KR20090037538A - 정보자산 모델링을 이용한 위험 평가 방법 - Google Patents
정보자산 모델링을 이용한 위험 평가 방법 Download PDFInfo
- Publication number
- KR20090037538A KR20090037538A KR1020070102880A KR20070102880A KR20090037538A KR 20090037538 A KR20090037538 A KR 20090037538A KR 1020070102880 A KR1020070102880 A KR 1020070102880A KR 20070102880 A KR20070102880 A KR 20070102880A KR 20090037538 A KR20090037538 A KR 20090037538A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- information asset
- vulnerability
- asset
- value
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/04—Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Tourism & Hospitality (AREA)
- Game Theory and Decision Science (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Development Economics (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Educational Administration (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 정보자산 모델링을 이용한 위험 평가 방법에 관한 것으로, 더욱 상세하게는, 위험 평가를 수행하고자 하는 정보자산을 식별하고, 이를 모델링함으로써, 정보자산에 대한 위험도 산출을 자동화할 수 있는 위험 평가 방법에 관한 것이다. 본 발명의 일 실시예에 따른 위험 평가 방법은, (a) 네트워크 서비스를 사용하거나 제공하는 정보자산을 식별하는 단계; (b) 컴퓨터 네트워크를 통해서 상기 정보자산에 가해지는 위협을 식별하는 단계; (c) 상기 정보자산의 취약성을 식별하는 단계; (d) 상기 취약성에 대한 공격 성공으로 인한 영향(Severity)을 표준화된 값으로 변환한 CVSS 값을 이용하여 공격성공가능성을 산출하는 단계; (e) 상기 정보자산의 가치를 산정하여 충격도를 산출하는 단계; 및 (f) 상기 산출된 공격성공가능성과 충격도를 곱하여 상기 정보자산에 대한 위험도를 결정하는 단계를 포함한다. 본 발명에 따른 위험 평가 방법은 정보자산을 모델링하여, 정보자산에 대한 위험도 산출을 자동화함으로써, 위험도 산출에 소요되는 시간을 단축하고, 취약성 정보 관리를 일관적으로 수행할 수 있는 효과가 있다.
공격성공가능성, 위험평가, 위협, 정보자산, 취약성, CVE, CVSS
Description
본 발명은 정보자산 모델링을 이용한 위험 평가 방법에 관한 것으로, 더욱 상세하게는, 위험 평가를 수행하고자 하는 정보자산을 식별하고, 이를 모델링함으로써, 정보자산에 대한 위험도 산출을 자동화할 수 있는 위험 평가 방법에 관한 것이다.
위험분석 또는 위험평가는 조직의 보안을 유지 또는 측정하기 위해 필요한 요소이다. 위험에 노출될 경우의 조직의 임무 수행에 미치는 영향은 위험분석을 통해 파악되며, 이에 따라 적절한 통제와 보호대책이 보장될 수 있다.
인터넷 인프라가 확산되고 컴퓨터 시스템을 이용한 기업의 서비스가 획기적으로 확대되고 있는 실정에서, 컴퓨터 네트워크를 이용한 공격관점에서의 위험평가가 요구된다.
금융기관, 인터넷 포털 업체, 통신회사, 인터넷 쇼핑몰 등 민간기업뿐만 아니라 공공기관에서도 정보인프라를 활용하여 일반인에게 서비스를 제공하는 기회가 과거 몇 년 동안 기하급수적으로 증가하였다. 이에 따라 많은 조직에서 정성적인 위험분석방법을 활용하여 정보자산에 대한 취약점 분석 및 위험 분석, 평가 수행이 점차 확대되고 있다. 이를 통해 조직은 위험을 판단하여 보호대책을 적용함으로써 조직의 자산을 보호하고 안전하게 임무를 수행할 수 있다.
위험평가의 범위를 산정하는 것은 곧 위험평가의 대상이 되는 자산의 범위를 선정하는 것에서 출발한다. 즉 자산의 범위는 인력, 건물, IT시스템, 문서 등을 포함하는 조직 전체 운영자산으로 정하는 방법과 하드웨어 및 소프트웨어가 포함된 IT 자산으로 정하는 방법 등의 여러 가지가 존재할 수 있다. 이 중에서 컴퓨터에 포함된 서비스나 데이터 등의 무형의 정보자산을 파악하는 것은 매우 어려운 과제이다.
일반적으로 정성적인 위험평가 도구는 시스템 운영자, 전문가의 의해서 입력되어 위험도를 산출하는 모델로 구성된다. 위험평가 전문가들은 자산을 식별한 후에 취약성을 발견하기 위해 설계에서부터 구현 내용, 침투 시험에 이르기까지 다양한 방법을 이용하여 취약성을 확보한다. 하지만, 실제 컴퓨터 시스템, 네트워크 운영자 및 책임자가 상기 방법을 수작업으로 실행하는 것은 시간이 많이 소요되며, 일관된 취약성 정보 관리가 어렵다는 문제점이 있다.
본 발명은 정보자산에 대한 식별을 자동화하며, CVSS (Common Vulnerability Scoring System) 를 활용하여, 전문가 또는 운영자의 개입을 최소할 수 있는 위험 평가 방법을 제공하는 것이다.
전술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 위험 평가 방법은, (a) 네트워크 서비스를 사용하거나 제공하는 정보자산을 식별하는 단계; (b) 컴퓨터 네트워크를 통해서 상기 정보자산에 가해지는 위협을 식별하는 단계; (c) 상기 정보자산의 취약성을 식별하는 단계; (d) 상기 취약성에 대한 공격 성공으로 인한 영향(Severity)을 표준화된 값으로 변환한 CVSS 값을 이용하여 공격성공가능성을 산출하는 단계; (e) 상기 정보자산의 가치를 산정하여 충격도를 산출하는 단계; 및 (f) 상기 산출된 공격성공가능성과 충격도를 곱하여 상기 정보자산에 대한 위험도를 결정하는 단계를 포함한다.
상기 (c) 단계는 CVE 식별자를 이용할 수 있다.
상기 위험 평가 방법은 상기 (c)와 (d) 단계 사이에, 상기 CVE 정보로부터 취약성을 점수화한 CVSS 값을 추출하는 단계를 더 포함할 수 있다.
상기 (e) 단계는, 상기 취약성에 대한 상기 정보자산의 식별자를 확인하는 단계; 상기 정보자산이 제공하는 서비스와 운영중인 소프트웨어를 확인하는 단계; 및 상기 확인된 서비스와 소프트웨어 상에서 사용하고 있는 트래픽 비율을 확인하 여 상기 정보자산의 가치를 산정하는 단계를 포함할 수 있다.
상기 트래픽은 인터넷 사이트를 통해 상기 정보자산에 접근하는 방문자수에 관한 정보를 포함할 수 있다.
상기 정보자산에 가해지는 위협경로는 상기 컴퓨터 네트워크를 통한 논리적인 접근이 될 수 있다.
본 발명에 따른 위험 평가 방법은 정보자산에 대한 식별을 자동화하며, CVSS (Common Vulnerability Scoring System) 를 활용하여, 전문가 또는 운영자의 개입을 최소할 수 있는 효과가 있다.
또한, 본 발명에 따른 위험 평가 방법은 정보자산을 모델링하여, 정보자산에 대한 위험도 산출을 자동화함으로써, 위험도 산출에 소요되는 시간을 단축하고, 취약성 정보 관리를 일관적으로 수행할 수 있는 효과가 있다.
이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 따른 위험 평가 방법에 대해서 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 위험 평가 방법을 도시한 순서도이다.
도 1을 참조하면, 위험 평가 절차는 먼저 조직의 자산 중 정보자산을 식별한다(S100).
정보자산은 물리적 자산과 달리 외부의 사용자 입장의 관점에서 존재여부가 실시간으로 변하는 성질을 갖는다. 또한, 컴퓨터 네트워크에 연결되어 있지 않고, 서비스를 제공하지 않는다면 원격의 사용자에 의해 파악되지 않는다. 이 경우 외부의 사용자의 의해 정보자산은 접근이 불가능하므로 위험이 발생하지 않는다. 즉 물리적인 자산은 존재 자체가 가시적이며, 일정한 목적을 위해 수행되지만, 정보자산은 시간과 목적에 따라 운영 여부의 변동이 크다. 따라서 정보자산의 실제 운영 상태는 실시간으로 파악할 수 있어야 한다.
또한, 정보자산의 식별은 자산자체의 식별과 자산을 구성하고 있는 세부요소에 대한 개별적 식별로 구분될 수 있다. 일반적으로 공격자는 도구를 활용하여 공격 목표가 되는 컴퓨터의 존재 여부를 파악한 후, 다음 단계로서 컴퓨터 하부 요소 즉 컴퓨터의 운영체제, 현재 제공하고 있는 서비스 및 서비스의 소프트웨어 버전 등의 정보를 파악한다. 이 후 공격자는 입수된 소프트웨어 정보에 해당하는 취약성을 찾아서 목표 컴퓨터에 침투한다.
정보자산은 2가지 개념으로 구별하여 자산의 정보를 수집해야 한다. 즉, 자산을 대표하는 식별자와 외부 사용자 관점에서의 자산, 및 사용자가 상호작용하는 관점에서의 구성 요소 정보로 구분되어 정보가 수집되어야 한다. 상기 정보를 수집하기 위해서 Nmap(Network mapper) 도구나 네트워크 패킷 분석이 이용될 수 있다.
계속하여, 정보자산을 식별한 후(S100), 컴퓨터 네트워크를 통해 상기 정보 자산에 가해지는 위협을 식별한다(S120). 위협은 공격자가 조직 외부에서 고의적으로 정보를 공개, 변조, 파괴, 정지 등의 결과를 초래할 수 있는 것으로 정의한다.
위협은 공격자가 컴퓨터의 취약성을 이용하여 원격에서 자산을 공격하는 방법을 고려한다. 이는 위협원이 외부에서 고의적인 방법으로 조직의 컴퓨터에 연결 하여 상호작용하며 컴퓨터가 가지고 있는 취약점을 발견한 후, 이를 악용하여 컴퓨터의 비밀성, 무결성, 가용성을 침해하는 것이다.
위협경로는 논리적인 접근 및 물리적 접근, 시스템 상의 문제 그리고 기타 문제 등으로 분류될 수 있으며, 접근방법, 위협주체, 동기, 침해결과 등에 따라 위협발생 경우를 분류할 수 있다.
본 발명은 정보자산에 대한 자동적 식별을 기반으로 하여, 상기 위협경로로써, 컴퓨터 네트워크를 통한 논리적인 접근이 고려될 수 있다.
상기 위협을 식별한 후에는(S120), 상기 정보자산의 취약성을 식별한다(S140). 컴퓨터 분야에서 취약성은 시스템의 보안정책을 위반하기 위해 악용될 수 있는 시스템의 설계, 구현 및 운영 및 관리 상의 결함으로 정의된다.
취약성은 설계 상에 발생할 수 있는 취약한 구현 논리나 알고리즘 또는 구현 상의 오류, 시스템 설정 또는 운영 시 발생될 수 있는 오류 등이 포함된다. 이러한 정보들이 노출되어 악용이 되면 시스템은 원래 목적한 보안기능을 정상적으로 수행하지 못하고, 외부의 공격자에 의해 시스템 또는 데이터에 침해가 발생할 수 있다.
본 발명의 일 실시예에서, 정보자산의 취약성을 식별하기 위해, CVE(Common Vulnerabilities & Exposure) 식별자를 이용한다. CVE 는 미터(MITRE)에서 제공하는 보안 취약성 및 기타 정보 보안 노출에 대하여 표준화된 명칭 목록으로써, 지금까지 공개된 모든 보안 취약성과 보안 노출에 대한 관련 명칭들의 표준을 말한다.
CVE 정보를 이용하면 취약성 정보를 통일되고 일관되게 관리할 수 있다. 정보자산에 대한 취약성은 CVE 에서 제공하는 사전에 근거하여 탐색될 수 있으며, 이 를 데이터베이스에 저장한 후 해당 시스템에서 운영 중인 소프트웨어를 파악하면, 정보자산이 현재 가지고 있는 취약성을 쉽게 인지할 수 있다.
계속하여, CVSS 값을 이용하여 상기 취약성에 대한 공격성공가능성을 산출한다(S160). 공격성공가능성(Attack Likelihood, AL)은 공격자가 사용할 수 있는 도구, 공격자의 목표로 하는 시스템에 대한 지식 정도, 목표 시스템에서 가지고 있는 자산의 가치를 고려하여 결정된다. 즉 공격자가 시스템에 대한 지식이 많고, 성능이 뛰어난 공격도구를 가지고 있으며, 해당 시스템의 데이터의 가치가 높다면 공격할 가능성이 높지만, 공격으로 인해 얻을 수 가치가 적다면 공격할 가능성이 낮아진다.
본 발명의 일 실시예에서, CVE 정보를 활용한 공통적이고 상호운용 가능한 정보자산의 취약성을 평가할 수 있는 시스템으로써, CVSS(Common Vulnerability Scoring System) 가 선택된다.
상기 CVSS 는 해당 취약성에 대한 공격 성공으로 인한 영향(Severity)을 표준화된 값으로 변환한다. 이 중 기본측정값은 시스템 취약성에 대한 접근벡터, 접근 복잡도, 인증여부, 비밀성 영향, 무결성 영향, 가용성 영향, 영향도 가중치 등 7가지 특성을 이용하여 평가된다.
CVSS 값 중 인증기능 필요여부와 접근 복잡도는 위협의 동기나 능력 부분에 해당된다. 즉 인증기능이 필요 없거나 접근 복잡도가 낮은 경우 쉽게 취약성이 악용될 수 있기 때문이다. 나머지 부분은 취약성의 성격에 해당될 수 있다.
접근벡터는 취약성에 대해 단순히 지역적인 접근이 가능한 지 또는 원격에서 공격이 가능한 지의 속성을 표현하며, 비밀성 영향, 무결성 영향, 가용성 영향, 영향도 가중치 요소는 접근에 대한 속성을 나타낸다.
CVE 에서 다루는 취약성 정보는 정보보안에 대한 취약성과 노출에 대한 알려진 정보를 정리한 사전으로서 취약성이 정보보안 분야로 한정되어 있다. 각 정보자산에서 식별된 서비스와 소프트웨어 정보를 이용하여 해당되는 CVE와 CVSS 값을 탐색한 후 정보자산의 전체 CVSS 값을 합하여 현재의 공격성공가능성을 산출할 수 있다.
이어서, 정보자산의 가치를 산정하여 충격도를 산출한다(S180). 자산에 대한 충격도(Impact analysis, IM)는 정보자산의 정보가 불법적으로 공개가 되거나, 변조되거나, 서비스를 제공하지 못할 경우에 조직에 미치는 영향을 의미한다. 충격도는 산출된 정보자산의 가치를 그대로 사용하거나 또는 정보자산의 가치를 기반으로 재산정될 수 있다.
본 발명은 정보자산의 가치를 정책적으로 정하거나 전문가가 입력하는 방식이 아닌 컴퓨터 자산의 구성요소를 이용하여 산출한다. 이 방법에 따르면, 컴퓨터 자산의 구성요소를 기반으로 구성 요소간 상관관계 함수를 이용하여 정보자산의 가치를 자동으로 산출할 수 있다. 여기서 산출된 정보자산의 가치를 충격도로 활용할 수 있다.
정보자산을 식별하기 위해서, 컴퓨터 네트워크 트래픽을 이용한 수동적인 모니터링 기법, Nmap 도구 등을 이용한 능동적인 기법을 이용하여 조직의 전체 컴퓨 터 자산(C)의 정보자산(ci) 을 식별할 수 있다(여기서 ci ∈ C).
소프트웨어 및 네트워크 관점에서 ci는 다음의 표와 같이 표현될 수 있다.
정보자산 | 식별자 | 서비스 | 소프트웨어 | 트래픽 비율 |
ci | ipi | svi1 | swi1 | TDRi |
svi2 | swi2 | |||
svi3 | swi3 | |||
svi4 | swi4 | |||
... | ... | |||
svik | swik |
표 1을 참조하여, 정보자산(ci)의 가치를 산정하는 단계는 취약성에 대한 정보자산의 식별자(ipi)를 확인하는 단계, 정보자산(ci)이 제공하는 서비스(svik) 및 운영중인 소프트웨어(swik)를 확인하는 단계 및 상기 확인된 서비스(svik)와 소프트웨어(swik) 상에서 사용하고 있는 트래픽 비율(TDRi)을 확인하는 단계를 포함할 수 있다. 상기 트래픽에는 인터넷 사이트를 통해 상기 정보자산에 접근하는 방문자수에 관한 정보가 포함될 수 있다.
정보자산에서 운영중인 소프트웨어 취약성을 식별하고 해당 CVSS 값을 연계하기 위해서 취약성 벡터를 아래와 같이 정의한다.
여기서 CVE는 취약성에 대한 유일한 식별자이고, swik는 해당 CVE 취약성이 영향을 받는 소프트웨어 정보이며, CVSS 값은 해당 취약성의 영향 값이다.
정보자산(ci) 에서 탐색된 소프트웨어 정보를 이용하여 해당 취약성 데이터베이스를 검색할 수 있다. CVE 정보는 해당 취약성이 영향을 받은 소프트웨어 정보들이 기술되어 있기 때문이다. 또한, CVE 정보를 바탕으로 해당 CVSS 값을 찾을 수 있다. 이를 표로 정리하면 다음과 같다.
정보자산 | 소프트웨어 | CVE 정보 | CVSS 값 |
ci | swi1 | CVEi11, ... | CVSSi11 + ... |
swi2 | CVEi21, ... | CVSSi21 + ... | |
swi3 | CVEi31, ... | CVSSi31 + ... | |
swi4 | CVEi41, ... | CVSSi41 + ... | |
... | ... | ... | |
swik | CVEik1, ... | CVSSik1 + ... |
즉, 정보자산(ci)에 대해 소프트웨어 별로 취약성을 식별하여 공격성공가능성을 산출하면 다음 식과 같다.
컴퓨터에 많은 서비스가 운영되고, 많은 소프트웨어가 설치되어 있어서, 이에 해당하는 많은 CVE 취약성이 검색된다면, 이 컴퓨터에 대한 공격성공가능성은 높다고 할 수 있다.
전술한 과정에 의해 공격성공가능성과 충격도가 산출되면, 이를 곱하여 상기 정보자산에 대한 위험도를 결정한다(S200). 이를 식으로 표현하면 다음과 같다.
상기 공격성공가능성과 충격도는 식별된 정보자산의 서비스 및 소프트웨어에 대한 정보를 바탕으로 산출될 수 있으므로, 현재 네트워크에서 운영중인 정보자산에 대한 위험도가 실시간으로 모니터링되고 평가될 수 있다.
상기한 본 발명의 바람직한 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 통상의 지식을 가지는 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 위험 평가 방법을 도시한 순서도이다.
Claims (6)
- (a) 네트워크 서비스를 사용하거나 제공하는 정보자산을 식별하는 단계;(b) 컴퓨터 네트워크를 통해서 상기 정보자산에 가해지는 위협을 식별하는 단계;(c) 상기 정보자산의 취약성을 식별하는 단계;(d) 상기 취약성에 대한 공격 성공으로 인한 영향(Severity)을 표준화된 값으로 변환한 CVSS 값을 이용하여 공격성공가능성을 산출하는 단계;(e) 상기 정보자산의 가치를 산정하여 충격도를 산출하는 단계; 및(f) 상기 산출된 공격성공가능성과 충격도를 곱하여 상기 정보자산에 대한 위험도를 결정하는 단계를 포함하는 것을 특징으로 하는 위험 평가 방법.
- 제 1 항에 있어서, 상기 (c) 단계는 CVE 식별자를 이용하는 것을 특징으로 하는 위험 평가 방법.
- 제 2 항에 있어서, 상기 위험 평가 방법은 상기 (c)와 (d) 단계 사이에,상기 CVE 정보로부터 취약성을 점수화한 CVSS 값을 추출하는 단계를 더 포함하는 것을 특징으로 하는 위험 평가 방법.
- 제 1 항에 있어서, 상기 (e) 단계는,상기 취약성에 대한 상기 정보자산의 식별자를 확인하는 단계;상기 정보자산이 제공하는 서비스와 운영중인 소프트웨어를 확인하는 단계; 및상기 확인된 서비스와 소프트웨어 상에서 사용하고 있는 트래픽 비율을 확인하여 상기 정보자산의 가치를 산정하는 단계를 포함하는 것을 특징으로 하는 위험 평가 방법.
- 제 4 항에 있어서, 상기 트래픽은 인터넷 사이트를 통해 상기 정보자산에 접근하는 방문자수에 관한 정보를 포함하는 것을 특징으로 하는 위험 평가 방법.
- 제 1 항에 있어서, 상기 정보자산에 가해지는 위협경로는 상기 컴퓨터 네트워크를 통한 논리적인 접근인 것을 특징으로 하는 위험 평가 방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070102880A KR20090037538A (ko) | 2007-10-12 | 2007-10-12 | 정보자산 모델링을 이용한 위험 평가 방법 |
US11/941,209 US20090099885A1 (en) | 2007-10-12 | 2007-11-16 | Method for risk analysis using information asset modelling |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070102880A KR20090037538A (ko) | 2007-10-12 | 2007-10-12 | 정보자산 모델링을 이용한 위험 평가 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20090037538A true KR20090037538A (ko) | 2009-04-16 |
Family
ID=40535104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070102880A KR20090037538A (ko) | 2007-10-12 | 2007-10-12 | 정보자산 모델링을 이용한 위험 평가 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20090099885A1 (ko) |
KR (1) | KR20090037538A (ko) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101687716B1 (ko) * | 2015-10-15 | 2016-12-19 | 국방과학연구소 | 정보 시스템의 취약도 계산 장치 및 그 계산 방법 |
KR20180050163A (ko) * | 2016-11-04 | 2018-05-14 | 한국인터넷진흥원 | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 |
KR20180062998A (ko) * | 2018-05-28 | 2018-06-11 | 한국인터넷진흥원 | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 |
KR20210065687A (ko) * | 2019-11-27 | 2021-06-04 | 국방과학연구소 | 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램 |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8392999B2 (en) * | 2005-12-19 | 2013-03-05 | White Cyber Knight Ltd. | Apparatus and methods for assessing and maintaining security of a computerized system under development |
KR100961180B1 (ko) * | 2008-05-22 | 2010-06-09 | 한국전자통신연구원 | Pc 보안 점검 장치 및 방법 |
US8813050B2 (en) | 2008-06-03 | 2014-08-19 | Isight Partners, Inc. | Electronic crime detection and tracking |
US8856315B2 (en) * | 2009-05-29 | 2014-10-07 | Verizon Patent And Licensing Inc. | Device classification system |
US8495745B1 (en) * | 2009-11-30 | 2013-07-23 | Mcafee, Inc. | Asset risk analysis |
US8494974B2 (en) * | 2010-01-18 | 2013-07-23 | iSIGHT Partners Inc. | Targeted security implementation through security loss forecasting |
US8495747B1 (en) | 2010-03-31 | 2013-07-23 | Mcafee, Inc. | Prioritizing asset remediations |
US20110252479A1 (en) * | 2010-04-08 | 2011-10-13 | Yolanta Beresnevichiene | Method for analyzing risk |
US8438644B2 (en) | 2011-03-07 | 2013-05-07 | Isight Partners, Inc. | Information system security based on threat vectors |
US8595845B2 (en) * | 2012-01-19 | 2013-11-26 | Mcafee, Inc. | Calculating quantitative asset risk |
US9043920B2 (en) * | 2012-06-27 | 2015-05-26 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
CN103152345B (zh) * | 2013-03-07 | 2015-09-16 | 南京理工大学常熟研究院有限公司 | 一种攻防博弈的网络安全最优攻防决策方法 |
US9537881B2 (en) | 2013-12-18 | 2017-01-03 | Cytegic Ltd. | Security risk mapping of potential targets |
US9749343B2 (en) | 2014-04-03 | 2017-08-29 | Fireeye, Inc. | System and method of cyber threat structure mapping and application to cyber threat mitigation |
US9749344B2 (en) | 2014-04-03 | 2017-08-29 | Fireeye, Inc. | System and method of cyber threat intensity determination and application to cyber threat mitigation |
US9413780B1 (en) | 2014-05-06 | 2016-08-09 | Synack, Inc. | Security assessment incentive method for promoting discovery of computer software vulnerabilities |
US9824222B1 (en) | 2014-05-06 | 2017-11-21 | Synack, Inc. | Method of distributed discovery of vulnerabilities in applications |
US9614864B2 (en) | 2014-10-09 | 2017-04-04 | Bank Of America Corporation | Exposure of an apparatus to a technical hazard |
US9892261B2 (en) | 2015-04-28 | 2018-02-13 | Fireeye, Inc. | Computer imposed countermeasures driven by malware lineage |
US10628764B1 (en) * | 2015-09-15 | 2020-04-21 | Synack, Inc. | Method of automatically generating tasks using control computer |
US10601857B2 (en) | 2017-11-28 | 2020-03-24 | International Business Machines Corporation | Automatically assessing a severity of a vulnerability via social media |
US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
US11438361B2 (en) * | 2019-03-22 | 2022-09-06 | Hitachi, Ltd. | Method and system for predicting an attack path in a computer network |
CN110278198B (zh) * | 2019-06-04 | 2021-09-07 | 西安邮电大学 | 基于博弈论的网络中资产的安全风险评估方法 |
US11765131B2 (en) * | 2019-10-07 | 2023-09-19 | Schlumberger Technology Corporation | Security system and method for pressure control equipment |
CN112019521B (zh) * | 2020-08-07 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 一种资产评分方法、装置、计算机设备及存储介质 |
JP7509217B2 (ja) | 2020-09-17 | 2024-07-02 | 日本電信電話株式会社 | リスク値算出装置、リスク値算出方法、および、リスク値算出プログラム |
CN114598504B (zh) * | 2022-02-21 | 2023-11-03 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
WO2024138440A1 (zh) * | 2022-12-28 | 2024-07-04 | 西门子股份公司 | 评估资产风险的方法、装置、电子设备及存储介质 |
CN116471131B (zh) * | 2023-06-20 | 2023-09-08 | 北京门石信息技术有限公司 | 逻辑链信息资产的处理方法及处理装置 |
CN117473417B (zh) * | 2023-11-27 | 2024-08-20 | 北京美沃奇信息科技有限公司 | 一种基于云计算的信息安全威胁漏洞监管方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003150748A (ja) * | 2001-11-09 | 2003-05-23 | Asgent Inc | リスク評価方法 |
US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
US20060031938A1 (en) * | 2002-10-22 | 2006-02-09 | Unho Choi | Integrated emergency response system in information infrastructure and operating method therefor |
US7743421B2 (en) * | 2005-05-18 | 2010-06-22 | Alcatel Lucent | Communication network security risk exposure management systems and methods |
US8438643B2 (en) * | 2005-09-22 | 2013-05-07 | Alcatel Lucent | Information system service-level security risk analysis |
-
2007
- 2007-10-12 KR KR1020070102880A patent/KR20090037538A/ko not_active Application Discontinuation
- 2007-11-16 US US11/941,209 patent/US20090099885A1/en not_active Abandoned
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101687716B1 (ko) * | 2015-10-15 | 2016-12-19 | 국방과학연구소 | 정보 시스템의 취약도 계산 장치 및 그 계산 방법 |
KR20180050163A (ko) * | 2016-11-04 | 2018-05-14 | 한국인터넷진흥원 | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 |
KR20180062998A (ko) * | 2018-05-28 | 2018-06-11 | 한국인터넷진흥원 | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 |
KR20210065687A (ko) * | 2019-11-27 | 2021-06-04 | 국방과학연구소 | 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램 |
Also Published As
Publication number | Publication date |
---|---|
US20090099885A1 (en) | 2009-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20090037538A (ko) | 정보자산 모델링을 이용한 위험 평가 방법 | |
Le et al. | Capability maturity model and metrics framework for cyber cloud security | |
Mantha et al. | Cyber security threat modeling in the AEC industry: An example for the commissioning of the built environment | |
KR100755000B1 (ko) | 보안 위험 관리 시스템 및 방법 | |
CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
US20030046128A1 (en) | Overall risk in a system | |
US20050132225A1 (en) | Method and system for cyber-security vulnerability detection and compliance measurement (CDCM) | |
Bugeja et al. | IoTSM: an end-to-end security model for IoT ecosystems | |
Mutemwa et al. | Integrating a security operations centre with an organization’s existing procedures, policies and information technology systems | |
Maheshwari et al. | Integrating risk assessment and threat modeling within SDLC process | |
Chalvatzis et al. | Evaluation of security vulnerability scanners for small and medium enterprises business networks resilience towards risk assessment | |
CN117592989B (zh) | 一种基于区块链的支付信息安全管理方法及系统 | |
Vidalis et al. | Using vulnerability trees for decision making in threat assessment | |
Dalezios et al. | Digital forensics cloud log unification: Implementing CADF in Apache CloudStack | |
JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
Meriah et al. | A survey of quantitative security risk analysis models for computer systems | |
CN116050848A (zh) | 基于云服务的风险管理安全监测方法 | |
JP2002229946A (ja) | 脆弱性検査システム | |
KR100902116B1 (ko) | 정보 자산 식별 및 평가 방법 | |
Kim et al. | A study on the impact analysis of security flaws between security controls: An empirical analysis of K-ISMS using case-control study | |
Paz | Cybersecurity standards and frameworks | |
Zhou et al. | A network risk assessment method based on attack-defense graph model | |
Ziro et al. | Research of the Information Security Audit System in Organizations | |
Welberg | Vulnerability management tools for COTS software-A comparison | |
KR20040062735A (ko) | 정보시스템 진단방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |