方面威胁对资产造成的风险的量化度量。
网络监视器102可以包括一个或多个计算机,其中的每一个包括一个或多个处理器(例如,112)、存储器子系统(例如,114)以及输入/输出子系统(例如,116)。网路监视器102被编程为处理关于网络上的潜在威胁以及由传感器提供的对策和资产的弱点的数据,以便生成用于资产和威胁的风险度量。网络监视器102还可以跨系统将风险度量聚合。在某些实例中,可以使用驻留于一个或多个资产104本身上的一个或多个基于主机的监视器来实现和执行网络监视器102的各部分和/或网络监视器102的功能。此类基于主机的监视器可以包括例如,
下面更详细地描述风险度量以及用于生成和聚合风险度量的示例性技术。
§ 2.0 用于风险度量生成的示例性数据源
网络监视器102从若干源接收数据以便确定用于给定资产和给定威胁和/或弱点的风险度量。一般地,威胁可以包括作为对资产或系统的危险的源的某些事物。弱点包括可能被利用以对资产或系统做出伤害的资产或系统内的薄弱处。威胁利用一个或多个弱点来对资产或系统做出伤害。换言之,每个威胁利用一个或多个已知弱点。另一方面,弱点可以在不存在已知或定义威胁的情况下存在,并且可以仍表示面对资产或系统的风险。
图2图示出网络监视器102所使用的数据源的示例。网络监视器102接收威胁定义数据204、弱点定义数据205、弱点检测数据206、资产配置数据207以及对策检测数据208中的一个或多个。威胁定义数据描述所识别威胁、什么对策(如果有的话)保护资产免受威胁影响以及威胁的严重性。弱点定义数据205类似地描述所识别弱点、缓解与该弱点相关联的风险(或解决该弱点)的对策以及弱点的严重性。在某些情况下,弱点定义数据205可以包括表示行业标准的标准化弱点分数或已知弱点的相对严重性的其他协作评定。弱点检测数据206针对每个资产且针对每个威胁指定该资产对于威胁而言是脆弱的、对于威胁而言不是脆弱的或者具有未知弱点。配置数据207针对每个资产指定资产的配置细节。对策检测数据208针对每个资产指定什么对策正在保护资产。
§2.1.1资产配置数据
从一个或多个配置数据源209接收资产配置数据207。在某些实施方式中,一个或多个配置数据源209是一个或多个数据聚合器。数据聚合器是接收配置数据、将数据聚合并以网络监视器102可使用的格式将数据格式化的一个或多个服务器。数据聚合器可以从资产本身或从监视资产的传感器接收配置数据。示例性数据聚合器包括可从加利福尼亚州圣克拉拉市的McAfee获得的McAfee ePolicy Orchestrator®以及可从华盛顿州雷德蒙市的微软公司获得的Active Directory®。例如,数据聚合器可以以关于资产配置的细节来保持资产数据储存库。替换地,一个或多个配置数据源209是资产和/或传感器本身。当配置数据源209是资产和/或传感器本身时,可以将配置数据直接地传送至网络监视器102,在某些情况下用于网络监视器102(而不是资产和/或传感器本身)处的聚合。
资产的配置是硬件和/或软件配置。根据配置,各种弱点和/或威胁可适用于资产。一般地,资产的配置可以包括资产的物理配置、在资产上运行的软件以及在资产上运行的软件的配置中的一个或多个。配置的示例包括特定系列的操作系统(例如,Windows™、Linux™、Apple OS™)、特定版本的操作系统(例如,Windows VistaTM)、特定网络端口设置(例如,网络端口8是开放的)以及在系统上执行的特定软件产品(例如,特定文字处理器或特定web服务器)。在某些实施方式中,配置数据不包括适合于资产的对策,或者资产针对特定威胁是否是脆弱的。
§2.1.2 威胁定义数据
从威胁信息服务210接收威胁定义数据204且可以将其称为“威胁馈送”。威胁信息服务210识别威胁和针对威胁进行保护的对策,并且然后向网络监视器102提供数据。在某些实施方式中,威胁信息服务210可以通过网络向网络监视器102提供具有威胁定义数据的威胁馈送。威胁馈送可以例如是根据需要或者根据预定义调度而通过网络发送的威胁定义数据。
威胁定义数据204识别一个或多个威胁。威胁定义数据204还可以指定用于每个威胁的一个或多个威胁矢量。每个威胁矢量表示被威胁利用的弱点和该弱点如何被利用,例如表示与威胁相关联的特定攻击。在某些实施方式中,将用于威胁的多个威胁矢量聚合成表示整个威胁的单个威胁矢量。在其他实施方式中,单独地保持用于威胁的单独威胁矢量。如本文所使用的,威胁意指单个威胁矢量所表示的攻击或者一个或多个威胁矢量所表示的总体威胁。
此外,虽然威胁能够利用多个已知弱点,但有可能不知道某些已知弱点(虽然固有地将资产向潜在的威胁开放)能够被特定、实际或已知威胁利用。换言之,可能并不是所有弱点都被关联或匹配至特定威胁。事实上,在某些系统中,已知弱点的列表可呈指数地在数量上超过已知威胁的列表,从而增加已知弱点中的某些或者甚至许多并未与特定威胁相关联的可能性。
威胁定义数据204还针对每个威胁指定针对威胁进行保护的对策和用于每个对策的保护分数。一般地,保护分数估计对策对缓解威胁的影响。用于每个对策的保护分数具有在预定范围内的值。在该范围的一端(例如,低端)处的值指示对策提供低水平的缓解。在该范围的另一端(例如,高端)处的值指示对策提供高水平的缓解。
考虑其中保护分数在从零至一百范围内的示例。信息服务210可以如下定义保护分数。当对策未覆盖威胁、威胁在对策的范围之外、对策的覆盖待决、对策的覆盖被在资产上执行的某些其他事物暗中破坏时、覆盖未被批准时或者对策的覆盖在分析中时,对策具有用于威胁的零的保护分数。当对策提供用于资产的部分覆盖时,对策具有50的保护分数。下面参考§2.1.4来更详细地描述提供用于资产的部分覆盖的部分对策。当对策预期或者实际上确实提供来自威胁的完全覆盖时,对策具有100的保护分数。可以替换地使用保护分数的其他标度或其他离散化。
指定缓解威胁的影响的对策的数据还可以包括用于对策的特定配置的所需系统设置。例如,这些设置可以包括软件产品必须使用的签名文件的版本,或者可以包括产品标识符、产品版本标识符以及描述软件产品的其他设置的数据。该数据还可以将某些对策识别为部分对策。在某些实施方式中,威胁定义数据204还包括用于针对威胁进行保护的每个对策的对策置信度分数。置信度分数是对策将降低威胁或威胁矢量将影响资产的风险的可能性的估计。威胁定义数据204还包括用于每个威胁的适用性数据。适用性数据指定资产必须具有从而对于威胁而言脆弱的配置。例如,适用性数据可以指定威胁仅攻击安装在资产上的特定操作系统或特定软件产品,或者威胁仅攻击产品的特定版本或以特定方式配置的产品。
威胁定义数据204还可以包括用于威胁的严重性分数。该严重性分数是威胁进行的攻击对于资产而言将有多严重的估计,并且还可可选地估计威胁将影响资产的可能性。可以根据多个因数来计算严重性分数,所述多个因数包括例如弱点如何被威胁利用的测量;一旦威胁获得了对目标系统的访问时的攻击复杂性;通常在威胁的攻击期间确定的认证询问的数目的测量;对被威胁作为目标的被成功利用的弱点的机密性的影响;对被威胁作为目标的被成功利用的弱点的系统完整性的影响;以及对被威胁作为目标的被成功利用的弱点的可用性的影响。可以由第三方来指定或者由信息源来确定严重性分数。
在某些实施方式中,威胁定义数据204还指定哪些传感器和/或在传感器上执行的哪些软件产品能够检测到对应于威胁的攻击。例如,假设威胁A能够攻击具有特定弱点的网络上的所有机器且产品B能够在其具有设置C时检测到弱点。在某些实例中,“设置”可以包括测试,诸如测试弱点的存在的测试脚本或其他可执行文件/应用程序。此外,产品D提供缓解威胁的影响的被动对策。在这种情况下,威胁定义数据可以指定威胁A攻击所有机器,具有设置C的产品B能够检测到对威胁的弱点,并且产品D提供针对威胁进行保护的被动对策。在某些示例中,诸如补丁之类的产品E能够提供用于消除威胁的主动对策。一般地,可以在威胁定义数据204中定义此类对策属性。
威胁定义数据204还可以可选地包括用于威胁的其他细节,例如是否已使得威胁的存在公开、谁使得威胁的存在公开(例如,其为已被损害的软件的供应商?)、用于威胁的公开披露的web地址以及用于威胁的一个或多个攻击矢量。攻击矢量可以用来确定在给定时间什么被动对策正在保护资产免受威胁影响。
威胁定义数据还可包括关于威胁的其他信息,例如威胁的简要描述、威胁的名称、威胁的重要性估计、其产品被威胁攻击的一个或多个供应商的标识符以及关于如何缓解或消除威胁的影响的建议。
在某些实施方式中,威胁定义数据具有分层结构(例如,多个层)。例如,第一层可以包括针对威胁脆弱的产品的一般标识,诸如软件供应商的名称或对威胁脆弱的特定产品的名称。附加层可以包括关于资产的所需配置的附加细节或威胁的其他细节,例如包括上述适用性数据的特定产品版本或设置。
§2.1.3 弱点定义数据
从一个或多个弱点信息服务213接收弱点定义数据205。弱点信息服务21s识别弱点和针对弱点进行保护的对策,并且然后将数据提供给网络监视器102。在某些实施方式中,可以将弱点信息服务213与威胁信息服务210组合以提供弱点定义数据205和威胁定义数据204两者以供网络监视器102(或供基于主机的部件和风险评定工具)使用。可以根据需要或者根据预定义调度而通过网络来发送弱点定义数据。
弱点定义数据205识别一个或多个弱点。如上所述,可借助于特定威胁利用特定弱点的标识使弱点与已知威胁(和相应的威胁定义数据204)相关联。可以在一个或多个威胁矢量中指定此类关系,并且还可以将其链接到弱点定义数据205或在弱点定义数据205内识别。在某些实施方式中,可以进一步或单独地在相关数据(在图2中未示出)中定义弱点与威胁之间的关系。此外,弱点定义数据205可以针对每个弱点指定针对弱点进行保护的对策和用于每个对策的保护分数。一般地,保护分数估计对策对缓解与弱点相关联的风险的影响。用于每个对策的保护分数可以具有在预定范围内的值。在该范围的一端(例如,低端)处的值指示对策提供低水平的缓解。在该范围的另一端(例如,高端)处的值指示对策提供高水平的缓解。
指定缓解弱点的影响的对策的数据还可以包括用于对策的特定配置的系统设置。例如,这些设置可以包括软件产品必须使用的签名文件的版本,或者可以包括产品标识符、产品版本标识符以及描述软件产品的其他设置的数据。在其他实例中,设置可以指定用于资产的正确、改善或优化的配置,诸如将克服所识别弱点的配置。例如,仅仅作为一个示例,可将web浏览器的错误配置识别为可能经由访问恶意网站而利用的弱点,而重配置浏览器(手动地或自动地)可完全补救该错误配置并消除弱点。该数据还可以将某些对策识别为部分对策。在某些实施方式中,弱点定义数据205还包括用于针对与弱点相关联的风险进行保护的每个对策的对策置信度分数。置信度分数是对策将降低与弱点相关联的风险的可能性的估计。弱点定义数据205还可以包括用于每个弱点的适用性数据。适用性数据指定与资产上的弱点的存在相关联的资产配置。例如,适用性数据可以指定已知将向资产上引入弱点的某些操作系统、补丁版本、外围设备、软件应用程序版本、应用程序设置、插件等。此外,可以与资产配置数据207相结合地使用适用性数据以检测特定资产上的弱点并生成报告此类弱点的发现的相应弱点检测数据206。
包括在弱点定义数据205内的保护分数可以被关联到或以其他方式相关于针对相同对策包括在上文所讨论的威胁定义数据204中的保护分数。在某些实例中,可以认为给定对策针对与弱点相关联的风险以及与利用该弱点的威胁相关联的风险二者进行缓解。在某些实例中,与弱点相关联的风险可以取决于能够利用该弱点的威胁的严重性。事实上,在某些实施方式中,保护分数可以针对特定对策相对于特定弱点/威胁组合而言是恒定的。例如,用于特定对策的给定保护分数的值可以在考虑特定对策的弱点中心和威胁中心风险评定两者内是相同的。在其他实例中,包括在用于特定弱点的弱点定义数据205中的保护分数可以不同于包括在用于相关威胁的威胁定义数据204中的保护分数。此类差异可以反映例如对策的以下能力:不仅缓解归因于与特定弱点相关联的一个特定相关威胁的风险,而且缓解与特定弱点相关联的其他已知威胁(诸如当弱点向多个不同已知威胁暴露资产并且与多个不同已知威胁相关时)以及该特定威胁以外的可能潜在地利用特定弱点的其他预期或预测(但未知)的威胁。基于弱点定义数据205和威胁定义数据204的变化使用,具有弱点定义数据205的保护分数还可以在值方面与用于相同对策的包括在威胁定义数据204中的保护分数不同。例如,可以基于将利用各弱点定义数据205和威胁定义数据204的风险度量公式和计算技术的类型来优化针对每个保护分数所采用的标度、分数范围等。例如,可以针对弱点中心分析和公式来优化弱点定义数据205(及其组成分数和值),而针对威胁中心分析和公式来优化威胁定义数据204。
如与威胁定义数据204一样,弱点检测数据206还可以包括相应弱点的严重性的测量。在某些实例中,威胁定义数据204可以包括标准化弱点严重性分数。可以结合特定风险度量的确定来使用此类标准化严重性分数,诸如公共弱点评分系统(CVSS)、SANS弱点分析标度、CERT/CC弱点分数等。标准化严重性分数可以利用来自纵贯整个企业、行业或标准设定组织的系统安全专家的智能以获得对关于数万个所检测、所识别、所解决、所测试以及以其他方式已知的弱点的知识的访问并对它们加以利用。标准化安全分数可以包括用于数千个分类弱点中的每一个的严重性分数。可以针对跨弱点目录的比较来将安全分数标准化,从而如果将在一般系统中识别了两个弱点的话,允许对甚至影响非常不同的资产的特定弱点的严重性进行比较。在某些实例中,可以对标准化弱点严重性分数进行自定义或调整以反映环境内的变化的真实性(即,“时间”考虑)以及特定、实际世界环境的独特问题和配置(即,“环境”考虑)。可以基于弱点定义数据205中的其他信息(诸如附加的系统特定弱点严重性数据或其他非公共信息)、资产配置数据207或可用于弱点信息服务213的其他数据和信息,来驱动且在某些情况下计算环境考虑。
在一个示例中,表示与弱点相关联的风险和风险严重性的标准化弱点分数可以考虑多个因素。例如,标准化弱点分数可以考虑特定弱点可能使资产暴露的各种影响和影响类型。例如,严重性分数可以基于特定弱点的机密性影响(例如,关于向授权用户限制对特定数据和资产的访问)、完整性影响(例如,关于保护被资产访问或接收或使用特定资产的信息的真实性和可信任性)以及可用性影响(例如,关于系统中的信息的可访问性)。类似地,在此类示例中,环境因数可以类似地从机密性、完整性以及可用性观点出发解决特定资产和子系统的相对重要性(和由此的弱点)。例如,CVSS提供标准化严重性分数,其结合了用于一般系统内的弱点的基础分数B(根据机密性、完整性以及可用性影响的组合考虑而确定)、时间调整因数XT(以可选地考虑影响一般系统内的弱点的严重性的时间因数)以及环境因数(诸如附带损害潜在因数XCDP(测量由弱点引入的对寿命或性质的系统特定潜在附带损害))、目标分布因数XTD(测量受弱点影响的资产的估计百分比)以及影响因数XCIA(结合对被用来计算基础分数B的机密性、完整性以及可用性影响的环境或资产特定调整)。相应地,CVSS标准化弱点严重性分数可以是:
§ 2.1.4 弱点检测数据
从一个或多个弱点数据源212接收弱点检测数据206。在某些实施方式中,弱点数据源212是一个或多个数据聚合器。该数据聚合器从系统中的单独传感器接收弱点检测数据。该单独传感器可以是基于主机的传感器和/或基于网络的传感器。数据聚合器是接收配置数据(例如,207)、将数据聚合以及以网络监视器102可使用的格式将其格式化的一个或多个服务器。数据聚合器可以与作为一个或多个配置数据源209的数据聚合器相同或不同。数据聚合器可以从资产本身或从监视资产的传感器接收弱点检测数据。此外,数据聚合器可以访问和利用资产配置数据207来识别弱点可能与特定资产有关或者为特定资产所有。示例性数据聚合器是可从加利福尼亚州圣克拉拉市的McAfee®获得的McAfee ePolicyOrchestrator®。替换地,一个或多个弱点数据源212可以是资产和/或传感器本身。当一个或多个弱点数据源212是资产和/或传感器本身时,弱点检测数据在其被网络监视器102接收到时未被聚合,并且网络监视器102本身将检测数据聚合。
用于给定资产的弱点检测数据206指定由保护资产的传感器运行什么测试以及那些测试的结果。示例性测试包括病毒扫描、弱点分析、系统配置检查、策略合规检查、网络业务检查(例如, 由防火墙、网络入侵检测系统或网络入侵预防系统提供)以及由基于主机的入侵预防系统或基于主机的入侵检测系统执行的测试。弱点检测数据206允许网络监视器102在某些情况下确定资产具有一个或多个弱点,并且在其他情况下确定资产不具有特定弱点。
可以通过收集、考虑以及比较资产配置数据207和弱点定义数据205来生成弱点检测数据206。可以例如基于用于给定资产的配置数据来确定给定弱点对特定资产的适用性。当描述证明或引起弱点的资产特性和配置的弱点定义数据205中的信息基本上匹配或近似于资产配置数据时,弱点数据源212(或网络监视器202本身)可以确定该弱点适用于该资产。弱点检测数据还可以指示弱点为资产所拥有的概率。例如,当用于弱点的弱点定义数据指定精确地与资产的配置匹配的配置时,可以肯定地确定弱点为资产所拥有。在其他实施方式中,过程300确定当由适用性数据指定的配置仅部分地与资产的配置匹配时,弱点适用于资产。当在适用性数据中指定的配置的某些方面与用于资产的配置数据匹配,但某个其他方面并不匹配时,由适用性数据指定的配置部分地与资产的配置匹配。在这种实例中,弱点检测数据206可以指示资产确实拥有或并不拥有弱点的概率。例如,当拥有弱点的操作系统和在资产上运行的操作系统在同一系列中但并不是相同操作系统(例如,不同版本、补丁、服务包等)时,可以确定弱点定义部分地与资产的配置匹配。在另一示例中,可以将识别到特定资产具有特定软件产品的已安装或正运行版本解释为意指资产对于已知存在于或可归因于产品的特定版本的特定弱点而言是脆弱的。
多个传感器可测试相同的弱点。在那种情况下,弱点检测数据206可以包括用于弱点的所有测试的结果(可选地规格化,如下所述)。替换地,弱点检测数据206可包括用于仅单个测试的结果,例如发现资产脆弱的测试或发现资产并不脆弱的测试。
在某些实施方式中,当资产可具有已被例如软件补丁的主动对策修正的弱点时,测试将指示资产对于威胁而言不是脆弱的,因为对策已停止该弱点。
§2.1.5对策检测数据
从一个或多个对策源214接收对策检测数据208。一般地,对策检测数据208针对给定资产指定什么对策适合于保护该资产。在某些实施方式中,对策检测数据208还指定什么对策不在保护资产。例如当对策根本未就位时,或者当其适合于保护资产但其或该资产未被适当地配置时,对策不在保护该资产。相应地,在某些实例中,已部署对策的检测和评定和对策检测数据208的生成可以包括资产配置数据207的考虑。
一个或多个对策源214是这样的源,其存储网络中的单独传感器的设置以及指定哪些资产受到哪些传感器保护的数据。例如,一个或多个对策源214可以是接收关于由网络中的传感器提供的保护的数据和关于哪些传感器保护哪些资产的数据的一个或多个计算机。一个或多个对策源214将数据聚合以确定哪些对策适合于保护每个资产。示例性对策数据源是可从加利福尼亚州圣克拉拉市的McAfee®获得的McAfee ePolicy Orchestrator®。示例性设置包括提供对策、产品版本以及产品设置的产品标识。其他示例性设置包括被对策阻挡的威胁的一个或多个签名(例如,文件签名或网络业务签名)。
对策可以由网络中的基于网络的传感器、网络中的基于主机的传感器或两者提供。当由在资产上运行的基于主机的传感器来提供对策时,清楚的是,该对策正在保护资产。然而,基于网络的对策远离其正在保护的资产。因此,需要附加数据以使基于网络的被动对策与其保护的资产相关联。一个或多个对策资源214必须首先确定哪些资产正在被哪些基于网络的传感器监视,并且然后针对每个传感器使由传感器提供的被动对策与被传感器监视的每个资产相关联。用户可以手动地使资产与传感器相关联,或者资产可以自动地与传感器相关联。
在某些实施方式中,用户通过各种用户接口手动地使资产与传感器相关联。例如,一个用户接口允许用户手动地指定受网络中的每个传感器保护的每个资产的身份。替换地,可以向用户呈现允许其指定用于使资产与传感器相关联的一系列规则的用户接口。所述规则可以例如基于网际协议(IP)地址范围、资产通过其连接到网络的节点、媒体访问控制(MAC)地址范围、资产的NetBIOS名称或其他用户指定种类,诸如由用户定义的资产组或由用户标记的资产性质。
在其他实施方式中,一个或多个对策源214可以基于从传感器接收到的警报自动地使传感器与资产相关。每个警报识别由传感器所检测的资产上的攻击。例如,当传感器检测到特定IP地址上的攻击时,一个或多个对策源214可以确定该传感器正在保护具有该特定IP地址的资产。
在某些实施方式中,当传感器的子部分保护资产时,使传感器与资产相关联的数据可以使该子部分与资产相关联。例如,如果基于网络的传感器上的特定端口或在传感器上运行的特定软件程序保护资产,则关联可以进一步指定该端口或该软件程序。
§2.1.6 对数据进行规格化和调解
上述数据是从不同的源接收到的且不一定采取相同格式。例如,每个源可以使用不同的命名惯例来识别威胁、对策以及资产。因此,网络监视器102可能必须在数据能够使用之前将其规格化。网络监视器102通过使用将从给定源接收到的数据格式化成标准格式的源特定调解器216来将数据规格化。例如,企业可从两个产品、产品A和产品B接收数据。产品A可以以一种格式提供数据,并且产品B可以以不同的格式提供数据。网络监视器102使用产品A特定的调解器而将来自产品A的数据转换成能够被网络监视器102使用的格式。类似地,网络监视器102使用产品B所特定的调解器而将来自产品B的数据转换成能够被网络监视器102使用的格式。每个源特定调解器可以是例如一个或多个计算机或一个或多个计算机上的一个或多个软件程序。每个源特定调解器216例如使用相应的表格来转换数据,该相应的表格将被特定源使用的标识符映射到被网络监视器102使用的标识符。
§3.0 用于风险度量生成的示例性过程
可以生成风险度量以借助于资产暴露于特定弱点且从而在某些实例中暴露于已知利用特定弱点的关联威胁而说明或评定在特定资产中明显的风险。一般地,在现代系统中,已知弱点的数目大大地在数目上超过利用这些弱点的已知威胁。在某些系统中,所识别、所验证、已编目录或以其他方式已知的系统弱点的数目可能超过30,000或更多,而利用这些弱点的已知威胁的数目可能在5,000或更多的范围内。此外,虽然某些系统管理员对系统满意并基于威胁来管理系统(例如,采用威胁中心风险分析),但其他管理员可发现弱点中心方法对补充或替换威胁中心风险分析是有用的。此外,在某些实例中,考虑到某些威胁未被映射到或者被识别为利用已知潜在地存在于特定系统资产内的各种系统弱点,威胁中心风险分析可能未适当地考虑存在于资产上的所有风险。结果,可以使用威胁中心和弱点中心技术中的任一者或两者来计算风险度量。
§ 3.1 用于基于威胁的风险度量生成的示例性过程
图3A是用于生成用于资产和威胁的威胁中心风险度量的示例性过程300的流程图。如本文所使用的,威胁可以是以用于威胁的单独威胁矢量所表示的特定攻击,或者可以是作为整体的威胁。可以例如由网络监视器102来实现该过程。
过程300确定用于资产和威胁的威胁因数T(302)。该威胁因数是从用于威胁的威胁严重性分数TS和用于威胁的适用性分数AP导出的。
在某些实施方式中,系统如下确定用于资产和威胁的威胁因数。系统确定用于威胁的威胁严重性分数TS,确定用于威胁的适用性分数AP,并将威胁严重性分数乘以适用性分数,例如T= TS AP
在上文参考图2所述的威胁定义数据204中指定了威胁严重性分数TS。一般地,威胁严重性分数TS具有在预定值范围内的值。例如,威胁严重性分数TS可以具有采取0.1增量的在0.0和10.0之间的值。在某些实施方式中,当用多个威胁矢量来表示威胁时,每个威胁矢量可以具有单独严重性分数。在这些实施方式中,过程300可以从单独严重性分数导出威胁严重性分数。例如,过程300可以使用最大单独威胁严重性分数或平均单独威胁严重性分数作为威胁严重性分数。
用于资产的适用性分数AP在威胁适用于资产时具有第一值(例如,一),并且在威胁不适用于资产时具有第二值(例如零)。当资产正在运行可能具有被威胁所利用的弱点的类型的软件时或者当资产包含可能具有被威胁所利用的弱点的硬件时,威胁适用于资产。例如,如果特定操作系统具有被威胁利用的已知弱点且资产正在运行该操作系统,则威胁适用于资产。无论资产上的操作系统是否具有弱点或已被补救以去除弱点都是如此。
过程300将用于给定威胁的适用性数据与用于给定资产的配置数据相比较以确定给定威胁是否适用于给定资产。上文参考图2更详细地描述了适用性数据和配置数据。当适用性数据与配置数据匹配时,过程300确定威胁适用于资产,并且因此适用性分数是第一值(例如,一)。相反,当适用性数据并未与配置数据匹配时,过程300确定威胁不适用于资产,并且因此适用性分数是第二值(例如,二)。如果过程不能确定威胁是否适用于资产,例如因为适用性数据或配置数据不可用,则适用性分数是第一值(例如,一)。
在某些实施方式中,过程300在用于威胁的适用性数据指定精确地与资产的配置匹配的配置时确定威胁适用于资产。在其他实施方式中,过程300在由适用性数据指定的配置仅部分地与资产的配置匹配时确定威胁适用于资产。当在适用性数据中指定的配置的某方面与用于资产的配置数据匹配,但某个其他方面并不匹配时,由适用性数据指定的配置部分地与资产的配置匹配。例如,过程300可以在被威胁作为目标的操作系统和在资产上运行的操作系统在同一系列中但不是相同操作系统时确定用于威胁的适用性数据部分地与资产的配置匹配。
在某些实施方式中,当用多个威胁矢量来表示威胁时,每个威胁矢量可以具有单独适用性数据。在这些实施方式中,过程300可以确定用于每个威胁矢量的单独适用性分数,并且然后从单独适用性分数导出适用性分数。例如,过程300可以使用最大单独适用性分数或者平均单独适用性分数作为适用性分数。
过程300确定用于资产和威胁的暴露因数E(304)。暴露因数E估计资产将受到威胁影响的风险,并且从威胁因数T、弱点分数V以及对策分数C导出。在某些实施方式中,暴露因数E与威胁因数T和弱点分数V成比例且与对策分数C成反比。例如,可以如下计算暴露因数:
弱点分数估计资产是否拥有特定弱点。对于已知将被特定已知威胁利用的弱点而言,可以进一步解释弱点分数以估计资产对于关联威胁而言是否是脆弱的。当资产正在运行具有可能被威胁利用的已知弱点的软件并且问题没有被打补丁或以其他方式补救时,资产对于威胁而言是脆弱的。弱点分数原则上可以表示资产拥有弱点的概率。在某些示例中,弱点分数可以具有三个预定值中的一个:当资产对于威胁而言是脆弱的时,弱点分数具有第一值(例如,一);当资产对于威胁而言不是脆弱的时,弱点分数具有不同的第二值(例如,零);并且当不知道资产对于威胁而言是否是脆弱的时,弱点分数具有不同的第三值(例如,二分之一或介于零与一之间且反映在资产上存在该弱点的概率的某个其他值)。
过程300通过分析弱点检测数据以确定其结果被包括在弱点检测数据中的任何测试是否将资产识别为拥有相应弱点来确定资产是否拥有特定已知弱点。如果是这样,过程300确定资产拥有特定弱点,并且弱点分数VP应具有第一值(例如,一)。如果不是,则过程300接下来分析该数据以确定任何测试是否将资产识别为不拥有或相关于该弱点。如果是这样,过程300确定资产不拥有特定弱点,并且弱点分数VP应具有第二值(例如,零)。最后,如果没有其结果被包括在弱点检测数据中的测试将资产识别为拥有特定已知弱点,则过程300确定资产的弱点是未知的,并且弱点分数应具有第三值(例如,二分之一或某个其他值)。
在某些实施方式中,给定威胁可能利用资产的软件中的多个弱点。在这些实施方式中,过程300可以使用用于每个弱点的弱点分数的最大值作为弱点分数。例如,如果威胁可以攻击资产的弱点A和弱点B,用于弱点A的弱点分数是二分之一且用于弱点B的弱点分数是一,则过程可以使用一作为用于资产的弱点分数。可以替换地使用其他启发法,例如使用平均或中值分数。在某些实施方式中,将弱点的每个可能利用表示为单独威胁矢量。
对策分数估计由保护资产的任何对策提供给资产的保护水平。过程300从例如从零至十的预定范围选择对策分数。在某些实施方式中,对策分数是该范围内的离散数目的值中的一个。例如,如果一个或多个对策提供完全缓解,则对策分数可以具有第一值,如果一个或多个对策提供部分缓解,则对策分数可以具有不同的第二值,并且如果一个或多个对策未提供缓解或提供了未知缓解,则对策分数可以具有不同的第三值。
为了确定用于资产和威胁的适当对策分数,系统首先确定用于威胁的什么对策正在保护资产,并且然后根据用于适当的对策的保护分数来确定对策分数。在某些实施方式中,过程300根据威胁定义数据以及对策检测数据来确定用于威胁的什么对策是适当的,并且通过识别在用于威胁的威胁定义数据中指定的用于威胁的对策且还从对策检测数据识别保护资产的对策,来确定资产是否受到用于弱点和/或威胁的对策的保护。过程300然后确定用于威胁的任何对策是否正在保护资产。作为此确定的一部分,该过程将在威胁定义数据中指定的对策的所需设置与在对策检测数据中指定的对策的实际设置相比较。
如果不存在正在保护资产的用于威胁的对策(或者资产的对策状态是未知的),则为对策分数指派处于预定范围的低端的值(例如,来自从零至十的范围的零)。
如果存在正在保护资产的用于威胁的至少一个对策,则系统从威胁定义数据中获取用于每个对策的保护分数并根据该保护分数来计算对策分数。
在某些实施方式中,系统使用保护分数的最大值作为用于资产的对策分数。然而,还可以使用其他计算;例如,系统可以使用保护分数的平均值或最小值。
在某些实施方式中,系统还对对策分数进行缩放,使得其与被用于其他分数的值范围一致。例如,如果在零至十的标度测量威胁严重性,并且对策分数在从零至一百范围内,则系统可以通过将对策分数除以十来对其进行缩放。在某些实施方式中,系统将零的对策分数转换成一的对策分数,以避免风险度量计算中的可能的除以零。
过程300根据用于资产的暴露因数E和关键性分数A来确定用于资产和威胁的风险度量(306)。在某些实施方式中,系统通过将暴露因数E和关键性分数A相乘,例如EA,来确定风险度量。
关键性分数表示损失资产的影响。在某些实施方式中,从资产的货币价值、例如替换资产的货币成本的估计,导出资产的关键性。替换地或附加地,可以从资产的企业价值,例如资产对整个资产系统的重要性,导出资产的关键性。该关键性分数可以具有在例如从零至十的预定范围内的值。作为另一示例,可以从诸如集合{2, 4, 6, 8, 10}的集合中选择关键性分数,其中较高的值指示较高的关键性。
过程300可以以各种方式来确定资产的关键性分数。在某些实施方式中,用户例如通过用户接口来指定单独资产或资产组的关键性。在某些实施方式中,在分层树中表示系统中的资产;在这些实施方式中,用户可以通过选择分层结构中的特定水平来识别一组资产。在分级结构中处于所选水平或在所选水平以下的所有资产被视为一组,并且可以具有用户指定关键性。用户可以指定用于关键性分数的数值或者然后被过程300映射成数值的关键性分类(例如,低、中、高、极高)。
在某些实施方式中,用户向单独资产指派标签,并且然后指定用于特定标签的关键性。例如,用户可以将某些资产标记为邮件服务器并将某些资产标记为web务器,并且然后指定邮件服务器具有一个关键性且web服务器具有不同的关键性。
在某些实施方式中,过程300根据指定应如何确定关键性的用户定义规则来确定资产的关键性。例如,用户可以指定正在运行特定操作系统且具有在某个范围内的IP地址的资产应具有一个关键性,而在不同的IP范围内的资产应具有不同的关键性。在某些实施方式中,过程300从单独资产管理系统导入资产的关键性。
在某些实施方式中,资产可以具有取决于其如何被分组的多个关键性。例如,可以将作为加利福尼亚州的特定办公室中的邮件服务器的资产因为其是邮件服务器而分组成一个组,因为其在加利福尼亚州的特定办公室中而分组成另一组,以及因为其在北美洲而分组成另一组。可以根据物理、逻辑或用户指定准则将资产分组。给定由网络监视器102或执行该过程的另一系统保持的一个或多个规则,可以选择适当关键性。
虽然上文描述了分数的特定组合以生成威胁因数和暴露因数,但也可以使用更少或更多的分数。
§3.2 用于基于弱点的风险度量生成的示例性过程
图3B是用于生成用于资产和弱点的弱点中心风险度量的示例性过程350的流程图。如上所述,某些已知弱点可能并未与已知威胁相关联,并且因此,威胁中心风险度量可能并未考虑从未被链接到特定威胁的一个或多个弱点引入到系统的风险。另外,弱点中心风险度量可以包括附加上下文,补充上述威胁中心风险度量,即使当在威胁中心风险度量中也考虑了在弱点中心风险度量中所考虑的许多弱点时。可以例如由网络监视器102来实现过程350。
过程350识别用于弱点的标准化弱点分数VS(352)。标准化弱点分数可以具有用于弱点的一般基础分量分数,诸如CVSS基础B,以及环境分量,其结合了关于资产(或资产种类或组)的各自关键性的信息及其他资产特定考虑(例如,CVSS环境度量XCDP、XTD、XCIA),从而将弱点链接到特定资产或系统。在某些实施方式中,可以根据标准化、第三方弱点评分系统来导出标准化弱点分数VS,所述弱点评分系统诸如公共弱点评分系统(CVSS)。事实上,在某些实例中,可以从下式识别或计算VS
结合在标准化弱点分数VS中的环境因数可以结合环境和资产特定因数(例如,通过结合对机密性、完整性以及可用性的环境或资产特定调整的XCIA)。结果得到的标准化弱点分数VS可以具有在预定值范围内的值。例如,标准化弱点分数VS可以具有在0与10之间的值。
在某些实施方式中,资产可能拥有引入类似或重叠风险的多个弱点。弱点定义数据205可以包括应与弱点并行地考虑的相关弱点的指示,从而适当地评定风险。因此,过程350能够识别用于一组相关或“重叠”弱点中的每一个的标准化弱点分数VS,并使用最大单独标准化弱点分数或该组的标准化弱点分数的平均值作为标准化弱点分数VS
该过程可以进一步导出弱点检测分数V,其识别特定弱点是否为特定资产所拥有或是否适用于特定资产(354)。弱点检测分数估计资产是否拥有特定弱点。对于已知将被特定已知威胁利用的弱点而言,可以进一步解释弱点分数以估计资产对于关联威胁而言是否是脆弱的。事实上,在这种实例中,弱点检测分数V在威胁中心和弱点中心风险度量生成两者中可以是相同的。当资产正在运行与弱点相关联或以其他方式证明弱点的类型的软件或利用该类型的硬件时,弱点适用于资产或被资产所拥有。例如,如果特定操作系统具有已知弱点,并且资产正在运行该操作系统,则弱点适用于资产。无论资产上的操作系统是否具有弱点或已被补救以去除弱点都是如此。弱点检测分数原则上可以表示资产拥有弱点的概率。在某些示例中,弱点检测分数可以具有三个预定值中的一个:当资产对于威胁而言是脆弱的时,弱点检测分数具有第一值(例如,一);当资产对于威胁而言不是脆弱的时,弱点检测分数具有不同的第二值(例如,零);并且当不知道资产对于威胁而言是否是脆弱的时,弱点检测分数具有不同的第三值(例如,二分之一或介于零与一之间且反映在资产上存在该弱点的概率的某个其他值)。在某些实施方式中,弱点检测分数可以是在0与1之间的任何数,其反映资产拥有弱点的计算概率。
过程350通过分析弱点检测数据206和/或资产配置数据207以确定其结果被包括在弱点检测数据中的任何测试是否将资产识别为拥有相应的弱点或证明弱点的配置,来确定资产是否拥有特定已知弱点(和由此的弱点检测分数V)。如果过程350肯定地确定资产拥有特定弱点,则弱点分数VD应具有第一值(例如,一)。如果过程350通过数据的分析肯定地确定测试可靠地确认了用于特定资产的弱点的不存在或不相关,则弱点分数VD应具有第二值(例如,零)。最后,如果没有其结果被包括在弱点检测数据中的测试将资产识别为拥有特定已知弱点,或者如果从测试返回冲突或不确定的结果,则过程350可以确定资产的弱点是未知的或不确定的,并且弱点分数应具有第三值(例如,二分之一或在0与1之间的某个其他值)。
过程350确定用于资产和弱点的复合弱点分数VC(356)。复合弱点分数VC估计特定弱点对资产引起的潜在风险,并且是从标准化弱点分数VS和弱点检测分数VD导出的。在某些实施方式中,复合弱点分数VC与标准化弱点分数VS和弱点检测分数VD成比例。例如,可以如下计算复合弱点分数:VC = VS VD。在其中标准化弱点分数Vs是CVSS分数的实例中,可以进一步如下计算复合弱点分数:
对策分数估计由保护资产的任何对策提供给资产的保护水平。过程350选择、 计算或以其他方式确定用于特定对策针对特定弱点保护特定资产的能力的对策分数。在某些实例中,对策分数可以是在例如从0至10的预定范围内的值。在某些实施方式中,可以为对策分数指派在该范围内的离散数目的值中的一个。例如,如果一个或多个对策提供完全缓解,则对策分数可以具有第一值,如果一个或多个对策提供部分缓解,则对策分数可以具有不同的第二值,并且如果一个或多个对策未提供缓解或提供了未知缓解等,则对策分数可以具有其他值。
为了确定用于资产和弱点的适当对策分数C(356),系统首先确定用于弱点的什么对策正在保护资产,并且然后根据用于适当的对策的保护分数来确定对策分数。在某些实施方式中,过程350根据弱点定义数据(例如,205)(且潜在地还有资产配置数据(例如,207))以及对策检测数据(例如,208)来确定用于弱点的什么对策是适当的,并且通过识别在用于弱点的弱点定义数据中指定的用于弱点的对策且还从对策检测数据中识别保护资产的对策,来确定资产是否受到用于弱点和/或威胁的对策的保护。过程350然后确定用于弱点的任何对策是否正在保护资产。作为此确定的一部分,过程将在弱点定义数据中指定的对策的设置与在对策检测数据和/或资产配置数据中指定的对策的实际设置相比较。
在一个示例中,如果不存在正在保护资产的用于威胁的对策(或资产的对策状态是未知的),则为对策分数指派处于预定范围的低端的值(例如,来自从零至十的范围的零)。如果存在正在保护资产的用于弱点的至少一个对策,则系统从弱点定义数据中获取用于每个对策的保护分数并根据该保护分数来计算对策分数。在某些实施方式中,系统使用保护分数的最大值作为用于资产的对策分数。然而,还可以使用其他计算;例如,系统可以使用保护分数的平均值或最小值。
在某些实施方式中,系统进一步对对策分数进行缩放,使得其与被用于其他分数的值范围一致,从而将使用对策分数C计算的风险度量系列规格化。例如,如果在零至十的标度测量威胁严重性,并且对策分数在从零至一百范围内,则系统可以通过将对策分数除以十来对其进行缩放。在某些实施方式中,系统将零的对策分数转换成一的对策分数,以避免风险度量计算中的可能的除以零。
如上所述,可以为特定对策指派用于特定资产和特定威胁以及用于特定资产和特定弱点的对策分数。此外,在某些实施方式中,对策分数可以结合或者以其他方式基于诸如上文所讨论的保护分数。在某些实例中,用于资产的特定对策的保护的对策分数对于威胁和相关弱点的特定对策的保护可以是相同的。在其他实例中,除其他示例之外,用于特定资产的针对特定威胁的特定对策的保护的对策分数可以具有与用于相同资产的针对被特定威胁利用的弱点的相同对策的保护的对策分数不同的值(例如,说明弱点不仅使资产暴露于特定威胁,而且潜在地暴露于其他威胁)。
过程350根据复合弱点分数VC和对策分数C来确定用于资产和弱点的风险度量(358)。在某些实施方式中,系统通过用复合弱点分数VC除以对策分数C来确定风险度量,使得可以如下计算弱点中心风险度量:。在其中使用CVSS标准化弱点分数的实例中,可以将弱点中心风险度量计算为:
在某些实施方式中,特定资产可能拥有相关于到特定类型的风险且每个对其有贡献的多个弱点。例如,多个弱点每个可以使特定资产暴露于公共威胁,并且面对资产的风险可能完全或主要归因于此威胁。结果,在这种实例中,以重叠的风险考虑并聚合弱点可能是不准确的。在某些实施方式中,当识别到重叠弱点时(即,其贡献相同种类的风险),除其他实施方式之外,针对弱点确定的风险分数还可以被平均,是重叠弱点之间的最大风险分数。
§3.3 风险度量生成的用户配置
如上所述,可以针对特定资产生成威胁中心和弱点中心风险度量两者。在某些实例中,即使当面对资产的所有弱点也与已知威胁相关联时,针对资产生成的各威胁中心和弱点中心风险度量仍可拥有不同的值。事实上,可将威胁中心和弱点中心风险度量视为用于测量和评定用于资产或资产系统的风险的两个不同上下文,并且其对于以下可以是有用的:生成并比较在针对特定资产、资产组或资产系统的威胁中心和弱点中心风险度量中生成的结果以获得面对系统的风险和各种资产、弱点、对策以及威胁如何贡献于此类风险的更全面描绘。
§3.4 风险度量生成的用户配置
除允许用户对风险度量生成采用威胁中心或弱点中心方法中的任一者或两者之外,在某些实施方式中,网络监视器102允许用户指定用于被用来生成风险度量的分数或因数中的一个或多个的权值。例如,用户可以指定应对关键性给定特定权值,可以指定应对弱点给定特定权值,或者可以指定应对暴露因数给定特定权值。用户可以指定用于多个分数或因数的权值。零的权值有效地从风险度量计算去除分数或因数。用户还可以使用权值来增加分数或因数的影响,或者减小分数或因数的影响。
在某些实施方式中,当网络监视器102允许用户使用权值时,网络监视器重新平衡结果得到的风险度量,使得其在与未加权风险度量将在的相同范围内。例如,如果用户指定应对资产关键性给定2的权值,则网络监视器102将结果得到的度量除以2。
在某些实施方式中,用户可以指定用于不同种类的威胁、弱点或资产的不同权值。例如,用户可以指定用于攻击运行一个特定类型的操作系统的资产的威胁的第一权值,并且可以指定用于攻击运行不同类型的操作系统的资产的威胁的不同第二权值。
§4.0 用于聚合风险度量的示例性过程
第3节描述了计算用于单独资产和单独威胁的威胁中心风险度量和计算用于单独资产和单独弱点的弱点中心风险度量。然而,系统管理员以及其他用户常常想要获得其系统的总体视图。因此,基于每个威胁、每个弱点、每个资产和/或每个资产组来聚合风险度量允许网络监视器提供此类功能。这些聚合度量可以帮助系统管理员确定哪些度量、哪些弱点以及哪些威胁针对系统造成最严重的问题。下面更详细地描述这些聚合风险度量中的每一个。
§5.1 用于基于每个危险来聚合风险度量的示例性过程
如上所述,可以基于每个威胁或每个弱点将风险度量聚合。图4是用于基于每个弱点而聚合用于资产的风险度量的示例性过程400的流程图。可以例如由网络监视器102来实现该过程。虽然图4图示出基于每个弱点来聚合弱点中心风险度量,但类似技术可以用来基于每个威胁而聚合威胁中心风险度量。
过程400接收针对特定弱点的用于资产的风险度量(402)。风险度量可以用于资产系统中的所有资产,或者用于特定资产组中的所有资产。上文描述了资产组的示例。例如,可以如上文参考图3B所述那样计算针对特定弱点的用于每个资产的风险度量。
该过程根据针对特定弱点的用于资产的风险度量来计算用于特定弱点的聚合风险度量(404)。
在某些实施方式中,聚合风险度量是针对弱点的用于资产的风险度量的和,例如:,其中,n是所考虑组中的资产的数目,并且Vcn和Cn是如上文参考图3B所述那样针对资产n所计算的。
风险度量的和并不是范围限制的;换言之,用于不同资产的和将不一定在同一标度。因此,在某些实施方式中,使用是范围限制的其他聚合度量来代替和,诸如最大值或平均值。例如,在其他实施方式中,聚合风险度量是用于弱点所适用于的资产的平均风险度量,其通过将用于弱点所适用于的每个资产和特定弱点的风险度量的和除以弱点所适用于的资产的数目而计算。此除法将平均风险分数限制于用于特定弱点和资产的单独风险度量所具有的相同值范围。
作为另一示例,在其他实施方式中,聚合风险度量是来自用于特定弱点所适用于的资产和特定弱点的风险度量的最大风险度量。
还可以使用其他聚合风险度量,例如中值或模。在某些实施方式中,系统生成用于特定弱点的多个聚合风险度量。在某些实施方式中,系统计算用于特定弱点所适用于的资产和特定威胁的风险度量的平均值、中值、模、最大值以及最小值,并且然后通过使用结果得到的值作为到度量函数的输入而生成总体风险度量。在某些实施方式中,通过试错法来导出该函数,其中,用实验数据来测试函数的不同结构以及函数的不同系数,直至确定可接受函数为止。可以使用用于选择函数的系数的常规技术,例如回归样条和数学优化。
§5.2 用于基于每个资产来聚合风险度量的示例性过程
图5是用于基于每个资产来聚合风险度量的示例性过程500的流程图。可以例如由网络监视器102来实现该过程,并且该过程可以应用于针对资产的威胁中心风险度量或弱点中心度量。虽然为了简单起见,参考用于资产的弱点中心度量来描述过程500,但可以针对威胁中心风险度量应用类似的原理。
该过程接收针对若干弱点中的每一个的用于特定资产的风险度量(502)。例如,可以如上文参考图3B所述那样计算针对特定弱点的用于每个资产的风险度量。
该过程根据用于资产和若干弱点中的每一个的风险度量计算用于特定资产的聚合风险度量(504)。在某些实施方式中,聚合风险度量是针对弱点的用于资产的风险度量的和,例如:,其中,m是适用于资产的弱点的数目,并且Vcn和Cn是如上文参考图3B所述那样针对威胁m所计算的。
风险度量的和可以不是范围限制的;换言之,用于不同资产的和将不一定在同一标度。因此,在某些实施方式中,使用是范围限制的其他聚合度量来代替和,诸如最大值或平均值。例如,在其他实施方式中,聚合风险度量是用于适用于资产的弱点的平均风险度量。通过将用于资产和适用于资产的弱点的风险度量的和除以适用于资产的弱点的数目来计算平均风险度量。此除法将平均风险分数限制于用于特定弱点和资产的单独风险度量所具有的相同值范围。
作为另一示例,在其他实施方式中,聚合风险度量是来自用于资产和适用于资产的弱点的风险度量的最大风险度量。
还可以使用其他聚合风险度量,例如中值或模。在某些实施方式中,系统生成用于特定弱点的多个聚合风险度量。在某些实施方式中,系统计算用于特定弱点所适用于的资产和特定威胁的风险度量的平均值、中值、模、最大值以及最小值,并且然后通过使用结果得到的值作为到度量函数的输入而生成总体风险度量。
§5.3 用于基于资产组来聚合风险度量的示例性过程
在某些实施方式中,网络监视器102聚合用于资产组的风险度量。例如,可以如上所述地将资产分组。系统然后可以计算用于组中的每个资产的聚合风险度量,并且使用各种统计技术将聚合风险度量组合,例如平均值、最大值、平均值、中值、模或最小值。
§6.0 风险度量的示例性使用
一旦网络监视器102如上所述地计算风险度量以及聚合风险度量,则可以以各种方式使用风险度量和聚合风险度量。在某些实施方式中,网络监视器102允许用户查看按用于资产、弱点或威胁的聚合风险度量分类的资产、弱点或威胁。例如,网络监视器102可以列出按聚合风险度量分类的所有资产、弱点或威胁,或者可以列出资产、弱点或威胁的前几个,例如前十个。根据聚合风险分数将资产、弱点和/或威胁排序允许用户快速地识别哪些资产最处于风险,或者哪些弱点和威胁对于系统而言是最危险的。用户然后可以在补救其他处于较小风险的资产之前补救最处于风险的资产,或者可以在对其他处于较小风险的一些应用补救之前对最处于风险弱点和威胁跨系统应用补救。
作为一个特定示例,图6是根据用于资产的聚合风险度量来呈现前十个最处于风险的资产的示例性用户接口600。该用户接口列出按聚合风险度量分类的资产602的名称以及聚合风险度量604本身。该用户接口可以可选地包括关于资产的附加信息。例如,在图6中,示出了资产被打补丁的最后日期606。可以替换地或附加地在用户接口中显示关于资产的其他信息。在某些实施方式中,用户可以点击资产的名称以便被提供关于资产的附加信息。
可以以其他方式来使用用于资产和威胁的聚合风险度量。例如,在某些实施方式中,用户可以设定使特定聚合风险度量与特定动作相关联的规则。例如,用户可以指定如果用于任何弱点或威胁的聚合风险度量上升至指定阈值以上,则应警告用户。类似地,用户可以指定如果用于任何资产的聚合风险度量上升至指定阈值以上,则应警告用户。用户还可以使用规则来过滤用户查看什么数据。例如,用户可以请求仅查看具有在指定阈值以上的聚合风险度量的用于资产、弱点或威胁的信息。在某些实施方式中,网络监视器102从指定特定风险度量范围的用户接收查询,识别满足该查询的资产、弱点或威胁,并向用户呈现所识别的资产、弱点或威胁。
在本说明书中描述的主题和功能操作的实施例能够用数字电子电路、或用包括在本说明书中公开的结构及其结构等效物的计算机软件、固件或硬件、或用其中的一个或多个的组合来实现。在本说明书中描述的主题的实施例能够实现为一个或多个计算机程序,即在计算机存储介质上编码以便由数据处理装置执行或控制其操作的计算机程序指令的一个或多个模块。替换地或附加地,能够在为人工生成的信号的传播信号上对程序指令进行编码,例如机器生成电、光或电磁信号,其被生成为对信息进行编码以便向适当的接收机装置传输以便由数据处理装置执行。计算机存储介质可以是机器可读存储器件、机器可读存储基板、随机或串行存取存储器件或其中的一个或多个的组合。
术语“数据处理装置”涵盖所有种类的用于处理数据的装置、设备以及机器,举例来说,包括可编程处理器、计算机或多个处理器或计算机。该装置可以包括专用逻辑电路,例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除硬件之外,该装置还可以包括为正在讨论中的计算机程序创建执行环境的代码,例如,组成处理器固件的代码、协议栈、数据库管理系统、操作系统或其中的一个或多个的组合。
能够用任何形式的编程语言来编写计算机程序(也称为程序、软件、软件应用程序、脚本或代码),包括编译或解释语言、说明或过程语言,并且其能够以任何形式来部署,包括为独立程序或作为模块、部件、子例程、或适合于在计算环境中使用的其他单元。计算机程序可以但不需要对应于文件系统中的文件。能够将程序存储在保持其他程序或数据的文件的一部分(例如存储在标记语言文档中的一个或多个脚本)中、专用于正在讨论中的程序的单个文件中或者在多个协调文件(例如存储一个或多个模块、子程序或代码部分的文件)中。能够将计算机程序部署成在一个计算机上或在位于一个地点处或跨多个地点分布并被通信网络互连的多个计算机上执行。
在本说明书中所述的过程和逻辑流程能够由一个或多个可编程处理器来执行,其执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行功能。该过程和逻辑流程还能够由专用逻辑电路来执行,并且还能够将装置实现为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
适合于执行计算机程序的处理器举例来说包括通用和专用两种微处理器以及任何种类的数字计算机的任何一个或多个处理器。一般地,处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的必需元件是用于执行或实行指令的处理器和用于存储指令和数据的一个或多个存储器件。一般地,计算机还将包括用于存储数据的一个或多个大容量存储器件,或者操作地耦合来从该一个或多个大容量存储器件接收数据或向其传输数据或两者,大容量存储器件例如磁盘、磁光盘或光盘。然而,计算机不需要具有此类设备。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器件,举例来说,包括半导体存储器件,例如EPROM、EEPROM以及闪速存储器件;磁盘,例如内部硬盘或可移动盘;磁光盘;以及CD-ROM和DVD-ROM盘。能够用专用逻辑电路来补充处理器和存储器或将处理器和存储器结合在其中。
为了提供与用户的交互,能够在计算机上实现在本说明书中描述的主题的实施例,该计算机具有用于向用户显示信息的显示设备,例如CRT(阴极射线管)或LCD(液晶显示器)监视器,以及键盘和定点设备,例如鼠标或轨迹球,用户能够用其向计算机提供输入。也能够使用其他种类的设备来提供与用户的交互;例如,提供给用户的反馈能够是任何形式的传感反馈,例如视觉反馈、听觉反馈或触觉反馈;并且能够以任何形式来接收来自用户的输入,包括声学、语音或触觉输入。另外,计算机能够通过向用户所使用的设备发送文档和从其接收文档来与用户交互;例如,通过响应于从web浏览器接收到的请求而在用户客户端设备上将网页发送到web浏览器。
在本说明书中描述的主题的实施例能够在计算机系统中实现,其包括后端部件,例如作为数据服务器,或者其包括中间件部件,例如应用服务器,或者其包括前端部件,例如具有用户能够通过其与在本说明书中描述的主题的实施方式交互的图形用户接口或Web浏览器的客户端计算机,或者一个或多个此类后端、中间件或前端部件的任何组合。能够用数字数据通信的任何形式或介质、例如通信网络来将系统的部件互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”),例如因特网。
计算系统能够包括客户端和服务器。客户端和服务器一般相互远离且通常通过通信网络交互。客户端和服务器的关系借助于在各计算机上运行且相互之间具有客户端-服务器关系的计算机程序而出现。
虽然本说明书包含许多特定实现细节,但不应将这些理解为对任何发明的范围或对可要求保护的内容的范围的限制,而是作为可以是特定发明的特定实施例所特定的特征的描述。在本说明书中在单独实施例的上下文中描述的某些特征还能够在单个实施例中以组合方式实现。相反地,在单个实施例的上下文中描述的各种特征还能够单独地或以任何适当的子组合的方式在多个实施例中实现。此外,虽然上文可以将特征描述为以某些组合的方式进行动作且甚至这样在最初要求保护,但在某些情况下可从该组合去除来自要求保护的组合的一个或多个特征,并且要求保护的组合可针对子组合或子组合的变体。
类似地,虽然在图中按照特定顺序描述了操作,但不应将这理解为要求按照所示的特定顺序或序列顺序来执行此类操作,或者执行所有所示操作,以实现期望的结果。在某些环境下,多重任务和并行处理可能是有利的。此外,不应将上述实施例中的各种系统部件的分离理解为在所有实施例中要求此类分离,并且应理解的是一般地能够将所述程序部件和系统一起集成在单个软件产品中或封装到多个软件产品中。
已描述了主题的特定实施例。其他实施例在所附权利要求的范围内。例如,在权利要求中叙述的动作能够按照不同的顺序来执行且仍实现期望的结果。作为一个示例,在附图中描绘的过程不一定要求所示的特定顺序或序列顺序以实现期望的结果。在某些实施方式中,多重任务和并行处理可能是有利的。

Claims (45)

1.一种由数据处理设备执行的用于评定风险的计算机实现的方法,所述方法包括:
识别用于多个已知弱点中的特定弱点的标准化弱点分数,其中,标准化弱点分数指示相对于所述多个已知弱点中的其他弱点的与特定弱点相关联的相对风险水平;
确定指示特定资产拥有特定弱点的估计概率的弱点检测分数;
确定用于特定资产对特定弱点的弱点复合分数,其中,从标准化弱点分数和弱点检测分数导出弱点复合分数;
识别对策分量分数,其中,对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率;以及
根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。
2.如权利要求1所述的方法,其中,标准化弱点分数包括标准化分量和根据包括特定资产的特定系统的特征来调整标准化分量的环境分量。
3.如权利要求2所述的方法,其中,环境分量至少部分地表示特定系统内的特定资产的关键性,并且基于用于特定资产的关键性信息来导出环境分量,其中,关键性信息定义损失特定资产的影响。
4.如权利要求2所述的方法,其中,标准化分量和环境分量中的每一个包括描述基于特定弱点的对资产的机密性影响、基于特定弱点的对资产的完整性影响以及基于特定弱点的对资产的可用性影响的数据。
5.如权利要求2所述的方法,其中,标准化分量包括反映由特定弱点造成的风险随时间推移的改变的时间分量。
6.如权利要求2所述的方法,其中,标准化弱点分数至少部分地基于公共弱点评分系统(CVSS)的标准分数。
7.如权利要求1所述的方法,还包括:
接收用于特定弱点的弱点定义数据,弱点定义数据包括特定弱点的标识、降低弱点将影响资产的风险的一个或多个对策的标识、指示潜在地由用于弱点的每个对策给予的保护水平的对策保护数据以及描述弱点所适用于的资产的一个或多个配置的适用性数据;以及
接收用于特定资产的弱点检测数据、对策检测数据以及配置数据,其中,用于特定资产的弱点检测数据包括暗示特定资产是否拥有弱点的信息,用于资产的对策检测数据识别保护特定资产的一个或多个对策,并且用于特定资产的配置数据描述特定资产的配置。
8.如权利要求7所述的方法,其中,对策分量分数是至少从对策保护数据和对策检测数据导出的。
9.如权利要求8所述的方法,其中,对策分量分数进一步从用于特定资产的配置数据导出。
10.如权利要求8所述的方法,其中,识别对策分量分数包括计算对策分量分数。
11.如权利要求7所述的方法,其中,弱点检测分数是至少从弱点检测数据导出的。
12.如权利要求11所述的方法,其中,弱点检测分数进一步从用于特定资产的配置数据导出。
13.如权利要求1所述的方法,其中,用于特定资产的所确定风险度量是弱点中心风险度量,并且所述方法还包括确定用于特定资产的威胁中心风险度量,其中,确定用于特定资产的威胁中心风险度量包括:
确定用于特定资产和特定威胁的威胁因数,其中,威胁因数是从估计特定威胁的严重性的威胁严重性分数和估计特定威胁对特定资产的适用性的适用性分数导出的;
确定用于特定资产和特定威胁的威胁暴露因数,其中,威胁暴露因数是从威胁因数、弱点分量分数以及威胁对策分量分数导出的,其中,弱点分量分数指示特定资产针对特定威胁是否是脆弱的,并且对策分量分数是从第二对策将缓解关于特定威胁的攻击对特定资产的影响的可能性的估计导出的;以及
其中,根据用于特定资产的威胁暴露因数和关键性分数来确定用于特定资产和特定威胁的威胁中心风险度量,其中,关键性分数表示损失资产的影响。
14.如权利要求13所述的方法,其中,特定威胁利用特定弱点,弱点分量分数等于弱点检测分数,并且特定对策是第二对策。
15.如权利要求14所述的方法,其中,所确定的弱点中心度量和威胁中心度量的各计算值是不同的。
16.如权利要求1所述的方法,其中,标准化弱点分数和标准化对策分量分数中的至少一个具有在预定义范围内的值。
17.如权利要求1所述的方法,其中,所述多个已知弱点中的至少某些弱点与多个已知威胁中的至少一个相关联,并且所述特定弱点不与所述多个已知威胁中的任何一个相关联。
18.一种包括用于执行权利要求1-17中任何一项的方法的装置的系统。
19.一种用于评定风险的设备,所述设备包括:
用于识别用于多个已知弱点中的特定弱点的标准化弱点分数的装置,其中,标准化弱点分数指示相对于所述多个已知弱点中的其他弱点的与特定弱点相关联的相对风险水平;
用于确定指示特定资产拥有特定弱点的估计概率的弱点检测分数的装置;
用于确定用于特定资产对特定弱点的弱点复合分数的装置,其中,从标准化弱点分数和弱点检测分数导出弱点复合分数;
用于识别对策分量分数的装置,其中,对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率;以及
用于根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量的装置。
20.如权利要求19所述的设备,其中,标准化弱点分数包括标准化分量和根据包括特定资产的特定系统的特征来调整标准化分量的环境分量。
21.如权利要求20所述的设备,其中,环境分量至少部分地表示特定系统内的特定资产的关键性,并且基于用于特定资产的关键性信息来导出环境分量,其中,关键性信息定义损失特定资产的影响。
22.如权利要求20所述的设备,其中,标准化分量和环境分量中的每一个包括描述基于特定弱点的对资产的机密性影响、基于特定弱点的对资产的完整性影响以及基于特定弱点的对资产的可用性影响的数据。
23.如权利要求20所述的设备,其中,标准化分量包括反映由特定弱点造成的风险随时间推移的改变的时间分量。
24.如权利要求20所述的设备,其中,标准化弱点分数至少部分地基于公共弱点评分系统(CVSS)的标准分数。
25.如权利要求19所述的设备,还包括:
用于接收用于特定弱点的弱点定义数据的装置,弱点定义数据包括特定弱点的标识、降低弱点将影响资产的风险的一个或多个对策的标识、指示潜在地由用于弱点的每个对策给予的保护水平的对策保护数据以及描述弱点所适用于的资产的一个或多个配置的适用性数据;以及
用于接收用于特定资产的弱点检测数据、对策检测数据以及配置数据的装置,其中,用于特定资产的弱点检测数据包括暗示特定资产是否拥有弱点的信息,用于资产的对策检测数据识别保护特定资产的一个或多个对策,并且用于特定资产的配置数据描述特定资产的配置。
26.如权利要求25所述的设备,其中,对策分量分数是至少从对策保护数据和对策检测数据导出的。
27.如权利要求26所述的设备,其中,对策分量分数进一步从用于特定资产的配置数据导出。
28.如权利要求26所述的设备,其中,用于识别对策分量分数的装置包括用于计算对策分量分数的装置。
29.如权利要求25所述的设备,其中,弱点检测分数是至少从弱点检测数据导出的。
30.如权利要求29所述的设备,其中,弱点检测分数进一步从用于特定资产的配置数据导出。
31.如权利要求19所述的设备,其中,用于特定资产的所确定风险度量是弱点中心风险度量,并且所述设备还包括用于确定用于特定资产的威胁中心风险度量的装置,其中,用于确定用于特定资产的威胁中心风险度量的装置包括:
用于确定用于特定资产和特定威胁的威胁因数的装置,其中,威胁因数是从估计特定威胁的严重性的威胁严重性分数和估计特定威胁对特定资产的适用性的适用性分数导出的;
用于确定用于特定资产和特定威胁的威胁暴露因数的装置,其中,威胁暴露因数是从威胁因数、弱点分量分数以及威胁对策分量分数导出的,其中,弱点分量分数指示特定资产针对特定威胁是否是脆弱的,并且对策分量分数是从第二对策将缓解关于特定威胁的攻击对特定资产的影响的可能性的估计导出的;以及
其中,根据用于特定资产的威胁暴露因数和关键性分数来确定用于特定资产和特定威胁的威胁中心风险度量,其中,关键性分数表示损失资产的影响。
32.如权利要求31所述的设备,其中,特定威胁利用特定弱点,弱点分量分数等于弱点检测分数,并且特定对策是第二对策。
33.如权利要求32所述的设备,其中,所确定的弱点中心度量和威胁中心度量的各计算值是不同的。
34.如权利要求19所述的设备,其中,标准化弱点分数和标准化对策分量分数中的至少一个具有在预定义范围内的值。
35.如权利要求19所述的设备,其中,所述多个已知弱点中的至少某些弱点与多个已知威胁中的至少一个相关联,并且所述特定弱点不与所述多个已知威胁中的任何一个相关联。
36.一种用于评定计算风险的系统,所述系统包括:
至少一个处理器装置;
至少一个存储器元件;以及
网络监视器,当被至少一个处理器装置执行时适合于:
识别用于多个已知弱点中的特定弱点的标准化弱点分数,其中,标准化弱点分数指示相对于所述多个已知弱点中的其他弱点的与特定弱点相关联的相对风险水平;
确定指示特定资产拥有特定弱点的估计概率的弱点检测分数;
确定用于特定资产对特定弱点的弱点复合分数,其中,从标准化弱点分数和弱点检测分数导出弱点复合分数;
识别对策分量分数,其中,对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率;以及
根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。
37.一种用于评定风险的方法,所述方法包括:
接收弱点定义数据,针对多个弱点中的每一个,弱点定义数据包括弱点的指示、降低与资产拥有弱点相关联的风险的一个或多个对策的标识、潜在地由用于弱点的每个对策给予的保护水平的指示以及描述弱点所适用的资产的一个或多个配置的适用性信息;
接收用于一个或多个资产中的每一个的弱点检测数据、对策检测数据以及配置数据,其中,用于每个资产的弱点检测数据识别适用于资产的弱点,用于每个资产的对策检测数据识别保护资产的一个或多个对策,并且用于每个资产的配置数据描述资产的配置;以及
确定针对一个或多个弱点中的每一个的用于一个或多个资产中的每一个的各风险度量,其中,确定风险度量包括针对每个资产和每个弱点:
识别用于弱点的标准化弱点分数,其中,标准化弱点分数指示与弱点相关联的相对于所述多个弱点中的其他弱点的相对风险水平;
根据用于资产的弱点检测数据来确定用于资产的弱点检测分数;
确定用于特定资产对特定弱点的弱点复合分数,其中,从标准化弱点分数和弱点检测分数导出弱点复合分数;
根据弱点定义数据和对策检测数据来确定对策分量分数,其中,确定对策分量分数包括分析由在用于弱点的弱点定义数据中和在对策数据中都识别为保护资产的每个对策给予的保护水平;以及
根据弱点复合分数和对策分量分数来确定用于资产和弱点的风险度量。
38.如权利要求37所述的方法,还包括:
确定用于资产和所述多个弱点中的每一个的各风险度量;以及
根据用于资产和所述多个弱点中的每一个的各风险度量来确定用于资产的聚合风险度量。
39.如权利要求38所述的方法,还包括:
选择包括资产的资产组;
确定用于资产组中的每个资产的聚合风险度量;以及
根据用于资产组中的每个资产的聚合风险度量来确定用于资产组的聚合风险度量。
40.如权利要求38所述的方法,还包括:
确定用于弱点和多个资产中的每一个的各风险度量;以及
根据用于弱点和所述多个资产中的每一个的各风险度量来确定用于弱点的聚合风险度量。
41.一种包括用于执行权利要求37-40中任一项的方法的装置的系统。
42.一种用于评定风险的设备,所述设备包括:
用于接收弱点定义数据的装置,针对多个弱点中的每一个,弱点定义数据包括弱点的指示、降低与资产拥有弱点相关联的风险的一个或多个对策的标识、潜在地由用于弱点的每个对策给予的保护水平的指示以及描述弱点所适用的资产的一个或多个配置的适用性信息;
用于接收用于一个或多个资产中的每一个的弱点检测数据、对策检测数据以及配置数据的装置,其中,用于每个资产的弱点检测数据识别适用于资产的弱点,用于每个资产的对策检测数据识别保护资产的一个或多个对策,并且用于每个资产的配置数据描述资产的配置;以及
用于确定针对一个或多个弱点中的每一个的用于一个或多个资产中的每一个的各风险度量的装置,其中,用于确定风险度量的装置包括针对每个资产和每个弱点:
用于识别用于弱点的标准化弱点分数的装置,其中,标准化弱点分数指示与弱点相关联的相对于所述多个弱点中的其他弱点的相对风险水平;
用于根据用于资产的弱点检测数据来确定用于资产的弱点检测分数的装置;
用于确定用于特定资产对特定弱点的弱点复合分数的装置,其中,从标准化弱点分数和弱点检测分数导出弱点复合分数;
用于根据弱点定义数据和对策检测数据来确定对策分量分数的装置,其中,用于确定对策分量分数的装置包括用于分析由在用于弱点的弱点定义数据中和在对策数据中都识别为保护资产的每个对策给予的保护水平的装置;以及
用于根据弱点复合分数和对策分量分数来确定用于资产和弱点的风险度量的装置。
43.如权利要求42所述的设备,还包括:
用于确定用于资产和所述多个弱点中的每一个的各风险度量的装置;以及
用于根据用于资产和所述多个弱点中的每一个的各风险度量来确定用于资产的聚合风险度量的装置。
44.如权利要求43所述的设备,还包括:
用于选择包括资产的资产组的装置;
用于确定用于资产组中的每个资产的聚合风险度量的装置;以及
用于根据用于资产组中的每个资产的聚合风险度量来确定用于资产组的聚合风险度量的装置。
45.如权利要求43所述的设备,还包括:
用于确定用于弱点和多个资产中的每一个的各风险度量的装置;以及
用于根据用于弱点和所述多个资产中的每一个的各风险度量来确定用于弱点的聚合风险度量的装置。
CN201280067493.XA 2012-01-19 2012-12-17 计算定量资产风险 Active CN104040554B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/354,181 2012-01-19
US13/354,181 US8595845B2 (en) 2012-01-19 2012-01-19 Calculating quantitative asset risk
PCT/US2012/070207 WO2013109374A1 (en) 2012-01-19 2012-12-17 Calculating quantitative asset risk

Publications (2)

Publication Number Publication Date
CN104040554A CN104040554A (zh) 2014-09-10
CN104040554B true CN104040554B (zh) 2017-07-28

Family

ID=48798369

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280067493.XA Active CN104040554B (zh) 2012-01-19 2012-12-17 计算定量资产风险

Country Status (4)

Country Link
US (1) US8595845B2 (zh)
EP (1) EP2805282A4 (zh)
CN (1) CN104040554B (zh)
WO (1) WO2013109374A1 (zh)

Families Citing this family (138)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10839321B2 (en) 1997-01-06 2020-11-17 Jeffrey Eder Automated data storage system
US20040236673A1 (en) 2000-10-17 2004-11-25 Eder Jeff Scott Collaborative risk transfer system
US10044582B2 (en) 2012-01-28 2018-08-07 A10 Networks, Inc. Generating secure name records
US9426169B2 (en) * 2012-02-29 2016-08-23 Cytegic Ltd. System and method for cyber attacks analysis and decision support
US9668137B2 (en) * 2012-03-07 2017-05-30 Rapid7, Inc. Controlling enterprise access by mobile devices
US9020652B2 (en) * 2012-04-13 2015-04-28 The Boeing Company Event processing system for an electrical power system
CN103685150B (zh) * 2012-09-03 2015-08-12 腾讯科技(深圳)有限公司 上传文件的方法和装置
KR20150058304A (ko) 2012-09-18 2015-05-28 더 조지 워싱턴 유니버시티 창발적 네트워크 방어 시스템
US20160072770A1 (en) * 2012-09-18 2016-03-10 Earl N. Crane Emergent network defense system
US20140137190A1 (en) * 2012-11-09 2014-05-15 Rapid7, Inc. Methods and systems for passively detecting security levels in client devices
US9954883B2 (en) * 2012-12-18 2018-04-24 Mcafee, Inc. Automated asset criticality assessment
ITMI20122255A1 (it) * 2012-12-28 2014-06-29 Eni Spa Metodo e sistema per la valutazione del rischio per la sicurezza di una installazione industriale
US10686819B2 (en) 2013-02-19 2020-06-16 Proofpoint, Inc. Hierarchical risk assessment and remediation of threats in mobile networking environment
US20140259168A1 (en) * 2013-03-11 2014-09-11 Alcatel-Lucent Usa Inc. Malware identification using a hybrid host and network based approach
US9912555B2 (en) 2013-03-15 2018-03-06 A10 Networks, Inc. System and method of updating modules for application or content identification
US9722918B2 (en) 2013-03-15 2017-08-01 A10 Networks, Inc. System and method for customizing the identification of application or content type
WO2014176461A1 (en) 2013-04-25 2014-10-30 A10 Networks, Inc. Systems and methods for network access control
US20140325670A1 (en) * 2013-04-25 2014-10-30 Rivendale Software Solution Private Limited System and method for providing risk score based on sensitive information inside user device
US9294503B2 (en) 2013-08-26 2016-03-22 A10 Networks, Inc. Health monitor based distributed denial of service attack mitigation
US9392012B2 (en) * 2013-11-01 2016-07-12 Bank Of America Corporation Application security testing system
US9721316B2 (en) 2014-01-10 2017-08-01 Bank Of America Corporation Change convergence risk mapping
US9177138B2 (en) * 2014-01-10 2015-11-03 Bank Of America Corporation Change convergence risk planning and avoidance
US20150237062A1 (en) * 2014-02-14 2015-08-20 Risk I/O, Inc. Risk Meter For Vulnerable Computing Devices
US8966639B1 (en) * 2014-02-14 2015-02-24 Risk I/O, Inc. Internet breach correlation
US8984643B1 (en) 2014-02-14 2015-03-17 Risk I/O, Inc. Ordered computer vulnerability remediation reporting
WO2015126410A1 (en) * 2014-02-21 2015-08-27 Hewlett-Packard Development Company, L.P. Scoring for threat observables
EP3111363A4 (en) * 2014-02-28 2017-10-04 Temporal Defense Systems, LLC Security evaluation systems and methods
JP6298680B2 (ja) * 2014-03-28 2018-03-20 株式会社日立製作所 セキュリティ対処支援システム
US9906422B2 (en) 2014-05-16 2018-02-27 A10 Networks, Inc. Distributed system to determine a server's health
US9503467B2 (en) 2014-05-22 2016-11-22 Accenture Global Services Limited Network anomaly detection
US9386041B2 (en) 2014-06-11 2016-07-05 Accenture Global Services Limited Method and system for automated incident response
US9794279B2 (en) * 2014-06-11 2017-10-17 Accenture Global Services Limited Threat indicator analytics system
US9118714B1 (en) 2014-07-23 2015-08-25 Lookingglass Cyber Solutions, Inc. Apparatuses, methods and systems for a cyber threat visualization and editing user interface
US10445496B2 (en) 2014-07-30 2019-10-15 Entit Software Llc Product risk profile
US9716721B2 (en) 2014-08-29 2017-07-25 Accenture Global Services Limited Unstructured security threat information analysis
US9407645B2 (en) 2014-08-29 2016-08-02 Accenture Global Services Limited Security threat information analysis
US9756071B1 (en) 2014-09-16 2017-09-05 A10 Networks, Inc. DNS denial of service attack protection
US9614864B2 (en) * 2014-10-09 2017-04-04 Bank Of America Corporation Exposure of an apparatus to a technical hazard
US9537886B1 (en) 2014-10-23 2017-01-03 A10 Networks, Inc. Flagging security threats in web service requests
US9692778B1 (en) * 2014-11-11 2017-06-27 Symantec Corporation Method and system to prioritize vulnerabilities based on contextual correlation
US9621575B1 (en) * 2014-12-29 2017-04-11 A10 Networks, Inc. Context aware threat protection
US9648036B2 (en) 2014-12-29 2017-05-09 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9467455B2 (en) 2014-12-29 2016-10-11 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9900343B1 (en) 2015-01-05 2018-02-20 A10 Networks, Inc. Distributed denial of service cellular signaling
US9800605B2 (en) * 2015-01-30 2017-10-24 Securonix, Inc. Risk scoring for threat assessment
US9848013B1 (en) 2015-02-05 2017-12-19 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack detection
US10063591B1 (en) 2015-02-14 2018-08-28 A10 Networks, Inc. Implementing and optimizing secure socket layer intercept
EP3286890A1 (en) * 2015-04-20 2018-02-28 Entit Software LLC Security indicator scores
US10135633B2 (en) * 2015-04-21 2018-11-20 Cujo LLC Network security analysis for smart appliances
US10230740B2 (en) * 2015-04-21 2019-03-12 Cujo LLC Network security analysis for smart appliances
US10284595B2 (en) * 2015-05-08 2019-05-07 Citrix Systems, Inc. Combining internet routing information with access logs to assess risk of user exposure
US9923915B2 (en) * 2015-06-02 2018-03-20 C3 Iot, Inc. Systems and methods for providing cybersecurity analysis based on operational technologies and information technologies
US9979743B2 (en) 2015-08-13 2018-05-22 Accenture Global Services Limited Computer asset vulnerabilities
US9886582B2 (en) 2015-08-31 2018-02-06 Accenture Global Sevices Limited Contextualization of threat data
US10922417B2 (en) * 2015-09-15 2021-02-16 Nec Corporation Information processing apparatus, information processing method, and program
US9787581B2 (en) 2015-09-21 2017-10-10 A10 Networks, Inc. Secure data flow open information analytics
US9742801B1 (en) * 2015-09-25 2017-08-22 Symantec Corporation Systems and methods for preventing the execution of online malvertising
KR101687716B1 (ko) * 2015-10-15 2016-12-19 국방과학연구소 정보 시스템의 취약도 계산 장치 및 그 계산 방법
US10469594B2 (en) 2015-12-08 2019-11-05 A10 Networks, Inc. Implementation of secure socket layer intercept
US10356045B2 (en) 2015-12-18 2019-07-16 Cujo LLC Intercepting intra-network communication for smart appliance behavior analysis
EP3188443A3 (en) * 2015-12-30 2017-07-26 Palantir Technologies, Inc. Systems for network risk assessment
US11025779B1 (en) 2016-04-22 2021-06-01 Wells Fargo Bank, N.A. Automated payment reminders
US10270799B2 (en) * 2016-05-04 2019-04-23 Paladion Networks Private Limited Methods and systems for predicting vulnerability state of computer system
US20170339190A1 (en) * 2016-05-23 2017-11-23 Cisco Technology, Inc. Device-specific packet inspection plan
US10812348B2 (en) 2016-07-15 2020-10-20 A10 Networks, Inc. Automatic capture of network data for a detected anomaly
US10372915B2 (en) * 2016-07-29 2019-08-06 Jpmorgan Chase Bank, N.A. Cybersecurity vulnerability management systems and method
US10341118B2 (en) 2016-08-01 2019-07-02 A10 Networks, Inc. SSL gateway with integrated hardware security module
US11522901B2 (en) 2016-09-23 2022-12-06 OPSWAT, Inc. Computer security vulnerability assessment
US9749349B1 (en) 2016-09-23 2017-08-29 OPSWAT, Inc. Computer security vulnerability assessment
US10277625B1 (en) * 2016-09-28 2019-04-30 Symantec Corporation Systems and methods for securing computing systems on private networks
US10212184B2 (en) 2016-10-27 2019-02-19 Opaq Networks, Inc. Method for the continuous calculation of a cyber security risk index
US11824880B2 (en) 2016-10-31 2023-11-21 Armis Security Ltd. Detection of vulnerable wireless networks
US10511620B2 (en) * 2016-10-31 2019-12-17 Armis Security Ltd. Detection of vulnerable devices in wireless networks
US10382562B2 (en) 2016-11-04 2019-08-13 A10 Networks, Inc. Verification of server certificates using hash codes
US10235528B2 (en) * 2016-11-09 2019-03-19 International Business Machines Corporation Automated determination of vulnerability importance
US10250475B2 (en) 2016-12-08 2019-04-02 A10 Networks, Inc. Measurement of application response delay time
US20180189697A1 (en) * 2016-12-30 2018-07-05 Lookingglass Cyber Solutions, Inc. Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset
KR101781450B1 (ko) * 2017-01-03 2017-09-25 한국인터넷진흥원 사이버 공격에 대한 위험도 산출 방법 및 장치
US10397270B2 (en) 2017-01-04 2019-08-27 A10 Networks, Inc. Dynamic session rate limiter
US10187377B2 (en) 2017-02-08 2019-01-22 A10 Networks, Inc. Caching network generated security certificates
US10127141B2 (en) 2017-02-20 2018-11-13 Bank Of America Corporation Electronic technology resource evaluation system
US10607014B1 (en) 2017-05-11 2020-03-31 CA, In. Determining monetary loss due to security risks in a computer system
WO2019004928A1 (en) * 2017-06-29 2019-01-03 Certis Cisco Security Pte Ltd AUTONOMOUS INCREASE SORTING PRIORITIZATION BY PERFORMANCE MODIFIER AND TIME-DECREASING PARAMETERS
US11934937B2 (en) 2017-07-10 2024-03-19 Accenture Global Solutions Limited System and method for detecting the occurrence of an event and determining a response to the event
US10810006B2 (en) 2017-08-28 2020-10-20 Bank Of America Corporation Indicator regression and modeling for implementing system changes to improve control effectiveness
US11023812B2 (en) 2017-08-28 2021-06-01 Bank Of America Corporation Event prediction and impact mitigation system
US10877443B2 (en) 2017-09-20 2020-12-29 Bank Of America Corporation System for generation and execution of improved control effectiveness
US20190096214A1 (en) 2017-09-27 2019-03-28 Johnson Controls Technology Company Building risk analysis system with geofencing for threats and assets
US20190138512A1 (en) 2017-09-27 2019-05-09 Johnson Controls Technology Company Building risk analysis system with dynamic and base line risk
RU180178U1 (ru) * 2017-11-08 2018-06-05 Федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерство обороны Российской Федерации Система комплексной оценки защищенности автоматизированных систем управления военного назначения
CN108204830B (zh) * 2017-11-28 2019-08-06 珠海格力电器股份有限公司 相位偏差的补偿方法和装置
US10733302B2 (en) 2017-12-15 2020-08-04 Mastercard International Incorporated Security vulnerability analytics engine
US10749888B2 (en) 2018-03-08 2020-08-18 Bank Of America Corporation Prerequisite quantitative risk assessment and adjustment of cyber-attack robustness for a computer system
US10887326B2 (en) * 2018-03-30 2021-01-05 Microsoft Technology Licensing, Llc Distributed system for adaptive protection against web-service- targeted vulnerability scanners
US10984122B2 (en) 2018-04-13 2021-04-20 Sophos Limited Enterprise document classification
US10749890B1 (en) 2018-06-19 2020-08-18 Architecture Technology Corporation Systems and methods for improving the ranking and prioritization of attack-related events
US11036865B2 (en) * 2018-07-05 2021-06-15 Massachusetts Institute Of Technology Systems and methods for risk rating of vulnerabilities
US10970400B2 (en) * 2018-08-14 2021-04-06 Kenna Security, Inc. Multi-stage training of machine learning models
CN110019282A (zh) * 2018-08-20 2019-07-16 郑州向心力通信技术股份有限公司 一种信息资产探查系统及方法
JP6995726B2 (ja) * 2018-09-26 2022-01-17 フォルシアクラリオン・エレクトロニクス株式会社 脆弱性評価装置、脆弱性評価システム及びその方法
US10791139B2 (en) * 2018-10-24 2020-09-29 American Bureau of Shipping Cyber security risk model and index
US11741196B2 (en) 2018-11-15 2023-08-29 The Research Foundation For The State University Of New York Detecting and preventing exploits of software vulnerability using instruction tags
US11677773B2 (en) * 2018-11-19 2023-06-13 Bmc Software, Inc. Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring
US11277429B2 (en) * 2018-11-20 2022-03-15 Saudi Arabian Oil Company Cybersecurity vulnerability classification and remediation based on network utilization
US20200177614A1 (en) * 2018-11-30 2020-06-04 Proofpoint, Inc. People-centric threat scoring
JP2020113090A (ja) * 2019-01-15 2020-07-27 三菱電機株式会社 脆弱性影響評価システム
US11429713B1 (en) 2019-01-24 2022-08-30 Architecture Technology Corporation Artificial intelligence modeling for cyber-attack simulation protocols
US11128654B1 (en) 2019-02-04 2021-09-21 Architecture Technology Corporation Systems and methods for unified hierarchical cybersecurity
US11201891B2 (en) * 2019-04-30 2021-12-14 EMC IP Holding Company LLC Prioritization of remediation actions for addressing vulnerabilities in an enterprise system
US11533328B2 (en) * 2019-06-06 2022-12-20 Paypal, Inc. Systems and methods for analyzing vulnerabilities of networked systems
AT522625B1 (de) * 2019-06-14 2022-05-15 Avl List Gmbh Verfahren zur Sicherheitsüberprüfung einer Technikeinheit
US20220394053A1 (en) * 2019-06-24 2022-12-08 Cymotive Technologies Ltd. Systems and methods for assessing risk in networked vehicle components
US11277431B2 (en) * 2019-06-27 2022-03-15 Forescout Technologies, Inc. Comprehensive risk assessment
US11403405B1 (en) 2019-06-27 2022-08-02 Architecture Technology Corporation Portable vulnerability identification tool for embedded non-IP devices
WO2021028060A1 (en) * 2019-08-15 2021-02-18 Telefonaktiebolaget Lm Ericsson (Publ) Security automation system
EP4004847A4 (en) * 2019-09-05 2022-08-03 Cytwist Ltd. SYSTEM AND METHOD OF DISCOVERING AND CLASSIFYING ORGANIZATIONAL ASSETS
US11159557B2 (en) * 2019-11-13 2021-10-26 Servicenow, Inc. Network security through linking vulnerability management and change management
US11546354B2 (en) * 2019-11-26 2023-01-03 Kyndryl, Inc. Network shutdown for cyber security
US11438362B2 (en) * 2020-01-02 2022-09-06 Saudi Arabian Oil Company Method and system for prioritizing and remediating security vulnerabilities based on adaptive scoring
US11503075B1 (en) 2020-01-14 2022-11-15 Architecture Technology Corporation Systems and methods for continuous compliance of nodes
US11256814B2 (en) * 2020-03-16 2022-02-22 Kyndryl, Inc. Application selection based on cumulative vulnerability risk assessment
US11768945B2 (en) 2020-04-07 2023-09-26 Allstate Insurance Company Machine learning system for determining a security vulnerability in computer software
US11799895B2 (en) * 2020-04-27 2023-10-24 Netskope, Inc. Assessing computer network risk
US20210360017A1 (en) * 2020-05-14 2021-11-18 Cynomi Ltd System and method of dynamic cyber risk assessment
CN111447246B (zh) * 2020-06-17 2020-09-11 中国人民解放军国防科技大学 一种基于异构信息网络的节点脆弱性估计方法和系统
US11586921B2 (en) * 2020-06-29 2023-02-21 Nozomi Networks Sagl Method for forecasting health status of distributed networks by artificial neural networks
GB2597909B (en) * 2020-07-17 2022-09-07 British Telecomm Computer-implemented security methods and systems
JP2022047160A (ja) * 2020-09-11 2022-03-24 富士フイルムビジネスイノベーション株式会社 監査システムおよびプログラム
US12032702B2 (en) * 2020-10-23 2024-07-09 International Business Machines Corporation Automated health-check risk assessment of computing assets
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks
US12034755B2 (en) * 2021-03-18 2024-07-09 International Business Machines Corporation Computationally assessing and remediating security threats
US11783051B2 (en) 2021-07-15 2023-10-10 Zeronorth, Inc. Normalization, compression, and correlation of vulnerabilities
GB202405277D0 (en) * 2021-10-11 2024-05-29 Sophos Ltd Augmented threat investigation
US20230281314A1 (en) * 2022-03-03 2023-09-07 SparkCognition, Inc. Malware risk score determination
WO2024091149A1 (en) * 2022-10-24 2024-05-02 Telefonaktiebolaget Lm Ericsson (Publ) Path computation in a communication network
WO2024144442A1 (en) 2022-12-29 2024-07-04 Telefonaktiebolaget Lm Ericsson (Publ) Determination of output from twinned network function

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6073142A (en) * 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US5987610A (en) * 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6460050B1 (en) * 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
US6901519B1 (en) * 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US20040044617A1 (en) * 2002-09-03 2004-03-04 Duojia Lu Methods and systems for enterprise risk auditing and management
US8312549B2 (en) * 2004-09-24 2012-11-13 Ygor Goldberg Practical threat analysis
US20070061885A1 (en) * 2005-09-09 2007-03-15 Hammes Peter C System and method for managing security testing
US8095984B2 (en) * 2005-09-22 2012-01-10 Alcatel Lucent Systems and methods of associating security vulnerabilities and assets
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US20070067845A1 (en) * 2005-09-22 2007-03-22 Alcatel Application of cut-sets to network interdependency security risk assessment
US20070143851A1 (en) * 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US10083481B2 (en) * 2006-02-02 2018-09-25 Oracle America, Inc. IT risk management framework and methods
US8650623B2 (en) * 2007-01-17 2014-02-11 International Business Machines Corporation Risk adaptive information flow based access control
JP5141048B2 (ja) * 2007-03-05 2013-02-13 オムロン株式会社 リスク監視装置、リスク監視システム、リスク監視方法
KR20090037538A (ko) * 2007-10-12 2009-04-16 한국정보보호진흥원 정보자산 모델링을 이용한 위험 평가 방법
US8881272B2 (en) * 2009-03-20 2014-11-04 Achilles Guard, Inc. System and method for selecting and applying filters for intrusion protection system within a vulnerability management system
US8495745B1 (en) * 2009-11-30 2013-07-23 Mcafee, Inc. Asset risk analysis
US20130247205A1 (en) * 2010-07-14 2013-09-19 Mcafee, Inc. Calculating quantitative asset risk
US8438644B2 (en) * 2011-03-07 2013-05-07 Isight Partners, Inc. Information system security based on threat vectors
US20130096980A1 (en) * 2011-10-18 2013-04-18 Mcafee, Inc. User-defined countermeasures

Also Published As

Publication number Publication date
EP2805282A1 (en) 2014-11-26
US20130191919A1 (en) 2013-07-25
CN104040554A (zh) 2014-09-10
WO2013109374A1 (en) 2013-07-25
EP2805282A4 (en) 2015-06-17
US8595845B2 (en) 2013-11-26

Similar Documents

Publication Publication Date Title
CN104040554B (zh) 计算定量资产风险
US11483334B2 (en) Automated asset criticality assessment
US11522899B2 (en) System and method for vulnerability management for connected devices
US10419466B2 (en) Cyber security using a model of normal behavior for a group of entities
EP3211854B1 (en) Cyber security
US10708290B2 (en) System and method for prediction of future threat actions
US20130247205A1 (en) Calculating quantitative asset risk
US9021595B2 (en) Asset risk analysis
WO2019136282A1 (en) Control maturity assessment in security operations environments
WO2013059270A1 (en) User-defined countermeasures
CN105009132A (zh) 基于置信因子的事件关联
Xu et al. Remote attestation with domain-based integrity model and policy analysis
US8392998B1 (en) Uniquely identifying attacked assets
US20150172302A1 (en) Interface for analysis of malicious activity on a network
KR20210109292A (ko) 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템
WO2023104791A1 (en) Combining policy compliance and vulnerability management for risk assessment
Al-Araji et al. Propose vulnerability metrics to measure network secure using attack graph
Hakkoymaz Classifying database users for intrusion prediction and detection in data security
US20090276853A1 (en) Filtering intrusion detection system events on a single host
US20220239634A1 (en) Systems and methods for sensor trustworthiness
Ghorbani et al. An improved distributed intrusion detection architecture for cloud computing
CN117692223A (zh) 一种多层机器学习驱动的服务器安全系统
Dubey et al. A Survey Intrusion Detection with KDD99. Cup Dataset

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: American California

Patentee after: McAfee limited liability company

Address before: American California

Patentee before: Mai Kefei company

CP01 Change in the name or title of a patent holder