CN116235172A - 使用安全度量对资产进行优先级排序 - Google Patents

使用安全度量对资产进行优先级排序 Download PDF

Info

Publication number
CN116235172A
CN116235172A CN202180066239.7A CN202180066239A CN116235172A CN 116235172 A CN116235172 A CN 116235172A CN 202180066239 A CN202180066239 A CN 202180066239A CN 116235172 A CN116235172 A CN 116235172A
Authority
CN
China
Prior art keywords
asset
security
network
security metric
metric
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180066239.7A
Other languages
English (en)
Inventor
特拉维斯·纳森·苏格贝克
斯里瓦察·什里帕蒂·莫丹布
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN116235172A publication Critical patent/CN116235172A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开描述了用于识别网络中的资产的关键度的技术。在示例方法中,识别网络中的第一资产的第一安全度量,以及识别网络数据,该网络数据标识与网络中的第二资产相关联的数据流。第二资产是网络中的第一资产的最近邻居。该方法包括基于网络数据来确定网络中在时间段期间与第二资产交换了数据业务的主机的数量,以及基于第一安全度量和主机的数量来生成第二资产的第二安全度量。基于安全度量来调整第二资产的安全策略。

Description

使用安全度量对资产进行优先级排序
相关申请的交叉引用
本专利申请要求于2020年9月18日提交的、题为“使用安全度量对资产进行优先级排序(PRIORITIZING ASSETS USING SECURITY METRICS)”的美国专利申请No.17/026,093的优先权,该申请要求于2020年7月30日提交的、题为“使用安全度量对资产进行优先级排序(PRIORITIZING ASSETS USING SECURITY METRICS)”的印度临时申请No.202041032709的权益,上述申请中的每个申请的内容通过引用以其整体并入本文。
技术领域
本公开总体涉及识别资产(例如,主机、应用或端口)的安全度量,以及根据资产各自的安全度量对资产进行优先级排序。例如,可以根据安全度量来对资产的安全管理进行优先级排序。
背景技术
在示例企业中,安全分析师可能具有有限量的时间和资源来调整企业内的资产(例如,主机、端口和应用)的安全姿态(posture)。因此,分析师可以对企业内的资产进行优先级排序,并将其安全管理努力集中在具有较高优先级的资产上。在各种情况下,分析师可以基于企业内的关键子网和应用的隐性(tacit)知识来对资产进行优先级排序。例如,分析师可以参考配置管理数据库(CMDB)来评估企业内的哪些资产应该被进行优先级排序。
然而,基于隐性知识来对资产进行优先级排序存在许多问题。例如,单个安全分析师可能不能在整个企业中一致地对资产进行优先级排序。此外,如果多于一个的安全分析师管理共享的资产组,则安全分析师可能难以一致地对资产进行优先级排序。此外,安全分析师可能不能手动地且有效地对企业内的资产进行优先级排序,特别是当安全分析师负责管理大量(例如,数千)资产时。即使当安全分析师能够手动地评估企业内的资产的优先级时,安全分析师可能不能基于网络流量中的实时变化来调整资产的优先级。手动地评估资产对网络的重要性通常是复杂的、易于出错的且耗时的。
此外,随着企业向对容器托管和云托管的应用进行以开发和操作(DevOp)为导向的部署和管理的转移,开发者以比CMDB更快的速度启动和/或关闭应用,可以被保持最新。出于评估资产的优先级的目的而手动地或自动地评估对CMDB的依赖可能防止安全分析师可靠地确定给定资产对企业的雇员或顾客的重要性。
在一些示例中,安全分析师可以依赖于企业内的资产的漏洞(vulnerability)以便对资产进行优先级排序。资产的漏洞可以基于漏洞元数据(诸如通用漏洞评分系统(CVSS))来评估。然而,评估资产的漏洞也是手动的、昂贵的、耗时的和易于出错的。此外,由于典型企业中应用漏洞的数量增加到数百万,所需的多维分析的规模成为问题,该问题不能由安全分析师手动可行地解决。虽然安全分析师可以使用复杂的基于机器学习的分析来评估企业内各种资产的漏洞,但是由于资产继续发送和接收数据业务,所以基于机器学习的技术常常在计算上是昂贵的并且对于实时分析是不可行的。
附图说明
下面参考附图给出详细说明。在附图中,附图标记的最左边的(一个或多个)数字表示附图标记首次出现的附图。在不同附图中使用相同的附图标记表示相似或相同的项目。附图中所示的系统不是按比例绘制的,并且附图中的组件可以彼此不按比例绘制。
图1示出了根据本文所述的各种实现方式的示例网络环境。
图2示出了具有影响资产的安全度量的各种因素的网络环境的示例。
图3示出了利用缩短的地址来计算资产的安全度量的示例表。
图4示出了用于计算资产的安全度量的示例过程。
图5示出了能够执行程序组件以实现本文所述功能的服务器计算机的示例计算机架构。
具体实施方式
本发明的各方面在独立权利要求中阐述,并且优选特征在从属权利要求中阐述。一个方面的特征可以单独或与其他方面组合应用于任何方面。
本公开描述了用于识别资产的安全度量的各种技术。一种示例方法包括:识别网络中的第一资产的第一安全度量;识别网络数据,所述网络数据标识与所述网络中的第二资产相关联的数据流,所述第二资产是所述网络中的所述第一资产的最近邻居和/或近邻邻居;基于所述网络数据来确定所述网络中在时间段期间与所述第二资产交换了数据业务的主机的数量;基于所述第一安全度量和所述主机的数量来生成所述第二资产的第二安全度量;以及基于所述第二安全度量来调整所述第二资产的安全策略。
根据一些示例,所述第二安全度量与所述第二资产的漏洞无关。在一些情况下,所述第二资产包括应用、端口或主机中的至少一者。在一些示例中,所述时间段的长度大于或等于7天且小于或等于31天。在一些情况下,所述时间段的长度大于或等于1天且小于或等于31天。
在一些情况下,所述第二安全度量指示出以下项中的至少一项:所述第二资产的关键度、所述第二资产的暴露、所述资产的漏洞利用概率、或所述资产的应用漏洞风险。
在一些实现方式中,该方法包括:识别与在所述时间段期间与所述第二资产交换了数据业务的所述主机相关联的用户的数量,其中,生成所述第二安全度量是基于所述用户的数量的。
根据一些实例,确定所述主机的数量包括:基于所述网络数据来识别所述主机的地址;通过提取所述地址的最高有效位的子集来生成缩短的地址,所述缩短的地址比所述地址短;以及基于所述缩短的地址的数量来确定所述主机的数量。
在一些示例中,调整所述安全策略包括:确定所述第二安全度量高于阈值;以及基于确定所述第二安全度量高于所述阈值,减小所述资产的多因素认证(MFA)间隔。在特定示例中,其中,调整所述安全策略包括:确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡;确定所述第二安全度量高于阈值;以及基于确定所述第二安全度量高于所述阈值来输出警报,所述警报报告被所述防火墙阻挡的所述一个或多个分组。
示例实施例
本公开描述了用于有效地评估网络中的资产的关键度(criticalit)并使用该关键度来进行优先级排序和/或调整与资产相关联的安全策略的各种技术。
在本文描述的各种实现方式中,可以针对特定资产(例如,主机、在主机上运行的应用、主机的端口等)生成安全度量。如本文所使用的,资产的术语“安全度量”可以指示出资产的暴露(exposure)、关键度或其组合。资产的暴露对应于网络内的其他实体(例如,主机、用户、其他资产等)对资产的可访问性。资产的关键度指示出资产对包括资产的组织(例如,企业)的重要性,并且因此可以对应于组织在资产受损时将招致的损失。在一些情况下,指示资产的暴露的安全度量可以被称为“暴露度量”,并且安全度量指示
例如,基于与资产相关联的网络数据来计算安全度量。网络数据可以反映和/或指示已经与资产交换的数据业务,例如寻址到资产的入口数据业务、由资产发送的出口业务、或入口和出口业务的组合。在一些示例中,网络数据指示在一段时间内已经访问(例如,向资产发送数据业务和/或从资产接收数据业务)资产的唯一主机。例如,网络数据指示在该时间段期间已经向资产发送数据业务或从资产接收数据业务的主机的因特网协议(IP)地址。在一些情况下,基于在该时间段期间已经向资产发送数据业务的主机的唯一地址的数量、在该时间段期间已经从资产接收数据业务的主机的唯一地址的数量、或其组合来计算安全度量。
根据一些实现方式,可以基于已经与资产交换了数据业务的用户的数量来计算安全度量。在一些情况下,一个主机可以具有数千个用户,而另一主机可以具有十个用户,使得主机可以在不同程度上影响资产的暴露。在一些示例中,可以映射与网络内的各个主机相关联的用户的数量。基于该映射以及已经访问资产的主机的数量,可以导出已经访问资产的用户的数量。可以基于已经访问资产的用户的数量来计算安全度量。在某些情况下,关键度是基于已经访问资产的主机的数量和用户的数量两者的。
在一些示例中,可以基于已经与资产交换了数据业务的主机的位置数量来计算安全度量。主机的位置可以例如使用来自加利福尼亚圣何塞的CISCO SYSTEMS公司的网络可见性流(Network Visibility Flow,nvzFlow)来导出。在某些情况下,可以使用其他协议或技术来识别主机的位置。
基于访问资产的主机的数量和/或用户的数量来计算安全度量在计算上可以是相对廉价的,但是安全度量仍然可以显著地指示资产对网络的关键度。在某些情况下,安全度量可以独立于基于内容的分析(例如,资产对攻击的漏洞的评估)来计算。实验已经表明,本文描述的简化安全度量与用于评估安全风险的基于人工和/或机器学习的技术显著地相关,但是可以以比其他技术低得多的成本和高得多的速度来执行。为了进一步减少计算安全度量的计算开销,可以缩短已经与特定资产交换了数据业务的主机的地址(例如,IP地址),并且可以使用缩短的地址的数量来估计已经访问该资产的唯一主机的数量。在一些情况下,可以将每个地址转换为二进制形式,并且可以在计算安全度量时考虑二进制位的子集。这些地址的缩短版本显著地捕获了访问资产的远程主机的多样性,并且显著地降低了计算资产的安全度量的计算成本。在一些情况下,位置指示符(例如,作为nvzFlow的输出)可以被类似地缩短,从而降低了基于已经访问资产的主机的位置的数量来计算资产的安全度量的计算成本。缩短版本可以指示出资产的暴露。
在一些实现方式中,一个资产的安全度量被用于计算网络中的另一相邻资产的安全度量。例如,如果第一资产从多个远程主机接收入口数据业务,并且将出口数据业务发送到第二资产,则与在第一资产处接收的入口数据业务相关联的安全度量也很大程度上指示了第二资产与网络的公共相关性的至少一部分。因此,一个资产的安全度量可以被传播到网络中的其他资产的其他安全度量。
在一些示例中,安全度量可以与其他度量组合,以评估资产的安全风险。在一些情况下,安全度量本身可以表示多个度量的组合。例如,资产的漏洞利用概率可以通过以下方式来计算:将第一安全度量(例如,表示资产的暴露)与指示资产的利用风险的分数(例如,资产的最大CVSS分数)组合(例如,相乘)。可以基于资产的漏洞风险、资产的合规风险、资产的恶意软件风险、资产的拒绝服务(DOS)风险或其任何组合来计算利用风险。在一些情况下,资产的暴露可能相对较高,但最大CVSS可能相对较低,或者资产的暴露可能相对较低,但最大CVSS可能相对较高,使得资产的安全性可以被去优先化,而不会将与资产相关联的企业暴露于显著的安全风险。
在一些示例中,安全度量可以包括指示出资产的漏洞风险的另一度量或与其组合。通常,丢失事件的风险等于丢失事件发生的概率与如果发生丢失事件时的总丢失事件的乘积。在本文描述的各种实现方式中,由于资产的安全漏洞而导致的损失对应于资产的第二安全度量(例如,表示关键度)。安全漏洞被利用的事件的概率由利用风险来表示。丢失事件发生的概率对应于资产的利用风险(例如,最大CVSS)。在各种实现方式中,可以通过将第二安全度量与漏洞利用概率组合(例如,相乘)来计算资产的漏洞风险。在一些情况下,资产可以具有显著的关键度但具有低的利用风险,或者可以具有低的关键度但具有显著的利用风险,使得资产的安全性可以被去优先化,而不会将与资产相关联的企业暴露于显著的安全风险。
可以根据本文描述的任何组合度量来对资产进行优先级排序。例如,如果安全度量(其可以表示关键度、暴露、漏洞利用概率、漏洞风险或其任何组合)超过特定阈值,则可以采取动作来进一步保护资产免受安全风险。
在一些实现方式中,资产的安全度量可以用于改变资产的安全姿态。例如,如果安全度量高于某个阈值,则可以针对资产激活多因素认证(MFA)。在某些情况下,MFA间隔可以随着安全度量的增加而减小。在各种示例中,当安全度量增加时,保护资产的防火墙可以应用更严格的安全策略。在一些情况下,当资产的安全度量超过阈值时,防火墙可以选择性地输出被防火墙阻挡的数据业务的报告。在某些情况下,如果安全度量足够高,则防火墙可以选择性地向管理员报告被阻挡的数据业务。此外,在一些示例中,可以将安全度量本身报告给管理员,管理员可以潜在地使资产的安全预防措施(security precaution)的优先级高于企业中的可能与较低安全度量相关联的其他资产。
本公开的各种实现方式提供了对计算机网络领域的具体改进。可以使用简单的技术来计算本文描述的安全度量,该简单的技术所使用的计算资源比使用基于漏洞的度量的计算少得多。因此,可以基本上实时地计算安全度量,并且可以基于到资产的正在进行的数据业务来更新安全度量。此外,安全度量基本上与涉及资产的漏洞分析的更复杂的分析相关。结果,本文描述的安全度量可以在时间和计算成本方面提供优于现有解决方案的显著节省,而不会引入显著的有害影响。
将参考附图来详细描述本公开的各种实现方式,其中相同的附图标记在若干视图中表示相同的部件和组件。此外,在本说明书中阐述的任何样本不旨在是限制性的,而仅仅说明许多可能实现方式中的一些。
图1示出了根据本文所述的各种实现方式的示例网络环境100。环境100包括多种类型的资产,包括第一资产102、第二资产104和第三资产106。如本文所使用的,术语“资产”及其等同物可以指代硬件、固件、软件或其组合。例如,资产可以是主机或在主机上运行的应用。在某些情况下,资产可以是端口。第一资产102、第二资产104和第三资产106可以用各种安全策略来管理并且易受到来自在环境100内操作的恶意实体的攻击。
第一资产102是主机。如本文所使用的,术语“主机”可以指代具有特定(例如,唯一)地址的任何网络实体。如本文所使用的,术语“地址”可以指代标识网络内的节点的标签。地址的一些示例包括例如因特网协议(IP)地址、媒体访问控制(MAC)地址、自治系统号(ASN)等。如本文所使用的,术语“节点”、“网络节点”及其等同物可以指代网络内能够向至少一个其他节点发送分组和/或从至少一个其他节点接收分组的任何实体。节点可以是设备、软件实例、虚拟机(VM)、容器、虚拟进程等。在一些示例中,节点可以包括设备或虚拟资源的分组,诸如安全组、子网等。在一些示例中,节点可以是客户端、服务器或其组合。在一些情况下,第一资产102包括硬件。在一些示例中,第一资产102还包括软件。
第二资产104和第三资产106可以是在第一资产102上运行的应用。如本文所使用的,术语“应用”及其等同物可以指代当由硬件(例如,一个或多个处理器)执行时使得硬件代表用户执行一个或多个功能的软件。应用可以针对用户执行特定任务。在一些情况下,应用可以在主机上的VM中操作。在一些示例中,第二资产104和第三资产106中的任一者或两者可以是在第一资产102上运行的基于云的应用。在一些情况下,第二资产104和第三资产106可以包括软件。
第一资产102包括使得第一资产102、第二资产104和第三资产106能够与环境100内的其他网络节点进行通信的各种端口。第一端口108与第二资产104相关联。一个或多个第二端口110与第三资产106相关联。如本文所使用的,术语“端口”及其等同物可以指代在设备之间传送数据(例如,数据分组)的端点。根据各种实现方式,可以为每个端口分配端口号。端口可以与主机的地址(例如,IP地址)和数据类型(例如,协议)相关联。
如图1所示,第一资产102、第二资产104和第三资产106可以接收数据业务并将数据业务发送到环境100中的其他网络节点。资产102、104和106的入口(例如,入站)和/或出口(例如,出站)数据业务由防火墙112保护。如本文所使用的,术语“数据业务”及其等同物可以指在网络内的网络节点之间传输一个或多个数据分组。根据一些情况,数据业务可以被布置成流。如本文所使用的,术语“数据流”、“网络流”、“流”及其等同物可以指在单个会话中从源发送到目的地的多个分组。流的分组可以具有相同的源地址、相同的目的地地址、相同的入口接口(例如,简单网络管理协议(SNMP)ifIndex)、相同的源端口、相同的目的地端口、相同的协议(例如,IP协议)或其组合。单个流内的分组可以包括相同类型的数据(例如,单个IP类型的服务)。
防火墙112被配置为检查数据业务并将一个或多个防火墙规则(也称为“安全规则”或“策略规则”)应用于数据业务。如果数据业务中的数据分组符合(一个或多个)防火墙规则,则防火墙112允许数据分组或流行进到其目的地。然而,如果数据分组不符合(一个或多个)防火墙规则,则防火墙112阻止数据分组行进到网络环境100中的其寻址目的地。在一些情况下,防火墙112可以被实现为连接到第一资产102、第二资产104和第三资产106的物理设备。在一些情况下,防火墙112可以由在分布式环境中的多个设备上运行的软件来实现。例如,防火墙112可以是基于云的防火墙。
资产102、104和106的入口和出口数据业务可以通过导出器114。导出器114可以截取数据业务并基于数据业务来生成网络数据。网络数据可以指示关于数据业务的特征。例如,网络数据可以指示数据业务中的数据分组的源的地址、数据分组的目的地的地址、数据分组被其源发送和/或被导出器114截取的时间、数据分组中的数据类型、包括数据分组的流的标识符、从其发送数据分组的端口、数据分组被寻址到的端口等。根据各种实现方式,出口数据业务的源是资产102、104或106,并且出口数据业务的(一个或多个)目的地包括多个远程主机116中的一个或多个。此外,可以在第一端口108或(一个或多个)第二端口110中的任何一个处发送或接收数据业务。在各种示例中,入口业务的(一个或多个)源包括一个或多个远程主机116,并且入口业务的目的地是资产102、104或106。
远程主机116经由一个或多个通信网络120连接到资产102、104和106。如本文所使用的,术语“通信网络”及其等同物可以指能够通过其发送数据的设备和接口的任何组合。(一个或多个)通信网络120可以包括例如一个或多个局域网(LAN)、无线网络、蜂窝网络、虚拟专用网络(VPN)、广域网(WAN)(例如,因特网)或其任何组合。在一些情况下,(一个或多个)通信网络120可以包括一个或多个有线网络(包括例如至少一个光缆、以太网电缆等)、一个或多个无线网络(包括例如无线接入网(RAN)、WiFi网络等)或其任何组合。虽然(一个或多个)通信网络120在图1中被示为共同连接网络环境100内的多个元件,但是在一些情况下,(一个或多个)通信网络120中的不同网络可以连接网络环境100内的不同元件。例如,(一个或多个)通信网络120中的第一通信网络可以将远程主机116中的第一主机连接到第一资产102,并且(一个或多个)通信网络120中的第二通信网络可以将远程主机116中的第二主机连接到第一资产102,等等。
在一些实现方式中,导出器114利用NetFlow以生成网络数据。例如,可以在接收去往和来自资产102、104和106的IP数据业务的网络交换机上实现导出器114。导出器114可以基于IP数据业务来识别网络数据。例如,导出器114可以识别数据业务内的一个或多个不同流。当导出器114确定特定流已经停止时,导出器114可以通过一个或多个通信网络120向收集器118输出流记录。在某些情况下,流记录可以作为用户数据报协议(UDP)数据报被输出到收集器118。除其他信息之外,流记录可以包括特定流开始的时间、流中的字节数、流中的分组数、流的持续时间、流的源的IP地址和流的目的地的IP地址、与流相关联的第3层报头、第3层路由信息、源和目的地端口号等。在各种示例中,资产102、104或106是流的源或目的地。在一些情况下,单个流记录可以指示关于与资产102、104和106中的任一个相关联的多个流的细节。收集器118可以将流记录存储在网络数据存储装置122中。根据各种实现方式,可以用硬件和/或软件来实现收集器118和/或网络数据存储装置122。例如,收集器118和/或网络数据存储装置122可以分布在多个计算设备(例如,服务器)上。在一些情况下,网络数据存储装置122包括一个或多个数据库。
在各种情况下,导出器114利用nvzFlow或一些等效协议来生成网络数据。例如,导出器114可以标识由资产102、104和106接收和/或由资产102、104和106发送的数据业务内的一个或多个不同流。对于感兴趣的资产(例如,资产102、104或106)是端点的每个流,导出器114可以标识该流的另一个端点的用户、设备、应用、位置和目的地。例如,用户可以对应于与感兴趣的资产交换数据的设备(例如,主机)的用户。设备可以对应于与感兴趣的资产交换数据的设备的类型(例如,膝上型计算机、移动电话、设备的操作系统等)。应用可以对应于用户从其与感兴趣的资产交换数据的应用(例如,因特网浏览器)。当设备与感兴趣的资产交换数据时,位置可以对应于设备的位置(例如,纬度、经度、纬度和/或经度的准确度、高度、或其任何组合)。目的地可以指示感兴趣的资产。类似nvzFlow的协议可以在浮点值列表(例如,32比特浮点值)中提供这些细节。因此,与感兴趣的资产交换数据的主机的位置可以由32比特标识符来表示。因此,网络数据可以指示用户、设备的类型、应用和访问感兴趣的资产的每个设备的位置。
在各种实现方式中,分析引擎124基于网络数据来确定资产102、104和106中的至少一者、或者第一端口108或(一个或多个)第二端口110中的至少一者的安全度量。根据各种示例,可以以软件、硬件或其组合来实现分析引擎124。例如,分析引擎124可以利用有限量的处理资源和/或存储器资源,通过这些资源来执行任务,诸如计算安全度量。在一些情况下,分析引擎124可以计算组织或企业内包括资产102、104和106的众多(例如,数千)资产的安全度量。
安全度量对应于资产相对于网络环境100中的远程主机116和/或网络环境100中的远程主机116的用户的公共相关性。在各种情况下,资产受到攻击的风险与其安全度量及其对攻击的漏洞两者成比例。尽管诸如CVSS之类的漏洞度量可以有助于确定资产的风险,但是本公开的发明人的独立实验已经表明,安全度量单独与资产受到攻击的风险相关。此外,在某些情况下,可以利用比漏洞度量少得多的分析引擎124的计算资源来自动计算安全度量,漏洞度量通常需要由人类分析师和/或复杂的机器学习模型进行手动计算。因此,安全度量可以是资产受到攻击的风险的漏洞诊断和轻量级估计,其可以基于由资产交换的数据业务来实时调整。根据一些示例,资产102、104或106的安全度量对于资产102、104或106的漏洞是不可知的。因此,分析引擎124可以计算资产102、104或106的安全度量,而无需计算、接收或识别资产102、104或106的漏洞度量。在一些情况下,基于资产102、104或106的漏洞来计算资产102、104或106的安全度量。将漏洞包括在安全度量中可以提供例如资产102、104或106的利用概率的鲁棒估计(robust estimation)。
在一些情况下,分析引擎124驻留在第一资产102上。在一些情况下,分析引擎124经由(一个或多个)通信网络120与环境100的其他元件进行通信。在一些实现方式中,分析引擎124从收集器118和/或网络数据存储装置122请求和/或接收网络数据。在一些示例中,导出器114将网络数据直接传输到分析引擎124以用于进一步处理。在一些情况下,第一主机102生成其自身的网络数据并将网络数据提供给分析引擎124。在一些情况下,导出器114或资产102、104和106中的至少一者本身直接向分析引擎124报告网络数据。例如,分析引擎124可以从导出器114和/或第一资产102接收指示与第一资产102相关联的数据业务的网络数据流。
根据一些实现方式,分析引擎124基于网络数据来标识已与资产102、104或106交换了数据业务的远程主机116的数量,并基于主机的数量来生成资产102、104或106的安全度量。例如,分析引擎124可以将唯一地址(例如,IP地址)的数量标识为到第二资产104的入口业务的源,和/或将唯一地址的数量标识为来自第二资产104的出口业务的目的地,并且基于唯一地址的数量来计算第二资产104的安全度量。在各种情况下,资产102、104或106的安全度量与已经访问该资产102、104或106的主机的地址的数量成比例。例如,可以根据以下等式1来计算安全度量:
Figure BDA0004147917800000121
其中“S”表示资产的安全度量,“naccess”表示已经访问资产的主机的数量,以及“ntotal”表示网络内的可能主机的数量。根据各种示例,“ntotal”表示(例如,在特定时间段期间)已经访问网络中的任何资产的主机的最大数量。在一些情况下,附加的归一化因子可以与安全度量相乘。可以基于已经访问网络环境100中的其他资产的地址的数量来计算归一化度量。在一些情况下,网络内的可能主机的数量可以被定义为可以定义网络内的主机的可能地址的数量。例如,在IPv4地址的情况下,可能地址的数量可以是232,或者在IPv6地址的情况下,可能地址的数量可以是2128
在一些情况下,分析引擎124生成可以用较少计算资源计算出的简化安全度量。在各种示例中,分析引擎124缩短已经访问资产102、104或106的主机的地址,并基于缩短的地址来计算安全度量。例如,访问资产的每个IP地址可以被转换成二进制形式。二进制形式的每个地址可以具有相同的位数(例如,在IPv4的情况下为32位,在IPv6的情况下为128位)。当计算资产的安全度量时,分析引擎124可以忽略二进制形式的地址的最低有效位(例如,最右边的位)的子集。当计算资产的安全度量时,分析引擎124可以考虑二进制形式的地址的最高有效位(例如,最左边的位)的子集。分析引擎124所考虑的位越少,分析引擎124在计算安全度量的过程中使用的计算资源越少。实验已经发现,基于二进制形式的地址的24个最高有效位来计算安全度量基本上捕获了资产的关键度。然而,可以考虑其他数量的最高有效位来计算安全度量,例如6、12、32、64个等。在一些情况下,分析引擎124缩短已经访问资产102、104或106的主机的位置的标识符,并基于缩短的标识符来计算安全度量。例如,访问资产的每个主机的浮点标识符可以被转换成二进制形式,并且在基于主机的位置来计算资产的安全度量时,分析引擎124可以忽略二进制形式的标识符的最低有效位的子集,并且可以考虑二进制形式的标识符的最高有效位的子集。例如,如果主机位置的标识符是32比特标识符,则分析引擎124可以忽略除二进制形式的标识符的前24比特以外的所有比特。
在一些示例中,分析引擎124基于利用已经访问资产102、104或106的远程主机116的用户的数量来计算资产102、104或106的安全度量。例如,远程主机116中的单个主机可以具有多个用户。在一些情况下,远程主机116中的多个主机共享同一用户。因此,访问资产102、104或106的用户的数量可以不同于远程主机116中的访问资产102、104或106的主机的数量。
身份管理器126可以维护用户到远程主机116的映射。例如,该映射可以存储在数据库中。在某些情况下,身份管理器126使用平台交换网格(pxGrid)、身份服务引擎(ISE)或来自加利福尼亚圣何塞的CISCO SYSTEMS公司的Duo来标识与每个远程主机116相关联的用户128的数量。在特定示例中,可以使用如下平台来获得主机-用户关联:企业的多个安全产品可以通过该平台共享数据并且一起工作(例如,pxGrid)。例如,平台可以支持指示整个网络环境100中的主机—用户关联的会话,其中身份管理器126可以订阅这些会话以便标识与每个远程主机116相关联的用户128的数量。身份管理器126可以从收集这些关联的一个或多个RADIUS服务器获得主机-用户关联。在某些情况下,网络访问控制(NAC)系统可以获得主机-用户关联并将其报告给身份管理器126。在各种情况下,身份管理器126被包括在软件、硬件或其组合中。
在各种实现方式中,分析引擎124可以从身份管理器126请求和/或接收映射数据。在一些情况下,分析引擎124可以请求与网络数据内包括的端口和主机相关联的映射数据。例如,分析引擎124可以基于第一资产102的网络数据来识别远程主机116中的已经访问第一资产102的多个主机的地址。分析引擎124可以通过向身份管理器126指示地址来标识多个主机的用户128的数量。身份管理器126又可以提供每个适用主机的用户128的数量的指示。因此,分析引擎124可以确定已经访问第一资产102的用户128的数量。在各种情况下,分析引擎124可以使用已经访问第一资产102的用户128的数量来计算第一资产102的安全度量。例如,用户128的数量可以与安全度量成比例。
根据一些实现方式,分析引擎124可以接收或识别与第一资产102相关联的网络数据,并且可以基于第一资产102的网络数据来识别第二资产104或第三资产106的安全度量。在各种示例中,网络数据可以指示接收到去往第一资产102的数据业务的端口(例如,第4层端口)和/或输出来自第一资产102的数据业务的端口。分析引擎124可以基于网络数据中指示的端口来确定哪个数据业务与第二资产104或第三资产106相关联。例如,由于第一端口108和第二资产104之间的关联,通过第一端口108的数据业务可以与第二资产104相关联。类似地,由于第三资产106和(一个或多个)第二端口110之间的关联,通过(一个或多个)第二端口110的数据业务可以与第三资产106相关联。
在各种示例中,应用管理器130可以用于标识与在主机上运行的各种应用相关联的端口。例如,分析引擎124可以基于应用管理器130来识别第一端口108与第二资产104相关联以及(一个或多个)第二端口110与第三资产106相关联。应用管理器130可以维护指示网络环境100内的各种应用、端口和主机的映射的数据。例如,应用管理器130可以确定和/或存储第二资产104利用第一端口108、第三资产106利用(一个或多个)第二端口110、第二资产104和第三资产106、或其组合的指示。在一些情况下,应用管理器130是第一资产102的组件(例如,在第一资产102上托管的应用)。在一些示例中,应用管理器130位于第一资产102之外。例如,应用管理器130可以包括在连接到(一个或多个)通信网络120的至少一个硬件设备(例如,一个或多个服务器)上操作的软件。在一些情况下,应用管理器130可以包括被配置为生成遥测信息的代理,该遥测信息标识与在主机上运行的各种应用相关联的端口。
在各种情况下,应用管理器130可以以集中方式或以分布式方式实现。在集中式方法中,应用管理器130可以包括网络监视系统,并且可以基于与网络环境100内的各种应用和主机相关联的五元组关系来导出在主机上运行的应用之间的关系。在一些情况下,应用管理器130可以从与网络环境100中的各个主机相关联的应用和进程清单中导出应用上下文。在一些情况下,应用管理器130可以包括维护主机-用户关联的身份管理系统。在分布式方法中,应用管理器130可以包括由整个网络环境中的各种主机托管的代理。代理可以访问它们所占用的主机的应用上下文、用户上下文以及网络行为。
在一些情况下,传送到分析引擎124的网络数据可以是指示由第一资产102交换的数据业务的网络数据。如本文所使用的,术语“交换”可以指发送到、接收自或其组合。网络数据可以指示数据业务的任何源端口和/或目的地端口。为了确定与第二资产104相关联的网络数据的子集,分析引擎124可以与应用管理器130进行通信。例如,分析引擎124可以向应用管理器130发送关于第一资产102和/或第二资产104的查询,并且应用管理器130可以返回指示第一端口108与第二资产相关联的消息。因此,分析引擎124可以提取与第二资产104相关联的网络数据的至少一部分,并且可以忽略与在第一资产102(例如,第三资产106)上运行的其他应用相关联的网络数据的另一部分。分析引擎124因此可以计算第二资产104的特定安全度量。
根据一些实现方式,分析引擎124可以确定特定端口的安全度量。例如,分析引擎124可以识别仅与第一端口108而不是(一个或多个)第二端口110相关联的网络数据。因此,除了应用和端口之外,可以基于安全度量来分析各个端口。
在一些情况下,分析引擎124可以基于资产102、104或106之一的出口业务或基于资产102、104或106之一的入口业务来确定安全度量。例如,分析引擎124可以确定已经向第三资产106发送数据业务的远程主机116和/或用户128的数量,并且基于远程主机116和/或用户128的数量来识别入口安全度量。在一些示例中,分析引擎124可以确定第三资产106向其发送数据业务的远程主机116和/或用户的数量,并且可以基于远程主机116和/或用户128的数量来确定出口安全度量。
分析引擎124可以根据时间因素来计算资产102、104或106的安全度量。例如,当计算第二资产104的安全度量时,指示最近数据业务(例如,在过去的一天内)的网络数据对于安全度量的计算可能比指示相对旧的数据业务(例如,在一周之前)的网络数据更重要。在一些情况下,分析引擎124可以基于网络数据所指示的数据业务的时间来衡量网络数据对安全度量的贡献。例如,网络数据对安全度量的权重可以具有随着自用于生成网络数据的数据业务增加以来的时间而衰减的关系。第二资产104的安全度量可以根据由第二资产104交换的数据业务的时间变化来计算。因此,可以根据数据业务趋势中的任何时间衰减来计算资产的安全度量。
根据一些实例,分析引擎124可以基于由资产102、104或106交换的数据业务的量来计算资产102、104或106的安全度量。例如,第一资产102的安全度量可以基于去往和来自第一资产102的数据业务的量(例如,传送的字节数、传送的分组数、传送的分组的一致性等)来计算。在某些情况下,数据业务的量与资产的安全度量成比例。
在一些示例中,分析引擎124可以基于与资产102、104或106相关联的数据业务的类型来计算资产102、104或106的安全度量。在各种情况下,去往和来自资产102、104或106的传输控制协议(TCP)数据业务可以显著地影响资产102、104或106的暴露。在某些情况下,这种显著性是由于三路TCP握手(three-way TCP handshake)的普遍性。根据一些示例,TCP数据业务比诸如用户数据报协议(UDP)数据业务之类的其他类型的数据业务对资产102、104或106的关键度更重要。在本文描述的各种实现方式中,分析引擎124可以基于与资产102、104或106相关联的TCP数据业务来计算资产102、104或106的安全度量。安全度量可以与和资产102、104或106相关联的其他类型的数据业务(例如,UDP数据业务)无关。
在各种实现方式中,分析引擎124可以基于在一时间间隔期间与资产102、104或106交换的数据业务来确定资产102、104或106的安全度量。该时间间隔可以在当前时间结束,使得该时间间隔紧接在计算安全度量和/或用于计算安全度量的网络数据的识别(例如,接收)之前。时间间隔可以被选择为足够长以避免数据业务的临时趋势(例如,假日、周末等,其中数据业务可以被临时减少或以其他方式改变)对安全度量的影响。然而,时间间隔可以被选择为足够短以防止分析引擎124基于过时信息来计算安全度量。在一些情况下,时间间隔可以不小于7天并且可以不大于一个月或31天。例如,时间间隔可以在6到8天内。在一些示例中,时间间隔可以不小于1天且不大于31天。
根据一些实现方式,分析引擎124可以计算资产102、104或106之一的第一安全度量,并且可以将第一安全度量传播到相邻资产。分析引擎124可以识别网络环境100内的相邻资产,并在相邻资产之间传播安全度量。例如,如果相邻资产的数据业务被路由通过第一资产102,则第一资产102的安全度量与相邻资产和网络的公共相关性有关。因此,可以基于环境100中的另一相邻资产的安全度量来计算一个资产的安全度量。在一些情况下,资产102、104或106中的任一个的安全度量可以被传播到与该资产相同或相似的地理位置内的其他资产。例如,第一资产102的网络数据和另一资产的网络数据可以指示第一资产102和另一资产都位于同一城市街区中和/或在彼此的小于阈值距离(例如,一英里)内。在该示例中,第一资产102的安全度量可以用于计算另一资产的安全度量,使得第一资产102的安全度量被传播到第一资产102附近的另一资产。
在各种示例中,资产102、104或106中的任一个的安全度量可以被输出到用户设备132。用户设备132可以将安全度量输出给用户,诸如管理资产102、104和106的企业的安全分析师。在各种情况下,分析师可以用更大的安全度量来对资产102、104和106的安全性进行优先级排序。例如,如果分析师仅具有修补企业内的应用的单个漏洞的时间,并且第二资产104具有比第三资产106更大的安全度量,则分析师可以在修补第三资产106的漏洞之前修补第二资产104的漏洞。因此,安全度量可以用于向用户提供重要信息,用户可以基于安全度量有效地对企业内的多个资产的安全性进行优先级排序。虽然图1仅描绘了三个资产102、104和106,但是在一些示例中,用户可以负责管理企业(例如,公司)中的众多(例如,至少1000个)个体资产的安全性。通过识别那些众多资产的最新安全度量,用户能够有效地将他们的时间进行优先级排序,以解决企业的最关键资产的潜在安全风险。
根据一些实现方式,可以利用安全度量来自动解决资产102、104和106的安全姿态。安全管理器134可以被配置为修改资产102、104和106的安全姿态。在各种情况下,安全管理器134可以以软件、硬件或其组合来实现。分析引擎124可以向安全管理器134输出安全度量。在一些情况下,在同一设备和/或设备组中实现分析引擎124和安全管理器134。根据各种示例,安全管理器134可以基于与资产102、104和106相关联的安全度量来更新资产102、104和106的安全姿态。
例如,安全管理器134可以控制防火墙112。如果安全管理器134确定第一资产102的安全度量足够高(例如,高于第一阈值),则安全管理器134可以增加防火墙112的严格性。例如,安全管理器134可以控制防火墙112以将防火墙规则调整为不太许可并且阻止更多类型的业务。可替代地,如果安全管理器134确定第一资产102的安全度量足够低(例如,低于第二阈值,第二阈值可以不同于第一阈值),则安全管理器134可以降低防火墙112的严格性。例如,安全管理器134可以控制防火墙112以将防火墙控制为更加许可并且允许更多类型的业务。
根据一些示例,安全管理器132可以控制防火墙112基于资产102、104和106的安全度量来选择性地输出警报。例如,当第二资产104的安全度量大于阈值时,安全管理器132可以控制防火墙112输出关于与第二资产104相关联的、被防火墙112阻挡的数据业务的一个或多个警报。例如,防火墙112可以确定定向到第二资产104的一个或多个数据分组不符合防火墙112的防火墙规则。如果第二资产104的安全度量大于第一阈值,则除了阻挡(一个或多个)不符合规范的分组之外,防火墙112还可以(例如,向用户设备132)输出指示(一个或多个)被阻挡的分组的警报。然而,如果第二资产104的安全度量小于第二阈值,则防火墙112可以避免输出指示(一个或多个)被阻挡的分组的警报。
在各种示例中,安全管理器132可以基于资产102、104和106的安全度量来修改与防火墙112相关联的资产组。例如,安全管理器132可以基于安全度量来自动地选择针对一个组的一个或多个资产,并将防火墙112的一致策略应用于该组中的(一个或多个)资产。该组中的(一个或多个)资产可以存储在安全管理器132和/或防火墙112处的列表中。在一些情况下,安全管理器132可以自动地将安全度量超过阈值的资产102、104和106中的任一个添加到特定组。特定组内的每个资产可以类似地由防火墙112监视和保护。在一些情况下,防火墙112可以为与特定组中的每个资产相关联的任何不符合规范的数据业务生成和报告警报,并且可以避免为与特定组之外的资产相关联的不符合规范的数据业务生成和报告警报。在一些示例中,防火墙112可以将特定防火墙规则应用于由组内的资产交换的数据业务,并且可以避免将特定防火墙规则应用于由组外的资产交换的数据业务。因此,安全度量可以用于独立地管理可显著影响环境100的资产102、104和106中的任一个的安全策略。
在一些情况下,安全管理器134可以实现针对资产102、104和106的多因素认证(MFA)。根据一些示例,安全管理器134包括认证服务,并且资产102、104或106之一提供应用服务。当远程主机116之一向资产102、104或106发送请求(例如,登录到应用服务的请求)时,资产102、104或106在安全管理器134处向认证服务发送认证请求。在一些情况下,请求包括访问应用服务的第一认证因素(例如,帐户的正确用户名和密码)。认证服务又向认证设备发送认证请求,该认证设备可以不同于远程主机116。认证设备可以与远程主机116提供的原始请求中的用户名和密码相关联。为了成功地访问应用服务,远程主机116的用户128和认证设备可以输入第二认证因素。例如,认证设备可以输出可选用户界面元素(例如,按钮),并且用户128可以通过选择用户128可接受的图标输出来接受推送通知。在一些示例中,认证设备可以输出认证设备的用户可以输入到远程主机116中的代码(例如,数字或字符串)。在输入第二认证因素时,认证响应可以从认证设备传播到认证服务,或从服务传播到认证服务,然后传播到由资产102、104或106托管的服务。在接收到认证响应时,资产102、104或106可以识别远程主机116被授权,并可以继续与远程主机116交换数据。尽管该示例包括两个认证因素,但在一些情况下,用户128必须输入多于两个认证因素以由认证服务认证并访问资产102、104或106。在各种情况下,MFA过程可以重复地执行,例如周期性地执行。例如,资产102、104或106要求用户128和/或远程主机116周期性地重新认证。
在一些示例中,安全管理器134可以基于资产102、104或106的安全度量来改变资产102、104或106的重新认证时段。例如,在识别出第三资产106的安全度量大于第一阈值时,安全管理器134可以应用相对短的重新认证时段(例如,8小时)。另一方面,如果第三资产106的安全度量低于第二阈值(其可以不同于第一阈值),则安全管理器134可以应用相对长的重新认证时段(例如,60天)。在一些情况下,安全管理器134可以响应于识别出资产102、104或106的安全度量大于第三阈值(其可以不同于第一阈值或第二阈值)而实现资产102、104或106的MFA,并且可以响应于识别出资产102、104或106的安全度量低于或等于第三阈值而避免实现资产102、104或106的MFA。
在本公开的各种实现方式中,可以基于对感兴趣的资产的实时数据业务趋势来识别主机(例如,第一资产102)、在主机上运行的应用(例如,第二资产104或第三资产106)、或端口(例如,第一端口108或(一个或多个)第二端口110)的安全度量。在某些情况下,可以用相对较低的计算成本来识别安全度量,从而使其对于实时调整是可行的。在一些示例中,安全度量可以与其他度量(例如,漏洞度量)组合。安全度量可以被输出给用户,这可以使得用户能够适当地对可以包括众多资产(例如,大于1000个资产)的企业中的资产的安全姿态进行优先级排序。在一些情况下,安全度量可以用于自动调整企业中的资产的安全姿态。
图2示出了具有影响资产的安全度量的各种因素的网络环境200的示例。如图所示,主资产202与第一远程主机206、第二远程主机208和第三远程主机210交换第一数据业务204。此外,辅助资产212可以与主资产202交换第二数据业务214。根据一些实现方式,主资产202和/或辅助资产212可以是或包括以上参考图1描述的第一资产102、第二资产104、第三资产106、第一端口108或(一个或多个)第二端口110中的任何一个。在一些情况下,第一远程主机206、第二远程主机208、第三远程主机210或其任何组合可以是或包括以上参考图1描述的任何远程主机116。
在各种示例中,主资产202和辅助资产212可以是主机、应用、端口或其任何组合。第一数据业务204和第二数据业务214可以包括主资产202的出口数据业务、主资产202的入口数据业务或其任何组合。虽然第一数据业务204和第二数据业务214被示为双向的,但是在一些实现方式中,第一数据业务204可以排他地包括入口数据业务或出口数据业务,和/或第二数据业务214可以排他地包括入口数据业务或出口数据业务。如图所示,主资产202位于辅助资产212与第一远程主机206、第二远程主机208和第三远程主机210之间。因此,在辅助资产212与第一远程主机206、第二远程主机208和第三远程主机210之间交换的数据业务通过主资产202路由。
基于第一数据业务204和第二数据业务214来计算主资产202的第一安全度量。例如,基于与主资产202交换第一数据业务204和第二数据业务214的主机的数量来计算第一安全度量。假设辅助资产212是主机,则与主资产202交换第一数据业务204和第二数据业务214的主机的数量是4,并且包括第一远程主机206、第二远程主机208和第三远程主机212。相反,基于与辅助资产212交换第二数据业务214的主机的数量来计算辅助资产212的第二安全度量。假设主资产202是主机,则与辅助资产212交换第二数据业务214的主机的数量是1,并且包括主资产202。因此,通过基于访问主机的数量来计算安全度量,主资产202的第一安全度量可以大于辅助资产212的第二安全度量。
在一些情况下,基于访问主资产202和辅助资产212的用户的数量来计算主资产202的第一安全度量和辅助资产212的第二安全度量。访问环境200中的给定资产的用户的数量可以不同于访问环境200中的资产的主机的数量。例如,第一远程主机206可以与多个第一用户216相关联。此外,第二远程主机208和第三远程主机210可以共享单个第二用户218。此外,辅助资产212可以与第三用户220相关联。可以基于利用主资产202的用户的数量来计算主资产202的第一安全度量。假设辅助资产212是主机并且第一用户216包括三个用户,则可以基于包括第一用户216、第二用户218和第三用户220的五个用户来计算第一安全度量。然而,辅助资产212的第二安全度量可以基于单个用户,即第三用户220。因此,主资产202的第一安全度量可以大于辅助资产212的第二安全度量。
然而,单独基于第二数据业务214的网络数据来计算辅助资产212可能不足以表示辅助资产212对网络环境200的暴露。例如,主资产202对第一远程主机206、第二远程主机208和第三远程主机210的暴露不反映在第二数据业务214的网络数据中。在第二数据业务214的网络数据中,主主机202可以表示为没有用户的单个主机。在这些示例中,第二数据业务214的网络数据不考虑辅助资产212对第一远程主机206、第二远程主机208和第三远程主机210的暴露,即使远程主机206、208和210显著影响主资产202的暴露。
在本文描述的各种实现方式中,可以在网络环境200内传播安全度量。在一些示例中,安全度量可以被传播到网络环境200内的最近邻居。在图2的示例中,主资产202可以被标识为辅助资产212的最近邻居。如本文所使用的,术语“最近邻居”可以指网络内的相邻节点。例如,最近邻居可以直接连接,而没有任何中间节点设置在最近邻居之间。在一些情况下,最近邻居可以被定义为网络内的图形邻居。
根据各种实现方式,可以使用各种技术来标识网络中的最近邻居。例如,可以访问或以其他方式利用网络监视系统以便识别五元组关系,并且五元组关系可以用于导出最近邻居。在一些情况下,身份管理系统可以用于标识主机-用户关联,并且可以基于主机-用户关联来标识最近邻居。可以基于目录系统、CMDB等导出最近邻居。
在一些示例中,安全度量可以在彼此邻近的资产之间被传播。例如,主资产202可以被标识为邻近辅助资产212。在一些情况下,可以基于与主资产202相关联的网络数据来识别主资产202的位置,并且可以基于与辅助资产212相关联的网络数据来识别辅助资产212的位置。根据各种实现方式,如果主资产202的位置在辅助资产212的阈值距离(例如,30英尺、100英尺、一英里等)内,则主资产202的安全度量可以传播到辅助资产212的安全度量。在一些情况下,可以基于主资产202和辅助资产212各自的位置与地图的比较来确定它们是最接近的。例如,如果主资产202和辅助资产212位于同一地址、同一城市街区上、同一建筑物中、同一建筑物的同一楼层上、或其任何组合,则可以确定主资产202和辅助资产212彼此邻近。位于彼此邻近的资产可以被称为“近邻邻居”。
在一些情况下,基于辅助资产212的最近邻居和/或近邻邻居的主要安全度量来计算和/或调整辅助资产212的第二安全度量,在这些情况下,辅助资产212的最近邻居和/或近邻邻居是主资产202。修订的第二安全度量可以通过将第二安全度量与基于主资产202的第一安全度量的传播因子相加来计算。例如,资产的修订的安全度量可以使用以下等式2来计算:
Figure BDA0004147917800000231
其中Sr是资产的修订的安全度量,S是资产的(未修订的)安全度量,n是0或正整数并且表示资产的最近邻居和/或近邻邻居的数量,并且fprop(n)是由资产的第n个最近邻居和/或近邻邻居贡献的传播因子。例如,与一个最近邻居相关联的传播因子可以基于与最近邻居和/或近邻邻居相关联的安全度量的固定百分比(例如,1%、5%、10%、50%、90%等)。
根据各种实现方式,可以使用以下等式3来计算修订的安全度量:
Sr=max(S0,Sn) 等式3其中Sr是资产的修订的安全度量,So是没有传播的资产的第一安全度量,Sn是通过考虑其最近邻居和/或近邻邻居的第一安全度量的指数衰减和比例分布而计算的新安全度量。例如,资产的修订的安全度量可以基于资产的第一近邻邻居和第二近邻邻居的安全度量。第一近邻邻居和第二近邻邻居的安全度量的权重可以与资产与第一近邻邻居和第二近邻邻居之间的相应距离成反比。例如,如果第一近邻邻居比第二近邻邻居更靠近资产,则在资产的安全度量的计算中,第一近邻邻居的安全度量比第二近邻邻居的安全度量被更高地加权。
可以通过多种方式定义每个最近邻居和/或近邻邻居的安全度量。例如,可以根据与到最近邻居和/或近邻邻居的数据业务的时间变化相对应的时间因子来计算最近邻居和/或近邻邻居的安全度量。例如,与最近邻居的最近数据业务(例如,在过去的一天内)相关联的网络数据可能比与最近邻居的较旧数据业务(例如,大于一周)相关联的网络数据对资产的安全度量具有更大的影响。因此,可以根据与资产的最近邻居和/或近邻邻居相关联的数据业务趋势的任何时间变化来计算资产的安全度量。
例如,资产的安全度量可以使用以下等式4来计算:
Figure BDA0004147917800000241
其中S是资产的安全度量,m表示对应于与安全度量相关的网络流量的离散时间间隔的数量,t是自时间间隔开始的时间,w(t)是作为自时间间隔开始的时间的函数的权重,以及cinter(m)是在时间间隔m中网络数据对安全度量的贡献。在一些示例中,w(t)可以是指数衰减函数,使得随着t增大,w(t)减小。cinter(m)可以是例如在时间间隔m期间已经访问资产的主机的数量、在时间间隔m期间已经访问资产的用户的数量、在时间间隔m期间已经访问资产的主机的位置的数量等。因此,安全度量可以反映数据业务趋势随时间的时间变化。
在一些情况下,最近邻居和/或近邻邻居的安全度量可以基于传送到最近邻居和/或近邻邻居的字节、传送到最近邻居和/或近邻邻居的分组、到最近邻居和/或近邻邻居的流的一致性等来计算。根据一些示例,最近邻居和/或近邻邻居的安全度量可以是入口安全度量或出口安全度量,并且可以基于最近邻居和/或近邻邻居与资产之间的数据业务的方向来选择。在一些情况下,最近邻居和/或近邻邻居的安全度量可以基于与最近邻居和/或近邻邻居和远程主机交换的数据业务的特定协议。例如,可以基于TCP数据业务来计算最近邻居和/或近邻邻居的安全度量,而不考虑UDP业务,这是因为由于三路TCP握手而交换TCP数据业务的主机之间的关系的更强的性质。
返回参考图2,可以基于主资产202的第一安全度量来修改辅助资产212的第二安全度量。例如,修订的第二安全度量可以等于第二安全度量与基于第一安全度量的传播因子之和。结果,修订的第二安全度量可以大于第二安全度量,从而使得主资产202对网络环境200内的其他主机的更显著的暴露。
在本公开的各种实现方式中,安全度量遍及网络中的资产的传播可以解决资产的邻居的暴露中的差异,即使当该资产仅与其邻居直接交换数据业务时。因此,传播可以用于基于资产与主机和/或用户的相关性以及资产对主机和/或用户的暴露来更准确地对网络内的资产进行优先级排序。
图3示出了利用缩短的地址来计算资产的安全度量的示例表300。在一些情况下,表300可以表示资产的网络数据。资产可以包括或例如是第一资产102、第二资产104、第三资产106、第一端口108、(一个或多个)第二端口110中的任何一个或其任何组合。
表300包括四行,其包括对应于四个不同流的四个条目。这四个流涉及特定时间间隔期间的资产。例如,四个流可以表示资产的出口数据业务、资产的入口数据业务或其组合。
表300包括5列,其分别表示关于流的5种类型信息。资产地址302字段表示四个流中所涉及的资产的地址(例如,IP地址)。资产端口304字段表示四个流中所涉及的资产的端口。远程主机地址308字段表示四个流中所涉及的远程主机的地址(例如,IP地址)。二进制地址308字段表示远程主机地址的二进制形式。缩短的地址312字段表示远程主机地址的缩短二进制形式。
如图3所示,资产可以具有地址“9.9.9.9”。第一和第二流可以利用资产端口“443”,而第三和第四流可以利用资产端口“80”。四个单独的远程主机分别与四个流相关联。例如,第一流涉及地址为“1.1.1.1”的远程主机,第二流涉及地址为“1.1.1.2”的远程主机,第三流涉及地址为“2.2.2.1”的远程主机,并且第四流涉及地址为“2.2.2.2”的远程主机。在图3所示的表300中,每个地址由四个数字表示。在地址是IPv4地址的示例中,每个地址中的每个数字的范围从0到255。IPv4地址的地址空间包括4,294,967,296个可能的地址。
在一些示例中,可以基于表300中表示的所有四个流来计算资产的安全度量。例如,安全度量可以等于与资产交换数据业务的主机的唯一地址的总数除以总地址空间。因为表300列出了远程主机地址208字段中的四个唯一地址,所以基于远程主机地址的安全度量可以等于4,294,967,296分之4。端口443的安全度量可以等于4,294,967,296分之2。类似地,端口80的安全度量可以等于4,294,967,296分之2。
虽然这种形式的安全度量可以准确地表示资产对网络内的远程主机的暴露,但是可以用于计算安全度量的计算资源的量可能不必要地高。此外,当使用更复杂的地址(例如,具有大约3.403*1038的地址空间的IPv6地址)时,用于计算安全度量的计算资源的量可能过高。在具有有限计算资源的环境中,可能难以或者不可能为企业中的众多资产中的每一个执行这些计算和/或难以或者不可能实时地执行这些计算。
在本公开的各种实现方式中,可以使用远程主机地址的缩短形式来计算安全度量,从而显著地节省计算资源。在一些情况下,远程主机地址的缩短形式可以基于远程主机地址的二进制形式。二进制地址208字段列出了远程主机地址的二进制形式。如图所示,这些二进制地址各自包括32位,这可以称为“比特”。示例二进制地址中的第一比特子集,可以是地址中最左边的位,可以被定义为地址中的最高有效比特。示例二进制地址中的剩余比特子集,可以是地址中最右边的位,可以被定义为地址中的最低有效比特。
缩短的地址312字段列出了相应二进制地址中的最高有效比特。例如,缩短的地址312字段可以列出二进制地址310字段中的相应二进制地址的前24个位。在一些情况下,缩短的地址可以被称为“网络前缀”。在各种示例中,可以基于缩短的地址来估计或计算资产的安全度量。缩短的地址312字段列出了两个唯一的缩短的地址。图3的表300中的缩短的地址具有16,777,216的地址空间,其明显低于远程主机地址的地址空间。因此,在一些示例中,资产的安全度量可以等于16,777,216分之2。端口443的安全度量可以等于16,777,216分之1。类似地,端口80的安全度量可以等于16,777,216分之1。使用二进制地址的最高有效位计算的安全度量可以准确地表示资产和/或端口对远程主机的暴露,但是可以使用比利用整个远程主机地址计算的安全度量少得多的计算资源来计算。
图4示出了用于计算资产的安全度量的示例过程400。在各种实现方式中,过程400可以由包括以下项的实体来执行:资产(例如,以上参考图1描述的第一资产102、第二资产104或第三资产106)、主机(例如,以上参考图1描述的远程主机116中的任何一个或第一资产102)、应用(例如,以上参考图1描述的第二资产104或第三资产106)、导出器(例如,以上参考图1描述的导出器114)、收集器(例如,以上参考图1描述的收集器118)、分析引擎(例如,以上参考图1描述的分析引擎124)、身份管理器(例如,以上参考图1描述的身份管理器126)、应用管理器(例如,以上参考图1描述的应用管理器130)、用户设备(例如,以上参考图1描述的用户设备132)、安全管理器(例如,以上参考图1描述的安全管理器134)其任何组合。
在402,执行过程400的实体可以识别资产的网络数据。在各种示例中,资产可以是主机、应用、端口或其任何组合。网络数据可以标识与资产相关联的一个或多个数据流。例如,网络数据可以标识寻址到资产的至少一个入口数据流、由资产输出的至少一个出口数据流、或其组合。根据一些示例,网络数据指示每个数据流的源和/或目的地。资产可以是每个流的源或目的地。在一些情况下,网络数据指示每个流的源和目的地的地址(例如,IP地址)。在一些情况下,网络数据标识每个流的源端口(例如,源的端口号)和目的地端口(例如,目的地的端口号)。根据一些示例,网络数据指示在每个数据流中传送的数据量(例如,以字节为单位)。此外,在一些情况下,网络数据指示与资产相关联的各种数据流的时间。根据各种实现方式,可以使用NetFlow来生成、接收或以其他方式识别网络数据。
在404,实体可以基于网络数据来确定在时间段期间访问资产的主机、用户和/或主机的位置的数量。在一些情况下,该时间段大于或等于7天,这可以说明一周内数据业务趋势的临时变化。例如,资产在周末或假日期间可能暂时具有较低的数据业务。在一些情况下,该时间段大于或等于1天且小于或等于31天或一个月。对时间段长度的限制可以防止对与资产的即时关键度无关的过期数据业务的考虑。
在一些示例中,从资产接收数据和/或向资产发送数据的主机的数量可以从网络数据导出。例如,访问资产的主机的唯一地址的数量可以被识别并用于估计在该时间段期间访问资产的主机的数量。在一些情况下,地址可以被缩短,并且缩短的地址的数量可以用于估计在该时间段期间访问资产的主机的数量。例如,可以通过提取地址的最高有效位的子集来生成缩短的地址。在一些情况下,地址表示主机的二进制形式的IP地址,并且缩短的地址可以是二进制形式的IP地址的第一或最左边的位,其中缩短的地址比原始地址短。
在一些情况下,与从资产接收数据和/或向资产发送数据的主机相关联的用户的数量可以至少部分地基于网络数据来导出。例如,可以识别访问资产的主机的唯一地址。可以基于主机的地址来识别与每个主机相关联的用户的数量。例如,由交换网格生成的用户-主机映射可以用于基于主机的地址来识别用户的数量。
在一些示例中,404可以包括确定在该时间段期间已访问资产的主机的位置的数量。已经接收数据和/或发送数据的各个主机的位置可以基于主机的地址。例如,可以使用nvzFlow或一些类似的技术来生成主机位置映射。在一些情况下,基于访问资产的每个主机的纬度、经度和/或海拔来导出唯一位置的数量。在一些情况下,可以将位置与指示街道、建筑物等的地图进行比较,以确定位置中的任一者是否彼此充分接近。为了该分析的目的,彼此足够接近的位置(例如,在相同的城市街区、相同的公司校园内、在彼此的阈值距离内)可以被认为是相同的位置。
在406,实体可以基于主机、用户和/或主机的位置的数量来确定资产的安全度量。在一些情况下,安全度量可以与主机的数量、用户的数量和/或主机的位置的数量成比例。因此,安全度量可以对应于资产对网络内的主机和/或网络内的主机的用户的公共相关性。例如,相对高的安全度量可以指示资产对于主机和/或用户是相对重要的并且与主机和/或用户互连,因此可以在由安全分析师或企业管理的一组资产之间进行优先级排序。
在一些情况下,安全度量被归一化。安全度量可以基于主机和/或用户的数量除以网络中可能的主机和/或用户的空间。例如,安全度量可以基于与在时间段期间已经与资产交换了数据业务的主机相关联的缩短的地址的数量除以缩短的地址的地址空间中的可能地址的总数。在一些情况下,安全度量是0和1之间的数。因此,资产的安全度量可以有效地与网络内其他资产的其他安全度量相比较。
根据一些示例,进一步基于其他因素来确定安全度量。例如,可以进一步基于网络内的资产的一个或多个最近邻居和/或近邻邻居的一个或多个安全度量来确定安全度量。因此,最近邻居和/或近邻邻居的安全度量被传播到资产的安全度量上。在某些情况下,安全度量还基于在资产和主机之间传输的数据量。例如,安全度量可以与在该时间段期间在资产和主机之间传输的数据量成比例,这可以反映在网络数据中。
在一些示例中,时间段可以被分解成多个子时间段。可以识别每个离散子时间段中主机、用户和/或主机的位置的数量。在各个子时间段中主机、用户和/或主机的位置的数量可以相对于安全度量被不同地加权。例如,在表示一周前发生的一天的第一子时间段中访问资产的主机、用户和/或主机的位置的数量可以最小地影响资产的安全度量,而在表示过去一天的第二子时间段中访问资产的主机、用户和/或主机的位置的数量可以显著地影响资产的安全度量。与每个相应子时间段的主机、用户和/或主机的位置的数量相关联的权重可以相对于自子时间段发生以来所经过的时间具有指数衰减关系。
在408,实体可以输出安全度量。在某些情况下,实体可以使用户设备向诸如安全分析师之类的用户输出安全度量。因此,用户可以使用安全度量来确定如何对网络内的多个资产中的资产的安全管理进行优先级排序。
在一些示例中,实体可以将安全度量输出到安全管理器,该安全管理器可以基于安全度量来自动地调整资产的安全策略。例如,当安全度量大于第一阈值时,实体和/或安全管理器可以使保护资产的防火墙输出警报,该警报指示被防火墙阻挡的一个或多个数据分组。警报可以被发送到安全分析师的用户设备和/或由安全分析师的用户设备输出。在一些情况下,如果安全度量低于第二阈值,则实体和/或安全管理器可以使防火墙避免输出警报。
在一些情况下,实体和/或安全管理器可以基于安全度量来改变资产的认证间隔。认证间隔可以是例如资产在要求用户重新认证之前信任用户的认证的间隔。在允许用户的设备访问资产之前,资产和/或与资产相关联的认证服务可能需要用户的MFA。根据一些示例,如果安全度量高于第一阈值,则实体和/或安全管理器可以减小资产的认证间隔。另一方面,如果安全度量低于第二阈值,则实体和/或安全管理器可以增加资产的认证间隔。
在一些示例中,安全度量可以与另一度量组合,并且组合后的度量可以在408处输出。在一些示例中,安全度量可以与其他度量组合,以便评估资产的安全风险。例如,资产的漏洞利用概率可以通过以下方式来计算:将表示资产的关键度的(例如,基于主机的总数、位置的总数或访问资产的用户的总数而生成的)安全度量与指示资产的利用风险的分数(例如,资产的CVSS分数)组合(例如,相乘)。可以基于资产的漏洞风险、资产的合规风险、资产的恶意软件风险、资产的拒绝服务(DOS)风险或其任何组合来计算利用风险。此外,资产的漏洞风险可以通过以下方式来计算:将表示资产的暴露的(例如,基于主机的缩短的地址或访问资产的主机的位置而生成的)安全度量与漏洞利用概率组合(例如,相乘)。在各种情况下,漏洞利用概率和/或利用风险可以由用户设备输出和/或用于调整资产的安全策略。在一些情况下,在408处输出的安全度量可以包括漏洞利用概率。
如图4所示,过程400可以在408处输出安全度量之后返回到402。也就是说,当网络数据随时间改变时,可以周期性地和/或连续地执行过程400。在一些情况下,可以以每秒一次、每分钟一次、每小时一次、每天一次或一些其他频率的频率重复过程400。根据一些示例,可以响应于资产接收或发送附加数据业务而重复过程400。因此,安全度量可以对于资产的网络条件基本上是最新的。
尽管针对单个资产描述了过程400,但是在一些情况下,多个资产可以由实体使用过程400来监视。例如,至少10个资产、至少100个资产、至少1,000个资产、至少10,000个资产、或一些其他数量的资产可以使用过程400被同时监视。因为过程400可以利用相对少量的计算资源,所以众多资产的安全度量可以由实体根据实时网络条件来有效地计算和调整。
图5示出了能够执行程序组件以实现上述功能的服务器计算机500的示例计算机架构。图5所示的计算机架构示出了常规的服务器计算机、工作站、台式计算机、膝上型计算机、平板计算机、网络设备、电子阅读器、智能电话或其他计算设备,并且可以用于执行本文所呈现的任何软件组件。在一些示例中,服务器计算机500可以对应于本文描述的任何网络节点。
计算机500包括基板502或“母板”,其为印刷电路板,多个组件或设备可以通过系统总线或其他电通信路径连接到所述印刷电路板。在一种说明性配置中,一个或多个中央处理单元(“CPU”)504与芯片组506协同工作。CPU 504可以是执行计算机500的操作所需的算术和逻辑操作的标准可编程处理器。
CPU 504通过对开关元件的操纵而从一个离散的物理状态转换到下一个物理状态来执行操作,其中该开关元件在这些状态之间进行区分并改变这些状态。开关元件通常包括维持两个二进制状态之一的电子电路,例如触发器,以及基于一个或多个其他开关元件(例如,逻辑门)的状态的逻辑组合提供输出状态的电子电路。这些基本开关元件可以被组合以创建更复杂的逻辑电路,包括寄存器、加法器-减法器、算术逻辑单元、浮点单元等。
芯片组506提供CPU 504与基板502上的剩余组件和设备之间的接口。芯片组506可以提供到用作计算机500中的主存储器的随机存取存储器(RAM)508的接口。芯片组506还可以提供到诸如只读存储器(ROM)510或非易失性RAM(NVRAM)之类的计算机可读存储介质的接口,ROM 510或NVRAM用于存储有助于启动计算机500并在各种组件和设备之间传送信息的基本例程。根据本文描述的配置,ROM 510或NVRAM还可以存储计算机500的操作所需的其他软件组件。
计算机500可以使用通过网络(例如,网络511)到远程计算设备和计算机系统的逻辑连接而在联网环境中操作。芯片组506可以包括用于通过网络接口控制器(NIC)512(例如,千兆以太网适配器)提供网络连接的功能。NIC 512能够通过网络511将计算机500连接到其他计算设备。应当理解,多个NIC 512可以存在于计算机500中,将计算机500连接到其他类型的网络和远程计算机系统。在一些情况下,NIC 512可以包括至少一个入口端口和/或至少一个出口端口。
计算机500可以连接到为计算机提供非易失性存储的存储设备518。存储设备518可以存储操作系统520、程序522和数据,本文已经对其进行了更详细的描述。存储设备518可以通过连接到芯片组506的存储控制器514连接到计算机500。存储设备518可以由一个或多个物理存储单元组成。存储控制器514可以通过以下接口与物理存储单元相接口:串行连接的小型计算机系统接口(SCSI)(SAS)接口、串行高级技术附件(SATA)接口、光纤信道(FC)接口或用于在计算机和物理存储单元之间进行物理连接和传送数据的其他类型的接口。
计算机500可以通过转换物理存储单元的物理状态以反映所存储的信息来将数据存储在存储设备518上。在本说明书的不同实施例中,物理状态的特定转换可以取决于各种因素。这些因素的示例可以包括但不限于用于实现物理存储单元的技术、存储设备518被表征为主要存储装置还是次要存储装置等。
例如,计算机500可以通过以下方式将信息存储到存储设备518:经由存储控制器514发出指令以改变磁盘驱动单元内的特定位置的磁特性,光学存储单元中的特定位置的反射或折射特性,或固态存储单元中的特定电容器、晶体管或其他分立组件的电特性。在不脱离本说明书的范围和精神的情况下,物理介质的其他变换也是可能的,提供前述示例仅是为了便于说明。计算机500还可以通过检测物理存储单元内的一个或多个特定位置的物理状态或特性来从存储设备518读取信息。
除了上述大容量存储设备518之外,计算机500可以访问其他计算机可读存储介质以存储和检索信息,例如程序模块、数据结构或其他数据。本领域技术人员应当理解,计算机可读存储介质是提供数据的非暂态存储并且可以由计算机500访问的任何可用介质。在一些示例中,由本文描述的任何网络节点执行的操作可以由类似于计算机500的一个或多个设备支持。换句话说,由网络节点执行的一些或全部操作可以由在基于云的布置中操作的一个或多个计算机设备500来执行。
作为示例而非限制,计算机可读存储介质可以包括以任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机可读存储介质包括但不限于RAM、ROM、可擦除可编程ROM(“EPROM”)、电可擦除可编程ROM(“EEPROM”)、闪存或其他固态存储器技术、压缩盘ROM(“CD-ROM”)、数字多功能盘(“DVD”)、高清晰度DVD(“HD-DVD”)、BLU-RAY、或其他光存储装置、磁带盒、磁带、磁盘存储装置或其他磁存储设备,或可以用于以非暂态方式存储所需信息的任何其他介质。
如上简述,存储设备518可以存储用于控制计算机500的操作的操作系统520。根据一个实施例,操作系统520包括LINUXTM操作系统。根据另一实施例,操作系统包括来自华盛顿州雷蒙德市的MICROSOFT公司的WINDOWSTM服务器操作系统。根据另外的实施例,操作系统可以包括UNIXTM操作系统或其变体之一。应当理解,也可以使用其他操作系统。存储设备518可以存储由计算机500使用的其他系统或应用程序和数据。
在一个实施例中,存储设备518或其他计算机可读存储介质被编码有计算机可执行指令,这些指令在被加载到计算机500中时,将计算机从通用计算系统转换为能够实现本文所述实施例的专用计算机。如上所述,这些计算机可执行指令通过指定CPU 504如何在状态之间转换来转换计算机500。根据一个实施例,计算机500可以访问存储计算机可执行指令的计算机可读存储介质,这些指令在由计算机500执行时执行以上关于图1至图4描述的各种过程。计算机500还可以包括其上存储有指令的计算机可读存储介质,这些指令用于执行本文所述的任何其他计算机实现的操作。
如图5所示,存储设备518存储程序522(其可以包括一个或多个进程)以及以下项中的任一项:第二资产104、第三资产106、导出器114、收集器118、分析引擎124、身份管理器126、应用管理器130、安全管理器134和网络数据存储装置122。在一些情况下,可以从计算机500中省略第二资产104、第三资产106、导出器114、收集器118、分析引擎124、身份管理器126、应用管理器130、安全管理器134和网络数据存储装置122中的任何一个。(一个或多个)进程可以包括指令,这些指令在由(一个或多个)CPU 504执行时,使得计算机500和/或(一个或多个)CPU 504执行一个或多个操作。
计算机500还可以包括一个或多个输入/输出控制器524,用于接收和处理来自多个输入设备的输入,例如键盘、鼠标、触摸板、触摸屏、电子指示笔或其他类型的输入设备。类似地,输入/输出控制器524可以将输出提供给显示器,例如计算机监视器、平板显示器、数字投影仪、打印机或其他类型的输出设备。应当理解,计算机500可以不包括图5所示的所有组件,可以包括图5中未明确示出的其他组件,或者可以利用与图5所示完全不同的架构。
综上,本公开描述了用于识别网络中的资产的关键度的技术。在一种示例方法中,识别网络中的第一资产的第一安全度量,以及识别这样的网络数据:该网络数据标识与网络中的第二资产相关联的数据流。第二资产是网络中的第一资产的最近邻居。该方法包括基于网络数据来确定网络中的在时间段期间与第二资产交换了数据业务的主机的数量,以及基于第一安全度量和主机的数量来生成第二资产的第二安全度量。基于安全度量来调整第二资产的安全策略。
在一些情况下,一个或多个组件在本文中可以称为“被配置为”、“可被配置为”、“可操作/能够操作以”、“被适配/可被适配为”、“能够”、“符合/顺应于”等。本领域的技术人员将认识到,除非上下文另外要求,否则此类术语(例如,“被配置为”)可以大体上涵盖活动状态组件和/或非活动状态组件和/或待机状态组件。
如本文所用,术语“基于”可以与“至少部分地基于”和“至少部分基于”同义使用。如本文所用,术语“包括”和“包含”及其等同物可以互换地使用。“包括A、B和C”的装置、系统或方法包括A、B和C,但是也可以包括其他组件(例如,D)。即,装置、系统或方法不限于组件A、B和C。
虽然本发明是相对于特定示例来描述的,但是应当理解,本发明的范围不限于这些特定示例。由于对于本领域技术人员来说,为适应特定的操作要求和环境而改变的其他修改和变化将是显而易见的,因此本发明不被认为限于出于公开的目的而选择的示例,而是覆盖不构成背离本发明的真实精神和范围的所有变化和修改。
尽管本申请描述了具有特定结构特征和/或方法动作的实施例,但是应当理解,权利要求不一定限于所描述的特定特征或动作。相反,特定特征和动作仅仅是落入本申请的权利要求的范围内的说明性的一些实施例。

Claims (27)

1.一种方法,包括:
识别网络中的第一资产的第一安全度量;
识别网络数据,所述网络数据标识与所述网络中的第二资产相关联的数据流,所述第二资产是所述网络中的所述第一资产的最近邻居;
基于所述网络数据来确定所述网络中在时间段期间与所述第二资产交换了数据业务的主机的数量;
基于所述第一安全度量和所述主机的数量来生成所述第二资产的第二安全度量;以及
基于所述第二安全度量来调整所述第二资产的安全策略。
2.如权利要求1所述的方法,其中,所述第二安全度量与所述第二资产的漏洞无关。
3.如权利要求1或2所述的方法,其中,所述第二资产包括应用、端口或主机中的至少一者。
4.如权利要求1至3中任一项所述的方法,其中,所述第二安全度量指示出以下项中的至少一项:所述第二资产的关键度、所述第二资产的暴露、所述资产的漏洞利用概率、或所述资产的应用漏洞风险。
5.如权利要求1至4中任一项所述的方法,还包括:
识别与在所述时间段期间与所述第二资产交换了数据业务的所述主机相关联的用户的数量,
其中,生成所述第二安全度量是基于所述用户的数量的。
6.如权利要求1至5中任一项所述的方法,其中,确定所述主机的数量包括:
基于所述网络数据来识别所述主机的地址;
通过提取所述地址的最高有效位的子集来生成缩短的地址,所述缩短的地址比所述地址短;以及
基于所述缩短的地址的数量来确定所述主机的数量。
7.如权利要求1至6中任一项所述的方法,其中,调整所述安全策略包括:
确定所述第二安全度量高于阈值;以及
基于确定所述第二安全度量高于所述阈值,减小所述资产的多因素认证(MFA)间隔。
8.如权利要求1至7中任一项所述的方法,其中,调整所述安全策略包括:
确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡;
确定所述第二安全度量高于阈值;以及
基于确定所述第二安全度量高于所述阈值来输出警报,所述警报报告被所述防火墙阻挡的所述一个或多个分组。
9.一种系统,包括:
至少一个处理器;以及
一个或多个非暂态介质,所述一个或多个非暂态介质存储有指令,所述指令在由所述系统执行时,使得所述系统执行操作,所述操作包括:
识别网络中的第一资产的第一安全度量;
识别网络数据,所述网络数据标识与所述网络中的第二资产相关联的数据流,所述第二资产位于所述第一资产的阈值距离内;
基于所述网络数据来确定所述网络中在时间段期间与所述第二资产交换了数据业务的主机的数量;
基于所述第一安全度量和所述主机的数量来生成所述第二资产的第二安全度量;以及
基于所述安全度量来调整所述第二资产的安全策略。
10.如权利要求9所述的系统,其中,所述第二安全度量与所述第二资产的漏洞无关。
11.如权利要求9或10所述的系统,其中,所述第二资产包括应用、端口或主机中的至少一者。
12.如权利要求9至11中任一项所述的系统,其中,所述时间段的长度大于或等于1天且小于或等于31天。
13.如权利要求9至12中任一项所述的系统,其中,所述操作还包括:
识别与在所述时间段期间与所述第二资产交换了数据业务的所述主机相关联的用户的数量,
其中,生成所述第二安全度量是基于所述用户的数量的。
14.如权利要求9至13中任一项所述的系统,其中,确定所述主机的数量包括:
基于所述网络数据来识别所述主机的地址;
通过提取所述地址的最高有效位的子集来生成缩短的地址,所述缩短的地址比所述地址短;以及
基于所述缩短的地址的数量来确定所述主机的数量。
15.如权利要求9至14中任一项所述的系统,其中,调整所述安全策略包括:
确定所述安全度量高于阈值;以及
基于确定所述安全度量高于所述阈值,减小所述资产的多因素认证(MFA)间隔。
16.如权利要求9至15中任一项所述的系统,其中,调整所述安全策略包括:
确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡;
确定所述第二安全度量高于阈值;以及
基于确定所述第二安全度量高于所述阈值来输出警报,所述警报报告被所述防火墙阻挡的所述一个或多个分组。
17.一种装置,包括:
用于识别网络中的第一资产的第一安全度量的设备;
用于识别网络数据的设备,所述网络数据标识与所述网络中的第二资产相关联的数据流,所述第二资产是所述网络中的所述第一资产的最近邻居;
用于基于所述网络数据来确定所述网络中在时间段期间与所述第二资产交换了数据业务的主机的数量的设备;
用于基于所述第一安全度量和所述主机的数量来生成所述第二资产的第二安全度量的设备;以及
用于基于所述第二安全度量来调整所述第二资产的安全策略的设备。
18.如权利要求17所述的装置,还包括用于实现如权利要求2至8中任一项所述的方法的设备。
19.一种系统,包括:
至少一个处理器;以及
一个或多个非暂态介质,所述一个或多个非暂态介质存储有指令,所述指令在由所述系统执行时,使得所述系统执行操作,所述操作包括:
识别网络中的第一资产的第一安全度量;
识别网络数据,所述网络数据标识与所述网络中的第二资产相关联的数据流,所述第二资产是所述网络中的所述第一资产的最近邻居;
基于所述网络数据来确定所述网络中在时间段期间从所述第二资产接收了数据业务的主机的数量,所述时间段大于或等于1天且小于或等于31天;
基于所述网络数据来确定所述数据业务的量;
基于所述第一安全度量、所述主机的数量以及所述数据业务的量来生成所述第二资产的第二安全度量;以及
确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡;
确定所述第二安全度量高于阈值;以及
基于确定所述第二安全度量高于所述阈值来输出警报,所述警报报告被所述防火墙阻挡的所述一个或多个分组。
20.如权利要求19所述的系统,其中,所述操作还包括:
识别与在所述时间段期间与所述第二资产交换了数据业务的所述主机相关联的用户的数量,
其中,生成所述第二安全度量是基于所述用户的数量的。
21.如权利要求19或20所述的系统,其中,确定所述主机的数量包括:
基于所述网络数据来识别所述主机的地址;
通过提取所述地址的最高有效位的子集来生成缩短的地址,所述缩短的地址比所述地址短;以及
基于所述缩短的地址的数量来确定所述主机的数量。
22.如权利要求19至21中任一项所述的系统,其中,所述操作还包括:
使得用户设备输出所述第一安全度量或所述第二安全度量中的至少一者。
23.一种装置,包括:
用于识别网络中的第一资产的第一安全度量的设备;
用于识别网络数据的设备,所述网络数据标识与所述网络中的第二资产相关联的数据流,所述第二资产是所述网络中的所述第一资产的最近邻居;
用于基于所述网络数据来确定所述网络中在时间段期间从所述第二资产接收了数据业务的主机的数量的设备,所述时间段大于或等于1天且小于或等于31天;
用于基于所述网络数据来确定所述数据业务的量的设备;
用于基于所述第一安全度量、所述主机的数量以及所述数据业务的量来生成所述第二资产的第二安全度量的设备;以及
用于确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡的设备;
用于确定所述第二安全度量高于阈值的设备;以及
用于基于确定所述第二安全度量高于所述阈值来输出警报的设备,所述警报报告被所述防火墙阻挡的所述一个或多个分组。
24.如权利要求23所述的装置,还包括用于实现如权利要求20至22中任一项所述的系统的设备。
25.一种方法,包括:
识别网络中的第一资产的第一安全度量;
识别网络数据,所述网络数据标识与所述网络中的第二资产相关联的数据流,所述第二资产是所述网络中的所述第一资产的最近邻居;
基于所述网络数据来确定所述网络中在时间段期间从所述第二资产接收了数据业务的主机的数量,所述时间段大于或等于1天且小于或等于31天;
基于所述网络数据来确定所述数据业务的量;
基于所述第一安全度量、所述主机的数量以及所述数据业务的量来生成所述第二资产的第二安全度量;以及
确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡;
确定所述第二安全度量高于阈值;以及
基于确定所述第二安全度量高于所述阈值来输出警报,所述警报报告被所述防火墙阻挡的所述一个或多个分组。
26.如权利要求25所述的方法,还包括由权利要求20至22中任一项所述的系统实现的步骤。
27.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令在由计算机执行时,使得所述计算机执行如权利要求1至8、25或26中任一项所述的方法的步骤。
CN202180066239.7A 2020-07-30 2021-07-28 使用安全度量对资产进行优先级排序 Pending CN116235172A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
IN202041032709 2020-07-30
IN202041032709 2020-07-30
US17/026,093 US11503048B2 (en) 2020-07-30 2020-09-18 Prioritizing assets using security metrics
US17/026,093 2020-09-18
PCT/US2021/043585 WO2022026634A1 (en) 2020-07-30 2021-07-28 Prioritizing assets using security metrics

Publications (1)

Publication Number Publication Date
CN116235172A true CN116235172A (zh) 2023-06-06

Family

ID=80003638

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180066239.7A Pending CN116235172A (zh) 2020-07-30 2021-07-28 使用安全度量对资产进行优先级排序

Country Status (4)

Country Link
US (2) US11503048B2 (zh)
EP (1) EP4189568A1 (zh)
CN (1) CN116235172A (zh)
WO (1) WO2022026634A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021044408A2 (en) * 2019-09-05 2021-03-11 Cytwist Ltd. An organizational asset discovery and ranking system and method
EP4380107A1 (en) * 2022-11-30 2024-06-05 Juniper Networks, Inc. Self-learning egress traffic controller
CN116708038B (zh) * 2023-08-07 2023-10-13 恒安嘉新(北京)科技股份公司 基于资产测绘的工业互联网企业网络安全威胁识别方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8245296B2 (en) * 2008-05-23 2012-08-14 Verizon Patent And Licensing Inc. Malware detection device
US8578452B2 (en) * 2011-04-27 2013-11-05 Gemalto Sa Method for securely creating a new user identity within an existing cloud account in a cloud computing system
US8997234B2 (en) 2011-07-27 2015-03-31 Mcafee, Inc. System and method for network-based asset operational dependence scoring
US9954883B2 (en) 2012-12-18 2018-04-24 Mcafee, Inc. Automated asset criticality assessment
WO2014117242A1 (en) * 2013-01-29 2014-08-07 Blackberry Limited System and method of enhancing security of a wireless device through usage pattern detection
US9313212B2 (en) * 2013-03-19 2016-04-12 International Business Machines Corporation Dynamic adjustment of authentication mechanism
US9697385B2 (en) * 2014-06-20 2017-07-04 Google Inc. Security adjustments in mobile devices
US10193915B2 (en) * 2016-09-30 2019-01-29 Oath Inc. Computerized system and method for automatically determining malicious IP clusters using network activity data
US10862917B2 (en) 2017-04-21 2020-12-08 Cisco Technology, Inc. Network resource implementation prioritization
US11082837B2 (en) * 2018-01-05 2021-08-03 At&T Intellectual Property I, L.P. Drop-in probe that facilitates management and configuration of internet of things network connected devices
US11522899B2 (en) 2018-01-30 2022-12-06 Asimily, INC. System and method for vulnerability management for connected devices
US10771493B2 (en) 2018-09-18 2020-09-08 International Business Machines Corporation Cognitive security exposure analysis and resolution based on security trends
US11677773B2 (en) 2018-11-19 2023-06-13 Bmc Software, Inc. Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring
US11277429B2 (en) 2018-11-20 2022-03-15 Saudi Arabian Oil Company Cybersecurity vulnerability classification and remediation based on network utilization
US10938847B2 (en) * 2018-12-21 2021-03-02 EMC IP Holding Company LLC Automated determination of relative asset importance in an enterprise system
US20210279565A1 (en) * 2020-03-04 2021-09-09 WootCloud Inc. Systems And Methods For Device Fingerprinting

Also Published As

Publication number Publication date
US20220038471A1 (en) 2022-02-03
EP4189568A1 (en) 2023-06-07
US11503048B2 (en) 2022-11-15
WO2022026634A1 (en) 2022-02-03
US20230072859A1 (en) 2023-03-09

Similar Documents

Publication Publication Date Title
US11647039B2 (en) User and entity behavioral analysis with network topology enhancement
US11716344B2 (en) Elastic asset-based licensing model for use in a vulnerability management system
US11882144B2 (en) Rule-based assignment of criticality scores to assets and generation of a criticality rules table
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US20230072859A1 (en) Prioritizing assets using security metrics
US9338187B1 (en) Modeling user working time using authentication events within an enterprise network
US10320833B2 (en) System and method for detecting creation of malicious new user accounts by an attacker
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
EP3369232A1 (en) Detection of cyber threats against cloud-based applications
US9246774B2 (en) Sample based determination of network policy violations
US20230412620A1 (en) System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation
US20170331826A1 (en) Hybrid database access control in external-to-database security systems
US20180343317A1 (en) Discovery Of Network Device Roles Based On Application Level Protocol Parsing In Organizational Environments
US10291644B1 (en) System and method for prioritizing endpoints and detecting potential routes to high value assets
Ono et al. A proposal of port scan detection method based on Packet‐In Messages in OpenFlow networks and its evaluation
US11611580B1 (en) Malware infection detection service for IoT devices
US11811587B1 (en) Generating incident response action flows using anonymized action implementation data
US20240356958A1 (en) Tracking computer devices in extended detection and response systems
US20240031411A1 (en) Threat analytics and dynamic compliance in security policies
US20240106855A1 (en) Security telemetry from non-enterprise providers to shutdown compromised software defined wide area network sites
WO2024226432A1 (en) Device identifier correlation between security events within monitored data in extended detection and response systems
WO2024226434A1 (en) Asynchronous processing of monitored security events data in extended detection and response systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination