CN117113363A - 一种基于场景化多因子的第三方组件漏洞排名方法 - Google Patents
一种基于场景化多因子的第三方组件漏洞排名方法 Download PDFInfo
- Publication number
- CN117113363A CN117113363A CN202311379105.8A CN202311379105A CN117113363A CN 117113363 A CN117113363 A CN 117113363A CN 202311379105 A CN202311379105 A CN 202311379105A CN 117113363 A CN117113363 A CN 117113363A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- vulnerabilities
- software
- party component
- environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000001960 triggered effect Effects 0.000 claims abstract description 13
- 239000002131 composite material Substances 0.000 claims abstract description 9
- 238000002955 isolation Methods 0.000 claims abstract description 4
- 230000008569 process Effects 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000012552 review Methods 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 4
- 238000009533 lab test Methods 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 238000011156 evaluation Methods 0.000 abstract description 3
- 239000000463 material Substances 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000036541 health Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/0601—Electronic shopping [e-shopping]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Finance (AREA)
- Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Computing Systems (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于场景化多因子的第三方组件漏洞排名方法,涉及第三方组件漏洞领域,通过识别每个漏洞是否能在特定部署环境中被触发进行初次分类,然后根据组件所在环境的隔离或屏蔽情况进行进一步的分类。每个分类中的漏洞将根据CVSS评分、漏洞利用难度、组件可达性、软件等保定级和数据安全定级等多个因子进行评分,再通过权重计算综合评分。最后,根据这些综合评分,对漏洞进行优先排序。本发明结合具体部署场景评估第三方组件的漏洞,提供了更为实际和针对性的威胁评估,不仅仅依赖抽象的漏洞评分,而是将实际应用环境的具体因素纳入评估中,确保关键安全问题得到优先处理,使得漏洞管理更加有效和有针对性。
Description
技术领域
本发明涉及第三方组件漏洞领域,更具体地说,涉及一种基于场景化多因子的第三方组件漏洞排名方法。
背景技术
随着软件开发的复杂化,第三方组件在软件开发中使用的比例越来越多。与此同时,第三方组件的漏洞的数量也越来越多。这些漏洞可以被黑客利用,对用户的信息系统造成损害。对于第三方组件的使用者,漏洞的排名方法可以帮助用户快速识别出最严重的漏洞,从而采取相应的措施进行防范。目前,常用的软件漏洞排名方法有以下几种:
CVSS评分:CVSS(Common Vulnerability Scoring System)是一个通用漏洞评分系统,它根据漏洞的严重程度、影响范围等因素给出一个评分。CVSS评分越高,漏洞的严重程度越大。
漏洞影响范围:漏洞的影响范围可以反映漏洞对用户造成损害的程度。漏洞影响范围越大,漏洞的严重程度越大。
漏洞利用难度:漏洞的利用难度可以反映漏洞被黑客利用的可能性。漏洞利用难度越低,漏洞被黑客利用的可能性越大。
然而上述方法都是通用的方法,没有考虑到第三方组件的实际使用情况(是否是在隔离环境中)、漏洞是否能被触发、使用开源组件的软件的重要程度等。
发明内容
本发明要解决的技术问题是提供一种基于场景化多因子的第三方组件漏洞排名方法,以解决背景技术中提到的问题。
为了达到上述目的,本发明采取以下技术方案:
一种基于场景化多因子的第三方组件漏洞排名方法,包括搜集软件开发过程中多个不同场景下的多个第三方组件漏洞,并按照如下步骤对多个不同场景下的多个第三方组件漏洞组件进行依次排序:
首先判断每个漏洞在部署环境中是否能被触发,所有判断为是的漏洞划分至第一族群,判断为不确定的漏洞划分至第二族群,判断为否的漏洞划分至第三族群;
在每个族群内,按照漏洞软件所处环境是否被隔离或是否采用手段屏蔽划分为三个子群,其中第一子群对应于未被隔离且未采用手段屏蔽,第二子群对应不确定,第三子群对应被隔离或采用手段屏蔽;
在每个子群内,按照下面几个方面分别计算每个第三方组件漏洞的评分:
(a)CVSS评分;
(b)漏洞利用难度,难度越低评分越高;
(c)漏洞组件在实际软件中的可达性,可达性越高评分越高;
(d)漏洞所在软件的等保定级,定级越高,评分越高;
(e)漏洞所在软件所使用的数据的数据安全定级,定级越高,评分越高;
对每个方面的评分加权得到综合评分;
将第一族群、第二族群、第三族群依次前后排列,在每个族群内,按照第一子群、第二子群、第三子群依次前后排列,在每个子群内,根据所述综合评分高低将第三方组件漏洞依次排列,其中所述综合评分高的排在前列。
在一些实施例中,使用CVSS计算工具计算CVSS评分。
在一些实施例中,所述CVSS计算工具为NVD提供的在线工具。
在一些实施例中,基于实验室测试结果和公开信息判定第三方组件漏洞的利用难度。
在一些实施例中,所述漏洞组件在实际软件中的可达性可通过代码审查获取。
在一些实施例中,所述代码审查过程包括检查漏洞组件在实际软件中是否被频繁调用、是否在关键路径上。
在一些实施例中,每个方面的评分设置为0~10。
在一些实施例中,所述加权计算综合得分的权重设置为:
CVSS评分:0.4;
漏洞利用难度:0.2;
可达性:0.15;
等保定级:0.15;
数据安全定级:0.1。
在一些实施例中,通过网络和安全设备配置审查确定漏洞软件所处环境的隔离状态或是否采用手段进行屏蔽。
在一些实施例中,通过业务审查和数据审查确定漏洞所在软件的等保定级及该软件所使用的数据的数据安全定级。
本发明相对于现有技术的优点在于,结合了具体的部署场景来评估第三方组件的漏洞,从而更精确地确定每个漏洞的实际威胁程度。通过多因子评分和加权排名,它确保了在特定应用环境中真正关键的安全问题得到优先处理,而不仅仅是基于漏洞的抽象评分。这种场景化的方法为组织提供了一个更有针对性、实用和灵活的漏洞管理策略。
附图说明
图1是本发明方法的步骤示意图。
具体实施方式
下面结合附图对本发明的具体实施方式作描述。
如图1所示,本发明一种基于场景化多因子的第三方组件漏洞排名方法,包括搜集软件开发过程中多个不同场景下的多个第三方组件漏洞,并按照如下步骤对多个不同场景下的多个第三方组件漏洞组件进行依次排序:
首先判断每个漏洞在部署环境中是否能被触发,所有判断为是的漏洞划分至第一族群,判断为不确定的漏洞划分至第二族群,判断为否的漏洞划分至第三族群;
在每个族群内,按照漏洞软件所处环境是否被隔离或是否采用手段屏蔽划分为三个子群,其中第一子群对应于未被隔离且未采用手段屏蔽,第二子群对应不确定,第三子群对应被隔离或采用手段屏蔽;
在每个子群内,按照下面几个方面分别计算每个第三方组件漏洞的评分:
(a)CVSS评分;
(b)漏洞利用难度,难度越低评分越高;
(c)漏洞组件在实际软件中的可达性,可达性越高评分越高;
(d)漏洞所在软件的等保定级,定级越高,评分越高;
(e)漏洞所在软件所使用的数据的数据安全定级,定级越高,评分越高;
对每个方面的评分加权得到综合评分;
将第一族群、第二族群、第三族群依次前后排列,在每个族群内,按照第一子群、第二子群、第三子群依次前后排列,在每个子群内,根据所述综合评分高低将第三方组件漏洞依次排列,其中所述综合评分高的排在前列。
对于以上每个考察的方面:
CVSS评分:
CVSS(Common Vulnerability Scoring System)是一个公认的漏洞评分系统,用于描述和量化漏洞的严重性。它的评分范围从0到10,其中10表示最高的风险。这个评分考虑了多个因素,如漏洞的攻击向量、攻击复杂性、需要的权限等级、用户交互需求、影响的范围等。
可使用CVSS计算工具,如NVD (National Vulnerability Database) 提供的在线工具,根据漏洞的特性填写CVSS指标(如访问向量、访问复杂性、身份验证等),得到最终的评分。
漏洞利用难度:
表示利用这个漏洞需要的技术难度。一些漏洞可能非常简单并且已经有了公开的利用代码(例如,零日攻击),而其他漏洞可能需要高度的专门知识来利用。
可以在实验室环境测试,比如尝试在受控环境中复现和利用这个漏洞,还可检查是否有公开的Exploit代码或工具;基于实验室测试结果和公开信息判定漏洞的利用难度。
漏洞组件在实际软件中的可达性:
这个因子描述了在实际应用中能否访问或触发这个漏洞。如果一个漏洞位于软件的一个很少使用或完全不被使用的部分,那么它的风险可能会降低。相反,如果它位于软件的核心部分,那么其风险会更高。
其评分可以通过代码审查获取,比如检查该组件在实际软件中的使用情况,如是否被频繁调用、是否在关键路径上。也可通过动态分析获取,比如观察在运行软件时该组件的行为,检查是否容易受到外部输入的影响。
漏洞在部署环境中是否能被触发:
这个因子考虑了实际部署环境中的配置,以确定是否有可能触发这个漏洞。
例如,某些功能可能已被禁用或受到其他安全控制的限制,从而使得漏洞不会在实际环境中被触发。可以通过环境审查,比如确定软件的运行环境配置(如操作系统版本、网络配置等),来判断漏洞在部署环境中是否能被触发。还可以在实际环境中尝试触发该漏洞,以确认是否可能被触发。
漏洞软件所处环境是否被隔离、是否采用其它手段屏蔽 :
这衡量的是软件部署的环境对漏洞的影响。如果一个应用被部署在隔离的环境中,或者有防火墙、Web应用程序防火墙(WAF)或其他安全机制来保护,那么即使存在漏洞,其风险也可能被降低。可以通过网络审查获取情况,比如检查网络架构、防火墙规则、隔离机制等,来做出是否被隔离的判断。还可以审查安全设备配置,如WAF规则、IPS/IDS策略等,确定是否有针对该漏洞的防护措施。
漏洞所在软件的等保定级以及该软件所使用的数据的数据安全定级:
这涉及评估涉及漏洞的软件和数据的关键性或敏感性。如果一个应用是关键应用(如金融系统)或用来处理敏感数据(如个人身份信息、健康记录等),那么任何与之相关的漏洞都可能被视为高风险。等保定级可以通过业务审查获取情况,比如确定受影响应用的业务重要性,业务重要性根据是否处理敏感数据、是否是关键业务应用等来判断。数据安全定级可通过数据审查获取评分,比如评估数据的敏感性和重要性,其中较为敏感和重要的数据包括PII、财务数据、个人健康信息等。
综上,可以:
使用CVSS计算工具确定漏洞的CVSS评分;
通过实验室环境测试和公开信息评估确定漏洞利用难度;
通过代码审查和动态分析确定漏洞组件在实际软件中的可达性;
通过环境审查和实际测试确定漏洞在部署环境中的触发情况;
通过网络和安全设备配置审查确定漏洞软件所处环境的隔离状态,以及是否采用其它手段进行屏蔽;
通过业务审查和数据审查确定漏洞所在软件的等保定级及该软件所使用的数据的数据安全定级。
以上的各个方面,有的作为族群分类依据,有的作为子群分类依据,有的作为综合评分的计算因子进行子群内的分类。综合评分的计算中,可以把每个方面的评分设置在0~10然后具体设置加权比重进行加权求和。
为了方便理解,以下实施例考虑一个非常具体的例子作为其排序过程的解释:
假设有一个在线电子商务平台,该平台使用了多个第三方组件来提供用户登录、支付、搜索、评论等功能。这些第三方组件包括:用户身份验证组件、支付网关、商品搜索引擎、用户评论系统、物流追踪、数据统计工具、广告推送、推荐系统、在线聊天支持和图片处理工具。
假设有如下十个第三方组件漏洞:
1、用户身份验证组件:密码重置功能中存在漏洞,允许未经认证的攻击者重置任何用户的密码。
2、支付网关:存在一个未加密的后门,可能被攻击者利用。
3、商品搜索引擎:存在XSS攻击的漏洞。
4、用户评论系统:一个SQL注入漏洞。
5、物流追踪:未经认证的用户可以查看任何订单的物流详情。
6、数据统计工具:API接口中存在信息泄露漏洞。
7、广告推送:存在点击劫持漏洞。
8、推荐系统:存在远程命令执行漏洞。
9、在线聊天支持:由于缺乏适当的认证,攻击者可以伪装成客服。
10、图片处理工具:存在一个允许攻击者上传恶意代码的漏洞。
接下来,考虑本发明技术方案:
首先,需要要判断每个漏洞在部署环境中是否能被触发。
可以被触发的漏洞标号:1, 2, 3, 4, 5, 8, 10;
不确定的漏洞标号:6, 7;
不能被触发的漏洞标号:9;
接下来,在每个族群内按照软件所处环境进行分类。
第一族群:
未被隔离且未采用手段屏蔽的漏洞标号:1, 4, 8;
不确定的漏洞标号:3, 5;
已被隔离或采用手段屏蔽的漏洞标号:2, 10;
第二族群:
未被隔离且未采用手段屏蔽的漏洞标号:6;
不确定的漏洞标号:7;
已被隔离或采用手段屏蔽的漏洞标号:无;
第三族群:
未被隔离且未采用手段屏蔽的漏洞标号:无;
不确定的漏洞标号:无;
已被隔离或采用手段屏蔽的漏洞标号:9;
接着,对于每个子群,根据给定的方面计算每个第三方组件漏洞的评分。为简化说明,此处只考虑用户身份验证组件:
CVSS评分:9;
漏洞利用难度:3;
可达性:10;
等保定级:8;
数据安全定级:9;
用户评论系统:
CVSS评分:8;
漏洞利用难度:4;
可达性:7;
等保定级:7;
数据安全定级:7;
假设本实施例中选择以下权重:
CVSS评分:0.4;
漏洞利用难度:0.2;
可达性:0.15;
等保定级:0.15;
数据安全定级:0.1。
具体的权重在真实情境中应由安全专家根据组织的安全策略和目标进行具体选择。
计算综合评分的过程:
综合评分=(各方面评分×各方面权重之和);
对于用户身份验证组件的评分计算如下:
=(9×0.4)+(3×0.2)+(10×0.15)+(8×0.15)+(9×0.1)=3.6+0.6+1.5+1.2+0.9=7.8。
按照同样的方法,可以计算同一子群内其他两个漏洞的综合评分,假如计算出:
用户评论系统=7.3;
推荐系统=7.7;
根据综合评分进行排序:
用户身份验证组件:7.8;
推荐系统:7.7;
用户评论系统:7.3;
现在,为其他族群和子群中的漏洞也进行这样的计算,并得到综合评分。
假设计算后得到以下综合评分:
商品搜索引擎:7.1;
物流追踪:7.0;
支付网关:6.9;
图片处理工具:6.8;
数据统计工具:6.7;
广告推送:6.5;
在线聊天支持:6.0。
所以,最终将第一族群、第二族群、第三族群依次前后排列,在每个族群内,按照第一子群、第二子群、第三子群依次前后排列,在每个子群内,根据所述综合评分高低将第三方组件漏洞依次排列,其中所述综合评分高的排在前列,得到的排序是:用户身份验证组件、推荐系统、用户评论系统、商品搜索引擎、物流追踪、支付网关、图片处理工具、数据统计工具、广告推送、在线聊天支持。
这样,安全团队可以按照这个顺序来修复这些漏洞,确保平台的安全性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种基于场景化多因子的第三方组件漏洞排名方法,其特征在于,包括搜集软件开发过程中多个不同场景下的多个第三方组件漏洞,并按照如下步骤对多个不同场景下的多个第三方组件漏洞组件进行依次排序:
首先判断每个漏洞在部署环境中是否能被触发,所有判断为是的漏洞划分至第一族群,判断为不确定的漏洞划分至第二族群,判断为否的漏洞划分至第三族群;
在每个族群内,按照漏洞软件所处环境是否被隔离或是否采用手段屏蔽划分为三个子群,其中第一子群对应于未被隔离且未采用手段屏蔽,第二子群对应不确定,第三子群对应被隔离或采用手段屏蔽;
在每个子群内,按照下面几个方面分别计算每个第三方组件漏洞的评分:
(a)CVSS评分;
(b)漏洞利用难度,难度越低评分越高;
(c)漏洞组件在实际软件中的可达性,可达性越高评分越高;
(d)漏洞所在软件的等保定级,定级越高,评分越高;
(e)漏洞所在软件所使用的数据的数据安全定级,定级越高,评分越高;
对每个方面的评分加权得到综合评分;
将第一族群、第二族群、第三族群依次前后排列,在每个族群内,按照第一子群、第二子群、第三子群依次前后排列,在每个子群内,根据所述综合评分高低将第三方组件漏洞依次排列,其中所述综合评分高的排在前列。
2.根据权利要求1所述基于场景化多因子的第三方组件漏洞排名方法,使用CVSS计算工具计算CVSS评分。
3.根据权利要求2所述基于场景化多因子的第三方组件漏洞排名方法,其特征在于,所述CVSS计算工具为NVD提供的在线工具。
4.根据权利要求1所述基于场景化多因子的第三方组件漏洞排名方法,其特征在于,基于实验室测试结果和公开信息判定第三方组件漏洞的利用难度。
5.根据权利要求1所述基于场景化多因子的第三方组件漏洞排名方法,其特征在于,所述漏洞组件在实际软件中的可达性可通过代码审查获取。
6.根据权利要求5所述基于场景化多因子的第三方组件漏洞排名方法,其特征在于,所述代码审查过程包括检查漏洞组件在实际软件中是否被频繁调用、是否在关键路径上。
7.根据权利要求1所述基于场景化多因子的第三方组件漏洞排名方法,其特征在于,每个方面的评分设置为0~10。
8.根据权利要求1或7所述基于场景化多因子的第三方组件漏洞排名方法,其特征在于,所述加权计算综合得分的权重设置为:
CVSS评分:0.4;
漏洞利用难度:0.2;
可达性:0.15;
等保定级:0.15;
数据安全定级:0.1。
9.根据权利要求1所述基于场景化多因子的第三方组件漏洞排名方法,其特征在于,通过网络和安全设备配置审查确定漏洞软件所处环境的隔离状态或是否采用手段进行屏蔽。
10.根据权利要求1所述基于场景化多因子的第三方组件漏洞排名方法,其特征在于,通过业务审查和数据审查确定漏洞所在软件的等保定级及该软件所使用的数据的数据安全定级。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311379105.8A CN117113363B (zh) | 2023-10-24 | 2023-10-24 | 一种基于场景化多因子的第三方组件漏洞排名方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311379105.8A CN117113363B (zh) | 2023-10-24 | 2023-10-24 | 一种基于场景化多因子的第三方组件漏洞排名方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117113363A true CN117113363A (zh) | 2023-11-24 |
CN117113363B CN117113363B (zh) | 2024-02-06 |
Family
ID=88800579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311379105.8A Active CN117113363B (zh) | 2023-10-24 | 2023-10-24 | 一种基于场景化多因子的第三方组件漏洞排名方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117113363B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112464252A (zh) * | 2020-12-29 | 2021-03-09 | 山东泽鹿安全技术有限公司 | 一种基于风险的漏洞威胁程度动态计算方法 |
CN112818351A (zh) * | 2021-01-18 | 2021-05-18 | 哈尔滨工业大学(威海) | 一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质 |
CN114065223A (zh) * | 2021-11-26 | 2022-02-18 | 西安工业大学 | 一种基于cvss的多维度软件安全风险评估方法 |
CN115935370A (zh) * | 2022-11-18 | 2023-04-07 | 西安四叶草信息技术有限公司 | 漏洞修复优先级的分类方法、装置、设备及存储介质 |
CN116680699A (zh) * | 2023-05-09 | 2023-09-01 | 山东贝格通软件科技有限公司 | 一种漏洞优先级排序系统、方法、计算机设备及存储介质 |
CN116886329A (zh) * | 2023-05-18 | 2023-10-13 | 哈尔滨工业大学(威海) | 一种面向工控系统安全的量化指标优化方法 |
-
2023
- 2023-10-24 CN CN202311379105.8A patent/CN117113363B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112464252A (zh) * | 2020-12-29 | 2021-03-09 | 山东泽鹿安全技术有限公司 | 一种基于风险的漏洞威胁程度动态计算方法 |
CN112818351A (zh) * | 2021-01-18 | 2021-05-18 | 哈尔滨工业大学(威海) | 一种面向工控系统的漏洞优先级分析方法、系统、设备及存储介质 |
CN114065223A (zh) * | 2021-11-26 | 2022-02-18 | 西安工业大学 | 一种基于cvss的多维度软件安全风险评估方法 |
CN115935370A (zh) * | 2022-11-18 | 2023-04-07 | 西安四叶草信息技术有限公司 | 漏洞修复优先级的分类方法、装置、设备及存储介质 |
CN116680699A (zh) * | 2023-05-09 | 2023-09-01 | 山东贝格通软件科技有限公司 | 一种漏洞优先级排序系统、方法、计算机设备及存储介质 |
CN116886329A (zh) * | 2023-05-18 | 2023-10-13 | 哈尔滨工业大学(威海) | 一种面向工控系统安全的量化指标优化方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117113363B (zh) | 2024-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Xiong et al. | Cyber security threat modeling based on the MITRE Enterprise ATT&CK Matrix | |
Xiong et al. | Threat modeling–A systematic literature review | |
Bodeau et al. | Cyber threat modeling: Survey, assessment, and representative framework | |
Schmittner et al. | Security application of failure mode and effect analysis (FMEA) | |
Kure et al. | Cyber threat intelligence for improving cybersecurity and risk management in critical infrastructure | |
Mirjalili et al. | A survey on web penetration test | |
Ouedraogo et al. | Appraisal and reporting of security assurance at operational systems level | |
JP5413010B2 (ja) | 分析装置、分析方法およびプログラム | |
CN116628705A (zh) | 一种数据安全处理方法、系统、电子设备及存储介质 | |
Alhassan et al. | A fuzzy classifier-based penetration testing for web applications | |
Bin Arfaj et al. | Efficacy of Unconventional Penetration Testing Practices. | |
Faruk et al. | Investigating novel approaches to defend software supply chain attacks | |
Jones et al. | Examinations of email fraud susceptibility: perspectives from academic research and industry practice | |
Khan et al. | Cyber security quantification model | |
Huang et al. | Utilizing prompt engineering to operationalize cybersecurity | |
CN117113363B (zh) | 一种基于场景化多因子的第三方组件漏洞排名方法 | |
Meriah et al. | A survey of quantitative security risk analysis models for computer systems | |
Yermalovich et al. | Information security risk assessment based on decomposition probability via bayesian network | |
Agarwal et al. | Cyber Security Model for Threat Hunting | |
Farnan et al. | Exploring a controls-based assessment of infrastructure vulnerability | |
Pescatore | SANS 2021 Top New Attacks and Threat Report | |
Rao et al. | Security risk assessment of geospatial weather information system (gwis): An owasp based approach | |
Darwish et al. | A security testing framework for scrum based projects | |
Narang et al. | Severity measure of issues creating vulnerabilities in websites using two way assessment technique | |
Ziro et al. | Improved Method for Penetration Testing of Web Applications. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |