CN106716953B - 控制系统中的网络安全风险的动态量化 - Google Patents
控制系统中的网络安全风险的动态量化 Download PDFInfo
- Publication number
- CN106716953B CN106716953B CN201580048428.6A CN201580048428A CN106716953B CN 106716953 B CN106716953 B CN 106716953B CN 201580048428 A CN201580048428 A CN 201580048428A CN 106716953 B CN106716953 B CN 106716953B
- Authority
- CN
- China
- Prior art keywords
- risk
- cyber
- inter
- quantified individual
- quantified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
- Hardware Redundancy (AREA)
Abstract
一种用于分析具有联网设备(160)的控制系统(150)中的网络安全风险相互依赖性的系统(100)和方法(600)。该系统包括具有处理器(110)和与处理器通信的存储器设备(116)的中央服务器(105)。存储器设备存储针对每一个联网设备的设备间依赖性(362)和量化单独风险(312)。存储器设备还存储风险动态量化(DQR)程序(128)。中央服务器被编程为实现DQR程序。响应于观察到的网络行为,中央服务器改变一个或多个量化单独风险,以生成(616)至少一个修改量化单独风险(326)。针对联网设备中的第一个的设备间依赖性和反映修改量化单独风险的针对联网设备中的至少一个其他设备的量化单独风险被用于动态地修改针对第一设备的量化单独风险,以生成(618)设备间修改量化单独风险(328)。
Description
技术领域
所公开的实施例一般涉及针对与控制系统相关联的网络的网络安全,并且更具体地涉及控制系统中的网络安全风险的动态量化。
背景技术
计算机系统被用于执行各种不同的任务中。例如,计算机系统和装备的工业网络被用于控制和/或监视称为工业控制系统(ICS)的工业系统中。这样的ICS可以结合制造、发电、能量分布、废物处理、运输、电信和水处理而使用。ICS可以经由其他网络直接地和间接地(二者)连接和可访问,包括公司网络和因特网。
因此,工业网络可能容易受到内部和外部二者的网络攻击。作为来自外部网络攻击的预防措施,可以采取防火墙或其他安全措施来将工业网络与其他网络分离。
在ICS中,网络安全越来越受关注,并且难以快速确定针对整个系统的潜在风险源。现代ICS通常包含设备/装备的混合,包括WINDOWS服务器和工作站、交换机、路由器、防火墙、安全系统、专有的实时控制器和现场设备。通常这样的设备/装备是来自不同供应商的混合物。
此外,ICS操作员可能不具有对在ICS中运行的所有设备/装备的完全理解或盘存(inventory)。任何设备/装备中的未解决的安全漏洞都可能导致系统故障,包括中断生产或导致不安全状况。这样的系统故障可能是恶意攻击、不满雇员、病毒的结果或仅仅是伴随着缺少网络安全措施的错误的结果。甚至独立的设备/装备也可能是易受攻击的,诸如通过经由通用串行总线(USB)存储器“棒”引入的病毒。
发明内容
提供本发明内容以呈现简要地指示本公开的性质和实质的概要。提交时应理解,其将不用于解释或限制权利要求的范围或含义。
所公开的实施例认识到,具有多个网络连接的设备或装备(下文称为“联网设备”)的复杂控制系统中的网络安全风险不断改变并处于动态状态。网络安全风险至少部分地基于联网设备之间的互连而是设备间依赖的。因此,存在对于网络安全风险分析系统和算法的公认的需要,其使用基于联网设备之间的互连的设备间依赖性和单独网络安全风险的发生频率来动态地分析网络安全风险,以便指导用户减轻这些漏洞。
如本文所使用的,术语网络中的网络“安全风险”通常是指有缺陷的、错误配置的或易受攻击的任何网络安全控制。安全风险包括但不限于缺失补丁、过时的反病毒软件、过多的安全特权、不当使用和未经授权的改变。如本文所使用的,“有缺陷的”被限定为不存在准备就绪(in place)的控制(缺失)或者准备就绪的控制对于任务是不足的,“错误配置的”被限定为适当的控制准备就绪,但是以使其部分或完全无效的方式配置,并且“易受攻击的”被限定为当适当的控制准备就绪时,但是它是过时的或未打补丁的,从而使得其容易受到网络攻击。
所公开的实施例包括一种用于量化包括若干(并且通常是大量)联网设备的控制系统中的网络安全风险的方法。该方法包括提供处理器和存储基于联网设备之间的互连的设备间依赖性的存储器设备。漏洞数据库存储在存储器设备上,并且包括针对多个联网设备中的每一个的量化单独网络风险(量化单独风险)。存储器设备还存储风险动态量化(DQR)算法。
处理器运行DQR算法,从而使得处理器实现在网络的操作期间接收针对联网设备的观察到的网络行为。响应于观察到的网络行为,改变量化单独风险中的一个或多个以生成至少一个修改量化单独风险。针对多个联网设备中的第一个(第一设备)的设备间依赖性和反映修改量化单独风险的针对多个联网设备中的至少一个其他设备的量化单独风险被用于动态地修改针对第一设备的量化单独风险,以生成设备间修改量化单独风险。
一个公开的实施例包括用于分析包括若干联网设备的控制系统中的网络安全风险的网络安全风险分析系统。该系统包括具有处理器和与处理器通信的存储器设备的中央服务器。存储器设备存储基于联网设备之间的互连的设备间依赖性、以及包括针对联网设备中的每一个的量化单独网络风险(量化单独风险)的漏洞数据库。存储器设备还存储风险动态量化(DQR)程序。中央服务器被编程为实现DQR程序。
中央服务器在网络的操作期间接收针对联网设备的观察到的网络行为。响应于观察到的网络行为,中央服务器改变量化单独风险中的一个或多个以生成至少一个修改量化单独风险。针对联网设备中的第一个(第一设备)的设备间依赖性和反映修改量化单独风险的针对联网设备中的至少一个其他设备的量化单独风险被用于动态地修改针对第一设备的量化单独风险,以生成设备间修改量化单独风险。
附图说明
图1是根据示例性实施例的集成到工业控制系统(ICS)中的示例性网络安全风险分析系统。
图2是根据示例性实施例的中央服务器的框图。
图3是根据示例性实施例的存储在存储设备上的计算机可读存储介质的内容的示例性图示。
图4A图示根据示例性实施例的没有关于观察到的行为的风险动态量化的安全风险的描绘。
图4B图示根据示例性实施例的具有关于观察到的行为的风险动态量化的安全风险的描绘。
图4C图示根据示例性实施例的设备间依赖性的概念映射图。
图4D图示根据示例性实施例的一个区域中的风险项如何可以影响其他区域的风险。
图5提供根据示例性实施例的关于观察到行为的网络安全风险的动态量化的描绘。
图6是根据示例性实施例的示出动态量化控制系统中的网络安全风险并分析风险的示例性方法中的步骤的流程图。
具体实施方式
参考附图描述所公开的实施例,其中相同的附图标记在所有附图中用于指明类似或等同的元件。附图未按比例绘制,并且它们被提供仅用于图示本文公开的方面。以下参考示例性应用来描述若干个公开的方面以用于说明。应当理解,阐述了许多具体细节、关系和方法以提供对本文公开的实施例的完全理解。
然而,相关领域的普通技术人员将容易认识到,所公开的实施例可以在没有一个或多个具体细节的情况下或者利用其他方法来实践。在其他情况下,未详细示出公知的结构或操作以避免模糊本文公开的方面。所公开的实施例不受动作或事件的所图示的次序限制,因为一些动作可以以不同的次序发生和/或与其他动作或事件同时发生。此外,并非需要所有图示的动作或事件来实现根据本公开的方法。
图1是根据示例性实施例的集成到包括多个联网设备160的控制系统150的网络中的示例性网络安全风险分析系统(系统)100。系统100包括示出为包括处理器110和主存储器112和存储设备116的中央服务器105。主存储器112和存储设备116存储所公开的算法和数据库数据。在一个实施例中,存储设备116可以存储漏洞数据库120、规则引擎和聚合模块122、数据收集模块124、风险动态量化(DQR)程序或模块或算法128、和用户界面(UI)网络应用模块126。使用所公开的算法,处理器110被示出为实现漏洞数据库120、规则引擎和聚合模块122、数据收集模块124、风险动态量化(DQR)程序或模块128、和用户UI网络应用模块126。
中央服务器105与联网设备160通信。由控制系统150实现的网络可以是有线(例如,电缆)、无线、光学或三者的任何组合(例如,有线和无线)。网络设备160包括工作站135、服务器140和现场设备145。数据收集模块124可以使用由控制系统150实现的网络中的每一个被监视设备(包括工作站135、服务器140和现场设备145)上的本地代理(其中本地代理收集数据并将数据发送到数据收集模块124)、诸如使用每一个设备上的无代理收集协议(例如,WINDOWS管理工具(WMI)、简单网络管理协议(SNMP)、Syslog)、或者这两种方法的组合来实现。一个特定实现将Microsoft系统中心操作管理器(SCOM)用于数据收集。系统100因此可以使用从工作站135(或PC)收集数据的本地代理和从交换机、路由器、防火墙和入侵检测/防止设备聚集数据的无代理收集的组合。原始数据可以由数据收集模块124存储在短期数据库(例如,7天的数据)和长期数据仓库(例如,12个月的数据(或更多,如果被配置的话))中。数据可以周期性地(轮询)被监视联网设备或者当检测到控制系统150中的任何被监视设备上的改变或事件时被收集。
规则引擎和聚合模块122可以利用定制开发的规则引擎来实现,该定制开发的规则引擎从被体现为SCOM数据库的数据收集模块124读取数据,并将其变换为规范化的数据和分组。规则引擎和聚合模块122能够在事件发生时从SCOM接收异步通知并且基本上立即处理它们。规则引擎和聚合模块122将结果所得的信息加载到存储设备116中的漏洞数据库120中。
漏洞数据库120可以实现为具有定制模式的MICROSOFT结构化查询语言(SQL)数据库。漏洞信息和事件由规则引擎和聚合模块122加载到漏洞数据库120中,并且由用户界面(UI)130诸如通过所示的UI网络应用126消耗。
UI网络应用126可以被实现为通过控制系统150中的浏览器访问的网络应用。浏览器133可以位于具有访问UI网络应用126的权限的个人计算机(PC)132或其他设备(例如,平板电脑)上。UI网络应用126可以托管在Microsoft因特网信息服务(IIS)中,并且将SignalR和JSON用于对漏洞数据库120的更新的实时通知并将knockout.js用于动态网页功能。UI网络应用126的替代实施例是独立的应用而不是基于浏览器的应用。该应用将直接访问漏洞数据库120,而不需要UI网络应用126(经受该数据库上的安全性),并将信息用于驱动界面。
数据收集模块124可以针对已知漏洞(例如,过期的WINDOWS补丁)扫描联网设备160以收集被加载到漏洞数据库120中的漏洞数据。数据收集模块124可以针对具有安全含义的事件(例如,病毒检测、WINDOWS认证失败)基本上“连续地”(例如,每几秒)监视联网设备。可以使用用于监视联网设备的两种不同的示例性方法。最简单的监视方法是轮询,其中以某个固定间隔(例如,每小时一次)读取值。当可能时可以使用的另一种方法是向设备的操作系统注册以便在任何时候被通知其在改变方面感兴趣的值。该方法通常仅对于某些操作设备上的某些参数(例如,WINDOWS机器上的注册表值)是可能的。当不可能注册针对给定参数的通知时,通常使用轮询。监视的区域包括反病毒、应用白名单、WINDOWS安全事件、网络安全(包括交换机、路由器、防火墙和入侵检测/防止系统的状态)、备份状态、打补丁状态和资产策略。
DQR模块128计及联网设备160之间的设备间依赖性并且关于跨控制系统150的观察到的行为而动态地量化网络安全风险。例如,现场设备145和工作站135的行为也可以影响服务器140的整体网络安全风险。关于观察到的行为的风险的动态量化基于设备依赖性的概念,其可以由网络和计算设备的区域或特定设备依赖性所限定。
图2图示了中央服务器105的示例性框图,在所述中央服务器105内可以执行一组指令224和/或算法225,使得中央服务器105执行本文讨论的方法、过程、操作、应用或方法中的任何一个或多个。中央服务器105包括一个或多个处理器110,诸如中央处理单元(CPU)、主存储器112和静态存储器206,它们经由可以表示数据总线和地址总线的系统总线208彼此通信。
处理器110可以运行或执行一个或多个过程203。主存储器112可以存储用于由处理器110执行的指令224和/或算法225。中央服务器105还包括输出设备210(例如,视频显示器)和信号生成设备218(例如,扬声器),它们连接到系统总线208。中央服务器105还具有输入设备,诸如字母数字输入设备212(例如,键盘)和光标控制设备214(例如,鼠标),它们连接到系统总线208。网络接口设备220被示出为连接到外部通信网络226以使得能够实现与系统总线208的通信。
诸如硬盘驱动器或固态驱动器的存储设备116连接到系统总线208并与系统总线208通信。存储设备116包括机器可读介质222,在其上存储有一组或多组软件,诸如体现本文描述的方法或功能中的任何一个或多个的指令224和/或算法225。指令224和/或算法225还可以在其由中央服务器105执行期间完全或至少部分地驻留在主存储器112内和/或处理器110内。主存储器112和处理器110还包含机器可读介质。指令224和/或算法225还可以经由网络接口设备220通过网络226发送或接收。
虽然机器可读介质222在示例性实施例中被示出为是单个介质,但是术语“机器可读介质”应该被认为包括单个介质或多个介质(例如,集中式或分布式数据库,和/或相关联的高速缓存和服务器),其存储一个或多个指令集。术语“机器可读介质”还将被认为包括任何介质,其能够存储、编码或携带用于由计算机系统执行的指令集并且使计算机系统执行本发明的各种实施例中所示的方法中的任何一种或多种。因此,术语“机器可读介质”应被认为包括但不限于固态存储器、光学和磁性介质、以及载波信号。
参考图3,示出了存储在存储设备116内的机器可读介质222的示例性内容。机器可读介质222可以存储用于由处理器110执行的指令224和/或算法225。操作系统(O/S)310也存储在机器可读介质222中。O/S 310管理资源并为中央服务器105提供公共服务。
机器可读介质222还包括漏洞数据库120、规则引擎和聚合模块122、数据收集模块124、DQR程序或模块128、和UI网络应用模块126。漏洞数据库120包含单独网络安全风险312和风险度量314。单独网络安全风险312是在控制系统150的操作期间观察到的风险。风险度量314是映射到与每一个单独网络安全风险312相关联的风险级别的数值。使用内部的一组规则,可以将数字分数分配给每一个风险以量化各种风险并且确定风险度量314。简单的示例将是将简单的分数给予针对网络设备的每一个可能风险,诸如使相应的风险被分配从0到100的数值(例如,0是无风险,100是最高可能风险)。
规则引擎和聚合模块122可以被实现为从数据收集模块124读取数据,并将其变换为规范化的数据和逻辑分组123。数据收集模块124可以针对已知漏洞扫描联网设备160,并且收集被加载到漏洞数据库120中的单独网络安全风险312和风险度量314(漏洞数据)。
DQR模块128是软件程序,其计及联网设备160之间的设备间依赖性以及关于跨控制系统150的观察到的行为(单独网络安全风险312)而动态量化网络安全风险。DQR模块128包括追踪网络安全风险312的发生(流行(prevalence))频率的计数器322。当观察到单独网络安全风险的新发生时,计数器322递增。当单独网络安全风险312的发生被解决时,计数器322递减。DQR模块128还包括流行风险修改量(modifier)324、单独修改量化风险326和设备间修改量化风险328。
机器可读介质222还包括存储流行值352的流行值数据库350。流行值352指示其中观察到网络安全风险312的联网设备的数量以及网络安全风险的频率(即,其跨十个被监视联网设备发生,和/或其在单个设备上连续发生若干次)二者。在一个实施例中,流行值352由数据收集模块124计算或生成并且存储到存储设备216。如果网络安全风险312的发生减少,则流行值随时间减小,以便准确地反映该风险的流行。
对于每一个单独网络安全风险312,如由计数器322追踪的其发生的次数乘以对应的流行值,以便生成流行风险修改量324。流行风险修改量324被用于改变针对每一个单独网络安全风险312的所有实例的现有风险度量314,以便生成修改量化风险326。在示例性实施例中,一个单独网络安全风险312是工作站135上的用户帐户的特权被修改成使得能够实现管理员访问。就其本身而言,这可能是特权升级的情况(许多网络攻击中的阶段),或者其可能是合法的改变。如果另一用户的特权在大约相同的时间在另一工作站135上升级,则网络攻击的概率增加,而合法改变的概率减小。随着单独网络安全风险312的每次新发生,风险变得更可疑,并且更有可能在本质上是恶意的;因此流行风险修改量324被计算以针对该单独网络安全风险312的所有出现增加修改量化风险326。
机器可读介质222还存储包含设备间依赖性(依赖性影响值362)的依赖性影响值数据库360。依赖性影响值362指示特定的单独网络安全风险312直接影响其他单独网络安全风险312的严重性或重要性。当观察到单独网络安全风险312时,发生对依赖性影响值数据库360的查找,以确定是否存在与该单独网络安全风险312相关联的依赖性影响值362以及受影响的网络设备160的列表和对于确定单独网络安全风险312的影响所需的任何条件逻辑。依赖性影响值362被添加到受影响的网络设备的所有风险度量314的修改量化风险326,以便生成设备间修改量化风险(总风险)328。
在一个示例中,WINDOWS安全审计在其中之前运行它的服务器上禁用。这很可能是恶意软件或未经授权使用的恶意结果,指示被观察的系统已被损害的高概率。因此,所有单独网络安全风险312应该更严格地被审查,并更可疑地被对待。当观察到这样的事件时,发生对依赖性影响值数据库360的查找,以确定是否存在与被禁用的WINDOWS安全审计相关联的依赖性影响值362。该依赖性影响值362被添加到受影响的网络设备的所有风险度量314的修改量化风险326,以便生成设备间修改量化风险(总风险)328。
在另一个示例中,一个工作站上的反病毒软件检测并隔离了病毒。在观察到该网络安全风险312时,依赖性影响值362利用与其相关联的条件逻辑来检索,其指令DQR算法128增加未被反病毒软件保护的或者具有比用于检测病毒(使用内部逻辑和数据或调用第三方系统,诸如漏洞管理系统)的那些更旧的反病毒恶意软件限定文件的所有联网设备160的风险度量314。虽然病毒是高风险的,但是被阻止的病毒是低风险的,因此仅易受攻击系统的风险度量314被修改以反映更高的风险。
可以基于诸如以下的标准跨所有联网设备160或联网设备160的子集限定依赖性影响值362(例如,网络风险的增加可以影响该网络内的所有设备):设备类型;用户账户;特定补丁级别;或描述风险目标的几乎任何已知数据点。这要求在处理具有依赖性影响值362或流行值352的观察到的网络安全风险312的任何新出现时执行查找,使得依赖性或流行值仅应用于那些依赖的联网设备的测量的风险度量314。
转向图4A和4B,现在提供关于与跨设备网络的观察到的行为有关的安全风险的动态量化的附加公开。如上所述,由所公开的规则引擎和聚合模块122利用的安全风险影响UI130以基于观察到的行为更准确地表示与相互依赖的联网设备相关联的风险。如图4A中所示,没有关于观察到的行为的安全风险的动态量化的描绘400A图示了UI 130A,其中规则引擎122计算用于联网设备的列表的安全风险度量(设备1度量402、设备2度量403和设备3度量404)并且经由也标识警报级别的UI 130A来显示这些。与联网设备相关联的风险都是独立的,并且不基于观察到的行为而改变。
相比之下,在具有关于观察到的行为的安全风险的所公开动态量化的情况下(如图4B中所示),设备3的行为可以影响联网设备1和2的整体风险。这在描绘400B中表示为UI130B。根据设备3的相互依赖性生成了针对设备1度量405和设备2度量406的新的风险度量。在一个实施例中,关于观察到的行为的安全风险的动态量化的使用可以将次要警报改变为主要警报。
关于观察到的行为的风险的动态量化基于设备依赖性的概念,其可以由包括所有联网设备的区域或特定设备依赖性所限定。图4C图示了如应用于单个区域408内的通过网络420互连的多个联网设备的设备间依赖性(依赖性影响值362)的概念映射图。设备a 428不依赖于任何其他设备。设备b 430、设备c 432和设备e 436依赖于设备X 410。针对设备X410的任何风险也将使对应的从属依赖设备(例如设备430、432和436)处于风险中。风险Dx被示出为传播到设备430、432和436。设备d 434依赖于设备Y 412。针对设备Y 412的任何风险也将使依赖设备d 434处于风险中。针对设备d 434的风险将由Dy调整。Dx和Dy是依赖性影响值362并且被存储在依赖性影响值数据库360中并被集成到规则引擎和聚合模块122中。针对设备d 434的风险图示了依赖性可以是复杂的和分层的程度。
关于观察到的行为的风险的动态量化也可以基于互连和其他因素而在若干个区域之间动态地调整。参考图4D,示出了网络中的若干区域的描绘450。区域1 452中的风险项可以影响或级联为针对区域2 454的风险460。区域2 454也连接到区域3 456,因此附加的影响或风险462也可以级联,可能针对附加的连接区域,到更少的程度等。区域3 456中的风险项可以影响或级联为针对区域4 458的风险464。
图5提供了关于观察到的行为的网络安全风险的动态量化的方法500的描绘。方法500开始于观察一个或多个单独网络安全风险312,诸如观察到的风险1 502、风险2 504和风险2 506。风险502-506可以在数据收集模块124的操作期间被观察。在一个实施例中,风险502-506可以是静态数据点(启用或禁用防火墙)、设备生成事件(反病毒软件隔离了防火墙)和收集的值(来自网络交换机的丢包数或者密码的长度)的收集。在图5中,已经观察到两个重复的风险2(504和506),其中每一个标记为单独的观察到的风险。
当观察到风险502-506的发生时,在框508处将其存储到漏洞数据库120(连同相关联的风险度量314(M)一起)。当观察到风险502-506的发生时,计数器322递增(框510)。当单独网络安全风险312的发生被解决时,计数器322递减(框510)。此外,当观察到单独网络安全风险312的发生时,从流行值数据库350确定或查找与单独网络安全风险312相关联的流行值(P)352(框512)。流行值352指示当网络安全风险312以更大数量或更高频率发生时网络安全风险312是否更重要。此外,当观察到单独网络安全风险312的发生时,从依赖性影响数据库360确定或查找与单独网络安全风险312相关联的依赖性影响值(D1、D2)362和受影响的联网设备(框514)。依赖性影响值362指示观察到的网络安全风险312是否影响任何或所有其他网络安全风险312。
在一个实施例中,流行值352和依赖性影响值362分别被预先确定并存储在数据库350和360中。在另一个实施例中,执行DQR程序128的处理器110基于观察到的网络安全风险312和相关联的风险度量314来计算新的流行值352和依赖性影响值362或修改存储在数据库350和360中的流行值352(框512)和依赖性影响值362(框514)。
在框520处计算设备1的总网络安全风险。针对设备1的总风险是针对与设备1相关联的所有单独网络安全风险312的风险度量314(M)、流行值(P)352和依赖性影响值(D1)362之和。在框522处计算设备2的总网络安全风险。针对设备2的总风险是针对与设备2相关联的所有单独网络安全风险312的风险度量314(M)、流行值(P)352和依赖性影响值(D2)362之和。
参考图6,示出了示出用于动态量化控制系统150中的网络安全风险的示例性方法600中的步骤的流程图。参考图1-图 6,方法600可以经由由中央服务器105内的处理器110执行指令224和/或算法225并且具体地通过由处理器110执行DQR程序128来实现。
方法600开始于开始框并进行到框602。在框602处,处理器110经由数据收集模块124收集数据。数据收集模块针对已知漏洞扫描联网设备160,并且收集被存储到漏洞数据库120中的单独网络安全风险312和风险度量314(漏洞数据)(框604)。处理器110从存储设备216检索来自流行值数据库350的流行值352和来自依赖性影响值数据库360的依赖性影响值362(框606)。处理器110在量化单独网络风险的新出现被观察到时递增用于每一个单独网络安全风险312的风险计数器322,或者在量化单独网络风险被解决时递减用于每一个单独网络安全风险312的风险计数器322(框608)。
处理器110基于检索到的流行值352和网络安全风险312的任何观察到的新出现来确定针对网络安全风险312的新的流行值352(框610)。处理器110基于检索到的依赖性影响值362和控制系统150内的联网设备160的相互依赖性来确定针对网络安全风险312的新的依赖性影响值362(框610)。在框612处,处理器110将风险计数器322存储到存储设备216,将新的流行值352存储到流行值数据库350,并将新的依赖性影响值362存储到依赖性影响值数据库360。
处理器110基于流行值352和风险计数器322来计算针对量化单独网络安全风险312的流行风险修改量324(框614)。对于每一个单独网络安全风险312,如由计数器322追踪的其发生的次数乘以对应的流行值352,以便生成流行风险修改量324。处理器110基于流行风险修改量324和与量化单独网络安全风险312对应的风险度量314中的一个来计算或生成至少一个单独修改量化风险326(框616)。将流行风险修改量324添加到针对每一个单独网络安全风险312的所有实例的现有风险度量314,以便生成单独修改量化风险326。
在框618处,处理器110计算或生成设备间修改量化风险(总风险)328。设备间修改量化风险328通过将依赖性影响值362添加到受影响的网络设备的所有风险度量314的单独修改量化风险326来计算。针对联网设备160中的第一个的设备间依赖性362和反映单独修改量化风险326的针对联网设备160中的至少一个其他设备的量化单独网络安全风险312和风险度量314被用于动态地修改针对第一设备的量化单独风险,以生成设备间修改量化风险328。设备间修改量化风险(总风险)328提供由于网络安全风险312而造成的对控制系统150的总风险的量度。
处理器110使用规则引擎和聚合模块122来处理针对所有的网络安全风险312和网络设备160的设备间修改量化风险328(框620)。处理器110聚合来自框620的操作的数据,包括对跨联网设备的设备间修改量化单独风险328进行排名(框622),并且将设备间修改量化单独风险328布置为至少一个逻辑分组123(框624)。来自规则引擎和聚合模块122处理的结果被发送到UI 130,其中向用户显示逻辑分组123(框626)。然后方法600结束。
虽然上面已经描述了各种公开的实施例,但是应当理解,它们仅以示例的方式呈现,而不作为限制。在不脱离本公开的精神或范围的情况下,可以根据本文的公开做出对所公开的实施例的许多改变。因此,本公开的广度和范围不应由任何上述实施例所限制。相反,本公开的范围应根据以下权利要求及其等同物来限定。
Claims (10)
1.一种量化包括网络中的多个联网设备(160)的控制系统(150)中的网络安全风险的方法,包括:
提供处理器(110)和存储器设备(116),所述存储器设备存储基于所述多个联网设备之间的互连的设备间依赖性、包括针对所述多个联网设备中的每一个的量化单独网络风险(312)的漏洞数据库(120)、以及风险动态量化DQR算法(128),所述处理器运行所述DQR算法并实现:
在所述网络的操作期间接收(602)针对所述多个联网设备的观察到的网络行为;
响应于所述观察到的网络行为,改变所述量化单独网络风险中的风险,以生成(616)至少一个修改量化单独网络风险(326);以及
使用针对所述多个联网设备中的第一设备的所述设备间依赖性和反映所述修改量化单独网络风险的针对所述多个联网设备中的至少一个其他设备的所述量化单独网络风险来动态地修改针对所述第一设备的所述量化单独网络风险,以生成(618)设备间修改量化单独网络风险(328)。
2.根据权利要求1所述的方法,其中生成所述至少一个修改量化单独网络风险还包括:
从所述存储器设备检索(606)流行值数据库(350);
基于所述流行值数据库来确定(610)针对所述量化单独网络风险的流行值(352);
基于所述流行值来计算(614)针对所述量化单独网络风险的流行风险修改量(324);以及
基于所述流行风险修改量和所述量化单独网络风险中的一个来生成(616)所述至少一个修改量化单独网络风险。
3.根据权利要求1所述的方法,其中生成所述设备间修改量化单独网络风险还包括:
从所述存储器设备检索(612)设备间依赖性数据库(360);
基于所述设备间依赖性数据库来确定(614)针对所述量化单独网络风险的依赖性影响值(362);以及
基于所述依赖性影响值和所述修改量化单独网络风险来生成(618)所述设备间修改量化单独网络风险。
4.根据权利要求1所述的方法,还包括:
当观察到第一量化单独网络风险的新的发生时,递增(608)第一风险计数器(322)。
5.根据权利要求2所述的方法,还包括:
使用规则引擎(122)和所述设备间修改量化单独网络风险来处理(620)所述漏洞数据库中的漏洞数据;
聚合数据,包括对跨所述多个联网设备的所述设备间修改量化单独网络风险进行排名(622),以及将所述设备间修改量化单独网络风险布置(624)为至少一个逻辑分组(123);以及
在用户界面上显示(626)所述至少一个逻辑分组。
6.一种用于分析包括多个联网设备(160)的控制系统(150)中的网络安全风险的网络安全风险分析系统(100),包括:
中央服务器(105),其具有处理器(110)和与所述处理器通信的存储器设备(116),所述存储器设备存储基于所述多个联网设备之间的互连的设备间依赖性(362)、包括针对所述多个联网设备中的每一个的量化单独网络风险(312)的漏洞数据库(122)、以及风险动态量化DQR程序(128),所述中央服务器被编程为实现所述DQR程序,其中所述中央服务器:
在所述网络的操作期间接收(602)针对所述多个联网设备的观察到的网络行为;
响应于所述观察到的网络行为,改变所述量化单独网络风险中的风险,以生成(616)至少一个修改量化单独网络风险(326);以及
使用针对所述多个联网设备中的第一设备的所述设备间依赖性和反映所述修改量化单独网络风险的针对所述多个联网设备中的至少一个其他设备的所述量化单独网络风险来动态地修改针对所述第一设备的所述量化单独网络风险,以生成(618)设备间修改量化单独网络风险(328)。
7.根据权利要求6所述的系统,其中生成所述至少一个修改量化单独网络风险还使所述中央服务器:
从所述存储器设备检索(606)流行值数据库(350);
基于所述流行值数据库来确定(610)针对所述量化单独网络风险的流行值(352);
基于所述流行值来计算(614)针对所述量化单独网络风险的流行风险修改量(324);以及
基于所述流行风险修改量和所述量化单独网络风险中的一个来生成(616)所述至少一个修改量化单独网络风险。
8.根据权利要求6所述的系统,其中生成所述设备间修改量化单独网络风险还使所述中央服务器:
从所述存储器设备检索(606)设备间依赖性数据库(360);
基于所述设备间依赖性数据库来确定(610)针对所述量化单独网络风险的依赖性影响值(362);以及
基于所述依赖性影响值和所述修改量化单独网络风险来生成(618)所述设备间修改量化单独网络风险。
9.根据权利要求6所述的系统,其中所述DQR程序还使所述中央服务器:
当观察到第一量化单独网络风险的新的发生时,递增(608)第一风险计数器。
10.根据权利要求6所述的系统,其中所述中央服务器还:
使用规则引擎(122)和所述设备间修改量化单独网络风险来处理(620)所述漏洞数据库中的漏洞数据;
聚合数据,包括对跨所述多个联网设备的所述设备间修改量化单独网络风险进行排名(622),以及将所述设备间修改量化单独网络风险布置(624)为至少一个逻辑分组(123);以及
在用户界面上显示(626)所述至少一个逻辑分组。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/482888 | 2014-09-10 | ||
| US14/482,888 US10162969B2 (en) | 2014-09-10 | 2014-09-10 | Dynamic quantification of cyber-security risks in a control system |
| PCT/US2015/048018 WO2016081044A2 (en) | 2014-09-10 | 2015-09-02 | Dynamic quantification of cyber-security risks in a control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106716953A CN106716953A (zh) | 2017-05-24 |
| CN106716953B true CN106716953B (zh) | 2020-06-12 |
Family
ID=55437764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580048428.6A Active CN106716953B (zh) | 2014-09-10 | 2015-09-02 | 控制系统中的网络安全风险的动态量化 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10162969B2 (zh) |
| EP (1) | EP3192232B1 (zh) |
| JP (1) | JP6522118B2 (zh) |
| CN (1) | CN106716953B (zh) |
| WO (1) | WO2016081044A2 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9930058B2 (en) * | 2014-08-13 | 2018-03-27 | Honeywell International Inc. | Analyzing cyber-security risks in an industrial control environment |
| US10609079B2 (en) * | 2015-10-28 | 2020-03-31 | Qomplx, Inc. | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management |
| US11514531B2 (en) | 2015-10-28 | 2022-11-29 | Qomplx, Inc. | Platform for autonomous risk assessment and quantification for cyber insurance policies |
| US10970787B2 (en) | 2015-10-28 | 2021-04-06 | Qomplx, Inc. | Platform for live issuance and management of cyber insurance policies |
| GB2545486B (en) * | 2015-12-18 | 2019-12-11 | F Secure Corp | Evasive intrusion detection in private network |
| US10728261B2 (en) * | 2017-03-02 | 2020-07-28 | ResponSight Pty Ltd | System and method for cyber security threat detection |
| CN108366045B (zh) * | 2018-01-02 | 2020-09-01 | 北京奇艺世纪科技有限公司 | 一种风控评分卡的设置方法和装置 |
| EP3588849A1 (de) * | 2018-06-21 | 2020-01-01 | Siemens Aktiengesellschaft | Verfahren zum quantifizieren der zuverlässigkeit einer steuerfunktion, die durch mehrere unabhängige funktionseinheiten bereitgestellt wird; sowie steuereinrichtung |
| CN110061979B (zh) * | 2019-04-01 | 2022-01-11 | 视联动力信息技术股份有限公司 | 一种业务对象的检测方法和装置 |
| US11196761B2 (en) * | 2019-06-12 | 2021-12-07 | Paypal, Inc. | Security risk evaluation for user accounts |
| US11334235B2 (en) | 2020-02-28 | 2022-05-17 | Ge Aviation Systems Llc | Comparison interface for navigation data |
| US11763685B2 (en) | 2020-02-28 | 2023-09-19 | Ge Aviation Systems Llc | Directing and communicating data to a flight management system |
| US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
| US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
| US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
| US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
| US11206542B2 (en) * | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
| US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004109971A1 (en) * | 2003-05-30 | 2004-12-16 | University Of North Carolina At Charlotte | Systems and methods for dynamic and risk-aware network security |
| CN1871612A (zh) * | 2003-08-29 | 2006-11-29 | 株式会社特伦德麦克罗 | 适于病毒防护的网络隔离技术 |
| CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN101154257A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 基于漏洞特征的动态执行补丁方法 |
| US7594270B2 (en) * | 2004-12-29 | 2009-09-22 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
| CN102387163A (zh) * | 2011-12-16 | 2012-03-21 | 穆成坡 | 一种基于风险均衡的网络服务器防御方法 |
| CN102609654A (zh) * | 2012-02-08 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种检测恶意flash文件的方法和装置 |
| US8601170B1 (en) * | 2009-09-08 | 2013-12-03 | Amazon Technologies, Inc. | Managing firmware update attempts |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002245262B2 (en) * | 2002-01-15 | 2007-03-15 | Mcafee, Llc | System and method for network vulnerability detection and reporting |
| US7536724B1 (en) * | 2003-10-01 | 2009-05-19 | Symantec Corporation | Risk profiling for optimizing deployment of security measures |
| KR100623552B1 (ko) * | 2003-12-29 | 2006-09-18 | 한국정보보호진흥원 | 자동침입대응시스템에서의 위험수준 분석 방법 |
| US7490356B2 (en) * | 2004-07-20 | 2009-02-10 | Reflectent Software, Inc. | End user risk management |
| EP1917778A2 (en) | 2005-08-03 | 2008-05-07 | Calyptix Security | Systems and methods for dynamically learning network environments to achieve adaptive security |
| US8214497B2 (en) * | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
| WO2009128905A1 (en) * | 2008-04-17 | 2009-10-22 | Siemens Energy, Inc. | Method and system for cyber security management of industrial control systems |
| US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| JP5191376B2 (ja) * | 2008-12-25 | 2013-05-08 | 株式会社野村総合研究所 | リスクベース認証システムおよび危険度情報取得サーバならびにリスクベース認証方法 |
| US8868907B2 (en) * | 2009-03-18 | 2014-10-21 | University Of Louisville Research Foundation, Inc. | Device, method, and system for processing communications for secure operation of industrial control system field devices |
| US20110040399A1 (en) | 2009-08-14 | 2011-02-17 | Honeywell International Inc. | Apparatus and method for integrating planning, scheduling, and control for enterprise optimization |
| KR101056268B1 (ko) | 2010-01-25 | 2011-08-11 | 주식회사 반딧불소프트웨어 | 컴퓨터통신이 가능한 단말장치에 대한 보안 점검 시스템 및 방법 |
| KR20110130203A (ko) | 2010-05-27 | 2011-12-05 | 전덕조 | It 보안 위험 관리 장치 및 방법 |
| WO2011155961A2 (en) * | 2010-06-10 | 2011-12-15 | Siemens Corporation | Method for quantitative resilience estimation of industrial control systems |
| FR2962826B1 (fr) * | 2010-07-13 | 2012-12-28 | Eads Defence & Security Sys | Supervision de la securite d'un systeme informatique |
| US8621637B2 (en) | 2011-01-10 | 2013-12-31 | Saudi Arabian Oil Company | Systems, program product and methods for performing a risk assessment workflow process for plant networks and systems |
| JP5731223B2 (ja) * | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
| WO2012157471A1 (ja) | 2011-05-13 | 2012-11-22 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 複数の制御システムの異常を検知する異常検知システム |
| US8997234B2 (en) * | 2011-07-27 | 2015-03-31 | Mcafee, Inc. | System and method for network-based asset operational dependence scoring |
| US9191203B2 (en) * | 2013-08-06 | 2015-11-17 | Bedrock Automation Platforms Inc. | Secure industrial control system |
| US9426169B2 (en) * | 2012-02-29 | 2016-08-23 | Cytegic Ltd. | System and method for cyber attacks analysis and decision support |
| US20140032172A1 (en) * | 2012-07-24 | 2014-01-30 | General Electric Company | Systems and methods for health assessment of a human-machine interface (hmi) device |
| US8869133B2 (en) * | 2012-11-06 | 2014-10-21 | General Electric Company | Method and system for use in facilitating patch change management of industrial control systems |
| US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
| US9323935B2 (en) * | 2012-12-18 | 2016-04-26 | Mcafee, Inc. | User device security profile |
| US9912683B2 (en) * | 2013-04-10 | 2018-03-06 | The United States Of America As Represented By The Secretary Of The Army | Method and apparatus for determining a criticality surface of assets to enhance cyber defense |
| US10026049B2 (en) * | 2013-05-09 | 2018-07-17 | Rockwell Automation Technologies, Inc. | Risk assessment for industrial systems using big data |
| US20140359777A1 (en) * | 2013-05-31 | 2014-12-04 | Fixmo, Inc. | Context-aware risk measurement mobile device management system |
| US10613567B2 (en) * | 2013-08-06 | 2020-04-07 | Bedrock Automation Platforms Inc. | Secure power supply for an industrial control system |
| US20150205966A1 (en) * | 2014-01-17 | 2015-07-23 | MalCrawler Co. | Industrial Control System Emulator for Malware Analysis |
| US8984643B1 (en) * | 2014-02-14 | 2015-03-17 | Risk I/O, Inc. | Ordered computer vulnerability remediation reporting |
| US20150278729A1 (en) * | 2014-03-28 | 2015-10-01 | International Business Machines Corporation | Cognitive scoring of asset risk based on predictive propagation of security-related events |
| US9749344B2 (en) * | 2014-04-03 | 2017-08-29 | Fireeye, Inc. | System and method of cyber threat intensity determination and application to cyber threat mitigation |
| US9749343B2 (en) * | 2014-04-03 | 2017-08-29 | Fireeye, Inc. | System and method of cyber threat structure mapping and application to cyber threat mitigation |
| US9930058B2 (en) * | 2014-08-13 | 2018-03-27 | Honeywell International Inc. | Analyzing cyber-security risks in an industrial control environment |
| US9699209B2 (en) * | 2014-12-29 | 2017-07-04 | Cyence Inc. | Cyber vulnerability scan analyses with actionable feedback |
-
2014
- 2014-09-10 US US14/482,888 patent/US10162969B2/en active Active
-
2015
- 2015-09-02 JP JP2017513729A patent/JP6522118B2/ja active Active
- 2015-09-02 WO PCT/US2015/048018 patent/WO2016081044A2/en active Application Filing
- 2015-09-02 EP EP15860336.5A patent/EP3192232B1/en active Active
- 2015-09-02 CN CN201580048428.6A patent/CN106716953B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004109971A1 (en) * | 2003-05-30 | 2004-12-16 | University Of North Carolina At Charlotte | Systems and methods for dynamic and risk-aware network security |
| CN1871612A (zh) * | 2003-08-29 | 2006-11-29 | 株式会社特伦德麦克罗 | 适于病毒防护的网络隔离技术 |
| US7594270B2 (en) * | 2004-12-29 | 2009-09-22 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
| CN1878093A (zh) * | 2006-07-19 | 2006-12-13 | 华为技术有限公司 | 安全事件关联分析方法和系统 |
| CN101154257A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 基于漏洞特征的动态执行补丁方法 |
| US8601170B1 (en) * | 2009-09-08 | 2013-12-03 | Amazon Technologies, Inc. | Managing firmware update attempts |
| CN102387163A (zh) * | 2011-12-16 | 2012-03-21 | 穆成坡 | 一种基于风险均衡的网络服务器防御方法 |
| CN102609654A (zh) * | 2012-02-08 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种检测恶意flash文件的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016081044A3 (en) | 2016-07-21 |
| US10162969B2 (en) | 2018-12-25 |
| EP3192232A2 (en) | 2017-07-19 |
| US20160070915A1 (en) | 2016-03-10 |
| EP3192232B1 (en) | 2019-07-10 |
| EP3192232A4 (en) | 2018-03-28 |
| JP6522118B2 (ja) | 2019-05-29 |
| JP2017527044A (ja) | 2017-09-14 |
| CN106716953A (zh) | 2017-05-24 |
| WO2016081044A2 (en) | 2016-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106716953B (zh) | 控制系统中的网络安全风险的动态量化 | |
| US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US12003534B2 (en) | Detecting and mitigating forged authentication attacks within a domain | |
| US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
| US10262145B2 (en) | Systems and methods for security and risk assessment and testing of applications | |
| CN106576052B (zh) | 分析工业控制环境中的网络安全性风险 | |
| US20210359980A1 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
| US20220060497A1 (en) | User and entity behavioral analysis with network topology enhancements | |
| US8683598B1 (en) | Mechanism to evaluate the security posture of a computer system | |
| US20240064159A1 (en) | System and methods for detecting saml forgery or manipulation attacks | |
| US8499063B1 (en) | Uninstall and system performance based software application reputation | |
| EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| JP2016091402A (ja) | リスク評価システムおよびリスク評価方法 | |
| US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
| US20230388278A1 (en) | Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation | |
| EP3721364A1 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
| US20240236137A1 (en) | Vulnerability scoring based on organization-specific metrics | |
| US12041091B2 (en) | System and methods for automated internet- scale web application vulnerability scanning and enhanced security profiling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |