CN1996326A - 信息系统服务级安全风险分析 - Google Patents
信息系统服务级安全风险分析 Download PDFInfo
- Publication number
- CN1996326A CN1996326A CNA200610168913XA CN200610168913A CN1996326A CN 1996326 A CN1996326 A CN 1996326A CN A200610168913X A CNA200610168913X A CN A200610168913XA CN 200610168913 A CN200610168913 A CN 200610168913A CN 1996326 A CN1996326 A CN 1996326A
- Authority
- CN
- China
- Prior art keywords
- assets
- security
- service
- security risk
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0233—Object-oriented techniques, for representation of network management data, e.g. common object request broker architecture [CORBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种信息系统服务级安全风险分析系统、方法和图形用户接口。识别与由信息系统提供的服务具有关系的信息系统的资产,并且通过分析与所识别资产相关联的安全漏洞来确定服务的至少一个安全风险。服务的整合表示被提供,并且包括关于所确定(一个或多个)安全风险的指示,和关于在服务与至少一个所识别资产之间的关系的指示。安全风险指示可以包括关于多个安全参数的指示。安全风险可以被不同地表示,这取决于它们是由于与服务有关系的资产的安全漏洞而引起的,还是由于只凭借与和服务有关系的资产的关系而与该服务有关系的资产的安全漏洞而引起的。
Description
相关申请的交叉引用
本申请涉及以下专利申请:2005年5月18日提交的标题为“SECURITYRISK ANALYSIS SYSTEMS AND METHODS”的美国专利申请号11/131,598;2005年5月18日提交的标题为“COMMUNICATION NETWORK SECURITYRISK EXPOSURE MANAGEMENT SYSTEMS AND METHODS”的美国专利申请号11/132,118;2005年9月22日提交的标题为“APPLICATION OFCUT-SETS TO NETWORK INTERDEPENDENCY SECURITY RISKASSESSMENT”的美国专利申请号11/232,004;2006年3月2日提交的标题为“SYSTEMS AND METHODS OF ASSOCIATING SECURITYVULNERABILITIES AND ASSETS”的美国专利申请号11/366,100;以及2006年3月2日提交的标题为“SECURITY VULNERABILITY INFORMATIONAGGREGATION”的美国专利申请号11/366,319。
技术领域
本发明一般涉及安全风险分析,并且尤其涉及在信息系统中的服务级的安全风险分析。
背景技术
在复杂的系统中,例如电信和信息技术(IT)基础设施,即便是被发现并被公开,安全漏洞的潜在影响也很难及时评估。这主要是因为这些漏洞的数量和特性,以及这种系统中资产的数量。一些资产也可以具有嵌入式软件层及其他附属物,这进一步复杂化了安全评估。当考虑信息系统中提供的服务时,这些复杂度会增加,因为服务可能包含许多不同的资产和具有那些资产且在那些资产之间的附属物。
在漏洞被公开后不久了解并作出明智决定的能力是主动安全的一个关键方面。这种能力允许网络操作员例如在任何给定时刻了解安全状态,即网络基础设施的风险,并且为缓解风险而分配优先动作列表。在提高安全风险期间与对网络段上所存储及传送的数据的依赖相关联的商业风险标识也可以被用来执行全面的安全评估。
在公共网络管理系统(NMS)中,被管理通信网络的视图限于互连系统的物理拓扑。这个视图并不提供对于正确评估在较高层的聚合视图状态所需要的信息级别,该较高层适合于基于业务、商务或功能优先级的操作判决。
几种当前可用的管理工具提供了一些类型的服务级视图。一种工具具有对“消费者”建模并基于服务级协议(SLA)配置文件(profile)创建消费者与网络之间的关系的能力。所述模型允许以图形资产图的形式来表示服务和消费者、它们与网络对象的关系以及网络对象之间的关系。另一种工具允许以基本彩色编码表来显示服务级特性,所述基本彩色编码表代表服务以及与性能、应用、系统、网络和安全有关的相应状态的列表。针对作为按消费者分组的相关资产图标和服务的分级表来显示服务而提供支持的工具也是已知的。
然而,所述及其它现有的工具都呈现服务级状态或安全风险的有限或不完全视图。例如,当前可用的工具并不提供一种以一种整合表示来呈现服务、资产和信息系统物理拓扑之间复杂关系的机制。一些工具使用分离的视图来呈现消费者和服务的关系、资产关系以及物理拓扑,而其它工具根本不呈现服务关系。这限制了所述工具,因为用户不能快速地将服务安全风险状态与其相关的资产联系起来。
现有工具的另一个缺点涉及所提供的信息级别。例如,服务级视图中的服务状态可能限于只表示一个属性或聚合属性的彩色编码图标或列表项目,而在同一视图中不呈现与有助于服务级安全的基本资产有关的较低级别的细节。现有的工具也不会在安全度量之间进行区分,这可能会导致很难准确识别指示符所指示的含义。绿色图标可指示防火墙没有提出告警,但是也可能被操作者错误解释成这指示服务的机密性是安全的。也可能存在其它安全漏洞,但是可能不能清楚地表示。
例如,当前的工具在安全监控方面更受限制,并且可能只报告从防火墙、入侵检测系统(IDS)和其它安全设备所接收的报告和告警。这种工具不具有用来收集或呈现与资产和安全漏洞的分析有关的信息的机制。可以支持漏洞分析的其他工具没有解决资产的互依赖性,从而由提供服务时所涉及的软件应用所使用的数据库中的故障不会作为相关应用中的故障出现。因此,信息的重要方面可能丢失,因为信息被聚合至服务级。
因此,仍然需要用于服务级安全风险分析的改进的技术。
发明内容
本发明的实施例使复杂的信息系统资产关系与信息系统中提供的服务的安全风险一起被表示,以产生互连资产的服务级视图。可以利用可显示例如总安全风险影响的属性的图标,来表示一些实施例中的服务以及资产,以实现基于服务优先级的操作响应的优先顺序。
服务级视图可以实现利用多种风险分析功能中任一种所计算的服务风险的表示。例如,与SLA相关联的其他服务级属性也可能在服务级视图中被表示。
根据本发明的一个方面,提供了一种装置,该装置包括:风险分析器,其被配置用来识别信息系统的一个或多个资产,其中所述资产具有与该信息系统所提供的服务的各个关系,并且用来通过分析与所识别资产相关联的安全漏洞来确定一个或多个服务的安全风险;以及接口,其有效耦合到所述风险分析器并且被配置用来提供服务的整合表示,该整合表示包括关于一个或多个所确定安全风险的指示,和关于在服务与一个或多个所识别资产之间的各个关系中至少一个的指示。
所述风险分析器和所述接口中任一个或二者都可以用由处理单元执行的软件来实现。
一个或多个所识别资产可以包括具有与服务的各个关系的一个或多个其它服务。
一个或多个所识别资产可以包括仅凭借与和服务有关系的资产的关系而与该服务有关系的资产。
在一些实施例中,所述风险分析器被配置用来通过将安全风险聚合成一个或多个所识别的资产中多个促成的(contributing)资产,来确定服务的一个或多个安全风险。所述风险分析器可以通过执行以下步骤之一来确定服务的聚合安全风险:选择多个促成的资产的安全风险最大值作为聚合安全风险;选择多个促成的资产的安全风险最小值作为聚合安全风险;以及基于多个促成的资产的最大和最小安全风险的组合来确定聚合安全风险。
所述风险分析器可以被配置用来通过聚合由于与资产相关联的多个安全漏洞而引起的安全风险,来确定一个或多个资产之一的聚合资产安全风险。在这种情况下,所述聚合可能涉及执行以下步骤之一:基于由于多个安全漏洞而引起的安全风险最大值来确定聚合的资产安全风险;基于由于多个安全漏洞而引起的安全风险最小值来确定聚合的资产安全风险;以及基于由于多个安全漏洞而引起的最大和最小安全风险的组合来确定聚合的资产安全风险。
一个或多个所确定的安全风险的指示可以包括至少一个安全参数的指示。
服务的整合表示还可以包括各个图标,该图标代表服务和一个或多个所识别资产中的至少一个。在这种情况下,关于服务与一个或多个所识别资产之间的各个关系中至少一个的指示,可以包括在各个图标之间的各个链接,其中所述图标代表服务和一个或多个所识别资产中的至少一个。
在一些实施例中,关于一个或多个所确定安全风险的指示包括下列安全风险的不同表示:由于与和服务有关系的资产相关联的安全漏洞而引起的安全风险;和由于与资产相关联的安全漏洞所引起的安全风险,其中该资产只凭借与和服务有关系的资产的关系而与该服务有关系。
如果聚合多个促成的资产的安全风险,则风险分析器可以维持多个促成的资产中至少一个的记录。
还提供了一种方法,该方法包括:识别与信息系统所提供的服务具有各个关系的信息系统的一个或多个资产;分析与一个或多个所识别资产相关联的安全漏洞以确定服务的一个或多个安全风险;以及以服务的整合表示的形式提供关于一个或多个所确定安全风险的指示,和关于在服务与一个或多个所识别资产之间各个关系中至少一个的指示。
所述识别操作可以包括只凭借与和服务有关系的资产的关系来识别与服务有关系的资产。
所述关于一个或多个所确定安全风险的指示可以包括关于至少一个安全参数的指示。
在一些实施例中,关于一个或多个所确定安全风险的指示可以包括以下列安全风险的不同表示:由于与和服务有关系的资产相关联的安全漏洞而引起的安全风险;和由于与资产相关联的安全漏洞而引起的安全风险,其中该资产只凭借与和服务有关系的资产的关系而与该服务有关系。
所述确定一个或多个安全风险的操作可以包括:通过聚合所识别资产中多个促成的资产的安全风险来确定一个或多个聚合安全风险,以及针对一个或多个聚合安全风险中每一个维持至少一个促成的资产的记录。
多个促成的资产的安全风险可以被聚合,以确定一个或多个安全风险的聚合安全风险,这可以通过执行下列步骤之一来实现:选择多个促成的资产的安全风险最大值作为聚合安全风险、选择多个促成的资产的安全风险最小值作为聚合安全风险;以及基于多个促成的资产的最大和最小安全风险的组合来确定聚合安全风险。
在一些实施例中,还可以通过聚合由于与资产相关联的多个安全漏洞而引起的安全风险,来确定一个或多个资产之一的聚合资产安全风险。这可能涉及执行以下步骤之一:基于由于多个安全漏洞而引起的安全风险最大值来确定聚合资产安全风险;基于由于多个安全漏洞而引起的安全风险最小值来确定聚合资产安全风险;以及基于由于安全漏洞而引起的最大和最小安全风险的组合来确定聚合资产安全风险。
例如,可以用机器可读介质上存储的指令来体现方法。
本发明的另一方面提供了一种图形用户接口(GUI)。该GUI包括信息系统所提供的服务的整合表示,并且该整合表示包括关于服务的一个或多个安全风险的指示,以及关于在服务与信息系统的一个或多个资产之间的一个或多个各个关系中至少一个的指示,其中所述一个或多个资产促成了服务的一个或多个安全风险。
所述各个关系可以包括在和服务有关系的资产与信息系统的另一资产之间的资产关系,其中该另一资产只凭借该资产关系而和该服务有关系。
一个或多个所确定安全风险的指示可以包括关于至少一个安全参数的指示。
在一些实施例中,服务的整合表示还包括表示服务和一个或多个所识别资产中至少一个的各个图标。在这个情况下,关于在服务与一个或多个所识别资产之间的各个关系中至少一个的指示,包括在表示服务和一个或多个所识别资产中至少一个的各个图标之间的各个链接。
关于一个或多个所确定安全风险的指示可以包括下列安全风险的不同表示:由于与和服务有关系的资产相关联的安全漏洞而引起的安全风险;和由于与资产相关联的安全漏洞而引起的安全风险,其中该资产只凭借与和服务有关系的资产的关系而与该服务有关系。
一个或多个安全风险可以包括通过聚合多个促成的资产的安全风险而确定的一个或多个聚合安全风险,在这种情况下,关于一个或多个安全风险的指示可以包括表示一个或多个聚合安全风险之一的功能图形元素。所述功能图形元素提供对聚合安全风险的至少一个促成的资产的记录的访问。
用于在GUI中显示的图标包括信息系统的资产的表示,以及关于资产的安全风险的多个安全参数的各个指示。
在一些实施例中,资产是信息系统中所提供的服务,所述服务具有与信息系统的一个或多个资产的各个关系,并且所述各个指示包括针对服务的安全风险的多个安全参数的各个指示集合。所述各个指示集合包括:关于针对服务的安全风险的多个安全参数的第一指示集合,其中该安全风险是由于与一个或多个资产之一相关联的一个或多个安全漏洞而引起的;以及针对服务的安全风险的多个安全参数的第二指示集合,其中该安全风险是由于与一个或多个其它资产相关联的一个或多个安全漏洞而引起的,该一个或多个其它资产只凭借与所述一个或多个资产之一的各个关系而具有与该服务的各个关系。
通过查看下面对指定说明性实施例的描述,本发明的其他方面和特征对于本领域技术人员来说将变得显而易见。
附图说明
现在将参照附图详细描述本发明实施例的例子。
图1是一般安全概念的框图表示;
图2是安全判决模型的框图表示;
图3是安全风险暴露管理系统的框图;
图4是说明安全风险管理方法的流程图;
图5是说明相互依赖的资产的类型的框图;
图6是说明服务、资产和它们之间的关系的框图;
图7是提供服务的整合表示的图形用户接口(GUI)的框图;
图8是提供较低级别服务的表示的另一个GUI的框图;
图9是图标的框图;
图10是风险计算系统的框图;
图11A、11B和11C分别是漏洞、资产和安全状态数据结构的框图;
图12是说明风险计算方法的流程图;
图13是通信系统的框图,结合通信系统可以实现本发明的实施例。
具体实施方式
如上面简要描述的,当前可用的安全评估和管理工具没有规定完整全面的安全评估,特别是针对例如通信网络的复杂信息系统。
例如,认为四个系统分类提供了针对网络基础设施中的安全和漏洞管理的部分解决方案。这些分类包括网络漏洞扫描器、入侵检测/预防系统、安全事件/信息系统以及暴露风险管理系统。
在这些分类中,所述暴露风险管理系统分类包括最广泛的工具。风险管理系统可能提供例如网络视图,其针对网络单元一个接一个地包括扫描器数据和漏洞数据,所述网络单元例如是防火墙和路由器、服务器或其他主机。典型地,每个单元独自被扫描或被评估,以确定其漏洞。企业网络的可视地图、商业应用和潜在安全问题为安全人员提供了针对每个独立单元的基础设施安全的概观,并且实现了针对与指定单元有关的更详细视图的深入(drill-down)能力。
通过评估如用商业影响变量所度量的攻击和损害潜力的可能性,可以计算一种商业风险。可以详细地确定风险因素,其考虑各种不同的攻击情景和漏洞。
然而,当前已知的工具不能应付大型的通信系统和其他复杂系统。这些工具不能提供复杂网络的现实视图,或考虑不同的组或资产或者资产之间的关系,以对给定服务或任务建模。
另外,商业风险计算使用基于路径确定的攻击可能性,即确定用于完成攻击的资产和漏洞链。在大型的复杂信息系统中很难确定每个可能攻击的攻击路径及其可能性,而且因此即使实际上并非不可能,也是不切实际的。
以这种方式减少指定攻击路径的风险计算,对于特定的漏洞或漏洞的组合可能更加有效,但是会导致对更复杂情况的误解。这种简化可以有效地使操作员或其他人员不能认识到实际风险要高于所呈现的风险,其可能对信息系统或该系统中提供的服务的安全状态的全面评估有很大的影响。
本发明的实施例提供了一种服务级安全风险的整合表示,其可以利用风险暴露管理技术来进行确定。灵活的安全模型可以针对通信网络或其它信息网络中部署的指定任务或指定服务的资产而提供灵活的资产表示模型,以及网络的物理/逻辑拓扑结构。完全可定制且灵活的风险暴露计算还可以考虑一般的安全方法以及解决指定商业风险的扩展方案。
图1是说明与本发明技术领域相关的一般安全概念的框图。图1所示的表示说明了基于信息技术安全评估的公共准则国际标准ISO/IEC 15408:1999的基础安全范例和导出概念。
图1示出了用户或所有者13、对策14、漏洞16、威胁代理18、威胁22、风险20以及资产24。图1示出的一般安全范例是本领域技术人员所熟知的,因此这里仅对其作简要描述。
用户/所有者13可以包括例如通信网络的所有者或运营商,或者关注资产24的其他利益共享者。
对策14代表动作,例如更新例如计算机系统资产上的操作系统或应用软件,可以采取所述动作来减少漏洞16。漏洞16是使资产易受攻击的资产操作中的条件,或可能是故障。操作系统软件中的安全漏洞是漏洞的一个说明性例子。
威胁代理18是希望滥用或不以其用户/所有者13所期望的方式使用资产24的那一方。威胁22是关于资产24可能被损害的指示,其说明性地是一种可能性。
在通信网络的例子中,资产24是网络的部件,并且既可以是物理的也可以是逻辑的。对于每个类型的资产24都可能存在漏洞16。
如图1所示,用户/所有者13评估资产、希望将资产24的风险20最小化,并且可能意识到会导致资产24的风险20的漏洞16。漏洞16可以由用户/所有者13通过强制对策14而被减少。根据对其的回顾,图1所示的其他概念之间的相互关系对本领域的技术人员是显而易见的。
图2说明了图1所示概念的适配,以及它们是如何关联于安全风险分析的,图2是说明安全判决模型的框图。
图2中的用户/所有者32、威胁代理38、威胁42、风险40、资产44以及漏洞36基本上与图1中类似标记的部件相同,但是根据本发明的实施例与传统技术不同地处理它们。
漏洞和网络库存(inventory)数据库系统46包括数据库,该数据库存储了与漏洞和资产相关联的信息或从中可以导出漏洞和资产信息的信息。在图2所示的例子中,数据库系统46包括安全知识数据库47,其存储了与已知漏洞相关联的信息,或者存储了被转换或被处理以生成漏洞信息的安全信息。网络配置文件(profile)数据库48存储网络库存信息。与例如通信网络的信息系统中的资产相关联的信息,可以从网络配置文件数据库48中获取或从获取自网络配置文件数据库48的信息中导出。
应当认识到,通信网络只是信息系统的一个例子,这里公开的技术可以应用于该系统。这些技术可以应用于其他类型的信息系统。
数据库系统46的各种不同的实现对于本领域的技术人员而言是显而易见的。例如,任何不同类型的数据存储设备,例如磁盘驱动器和固态存储设备,都可以用来存储数据库47、48。根据一个特定实现,数据库47、48被存储在还执行实现安全判决模型30的软件的计算机系统上。然而应当认识到,数据库系统46旨在更一般地表示这样一种系统:通过该系统可以访问漏洞和资产信息或可以从中导出漏洞和资产信息的信息。数据库47、48因而可以是远程数据库,模型30可以通过合适的接口和连接来访问该远程数据库。数据库47、48可以例如存在于局域网(LAN)的服务器中,在这种情况下,信息通过网络接口和LAN连接是可访问的。
在操作中,安全判决模型30考虑了资产和漏洞以确定风险评估。风险评估向用户/所有者32提供对当前网络安全状态的指示。
安全判决模型30可以如图3所示地被实现,图3是安全风险暴露管理系统的框图。
系统50的结构包括三个主要单元,即用户接口52、安全模块54以及数据系统56。在一个实施例中,这些单元都在计算机系统中被实现。用户接口52因而可以通过显示器和例如键盘、鼠标和/或触摸屏的输入设备而被提供,安全模块54主要是在存储于计算机系统的存储器中并由处理器执行的软件中被实现的,并且数据系统56包括本地存储设备、至远程存储设备的接口,或其组合。
应当认识到,本发明的实施例可以包括比图3中明确示出的更多、更少或不同的具有不同互连的单元。例如,安全风险管理系统可能不包括图3所示的每个单元。其中实现系统50或本发明另一实施例的计算机系统或其他设备,也可以包括用于其他功能的其他单元。例如,除实现安全风险管理功能的应用软件之外,计算机系统中的处理器还典型地执行操作系统软件。因此,图3和其他附图只是用于进行说明,而不限制发明的范围。
系统50的部件可以通过物理连接或通过逻辑互连而相互有效耦合,其中利用由一个或多个处理单元所执行的软件来实现任何一种这些部件。
因此,利用硬件、软件、固件或其组合来实现系统50的部件是显而易见的。本领域的技术人员将熟悉可用于实现系统50的的设备,这包括例如微处理器、微控制器、专用集成电路(ASIC)、可编程逻辑器件(PLD)和/或现场可编程门阵列(FPGA)。
考虑到图3所示部件的许多可能的实现,这里主要就其功能而描述这些部件。基于这些功能描述,本领域的技术人员能够以各种方式实现本发明的实施例。
然而,数据系统56通常作为数据存储单元而在硬件部件中被提供,具体地是一个或多个存储设备。在一些类型的系统中固态存储设备是常用的,尽管系统50还可包括用于活动的或可拆卸的存储介质的存储设备。
通常至少部分上通过物理设备来提供用户接口52。在图3所示的特定示例性实施例中,用户接口52包括仿真接口62、配置接口64、网络地图66和报告接口68。这些用户接口单元62、64、66、68与安全模块54交互以接受用户输入和/或向用户提供输出。显示器、键盘、鼠标和触摸屏代表输入和输出设备类型的例子,可以通过这些输入和输出设备在用户与安全模决54之间传送信息。这些单元还可以具有关联的软件组件,处理器执行该软件组件以处理并传送输入和输出信息。
仿真接口62、配置接口64、网络地图66以及报告接口68有效耦合到安全模块54。这些单元通过其进行交互的连接形式取决于其中实现系统50的特定类型的设备。例如,内部总线结构通常被用在计算机系统中,并且因此用户接口52及其部件与安全模块54以及数据系统56之间的交互,可以通过在处理器与不同输入/输出设备之间的内部连接、驱动器和接口来被实现。然而,也可以使用其他类型的连接。
安全模块54包括:事件管理器72,其有效耦合到仿真接口62、配置接口64、一个或多个外部系统71以及数据系统56;网络模型管理器74,其有效耦合到网络地图66、事件管理器72以及数据系统56;风险分析器76,其有效耦合到配置接口64、网络模型管理器74以及数据系统56;以及报告管理器78,其有效耦合到风险分析器76、报告接口68以及数据系统56。安全模块54的这些部件,像用户接口52的那些部件一样,可以用硬件、由处理器执行的软件或其组合来实现。
数据系统56包括:漏洞数据库82,其有效耦合到事件管理器72和风险分析器76;资产数据库84,其有效耦合到事件管理器72、网络模型管理器74以及风险分析器76;安全状态数据库86,其有效耦合到风险分析器76和报告管理器78;以及用户接口数据库88,其有效耦合到用户接口52。这些数据库可以被存储于任何不同类型的存储设备中,例如固态存储设备、磁盘驱动器以及使用固定的、活动的或可拆卸的存储介质的其他类型存储设备。数据系统56可以包括数据存储单元,或通过其可访问远程数据存储单元的接口,如上面结合图2所指出的。尽管图3中被分离的示出,然而多个数据库82、84、86、88可以被存储于一个数据存储单元或存储设备中。
漏洞数据库82存储与漏洞相关联的信息,而资产数据库84存储与资产相关联的信息。这些数据库代表数据库47、48(图2)的例子。以下描述了可以被存储在根据本发明实施例的数据库82、84中的数据结构。
安全状态数据库86存储与历史的和/或当前的信息系统安全风险状态相关联的信息。与用户接口52相关联的信息,例如不同的网络视图和由用户配置的图标布局,被存储在用户接口数据库88中。
系统50的针对操作的初始配置可能包括将漏洞信息和资产信息存储在数据库82、84中。漏洞和资产信息可以由网络操作员人工输入,和/或从现有数据存储单元或其他源中引入。数据库82、84可以通过事件管理器72来被填充,如下所述,或可能地通过另一接口(未示出)来被填充,其中数据库82、84通过该另一接口是可访问的。
事件管理器72处理进入的事件,例如初始网络和漏洞配置信息,新漏洞的介绍,或网络拓扑或配置中的变化。信息可以由事件管理器72从仿真接口62、配置接口64或例如通信系统的网络管理系统(NMS)的一个或多个外部系统71来接收。
数据应用编程接口(API)代表事件管理器72和/或系统50的其它部件可以与一般在71所示的外部系统交换信息所用机制的另一个例子。这种信息的源,例如控制请求(regulatory requirement)、网络策略、防火墙规则、选路表、密钥或其它通信安全信息以及服务模型等,可以使用定义的数据API来向系统50传送信息。
通过仿真接口62,用户可以进行网络中的试验性或临时性变化。这使用户能够在网络中实际发生这些变化之前调查变化的效果,例如对策。来自仿真接口62的仿真事件以不同于接收自其他源的变化或更新的方式而被优先地处理,以便临时的仿真变化不会影响反映实际网络条件的漏洞和资产。这可以例如通过提供分离的仿真数据库来实现,其中临时的变化可以应用于所述仿真数据库。仿真数据库可以被存储,直到根据数据系统56中可用的存储空间量而被用户明确删除或清除,或当用户关闭或退出仿真接口62时自动被删除。
由事件管理器72从配置接口64或外部系统71接收的信息可以被处理并被写入数据库82、84,其中该信息影响了实际的漏洞或网络资产。由事件管理器72所执行的处理的特性可能例如取决于信息的类型、格式和/或源。
通过配置接口64而被输入的信息可能已经根据用于将信息存储在数据库82、84中的数据结构而被格式化,并且可以被写入数据库中,而无需大量的处理。然而,在接收自外部系统71的信息的情况下,例如格式化和/或内容转换的处理可以由事件管理器72来执行。例如,包括由网络中所用软件的销售商所发现的新漏洞的报告的电子邮件更新,可以由事件管理器72或另一部件来接收和处理,并且被用来更新漏洞数据库82。接收自NMS的网络设备或配置更新可能包括中等级别的处理,通常比来自其他外部系统71的信息的处理要少,但是可能比来自内部配置接口64的信息的处理要多。
事件管理器72因而可以接收与漏洞和资产相关联的信息,并且基于所接收的信息更新当前的漏洞和资产,或更具体地更新数据库82、84中的信息。
网络模型管理器74从事件管理器72、资产数据库84或二者捕获被分析网络的表示,以向用户呈现网络地图66。资产和它们的关系(如在资产数据库84中所指明的)被网络模型管理器74用来构建网络的模型。通过创建并访问资产数据库84中或可能另一数据库中的服务信息和关系,可以以基本相似的方式处理服务。像资产的服务可以具有与其他资产的关系。
影响当前网络模型的事件可以从事件管理器72被传递到网络模型管理器74,或被存储在资产数据库84中,用于由网络模型管理器74来访问。因此应当认识到,网络模型管理器74不必物理耦合到事件管理器72。在一些实施例中,仿真接口62和配置接口64可以有效耦合到网络模型管理器74,来将变化应用于模型。
风险分析器76执行风险分析和计算。根据本发明的一个方面,风险分析器76通过分析漏洞和资产来确定影响通信网络资产的漏洞,并确定通信网络中所提供的服务的风险。如上所述,与漏洞和服务/资产相关联的信息被存储在数据库82、84中,并且被风险分析器76访问。
资产可以包括物理资产、逻辑资产或二者,其中所述物理资产说明性地是通信网络中的设备,所述逻辑资产例如是运行于通信网络中的设备上的软件和由通信网络中的设备所存储的信息。
风险分析器76所确定风险的指示被提供给网络模型管理器74,以便包括关于所确定风险和服务与其他资产之间关系的指示的服务的整合表示,可以通过用户接口52以网络地图66的形式被提供给用户。网络地图66因而包括网络拓扑的表示和详细的安全风险信息二者。许多不同类型和布局的网络地图66中任一个都可以被用来呈现风险分析的结果。其中利用图标或图像、文本或其组合来示出资产和风险的网络的绘图表示,可以提供网络当前安全状态的最有效指示。在一些实施例中,网络地图66的格式和布局是根据存储于用户接口数据库88中的在先建立的用户接口设置的。
因此,网络地图66可显示系统的多个视图中的任一个,包括服务和资产的相互依赖性,同时以直观的方式显示安全风险聚合功能的结果。下面将详细讨论风险聚合功能的例子。也可以使用其它功能来提供安全风险和/或包含于整合服务级表示中的其它类型的信息。这些表示可以在网络地图66中被显示,或者以其它形式被呈现给用户。
可以由网络地图66、用户接口52的另一部件或由安全模块54的部件来支持安全状态可视化(SSV,Security State Visualization)工具,用于管理信息系统的服务级地图视图。可以以一系列连接和图标的形式在所显示的表示中呈现地图视图,其中所述连接和图标说明了服务与资产的相互依赖性、以及服务安全风险和可能的其它资产的安全风险。可以作为属性状态而提供关于服务和/或资产安全风险的指示,这将在下面参考图6至9进行详细的说明。在一些实施例中,SSV支持这样的功能:定制与服务和/或其相关资产相关联的安全风险属性的彩色编码表示。SSV工具还可以有助于显示资产和/或服务组以及每个组的收集状态。
可通过网络模型管理器74所支持的视图选择导航器(VSN,View SelectorNavigator)元件来控制在特定视图中所提供的指定信息。在这种情况下,SSV使用VSN来通过不同的服务级视图、以类似于网络地图66使用网络模型管理器74以通过不同网络视图进行导航的方式来进行导航。VSN基于要查看的服务和级别以及与该服务有关的资产来确定视图所需要的信息,其可以经由配置接口64来选择,并且从资产数据库84和安全状态数据库86检索信息。VSN可以检索与服务及其相关资产有关的任何可用信息,这包括风险分析器76所确定的指定安全风险信息。SSV基于VSN所提供的信息而生成服务的整合表示,这包括安全风险和服务/资产关系信息。VSN还可以与风险分析器76交互以获得要在服务级视图中呈现的安全风险信息。
本发明并不限于任何特定类型的表示或输出。例如,也可以设想例如警报或警告等的指示,其可以通过用户接口52本地提供或被传送给例如寻呼机或电子邮件客户端等远程系统。
风险分析器76可以向报告管理器78和安全状态数据库86中任一个或二者提供安全风险信息,并且在一些实施例中向生成服务的整合表示的其他部件提供该安全风险信息。在图3中,风险分析器76有效耦合到报告管理器78和安全状态数据库86二者。来自风险分析器76的输出还可以通过报告管理器78而被提供给安全状态数据库86。另一个可能选项是将风险分析器76和报告管理器78有效耦合到安全状态数据库86。在这种情况下,来自风险分析器76的输出被提供给安全状态数据库86,并且安全状态数据库86中的信息然后被报告管理器78访问,以通过报告接口68向用户提供报告。
报告接口68也可以接收来自用户的风险报告选择输入,用于配置由风险分析器76所确定风险的报告。风险报告选择输入可以控制报告管理器78所产生的报告的内容、格式或二者。响应于通过报告接口68所接收的风险报告选择输入,报告管理器78访问例如安全状态数据库86中的安全风险信息,并且生成用户的定制报告。
如上所述,用户可通过配置接口64执行各种不同配置任务中的任一种。用户可以输入例如与漏洞、资产或二者相关联的网络配置信息,从而有效地改变正分析的通信网络。还可以使用配置接口64来输入风险分析配置信息,以配置由风险分析器76应用于漏洞和资产的分析过程。根据用户提供的风险分析配置信息来适配所述风险分析过程。例如,风险分析适配可以包括选择风险计算的指定类型或其参数。
本发明的实施例还针对安全风险分析而规定了特定信息系统组件(feature)的选择,说明性地是服务。例如,用户可能对评估通信网络所提供的指定服务的风险感兴趣。
一旦已经选择服务,说明性地通过访问数据库82、84,风险分析器76就识别与所选服务有关系的资产,并且确定影响所选服务或所识别资产的漏洞。然后风险分析器76通过分析漏洞和资产来确定所选服务的风险。然后,可以通过网络模型管理器74、报告管理器78或二者来提供关于所确定安全风险的指示。
在一个实施例中,风险分析器76作为安全状态引擎(SSE,Security StateEngine)而被实现,其确定特定资产的安全风险并且还聚合来自多个促成的资产的安全风险,所述多个促成的资产既与所选服务相关,也与关联于所选服务的其它资产相关。为了跟踪服务安全风险的“根本原因”的促成方,SSE维持促成方的记录,例如基于资产关系而传播到服务的每个安全风险的因果链。也可以提供用来维持根本原因促成方的列表的其他方法。
上面已经主要就系统描述了本发明的实施例。图4是说明安全风险管理方法的流程图。
方法90开始于92,即网络和/或风险配置的操作。这个操作可以包括例如以下操作中的任一个或全部:填充或更新漏洞和/或资产信息、选择用于安全风险分析的一个或多个例如服务的指定组件,以及适配安全分析过程。
如果在92指明了指定网络服务,则在94确定漏洞,其中该漏洞影响了与所选服务有关系的所选服务和/或任何资产,并且在96分析所述漏洞和资产以确定所述服务的风险。在98,在服务的整合表示中提供关于所确定风险和服务与资产之间关系的指示。
应当认识到,方法90只是为了进行说明,而不限制发明的范围。本发明的实施例可以用比图4所示更少或更多的操作来被实现,或者所说明的操作可以以不同的顺序来被执行。例如,当网络漏洞和/或资产被更新或用于不同的仿真情景时,方法90的任何或所有操作可以被重复。
风险分析器76为确定服务的安全风险所进行的资产和漏洞的分析包括考虑资产间的关系的的风险暴露计算。其可能包括涉及提供所述服务的其他服务。通过这些关系,从通过其提供服务的基础资产将漏洞和风险的影响传播给该服务。漏洞的传播允许风险分析不仅考虑影响特定服务的漏洞,而且考虑影响与该服务有关系的其他资产的漏洞。对服务的风险确定因而可以基于其自己的漏洞,并且(如果有的话)基于影响与该服务有关的资产的传播漏洞。因此,漏洞、风险或二者的影响也可以被传播,并且应当相应地解释这里对漏洞和风险的传播的参考。
本发明的实施例还允许风险通过资产关系的多个级别传播到服务级。因此,风险分析过程不仅可以识别与服务有关系的那些资产,还可以识别那些与和该服务有关系的资产有关系的资产等。
关于风险传播,首先考虑资产类型之间可能存在的关系是有益的。图5是说明资产类型以及资产如何与其它资产相关的例子(即资产间的关系)的框图。
如上所述,资产可以是通信网络的物理或逻辑部件。在图5的系统100中,个人计算机(PC)101和SPARC工作站103是物理资产,而操作系统102、104、互联网(WWW)服务器106以及数据库108是逻辑资产。
图5还示出了这些资产之间的关系。信息系统不仅可以通过资产来描述,也可以通过它们之间的关系来描述。关系描述了如何互连资产和/或它们的功能相关性。
在图5中,PC 101和工作站103具有“连接(cabled-to)”关系,这指示这些资产通过某种通信链路进行通信,例如经由通信网络的物理连接。操作系统102、104由PC 101和工作站103中的处理器来执行,并且因此分别与PC 101以及工作站103具有“运行于其上”的关系。
服务器106和数据库108由软件来支持,该软件也由PC 101和工作站103中的处理器来执行。由于这种类型的软件通常是通过操作系统102、104或在其中被执行,因此服务器106和数据库108与操作系统102、104分别具有“运行于其上”的关系。
图5说明了服务器106和数据库108之间的另一类关系。例如,服务器106可以提供访问数据库108中所存储的库存信息的库存系统。由此,服务器106或其所支持的功能依赖于数据库108,并因此与数据库108具有“依赖”关系。
在一个实施例中,资产之间的关系可以以两级的方式来表示。第一,关系本身按照其类型和资产数量来表示,其中所述类型包括“连接”、“运行于其上”以及“依赖”,在所述资产之间可能存在特定的关系。图5中的“连接”关系例如是“连接”类型的,其需要至少两个端点资产。下面将详细描述的安全参数也可以包含于关系的规范中。
一旦定义了关系,作为特定关系的一部分的资产就与关系相关联。对于一些类型的关系,资产与关系的关联也可以指示资产是否是关系中的“来自”成员或“去往”成员。“来自”和“去往”信息被用于关系,例如“运行于其上”,其中“来自”成员是运行成员,而“去往”成员是运行成员在其上运行的成员。在图5中,操作系统102是操作系统102和PC 101之间关系的“来自”成员,而PC101是“去往”成员,如这些资产之间的箭头方向所指示的。对于“依赖”关系,“来自”成员依赖于“去往”成员。对于具有等价成员的关系类型,例如“连接”关系,“来自”或“去往”值可以被指派为“不可应用”等。
本发明不限于这种类型的关系表示。上面提供的表示仅是说明性的例子。
在通信网络或要为其评估风险的其它系统中也可能存在其它类型的资产和关系。
例如,为了呈现服务级视图,除了图5所示的资产与资产的关系外,提供了额外的服务与资产关系。这个服务与资产关系这里称作“包括”关系,并且被用来定义构成服务的物理和逻辑资产。
图6是说明服务、资产以及它们之间的关系的框图。在例子110中,服务112被示为与资产114、118、128具有“包括”关系。这些资产还与其它资产具有关系,由此该其他资产与服务112具有间接关系。图6中在资产组140、142、144、146、148中示出了相互之间具有“运行于其上”关系的资产。图6所示例子中的组间关系包括“连接”和“依赖”关系。
边缘路由器资产组142包括路由器操作系统(OS)资产114,其与服务112具有“包括”关系,并且与物理路由器资产116具有的“运行于其上”关系。在本发明的一个实施例中,在对服务112的安全风险分析中考虑了资产114、116二者。资产114与服务112具有关系,资产116与资产114具有关系,并且因此资产116的安全风险会潜在地影响服务112。
在防火墙资产组144中,防火墙软件资产118与服务112具有“包括”关系,并且与OS1资产120具有“运行于其上”关系,OS1资产120还与机架式PC资产122具有“运行于其上”关系。机架式PC资产122还与路由器资产116和交换机资产126分别具有“连接”关系。通过每个组与服务112的“包括”关系和/或通过其它组与服务112的“包括”关系,风险可以从防火墙资产组144中的资产并且类似地从边缘路由器资产组142中的资产,传播到服务112,其中风险穿过资产116、122之间的“连接”关系而传播。
企业交换机资产组146是比较特殊的情况,因为其资产与服务112不具有“包括”关系。交换机资产组146是重要的,因为它是web服务器资产组140与数据库服务器资产组148通信所用的唯一方式。因此,服务112间接依赖于交换机资产组146,即使交换机资产组146不包括图6所示的任一“依赖”关系或“包括”列表中的资产。一般来说,对于复杂的信息系统,检测这种间接依赖可能通过其而存在的特定交换机/路由器/集线器实际上是不可能的,如在上面提到的美国专利申请号11/232,004中所指出的。
交换机软件资产124与物理交换机资产126具有“运行于其上”关系,该物理交换机资产126与资产组144、140、148中的资产122、132、138具有“连接”关系。由于资产组144、140包括与服务112具有“包括”关系的资产,因此资产124、126可以包含于服务112的安全风险分析中。
资产关系同样可以允许风险从数据库服务器资产组148传播到服务112。数据库资产134与服务器资产128具有“依赖”关系,服务器资产128与服务112具有“包括”关系。数据库资产134还与OS3资产136具有“运行于其上”关系,OS3资产136与SPARC服务器资产138具有“运行于其上”关系。SPARC服务器资产138与交换机资产126具有“连接”关系,交换机资产126与资产122、132具有“连接”关系,风险可以凭此而经由其它关系路径传播回服务112。
如根据前述内容而变得显而易见的,风险可以从web服务器资产组140中的资产、通过服务器资产128和/或通过服务112与资产114、118之间的“包括”关系而传播到服务112,其中服务器资产128与服务112具有“包括”关系。服务器资产128与数据库服务器资产组148中的数据库资产134具有“依赖”关系,并且与OS2资产130具有“运行于其上”关系,OS2资产130与物理独立的PC资产132具有“运行于其上”关系。PC资产132与交换机资产126具有“连接”关系。
可以用与“连接”、“运行于其上”以及“依赖”关系基本类似的方式来配置并建模“包括”关系。在一些实施例中,也建模资产组。
本发明决不限于图5和图6的特定资产和关系实例。例如,这些图只示出了操作系统上的软件应用资产和硬件资产的一对一的关系。这只是为了进行说明。每个操作系统或硬件资产都可能具有多个相关的软件应用,并且因此一个应用的风险可能影响另一个应用。例如,在同一平台上提供web服务器和电子邮件服务器并不常见,尤其是对于小公司来说。这意味着web服务器的漏洞可能也影响电子邮件服务器。
还应当认识到,一些信息系统可能包括服务间组成。这使得多个服务级别能够被定义并组合成一个更高级别的服务表示。下面参照图8进一步详细描述由其他服务所组成的服务。
多个物理资产在同一资产组中也是可能的。这对于负载均衡是有益的,其中存在单元池,并且每个单元都可以执行所有功能。风险计算可以考虑对于“正常”操作来说需要一些最小数量的单元。
图5和图6所示的服务/资产和资产间的关系也不是旨在以任何方式限制本发明。也可以设想资产组与其它资产组之间、或资产组与服务之间或其他类型资产之间的关系。
尽管上面进行了简要描述,然而现在可参照图3和6详细考虑服务级风险分析。风险分析器76(图3)或SSE可以使用服务与资产之间的各种关系以及那些资产与其它资产之间的可能关系,来识别与所述服务具有各个关系的信息系统的一个或多个资产。
根据一个实施例,例如,当响应于用户通过配置接口64选择服务而对服务112执行安全风险分析时,风险分析器76从资产数据库84中获得该服务的信息。这个信息可以包括与服务112本身相关的信息,以及至少指定关联于服务的“包括”关系的信息,根据所述信息可以识别资产114、118、128。
然后,风险分析器76通过分析与所识别资产114、118、128相关联的安全漏洞,来确定服务112的一个或多个安全风险。这个确定可能不仅考虑了与服务112具有各自关系的特定资产114、118、128,还考虑了与那些特定资产具有各自关系的其它资产。风险可以从本身可能与服务112不具有“包括”关系的资产传播到服务112,如上所述。因此,风险分析器76可以基于资产数据库84中存储的关系信息来识别图6所示的任一或所有的资产。
安全风险的确定可能涉及聚合来自多个资产的安全风险。例如,可以将与资产组中的资产相关联的安全风险聚合成聚合组安全风险。也可以根据关系来聚合资产组之间的资产或聚合安全风险。例如在图6中,可以针对每个资产组140、142、144确定聚合风险,并且进一步聚合该聚合风险以确定服务112的安全风险。在这种情况下,可以以风险传播的形式来考虑风险聚合。下面进一步详细描述聚合功能的例子,尽管可以为此而使用除这里明确描述的之外的其他聚合功能。
聚合的安全风险提供了关于资产的总安全风险的指示,例如与其他资产具有关系的服务。然而,也期望具有关于聚合风险的指定促成方的知识,从而促进根本原因分析或可能的补救动作的研究。为此,风险分析器76还可以维持任一或所有的促成的资产的记录,其中聚合多个促成的资产的安全风险以确定聚合的安全风险。可以实际上以任何细节级别来跟踪促成的资产,尽管通常可能最关注对聚合安全风险负主要责任的资产。
例如,风险分析器76可以存储与最大安全风险值相关联的促成的资产的标识符,该最大安全风险值可以与其他安全风险值组合以确定聚合的安全风险。在一些实施例中,为每个聚合安全风险保存这种类型的记录。参照图6,可以为针对资产组140、142、144、146、148而计算的每个聚合风险以及为针对服务112而确定的总聚合安全风险,保存一个或多个促成的资产的各个记录。
在已经完成风险分析后,通过有效耦合到风险分析器76的接口来提供服务的整合表示。如上所述,网络模型管理器74和网络地图66、报告管理器78和报告接口68以及SSV和VSN,都是这种接口的说明性实施例。所述整合表示包括关于所确定安全风险的指示,以及关于在服务与每个所识别资产之间的各个关系的指示。下面参照图7至9进一步详细描述整合表示的例子。
应当认识到,通过其提供所述整合表示的接口可以用各种方式有效耦合到风险分析器76。在报告管理器78和报告接口68的情况下,该报告管理器可以从风险分析器76接收与(一个或多个)所确定安全风险相关联的信息。SSV/VSN实现还可以从安全状态数据库86中检索安全风险信息,并且由此间接地逻辑上耦合到风险分析器76。
这两种获取安全风险信息的方案还说明了安全风险信息可以在其被生成时或之后被呈现,所述方案包括风险分析器76所进行的实时生成和存储/访问机制,其中风险分析器将安全风险信息存储到安全状态数据库86中用于后续访问。例如,用户可以请求风险分析器76执行风险分析并且当已完成分析时查看该分析的结果。在一些情况下,风险分析器76可能已经完成了对选定业务的风险分析。例如,每当事件管理器72接收到相关事件时,风险分析器76就更新安全状态数据库86。在这种情况下,可以从安全状态数据库中获取先前生成的安全风险信息,而不是当用户希望显示服务级视图时才运行风险分析器76。因此,不必在完成服务的风险分析时就显示该服务的整合表示。
安全风险评估或管理工具同时支持实时风险分析和存储/访问方案也是可能的。这例如允许以下功能:当用户希望显示服务的服务级视图时调用风险分析过程,其中没有事先对该服务完成风险分析,但是当所述信息可用并且是当前信息时,从安全状态数据库86中获取服务的安全风险信息。
图7是提供服务的整合表示的GUI的框图。图7所示的示例性显示窗口150呈现了高层服务级视图,其包括信息系统中被建模资产的目录树152以及服务的整合表示154。图7中还示出了各种不同的其他图形元素,包括最小化、最大化和关闭按钮158、160、162、菜单选项163、指针、“捉取(grasp)”、缩放按钮166以及用于选择自定义缩放因数的下拉菜单165。
整合表示154包括指示当前视图的层或级别的元素178。在这个例子中,在表示154中示出了整个通信网络。
图7演示了定义服务的“包括”关系的使用。为了避免附图过度复杂,图7中只用参考号码指示了一个服务及其关系。如所示,图标172所表示的用户网络服务由视频头办公服务组成,其还由视频业务提供组成。关于用户网络服务与视频头办公服务之间“包括”关系的指示,在表示154中被示为链接175。
图7中所示级别上的一些服务代表与(一个或多个)较低级的其他资产具有附加依赖关系的较低级资产组。在177示出了在用户网络服务和接入网络服务的较低级资产之间的“连接”关系。在视频服务提供与区域传输网络服务之间、以及在视频服务提供与接入网络服务之间,也同样示出了其它“连接”关系。在这个例子中在代表关系的链接上使用不同的符号、以不同的方式示出了“连接”和“包括”关系。也可以显示任何其它相关关系,例如“运行于其上”和“依赖”关系。
在图7中服务图标的一侧示出了每个服务的安全风险的指示符。指示符174就机密性风险(C)、完整性风险(I)、可用性风险(A)以及如幅度(magnitude)(M)所示的服务的总安全状态而提供了关于用户网络服务的安全风险的指示。下面参照图9详细描述这些指示符。
在整合的服务视图中还可以呈现附加的信息。图7所示的整个网络视图包括国家(national)分发服务和超级头端服务,其是在与其他服务相同的分层网络级别上被建模的,但与那些服务没有关系。
本发明的另一方面允许用户下行至较低级视图。这个功能例如可以由SSV和VSN来提供。图8是提供较低服务视图的表示的另一GUI的框图。例如通过双击下一较高级视图中的资产图标以显示较低级细节、单击树目录182中的资产名称等,可以访问图8的较低级视图。
如图7的窗口150那样,图8所示的示例性显示窗口包括信息系统中被建模资产的目录树182,以及服务的整合表示184。然而,表示184是在与表示154不同的层或级别。如在208、210、212所示,表示184示出了ADSL用户服务,其是网络的用户网络服务的一部分。窗口180还包括最小化、最大化、关闭按钮188、190、192、菜单选项193、指针、“捉取”、缩放按钮196以及用于选择自定义缩放因数的下拉菜单195。
还提供了关于构成ADSL用户服务的资产和服务的安全风险的指示。资产被示为图标,例如204,关系被示为链接,例如202,并且利用C、I、A和M指示符来表示安全风险,例如206。
图8还演示了两个服务级“包括”关系的同时显示,以及用“连接”关系所说明的物理拓扑。如果在ADSL用户服务的资产中存在其它关系,例如“运行于其上”和“依赖”关系,则也可以显示它们。
因此,整合表示154、184以不同级别的细节来提供关于服务的安全风险的指示,以及至少一些关系的指示,其中服务通过所述关系而受到相关资产安全风险的影响。这些相关资产可以包括其它服务。
视图中示出的特定风险和关系取决于视图的级别。在图7中,在174显示的用户网络服务的安全风险是聚合的风险,而在图8中,可能影响用户网络服务的安全风险,是以涉及提供用户网络服务的基础资产的风险的形式进行显示的。图8中示出的ADSL用户服务中的一些风险和关系是在用户网络服务的内部,因此没有在图7的用户网络服务的顶级视图中示出。然而,在图7和图8中都示出了与接入网络服务的“连接”关系和与视频头办公服务的“包括”关系。
为了更清楚地表示图7和图8,在174所示的用户网络服务是在这种情况下与两个其他服务具有“包括”关系的服务。如在152、182所示,用户网络服务由ADSL用户服务和VDSL用户服务组成。ADSL用户服务还由在152、182所示的基础资产提供,并且在图8的表示184中。表示184中包含的资产既与ADSL用户服务具有“包括”关系,也与“包括”资产具有一些其他类型的关系。
图9是资产图标220的框图,其可以在服务风险GUI中被显示。资产图标220包括可能随资产类型而变化的资产符号222、资产名称228以及安全风险集合或状态指示符232、234、236、238和233、235、237、239。还示出了将图标220连接到其它图标以表示关系的链接224、226。
下面将进一步详细描述指示符232、234、236、238以及指示符233、235、237、239,其强调了同时显示总安全状态M以及C、I、A子状态的能力,所述子状态包括总状态。为了避免本说明书过度复杂,下面只明确描述了两组指示符232、234、236、238和233、235、237、239中的一组。应当认识到,可以以基本上类似的方式来确定并显示另一组指示符的风险信息。
在风险分析过程中确定与指示符232、234、236、238相对应的所有安全状态。尽管示例性图标220包括三个关键属性的指示符232、234、236,即机密性、完整性和可用性,然而其它实施例可以包括额外的或不同的属性,例如服务质量(QoS)、带宽和/或其他网络或安全参数。
可以根据由相关的“包括”资产所促成的关键属性值,来计算服务的指示符232、234、236所表示的状态。另外,可以基于服务关键属性和/或“包括”资产的总安全状态,来计算服务的总安全状态,其在图标220中由M指示符238来显示。
安全风险/状态指示符可以具有不同的显示特征,说明性地是不同的颜色,以传达潜在的安全问题。也可以使用符号222的颜色或另一显示特征来指示潜在的问题。例如符号222的颜色可能匹配于幅度属性指示符238的颜色编码。另一选项可能是以故障或告警颜色来显示图标符号,其中指示符232、234、236、238中任一个都指示了安全风险的特定级别或值。指示符和/或符号颜色编码可以通过菜单或其他用户接口来配置,或者体现为例如硬编码值。
在一些实施例中,图标220显示了服务或资产的不同类型的风险。由于与服务具有“包括”关系的资产的漏洞而引起的风险的表示方式,与由于其本身与服务不具有“包括”关系的资产的漏洞而引起的风险不同。例如考虑图6的资产组146、148,即使这些资产组中的资产与服务112不具有“包括”关系,影响这些资产的漏洞也会导致服务112的风险。通过这个类型的多级关系路径而影响服务的漏洞所造成的风险的显示,与通过单个“包括”关系而影响服务的风险的显示不同。
可以使用图9中指示符232、234、236、238和233、235、237、239的各个集合来表示不同类型的风险。可以用资产符号222一侧上的指示符232、234、236、238来表示影响服务的“包括”资产的风险,而用资产符号的另一侧上的指示符233、235、237、239来表示其他风险。表示不同类型风险的其它布局和机制也是可能的。
如上所述,可能期望研究安全风险通过其传播至服务或资产的一系列关系。根据本发明的一个方面,当聚合多个资产的风险时,维持一个或多个促成的资产的记录。例如,这种记录可通过图标符号222、名称228或指示符232、234、236、238和233、235、237、239来访问,在这种情况下所述指示符不仅指示安全状态,还指示功能图形元素。在一个实施例中,当右击所述指示符之一时所显示的弹出菜单使得用户能够查看风险的促成方。促成方可以在列表中、在服务表示中被突出显示,或者以一些其他形式呈现给用户。然后用户可以确定信息系统中的安全风险的起源。
也设想了其他“跟踪”机制。用户可以选择资产来显示用于访问信息的菜单,其可以包括例如可能被资产的风险影响的服务的列表。在一些实施例中,还提供了一种功能用来跟踪在相反方向中的影响,以列出可能潜在影响资产的其它资产。同样可以通过选择关系来显示可能通过该特定关系所传播的安全风险。
上面安全风险显示功能的例子并不是穷举的。其他功能对于本领域的技术人员也是显而易见的。
如上面简要描述的,资产之间的关系可以被用在安全风险分析系统或方法中,以在相关的资产之间传播安全风险。现在将进一步详细描述风险传播,这包括风险聚合功能。
资产之间的传播类型可能依赖于那些资产之间的关系。例如,资产之间的“依赖”关系可能指示一个资产的可用性依赖于另一资产的可用性,然而在“连接”关系的情况中就不是这样。在后一情况中,仅一个资产为不可用,并不意味着另一资产也不可用。这个情景的一个例子是连接到网络的两个PC。
例如,风险分析器76(图3)可以确定影响与通信网络相关联的资产的漏洞,并且从资产向与该资产有关系的另一资产传播该漏洞的影响。这种传播以及反方向的传播,可以应用在资产和与该资产有关系的每个其它资产之间。
风险分析器也可以基于影响资产的漏洞和从其它资产传播到该资产的漏洞,来确定资产和/或网络、其服务以及其他网络组件的安全风险。
图10是风险计算系统的框图,其可以例如在图3的风险分析器76中被实现。风险计算系统240包括风险计算器242;有效耦合到风险计算器242的总暴露计算器244;有效耦合到总暴露计算器244的直接暴露结算器246;有效耦合到风险计算器242、直接暴露结算器246以及间接暴露计算器248的漏洞数据库252,其中该间接暴露计算器还有效耦合到总暴露计算器244;有效耦合到间接暴露计算机248的可到达性计算器250;以及有效耦合到风险计算器242、直接暴露计算算器246、间接暴露计算机248以及可到达性计算器250的资产数据库254。
计算器242、244、246、248、250可以例如在由处理器执行的软件中被实现,尽管也可以设想基于硬件的实施例以及其中利用硬件和软件的特定组合来实现计算功能的实施例。
风险计算器242使用暴露和资产信息来计算资产、网络服务或其他所选网络组件的安全风险。暴露是在给定资产与影响资产的漏洞之间的映射。如上所述,漏洞是使资产容易受到攻击或故障影响的资产操作中的条件。例如威胁值的其他信息也可以在计算风险时被风险计算器242使用。可以例如由用户针对资产所输入的威胁值是关于资产可能受到损害的指示。例如,没有与网络连接且处于高度受保护房间中的PC可能被标记以比连接到网络的PC低的威胁值,即使是在它上面运行的软件中存在几个漏洞。
风险计算器242的输出实际上优选地是多维的。由于网络复杂度随着提供各自指定服务的设备而增加,因此所确定的风险优选地反映了安全的多个方面或参数,例如机密性、完整性和可用性(C,I,A)。
例如,包含于风险计算器242所提供的输出中的安全维数可以由用户/所有者通过配置接口64(图3)来预先确定或配置。用户/所有者可能希望评估影响服务可用性的服务的安全风险。在这种情况下,风险计算器242提供指示了所选服务可用性的安全风险的输出。
安全维数信息可以以数字的格式被提供,如包含于0和1之间的数字,其指示了重要性级别或资产、服务或其他网络组件的安全维数的相关性。例如,三元组(1,0,0)可以用来指示机密性风险,或如下所述,资产具有针对提供网络中机密性的值。然而应当认识到,其他指示可以用于安全维数,例如关于每个安全维数的资产、风险、漏洞的严重性或重要性的指示。例如,三元组(0.75,0.50,0.25)提供了C、I、A参数具有不同重要性级别的指示。
在系统240中,可以由总暴露计算器244根据直接暴露或间接暴露中任一个或二者来计算暴露。直接暴露是由直接暴露计算器246基于直接影响资产的漏洞来确定的。间接暴露计算器248计算不同类型的暴露,即间接暴露,它从相关资产传播到所述资产。例如,与操作系统相关联的漏洞的影响可以传播送到该操作系统的任一应用程序。在图5中,影响操作系统102、104的漏洞的影响可以被分别传播到服务器106和数据库108。间接暴露计算器248在其对风险的间接暴露的确定中使用与关系、资产以及可到达性有关的信息。
可到达性是由可到达性计算器250基于关系和资产信息来确定的。可到达性计算器250实现了计算网络中资产之间路径的暴露的功能。例如,图5中的服务器106依赖于通过PC 101和工作站103的、在它本身与数据库108之间的物理连接。这种连接的暴露这里称作“可到达性”。
系统240中的计算器可以访问数据库252、254,以获得关于漏洞和资产的信息,/或获得从其他计算器输出的信息,以用于其他计算,如风险计算器242和总暴露计算器244的情况。这个计算器集合可以灵活地应用于风险计算。不同的用户/所有者或团体(例如企业、政府、军队以及公众)可能具有不同的需求或风险评估情景。
例如,通过总暴露计算器244有效耦合到直接和间接暴露计算器246、248的风险计算器242,可以基于由针对当前风险分析操作而选出的特定计算器所确定的暴露来确定安全风险。例如,用户可能选择直接暴露分析,在这种情况下选择直接暴露计算器246。
例如通过经由用户接口输入风险分析配置信息而明确选出特定计算器或要分析的特定类型的暴露,可以实施针对安全风险分析操作的计算器的选择。计算器选择在所执行的一种类型的风险分析中也可以是固有的。在一个例子中,全网络的风险评估自动地致使所有暴露计算器被选择,而更有针对性的风险评估可能致使计算器的各个子集被选择。也可以设想其他选择机制,并且它们对本领域技术人员而言是显而易见的。
计算器选择的实施也可能与实现相关。在一些实施例中,计算器只有在它被选择用于当前风险分析操作时才可用于计算其相应类型的暴露。另一可能实现可能具有在每个风险分析操作期间确定其相应类型的暴露的计算器,同时另一部件(例如总暴露计算器244)选择一个或多个不同类型的暴露以包括在总暴露计算中。
应当认识到,不是每个计算器都必须是可选的。缺省的或基础计算器,说明性地是直接暴露计算器246,可能一直自动被选择并用于每个风险分析操作中。在这种情况下,间接暴露计算器248可以是可选的以提供风险分析中的灵活性。
附加的基于行为的部件也可以与风险计算系统中的这些计算器相结合。例如,遍历代理或功能可以被用来在风险评估期间确定处理与网络相关联的资产的最佳顺序。
根据一个可能的风险评估方案,每个资产被顺次处理而与拓扑无关。在其他方案中,可能以基于更复杂算法的顺序来处理资产,其中该算法基于例如资产关系和资产路径和/或攻击路径来顺次选择资产。也可能在确定遍历顺序中考虑风险传播特征。例如,风险传播特征可以被用于将风险传播限于最多两个关系。在这种情况下,与资产具有不止两个关系的那些资产将不会看到风险对该资产的影响。在分析操作期间使用的特定遍历顺序算法可以是预先确定的,或者是可选择的或可由用户配置。
另一可能的行为部件是资产漏洞构建器,其构建漏洞与资产之间的关联。这个部件将漏洞映射到它们所影响的资产,其中暴露计算器246、248可以与该部件交互以确定直接和间接暴露。上面提到的未决的美国专利申请号___<代理案卷号为51236-118>,描述了一种可用在一些实施例中以关联安全漏洞与资产的技术。
直接暴露计算器246基于这些映射来计算直接风险。通过关系,间接暴露计算器248可以确定哪些被资产漏洞构建器映射到资产的漏洞传播到其他资产。
在一些实施例中,暴露计算器246、248本身将漏洞映射到资产,而不是利用分离的资产漏洞构建器。
如上所述,资产到漏洞的映射构建网络资产与已知漏洞之间的关联。资产和漏洞数据库252、254存储了被访问并被处理以构建这些关联的资产和漏洞信息。
对于指定资产,映射过程可以包括比较资产信息和被利用资源。资源可以是特定的平台,其在资产和漏洞数据库中通过名称和版本号而被识别。还可以在资产与漏洞的匹配期间处理其它资产和漏洞信息。平台漏洞以及其它类型的漏洞可能具有其他需求,例如必须用来利用漏洞的特定访问机制。在这种情况下,将针对资产的访问机制与漏洞所要求的访问机制进行比较。
如果资产信息与漏洞信息相匹配,则在该漏洞与资产之间创建关联。在上面的例子中,如果资产与漏洞平台名称、平台版本以及访问机制匹配,则创建关联。例如可以通过将有漏洞的受影响资产的标识符存储到漏洞数据库252中、将具有受影响资产的漏洞的标识符存储到资产数据库254中、或者将受影响资产和漏洞的标识符存储到分离的资产漏洞表中,来创建资产与漏洞之间的关联。
资产关系可以被搜索以确定每个资产是否与直接受漏洞影响的资产有关系。可以在漏洞与每个资产之间进行关联,其中所述每个资产与直接受影响的资产有关系。例如,关系搜索的深度和类型可以由用户指定。
可以针对漏洞数据库252中的所有漏洞以及资产数据库254中的所有资产,重复上述操作。
例如通过从菜单中呈现的可用功能列表中进行选择,由风险分析器或SSE用来计算总暴露或聚合风险的指定功能可以是硬编码的或可配置的,所述功能可以包括聚合的C、I、A属性、聚合幅度(magnitude)和/或其它聚合风险。例如,菜单选项允许从风险分析系统中可用的聚合功能集合中进行选择。
聚合功能集合可以包括在安全风险或促成的资产的特定关键属性之间的、或在导致总幅度的聚合关键属性之间的任何功能关系。将关键属性聚合成总幅度可以例如包括:最大化功能、最小化功能、求和功能、加权和或其它功能,例如下面详细描述的那些。总幅度还可以只考虑资产或服务的某些关键属性。例如,如果服务在完整性方面很重要,则相比机密性和可用性属性,用于确定该服务的总安全状态的功能可能要朝着完整性属性而被更大地加权。
考虑可用在一些实施例中的聚合功能的例子,资产的风险(RiskA)可能依赖于资产的值(ValueA)和漏洞已经对照资产而被利用的可能性(LikelihoodA)。假设资产A受k个漏洞V1…Vk的影响。典型地,与该单个资产相关联的风险定义如下:
RiskA=ValueA×LikelihoodA (1)
LikelihoodA=ThreatA×maximum{Vulnerability(Vi)|1≤i≤k} (2)
这里,ValueA是指与资产A的损坏相关联的丢失或损坏量。可能性等式(2)依赖于给定的假设,其假设对于每个影响该资产的漏洞Vi,在Vi与该资产之间必须存在直接或间接的“被利用”关系。
如上面所指出的,(1)和(2)适用于单个资产。现在假设服务S依赖于k个资产A1…Ak。如果所有资产A1…Ak不会被损坏,其中该损坏会导致该资产的机密性、整体性、可用性或一些其他系统或安全参数的丢失或部分丢失,则与各自服务相关联的风险可以如下计算:
RiskS=ValueS×maximum{Likelihood(Ai)|1≤i≤k} (3)
Likelihood(Ai)定义了漏洞已经对照资产Ai而被利用的可能性。等式(3)依赖于给定的假设,其假设如果Likelihood(Ai)<Likelihood(Ai),则对于具有给定动机和能力的给定对手,所述可能性减少至漏洞级别。同样,如果对手具有执行低漏洞攻击的知识和/或许多专用资源,则该对手还可能执行高漏洞攻击。
如果不是所有的资产A1…Ak都不会被损坏,其中为了例如复原而提供冗余服务器或数据库,则可以根据下式计算服务的风险:
RiskS=ValueS×minimum{Likelihood(Ai)|1≤i≤k} (4)
例如“连接”关系可以代表提供网络服务的基础网络。因此,如果资产a,例如图5的服务器106,依赖于资产b,即数据库108,则假设资产a能够通过用“连接”关系的路径所表示的互连网络C来接入资产b。在这种情况下,资产a依赖于资产b和互连的网络C。尽管可以通过(1)给出资产a的风险,也可以利用不同的技术来评估与网络C相关联的可能性。上面提到的美国专利申请号11/232,004公开了可用于评估风险的技术,其中在两个相关资产之间的路径包括多个“连接”关系。为此也可以使用其他技术。
根据本发明实施例的风险分析和聚合功能依赖于影响资产的安全漏洞,以及在信息系统资产之间的关系。可以通过用于存储漏洞和资产数据的特定数据结构来促进用于确定影响资产的漏洞的过程。图11A和11B分别是漏洞和资产数据结构的框图。漏洞和资产数据库可以包括多个具有图11A和11B所示结构的记录。
如图11A所示,用来在漏洞数据库中存储漏洞信息的漏洞数据结构330可以包括漏洞标识符332和漏洞定义334。标识符332标识了漏洞,说明性地用名称来标识,并且漏洞定义334可以包括例如平台标识符,其标识了被漏洞利用或影响的硬件或软件平台。例如可以用名称和版本号来标识平台。定义334还可以提供其他漏洞信息,例如其影响,说明性地如按照上述(C、I、A)安全维度的数字三元组、例如针对要被利用的漏洞而需要的访问机制的条件等。例如根据应用漏洞定义语言(AVDL,Application Vulnerability Definition Language)、公共漏洞和暴露(CVE,Common Vulnerability and Exposure)和/或普通漏洞评分系统(CVSS,Common Vulnerability Scoring System),可以指明这个信息。其它漏洞信息选项也是可能的,并且对本领域的技术人员而言是显而易见的。
漏洞数据结构还可以包括漏洞/资产关联的指示的特定形式。例如,当资产被识别为与漏洞具有“被利用”和/或“受影响”关系时,资产标识符和关联类型可以被添加给漏洞数据结构。
图11B的资产数据结构340包括资产标识符342、资产类型344、资产值346以及资产配置文件348。例如,标识符342利用用户定义的名称来唯一地标识资产。资产类型字段344可以将资产的类型指示为如上所述的物理或逻辑资产,和/或提供关于资产特性的细节,例如资产对其来说很关键或很重要的任何服务或任务。资产值346指示了资产的一个或多个值,例如按照(C,I,A)安全维数的值和/或元值(dollar value)。
资产配置文件348包括用于将漏洞映射到资产的信息。如果在数据结构330(图11A)中用其名称和版本标识了操作系统漏洞,则PC的资产配置文件348可以标识PC操作系统的名称和版本,并且漏洞由此可以通过将漏洞定义334中的信息匹配于资产配置文件而被映射到它所利用并影响的资产。可用于访问资产的访问机制也可以在资产配置文件348中被指示,以用于将需要特定访问机制的漏洞映射到资产。
还应当认识到,资产和漏洞可以被反向匹配,这是因为与资产相关联的信息可以被用来识别影响该资产的漏洞。
包含于风险评估中的漏洞和资产可以由风险分析器通过访问数据结构330、340中的信息而类似地被识别。参照图3,假设用户/所有者通过配置接口64选择机密性(C)风险评估。在这种情况下,风险分析器76访问数据库82、84,以识别影响机密性的漏洞以及对维持网络中机密性而言有价值的可能资产。
关联于资产与其他资产之间关系的信息,也可以以关系类型以及每个关系的资产标识符的形式而包含于资产配置文件348中。
关系还可以在分离的数据结构中被指示。这种数据结构可能包括关于关系类型的指示和共享该关系的端点或资产。利用这种数据结构,可以识别与服务和其他资产有关系的资产。
如上所述,资产类型字段344可以标识资产对其很重要的服务。在另一个实施例中,在基本上与数据结构340类似的数据结构中分别指定服务。在这种情况下,可以在服务和资产数据结构中任一个或二者中或在不同的关系数据结构中定义服务/资产关系。
图11C是说明示例性安全状态数据结构335的框图。如所示,安全状态数据结构335包括资产或组件标识符341,和安全状态信息,该安全状态信息包括直接暴露信息343、间接暴露信息345、总暴露信息347和风险信息349。
标识符341例如按照用户定义的名称来标识信息系统的服务或某些其他资产。字段343、345、347、349存储安全状态信息,其优选地包括由计算器242、244、246、248(图10)所计算的暴露和风险值。这些值中的任一个或全部都可以被表示为上述(C,I,A)安全维数的值。
应当认识到,字段343、345、347、349也可以存储其他暴露或风险信息,例如另一资产的标识符、关系类型以及间接暴露信息345情况下的传播漏洞。
数据结构335的其他变型包括针对资产或组件的直接和间接暴露提供多个暴露字段。例如,可以针对每个漏洞而提供分别的字段,其中所述漏洞直接或间接影响资产。也可以通过包括一个或多个针对每个聚合值的促成的资产的标识符字段,来支持对促成的资产的跟踪,其中安全风险/暴露信息包括聚合值。
例如,数据结构335可以用于安全状态数据库86(图3)中的数据存储。在另一实施例中,暴露和风险信息被添加给资产数据库中的资产记录,在这种情况下,暴露和风险字段343、345、347、349中任一个或全部都可能包含于资产数据结构340中,可能地作为资产配置文件348的一部分。
数据结构330、340、335是可以用于存储漏洞、资产和安全状态信息的数据结构的说明性例子。包括附加的或不同的信息的不同数据结构可以用在其他实施例中。
图12是说明风险计算方法的流程图。在图12中,方法350中的操作被标记以参考号码,并且各个操作的输出邻近于所标记的操作块而被示出。图10所示的根据本发明实施例的计算器的操作也将根据图12及其描述而变得显而易见。
方法350开始于352,即由如上所述的资产漏洞构建器来确定资产和漏洞以生成资产/漏洞关联。这个确定可能简单地包括检索所存储的资产和漏洞信息,或者在一些实施例中处理信息以计算资产和漏洞信息,该资产和漏洞信息然后被比较,以映射或关联资产和漏洞。
在354,确定用于处理资产的遍历顺序。接着在356利用资产/漏洞关联来确定以遍历顺序的资产的直接暴露。
在354,可以在(C,I,A)项中确定直接暴露。在这种情况下,每个漏洞都具有表示漏洞对资产所造成的影响的(C,I,A)值。在一些实施例中使用规则集来确定如何计算最终的直接暴露值。例如,利用直接造成影响的所有漏洞的(C,I,A)值之和,来生成资产的直接暴露,如在352所确定的资产漏洞关联中所指示的那样。其他可能的直接暴露计算规则可以指明选择漏洞的最大值或每个安全维数的最大值作为最终的直接暴露值。用于直接暴露计算的一个或多个规则可以被预先确定或由用户选择。在一些实施例中,将C、I、A项组合成总幅度M。
应当认识到,对于确定最终的直接暴露,其它选项也是可能的。例如,直接暴露计算器可以考虑附加的信息,例如用户输入的或提供的攻击专家指示。
总暴露在358被确定,尽管在这种情况下在356仅确定了直接暴露,并且因此总暴露与该直接暴露相同。
352到358的操作可以初始化基于软件的计算器和要用在后续风险分析中的数据,该数据特别是对于所有资产的直接暴露和总暴露。然而,应当认识到,用户/所有者可以配置风险分析系统,以便仅分析直接漏洞。在这种情况下,针对所有资产或仅针对与特定服务、任务和/或安全维数相关联的特定资产,在356确定直接暴露。在358的总暴露的确定在这种情况下仍可以被执行,即使总暴露和直接暴露相同。这可能例如在基于软件的系统中十分重要,在该系统中风险计算器被配置用来基于总暴露变量来确定安全风险。
如果风险分析要考虑间接暴露,则方法350接着转换到间接暴露阶段,并且在360继续进行以确定资产的可到达性。在服务安全风险分析的情况中,间接暴露是头等重要的。
如上所述,资产可能具有例如在它们之间的“依赖”的关系。例如,web服务器A可能依赖于数据库服务器B。在这种情况下,A的功能性依赖于正确运转且通过网络可到达的B。为了确定可到达性,考虑网络中的其他资产,以及A与B之间的“连接”和“运行于其上”关系。对于服务来说,还要考虑“包括”关系。
说明性地利用特定形式的Dijkstra算法、开放式最短路径优先(OSPE)算法、基于上面提到的美国专利申请号11/232,004中公开的“割集(cut-set)”技术的算法、或者解决了关系的某些其他算法,来确定这些资产之间路径的暴露。两个端点资产之间路径中每个资产的暴露也被确定。这个算法的输出是可到达性值,如图12所示的包括每个连接的资产对的总暴露的可到达性表。
以在354所确定的遍历顺序或可能以不同的顺序,在362选择资产,并且在364基于其可到达性和关系来确定它的间接暴露。
间接暴露表示资产通过其关系对其他资产的风险或漏洞的暴露。间接暴露的确定可能包括遍历与资产相关联的关系的整个列表,并且评估是否实现了那些关联中的每一个,即关联于一个或多个其它资产。
当一个资产依赖于另一个时,这也意味着被依赖的资产通过网络是可到达的。因此,每个资产的可到达性的风险因而可以包括在间接暴露计算中。
规则集可以用来确定如何基于资产类型和关系来计算间接暴露值。例如,操作系统资产可能与路由器资产不同地看待“依赖”关系。
对于每个关系评估,可能存在要考虑的几个属性,包括:关系端点处的资产的类型、那些资产的直接暴露值、与关系相关联的比例因子,以及那些资产之间路径的暴露值。
关系端点的可到达性暴露可以利用上述可到达性表而被评估。这表示资产之间路径的暴露值。
利用包含于间接暴露规则集中的参数,计算来自每个关系的暴露的评估。例如,路径暴露和端点暴露可以被组合,并且接着乘以关系比例因子来确定单个关系的间接暴露。这些操作针对与资产相关联的每个关系而被重复。
一旦确定了所有关系暴露,就基于关系暴露来确定间接暴露。例如,可以对关系暴露求和,或可以选择最大或最小关系暴露或每个安全维数的最大值或最小值,从而确定最终的间接暴露。例如上面提到的割集技术的其他算法也可以用来确定间接暴露。
在366确定资产的总暴露,其包括在354所确定的直接暴露和在364所确定的间接暴露。至于上述直接和间接暴露,规则集可以用来定义如何确定总暴露。例如,规则集可以指明总暴露的75%是来自直接暴露而25%来自间接暴露。还可以作为需要所有相关资产情况下的最大值函数、作为需要其中任一个相关资产情况下的最小值函数,或作为基于上述相关性特性的最大值和最小值函数的组合,来计算总暴露。例如,假设服务级资产是具有基于资产(A、B和C)以及(D或E)是安全的这一需求的相关性的“包括”资产A、B、C、D和E,则可以按照下式计算总暴露:
Total Exposure=Max Exposure(Max Exposure(A、B、C),Min Exposure(D、E))。
总暴露计算也可能随资产类型而变化,以例如针对操作系统和硬件平台而提供不同的总暴露计算方案,其中该总暴露计算应用于所述资产。
由于与资产有关系的其他资产的总暴露可能影响该资产的可到达性,因此该资产的可到达性可能在368再次被确定,以更新资产可到达性表。例如,通过路由器连接到网络的PC可能具有对路由器可到达性的高度暴露。因此,PC可能随着路由器的总暴露而具有较小的可到达性。
如在370所示,针对所有要分析的资产重复362到368的操作。这在执行全面的网络分析时可能包括所有的资产,或者在针对特定资产或资产组或者特定服务、任务或安全维数而进行更具针对性的分析时,仅包括特定的资产。
在一些实施例中,步骤360-368被迭代,直到暴露计算收敛,如在372所示,或已经完成预定的迭代数量。
然后,在374利用总暴露确定安全风险的评估,并且提供安全风险的指示。
在图12中所提供的方法350的步骤只是为了进行说明,并且不应当被认为是将本发明实施例的实现限制于这些指定的步骤。例如,在一些实施例中,可将步骤352-374组合成更少的步骤,以优化该方法。
风险计算,如暴露计算,可以由规则集来控制。相对简单的风险计算器可以实现其中将暴露值乘以资产值的乘法规则。如果使用(C,I,A)值,则这个类型的方案有效地解决了资产和暴露安全参数中的差异。例如,只有当资产值也具有机密性参数1时,暴露值(1,0,0)才生成风险值(1,0,0)。因此,只有当资产具有针对机密性的值时,机密性暴露才会导致机密性风险。机密性暴露不会对仅具有针对完整性和/或可用性的值的资产造成任何风险。
风险的确定也可能包括处理其它信息,例如用户输入的威胁值。在“相乘”风险计算规则的情况下,威胁值可以调节(scale)暴露和资产值的乘积。
图13是系统380的框图,可以结合该信息系统实用本发明的实施例。图13中的通信网络382包括可以通过其而建立通信链路的路由器/交换机384、386、用于管理路由器/交换机模决384、386的网络管理系统388、通过路由器/交换机384通信的服务器计算机392和数据库服务器计算机398,以及管理由服务器计算机392和数据库服务器计算机398所提供的服务的服务器管理系统390。
服务器计算机392和数据库服务器计算机398是图5所示的PC和工作站的例子。这些计算机,以及它们的操作系统394、400和服务器与数据库应用软件396、402,进行协作以提供数据库访问服务,例如库存服务。
可以被实现为路由器/交换机384、386、服务器计算机392、398和管理系统388、390以及通信网络382中可能提供的其它设备的设备类型,对本领域的技术人员而言是显而易见的。本发明决不限于任何指定类型的设备或其他通信网络资产。尽管图13中没有明确示出,然而与通信网络382相关联的其他资产,包括容纳通信设备或其他资产的建筑物,也可以包括在通信网络风险分析模型中。
这里公开的安全风险评估技术在网络管理系统388中针对评估通信网络382中资产的风险是有用的。服务管理系统390是另一类型系统的例子,在该系统中本发明的实施例针对管理服务器计算机392、398和提供服务中所涉及的其它资产的风险可能是有用的。
风险分析器可以被实现为现有网络和服务器管理系统的扩展,以提供当前的网络和/或服务安全状态信息。例如考虑电信服务提供商,本发明的实施例补充了操作支持系统(OSS)并且可以被并入紧邻网络操作中心(NOC)的安全操作中心(SOC)。对于OSS软件销售商,这里公开的风险分析和管理技术提供了这样一个机会:即提供了可以作为定制添加的部件而被提供的指定安全扩展。
本发明的实施例可以提供相对于当前可用的信息系统和安全管理工具的许多优点。
由于安全漏洞所造成的风险与服务级视图有关。例如优先使用的服务级风险分析大大改进了风险分析工具的效用。
随着通过服务查看风险,可以呈现每个根本原因的“总影响”。这允许补救动作的最佳优先。例如,如果通信网络的三个节点处于风险中或遭受攻击,则若干服务可能受到影响。现有的系统典型地对照每个资产来评估重要性,或者试图通过给每个资产分配静态“值”来区分优先顺序。利用这里公开的技术,可以动态计算对每个资产和服务的实际影响。
可以同时与其它资产关系一起显示服务的整合视图。所述整合视图允许以便利的方式显示与服务有关的详细信息。
还提供了一种以便利且直观的方式显示多个关键属性以及聚合值的机制。这是对现有系统的改进,其既提供关键属性的有限信息,也强制操作员通过附加屏幕或功能而访问其它报告。
在一些实施例中,也可以将关键安全属性和/或其它风险信息聚合成单个属性或值,同时所聚合的或促成的属性或值对用户是可用的。
本发明提供了一种将软件版本、补丁和其它资产信息关联于整合服务视图的方法。当前的软件管理系统可以提供软件漏洞和补丁状态的视图,但是没有将视图关联于商业目标或信息系统的上下文。这导致涉及商业功能的较差的区分优先顺序。如这里公开的服务的整合表示提供在服务、“包括”资产和可能地其它资产之间的明确关系。
这里公开的各种不同的可视显示特性还可以降低正常操作对操作员的技术水平需求。
尽管上面主要就安全风险进行了描述,然而针对许多其他目的而使用本发明是可能的,例如容量设计、QOS设计等。本发明的实施例对于在错误条件下检查信息系统容量也是有用的。相反,在错误条件下,这里公开的模型可以被用来确定哪些低优先级服务或功能可以被停止以保持高优先级功能的完整性。
已经描述的内容仅是对本发明原理的应用的说明。本领域的技术人员可以在不脱离本发明范围的前提下实现其它安排和方法。
例如,应当认识到,这里公开的服务级风险聚合功能不必用来只确定服务级安全风险。这些功能还可以被用来根据资产之间的关系而聚合其他类型的资产组的安全风险,例如图6中所示的那些。
聚合功能还可以应用于资产与多个漏洞相关联的情况。例如上面的等式(1)和(2)中所示,可以基于与资产相关联的漏洞的最大值来确定该资产的风险。也可以设想最小值功能和其他功能,其基于多个漏洞或由于那些漏洞而引起的安全风险来确定聚合的资产风险。因此,在一些实施例中,利用最大值功能、最小值功能或一些其它聚合功能来确定聚合的资产安全风险。这里对聚合由于多个漏洞而引起的风险的参考,旨在包括聚合所述漏洞或所产生的资产风险,并且应当被相应地解释。在一些实施例中,为聚合资产风险维持对促成的漏洞的记录。
尽管主要就方法、系统和数据结构进行了描述,然而也可设想本发明的其它实现,说明性地例如存储在机器可读介质上的指令。
Claims (26)
1.一种装置,该装置包括:
风险分析器,其被配置用来识别与信息系统所提供的服务具有各个关系的该信息系统中的一个或多个资产,并且用来通过分析与所识别资产相关联的安全漏洞来确定所述服务的一个或多个安全风险;以及
接口,其有效耦合到所述风险分析器,并且被配置用来提供所述服务的整合表示,该整合表示包括关于一个或多个所确定安全风险的指示,和关于所述服务与一个或多个所识别资产之间各个关系中至少一个的指示。
2.根据权利要求1所述的装置,其中,所述风险分析器和所述接口中的至少一个是用由处理单元执行的软件来实现的。
3.根据权利要求1所述的装置,其中,一个或多个所识别资产包括与该服务具有各个关系的一个或多个其他服务。
4.根据权利要求1所述的装置,其中,一个或多个所识别资产包括只凭借与和所述服务有关系的资产的关系而与该服务具有关系的资产。
5.根据权利要求1-4中任一个所述的装置,其中,所述风险分析器被配置用来通过聚合一个或多个所识别资产中多个促成的资产的安全风险,来确定所述服务的一个或多个安全风险。
6.根据权利要求5所述的装置,其中,所述风险分析器被配置用来通过执行以下操作之一来确定所述一个或多个安全风险的聚合安全风险:
选择所述多个促成的资产的安全风险的最大值,作为聚合的安全风险;
选择所述多个促成的资产的安全风险的最小值,作为聚合的安全风险;以及
基于所述多个促成的资产的最大和最小安全风险的组合来确定聚合的安全风险。
7.根据权利要求1-4中任一个所述的装置,其中,所述风险分析器被配置用来通过聚合由于与资产相关联的多个安全漏洞而引起的安全风险,来确定所述一个或多个资产之一的聚合的资产安全风险,并且其中,所述聚合包括执行以下操作之一:
基于由于多个安全漏洞而引起的安全风险的最大值,来确定聚合的资产安全风险;
基于由于多个安全漏洞而引起的安全风险的最小值,来确定聚合的资产安全风险;以及
基于由于多个安全漏洞而引起的最大和最小安全风险的组合,来确定聚合的资产安全风险。
8.根据权利要求1-4中任一个所述的装置,其中,所述关于一个或多个所确定安全风险的指示包括关于至少一个安全参数的指示。
9.根据权利要求1-4中任一个所述的装置,其中,所述服务的整合表示还包括:各个图标,其代表所述服务和一个或多个所识别资产中的至少一个资产;关于在服务与一个或多个所识别资产之间的各个关系中至少一个的指示,其包括在代表服务和一个或多个所识别资产中至少一个资产的各个图标之间的各个链接。
10.根据权利要求4所述的装置,其中,所述关于一个或多个所确定安全风险的指示包括以下安全风险的不同表示:由于与和服务有关系的资产相关联的安全漏洞而引起的安全风险;和由于与资产相关联的安全漏洞而引起的安全风险,其中该资产仅凭借与和服务有关系的资产的关系而与该服务有关系。
11.根据权利要求5所述的装置,其中,所述风险分析器还被配置用来维持多个促成的资产中至少一个的记录。
12.一种方法,该方法包括下列步骤:
识别与信息系统所提供的服务具有各个关系的该信息系统的一个或多个资产;
分析与所识别资产相关联的安全漏洞来确定所述服务的一个或多个安全风险;以及
以所述服务的整合表示的形式,提供关于一个或多个所确定安全风险的指示,和关于在服务与一个或多个所识别资产之间各个关系中至少一个的指示。
13.根据权利要求12所述的方法,其中,所述识别包括识别只凭借与和服务有关系的资产的关系而与该服务有关系的资产。
14.根据权利要求12或13所述的方法,其中,所述关于一个或多个所确定安全风险的指示包括关于至少一个安全参数的指示。
15.根据权利要求13所述的方法,其中,所述关于一个或多个所确定安全风险的指示包括下列安全风险的不同表示:由于与和服务有关系的资产相关联的安全漏洞而引起的安全风险;和由于与资产相关联的安全漏洞而引起的安全风险,其中该资产只凭借与和服务有关系的资产的关系而与该服务有关系。
16.根据权利要求12或13所述的方法,其中,所述确定一个或多个安全风险包括:通过聚合所识别资产中多个促成的资产的安全风险来确定一个或多个聚合的安全风险,以及针对一个或多个聚合的安全风险中每一个来维持至少一个促成的资产的记录,并且其中,聚合多个促成的资产的安全风险以确定一个或多个安全风险的聚合安全风险包括执行以下操作之一:
选择多个促成的资产的安全风险的最大值,作为聚合的安全风险;
选择多个促成的资产的安全风险的最小值,作为聚合的安全风险;以及
基于多个促成的资产的最大和最小安全风险的组合来确定聚合的安全风险。
17.根据权利要求12或13所述的方法,其中,所述确定一个或多个安全风险包括:通过聚合由于与资产相关联的多个安全漏洞而引起的安全风险来确定一个或多个资产之一的聚合的资产安全风险,并且其中,所述聚合包括执行以下操作之一:
基于由于多个安全漏洞而引起的安全风险的最大值,来确定聚合的资产安全风险;
基于由于多个安全漏洞而引起的安全风险的最小值,来确定聚合的资产安全风险;以及
基于由于多个安全漏洞而引起的最大和最小安全风险的组合,来确定聚合的资产安全风险;
18.一种存储指令的机器可读介质,当执行所述指令时实现根据权利要求12或13所述的方法。
19.一种图形用户接口,其包括由信息系统提供的服务的整合表示,该整合表示包括:
关于所述服务的一个或多个安全风险的指示;以及
关于在所述服务与所述信息系统的一个或多个资产之间的一个或多个各个关系中至少一个的指示,所述一个或多个资产促成了所述服务的一个或多个安全风险。
20.根据权利要求19所述的图形用户接口,其中,所述各个关系包括在和所述服务有关系的资产与所述信息系统中另一资产之间的资产关系,其中所述另一资产只凭借所述资产关系而与该服务有关系。
21.根据权利要求19或20的所述图形用户接口,其中,所述关于一个或多个所确定安全风险的指示包括关于至少一个安全参数的指示。
22.根据权利要求19或20的所述图形用户接口,其中,所述服务的整合表示还包括:
代表所述服务和一个或多个所识别资产中至少一个资产的各个图标;
关于在所述服务与一个或多个所识别资产之间的各个关系中至少一个的指示,该指示包括在代表所述服务和一个或多个所识别资产中至少一个的各个图标之间的各个链接。
23.根据权利要求19所述的图形用户接口,其中,所述关于一个或多个所确定安全风险的指示包括以下安全风险的不同表示:由于与和服务有关系的资产相关联的安全漏洞而引起的安全风险;和由于与资产相关联的安金漏洞而引起的安全风险,其中该资产只凭借与和服务有关系的资产的关系而与该服务有关系。
24.根据权利要求19或20所述的图形用户接口,其中,所述一个或多个安全风险包括通过聚合多个促成的资产的安全风险而确定的一个或多个聚合安全风险,并且其中,所述关于一个或多个安全风险的指示包括代表一个或多个聚合安全风险中的一个聚合安全风险的功能图形元素,所述功能图形元素为所述聚合安全风险提供了对多个促成的资产中至少一个的记录的访问。
25.一种用于在图形用户接口中显示的图标,该图标包括:
信息系统的资产的表示;以及
关于针对所述资产的安全风险的多个安全参数的各个指示。
26.根据权利要求25所述的图标,其中,所述资产包括所述信息系统中所提供的服务,该服务与该信息系统的一或多个资产具有各个关系,并且其中,所述各个指示包括关于针对所述服务的安全风险的多个安全参数的各个指示集合,所述各个指示集合包括:
关于针对服务的安全风险的多个安全参数的第一指示集合,其中所述安全风险是由于与一个或多个资产相关联的一个或多个安全漏洞而引起的;以及
关于针对安全风险的多个安全参数的第二指示集合,其中所述安全风险是由于与一个或多个其他资产相关联的一个或多个安全漏洞而引起的,所述一个或多个其他资产只凭借与所述一个或多个资产之一的各个关系而与服务具有各个关系。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/232,004 US20070067845A1 (en) | 2005-09-22 | 2005-09-22 | Application of cut-sets to network interdependency security risk assessment |
| US11/232,004 | 2005-09-22 | ||
| US11/366,101 | 2006-03-02 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1996326A true CN1996326A (zh) | 2007-07-11 |
Family
ID=37496688
Family Applications (4)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101718679A Pending CN1996330A (zh) | 2005-09-22 | 2006-09-22 | 对网络相关性安全风险评估的割集应用 |
| CN2006101447624A Expired - Fee Related CN1940951B (zh) | 2005-09-22 | 2006-09-22 | 安全漏洞信息聚合 |
| CN2006101444293A Expired - Fee Related CN1941782B (zh) | 2005-09-22 | 2006-09-22 | 将安全漏洞关联于资产的系统和方法 |
| CNA200610168913XA Pending CN1996326A (zh) | 2005-09-22 | 2006-09-22 | 信息系统服务级安全风险分析 |
Family Applications Before (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101718679A Pending CN1996330A (zh) | 2005-09-22 | 2006-09-22 | 对网络相关性安全风险评估的割集应用 |
| CN2006101447624A Expired - Fee Related CN1940951B (zh) | 2005-09-22 | 2006-09-22 | 安全漏洞信息聚合 |
| CN2006101444293A Expired - Fee Related CN1941782B (zh) | 2005-09-22 | 2006-09-22 | 将安全漏洞关联于资产的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070067845A1 (zh) |
| EP (1) | EP1768045A3 (zh) |
| CN (4) | CN1996330A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111695770A (zh) * | 2020-05-07 | 2020-09-22 | 北京华云安信息技术有限公司 | 资产漏洞风险的评估方法、设备和存储介质 |
| CN115086013A (zh) * | 2022-06-13 | 2022-09-20 | 北京奇艺世纪科技有限公司 | 风险识别方法、装置、电子设备、存储介质和计算机程序产品 |
| CN115361241A (zh) * | 2022-10-24 | 2022-11-18 | 北京源堡科技有限公司 | 网络安全风险量化方法、装置、计算机设备及存储介质 |
Families Citing this family (83)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7747494B1 (en) * | 2006-05-24 | 2010-06-29 | Pravin Kothari | Non-determinative risk simulation |
| US8250645B2 (en) * | 2008-06-25 | 2012-08-21 | Alcatel Lucent | Malware detection methods and systems for multiple users sharing common access switch |
| US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
| US7908660B2 (en) | 2007-02-06 | 2011-03-15 | Microsoft Corporation | Dynamic risk management |
| US7903970B2 (en) * | 2007-03-30 | 2011-03-08 | Georgia Tech Research Corporation | Optical network evaluation systems and methods |
| US8204720B2 (en) * | 2007-06-01 | 2012-06-19 | Alcatel Lucent | Graph-based modeling apparatus and techniques |
| US20080307525A1 (en) * | 2007-06-05 | 2008-12-11 | Computer Associates Think, Inc. | System and method for evaluating security events in the context of an organizational structure |
| CN100566251C (zh) | 2007-08-01 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接方法 |
| US9143523B2 (en) | 2007-12-31 | 2015-09-22 | Phillip King-Wilson | Assessing threat to at least one computer network |
| US8181249B2 (en) * | 2008-02-29 | 2012-05-15 | Alcatel Lucent | Malware detection system and method |
| US8341740B2 (en) * | 2008-05-21 | 2012-12-25 | Alcatel Lucent | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware |
| JP4469910B1 (ja) * | 2008-12-24 | 2010-06-02 | 株式会社東芝 | セキュリティ対策機能評価プログラム |
| US7917807B2 (en) * | 2009-01-15 | 2011-03-29 | International Business Machines Corporation | Power system communication management and recovery |
| JP5559306B2 (ja) | 2009-04-24 | 2014-07-23 | アルグレス・インコーポレイテッド | 対話的グラフを用いた予測モデリングのための企業情報セキュリティ管理ソフトウェア |
| GB0909079D0 (en) | 2009-05-27 | 2009-07-01 | Quantar Llp | Assessing threat to at least one computer network |
| US9288224B2 (en) | 2010-09-01 | 2016-03-15 | Quantar Solutions Limited | Assessing threat to at least one computer network |
| US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
| US8997234B2 (en) * | 2011-07-27 | 2015-03-31 | Mcafee, Inc. | System and method for network-based asset operational dependence scoring |
| US20130096980A1 (en) * | 2011-10-18 | 2013-04-18 | Mcafee, Inc. | User-defined countermeasures |
| US8973147B2 (en) * | 2011-12-29 | 2015-03-03 | Mcafee, Inc. | Geo-mapping system security events |
| US8595845B2 (en) * | 2012-01-19 | 2013-11-26 | Mcafee, Inc. | Calculating quantitative asset risk |
| US10445508B2 (en) * | 2012-02-14 | 2019-10-15 | Radar, Llc | Systems and methods for managing multi-region data incidents |
| DE102012003977A1 (de) * | 2012-02-28 | 2013-08-29 | Vodafone Holding Gmbh | Verfahren zum Untersuchen eines Datentransportnetzwerks und Computerprogrammprodukt |
| US8983816B2 (en) * | 2012-06-18 | 2015-03-17 | International Business Machines Corporation | Efficient evaluation of network robustness with a graph |
| TWI482047B (zh) * | 2012-11-06 | 2015-04-21 | Inst Information Industry | 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體 |
| US9456004B2 (en) * | 2013-06-06 | 2016-09-27 | Globalfoundries Inc. | Optimizing risk-based compliance of an information technology (IT) system |
| EP3025248A1 (en) * | 2013-07-26 | 2016-06-01 | Hewlett Packard Enterprise Development LP | Service-level agreement analysis |
| US9438615B2 (en) | 2013-09-09 | 2016-09-06 | BitSight Technologies, Inc. | Security risk management |
| US9390269B2 (en) * | 2013-09-30 | 2016-07-12 | Globalfoundries Inc. | Security testing using semantic modeling |
| US9223985B2 (en) * | 2013-10-09 | 2015-12-29 | Sap Se | Risk assessment of changing computer system within a landscape |
| CN105046155B (zh) * | 2015-06-24 | 2018-05-08 | 北京系统工程研究所 | 软件系统漏洞风险评估方法及装置 |
| US9990501B2 (en) * | 2015-06-24 | 2018-06-05 | Alcatel Lucent | Diagnosing and tracking product vulnerabilities for telecommunication devices via a database |
| US9628506B1 (en) * | 2015-06-26 | 2017-04-18 | Symantec Corporation | Systems and methods for detecting security events |
| US11182720B2 (en) | 2016-02-16 | 2021-11-23 | BitSight Technologies, Inc. | Relationships among technology assets and services and the entities responsible for them |
| FR3053491A1 (fr) * | 2016-07-01 | 2018-01-05 | Orange | Procede et dispositif de surveillance de la securite d'un systeme d'information |
| US10601636B2 (en) * | 2016-11-04 | 2020-03-24 | Crosscode, Inc. | Method and system for architecture analysis of an enterprise |
| CN106789955B (zh) * | 2016-11-30 | 2019-11-15 | 山东省计算中心(国家超级计算济南中心) | 一种网络安全态势评估方法 |
| US10425380B2 (en) | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
| US10257219B1 (en) * | 2018-03-12 | 2019-04-09 | BitSight Technologies, Inc. | Correlated risk in cybersecurity |
| US10778797B2 (en) * | 2018-04-05 | 2020-09-15 | International Business Machines Corporation | Orchestration engine facilitating management of operation of resource components |
| US10812520B2 (en) | 2018-04-17 | 2020-10-20 | BitSight Technologies, Inc. | Systems and methods for external detection of misconfigured systems |
| CN110839000B (zh) * | 2018-08-15 | 2022-02-08 | 中国信息通信研究院 | 一种网络信息系统的安全等级确定方法和装置 |
| US11200323B2 (en) | 2018-10-17 | 2021-12-14 | BitSight Technologies, Inc. | Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios |
| US10521583B1 (en) | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
| US11252175B2 (en) * | 2018-10-26 | 2022-02-15 | Accenture Global Solutions Limited | Criticality analysis of attack graphs |
| US10467419B1 (en) * | 2018-10-31 | 2019-11-05 | Capital One Services, Llc | Methods and systems for determining software risk scores |
| US10681056B1 (en) | 2018-11-27 | 2020-06-09 | Sailpoint Technologies, Inc. | System and method for outlier and anomaly detection in identity management artificial intelligence systems using cluster based analysis of network identity graphs |
| US10341430B1 (en) * | 2018-11-27 | 2019-07-02 | Sailpoint Technologies, Inc. | System and method for peer group detection, visualization and analysis in identity management artificial intelligence systems using cluster based analysis of network identity graphs |
| CN109543419B (zh) * | 2018-11-30 | 2020-12-04 | 杭州迪普科技股份有限公司 | 检测资产安全的方法及装置 |
| US11128653B1 (en) * | 2018-12-13 | 2021-09-21 | Amazon Technologies, Inc. | Automatically generating a machine-readable threat model using a template associated with an application or service |
| US10523682B1 (en) | 2019-02-26 | 2019-12-31 | Sailpoint Technologies, Inc. | System and method for intelligent agents for decision support in network identity graph based identity management artificial intelligence systems |
| US10554665B1 (en) | 2019-02-28 | 2020-02-04 | Sailpoint Technologies, Inc. | System and method for role mining in identity management artificial intelligence systems using cluster based analysis of network identity graphs |
| JP6967722B2 (ja) * | 2019-03-20 | 2021-11-17 | パナソニックIpマネジメント株式会社 | リスク分析装置及びリスク分析方法 |
| US10726136B1 (en) | 2019-07-17 | 2020-07-28 | BitSight Technologies, Inc. | Systems and methods for generating security improvement plans for entities |
| US11544580B2 (en) * | 2019-08-07 | 2023-01-03 | Precognize Ltd. | Methods and systems for improving asset operation based on identification of significant changes in sensor combinations in related events |
| US11956265B2 (en) | 2019-08-23 | 2024-04-09 | BitSight Technologies, Inc. | Systems and methods for inferring entity relationships via network communications of users or user devices |
| US10848382B1 (en) | 2019-09-26 | 2020-11-24 | BitSight Technologies, Inc. | Systems and methods for network asset discovery and association thereof with entities |
| US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
| CN110989977B (zh) * | 2019-10-31 | 2023-05-05 | 复旦大学 | 一种面向残疾人的智能家居环境个性化定制方法 |
| CN111026012B (zh) * | 2019-11-29 | 2023-01-31 | 安天科技集团股份有限公司 | Plc固件级漏洞的检测方法、装置、电子设备及存储介质 |
| CN111125720B (zh) * | 2019-12-27 | 2023-06-20 | 国网四川省电力公司电力科学研究院 | 一种信息安全与功能安全关联分析方法 |
| US10791140B1 (en) | 2020-01-29 | 2020-09-29 | BitSight Technologies, Inc. | Systems and methods for assessing cybersecurity state of entities based on computer network characterization |
| US10893067B1 (en) | 2020-01-31 | 2021-01-12 | BitSight Technologies, Inc. | Systems and methods for rapidly generating security ratings |
| US10764298B1 (en) | 2020-02-26 | 2020-09-01 | BitSight Technologies, Inc. | Systems and methods for improving a security profile of an entity based on peer security profiles |
| US11461677B2 (en) | 2020-03-10 | 2022-10-04 | Sailpoint Technologies, Inc. | Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems |
| US11503047B2 (en) * | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
| CN111310195A (zh) * | 2020-03-27 | 2020-06-19 | 北京双湃智安科技有限公司 | 一种安全漏洞管理方法、装置、系统、设备和存储介质 |
| US11023585B1 (en) | 2020-05-27 | 2021-06-01 | BitSight Technologies, Inc. | Systems and methods for managing cybersecurity alerts |
| US10862928B1 (en) | 2020-06-12 | 2020-12-08 | Sailpoint Technologies, Inc. | System and method for role validation in identity management artificial intelligence systems using analysis of network identity graphs |
| US10938828B1 (en) | 2020-09-17 | 2021-03-02 | Sailpoint Technologies, Inc. | System and method for predictive platforms in identity management artificial intelligence systems using analysis of network identity graphs |
| US11196775B1 (en) | 2020-11-23 | 2021-12-07 | Sailpoint Technologies, Inc. | System and method for predictive modeling for entitlement diffusion and role evolution in identity management artificial intelligence systems using network identity graphs |
| CN112530206B (zh) * | 2020-11-26 | 2022-03-11 | 南京航空航天大学 | 空中交通网络脆弱性分析方法 |
| CN112735188B (zh) * | 2020-11-26 | 2022-03-25 | 南京航空航天大学 | 基于复杂网络理论的空中交通网络脆弱性分析系统 |
| US11122073B1 (en) | 2020-12-11 | 2021-09-14 | BitSight Technologies, Inc. | Systems and methods for cybersecurity risk mitigation and management |
| US20220263855A1 (en) * | 2021-02-18 | 2022-08-18 | Accenture Global Solutions Limited | Automated prioritization of process-aware cyber risk mitigation |
| US11295241B1 (en) | 2021-02-19 | 2022-04-05 | Sailpoint Technologies, Inc. | System and method for incremental training of machine learning models in artificial intelligence systems, including incremental training using analysis of network identity graphs |
| US11736510B2 (en) * | 2021-07-27 | 2023-08-22 | Disney Enterprises, Inc. | Domain security assurance automation |
| US11227055B1 (en) | 2021-07-30 | 2022-01-18 | Sailpoint Technologies, Inc. | System and method for automated access request recommendations |
| CN113868650B (zh) * | 2021-09-13 | 2023-04-25 | 四川大学 | 基于代码异质中间图表示的漏洞检测方法与装置 |
| CN114584348A (zh) * | 2022-02-14 | 2022-06-03 | 上海安锐信科技有限公司 | 一种基于漏洞的工业控制系统网络威胁分析方法 |
| CN114861213B (zh) * | 2022-07-07 | 2022-10-28 | 广东省科技基础条件平台中心 | 一种科技项目全周期智能管理系统及方法 |
| CN115455475B (zh) * | 2022-09-16 | 2023-07-18 | 武汉思普崚技术有限公司 | 一种漏洞库建立方法及相关设备 |
| CN116910769B (zh) * | 2023-09-12 | 2024-01-26 | 中移(苏州)软件技术有限公司 | 资产漏洞分析方法、装置和可读存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5850516A (en) * | 1996-12-23 | 1998-12-15 | Schneier; Bruce | Method and apparatus for analyzing information systems using stored tree database structures |
| US6125453A (en) * | 1998-06-30 | 2000-09-26 | Sandia Corporation | Cut set-based risk and reliability analysis for arbitrarily interconnected networks |
| US6535227B1 (en) * | 2000-02-08 | 2003-03-18 | Harris Corporation | System and method for assessing the security posture of a network and having a graphical user interface |
| WO2002079907A2 (en) * | 2001-03-29 | 2002-10-10 | Accenture Llp | Overall risk in a system |
| EP1461707A1 (en) * | 2001-12-31 | 2004-09-29 | Citadel Security Software Inc. | Automated computer vulnerability resolution system |
-
2005
- 2005-09-22 US US11/232,004 patent/US20070067845A1/en not_active Abandoned
-
2006
- 2006-09-21 EP EP06300972A patent/EP1768045A3/en not_active Withdrawn
- 2006-09-22 CN CNA2006101718679A patent/CN1996330A/zh active Pending
- 2006-09-22 CN CN2006101447624A patent/CN1940951B/zh not_active Expired - Fee Related
- 2006-09-22 CN CN2006101444293A patent/CN1941782B/zh not_active Expired - Fee Related
- 2006-09-22 CN CNA200610168913XA patent/CN1996326A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111695770A (zh) * | 2020-05-07 | 2020-09-22 | 北京华云安信息技术有限公司 | 资产漏洞风险的评估方法、设备和存储介质 |
| CN115086013A (zh) * | 2022-06-13 | 2022-09-20 | 北京奇艺世纪科技有限公司 | 风险识别方法、装置、电子设备、存储介质和计算机程序产品 |
| CN115361241A (zh) * | 2022-10-24 | 2022-11-18 | 北京源堡科技有限公司 | 网络安全风险量化方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1996330A (zh) | 2007-07-11 |
| CN1940951A (zh) | 2007-04-04 |
| CN1940951B (zh) | 2011-03-02 |
| US20070067845A1 (en) | 2007-03-22 |
| CN1941782A (zh) | 2007-04-04 |
| CN1941782B (zh) | 2011-09-28 |
| EP1768045A3 (en) | 2008-07-02 |
| EP1768045A2 (en) | 2007-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1996326A (zh) | 信息系统服务级安全风险分析 | |
| US8438643B2 (en) | Information system service-level security risk analysis | |
| CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
| EP1724990B1 (en) | Communication network security risk exposure management systems and methods | |
| US6883101B1 (en) | System and method for assessing the security posture of a network using goal oriented fuzzy logic decision rules | |
| US7096502B1 (en) | System and method for assessing the security posture of a network | |
| US8095984B2 (en) | Systems and methods of associating security vulnerabilities and assets | |
| US6535227B1 (en) | System and method for assessing the security posture of a network and having a graphical user interface | |
| US8028061B2 (en) | Methods, systems, and computer program products extracting network behavioral metrics and tracking network behavioral changes | |
| US20060265324A1 (en) | Security risk analysis systems and methods | |
| US8112510B2 (en) | Methods and systems for predictive change management for access paths in networks | |
| US8032557B1 (en) | Model driven compliance management system and method | |
| AU2019201687B2 (en) | Network device vulnerability prediction | |
| CN106789412A (zh) | 监测信息采集主站性能的方法、装置及系统 | |
| KR102041545B1 (ko) | 딥러닝 모델을 이용한 이벤트 예측 기반의 이벤트 모니터링 방법, 이벤트 모니터링 시스템 및 컴퓨터 프로그램 | |
| CN101120322A (zh) | 估算事务处理响应时间的方法和系统 | |
| KR100496958B1 (ko) | 시스템 장애 통합관리방법 | |
| Maroc et al. | Towards security effectiveness evaluation for cloud services selection following a risk-driven approach | |
| Castellano et al. | Composing Miners to Develop an Intrusion Detection Solution | |
| Amer | Managerial Guide to Intrusion Detection Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20070711 |