CN114780965A - 一种漏洞修复优先级评估方法与系统 - Google Patents
一种漏洞修复优先级评估方法与系统 Download PDFInfo
- Publication number
- CN114780965A CN114780965A CN202210420389.XA CN202210420389A CN114780965A CN 114780965 A CN114780965 A CN 114780965A CN 202210420389 A CN202210420389 A CN 202210420389A CN 114780965 A CN114780965 A CN 114780965A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- value
- asset
- evaluated
- importance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明给出了一种漏洞修复优先级评估方法与系统,包括同时考虑待测漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易度,再结合通用漏洞评分系统重新评定风险值;依据重新评定的漏洞风险值、漏洞所在网络环境以及所在资产的重要性计算出最终的风险评分;按照最终的风险评分,结合待测漏洞在不同资产上的情况评估出待测漏洞的修复优先级。本方法结合了外部威胁、资产和业务环境等多种因素,智能地评估出真正的关键漏洞,帮助用户聚焦真实的风险;同时使得安全人员可以持续监测和优化,准确判断可被攻击的关键漏洞,从而提高漏洞修复效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其是一种漏洞修复优先级评估方法与系统。
背景技术
伴随着数字新基建的开展,IT技术和应用更加多样化。过去发现的漏洞多数集中在业务应用、中间件和操作系统等方面,而随着云计算、大数据、IOT、移动互联网和5G等技术的普及和应用,导致网络边界模糊化和攻击面扩大化,漏洞影响范围成倍增加。
这必然也会导致漏洞数量的快速增长和修复工作的压力增加。虽然安全设备和防护技术的种类增加了,但是企业部署之后的效果如何,并没有有效手段来持续监测和优化。
面临以上这些情况,安全人员需要投入更多精力来确定漏洞的修复优先级。在漏洞处置过程中,传统的方式仅通过通用漏洞评分系统(CVSS)来确定漏洞修复顺序。但是这种方式并未考虑到实际环境中漏洞的可利用性和资产重要性等因素,因而无法反映业务环境的真实风险情况。
安全人员难以准确判断可被攻击的关键漏洞,从而导致漏洞修复效率较低。有效的优先级评估需要把漏洞信息结合外部威胁、资产和业务环境等多种因素,智能地评估出真正的漏洞修复优先级,帮助用户聚焦真实的风险。
传统的漏洞修复优先级评估规则,通常采用通用漏洞评分系统(commonvulnerability scoring system,cvss)结合概念验证(proof of concept,poc)信息,来确定漏洞修复顺序,这种评定规则不够全面,更新不及时,也没有考虑漏洞所在环境,评估结果准确度低。因此,在进行漏洞优先级评估时,如何提高漏洞修复优先级评估的准确度,是一个需要解决的技术问题。
发明内容
本发明提出了一种漏洞修复优先级评估方法与系统,以解决上文提到的现有技术的缺陷。
在一个方面,本发明提出了一种漏洞修复优先级评估方法,该方法包括以下步骤:
S1:对待评估的漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易程度这三个指标分别进行分析,根据对应的分析结果分别得到所述三个指标的量化数值:利用成熟度值Maturity、影响范围值Scope和修复难易程度值Patch;
S2:根据所述利用成熟度值Maturity、所述影响范围值Scope和所述修复难易程度值Patch,结合通用漏洞评分系统得到的评分CVSS,计算所述待评估的漏洞的风险值R,其中
S3:分析所述待评估的漏洞所在的网络环境,根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance;
S4:为所述风险值R、所述网络环境取值Net和所述资产重要性取值Importance分别设置对应的权重A1,A2和A3,计算得到所述待评估的漏洞在所述资产上的最终评分Vi,其中Vi=A1*R+A2*Net+A3*Importance;
S5:分别计算所述待评估的漏洞在不同的资产上的所述最终评分Vi,将所述最终评分Vi的最大值作为所述待评估的漏洞的优先级评分,对所述优先级评分高的漏洞优先进行修复。
以上方法同时考虑待测漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易度,再结合通用漏洞评分系统(common vulnerability scoring system,cvss)重新评定风险值;依据重新评定的漏洞风险值、漏洞所在网络环境以及所在资产的重要性计算出最终的风险评分;按照最终的风险评分,结合待测漏洞在不同资产上的情况评估出待测漏洞的修复优先级。本方法结合了外部威胁、资产和业务环境等多种因素,智能地评估出真正的关键漏洞,帮助用户聚焦真实的风险;同时使得安全人员可以持续监测和优化,准确判断可被攻击的关键漏洞,从而提高漏洞修复效率。
在具体的实施例中,所述漏洞利用成熟度具体包括:
武器化:若所述待评估的漏洞被包装为恶意软件、病毒、勒索软件,或者已存在利用所述待评估的漏洞所造成的安全事故,则表示所述漏洞利用成熟度为武器化;
模块化:若所述待评估的漏洞在MSF中存在利用模块,则表示所述漏洞利用成熟度为模块化;
Poc:若所述待评估的漏洞在网络中存在利用模块,则表示所述漏洞利用成熟度为Poc;
无:除去属于所述武器化、所述模块化和所述Poc之外的所述待评估的漏洞的所述漏洞利用成熟度为无。
在具体的实施例中,所述漏洞影响范围具体包括:
受所述待评估的漏洞影响的组件的数量大小、所述待评估的漏洞被使用的频率以及所述待评估的漏洞的受关注程度。
在具体的实施例中,所述漏洞修复难易程度具体包括:
根据所述待评估的漏洞的修复补丁的类型将所述漏洞修复难易程度分为多个等级,并根据所述多个等级设置相应的分数;
所述修复补丁的类型包括:未有补丁、社区补丁、官方临时补丁和官方补丁。
在具体的实施例中,所述根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,具体包括:
判断所述网络环境是属于内网还是外网,并且分别给属于内网和属于外网的所述网络环境赋予不同的数值作为所述待评估的漏洞的网络环境取值Net。
在具体的实施例中,所述分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance,具体包括:
基于所述待评估的漏洞所在的资产的资产业务重要性、资产价值和资产机密性分别进行评分,分别得到资产业务重要性取值business、资产价值取值value和资产机密性取值confidentiality;
计算得到所述资产重要性取值Importance为:
其中,Importance的计算结果保留一位小数,并且其取值范围在0到10之间。
在具体的实施例中,所述基于所述待评估的漏洞所在的资产的资产业务重要性进行评分具体包括:
判断所述待评估的漏洞所在的资产的资产业务的类型,并根据所述资产业务的类型给出相应的分数;
其中所述资产业务的类型包括:IDC运维、网络运维、基础架构管理、应用运维服务、应用开发、应用管理、人员管理和行政管理。
在具体的实施例中,所述基于所述待评估的漏洞所在的资产的资产价值进行评分具体包括:
判断所述待评估的漏洞所在的资产的资产类型,并根据所述资产类型给出相应的分数;
其中所述资产类型包括:实物资产、软件资产、人员资产、数据资产和服务资产。
在具体的实施例中,所述基于所述待评估的漏洞所在的资产的资产机密性进行评分具体包括:
判断所述待评估的漏洞所在的资产的机密等级,并根据所述机密等级给出相应的分数。
在具体的实施例中,所述风险值R的计算结果保留一位小数,并且其取值范围在0到10之间。
根据本发明的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上述方法。
根据本发明的第三方面,提出一种漏洞修复优先级评估系统,该系统包括:
漏洞评分模块:配置用于对待评估的漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易程度这三个指标分别进行分析,根据对应的分析结果分别得到所述三个指标的量化数值:利用成熟度值Maturity、影响范围值Scope和修复难易程度值Patch;
风险值计算模块:配置用于根据所述利用成熟度值Maturity、所述影响范围值Scope和所述修复难易程度值Patch,结合通用漏洞评分系统得到的评分CVSS,计算所述待评估的漏洞的风险值R,其中
网络环境和资产重要性评分模块:配置用于分析所述待评估的漏洞所在的网络环境,根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance;
最终风险评分计算模块:配置用于为所述风险值R、所述网络环境取值Net和所述资产重要性取值Importance分别设置对应的权重A1,A2和A3,计算得到所述待评估的漏洞在所述资产上的最终评分Vi,其中Vi=A1*R+A2*Net+A3*Importance;
优先级排序模块:配置用于分别计算所述待评估的漏洞在不同的资产上的所述最终评分Vi,将所述最终评分Vi的最大值作为所述待评估的漏洞的优先级评分,对所述优先级评分高的漏洞优先进行修复。
本发明同时考虑待测漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易度,再结合通用漏洞评分系统(common vulnerability scoring system,cvss)重新评定风险值;依据重新评定的漏洞风险值、漏洞所在网络环境以及所在资产的重要性计算出最终的风险评分;按照最终的风险评分,结合待测漏洞在不同资产上的情况评估出待测漏洞的修复优先级。本方法结合了外部威胁、资产和业务环境等多种因素,智能地评估出真正的关键漏洞,帮助用户聚焦真实的风险;同时使得安全人员可以持续监测和优化,准确判断可被攻击的关键漏洞,从而提高漏洞修复效率。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是本发明的一个实施例的一种漏洞修复优先级评估方法的流程图;
图3是本发明的一个实施例的一种漏洞修复优先级评估系统的框架图;
图4是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请实施例的一种漏洞修复优先级评估方法的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种应用,例如数据处理类应用、数据可视化类应用、网页浏览器应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上展示的评分CVSS提供支持的后台信息处理服务器。后台信息处理服务器可以对获取的风险值R进行处理,并生成处理结果(例如最终评分)。
需要说明的是,本申请实施例所提供的方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应的装置一般设置于服务器105中,也可以设置于终端设备101、102、103中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
根据本发明的一个实施例的一种漏洞修复优先级评估方法,图2示出了根据本发明的实施例的一种漏洞修复优先级评估方法的流程图。如图2所示,该方法包括以下步骤:
S1:对待评估的漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易程度这三个指标分别进行分析,根据对应的分析结果分别得到所述三个指标的量化数值:利用成熟度值Maturity、影响范围值Scope和修复难易程度值Patch;
S2:根据所述利用成熟度值Maturity、所述影响范围值Scope和所述修复难易程度值Patch,结合通用漏洞评分系统得到的评分CVSS,计算所述待评估的漏洞的风险值R,其中
S3:分析所述待评估的漏洞所在的网络环境,根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance;
S4:为所述风险值R、所述网络环境取值Net和所述资产重要性取值Importance分别设置对应的权重A1,A2和A3,计算得到所述待评估的漏洞在所述资产上的最终评分Vi,其中Vi=A1*R+A2*Net+A3*Importance;
S5:分别计算所述待评估的漏洞在不同的资产上的所述最终评分Vi,将所述最终评分Vi的最大值作为所述待评估的漏洞的优先级评分,对所述优先级评分高的漏洞优先进行修复。
在具体的实施例中,所述漏洞利用成熟度具体包括:
武器化:若所述待评估的漏洞被包装为恶意软件、病毒、勒索软件,或者已存在利用所述待评估的漏洞所造成的安全事故,则表示所述漏洞利用成熟度为武器化;
模块化:若所述待评估的漏洞在MSF中存在利用模块,则表示所述漏洞利用成熟度为模块化;
Poc:若所述待评估的漏洞在网络中存在利用模块,则表示所述漏洞利用成熟度为Poc;
无:除去属于所述武器化、所述模块化和所述Poc之外的所述待评估的漏洞的所述漏洞利用成熟度为无。
以下表格展示了在一个具体的实施例中的漏洞利用成熟度(Maturity)的分类和取值的说明:
在具体的实施例中,所述漏洞影响范围具体包括:
受所述待评估的漏洞影响的组件的数量大小、所述待评估的漏洞被使用的频率以及所述待评估的漏洞的受关注程度。
以下表格展示了在一个具体的实施例中的漏洞影响范围(Scope)的分类和取值的说明:
并且以上取值由人工录入。
在具体的实施例中,所述漏洞修复难易程度具体包括:
根据所述待评估的漏洞的修复补丁的类型将所述漏洞修复难易程度分为多个等级,并根据所述多个等级设置相应的分数;
所述修复补丁的类型包括:未有补丁、社区补丁、官方临时补丁和官方补丁。
以下表格展示了在一个具体的实施例中的漏洞修复难易程度(Patch)的分类和取值的说明:
在具体的实施例中,所述根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,具体包括:
判断所述网络环境是属于内网还是外网,并且分别给属于内网和属于外网的所述网络环境赋予不同的数值作为所述待评估的漏洞的网络环境取值Net。
以下表格展示了在一个具体的实施例中的网络因素的分类和取值的说明:
在具体的实施例中,所述分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance,具体包括:
基于所述待评估的漏洞所在的资产的资产业务重要性、资产价值和资产机密性分别进行评分,分别得到资产业务重要性取值business、资产价值取值value和资产机密性取值confidentiality;
计算得到所述资产重要性取值Importance为:
其中,Importance的计算结果保留一位小数,并且其取值范围在0到10之间。
在具体的实施例中,所述基于所述待评估的漏洞所在的资产的资产业务重要性进行评分具体包括:
判断所述待评估的漏洞所在的资产的资产业务的类型,并根据所述资产业务的类型给出相应的分数;
其中所述资产业务的类型包括:IDC运维、网络运维、基础架构管理、应用运维服务、应用开发、应用管理、人员管理和行政管理。
以下表格展示了在一个具体的实施例中的资产业务重要性的分类和取值的说明:
在具体的实施例中,所述基于所述待评估的漏洞所在的资产的资产价值进行评分具体包括:
判断所述待评估的漏洞所在的资产的资产类型,并根据所述资产类型给出相应的分数;
其中所述资产类型包括:实物资产、软件资产、人员资产、数据资产和服务资产。
以下表格展示了在一个具体的实施例中的资产价值的分类和取值的说明:
在具体的实施例中,所述基于所述待评估的漏洞所在的资产的资产机密性进行评分具体包括:
判断所述待评估的漏洞所在的资产的机密等级,并根据所述机密等级给出相应的分数。
以下表格展示了在一个具体的实施例中的资产机密性的分类和取值的说明:
在具体的实施例中,所述风险值R的计算结果保留一位小数,并且其取值范围在0到10之间。
下面利用一个具体的实施例来阐述最终评分Vi的计算方法:
为R、Net、Importance三个值设置权重A1,A2,A3,其中A1,A2,A3相加必须等于1,取值为两位小数(使用此方法时,可根据情况自行调整取值)。
本实施例中的权重设置如下:
| 权重 | 取值 |
| A1 | 0.35 |
| A2 | 0.3 |
| A3 | 0.35 |
最终评分Vi=A1*R+A2*Net+A3*Importance;
如:R=9,Net=8.0,Importance=8.0,则计算结果为:Vi=0.35*9+0.3*8.0+0.35*8.0=8.35(Vi取8.4)。
根据以上所示的最终评分Vi的评分方式,同一漏洞的多个实例在不同的资产上评分可能不一致。为了凸显真实漏洞风险,取漏洞在不同资产分布中Vi评分最高的实例作为漏洞修复优先级的排序依据,即最终评分Vi=max(v1,v2,v3…)。
本发明的漏洞修复优先级评估方法有如下优势:
1.漏洞信息结合外部威胁、资产和业务环境等多种因素,智能地评估出真正的关键漏洞,帮助用户聚焦真实的风险。
2.安全人员可以持续监测和优化,准确判断可被攻击的关键漏洞,从而提高漏洞修复效率。
图3示出了本发明的一个实施例的一种漏洞修复优先级评估系统的框架图。该系统包括漏洞评分模块301、风险值计算模块302、网络环境和资产重要性评分模块303、最终风险评分计算模块304和优先级排序模块305。
在具体的实施例中,漏洞评分模块301配置用于对待评估的漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易程度这三个指标分别进行分析,根据对应的分析结果分别得到所述三个指标的量化数值:利用成熟度值Maturity、影响范围值Scope和修复难易程度值Patch;
风险值计算模块302配置用于根据所述利用成熟度值Maturity、所述影响范围值Scope和所述修复难易程度值Patch,结合通用漏洞评分系统得到的评分CVSS,计算所述待评估的漏洞的风险值R,其中
网络环境和资产重要性评分模块303配置用于分析所述待评估的漏洞所在的网络环境,根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance;
最终风险评分计算模块304配置用于为所述风险值R、所述网络环境取值Net和所述资产重要性取值Importance分别设置对应的权重A1,A2和A3,计算得到所述待评估的漏洞在所述资产上的最终评分Vi,其中Vi=A1*R+A2*Net+A3*Importance;
优先级排序模块305配置用于分别计算所述待评估的漏洞在不同的资产上的所述最终评分Vi,将所述最终评分Vi的最大值作为所述待评估的漏洞的优先级评分,对所述优先级评分高的漏洞优先进行修复。
本系统同时考虑待测漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易度,再结合通用漏洞评分系统(common vulnerability scoring system,cvss)重新评定风险值;依据重新评定的漏洞风险值、漏洞所在网络环境以及所在资产的重要性计算出最终的风险评分;按照最终的风险评分,结合待测漏洞在不同资产上的情况评估出待测漏洞的修复优先级。本方法结合了外部威胁、资产和业务环境等多种因素,智能地评估出真正的关键漏洞,帮助用户聚焦真实的风险;同时使得安全人员可以持续监测和优化,准确判断可被攻击的关键漏洞,从而提高漏洞修复效率。
下面参考图4,其示出了适于用来实现本申请实施例的电子设备的计算机系统400的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,计算机系统400包括中央处理单元(CPU)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有系统400操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分407;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分409从网络上被下载和安装,和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,并且这些单元的名称在某种情况下并不构成对该单元本身的限定。
本发明的实施例还涉及一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上文中的方法。该计算机程序包含用于执行流程图所示的方法的程序代码。需要说明的是,本申请的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。
本发明同时考虑待测漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易度,再结合通用漏洞评分系统(common vulnerability scoring system,cvss)重新评定风险值;依据重新评定的漏洞风险值、漏洞所在网络环境以及所在资产的重要性计算出最终的风险评分;按照最终的风险评分,结合待测漏洞在不同资产上的情况评估出待测漏洞的修复优先级。本方法结合了外部威胁、资产和业务环境等多种因素,智能地评估出真正的关键漏洞,帮助用户聚焦真实的风险;同时使得安全人员可以持续监测和优化,准确判断可被攻击的关键漏洞,从而提高漏洞修复效率。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (12)
1.一种漏洞修复优先级评估方法,其特征在于,包括以下步骤:
S1:对待评估的漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易程度这三个指标分别进行分析,根据对应的分析结果分别得到所述三个指标的量化数值:利用成熟度值Maturity、影响范围值Scope和修复难易程度值Patch;
S2:根据所述利用成熟度值Maturity、所述影响范围值Scope和所述修复难易程度值Patch,结合通用漏洞评分系统得到的评分CVSS,计算所述待评估的漏洞的风险值R,其中
S3:分析所述待评估的漏洞所在的网络环境,根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance;
S4:为所述风险值R、所述网络环境取值Net和所述资产重要性取值Importance分别设置对应的权重A1,A2和A3,计算得到所述待评估的漏洞在所述资产上的最终评分Vi,其中Vi=A1*R+A2*Net+A3*Importance;
S5:分别计算所述待评估的漏洞在不同的资产上的所述最终评分Vi,将所述最终评分Vi的最大值作为所述待评估的漏洞的优先级评分,对所述优先级评分高的漏洞优先进行修复。
2.根据权利要求1所述的方法,其特征在于,所述漏洞利用成熟度具体包括:
武器化:若所述待评估的漏洞被包装为恶意软件、病毒、勒索软件,或者已存在利用所述待评估的漏洞所造成的安全事故,则表示所述漏洞利用成熟度为武器化;
模块化:若所述待评估的漏洞在MSF中存在利用模块,则表示所述漏洞利用成熟度为模块化;
Poc:若所述待评估的漏洞在网络中存在利用模块,则表示所述漏洞利用成熟度为Poc;
无:除去属于所述武器化、所述模块化和所述Poc之外的所述待评估的漏洞的所述漏洞利用成熟度为无。
3.根据权利要求1所述的方法,其特征在于,所述漏洞影响范围具体包括:
受所述待评估的漏洞影响的组件的数量大小、所述待评估的漏洞被使用的频率以及所述待评估的漏洞的受关注程度。
4.根据权利要求1所述的方法,其特征在于,所述漏洞修复难易程度具体包括:
根据所述待评估的漏洞的修复补丁的类型将所述漏洞修复难易程度分为多个等级,并根据所述多个等级设置相应的分数;
所述修复补丁的类型包括:未有补丁、社区补丁、官方临时补丁和官方补丁。
5.根据权利要求1所述的方法,其特征在于,所述根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,具体包括:
判断所述网络环境是属于内网还是外网,并且分别给属于内网和属于外网的所述网络环境赋予不同的数值作为所述待评估的漏洞的网络环境取值Net。
6.根据权利要求1所述的方法,其特征在于,所述分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance,具体包括:
基于所述待评估的漏洞所在的资产的资产业务重要性、资产价值和资产机密性分别进行评分,分别得到资产业务重要性取值business、资产价值取值value和资产机密性取值confidentiality;
计算得到所述资产重要性取值Importance为:
其中,Importance的计算结果保留一位小数,并且其取值范围在0到10之间。
7.根据权利要求6所述的方法,其特征在于,所述基于所述待评估的漏洞所在的资产的资产业务重要性进行评分具体包括:
判断所述待评估的漏洞所在的资产的资产业务的类型,并根据所述资产业务的类型给出相应的分数;
其中所述资产业务的类型包括:IDC运维、网络运维、基础架构管理、应用运维服务、应用开发、应用管理、人员管理和行政管理。
8.根据权利要求6所述的方法,其特征在于,所述基于所述待评估的漏洞所在的资产的资产价值进行评分具体包括:
判断所述待评估的漏洞所在的资产的资产类型,并根据所述资产类型给出相应的分数;
其中所述资产类型包括:实物资产、软件资产、人员资产、数据资产和服务资产。
9.根据权利要求6所述的方法,其特征在于,所述基于所述待评估的漏洞所在的资产的资产机密性进行评分具体包括:
判断所述待评估的漏洞所在的资产的机密等级,并根据所述机密等级给出相应的分数。
10.根据权利要求1所述的方法,其特征在于,所述风险值R的计算结果保留一位小数,并且其取值范围在0到10之间。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被计算机处理器执行时实施权利要求1至10中任一项所述的方法。
12.一种漏洞修复优先级评估系统,其特征在于,包括:
漏洞评分模块:配置用于对待评估的漏洞的漏洞利用成熟度、漏洞影响范围和漏洞修复难易程度这三个指标分别进行分析,根据对应的分析结果分别得到所述三个指标的量化数值:利用成熟度值Maturity、影响范围值Scope和修复难易程度值Patch;
风险值计算模块:配置用于根据所述利用成熟度值Maturity、所述影响范围值Scope和所述修复难易程度值Patch,结合通用漏洞评分系统得到的评分CVSS,计算所述待评估的漏洞的风险值R,其中
网络环境和资产重要性评分模块:配置用于分析所述待评估的漏洞所在的网络环境,根据所述网络环境选取相应的值作为所述待评估的漏洞的网络环境取值Net,分析所述待评估的漏洞所在的资产的重要性,根据所述资产的重要性选取相应的值作为所述待评估的漏洞的资产重要性取值Importance;
最终风险评分计算模块:配置用于为所述风险值R、所述网络环境取值Net和所述资产重要性取值Importance分别设置对应的权重A1,A2和A3,计算得到所述待评估的漏洞在所述资产上的最终评分Vi,其中Vi=A1*R+A2*Net+A3*Importance;
优先级排序模块:配置用于分别计算所述待评估的漏洞在不同的资产上的所述最终评分Vi,将所述最终评分Vi的最大值作为所述待评估的漏洞的优先级评分,对所述优先级评分高的漏洞优先进行修复。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210420389.XA CN114780965A (zh) | 2022-04-20 | 2022-04-20 | 一种漏洞修复优先级评估方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210420389.XA CN114780965A (zh) | 2022-04-20 | 2022-04-20 | 一种漏洞修复优先级评估方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114780965A true CN114780965A (zh) | 2022-07-22 |
Family
ID=82430149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210420389.XA Pending CN114780965A (zh) | 2022-04-20 | 2022-04-20 | 一种漏洞修复优先级评估方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114780965A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115379117A (zh) * | 2022-08-22 | 2022-11-22 | 天翼数字生活科技有限公司 | 一种旧视频片源修复筛选方法、装置、终端及介质 |
| CN116777220A (zh) * | 2023-07-06 | 2023-09-19 | 北京睿智融科控股股份有限公司 | 一种企业风控管理方法及系统 |
| CN116881931A (zh) * | 2023-09-08 | 2023-10-13 | 北京盛邦赛云科技有限公司 | 漏洞评估方法、电子设备及存储介质 |
| CN116915460A (zh) * | 2023-07-14 | 2023-10-20 | 北京立思辰安科技术有限公司 | 一种最终漏洞扫描设备的获取系统 |
| CN117473417A (zh) * | 2023-11-27 | 2024-01-30 | 北京远大宏略科技股份有限公司 | 一种基于云计算的信息安全威胁漏洞监管方法及系统 |
| CN118400188A (zh) * | 2024-06-26 | 2024-07-26 | 济南云启智能技术有限公司 | 一种漏洞扫描结果的评估方法及系统 |
| CN118503991A (zh) * | 2024-07-17 | 2024-08-16 | 中汽研汽车检验中心(常州)有限公司 | 平衡汽车组件风险率和修复成本的方法、设备及存储介质 |
-
2022
- 2022-04-20 CN CN202210420389.XA patent/CN114780965A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115379117A (zh) * | 2022-08-22 | 2022-11-22 | 天翼数字生活科技有限公司 | 一种旧视频片源修复筛选方法、装置、终端及介质 |
| CN115379117B (zh) * | 2022-08-22 | 2023-05-23 | 天翼数字生活科技有限公司 | 一种旧视频片源修复筛选方法、装置、终端及介质 |
| CN116777220A (zh) * | 2023-07-06 | 2023-09-19 | 北京睿智融科控股股份有限公司 | 一种企业风控管理方法及系统 |
| CN116777220B (zh) * | 2023-07-06 | 2023-12-08 | 北京睿智融科控股股份有限公司 | 一种企业风控管理方法及系统 |
| CN116915460A (zh) * | 2023-07-14 | 2023-10-20 | 北京立思辰安科技术有限公司 | 一种最终漏洞扫描设备的获取系统 |
| CN116915460B (zh) * | 2023-07-14 | 2024-03-08 | 北京立思辰安科技术有限公司 | 一种最终漏洞扫描设备的获取系统 |
| CN116881931A (zh) * | 2023-09-08 | 2023-10-13 | 北京盛邦赛云科技有限公司 | 漏洞评估方法、电子设备及存储介质 |
| CN117473417A (zh) * | 2023-11-27 | 2024-01-30 | 北京远大宏略科技股份有限公司 | 一种基于云计算的信息安全威胁漏洞监管方法及系统 |
| CN117473417B (zh) * | 2023-11-27 | 2024-08-20 | 北京美沃奇信息科技有限公司 | 一种基于云计算的信息安全威胁漏洞监管方法及系统 |
| CN118400188A (zh) * | 2024-06-26 | 2024-07-26 | 济南云启智能技术有限公司 | 一种漏洞扫描结果的评估方法及系统 |
| CN118400188B (zh) * | 2024-06-26 | 2024-09-17 | 济南云启智能技术有限公司 | 一种漏洞扫描结果的评估方法及系统 |
| CN118503991A (zh) * | 2024-07-17 | 2024-08-16 | 中汽研汽车检验中心(常州)有限公司 | 平衡汽车组件风险率和修复成本的方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114780965A (zh) | 一种漏洞修复优先级评估方法与系统 | |
| CN110992169B (zh) | 一种风险评估方法、装置、服务器及存储介质 | |
| CN109359277B (zh) | 数据监控方法、设备及计算机存储介质 | |
| CN113824676B (zh) | 针对漏洞的攻击链的确定方法及装置 | |
| CN111552973A (zh) | 对设备进行风险评估的方法、装置、电子设备及介质 | |
| CN111210109A (zh) | 基于关联用户预测用户风险的方法、装置和电子设备 | |
| CN114462532A (zh) | 模型训练方法、预测交易风险的方法、装置、设备及介质 | |
| JP2024509629A (ja) | 量子車型部品基礎データベースの作成方法、装置、電子機器及び記憶媒体 | |
| CN114358147A (zh) | 异常账户识别模型的训练方法、识别方法、装置及设备 | |
| CN108446989B (zh) | 手续费确定方法及终端设备 | |
| CN109684198B (zh) | 待测试数据获取方法、装置、介质、电子设备 | |
| CN114238993A (zh) | 风险检测方法、装置、设备及介质 | |
| CN113535577A (zh) | 基于知识图谱的应用测试方法、装置、电子设备和介质 | |
| CN116739605A (zh) | 交易数据检测方法、装置、设备及存储介质 | |
| EP4365808A1 (en) | Data verification method and apparatus | |
| CN113254944B (zh) | 漏洞处理方法、系统、电子设备、存储介质及程序产品 | |
| CN114780807A (zh) | 业务检测方法、装置、计算机系统及可读存储介质 | |
| CN113052509A (zh) | 模型评估方法、模型评估装置、电子设备和存储介质 | |
| CN114372078A (zh) | 一种数据安全防护方法和装置 | |
| CN113869904A (zh) | 可疑数据识别方法、装置、电子设备、介质和计算机程序 | |
| US20240354878A1 (en) | Method and Apparatus for Data Verification | |
| US10262286B2 (en) | Data comparison and analysis based on data analysis reporting | |
| CN112579717B (zh) | 在电子地图展示用户地址的方法和装置 | |
| US20220382875A1 (en) | Trusted Repository Review | |
| CN114138834A (zh) | 报文处理方法、装置、设备、存储介质和程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |