CN116405322A - 评估网络风险处置优先级的方法、装置、设备及介质 - Google Patents
评估网络风险处置优先级的方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116405322A CN116405322A CN202310652610.9A CN202310652610A CN116405322A CN 116405322 A CN116405322 A CN 116405322A CN 202310652610 A CN202310652610 A CN 202310652610A CN 116405322 A CN116405322 A CN 116405322A
- Authority
- CN
- China
- Prior art keywords
- risk
- value
- importance
- asset
- network system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000006870 function Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 9
- 230000001186 cumulative effect Effects 0.000 claims description 9
- 238000012502 risk assessment Methods 0.000 claims description 5
- 230000009897 systematic effect Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 description 27
- 230000008569 process Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000008439 repair process Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000013139 quantization Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012886 linear function Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种评估网络风险处置优先级的方法、装置、设备及介质,涉及网络安全技术领域,其中,该方法包括:获取目标网络系统的风险问题;确定每个风险问题的严重性,并根据每个风险问题的严重性确定每个风险问题对应紧急程度的处置层级;确定每个风险问题所处网络环境的类型;确定每个风险问题所属资产的重要性以及所关联资产对目标网络系统的重要性;根据每个风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对目标网络系统的重要性,计算每个风险问题的风险值,根据各个风险问题的风险值计算目标网络系统的风险分值。该方案可以准确地评判目标系统中每个风险问题的风险值。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种评估网络风险处置优先级的方法、装置、设备及介质。
背景技术
目前,市面上大多数漏洞处置方案是通过CVSS(评估漏洞评分系统)评判漏洞严重性,将漏洞定性为高危、中危、低危漏洞。公开的 CVSS 分数通常只考虑了基本维度指标,包括漏洞可利用性、机密性影响、完整性影响和可用性影响;仅关注漏洞自身的严重性,不能准确的评判漏洞对系统构成的真实风险。
现有技术还提出了一种漏洞风险优先级处置方法,所述方法包括通过攻击模拟,获取待评估网络中的可用漏洞以及可用漏洞的攻击路径深度以及安全防护措施有效性;获取所述可用漏洞的漏洞危险等级、漏洞所在资产的重要性、漏洞利用热度;根据所述可用漏洞的危险等级、所在资产的重要性、利用热度、攻击路径深度以及安全防护措施有效性计算漏洞风险。以此方式,可以对真实存在的可利用漏洞进行识别,缩小安全管理员关注漏洞范围,明确该优先处置什么漏洞,精准判断该如何处置漏洞。该方法还利用了漏洞风险(漏洞修复优先级)计算公式给出漏洞的优先处置修复建议。以下为漏洞风险(漏洞修复优先级)计算公式:
CVSS分数(超危险、高危、中危、低危、无风险5个级别,取值分别为9 -10.0/7.0-8.9/4.0-6.9/0-3.9/0);
资产重要性(核心/重要/一般/较低/极低5个级别,取值分别为 1.0/0.8/0.6/0.4/0.2);
漏洞利用热度(很高/高/中/低/无5个级别,取值分别为1 .0/0 .75/0 .5/0 .25/0);
攻击路径深度(1跳/2跳/3跳/4跳或以上,取值分别为 1 .0/0 .95/0 .9/0 .85);
安全设备的防护有效性(很高/高/中/低/无,取值分别为1.0/0.75/0.5/0 .25/0)。
该方法以CVSS为基础分值,在其之上考虑了其他风险因子,对其进行问题风险大小的调整和修复优先级的建议。该方法存在一些不合理的地方,比如某些中危漏洞可能是利用热度很高的漏洞;通过计算,它的风险值会有几率低于高危非利用热度很高的漏洞,而在真实的网络环境中,利用热度很高的漏洞应该是最优先被考虑也是应该被最优先处置的,即该方法计算的风险值不能准确体现漏洞修复优先级能力。
因此,目前急需一种准确评估漏洞处置优先级的方案。
发明内容
有鉴于此,本发明实施例提供了一种评估网络风险处置优先级的方法,以解决现有技术中无法准确评估漏洞修复优先级的技术问题。该方法包括:
获取目标网络系统的风险问题;
确定每个所述风险问题的严重性,并根据每个所述风险问题的严重性确定每个所述风险问题对应紧急程度的处置层级;
确定每个所述风险问题所处网络环境的类型;
确定每个所述风险问题所属资产的重要性以及所关联资产对所述目标网络系统的重要性;
根据每个所述风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对所述目标网络系统的重要性,计算每个所述风险问题的风险值,并根据各个所述风险问题的风险值计算所述目标网络系统的风险分值,其中,每个所述风险问题的处置优先级与每个所述风险问题的风险值的大小成正比。
本发明实施例还提供了一种评估网络风险处置优先级的装置,以解决现有技术中无法准确评估漏洞修复优先级的技术问题。该装置包括:
问题获取模块,用于获取目标网络系统的风险问题;
层级确定模块,用于确定每个所述风险问题的严重性,并根据每个所述风险问题的严重性确定每个所述风险问题对应紧急程度的处置层级;
类型确定模块,用于确定每个所述风险问题所处网络环境的类型;
重要性确定模块,用于确定每个所述风险问题所属资产的重要性以及所关联资产对所述目标网络系统的重要性;
风险评估模块,用于根据每个所述风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对所述目标网络系统的重要性,计算每个所述风险问题的风险值,并根据各个所述风险问题的风险值计算所述目标网络系统的风险分值,其中,每个所述风险问题的处置优先级与每个所述风险问题的风险值的大小成正比。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的评估网络风险处置优先级的方法,以解决现有技术中无法准确评估漏洞修复优先级的技术问题。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的评估网络风险处置优先级的方法的计算机程序,以解决现有技术中无法准确评估漏洞修复优先级的技术问题。
与现有技术相比,本说明书实施例采用的上述至少一个技术方案能够达到的有益效果至少包括:提出了基于每个风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对目标网络系统的重要性,计算每个风险问题的风险值,并根据各个风险问题的风险值计算目标网络系统的风险分值,实现了对风险问题严重性和问题处置层级进行了区分,并对风险问题关联的网络环境和资产进行了细粒度的分类,这些风险要素的考虑、衡量,使得评判目标系统中每个风险问题的风险值更加准确。风险值越高,处置优先级顺序越优先。当计算单一风险问题的风险值时,基于风险问题的风险值可以比较不同风险问题的风险大小,也可以比较同一风险问题在不同环境和不同资产上的风险大小。当计算目标系统的整体风险值时,基于目标系统的整体风险值可以比较不同目标网络系统之间的风险大小。从计算单一风险问题的风险值到目标网络系统的整体风险分值,为直观辨别各个风险问题间的风险大小及处置顺序、了解目标网络系统整体风险状况,提供了准确、可靠的数据依据,从而有利于快速定位和解决系统的风险问题。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的一种评估网络风险处置优先级的方法的流程图;
图2是本发明实施例提供的一种计算每个风险问题的风险值的原理示意图;
图3是本发明实施例提供的一种计算目标网络系统的风险分值的原理示意图;
图4是本发明实施例提供的一种计算机设备的结构框图;
图5是本发明实施例提供的一种评估网络风险处置优先级的装置的结构框图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。本申请还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本发明实施例中,提供了一种评估网络风险处置优先级的方法,如图1所示,该方法包括:
步骤S101:获取目标网络系统的风险问题;
步骤S102:确定每个所述风险问题的严重性,并根据每个所述风险问题的严重性确定每个所述风险问题对应紧急程度的处置层级;
步骤S103:确定每个所述风险问题所处网络环境的类型;
步骤S104:确定每个所述风险问题所属资产的重要性以及所关联资产对所述目标网络系统的重要性;
步骤S105:根据每个所述风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对所述目标网络系统的重要性,计算每个所述风险问题的风险值,并根据各个所述风险问题的风险值计算所述目标网络系统的风险分值,其中,每个所述风险问题的处置优先级与每个所述风险问题的风险值的大小成正比。
由图1所示的流程可知,在本发明实施例中,提出了基于每个风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对目标网络系统的重要性,计算每个风险问题的风险值,并根据各个风险问题的风险值计算目标网络系统的风险分值,实现了对风险问题严重性和问题处置层级进行了区分,并对风险问题关联的网络环境和资产进行了细粒度的分类,这些风险要素的考虑、衡量,使得评判目标系统中每个风险问题的风险值更加准确。风险值越高,处置优先级顺序越优先。当计算单一风险问题的风险值时,基于风险问题的风险值可以比较不同风险问题的风险大小,也可以比较同一风险问题在不同环境和不同资产上的风险大小。当计算目标系统的整体风险值时,基于目标系统的整体风险值可以比较不同目标网络系统之间的风险大小。从计算单一风险问题的风险值到目标网络系统的整体风险分值,为直观辨别各个风险问题间的风险大小及处置顺序、了解目标网络系统整体风险状况,提供了准确、可靠的数据依据,从而有利于快速定位和解决系统的风险问题。
在一个实施例中,上述评估网络风险处置优先级的方法通过对目标网络系统脆弱性、网络环境、所属资产及关联资产进行分析,对发现的风险问题进行严重程度的评分及处置优先级建议。例如,可以对风险问题的严重性(例如,该严重性包括高危、低危等)和问题对应的处置层级(例如,不同紧急程度对应的处置层级包括重要、紧急、一般等层级)进行区分,对风险问题关联的网络环境的类型(例如,类型包括内部网络、外部网络等)、所属资产的重要性(即风险问题所属资产本身的重要性,例如,风险问题所属的主域名 或 子域名或 IP 等这类资产,其重要性可以包括核心、重要、一般等)和所关联资产的重要性(例如,风险问题所关联的数据库、文件共享协议与服务、远程接入服务等类型的资产,其重要性包括核心、重要、一般等)进行了细粒度的分类,使得基于这些风险要素可以准确地评判风险问题的处置优先级和目标网络系统的安全性。在本实施例中,上述评估网络风险处置优先级的方法可以视为VPT(Vulnerability priority technology,漏洞优先级技术)打分模型,以计算每个风险问题的风险值,也可以计算目标网络系统的整体风险分值。基于VPT打分模型计算每个风险问题的风险值的原理如图2所示,
图2中的基线&漏洞(即上述风险问题):基于专家知识,明确不同类型基线和漏洞的严重性。
处置层级:根据基线和漏洞的严重性,设置不同的处置层级,还可以确定处置优先级策略。例如,处置层级可以分为紧急、重要和一般等对应不同紧急程度的层级。
网络环境:根据漏扫环境,确认风险问题所处网络环境的类型,例如,确定网络环境的类型是内部网络还是外部网络。
关联资产:通过指纹资产识别的方式,确定风险问题所关联资产的重要性。
所属资产:通过人为标识的方式,确定风险问题所属资产的重要性。
在一个实施例中,VPT打分模型(即上述评估网络风险处置优先级的方法)对风险问题的处置策略进行了初步的评判,可以形成一套风险处置优先级的知识库,将原有的CVSS漏洞及安全基线进行了处置层级的区分,在其基础之上,引入资产及环境因子。利用该模型计算出单一问题风险分值、不同处置层级的风险分值和目标网络系统的整体风险分值。问题风险分值越高意味着越需要优先处置,从而得知单一问题及目标网络系统的风险处置优先级。
风险是威胁主体利用脆弱性对资产造成伤害的可能性以及导致的业务影响,通过风险计算公式可以识别问题风险的大小。通过拆解风险因子,脆弱性包含问题权重及处置层级要素,环境因子包含内外网环境要素,资产因子包含关联资产重要性及评估域名或是IP的重要性要素。
具体实施时,确定每个所述风险问题的严重性以及根据每个所述风险问题的严重性确定每个所述风险问题对应紧急程度的处置层级的过程,可以根据知识库实现,知识库中存有风险问题、严重性以及处置层级三者的预存对应关系,根据该对应关系即可确定出每个风险问题的严重性以及每个风险问题对应紧急程度的处置层级;还可以通过机器学习组件的模型来确定出每个风险问题的严重性以及每个风险问题对应紧急程度的处置层级,例如,将每个风险问题的相关数据输入训练后的机器学习组件的第一模型,以得到每个风险问题的严重性,同理,将每个风险问题的相关数据和/或严重性输入训练后的机器学习组件的第二模型,以得到每个风险问题对应紧急程度的处置层级。
在一个实施例中,计算单一风险问题的风险值时,区分不同风险问题的权重、不同处置层级、内外网环境类型、所属资产的重要性以及所关联资产对目标网络系统的重要性,例如,可以通过以下公式计算每个风险问题的风险值:
其中,R_single表示每个所述风险问题的风险值,Ω表示每个所述风险问题的权重(权重Ω的不同具体的数值可以采用 、/>等表示),L表示每个所述风险问题对应的处置层级的量化数值,E表示每个所述风险问题所处网络环境的类型的量化数值,P表示每个所述风险问题所属资产的重要性(即资产本身的重要性,例如,核心、重要、一般等不同的重要级别)的量化数值,/>表示每个所述风险问题所关联资产对所述目标网络系统的重要性的量化数值,/>表示每个所述风险问题所关联资产的类型的量化数值,/>表示每个所述风险问题所关联资产的数量,/>表示非线性函数,即上述非线性打分模型,/>表示非线性递增函数。
具体实施时,每个所述风险问题的权重可以基于每个所述风险问题的CVSS得分、是否为CISA武器化漏洞的情况、是否发布补丁的情况、流行度、发布时间等因素确定,可以将是否为CISA武器化漏洞(可以将问题的相关数据与武器化漏洞库中的漏洞数据进行比对来确定是否为CISA武器化漏洞)、是否发布补丁、流行度、发布时间等分别量化为数值,进而可以根据每个所述风险问题的CVSS得分、是否为CISA武器化漏洞的情况的量化数值、是否发布补丁的情况的量化数值、流行度的量化数值、发布时间的量化数值来计算每个所述风险问题的权重。具体的,基于各个量化数值计算每个所述风险问题的权重的计算形式本申请不做具体限定,可以根据具体计算需求确定。具体的,对得到量化数值的量化方法本申请不做具体限定,能够量化为数值即可,例如,不同的情况取不同的预设数值。
具体实施时,可以通过指数方程将所处网络环境的类型、处置层级、所属资产的重要性、所关联资产对所述目标网络系统的重要性、所关联资产的类型等分别量化为数值,以得到每个所述风险问题对应的处置层级的量化数值L(其不同的具体的量化数值可以表示为 、/>等),每个所述风险问题所处网络环境的类型的量化数值E(其不同的具体的量化数值可以表示为/> 、/>等),每个所述风险问题所属资产的重要性的量化数值P(其不同的具体的量化数值可以表示为/> 、/>等),每个所述风险问题所关联资产对所述目标网络系统的重要性的量化数值/>(其不同重要性的具体的量化数值可以表示为/>、/>等),每个所述风险问题所关联资产的类型的量化数值/>(其不同类型的具体的量化数值可以表示为/> 、/>等),/>表示每个所述风险问题所关联资产的数量。具体的,可以采用不同的指数方程分别得到L、E、P、/>等不同数据项对应的量化数值,得到各个量化数值的指数方程的形式以及参数取值本申请不做具体限定,可以根据各个不同量化对象具体确定。
在一个实施例中,风险问题所关联资产的类型可以包括数据库、文件共享协议与服务、远程接入服务等类型,例如,数据库及文件共享协议与服务为核心资产类型、远程接入服务为重要资产类型。
在一个实施例中,计算每一层处置层级的第一风险值时,会引入系统负面累积函数(其不同的数值可以表示为/>、/>等),其中,/>代表问题数量,/>代表调整特征值,通过调解/>大小改变问题分数递增的快慢。/>主要作用是解决问题的无限叠加导致无穷分数的问题,防止低处置层级分数越级到高处置层级。例如,通过以下公式计算每个处置层级的第一风险值:
其中,R_level表示每个处置层级的第一风险值,R_single表示每个所述风险问题的风险值,表示系统负面累积函数,/>表示每个处置层级的风险问题的数量,/>表示调整特征值,/>表示非线性递增函数。
具体实施时,处置层级为所有计算风险因子中最大的指数因子,对不同紧急程度的风险问题进行了直观地区分。处置层级可以分为紧急处置层级、重要处置层级及一般处置层级。通过计算风险问题的分值,一个紧急问题的风险值始终大于任一重要或是一般的问题的分值、一个重要问题的分值始终大于任一一般问题的风险值。通过更强的约束,紧急层级的任一问题的风险值大于非紧急层级所有问题的加和风险值、重要层级的任一问题大于一般层级所有问题的加和风险值。
具体实施时,如果通过简单累加风险问题的分值来计算不同处置层级的风险值,可能会因风险问题数量不断增加而导致处置层级越级,例如,重要处置层级有大量的风险问题时,其分值累加后会超越只有一个问题的紧急处置层级的分值。为了有效解决该问题,在计算每个处置层级的风险值的过程中引入了负面累积函数,实现了可以收敛同一处置层级的大量风险问题的分值。在极端情况下,该函数可以将无穷多个风险问题收敛至一个峰值,解决越级问题。
在一个实施例中,在计算目标网络系统的风险分值的过程中,目标网络系统整体风险分值可以通过累加不同处置层级的风险值进行计算,例如,针对所述目标网络系统中每个子域名下的每个IP,根据对应每个处置层级的各个所述风险问题的风险值,计算每个处置层级的第一风险值;将各个处置层级的第一风险值累加,得到每个IP的第二风险值;将每个子域名下的各个IP的第二风险值累加,得到每个子域名的第三风险值;将各个子域名的第三风险值累加,得到所述目标网络系统的风险分值。
具体实施时,通过以下公式计算目标网络系统中每个IP的整体风险分值:
例如, =SUM(Level1+Level2+Level3)=1+2+4=7,即/>包括Level1、 Level2、Level3,Level1、Level2、Level3分别表示处置层级1、处置层级2、处置层级3对应的第一风险值。
具体实施时,上述评估网络风险处置优先级的方法在计算单一风险问题的风险值和计算每个处置层级的第一风险值的过程中分别引入了非线性递增函数,上述评估网络风险处置优先级的方法可以VPT打分模型的形式实现,非线性递增函数的引入可以解决VPT打分模型更新迭代时对出现的新问题的兼容问题。风险问题的数量会随着时间而增加,同时问题的严重程度也需要进行调整。这导致VPT打分模型需要定期进行调整更新。通过引入非线性递增函数,在更新时只需在VPT打分模型中调整新旧风险问题的权重,无需调整处置层级、环境类型、资产重要性等参数。在极端情况下,即使加入无穷数量的风险问题,考虑到函数具备收敛的风险分值的特性,本VPT打分模型依然有效。
以下以图3所示的网络系统架构为例,详细介绍实施上述评估网络风险处置优先级的方法的过程如下:
可以先利用扫描工具检查目标网络系统的安全性,包括检测主机运行状态、端口的开放状态、检测主机操作系统及运行服务程序的版本信息、检测系统和网络的漏洞等。结合VPT打分模型,基于风险问题严重性、其所处网络环境的类型、所属资产的重要性和所关联资产的重要性等风险因子,计算目标网络系统中单一风险问题的风险值和目标网络系统的整体风险值,进而基于风险值识别风险问题和目标网络系统的处置优先级。
目标网络系统通常检测出的风险问题包含web安全基线和漏洞两类,通过计算得出每个风险问题的单一风险值及处置层级的风险分数,再使用整体风险公式得到域名、子域名、IP、端口、url及证书节点各自对应的风险值。
通过使用扫描工具提取图3所示的目标网络系统的基本特征,例如,http、ftp、mysql端口、域名状态是否活跃、证书是否过期、主机类型和版本等信息,检测目标网络系统所有存在的问题。再基于处置风险知识库,识别各个问题的处置紧急程度,例如,证书过期和高危漏洞属于紧急处置层级(Level3)、检测到Mysql服务和检测到ftp服务属于重要处置层级(Level2),低危漏洞属于一般处置层级(Level1)。再使用VPT打分模型计算单一风险问题的风险值、处置层级的风险分值和整体系统的风险值,比较问题和目标网络系统风险大小和处理优先顺序。
图3所示的目标网络系统的每个风险问题的各个风险因子对应的数值如下表1、表2所示:
表1
表2
1、单一风险问题的风险值计算方法
计算单一风险问题的风险值时,要考虑的风险因子包括问题权重、处置层级、内外网环境、关联资产、资产重要性,在使用指数函数区分不同因子的严重/紧急/重要程度,以下为单一风险问题的风险值计算公式:
1.1、外网核心IP1存在证书过期和Mysql服务暴露的风险问题,分别计算其单一风险值的过程如下:
IP1包含数据库和其他类型资产,其风险问题所关联资产的重要性的量化数值如下:
证书过期的风险问题对应的风险值为:
Mysql服务暴露的风险问题对应的风险值为:
1.2、内网核心IP2有高危漏洞问题,计算其单一风险值过程如下:
IP2仅包含其他类型资产,其风险问题所关联资产的重要性的量化数值如下:
1.3、外网重要IP3有ftp服务暴露和低危漏洞的风险问题,分别计算其单一风险值的过程如下:
IP3包含文件共享协议与服务和其他类型资产,其风险问题所关联资产的重要性的量化数值如下:
ftp服务暴露的风险问题对应的风险值为:
从处置紧急程度衡量问题的风险分值时,重新整理以上计算过程可以得到各个风险问题的风险因子的量化数值及风险值排序如下表3所示。
表3
通过表3所示的单一风险分值可知,风险值越大说明该问题越需要优先处置,因为其脆弱性最常被利用或是被入侵风险较高。例如,该示例中,证书过期问题需要最优先解决,其次是高危漏洞,以此类推。
2、处置层级的风险值计算方法
2.1、假设外网核心IP1有两个证书过期和一个Mysql服务暴露问题,计算其不同处置层级的分值如下。
在计算紧急处置层级的分数时,先筛选出所有IP1涉及需要紧急修复的问题,再根据每个问题的单一风险分数大小进行排序,风险值的大小和负面累积函数分值的大小一一对应的。首先两个证书过期问题属于紧急处置的问题,如下表4所示,IP1紧急处置层级的风险值计算过程如下:
表4
IP1还有一个Mysql服务暴露问题在重要处置层级,如下表5所示,IP1重要处置层级的风险值的计算过程如下:
表5
2.2、假设内网核心IP2有多个高危漏洞问题,其属于紧急处置层级,计算过程如下:
2.3、假设内网核心IP3有多个ftp服务暴露和低危漏洞问题,其中多个服务暴露是重要处置问题,多个低危漏洞属于一般处置问题,计算过程如下:
处置层级因子( 、/> 、/>)为所有计算风险因子中最大的指数因子,通过引入负面累积函数计算不同处置层级的风险分数,紧急层级的分值(/>3)始终高于重要层级(2)和一般层级(/>1)加总的分值、重要层级的分值(/>2)始终高于一般层级的分值(/>1)。下面由此,可以通过风险分值直观了解问题处置的紧急程度。
3、整体风险值计算方法
累加不同处置层级的风险值,就可计算出目标网络系统的整体风险分值,以下为整体风险计算公式:
3.1、IP1包含紧急处置层级和重要处置层级的问题,IP1的风险分值计算过程如下:
3.2、IP2仅包含紧急处置层级的问题,IP2的风险分值计算过程如下:
3.3、IP3包含重要处置层级和一般处置层级的问题,IP3的风险分值计算过程如下:
通过计算不同IP的风险分数,IP包含紧急问题的分数始终大于IP包含非紧急问题的分数、IP包含重要问题的分数始终大于IP包含一般问题的分数。IP的风险分值也能直观比较不用IP的风险大小。
在计算目标网络系统域名、子域名、IP、端口、url及证书节点的风险分数使用以上相似的计算方案和步骤,先计算单一问题的风险值、再计算处置层级的风险值,最后计算整体网络系统的风险值。以下为子域名计算过程,
第一步,计算单一问题的风险值,详见步骤1.1&1.2计算过程。
在计算子域名1和子域名2时,要注意其关联的资产的重要性的量化数值的变化。
子域名1包含IP1和IP2所有关联类型资产,其关联的资产的重要性的量化数值如下:
子域名2包含IP3所有关联类型资产,其关联的资产的重要性的量化数值如下:
第二步,计算处置层级的风险值,假设子域名1涉及IP1和IP2所有的问题,其包含两个证书过期、一个Mysql服务暴露和多个高危漏洞问题,
子域名1 紧急处置层级涉及两个证书过期、多个高危漏洞问题,如下表6所示,计算过程如下:
表6
子域名1 重要处置层级涉及一个Mysql服务暴露问题,如下表7所示,计算过程如下:
表7
第三步,累加以上不同处置层级的分值后,子域名1的风险值计算过程如下:
子域名1汇聚了IP1和IP2的问题,其风险值分别大于IP1风险值和IP2 风险值。
相同的计算方法,假设子域名2涉及IP3所有的问题的风险值计算过程如下:
使用同样的计算方法和步骤,假设目标网络系统域名包含子域名1和子域名2,将不同紧急程度的问题归类到不同的处置层级,分别计算和加总不同处置层级的风险分值,即可得出目标网络系统域名的整体风险分值。
VPT打分模型还是一个强约束的优先级处置系统,还能满足以下三个处置场景。根据内外网环境、问题处置层级、资产重要性等风险因子来决定风险优先级处置策略。依据风险因子的重要性,可知同一处置层级同一风险问题的外网问题比内网问题先处理、同一处置层级的核心资产问题比非核心资产问题先处理、紧急处置层级问题比非紧急处置层级问题要优先处置。每个场景的验证可以参照下表8所示的结果进行对比。表8是从主域名维度计算风险值,它包括IP1、IP2、IP3所有关联资产,其关联的资产的重要性的量化数值如下:
表8
场景一:在实际系统环境中,外网环境比内网环境存在更大的攻击面,需要考虑同一个风险问题在外网环境应比内网环境优先处置。例如,同样重要的资产在同一处置层级时,一个外网问题比多个内网问题先处理。可参照表8中第二行和第三行、第六行和第七行及第十行和第十一行的风险数值进行对比。
场景二:在同一处置层级,核心资产的问题优先比重要资产的问题先处理、重要资产的问题比一般资产的问题先处理。例如,在同一处置层级,一个核心资产的一个内网问题比一个重要资产的多个的外网问题优先处理。可参照表8中第四行和第五行及第八行和第九行的风险数值分别进行对比。
通过更强的约束,使任一核心资产的问题优先比非核心资产的问题先处理,使得核心资产的问题始终比其他重要程度的资产优先处理。可参照表8中第四行和第五行及第九行的风险数值进行对比。
场景三:紧急处置层级的问题比重要处置层级的问题先处理、重要处置层级的问题比一般处置层级的问题先处理。例如,一个一般资产的一个内网紧急问题比一个核心资产的多个的外网重要问题优先处理。可参照表8中第十二行和第十三行的风险数值进行对比。
通过更强的约束,使任一紧急问题分值始终会大于非紧急问题风险累加,使得目标资产的任一紧急程度问题都能通过风险分值来呈现。可参照表8中第十二行、第十三行及第十四行的风险数值进行对比。
VPT打分模型以问题为主体开始风险量化,从单一风险问题的风险值的比较可以得到每个风险问题的处置优先级顺序,从内外网环境的不同区别问题暴露风险大小,从处置层级紧急程度明确问题的严重性,从指纹资产和资产重要性突显评估对象的重要性,最后从整体风险分值直观了解扫描目标网络系统的安全程度。
在本实施例中,提供了一种计算机设备,如图4所示,包括存储器401、处理器402及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的评估网络风险处置优先级的方法。
具体的,该计算机设备可以是计算机终端、服务器或者类似的运算装置。
在本实施例中,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的评估网络风险处置优先级的方法的计算机程序。
具体的,计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机可读存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读存储介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
基于同一发明构思,本发明实施例中还提供了一种评估网络风险处置优先级的装置,如下面的实施例所述。由于评估网络风险处置优先级的装置解决问题的原理与评估网络风险处置优先级的方法相似,因此评估网络风险处置优先级的装置的实施可以参见评估网络风险处置优先级的方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是本发明实施例的评估网络风险处置优先级的装置的一种结构框图,如图5所示,该装置包括:
问题获取模块501,用于获取目标网络系统的风险问题;
层级确定模块502,用于确定每个所述风险问题的严重性,并根据每个所述风险问题的严重性确定每个所述风险问题对应紧急程度的处置层级;
类型确定模块503,用于确定每个所述风险问题所处网络环境的类型;
重要性确定模块504,用于确定每个所述风险问题所属资产的重要性以及所关联资产对所述目标网络系统的重要性;
风险评估模块505,用于根据每个所述风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对所述目标网络系统的重要性,计算每个所述风险问题的风险值,并根据各个所述风险问题的风险值计算所述目标网络系统的风险分值,其中,每个所述风险问题的处置优先级与每个所述风险问题的风险值的大小成正比。
在一个实施例中,风险评估模块,包括:
第一风险值确定单元,用于针对所述目标网络系统中每个子域名下的每个IP,根据对应每个处置层级的各个所述风险问题的风险值,计算每个处置层级的第一风险值;将各个处置层级的第一风险值累加,得到每个IP的第二风险值;将每个子域名下的各个IP的第二风险值累加,得到每个子域名的第三风险值;将各个子域名的第三风险值累加,得到所述目标网络系统的风险分值。
在一个实施例中,第一风险值确定单元,还用于采用系统负面累积函数,根据对应每个处置层级的各个所述风险问题的风险值,计算每个处置层级的第一风险值。
在一个实施例中,第一风险值确定单元,还用于通过以下公式根据对应每个处置层级的各个所述风险问题的风险值,计算每个处置层级的第一风险值:
其中,R_level表示每个处置层级的第一风险值,R_single表示每个所述风险问题的风险值,表示系统负面累积函数,/>表示每个处置层级的所述风险问题的数量,表示调整特征值,/>表示第一非线性递增函数。
在一个实施例中,风险评估模块,包括:
第二风险值确定单元,用于通过以下公式根据每个所述风险问题的处置层级、所处网络环境的类型以及所关联资产对所述目标网络系统的重要性,计算每个所述风险问题的风险值:
其中,R_single表示每个所述风险问题的风险值,Ω表示每个所述风险问题的权重,L表示每个所述风险问题对应的处置层级的量化数值,E表示每个所述风险问题所处网络环境的类型的量化数值,P表示每个所述风险问题所属资产的重要性的量化数值,表示每个所述风险问题所关联资产对所述目标网络系统的重要性的量化数值,/>表示每个所述风险问题所关联资产的类型的量化值,/>表示每个所述风险问题所关联资产的数量,/>表示非线性函数,/>表示第二非线性递增函数。/>
在一个实施例中,第二风险值确定单元,还用于根据每个所述风险问题的CVSS得分、是否为CISA武器化漏洞的情况的量化数值、是否发布补丁的情况的量化数值、流行度的量化数值以及发布时间的量化数值,来计算每个所述风险问题的权重。
在一个实施例中,第二风险值确定单元,还用于通过指数方程得到每个所述风险问题对应的处置层级的量化数值L、每个所述风险问题所处网络环境的类型的量化数值E、每个所述风险问题所属资产的重要性的量化数值P、每个所述风险问题所关联资产对所述目标网络系统的重要性的量化数值以及每个所述风险问题所关联资产的类型的量化数值/>,/>表示每个所述风险问题所关联资产的数量。
本发明实施例实现了如下技术效果:提出了基于每个风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对目标网络系统的重要性,计算每个风险问题的风险值,并根据各个风险问题的风险值计算目标网络系统的风险分值,实现了对风险问题严重性和问题处置层级进行了区分,并对风险问题关联的网络环境和资产进行了细粒度的分类,这些风险要素的考虑、衡量,使得地评判目标系统中每个风险问题的风险值更加准确。风险值越高,处置优先级顺序越优先。当计算单一风险问题的风险值时,基于风险问题的风险值可以比较不同风险问题的风险大小,也可以比较同一风险问题在不同环境和不同资产上的风险大小。当计算目标系统的整体风险值时,基于目标系统的整体风险值可以比较不同目标网络系统之间的风险大小。从计算单一风险问题的风险值到目标网络系统的整体风险值,为直观辨别各个风险问题间的风险大小及处置顺序、了解目标网络系统整体风险状况,提供了准确、可靠的数据依据,从而有利于快速定位和解决系统的风险问题。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种评估网络风险处置优先级的方法,其特征在于,包括:
获取目标网络系统的风险问题;
确定每个所述风险问题的严重性,并根据每个所述风险问题的严重性确定每个所述风险问题对应紧急程度的处置层级;
确定每个所述风险问题所处网络环境的类型;
确定每个所述风险问题所属资产的重要性以及所关联资产对所述目标网络系统的重要性;
根据每个所述风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对所述目标网络系统的重要性,计算每个所述风险问题的风险值,并根据各个所述风险问题的风险值计算所述目标网络系统的风险分值,其中,每个所述风险问题的处置优先级与每个所述风险问题的风险值的大小成正比。
2.如权利要求1所述的评估网络风险处置优先级的方法,其特征在于,根据各个所述风险问题的风险值计算所述目标网络系统的风险分值,包括:
针对所述目标网络系统中每个子域名下的每个IP,根据对应每个处置层级的各个所述风险问题的风险值,计算每个处置层级的第一风险值;
将各个处置层级的第一风险值累加,得到每个IP的第二风险值;
将每个子域名下的各个IP的第二风险值累加,得到每个子域名的第三风险值;
将各个子域名的第三风险值累加,得到所述目标网络系统的风险分值。
3.如权利要求2所述的评估网络风险处置优先级的方法,其特征在于,根据对应每个处置层级的各个所述风险问题的风险值,计算每个处置层级的第一风险值,包括:
采用系统负面累积函数,根据对应每个处置层级的各个所述风险问题的风险值,计算每个处置层级的第一风险值。
5.如权利要求1至4中任一项所述的评估网络风险处置优先级的方法,其特征在于,根据每个所述风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对所述目标网络系统的重要性,计算每个所述风险问题的风险值,包括:
通过以下公式计算每个所述风险问题的风险值:
6.如权利要求5所述的评估网络风险处置优先级的方法,其特征在于,还包括:
根据每个所述风险问题的CVSS得分、是否为CISA武器化漏洞的情况的量化数值、是否发布补丁的情况的量化数值、流行度的量化数值以及发布时间的量化数值,来计算每个所述风险问题的权重。
8.一种评估网络风险处置优先级的装置,其特征在于,包括:
问题获取模块,用于获取目标网络系统的风险问题;
层级确定模块,用于确定每个所述风险问题的严重性,并根据每个所述风险问题的严重性确定每个所述风险问题对应紧急程度的处置层级;
类型确定模块,用于确定每个所述风险问题所处网络环境的类型;
重要性确定模块,用于确定每个所述风险问题所属资产的重要性以及所关联资产对所述目标网络系统的重要性;
风险评估模块,用于根据每个所述风险问题的处置层级、所处网络环境的类型、所属资产的重要性以及所关联资产对所述目标网络系统的重要性,计算每个所述风险问题的风险值,并根据各个所述风险问题的风险值计算所述目标网络系统的风险分值,其中,每个所述风险问题的处置优先级与每个所述风险问题的风险值的大小成正比。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的评估网络风险处置优先级的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至7中任一项所述的评估网络风险处置优先级的方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310652610.9A CN116405322B (zh) | 2023-06-05 | 2023-06-05 | 评估网络风险处置优先级的方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310652610.9A CN116405322B (zh) | 2023-06-05 | 2023-06-05 | 评估网络风险处置优先级的方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116405322A true CN116405322A (zh) | 2023-07-07 |
CN116405322B CN116405322B (zh) | 2023-09-01 |
Family
ID=87014537
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310652610.9A Active CN116405322B (zh) | 2023-06-05 | 2023-06-05 | 评估网络风险处置优先级的方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116405322B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108632081A (zh) * | 2018-03-26 | 2018-10-09 | 中国科学院计算机网络信息中心 | 网络态势评估方法、装置及存储介质 |
US20200162498A1 (en) * | 2018-11-20 | 2020-05-21 | Saudi Arabian Oil Company | Cybersecurity vulnerability classification and remediation based on network utilization |
CN112737101A (zh) * | 2020-12-07 | 2021-04-30 | 国家计算机网络与信息安全管理中心 | 一种面向多监测域的网络安全风险评估方法及系统 |
CN114971180A (zh) * | 2022-04-22 | 2022-08-30 | 南方电网数字电网研究院有限公司 | 网络系统风险评估方法、装置、计算机设备和存储介质 |
CN115714690A (zh) * | 2022-12-01 | 2023-02-24 | 西安捷润数码科技有限公司 | 一种用户风险评估方法与装置 |
-
2023
- 2023-06-05 CN CN202310652610.9A patent/CN116405322B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108632081A (zh) * | 2018-03-26 | 2018-10-09 | 中国科学院计算机网络信息中心 | 网络态势评估方法、装置及存储介质 |
US20200162498A1 (en) * | 2018-11-20 | 2020-05-21 | Saudi Arabian Oil Company | Cybersecurity vulnerability classification and remediation based on network utilization |
CN112737101A (zh) * | 2020-12-07 | 2021-04-30 | 国家计算机网络与信息安全管理中心 | 一种面向多监测域的网络安全风险评估方法及系统 |
CN114971180A (zh) * | 2022-04-22 | 2022-08-30 | 南方电网数字电网研究院有限公司 | 网络系统风险评估方法、装置、计算机设备和存储介质 |
CN115714690A (zh) * | 2022-12-01 | 2023-02-24 | 西安捷润数码科技有限公司 | 一种用户风险评估方法与装置 |
Also Published As
Publication number | Publication date |
---|---|
CN116405322B (zh) | 2023-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210288995A1 (en) | Operational Network Risk Mitigation System And Method | |
US20180020018A1 (en) | Method and tool to quantify the enterprise consequences of cyber risk | |
TW201629824A (zh) | 使用適應性行爲輪廓之異常檢測技術 | |
CN108092981B (zh) | 一种数据安全保护方法、装置及存储介质 | |
Shukla et al. | System security assurance: A systematic literature review | |
CN111669365B (zh) | 网络安全测试方法及装置 | |
CN110620696A (zh) | 针对企业网络安全态势感知的评分方法和装置 | |
Izurieta et al. | A position study to investigate technical debt associated with security weaknesses | |
Singh et al. | Information security assessment by quantifying risk level of network vulnerabilities | |
CN111787011A (zh) | 一种信息系统安全威胁智能分析预警系统、方法及存储介质 | |
CN109167794A (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
Baz et al. | Impact of COVID-19 Pandemic: A Cybersecurity Perspective. | |
CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
CN112560046A (zh) | 一种业务数据安全指数的评估方法及装置 | |
CN116405322B (zh) | 评估网络风险处置优先级的方法、装置、设备及介质 | |
CN112087408A (zh) | 一种评估网络资产的方法及装置 | |
Marconato et al. | A vulnerability life cycle-based security modeling and evaluation approach | |
CN114553517B (zh) | 非线性加权的网络安全评估方法、装置、设备和存储介质 | |
Sabillon | Cybersecurity incident response and management | |
Pahi et al. | Preparation, modelling, and visualisation of cyber common operating pictures for national cyber security centres | |
CN117972686B (zh) | 一种数据治理方法以及相关装置 | |
Yaokumah et al. | Exploring the Impact of Security Policy on Compliance | |
Hengst | Best practices in cloud incident handling | |
US11861015B1 (en) | Risk scoring system for vulnerability mitigation | |
Tosh | Market based models for cybersecurity information exchange (CYBEX) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |