-
Die
Erfindung betrifft den Bereich der Netzwerke, und insbesondere betrifft
die Erfindung den Bereich der Bewertung des Sicherheitszustands
von Netzwerken.
-
Zur
Zeit in der Entwicklung befindliche Informationssysteme und Computernetzwerk-Infrastrukturen werden
nunmehr unter Berücksichtigung
dessen gebaut, was ein annehmbares Risiko (oder einen angemessenen
Schutz) begründet.
Systemgegenstände
wie Hardware, Software und Systemknoten eines Computernetzwerks
müssen
zu einem mit ihrem Wert im Einklang stehenden Grad geschützt werden.
Zudem müssen diese
Gegenstände
nur geschützt
werden, bis die Gegenstände
ihren Wert verlieren. Jegliche Sicherheitsmerkmale und Systemarchitektur
sollte ferner ausreichenden Schutz über die Lebensdauer der verarbeiteten Daten
zur Verfügung
stellen. Um zu bewerten, ob irgendein mit einem Netzwerk verbundenes
Risiko annehmbar ist oder nicht, sammelt ein Sicherheitsingenieur
typischerweise alle sachdienlichen Informationen und analysiert
dann das mit dem Netzwerk verbundene Risiko.
-
Die
Risikoanalyse ist ein komplexer und zeitintensiver Prozess, der
notwendig ist, um die Gefährdungen
innerhalb eines Netzwerks und deren potentiellen Schaden zu bestimmen.
Zum Beispiel befolgt ein Sicherheitsingenieur, wenn er die Sicherheitsrisiken
in einem Computernetzwerk untersucht, die folgenden Schritte:
- 1) Identifizierung der Gegenstände des
gesamten Computersystems.
- 2) Identifizierung der Schadensanfälligkeit (Gefährdungen)
der Gegenstände.
Dieser Schritt erfordert typischerweise die Vorstellungskraft vorherzusagen,
welcher Schaden an den Gegenständen
auftreten könnte und
aus welcher Quelle. Die drei grundlegenden Ziele der Computersicherheit
sichern Geheimhaltung, Integrität
und Verfügbarkeit.
Eine Gefährdung
ist jede Situation, die den Verlust von einer jener drei Eigenschaften
verursachen könnte.
- 3) Bestimmung der Wahrscheinlichkeit des Auftretens (Ausnutzung),
d. h. Bestimmung wie oft jede Gefährdung ausgenutzt werden wird.
Die Wahrscheinlichkeit des Auftretens betrifft die Strenge der existierenden Kontrollen
und die Wahrscheinlichkeit, dass jemand oder etwas die existierenden
Kontrollen umgehen wird.
- 4) Berechnung jedweder ungedeckten jährlichen Kosten (erwarteter
jährlicher
Verlust) durch Bestimmungen der erwarteten Kosten der einzelnen
Ereignisse.
- 5) Begutachtung der anwendbaren Kontrollen und ihrer Kosten.
- 6) Planung jährlicher
Einsparungen bezüglich
der Kontrolle.
-
Dieser
letzte Schritt der Analyse ist eine Kosten-Nutzen-Analyse, d. h.
kostet es weniger eine Kontrolle einzuführen oder die zu erwartenden
Kosten des Verlusts hinzunehmen? Die Risikoanalyse führt zu einem
Sicherheitsplan, der Verantwortungen für bestimmte Handlungen aufzeigt,
um die Sicherheit zu verbessern.
-
Heutzutage
erfordert die schnelle Entwicklung der Technologie und die starke
Verbreitung von Computern erhöhter
Leistungsfähigkeit
die Verwendung kommerzieller, standardisierter (engL. commercial-oft-the-shelf
(COTS)) Hardware- und Software-Komponenten
für kosteneffiziente
Lösungen.
Diese starke Abhängigkeit
von COTS schließt
ein, dass handelsübliche
Sicherheitsmechanismen für
die meisten Anwendungen ausreichend sind. Sicherheitsarchitekturen
müssen
deshalb so strukturiert sein, um betriebsfähige, lebenswichtige Computersysteme
mit relativ anfälligen
COTS-Komponenten zu bauen. Komponenten mit höherer Sicherheit können an
Gemeinde- oder Informationsgrenzen positioniert werden, wodurch
eine enklavebasierte Sicherheitsarchitektur gebildet wird, die eine
eingehende-Abwehr-Herangehensweise
zur Informationssicherung umsetzt.
-
Es
gibt einige Entwurfsserviceprogramme, d.h. Software-Programme, die
dem Systemarchitekten zur Verfügung
stehen, um ihm bei der Maximierung der verfügbaren Schutzmechanismen Hilfe
zu leisten, während er
innerhalb des Entwicklungsbudgets verbleibt. Risikoanalyseserviceprogramme
der gegenwärtigen
Generation sind gewöhnlich
Einzelanbieter-Lösungen,
die sich mit einem speziellen Aspekt oder Aspekten des Risikos befassen.
Diese Serviceprogramme pflegen in eine von drei Kategorien zu fallen:
- 1) Serviceprogramme, die ausgehend von Datenbanken
dokumentierter Gefährdungen
arbeiten und möglicherweise
bekannte Gefährdungen
(Schwachstellen) reparieren. Serviceprogramme diesen Typs sind hinsichtlich
Datenbankaktualisierungen anbieterabhängig, entweder in Form neuer
Produktversionen oder durch ein Dienstleistungsabonnement. Beispiele
dieser Kategorie umfassen Internet Scanner von ISS, CyberCopand
von Network Associates, Inc. und STAT von Harris.
- 2) Monolithische Serviceprogramme, die verschiedene Parameter
verwenden, um einen Risikoindikator zu berechnen. Diese Serviceprogramme
sind schwierig zu unterhalten und kaum hinsichtlich der sich schnell entwickelnden
Gefährdungen
und der Technologieumgebung auf dem Laufenden zu halten. Ein Beispiel dieser
Serviceprogrammkategorie ist das Los Alamos Vulnerability Assessment
(LAVA) Serviceprogramm.
- 3) Serviceprogramme, die einen bestimmten Aspekt des Systems,
wie das Betriebssystem oder das Datenbankverwaltungssystem untersuchen,
aber die anderen Systemkomponenten ignorieren. SATAN zum Beispiel
analysiert Betriebssystemschwachstellen, aber ignoriert Infrastrukturkomponenten
wie Router.
-
Die
Verwendung von mehreren Serviceprogrammen einer Reihe verschiedener
Anbieter für
eine einzelne Computernetzwerkanalyse ist eine arbeitsintensive
Aufgabe. Typischerweise wird ein Sicherheitsingenieur eine Beschreibung
oder Darstellung des Systems (Netzwerk) mehrfach in mehreren Formaten
eingeben müssen.
Dann muss der Sicherheitsingenieur die sich aus diesen mehreren
Serviceprogrammen ergebenden Ausgaben manuell analysieren, zusammenführen und
in einen einzelnen Bericht über
den Sicherheitszustand eines Netzwerks verschmelzen. Anschließend kann
der Sicherheitsingenieur die Risikoanalyse vervollständigen (Berechnung
des erwarteten jährlichen
Verlusts, Begutachtung der Kontrollen, etc.), und dann das Verfahren
wiederholen, um Alternativen innerhalb der Sicherheitsrisiken, Systemleistungsmerkmale, Einsatzfunktionalität und Entwicklungsbudget
zu analysieren.
-
Außerdem verwendet
keines dieser Serviceprogramme eine konzentrierte „Schnappschuss"-Herangehensweise
an das System mit einer „aufbohrenden" oder geschichteten
Annäherung,
um zu vereinfachen, wie man dem Risiko in verschiedenen Schichten
(Netz, Plattform, Datenbank, etc.) des Systems begegnet. Diese Serviceprogramme
stellen System-Entwerfern beim Analysieren von Alternativen innerhalb
des Sicherheitsrisikos, der Systemleistungsmerkmale und der Einsatzfunktionalität wenig
Hilfe zur Verfügung.
Stattdessen wird eine „Risikolösung" bereitgestellt,
die sich mit einem besonderen Aspekt des Risikos befassen, zu dessen
Berechnung ein gegebenes Serviceprogramm entworfen wurde. Um eine
umfassende Risikobewertung zu entwickeln, müsste ein Sicherheitsingenieur
im Gebrauch von mehreren Serviceprogrammen geübt sein und die resultierenden
Ausgaben manuell korrelieren.
-
Ein
Gesichtspunkt einer erfolgreichen Risikoanalyse ist eine vollständige und
genaue Ansammlung von Daten, um Systemmodelle zu schaffen, die in
den Analyseserviceprogrammen verwendet werden. Viele gegenwärtige Risikoanalyseserviceprogramme
hängen
von Erfassungsformularen, die von Systembedienungspersonal ausgefüllt werden,
und von Analytikern ab, welche die Daten zur Entwicklung eines Systemmodels
ermitteln, das in der Analyse verwendet wird. Alternativ kann ein
Serviceprogramm ein Computernetzwerk durchsuchen, um verschiedene
Schwachstellen in den Systemkomponenten zu prüfen.
-
Jedoch
haben diese Verfahren Nachteile. Textliche oder Erfassungsformularbasierte
Techniken zur Kenntniserhebung sind arbeitsintensiv und möglicherweise
langwierig für
den Analytiker. Viele der existierenden Serviceprogramme verwenden
dieselbe Information wieder, um verschiedene Aspekte der Systemsicherheit
zu analysieren. Es wäre
vorteilhafter einen zentralisierten Speicherungsort von Modellierungsdaten
zu verwenden, der eine Grundlage für den existierenden Serviceprogrammen
gemeinsame Eingaben zur Verfügung stellen
könnte.
Dieser Speicherungsort könnte
verwendet werden, um Datensätze
zur Verwendung durch Risikoanalyseserviceprogramme zu erzeugen,
was es mehreren Serviceprogrammen erlaubt, hinsichtlich desselben
Systems ohne getrennte Eingabe-Aktivitäten abzulaufen, was daher die
Möglichkeit
von Bedienerfehlern reduziert. Die Verwendung mehrerer Risikoanalysebewertungsengines
oder -backbends würde
es erlauben, verschiedene Aspekte des Systems zu untersuchen, ohne
dass die Kosten der Entwicklung eines Serviceprogramms entstehen,
welches alle Typen der Analyse durchführt. Die Integration der Informationen
und der sich ergebenden sachkundigen Bewertungen, die durch die
Verwendung mehrerer Serviceprogramme zur Verfügung stehen, würden ein
stabileres und genaueres Bild des Sicherheitszustands eines Systems
erzeugen. Diese Ergebnisse können
sachkundigere Entscheidung beim Systementwurf vereinfachen, welche
ein Rahmenwerk für
alternative Evaluierung und Vergleich zur Verfügung stellen.
-
Der
Artikel „The
network vulnerability tool (NVT) – System vulnerability visualization
architecture"von Ronda
R. Henning, et al., der am 18. Oktober 1999 auf der National Information
Systems Security Konferenz (Volume I, Seiten 97 bis 111) veröffentlicht
wurde, offenbart die grundlegende Vorstellung eines Netzwerksgefährdungsserviceprogramms
(engl. network vulnerability tool (NVT)), welches sowohl einen zentralisierten Speicherungsort
von Modelldaten eines Systems als auch verschiedene unterschiedliche
Risiko-/Gefährdungsbewertungsserviceprogramme
beinhaltet. In diesem Artikel werden den Risiko-/Gefährdungsbewertungsserviceprogrammen
die gespeicherten Informationen, welche das zu analysierende System
beschreiben, zur Verfügung
gestellt. Die Systeminformationen sind in einer Objektklassenhierarchie
dargestellt und gespeichert. Um von irgendeinem der mehreren Risiko-/Gefährdungsbewertungsserviceprogramme
verwendet zu werden, wird die gespeicherte Systeminformation durch
das NVT in das geeignete Format übersetzt,
welches jedes einzelne der Bewertungsserviceprogramme benötigt. Jedoch
gibt es in diesem Artikel keine Informationen darüber, in
welcher Weise die Systemmodellinformation den Risiko-/Gefährdungsbewertungsserviceprogrammen
zur Verfügung
gestellt wird.
-
Es
ist daher die Aufgabe der vorliegenden Erfindung ein Verfahren und
ein Datenverarbeitungssystem zur Verfügung zu stellen, um den Sicherheitszustand
eines Netzwerks zu bewerten, in welchem das Netzwerk nicht mehrfach
untersucht werden muss und welches durch eine erhöhte Flexibilität und Erweiterbarkeit
gekennzeichnet ist.
-
Gemäß der vorliegenden
Erfindung bewertet ein Verfahren und ein Datenverarbeitungssystem
den Sicherheitszustand eines Netzwerks. Das Verfahren umfasst die
Schritte zur Erzeugung einer System-Objektmodelldatenbank, welche
ein Netzwerk darstellt. Die System-Objektmodelldatenbank unterstützt die
Informationsdatenerfordernisse unterschiedlicher Netzwerk-Gefährdungsbewertungs-/Risikoanalyseprogramme.
Diese System-Objektmodelldatenbank wird in die Netzwerk-Gefährdungsbewertungs-/Risikoanalyseprogramme exportiert
und in die unterschiedlichen Netzwerk-Gefährdungsanalyseprogramme über eine
integrierte Anwendungsprogrammierschnittstelle (engl. integrated
application programming interface) importiert. Das Netzwerk wird
mit jedem Netzwerk-Gefährdungs-/Risikoanalyseprogramm
analysiert, um Ergebnisdaten durch jedes Programm zu erzeugen. Diese
Ergebnisdaten werden korreliert, um den Sicherheitszustand des Netzwerks
zu bestimmen.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung umfasst das Verfahren
den Schritt, die System-Objektmodelldatenbank über eine integrierte Anwendungsprogrammierschnittstelle
in die Netzwerk-Gefährdungsanalyseprogramme
zu exportieren. Das Verfahren umfasst auch den Schritt, das Netzwerk in
Form einer Karte auf einer grafischen Benutzeroberfläche zu modellieren.
Eine Klassenhierarchie wird hergestellt, um Komponenten der Netzwerk-Gefährdungsanalyseprogramme
zu definieren und gemeinsame Daten- und Programmierungseigenschaften
gemeinsam zu nutzen. Die Ergebnisdaten der Netzwerk-Gefährdungsanalyseprogramme
verwenden Fuzzy-Logik-Verarbeitung,
um die Ergebnisdaten gemäß noch einem weiteren
Aspekt der vorliegenden Erfindung zu korrelieren.
-
Das
Verfahren kann auch den Schritt umfassen, die Netzwerk-Gefährdungsanalyseprogramme
ablaufen zu lassen, um Ergebnisdaten zu erhalten, die Details des
Netzwerk-Systems, die Netzwerk-Topologie, Gefährdungen auf Knoten-Niveau
und Gefährdungen
auf Netzwerk-Niveau betreffen.
-
Gemäß noch einem
weiteren Aspekt der vorliegenden Erfindung befindet sich ein Computerprogramm auf
einem Medium, das durch ein Programm lesbar ist. Dieses Computerprogramm
weist Instruktionen (Befehle) auf, die einen Computer dazu veranlassen,
eine System-Objektmodelldatenbank zu erstellen, welche ein Netzwerk
repräsentiert,
wobei die System-Objektmodelldatenbank die Informationsdatenerfordernisse
unterschiedlicher Netzwerk-Gefährdungs-/Risikoanalyseprogramme
unterstützt,
welche einzelne Teile des Netzwerks analysieren. Das Computerprogramm
hat auch Instruktionen, um die System-Objektmodelldatenbank in die
Netzwerk-Gefährdungsanalyseprogramme
mittels einer integrierten Anwendungsprogrammierschnittstelle zu
exportieren und die System-Objektmodelldatenbank des Netzwerks in
die Netzwerk-Gefährdungsanalyseprogramme
zu importieren und das Netzwerk mit jedem Netzwerk-Schwachstellenanalyseprogramm
zu untersuchen und die Ergebnisdaten aus jedem Programm zu erhalten.
Das Computerprogramm veranlasst einen Computer auch dazu, die Ergebnisdaten
der Netzwerk-Gefährdungsanalyseprogramme
zu korrelieren, um den Sicherheitszustands des Netzwerks zu bestimmen.
Das Computerprogramm weist auch Instruktionen auf, um eine integrierte
Anwendungsprogrammierschnittstelle anzuzeigen.
-
Das
Computerprogramm weist auch Instruktionen auf, um das Netzwerk als
eine Karte auf einer grafischen Benutzeroberfläche zu modellieren und eine
Klassenhierarchie zu erstellen, um Komponenten der Netzwerk-Gefährdungsanalyseprogramme
zu definieren, die gemeinsame Daten- und Programmierungseigenschaften
teilen. Das Computerprogramm kann auch Instruktionen aufweisen,
um die Ergebnisdaten der Netzwerk-Gefährdungsanalyseprogramme, die
in der Fuzzy-Logik-Verarbeitung verwendet werden, zu korrelieren
und Ergebnisdaten zu erhalten, die Details des Netzwerk-Systems,
die Netzwerk-Topologie, Gefährdungen
auf Knoten-Niveau
und Gefährdungen
auf Netzwerk-Niveau betreffen.
-
Gemäß noch einem
weiteren Aspekt der vorliegenden Erfindung bewertet ein Datenverarbeitungssystem
den Sicherheitszustand eines Netzwerks und weist eine Vielzahl unterschiedlicher
Netzwerk-Gefährdungsanalyseprogramme
auf, die zur Untersuchung eines Netzwerks verwendet werden. Eine
System-Objektmodelldatenbank stellt das Netzwerk dar, welches zu
analysieren ist, und unterstützt
die Informationsdatenerfordernisse der Netzwerk-Gefährdungsbewertungs-/Risikoanalyseprogramme.
Eine Anwendungsprogrammierschnittstelle importiert die System-Objektmodelldatenbank
des Netzwerks in die Netzwerk-Gefährdungsanalyseprogramme. Ein
Prozessor korreliert die Ergebnisdaten, die aus jedem Netzwerk-Gefährdungsanalyseprogramme
nach dem Analysieren des Netzwerks erhalten wurden, um den Sicherheitszustand
des Netzwerks zu bestimmen.
-
Die
vorliegende Erfindung wird nun durch ein Beispiel mit Bezugnahme
auf die beigefügten
Zeichnungen beschrieben, in denen:
-
1 ein
schematisches Blockdiagramm eines Netzwerks ist, welches Positionen
zeigt, an denen häufige
Probleme in Netzwerken gefunden werden.
-
2 ein
anderes schematisches Blockdiagramm eines Netzwerks ist, welches
eine identifizierte Schwachstelle zeigte, die von dem System lokalisiert
wurde und ein Verfahren der vorliegenden Erfindung.
-
3 ein
anderes Blockdiagramm ist, welches die gesamte Architektur des Systems
und des Verfahrens der vorliegenden Erfindung zeigt und welches
Filter darstellt, die in Verbindung mit der Netzwerkmodelldatenbank
verwendet werden.
-
4 ein
anderes schematisches Blockdiagramm der Architektur der vorliegenden
Erfindung ist, welches die Fuzzy-Logik-Analyse zeigt.
-
5 ein
anderes schematisches Blockdiagramm ist, welches high-level Architekturkomponenten
des Datenverarbeitungssystems und des Verfahrens der vorliegenden
Erfindung zeigt.
-
6 ein
anderes schematisches high-level Blockdiagramm des Datenverarbeitungssystems
der vorliegenden Erfindung ist.
-
7 ein
Beispiel einer grafischen Benutzeroberfläche ist, die das Netzwerk in
Form einer Karte modelliert.
-
8A und 8B offene
Fenster zeigen, welche die Datenauflösung bei der Erstellung der
System-Objektmodelldatenbank zur Verfügung stellen.
-
9 ein
Beispiel einer grafischen Benutzeroberfläche ist, welche das Netzwerkmodell
zeigt.
-
10 eine
grafische Benutzeroberfläche
ist, welche verschiedene Berichtsoptionen für den Sicherheitszustand des
Netzwerks zeigt.
-
11 ein
Blockdiagramm ist, welches die elementaren Verarbeitungskomponenten
der zielorientierten Fuzzy-Logik-Verarbeitung zeigt, welche in dem
Datenverarbeitungssystem und dem Verfahren der vorliegenden Erfindung
verwendet werden.
-
12 ein
schematisches Blockdiagramm der Datenverschmelzung ist, welche in
dem Datenverarbeitungssystem und dem Verfahren der vorliegenden
Erfindung verwendet wird.
-
13 ein
anderes schematisches Blockdiagramm ist, welches ein Beispiel zielbasierten
Verschmelzungsregeln zeigt, welche in dem Datenverarbeitungssystem
und dem Verfahren der vorliegenden Erfindung verwendet werden.
-
14 ein
anderes Blockdiagramm ist, welches elementare Verfahrensschritte
und Komponenten zeigt, die in der Fuzzy-Logik-Verarbeitung des Datenverarbeitungssystems
und des Verfahrens der vorliegenden Erfindung verwendet werden.
-
15 ein
Blockdiagramm ist, welches elementare Komponenten zeigt, die in
der Fehlerbaum-Analyse (DPL-f) zur Hinweissammlung und für die Fuzzy-Offenkundigkeitsschlussfolgerungsregeln
verwendet werden.
-
16 ein
Blockdiagramm ist, welches eine Objekt/Klassenhierarchie zeigt.
-
17 ein
Blockdiagramm ist, welches das Systemklassendiagramm der vorliegenden
Erfindung zeigt.
-
1 illustriert
ein Beispiel eines konventionellen Netzwerks 100, welches
interne Server 102 aufweist, die mit einem externen Router 104,
einem Kommunikationsnetzwerk 105 und einer Firewall 106 verbunden
sind. Ein interner Router 108 ist mit der Firewall 106,
einem Filialbüro 107 verbunden
sowie mit internen LAN Netzwerk Komponenten 110 und einem
Fernzugriffs-Server 112 sowie mit einem fernzugreifenden
Benutzer 114 verbunden.
-
Beim
Verwenden eines Beispiels der 1 beinhalten
oft innerhalb der Netzwerke entdeckte Probleme Hosts, wie die internen
Server 102, die unnötige
Dienstprogramme ablaufen lassen, zum Beispiel, ein Denial-of-Service
und anonyme FTP oder falsch konfigurierte Webserver, die zum Beispiel
interne Server sein könnten,
CGI-Skripte, anonyme FTP und SMTP. Die internen LANs 110 (Local
area networks) können
ungepatchted, veraltete, gefährdete
oder standardmäßig konfigurierte
Software und Firmware sowie schwache Passwörter aufweisen. Die LANs könnten ebenso
in unangemessener Weise exportierte Dienstprogramme zur gemeinsamen
Dateinutzung, wie NetWare Dateidienste und NetBIOS aufweisen. Das
interne LAN 110 könnte ebenso
falsch konfigurierte oder ungepatchted Windows NT Server und Probleme
aufweisen, die durch einen Mangel an übergreifenden Richtlinien,
Verfahrensweisen, Standards und Leitfäden verursacht sind. Ein Fernzugriffs-Server 112 könnte ungesicherte
Fernzugangspunkte aufweisen und der externe Router 104 könnte Informationsverluste
durch Dienste aufweisen wie SNMP, SMIP, finger, roosers, SYSTAT,
NETSTAT, TELNET banners, Windows NT TCP 139 SMB (server message
block), und Zonentransfers zu unbenannten Serverhosts. Es könnte auch
unzureichende Protokollierungs-, Überwachungs- und Erkennungsfähigkeiten
haben. Das Filialbüro 107 könnte eine
unangemessene Vertrauensstellung aufweisen wie RLOGIN, RSH, oder
REXEC. Die Firewall 106 könnte falsch konfiguriert sein
oder könnte
eine falsch konfigurierte Router-Zugangskontrollliste aufweisen.
-
Obwohl
diese Netzwerkprobleme nur ein Beispiel üblicher Probleme sind, die
in Netzwerken 100 gefunden werden, gibt es viele andere
möglicherweise
auftretenden Probleme, wie dem Fachmann wohl bekannt.
-
Die
vorliegende Erfindung ist vorteilhaft, weil das System und das Verfahren
der vorliegenden Erfindung es erlauben, Schwachstellen eines Netzwerksystems
zu identifizieren. Die Software des Datenverarbeitungssystems und
-verfahrens können
sich auf einem Benutzer Terminal 120 befinden, wie in 2 gezeigt, die
eine identifizierte Schwachstelle eines Knotens 112 zeigt,
welcher mit dem internen LAN 110 verbunden ist. Zum Zweck
der Beschreibung können
das Datenverarbeitungssystem und -verfahren als Netzwerk-Gefährdungsserviceprogramm
(NVT, engl. Network Vulnerability Tool) bezeichnet werden, d. h.
ein Serviceprogramm, das ein Anwender dazu verwendet, um Netzwerkschwachstellen
und -risiken zu bestimmen.
-
Das
Datenverarbeitungssystem, welches das NVT der vorliegenden Erfindung
bildet, kann auf eine Pentium-PC Plattform geladen werden, auf der
Windows NT läuft.
Diese Art von Plattformen kann eine kostengünstige Lösung zur Verfügung stellen
und eine große
Vielfalt von Bewertungsserviceprogrammen unterstützen, die auch häufig als
Netzwerk-Gefährdungsbewertungs-
oder Risikoanalyseprogramme innerhalb dieser Beschreibung bezeichnet
werden. Diese Netzwerk-Gefährdungsanalyseprogramme
sind typischerweise COTS/GOTS Programme, die Sicherheitsingenieuren
bekannt sind und HP Open View einschließen, das automatische Netzwerkerkennung
oder manuelle Netzwerkmodellierung erlaubt, ANSSR (Analysis of Network System
Security Risks) wie von der Mitre Corporation hergestellt, ein GOTS
Netzwerksystemanalyseserviceprogramm, welches passive Datenerfassung
und einfaches Auftreten von Verlust erlaubt. Ebenso kann die Risikobewertungsmethodik
von NSA verwendet werden, welche als RAM (risk assessment model)
bekannt und in der DPL-f Entscheidungsunterstützungsprogrammiersprache implementiert
ist. RAM erlaubt auch passive Datenerfassung für die Ereignis-Baum-Logik,
priorisiert die Aufgabe-Liste, und erlaubt ein mathematisches Modell
mit mehreren Risken/Diensten. Es ist ereignisbasiert über der
Zeit.
-
DPL
(decision programming language) ist ein Entscheidungsunterstützungssoftware-Paket,
welches das Modellieren von komplizierten Entscheidungen erleichtert.
Es ermöglicht
es einem Benutzer, Unklarheit und Flexibilität in einen Entscheidungsprozess
einzubauen. DPL stellt eine Graphikschnittstelle zur Verfügung, um
ein Modell zu erstellen, und führt
Analysen auf dem Modell durch. DPL-f enthält die Funktionalität, welche in
DPL eingebaut ist und stellt eine grafische Schnittstelle für die Fehlerbaumerstellung
zur Verfügung.
Diese Eigenschaft erlaubt dem Modellierer, Fehlerbäume zu erstellen
und sie in DPL-Modelle einzubauen. DPL-f enthält ferner besondere analytische
Serviceprogramme. Diese Serviceprogramme schließen die Fähigkeit ein, die Wahrscheinlichkeit
jedes Ereignisses im Baum explizit zu berechnen und Fehlerbaum-spezifische
Arten von Empfindlichkeitsanalysen durchzuführen. DPL-f stellt eine Schnittstelle
zur Verfügung,
um Zeitreihen in ein Modell einzubauen. Das ermöglicht es einem Modellierer,
Abwertung, Kapitalwachstum oder andere zeitabhängige Größen zu berücksichtigen, ohne die Struktur
des Modells zu ändern.
DPL-f stellt für
RAM zusätzliche Fähigkeiten
zur schnellen Fehlerbaumerstellung, Bibliotheken von eingebetteten
Fehlerbäumen,
ein Sachverständigengutachten-Erstellungssystem,
Aufzählung
und Anordnung von Kürzungssätzen und
eine grafische Darstellung des Risikos über der Zeit zur Verfügung.
-
Der
ISS Internet Scanner, wie von der Internet Security Systems Corporation
(ISS) entwickelt, erlaubt aktive Datenerfassung und durchsucht ein
Netzwerk nach Hosts, Servern, Firewalls und Routern und bewertet Sicherheits-
und Richtlinienkonformität
von Netzwerken, Betriebssystemen und Software-Anwendungen. Es ermöglicht eine
zeitliche Momentaufnahme und einen Computernetzwerk-Konformitätsbericht.
Diese Programme sind unterschiedliche Netzwerk-Gefährdungsanalyseprogramme,
deren Integration das NVT der vorliegenden Erfindung ermöglicht.
-
Das
NVT der vorliegenden Erfindung beruht auf einem Kenntnis-Erhebungssystem,
das eine grafische Beschreibung einer Netzarchitektur beinhaltet.
Diese Topologie wird verwendet, um Netzwerk-Attribute zu erfassen,
und wird anschließend
auf Sicherheitsschwachstellen analysiert. Die grafische Benutzeroberfläche wird
auch verwendet, um Genauigkeit des Netzwerk-Modells zu verbessern.
-
Gemäß der vorliegenden
Erfindung bilden das System und das Verfahren des NVT automatisch
ein existierendes Netzwerk ab und können das existierende Netz
als ein Modell auf einer grafischen Benutzeroberfläche, wie
in 7 gezeigt, darstellen. Zum Beispiel könnte HP
Open View eine Netzwerktopologie grafisch darstellen. Sobald die
Software die IP-Adresse eines Standard Routers für das Netzwerk erhalten hat, kann
das NVT der vorliegenden Erfindung Open View verwenden und nach
Computern und anderen an das Netzwerk angeschlossenen Geräten suchen.
Das NVT führt
eine aktive Suche durch, wobei es mögliche IP-Adressen auf dem
Netz anpingt, und jedwede Information zu seiner Netzwerk-Karte hinzufügt, die
es empfängt.
Das NVT stellt auch ein manuelles Verfahren zur Verfügung, ein
geplantes Netzwerk mit der grafischen Benutzeroberfläche, wie
illustriert, unterstützt
durch „Drag
und Drop" zu zeichnen.
Eine Systemarchitektur kann einschließlich sicherheitskritischer
Informationen für
alternative Entwürfe
oder das Knotenbearbeiten festgelegt werden, um zusätzlich geforderte
Details zur Verfügung
zu stellen, um eine vollständige,
logische Netzwerkplanung bereitzustellen. Ein Benutzer kann auch
ein ganzes Netzwerk auf einer Karte darstellen, indem er ein Teilnetzwerk-Ikon
benutzt.
-
Wenn
eine Netzwerksystem-Beschreibung fertig gestellt worden ist, repräsentiert
und speichert das NVT der vorliegenden Erfindung die Beschreibung
in einer Objekt/Klassenhierarchie, wie als Beispiel in 16 und 17 gezeigt
und nachstehend erklärt
werden wird. Ein einzelnes topologisches System-Objektmodell unterstützt die
Informationsdatenerfordernisse der unterschiedlichen Netzwerk-Gefährdungsanalyseprogrammen
(Serviceprogramme). Die Fuzzy-Logik-Verarbeitung der Ergebnisse
ermöglicht
eine Korrelation der Ergebnisse aus den Programmen zu einer zusammenhängenden
Bewertung der Schwachstellen/des Risikos, um einen Gefährdungszustand
des Netzwerks zu erhalten, wie in der grafischen Benutzeroberfläche in 10 gezeigt.
Die einheitliche Darstellung des Systems vereinfacht die Verwendung
mehrerer Serviceprogramme und beseitigt eine überflüssige Dateneingabe. Sie stellt
auch eine Basis dafür
zur Verfügung,
sich mit dem Problem unvollständiger
Daten für
ein gegebenes Gefährdungsbewertungsserviceprogramm
und Verhandlungsfähigkeiten über zukünftige Kenntnisse
zu befassen.
-
3 illustriert
anhand von 130 ein Beispiel des gesamten Netzwerkvisualisierungsserviceprogramms (engl.
network visualization tool NVT), des Datenverarbeitungssystems der
vorliegenden Erfindung, wobei drei Netzwerk-Gefährdungsanalyseprogramme
(Serviceprogramme) dargestellt sind, wie ANSSR 132, ISS
Internet Scanner 134, und RAM 136. Das System
und Verfahren der vorliegenden Erfindung schaffen eine System-Objektmodelldatenbank
(Netzwerkmodell DB) 138, welche ein Netzwerk darstellt
und welche die Informationsdatenerfordernisse der Netzwerk-Gefährdungsanalyseprogramme
unterstützt.
Die System-Objektmodelldatenbank 138 repräsentiert
eine einheitliche Darstellung des bewerteten Systems oder Entwurfs,
und befasst sich mit dem Erfordernis einer einheitlichen internen
Darstellung eines Netzwerks, um den Netzwerk-Gefährdungsanalyseprogrammen Daten
zur Verfügung
zu stellen.
-
Dieses
Modell 138 verwendet eine objektorientierte (OO) Methodik,
um einen erweiterbaren Satz von Komponenten in einer Klasshierarchie
zur Verfügung
zu stellen, die kombiniert werden kann, um ein Netzwerk darzustellen.
Die Klasshierarchie stellt ein Mittel zur Verfügung, Komponenten mit gemeinsamen
allgemeinen Eigenschaften zu definieren, während die Details beibehalten
werden, die sie von anderen Komponenten unterscheiden. Zusätzlich zu
einer impliziten hierarchischen Beziehung, stellen objektorientierte
Techniken einen Behältnismechanismus
bereit, in welchem ein Gegenstand eine Verweisung auf jeden Gegenstand,
einschließlich
sich selbst enthalten kann. Das stellt einen flexiblen Mechanismus
zur Verfügung,
um jede physische oder logische Einheit darzustellen. Außerdem eignet
sich eine objektorientierte Darstellung zur schnellen Modifizierung
und Erweiterung und ist für
den Bereich der Informationssicherung ideal, in der täglich Änderungen
und neue Technologien entstehen.
-
Wie
in 3 gezeigt, werden Filter 140 mit jedem
der Netzwerk-Gefährdungsanalyseprogramme 132, 134, 136 verknüpft und
ermöglichen,
dass nur für
ein jeweiliges Netzwerk-Gefährdungsprogramm
erforderliche Daten in das Serviceprogramm (Programm) exportiert
werden. Die Filter bestehen aus einer C ++ Basis-Klasse, die eine
Reihe virtueller Verfahren zur Verfügung stellt, um einen Datenfluss
zwischen dem NVT System und einem Programm zu ermöglichen.
Der Filter stellt auch ein Mittel für das NVT zur Verfügung, um
die Ausführung
des Serviceprogramms zu steuern und die für ein Serviceprogramm erforderlichen
Daten zu vervollständigen.
Das NVT sieht jedes Serviceprogramm als ein Filter an, das passende
Prozeduren innerhalb des Filters aufruft, um die gewünschte Aufgabe,
einschließlich
des Initialisierens, des Ablaufs, des Importierens von Daten und
des Exportierens von Daten durchzuführen. Jedes Serviceprogramm
kann eine konkrete Filterunterklasse haben und Mittel zur Verfügung stellen,
um jede Prozedur spezifisch für
das Serviceprogramm zu definieren, während es nach wie vor die allgemeine
und bestimmte Programmierschnittstelle (API) zum NVT zur Verfügung stellt.
Das ermöglicht
es, dass alle Serviceprogramme innerhalb des NVT gleich behandelt
werden, was die Hinzufügung
und Eliminierung von Serviceprogrammen erlaubt, ohne irgendwelchen
existierenden NVT-Code zu ändern.
-
Das
Herstellen der Kommunikation zwischen DPL-f und dem NVT unter Verwendung
der Filtertechnologie ist einfach. Ein DPL-f Filter wird für Details
zur Erstellung und zum Ausfüllen
von Fehlerbäumen
in Anspruch genommen. Als ein Analyseserviceprogramm kann ein Standardbaum
einen Knoten in einem entwickelten Netzwerk darstellen und einen
Wahrscheinlichkeitswert für
Ereignisse wie Denial-of-Service, Verlust von Daten und Datenkompromiss
zur Verfügung
stellen. Tatsächlich
kann DPL-f als ein Endresultat-Serviceprogramm verwendet werden.
-
Das
Netzwerk wird dann mit jedem Netzwerk-Gefährdungsanalyseprogramm analysiert,
um Ergebnisdaten aus jedem Programm zu erzeugen. Die Ergebnisdaten
werden korreliert, um einen Sicherheitszustand des Netzwerks zu
bestimmen. Die Netzwerkbewertung kann durch die Fuzzy-Logik-Verarbeitung
der Erfindung erfolgen, wie nachfolgend erklärt, und das System-GUI (graphical
user interface) kann Eingabefelder im Rahmen einer Benutzer-Anzeige
aufweisen.
-
Eine Übersicht
des Netzwerks wird als Modell 142 durch eine automatische
Netzwerkerkennung oder manuelle Eingabe 144, wie z. B.
durch HP Open View erstellt, und ein geeignetes Filter 146 ermöglicht es
dem System-GUI 148, das Netzwerkmodell, wie in 7 gezeigt, über eine
geeignete Dateneingabe 150 auf einer Benutzer-Anzeige 152 darzustellen.
Es ist auch möglich,
ein Risiko GUI 154 vorzusehen, um die Risikogefährdung visuell
zu bewerten, ein Protokoll des 156 Risiko-/Gefährdungsberichts,
eine Risikobewertung 158 als ein Teil des GUI 148,
alles über
die Netzwerkbewertung 160, wobei ein plug-in oder Fuzzy-Regelsatz
verwendet wird, wie näher
im Detail weiter unten beschrieben. Ferner kann jede unvollständige Datenaufstellung 161 gehandhabt
werden.
-
4 illustriert
ein high-level Blockdiagramm ähnlich
der 3, welches die System-Objektmodelldatenbank 138 zeigt,
die erstellt werden und in Verbindung mit einer integrierten Anwendungsprogrammierschnittstelle 162 arbeiten
kann, um es zu ermöglichen,
Daten in die verschiedenen Serviceprogramme 164 zu importieren,
wie z. B. dargestellt als Modellierungsserviceprogramm, Erkennungsserviceprogramm
und Informationsanalyse-Serviceprogramme, die in der gesamten System-Ergebnisdatenbank 166 resultieren.
Eine Anwendungsprogrammierschnittstelle 168 und eine grafische Benutzeroberfläche 170 arbeiten
in Verbindung mit der System-Objektmodelldatenbank 138.
Ein Auswertungs-/Bewertungsmanager 172 (Manager) arbeitet in
Verbindung mit einer Anwendungsprogrammierschnittstelle (API) 174 und
einer grafischen Benutzeroberfläche
(GUI) 176, um Ergebnisdaten mit der Fuzzy-Logik-Verarbeitung,
wie angedeutet durch punktierte Linien 178, einschließlich Experten-Korrelation 180 und
Fuzzy-Rückschlüsse sowie
Offenkundigkeitsschlussfolgern 182 zu korrelieren, um Gefährdungsergebnisse 184 zu
erzeugen und eine grafische Benutzeroberfläche (GUI) 186 für die korrelierten
Ergebnisse. Obwohl 4 ein high-level Modell darstellt,
welches ein Beispiel von verschiedenen Komponenten zeigt, ist es
nur ein Beispiel eines Typs von high-level Komponenten, die mit
dem NVT System und Verfahren der vorliegenden Erfindung verwendet
werden können.
-
5 und 6 illustrieren
andere Beispiele von high-level Modellen, welche elementare Komponenten
und Verarbeitungsschritte der Datenquellen 200 (5)
zeigen, zusammen mit dem System-Bild 202, eine serviceprogrammbezogene
Analyse 204, eine Multi-Serviceprogrammanalyse 206,
die Serviceprogrammanalyse 208 für den Experten, und Berichtsmedien 210.
Die Serviceprogrammanalyse 208 für den Experten kann den DPL-f 208a als
einen Teil der Fuzzy-Logik-Verarbeitung in einer Tatsachen-Basis
einschließen,
sowie CERT-Notizen 208b und ein Expertensystem 208c für die Experten-Korrelation verwenden.
Berichte können erzeugt
werden, einschließlich
der Ausgabe in Form von Ikons auf einer grafischen Benutzeroberfläche, von Text,
eines EXCELTM Arbeitsblatts, ACCESSTM und ConfigTM,
wie dem einschlägigen
Fachmann bekannt. 6 illustriert auch ein anderes
high-level Modell ähnlich
der 5, wobei die Serviceprogramme dazu verwendet werden,
ein ganzes System-Objektmodell zu bilden und das Fuzzy-Logik-Verfahren
die individuelle Serviceprogramm-Verarbeitung und die Multi-Serviceprogramm-Korrelation
einschließen
kann.
-
7–10 illustrieren
eine grafische Benutzeroberfläche 220 detaillierter,
die Inhalt eines Computerbildschirms sein und verwendet werden kann,
um mit dem NVT zu interagieren und den Gefährdungszustand eines Netzwerks
zu bestimmen. Wie dargestellt, ist die grafische Benutzeroberfläche 220 ein
Standardtyp einer WindowsTM-Schnittstelle. Ein
Systementwurfsfenster 222 ermöglicht die Anzeige von Netzwerk-Ikons 224,
die eine Netzwerkkarte ausbilden, welche die Verbindung zwischen
verschiedenen Netzwerk-Elementen und den innerhalb eines Netzwerks
enthaltenen Knoten darstellt. Die jeweiligen Netzwerk-Ikons 224 sind
in einer Anordnung miteinander verbunden, die der entspricht, wie
die Netzwerk-Element-Knoten innerhalb des Netzwerks miteinander
verbunden sind. Wie in 7 gezeigt, können die Netzwerk-Elemente über Verbindungslinien 226 miteinander
verbunden werden, welche die Verbindung zeigen, die zwischen den
tatsächlichen
Netzwerk-Elementen und Knoten besteht. Das Systementwurfsfenster 222 zeigt
auf der linken Seite eine Zwischen-Netzwerk-Ansicht 230 mit
zwei Knoten und eine Netzwerk-Ansicht 232 auf der rechten
Seite des Fensters, um eine Karte des Netzwerkmodells darzustellen.
Ein Verwaltungsfenster 234 ist offen und zeigt Eigenschaften
von Netzwerk-Elementen.
-
Ein
Pop-up-Fenster (Box) 240 zur Auswahl der Datenempfindlichkeit
ist für
den Benutzer durch die Menüoptionen
für ausgewählte Netzwerk-Elemente
(8A) wählbar,
und weist vom Benutzer ausgewählte Gegenstände auf,
um die Empfindlichkeit von Netzwerk-Elementen auszuwählen. Die
Empfindlichkeit hinsichtlich der Daten bei jedem Knoten (Knoten
1 im in 8A gezeigten Beispiel) kann
als nicht klassifiziert, empfindlich, vertraulich, geheim, beschränkt geheim
oder streng geheim mit geeigneten O.k., Zufällig und Standard-Schaltflächen ausgewählt werden.
-
Ein
Pop-up-Fenster (Box) 250 zur Auswahl der Knotenkonfiguration
ist in 8B gezeigt und kann vom Benutzer
wählbare
Gefährdungsprofile
aufweisen, um ein Gefährdungsprofil
eines Netzwerk-Elements oder Knotens auszuwählen. 9 zeigt
auch das Netzwerkmodelldiagramm mit dem Hauptnetzwerkknoten und
den miteinander verbundenen Knoten. Es ist möglich, dass ein Benutzer die
Einträge
des Verwaltungsfensters 234 editieren kann, was es ferner
ermöglicht,
dass die Netzwerk-Erkennung
durch die geeignete Auswahl von Knöpfen erfolgt. Natürlich können Netzwerk-Ikons, wie zum Editieren
und für
Entwurfsalternativen erforderlich, ausgewählt und bewegt werden.
-
Nachdem
der Sicherheitszustand des Systems ermittelt worden ist, können Ikon-Platzhalter von Hochrisiko-Netzwerk-Elementen
die Farben von Knoten 252 umwandeln, wie in rot. Andere
ausgewählte
Ikons könnten
gelb werden, was auf einen weniger ernsten Risikoknoten hinweist,
so z. B. der HP4 Knoten 254, wie in 7 und 9 gezeigt.
Es ist möglich,
dass schattierte Bereiche um den Knoten oder Teile des Netzwerks rot
oder gelb als Hinweis auf die höhere
Risikogefährdung
gefärbt
sein können.
Es ist auch möglich,
dass die Verbindungslinie rot oder gelb werden kann, um eine schlechte
Verbindung zwischen Elementen anzuzeigen.
-
10 illustriert
ein Gefährdungszustandsfenster 270,
um für
den Benutzer lesbare Ikons als Hinweis auf gefährdete Netzwerk-Elemente und
Ikons darzustellen. Das gesamte Systemmodell wird als ein Teil eines offenen
Systementwurfsfensters gezeigt. Indes wird ein Arbeitsblatt 272 illustriert
und ein NVT-Risikobewertungsdiagramm 274 für die Risikobewertung,
welches Ziehbalken aufweist. Ferner ist ein Risikoanalyse-Fenster 276 dargestellt,
welches die fünf
ersten Risikoanalyse-Elemente zeigt.
-
16 zeigt
eine Klasshierarchie detaillierten mit den Klassenamen 280 als öffentliche
Attribute und private Attribute, die Ansammlung 282 und
Verbindung 284 der Quelle 286 und des Ziels 288 mit
den Verallgemeinerungen 290. 17 illustriert
ein Beispiel eines System-Klassendiagramms mit verschiedenen in
den Blöcken
identifizierten Komponenten. Natürlich
ist 17 nur ein System-Klassendiagramm, wie dem Fachmann
bekannt, und ein Beispiel dessen, was für das System und Verfahren
der vorliegenden Erfindung verwendet werden kann.
-
Nun
unter detaillierterer Bezugnahme auf die 11-15 wird
die zielorientierte Fuzzy-Logik Entscheidungsfindung illustriert.
Wie in 11 gezeigt, werden die System-Objektmodelldatenbank 138 und
die Ergebnisse 300 von den jeweiligen Netzwerk-Gefährdungsanalyseprogrammen
zusammengefasst, wobei eine Anwendungsprogrammierschnittstelle und
Experten-Korrelation verwendet wird, um eine Tatsachen-Basis 302 durch
Fuzzy-Verarbeitung der Daten zu bilden. Zielorientierte Fuzzy-Logik-Entscheidungsregeln
arbeiten mit Fuzzy-Rückschluss-Netzwerkregeln 304 und
Fuzzy-Offenkundigkeitsschlussfolgerungsregeln 306, um den
Sicherheitszustand eines Netzwerk basierend auf vorher bestimmten
Zielen 308 zu bestimmen.
-
Die
Fuzzy-Logik-Verarbeitung der vorliegenden Erfindung verwendet Datenverschmelzung,
Offenkundigkeitsschlussfolgern und Rückschluss-Netzwerk-Techniken. Wie dem
Fachmann bekannt, ist das Offenkundigkeitsschlussfolgern eine Technik,
in der Tatsachen gesammelt werden, die eine gegebene Hypothese unterstützen und
widerlegen. Das Ergebnis ist der Beweis oder die Verwerfung der
Hypothese mit einem bestimmten Vertrauensgrad. Die Fuzzy-Logik-Verarbeitung
der vorliegenden Erfindung verwendet Offenkundigkeitsschlussfolgern,
um Offenkundiges über
das System und Serviceprogramm-Ergebnisse für jedes Kriterium anzusammeln,
wodurch die System-Bewertungsdaten
in einen einzelnen Richtwert verschmolzen werden, die Anpassung
des Systems an ein bestimmtes Kriterium erfolgt. Durch Bereitstellen
einer Reihe von Kriterien für die
Verschmelzung beschränkt
das System das Verschmelzungsproblem und verringert die Ausgangsbasis der
Suche. Offenkundigkeitsschlussfolgern ist zuvor verwendet worden,
um eine einstufige Multisensor-Datenverschmelzung auszuführen, und
ist eine übliche,
umfassende Schlussfolgerungstechnik in Fuzzy-Experten-Systemen,
wie der Typ des Systems, der dem Fachmann als das von der NASA einwickelte
fuzzyCLIPS bekannt ist. Das Ergebnis ist eine Reihe Fuzzy-Offenkundigkeits-Regeln,
deren Zweck es ist, Nachweise für einen
gegebenen Satz von Voraussetzungen anzusammeln. Das löst potenziell
widersprüchliche,
zweideutige und überflüssige Daten
aus der Experten-Korrelation
und zieht mit verfügbaren
Daten Schlussfolgerungen, selbst wenn diese unvollständig sind.
-
Die
Genauigkeit des Ergebnisses hängt
von der Quantität
und Qualität
der verfügbaren
Daten ab, und es kann notwendig sein, eine zusätzliche Filterung der verfügbaren Daten
vor der Anwendung der Fuzzy-Logik-Verarbeitung vorzunehmen, wobei
auch die wahrscheinlichkeitstheoretische Natur der Daten aufrechterhalten
wird. Diese Filterung verwendet Rückschluss-Netzwerke und stellt
ein Verfahren zur Verfügung,
um über
die Wahrscheinlichkeit unter Verwendung von Heuristiken schlusszufolgern,
wodurch die Notwendigkeit für
umfassende a priori Kenntnisse entfällt. Der Zusammenhang zwischen
Zielen und potenziellen Sicherheitsmetriken regt „Kreuzungen" an. Wie dem Fachmann
bekannt, verwendet das fuzzyCLIPS Fuzzy-Tatsachen, die jeden Wert
zwischen 0 und 1 annehmen können.
Das Ergebnis kann als eine zwei dimensionale grafische Darstellung
einer stetigen Funktion, vertikal begrenzt durch 0 und 1, angesehen
werden.
-
Die
Datenverschmelzung wird mit der System-Objektmodelldatenbank, Ergebnisdaten
Tatsachen-Basis verwendet. Aufklärungsdatenverschmelzung
ist ein mehrstufiger, multi-disziplinär basierter Informationsprozess,
um die Integration der Informationen von mehreren Aufklärungsquellen
(und möglicherweise
mehreren Aufklärungsdisziplinen)
zu erzielen, um spezifische und umfassende, vereinheitlichte Daten über eine
Einheit zu erzeugen (ihr Zustand, Fähigkeiten, und die Bedrohung,
die sie darstellt). Die Datenverschmelzung stellt Informationen
zur Verfügung,
die auf den vorhandenen Eingaben basieren. Das Aufklärungsdatenverschmelzungsverfahren
wird typischerweise in vier Stufen eingeteilt, die unten in der
Tabelle 1 beschrieben werden.
-
-
-
Wie
zuvor bemerkt, verbindet das NVT mehrere Typen von Daten von mehreren
Quellen mit anderen Kontextinformationen, um eine ganzheitliche
Sicht des Sicherheitszustands des vernetzten Systems zu bilden. Das
NVT stellt einem Benutzer einen einfachen Ausdruck des Gefährdungszustands
des gegebenen Systems oder des Systementwurfs zur Verfügung, und
ermöglicht
diesen eine „was
wenn"-Analyse im
Bezug auf Funktionalität,
Leistung, und Gegenmaßnahmehandlungen
für den
Zweck, das System oder den Systementwurf zu verfeinern und zu verbessern.
-
In
der Computersicherheitstechnik bilden Sensoren die verschiedenen
Gefährdungsbewertungs-
und Risikoanalysewerkzeuge zusammen mit dem GUI, um erforderliche
Informationen vom Benutzer einzuholen. Die resultierenden Ausgaben
dieser Serviceprogramme nehmen die Form sowohl qualitativer als
auch quantitativer Daten in einer Vielfalt von Formaten verschiedener
Anbieter an. Die für
die Computersicherheitstechnik interessanten Gegenstände sind
die Knoten in einem Netzwerk (Computersystem), d. h. die Gegenstände, einschließlich der
Hardware, Software und der Daten. Gegenstand des Interesses ist
eine Bewertung der Schwächen
im Sicherheitssystem eines Computernetzwerk-Segmentes, die ausgenutzt
werden könnten,
um einen Schaden oder Verlust der Geheimhaltung, Integrität oder Verfügbarkeit
zu verursachen.
-
Das
Bewerten des einem Computersystem gegenüberstehenden Risikos schließt eine
Bewertung der gegenüberstehenden
Bedrohungen, ihre Auftretenswahrscheinlichkeit (Ausnutzung), und
die erwarteten Kosten des Verlustes (oder Schadens) ein. Schließlich kann
das Netzwerk (Computersystem), basierend auf den Ergebnissen der
Kosten-Nutzen-Analyse verbessert werden. Das erfordert Informationen über Schutzmaßnahmen
(Kontrollen oder Gegenmaßnahmen),
die für
die einzelnen Gefährdungen
und ihre Kosten eignen. Die Kosten-Nutzen-Analyse strebt danach
zu bestimmen, ob es weniger kostet, eine Kontrolle oder Gegenmaßnahme zu
verwenden oder die erwarteten Kosten des Verlustes hinzunehmen.
Dies führt
zur Entwicklung eines Sicherheitsplans, um die Sicherheit eines
Computernetzwerksystems zu verbessern.
-
Tabelle
2 enthält
ein Beispiel einer ersten Einteilung dieses Datenverschmelzungsverfahrens
für die Computersicherheit
mit vier Verfahrensstufen entsprechend den vier in Tabelle 1 zu
findenden Stufen, die für die
vorliegende Erfindung verwendet werden kann. Wie in 12 illustriert,
bestehen die Eingaben in dieses Verfahren aus der System-Objektmodelldatenbank 138,
den Ergebnissen der einzelnen Serviceprogramme 132, 134, 136,
und aus anderen Kontextinformationen. Die verschiedenen Datenverschmelzungsstufen
1–4 sind
allgemein als 320, 322, 324 und 326 dargestellt.
-
-
-
-
Während die
in der vorliegenden Erfindung verwendete Datenverschmelzung ein
konzeptionelles Rahmenwerk zur Verfügung stellt, um das Problem
des Zusammenfassens der Ergebnisse aus mehreren Gefährdungsbewertungs-
und Risikoanalyseserviceprogrammen anzugehen, werden Experten-Systeme,
Rückschluss-Netzwerke und Offenkundigkeitsschlussfolgern
verwendet, um die Verschmelzungskonzepte umzusetzen und die Serviceprogrammergebnisse
zu verschmelzen. Die Flexibilität
der Fuzzy-Entscheidungstechnologie, insbesondere von Fuzzy-Experten-Systemen,
bietet die Mittel an, diese Probleme anzugehen. Ein primärer Vorteil
eines Fuzzy-Experten-Systems ist seine Fähigkeit, Kenntnisse von mehreren
Quellen zu verwenden und aufzunehmen.
-
Fuzzy-Logik
stellt die Technik zur Verfügung,
um Kenntnisse darzustellen und abzuleiten, die unpräzise, ungewiss
oder unzuverlässig
sind. Ähnlich
zu traditionellen Experten-Systemen kann ein Fuzzy-Experten-System
Kenntnisse in der Form eines Systems von WENN/DANN Regeln darstellen,
in denen die Voraussetzungen, Folge oder beide unscharf sind anstatt
schart. Fuzzy-Logik wird verwendet, um zu bestimmen, wie gut Fuzzy-Tatsachen
mit den Regeln übereinstimmen,
und in welchem Maße
diese Übereinstimmung
die Schlussfolgerung der Regel beeinflusst. Gemäß der vorliegenden Erfindung
ist ein Rückschluss-Netzwerk
eine Hierarchie von heuristischen Regeln, die Wahrscheinlichkeiten
weitergeben können,
ohne umfassende Kenntnisse von a priori Wahrscheinlichkeiten zu
erfordern (z. B. Bayesian-Netzwerke). Die heuristischen Regeln können dadurch
entwickelt werden, dass Experten-Kenntnisse darüber verwendet werden, wie die
Wahrscheinlichkeiten weitergegeben werden, was es ermöglicht, Schlussfolgerungen
mit beschränkten
Kenntnissen von a priori Wahrscheinlichkeiten zu ziehen. Dies resultiert
darin, dass sich niederstufige diskrete Wahrscheinlichkeiten in
höherstufigen
Schlussfolgerungen akkurat widerspiegeln. Wahrscheinlichkeiten von
niederstufigen Ereignissen (wie die Wahrscheinlichkeit einer Kennwort-Offenlegung über der
Lebensdauer) müssen ein
Teil irgendwelcher Schlussfolgerungen hinsichtlich höherstufiger
Ereignisse (Schwächen
des Kennwortes) sein.
-
Anfängliche
Studien von NVT verwenden die Ansammlung von Nachweisen, um eine
Fuzzy-Tatsache zu modifizieren und die Zustandsänderung darzustellen, die im
vorliegenden System erforderlich ist. Diese Zustandsänderung
der Fuzzy-Tatsache wird dann verwendet, um das System zu modifizieren,
und der neue Zustand wird in einem endlosen Zyklus zurück in die
Zustandsänderungsregeln
gekoppelt, wobei umfassende Beiträge verwendet werden. FuzzyCLIPS
ermöglicht
die Definition von Fuzzy-Tatsachen-Typen, jedoch bleibt nur eine Tatsache
jedes Typs bestehen. Deshalb modifiziert jede Regel, die diesen
Tatsachen-Typ tatsächlich manipuliert,
eine einzelne Tatsache, was zur Ansammlung von Nachweisen führt.
-
Der
umfassende Beitrag und die Ansammlung von Nachweisen haben zu einer
FuzzyCLIPS Methodik geführt,
die Fuzzy-Tatsachen definiert, welche verschiedene Gefährdungszustände darstellen.
Diese Tatsachen verwenden den umfassenden Beitrag und die Ansammlung
von Nachweisen, d. h. Offenkundigkeitsschlussfolgern, um Endwerte
zu ermitteln, welche die Gefährdung
des geprüften
Systems widerspiegeln. Dieses Verfahren spiegelt die wohldefinierte
Verwendung von Fuzzy-Logik-Kontrollsystemen wider, welche die Durchführung (des
Verfahrens) auf eine begrenzte Anzahl von Zyklen beschränkt, anstatt
ihm zu erlauben, kontinuierlich zu laufen. FuzzyFusionTM ist
durch die Harris Corporation in Melbourne, Florida entwickelt worden,
und verwendet diese Methodik, um Nachweise aus Regeln basierend
auf Kenntnissen von Netzwerk-Sicherheitsexperten
anzusammeln. Vornehmlich verwendet FuzzyFusionTM das
Offenkundigkeitsschlussfolgern als eine Technik, in welcher Tatsachen
gesammelt werden, die eine gegebene Hypothese stützen und widerlegen. Das Ergebnis
ist der Beweis oder die Verwerfung der Hypothese mit einem bestimmten
Vertrauensgrad.
-
Die
anfängliche
Kenntnisgewinnung resultiert in der Verwendung von Sicherheitsvoraussetzungen, um
Nachweise anzusammeln, d. h. wie gut entspricht ein System den Anforderungen.
Die demonstriert eine starke Korrelation zwischen den Verfahren
der Überprüfung einer
Datenbank (z. B. AFCERTS) und der Überprüfung von Sicherheitsvoraussetzungen,
was zur Verwendung der Datenbank und der Voraussetzungen als umfassendem
Tatsachen-Beitrag führt,
um Nachweise, die in 13 illustriert sind, anzusammeln.
Dies zeigt auch, wie das Verändern
der Detailtiefe der Ziele direkt die Detailtiefe der Bewertung beeinflusst,
d. h. die Bewertung wird nur so detailliert wird wie die Ziele.
Die Ansammlung von Nachweisen wird als eine zielorientierte Herangehensweise
an das Erreichen von Ergebnissen angesehen, wobei die Verwendung
einer Vorwärtsschlussfolgerungstechnik
aufrechterhalten und fürs
Erste als „zielbasierte
Verschmelzung" bezeichnet
wird.
-
Ein
Beispiel dafür,
wie Fuzzy-Logik mit der Verschmelzung von Serviceprogrammergebnissen
in der Computersicherheit angewandt werden kann, verwendet die Kombination
von Ergebnissen von ANSSR und ISS Internet Scanner, zwei der Serviceprogramme,
die in einer Hinsicht von NVT zur Zeit verwendet werden. Die Ausgaben
der Serviceprogramme sind sowohl quantitativ (ANSSR) als auch qualitativ
(Internet Scanner). Fuzzy-Logik erlaubt es dem System, beide Datentypen
innerhalb desselben Systems zu darzustellen. Dann wird eine anfängliche
Hypothese formuliert, und Fuzzy-Logik wird verwendet, um Nachweise
zu sammeln, um der Hypothese zu widersprechen oder sie zu unterstützen.
-
Für dieses
Beispiel könnte
eine anfängliche
Hypothese sein, dass die Prüfung
in einem existierenden Netzwerk-System ungültig ist. Der System-Benutzer
führt dann
die ANSSR und ISS Internet Scanner-Serviceprogramme aus. Wenn ANSSR
eine Nummer 90 (von 100) liefert, ist diese Prüfung ausreichend und die Fuzzy-Logik
ermöglicht
es dem NVT, dies als starke Widerlegungsnachweise für die anfängliche
Hypothese, dass die Prüfung
ungültig
sei, zu berücksichtigen.
Wenn Internet Scanner die Daten der Eigenschaft liefert, dass ein
Benutzer-Zugriff ungeprüft
ist, berücksichtigt
dies die Fuzzy-Logik als tützenden
Nachweis, der mit den Nachweisen von ANSSR kombiniert wird. Wenn
die Serviceprogramme beendet werden, werden die Nachweisbeiträge für die Prüfung als eine
einzelne Fuzzy-Tatsache dargestellt, die ein Maß dafür zur Verfügung stellt, wie gut die Prüfung durchgeführt wird.
-
FuzzyFusionTM, wie von der Harris Corporation in Melbourne,
Florida entwickelt, ist ein Mittel, um die Ergebnisse der Gefährdungsbewertungs-
und Risikoanalyseserviceprogramme, die innerhalb des NVT verwendet
werden, zu konsolidieren und in einen vereinheitlichten Bericht
zu verschmelzen. Insbesondere ist FuzzyFusionTM dazu
entworfen, die Verschmelzung der Niveaus 1 und 2 durchzuführen. FuzzyFusionTM wird durch die Verwendung eines Fuzzy-Experten-Systems
(zielorientierte Fuzzy-Logikentscheidungsregeln) erreicht, wobei
FuzzyCLIPS benutzt werden, welche die Ausgaben der verschiedenen
Serviceprogramme, Benutzer-Belange hinsichtlich System-Risiken und Gefährdungen,
und das Experten-Verständnis
der Ergebnisse jedes Serviceprogramms, und wie sich diese in ein
größeres Informationssystemsicherheitsbild
einpassen, kombinieren. Folglich erhalten NVT Benutzer einen einfachen
Ausdruck des Sicherheitszustands des gegebenen Computersystems oder
Systementwurfs, und können
eine „was
wenn"-Analyse für die Funktionalität, Leistung,
und Gegenmaßnahmen
durchführen.
-
14 illustriert
die NVT FuzzyFusionTM Teilarchitektur zur
Umsetzung der ersten zwei Niveaus der Datenverschmelzung für die Computersicherheitstechnik.
Wie die Figur illustriert, wird die Aufgabe der Nachbildung eines
Sicherheitsgutachtens in getrennte Aufgaben eingeteilt. Die Trennung
der Experten-Korrelation (Datenrahmenwerkverschmelzungsregeln),
Fuzzy-Rückschluss-Netzwerk-Regeln,
und Fuzzy-Offenkundigkeitsschlussfolgerungsregeln befassen sich
mit den Problemen von labilen Experten-Systemen und Rechenaufwandsexplosion.
Sie trennt auch die niederstufige Datenkorrelation und -verschmelzung
von der Bestimmung von zweideutigen/widersprüchlichen Daten und der Einfügung der
Ergebnisse in ein Bild. Dies sollte zu Fuzzy-Experten-Systemen führen, die
leichter aufrechtzuerhalten sind als ein großes umfassendes System. Elemente
dieser Architektur werden unten beschrieben.
-
Fuzzy-Verarbeitung 310 der
Daten konvertiert die Ergebnisse der einzelnen Gefährdungsbewertungs- und
Risikoanalyseserviceprogrammen 132, 134, 136 in
Fuzzy- Tatsachen,
und speichert jene zusammen mit dem allgemeinen Systemmodell (engl.
Common System Model CSM), d. h. der System-Objektmodelldatenbank 138,
in die (FuzzyCLIPS) Tatsachen-Basis 302. Einzelne Serviceprogrammergebnisse
werden (nach der Fuzzy-Verarbeitung) und der CSM 138 für die Experten-Korrelationsverarbeitung 330 (Datenrahmenwerkverschmelzungsregeln)
exportiert, um Systeminformationen aufzulösen und auf dem Sicherheitsgutachten
basierende Serviceprogrammausgaben zu integrieren. Ein Sachverständigengutachten
kann verwendet werden, um die spezifischen Fuzzy-Werte zu bestimmen,
die den niederstufigen Ereignissen zugeschrieben sind.
-
Die
Experten-Korrelation (Datenrahmenwerkverschmelzungsregeln) 330 ist
eine Sammlung von Fuzzy-Experten-Regeln, um Knotenniveau-Datenfilterung
(Niveau 1) oder Filterung des Netzwerk-Segmentes (Niveau 2) durchzuführen. Diese
Regeln korrelieren und konsolidieren die (Fuzzy-verarbeiteten) Ausgaben
der Gefährdungsbewertungs-
und Risikoanalyseserviceprogramme, unter Verwendung der Expertise
von Sicherheitsingenieuren. Diese Regeln setzen die umfassende Erfahrung
in der Sicherheitsbewertung wirksam ein, um niederstufige System-Daten
und Serviceprogrammergebnisse aufzulösen. Diese Regeln lösen System-Informationen
auf und integrieren Serviceprogrammausgaben. Die Verarbeitung 330 gemäß Experten-Korrelationsregeln
kann ferner niederstufige Daten des CSM und Serviceprogrammergebnisse
in hochstufige Schlussfolgerungen transformieren. Zum Beispiel ist,
WENN die Prüfung
mit diesen Flags eingeschaltet ist, UND die Prüfungsdaten nicht gesichert
werden, die Prüfung
unzuverlässig.
-
Ausgehend
von Fuzzy-Tatsachen in der Tatsachen-Basis 302, kann eine
Reihe von Verschmelzungsregeln des Niveaus 1 die Gefährdung für jeden
Knoten konsolidieren, was zu einer Gefährdungseinstufung für jeden
Knoten im Netzwerk führt.
Diese Einstufung kann zur Anzeige zurück in das NVT importiert werden. Ähnlich kann
eine Reihe von Verschmelzungsregeln des Niveaus 2 die Gefährdung für jedes
Netzwerk-Segment konsolidieren, was zu einer Gefährdungseinstufung für jedes
Netzwerk-Segment führt.
Das kann wieder zur Anzeige zurück
importiert werden.
-
Die
Daten sind dann einer Verarbeitung 304 durch Fuzzy-Rückschluss-Netzwerk- Regeln unterworfen. Es
kann notwendig sein, eine zusätzliche
Filterung der verfügbaren
Daten vor der Anwendung der Fuzzy-Offenkundigkeitsschlussfolgerungsregeln 304 durchzuführen, wobei
die wahrscheinlichkeitstheoretische Natur der Daten aufrechterhalten
wird. Diese Filterung verwendet, wie dem Fachmann bekannt, Rückschluss-Netzwerke,
welche ein Verfahren zur Verfügung
stellt, um die Wahrscheinlichkeit unter Verwendung von Heuristiken
zu beurteilen, wodurch die Notwendigkeit für umfassende a priori Kenntnisse
entfällt.
-
Die
Fuzzy-Offenkundigkeitsschlussfolgerungsregeln 306 sind
eine Sammlung von Fuzzy-Experten-Regeln einzelner Serviceprogrammergebnisse,
die in eine hochstufige Bewertung eines Sicherheitszustands des
Netzwerks aus einer System-Niveau-Perspektive zusammengefasst werden.
Diese Regeln stellen einen Mechanismus zur Verfügung, um den CSM, die Serviceprogrammergebnisse
und die Ergebnisse aus der Experten-Korrelation (Datenrahmenwerkverschmelzungsregeln) 330 in
einen vereinheitlichten Bericht zusammenzufassen. Dies behebt die
Notwendigkeit, sich mit unvollständigen
und widersprüchlichen
Daten aus dem Vorwärtskettungs-Experten-System,
das in der Experten-Korrelation verwendeten wird, zu befassen.
-
Offenkundigkeitsschlussfolgern
verwendet eine Technik, in der Tatsachen gesammelt werden, um eine gegebene
Hypothese zu unterstützen
und zu widerlegen. Das Ergebnis ist der Beweis oder Verwerfung der Hypothese
mit einem bestimmten Vertrauensgrad. FuzzyFusionTM verwendet
das Offenkundigkeitsschlussfolgern, um Nachweise aus dem allgemeinen
Systemmodell und Serviceprogrammergebnissen für jedes Kriterium anzusammeln,
wodurch die Computernetzwerksystem-Bewertungsdaten in einen einzelnen
Richtwert verschmolzen werden, die Anpassung des Systems an ein
bestimmtes Kriterium erfolgt. Durch Bereitstellen einer Reihe von
Kriterien für
die Verschmelzung, beschränkt
das System das Verschmelzungsproblem und verringert die Ausgangsbasis
der Suche, was früher
als zielbasierte Verschmelzung bezeichnet wurde. Das Ergebnis ist
eine Reihe Fuzzy-Offenkundigkeits-Regeln, deren alleiniger Zweck
es ist, Nachweise für
einen gegebenen Satz von Voraussetzungen anzusammeln. Dies löst potenziell
widersprüchliche,
zweideutige und überflüssige Daten
aus der Experten-Korrelation
(Datenrahmenwerkverschmelzungsregeln) 330 und zieht mit
verfügbaren Daten
Schlussfolgerungen, selbst wenn diese unvollständig sind. Offensichtlich hängt die
Genauigkeit des Ergebnisses von der Quantität und Qualität der verfügbaren Daten
ab.
-
Wie
vorher angemerkt, ist die Fuzzy-Logik-Verarbeitung zielorientiert.
Ziele für
die Nachweisansammlungsverarbeitung 350, können aus
einer Sicherheitsvoraussetzungsdatenbank 352, einer Computersicherheitsmetrik-Datenbank 354,
oder einer Gefährdungsdatenbank 356,
wie einer aus AFCERTs zusammengesetzten Datenbank abgeleitet werden.
Die Bindung der Verschmelzung an vorher bestimmte Ziele beschränkt die
Berechnungszeiten. FuzzyFusionTM Ziele stellen
einen Mechanismus bereit, IA Metriken zu erhalten.
-
Das
FuzzyFusionTM Verfahren hat eine Anzahl
von Vorteilen gegenüber
traditionellen Herangehensweisen. Schart Experten-Systeme erforderten äußerst große Wissensbasen,
um die notwendigen Daten noch zu umfassen, und hätten dennoch ein Problem mit
unvollständigen
Daten und widersprüchlichen
Ergebnissen. Bayesische und Wahrscheinlichkeitsnetzwerke erfordern
umfassende und häufig
nicht verfügbare
a priori Kenntnisse von Wahrscheinlichkeiten. Algorithmische Lösungen sind
für die
wahrscheinlichkeitstheoretische und heuristische Natur des Sicherheitsproblems
nicht tauglich.
-
Rete-basierte
Experten-Systeme wie FuzzyCLIPS leiden unter einer geometrischen
Zunahme der Laufzeit basierend auf der Anzahl von im System vorhandenen
Regeln und Tatsachen. Das führt
zum Aufbrechen der Analyse in Teilnetzwerke. FuzzyFusionTM fügt
Teilnetzwerk- und Skalierungsfähigkeiten
hinzu. Die Knoten für
jedes Teilnetzwerk werden als eine Gruppe bewertet, und dann werden
Gruppen von Teilnetzwerken bewertet. Die Gruppierung der Regeln
für jeden
Typ der Analyse in verschiedene Module reduziert die Größe des Rete-Netzwerks.
Zusätzlich
zur abnehmenden Laufzeit, führt
dies auch ein skalierbares Verfahren ein, um Netzwerke zu analysieren,
welches auf das durch NVT verwendete Netzwerk-Modell abgebildet
wird.
-
Wie
in 15 gezeigt, können
die anderen möglichen
Datenräume
eine Bedrohungskenntnisdatenbank 360 einschließen, eine
Kostendatenbank 362 als ein Teil der Verschmelzung des
Niveaus 3 und einer Gegenmaßnahmenkenntnisdatenbank,
Komponentendatenbank und Kostendatenbank.
-
Diese
Anmeldung steht in Beziehung zu den ebenfalls anhängigen Patentanmeldungen
betitelt mit, "SYSTEM
AND METHOD FOR ASSESSING THE SECURITY POSTURE OF A NETWORK AND HAVING
A GRAPHICAL USER INTERFACE" und "SYSTEM AND METHOD
FOR ASSESSING THE SECURITY POSTURE OF A NETWORK USING GOAL ORIENTED
FUZZY LOGIC DECISION RULES",
die an demselben Tag und von denselben Anmeldern und Erfindern eingereicht
wurden, deren Offenbarungsgehalt hiermit durch Verweisung aufgenommen
wird.
-
Viele
Modifizierungen und andere Ausführungsformen
der Erfindung werden dem Fachmann vorschweben, welcher von den Vorteilen
der in den vorhergehenden Beschreibungen und den damit verbundenen Zeichnungen
darstellten Lehre profitieren. Deshalb sei klargestellt, dass die
Erfindung nicht auf die speziellen, offenbarten Ausführungsformen
beschränkt
sein soll, und dass Modifizierungen und Ausführungsformen im Rahmen der
abhängigen
Ansprüche
eingeschlossen sind. Ein Verfahren- und Datenverarbeitungssystem
bewertet die Sicherheitsgefährdung
eines Netzwerks, wobei eine System-Objektmodelldatenbank geschaffen wird,
die ein Netzwerk darstellt. Die System-Objektmodelldatenbank unterstützt die
Informationsdatenerfordernisse von verschiedenen Netzwerk-Gefährdungsanalyseprogrammen.
Die System-Objektmodelldatenbank wird in die Netzwerk-Gefährdungsanalyseprogramme
exportiert. Das Netzwerk wird mit jedem Netzwerk-Gefährdungsanalyseprogramm
analysiert, um Ergebnisdaten zu aus jedem Programm erzeugen. Die
Ergebnisdaten werden korreliert, um den Sicherheitszustand des Netzwerks
zu bestimmen.