RU2747476C1 - Intelligent risk and vulnerability management system for infrastructure elements - Google Patents

Intelligent risk and vulnerability management system for infrastructure elements Download PDF

Info

Publication number
RU2747476C1
RU2747476C1 RU2020125916A RU2020125916A RU2747476C1 RU 2747476 C1 RU2747476 C1 RU 2747476C1 RU 2020125916 A RU2020125916 A RU 2020125916A RU 2020125916 A RU2020125916 A RU 2020125916A RU 2747476 C1 RU2747476 C1 RU 2747476C1
Authority
RU
Russia
Prior art keywords
data
vulnerabilities
information
module
network
Prior art date
Application number
RU2020125916A
Other languages
Russian (ru)
Inventor
Дмитрий Юрьевич Рюпичев
Евгений Александрович Новиков
Максим Михайлович Ничипорчук
Рустем Дмитриевич Махмутов
Грант Сергеевич Эфендян
Original Assignee
Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) filed Critical Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк)
Priority to RU2020125916A priority Critical patent/RU2747476C1/en
Priority to PCT/RU2020/000695 priority patent/WO2022031184A1/en
Priority to EA202092860A priority patent/EA202092860A1/en
Application granted granted Critical
Publication of RU2747476C1 publication Critical patent/RU2747476C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

FIELD: information security.
SUBSTANCE: invention relates to a system of intelligent risk and vulnerability management of infrastructure elements. The system contains a processor; a storage device; associated with the said processor: a data collection module from sources, made with the ability to obtain information from data sources containing information about vulnerabilities of infrastructure elements (IE), including functional and logical IE, while functional IE are infrastructure assets (IA) containing terminal physical or virtual equipment providing a service, and network IE, representing devices that provide network interaction between all functional IE; logical IEs are a combination of functional IE and logical IE, including entities that interact with the network infrastructure and are selected from the group: automated systems or functional subsystems; data management module, designed to normalize data collected by the data collection module, providing the formation of a unified type of data and the formation of an attribute composition depending on the type of IE; forming an IE profile containing the IE attribute composition; IE profile enrichment module, designed to receive scan data from the data collection module to supplement the attribute composition of the generated IE profiles with information that includes: information about the possibility of network interaction between IA, based on the data of security rules (ACL), as well as translation rules (NAT) and routing defined on network IE; vulnerabilities found on IA; data on the criticality of the operation of logical IE; information about the identified risks, as well as measures to eliminate them; an analytics module designed to account for, analyze, and monitor the external perimeter of the network infrastructure; search by the attribute composition of IE profiles; analyze raw data coming from data sources; manage risks based on vulnerabilities found; search and analyze network routes between IA to determine possible ways of spreading the threat; based on the data of the enriched IE profiles, calculate the criticality of the vulnerable IA by determining the impact of vulnerabilities on the network infrastructure and its functioning; generate a list of vulnerable IE and information about the elimination of identified vulnerabilities with the calculation of the rating and registration of the risk of identified vulnerabilities; process the incoming data flow from the data management module and transfer the list of IE through the integration module to the security scanner that scans and detects IE based on the said list of IE; an integration module designed to control the mode of eliminating identified vulnerabilities, in which data about IE is transmitted to an external update management system based on the list of vulnerable IE generated by the analytics module for performing updates of vulnerable IE.
EFFECT: invention is aimed at identifying and eliminating vulnerabilities in the infrastructure elements.
16 cl, 3 dwg

Description

ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY

[0001] Настоящее техническое решение относится к области компьютерных технологий, в частности к информационной защите, для которых предлагается система интеллектуального управления рисками и уязвимостями элементов инфраструктуры.[0001] The present technical solution relates to the field of computer technology, in particular to information security, for which a system of intelligent management of risks and vulnerabilities of infrastructure elements is proposed.

УРОВЕНЬ ТЕХНИКИLEVEL OF TECHNOLOGY

[0002] В настоящее время с учетом массового применения ИТ (информационные технологии) в различных промышленных и экономических сферах, развитие систем и подходов в области кибербезопасности является одним из приоритетных направлений и требует постоянного усовершенствования с учетом постоянного появления новых типов киберугроз. В связи с этим, важным аспектом создаваемых решений является актуализация информации о существующих типах киберугроз, а также сведений об их устранении и поддержание актуальной степени киберзащиты внутренней инфраструктуры.[0002] Currently, given the massive use of IT (information technology) in various industrial and economic spheres, the development of systems and approaches in the field of cybersecurity is one of the priority areas and requires constant improvement in view of the constant emergence of new types of cyber threats. In this regard, an important aspect of the solutions being created is the updating of information about existing types of cyber threats, as well as information about their elimination and maintaining the current level of cyber protection of the internal infrastructure.

[0003] В сфере банковского обслуживания проблема кибербезопасности играет ключевую роль, поскольку внутренняя информационная инфраструктура осуществляет обработку огромного количества структурированных и неструктурированных данных, что требует в свою очередь огромных ресурсов для своевременного выявления потенциально вредоносных объектов, которые могут привести к риску наступления киберугрозы.[0003] In the banking sector, cybersecurity plays a key role, since the internal information infrastructure processes a huge amount of structured and unstructured data, which in turn requires huge resources to timely identify potentially malicious objects that can lead to the risk of a cyber threat.

[0004] В качестве одного из примеров применяемых технологий для управления рисками и потенциальными уязвимостями инфраструктуры можно рассмотреть решение компании Skybox - Vulnerability Control (https://www.skyboxsecurity.com/products/vulnerability-control/). Данное решение позволяет комплексно оценивать потенциальные риски нарушения кибербезопасности инфраструктуры и осуществлять контроль за уязвимостями.[0004] As one of the examples of applied technologies for managing risks and potential vulnerabilities of the infrastructure, we can consider the solution of Skybox - Vulnerability Control (https://www.skyboxsecurity.com/products/vulnerability-control/). This solution makes it possible to comprehensively assess the potential risks of disrupting the cybersecurity of the infrastructure and monitor vulnerabilities.

[0005] Другим известным решением является система интеллектуального управления киберугрозами (патент РФ №2702269, 07.10.2019), которая содержит модульную архитектуру, позволяющую анализировать и обогащать сведения о киберугрозах инфраструктуры для последующего оперативного отслеживания и распознавания киберугроз.[0005] Another well-known solution is an intelligent cyber threat management system (RF patent No. 2702269, 07.10.2019), which contains a modular architecture that allows you to analyze and enrich information about cyber threats to infrastructure for subsequent operational tracking and recognition of cyber threats.

[0006] Заявленное решение направлено на усовершенствование существующих разработок в данной области техники, обеспечивая новую, расширенную функциональность в части комплексного управления кибербезопасностью инфраструктуры, обеспечивая своевременное выявление уязвимостей, и анализ всех элементов инфраструктуры для обеспечения сетевой безопасности.[0006] The claimed solution is aimed at improving existing developments in this field of technology, providing new, expanded functionality in terms of integrated cybersecurity infrastructure management, providing timely identification of vulnerabilities, and analysis of all elements of the infrastructure to ensure network security.

СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION

[0007] Настоящее техническое решение направлено на решение технической проблемы, заключающейся в создании нового и эффективного средства управления рисками и уязвимостями инфраструктуры.[0007] The present technical solution addresses the technical problem of creating a new and effective tool for managing infrastructure risks and vulnerabilities.

[0008] Техническим результатом является повышение эффективности управления безопасностью инфраструктуры, за счет обеспечения полного цикла управления уязвимостями и связанными с ними рисками, с возможностью их своевременного выявления и устранения.[0008] The technical result is to improve the efficiency of infrastructure security management by providing a full cycle of vulnerability management and related risks, with the ability to identify and eliminate them in a timely manner.

[0009] Дополнительным результатом является расширение функциональных возможностей анализа возникновения рисков киберугроз, за счет отслеживания возможных путей распространения угроз между элементами инфраструктуры.[0009] An additional result is the enhancement of the functionality of analyzing the occurrence of risks of cyber threats, by tracking the possible paths of propagation of threats between infrastructure elements.

[0010] Другим дополнительным результатом является формирование исходных данных, необходимых для устранения уязвимостей, таких как:[0010] Another additional result is the formation of the initial data necessary to eliminate vulnerabilities, such as:

- идентификационная информация об элементах инфраструктуры (ЭИ);- identification information about infrastructure elements (EI);

- информация об обнаруженной уязвимости;- information about the detected vulnerability;

- информация о мероприятиях, необходимых для устранения обнаруженной уязвимости.- information on the measures required to eliminate the detected vulnerability.

[0011] Заявленный технический результат достигается за счет осуществления настоящего изобретения, представляющего собой систему интеллектуального управления рисками и уязвимостями элементов инфраструктуры, которая включает в себя:[0011] The claimed technical result is achieved by implementing the present invention, which is a system for intelligent management of risks and vulnerabilities of infrastructure elements, which includes:

- по меньшей мере один процессор;- at least one processor;

- по меньшей мере одно запоминающее устройство;- at least one memory device;

- модуль сбора данных с источников, выполненный с возможностью получения информации из источников данных, содержащих информацию об уязвимостях элементов инфраструктуры (ЭИ), включающие в себя функциональные и логические ЭИ, при этом функциональные ЭИ представляют собой активы инфраструктуры (АИ), содержащие оконечное физическое или виртуальное оборудование, предоставляющее услугу и/или сервис, и сетевые ЭИ, представляющие устройства, обеспечивающие сетевое взаимодействие между всеми функциональными ЭИ;- a module for collecting data from sources, capable of obtaining information from data sources containing information about the vulnerabilities of infrastructure elements (EI), including functional and logical EI, while functional EI are infrastructure assets (AI) containing a terminal physical or virtual equipment providing a service and / or service, and network EIs, representing devices that provide network interaction between all functional EIs;

логические ЭИ представляют собой объединения функциональных ЭИ и логических ЭИ, включающих сущности, взаимодействующие с сетевой инфраструктурой и выбираемые из группы: автоматизированные системы, функциональные подсистемы, или сервисы;logical EI are combinations of functional EI and logical EI, including entities that interact with the network infrastructure and are selected from the group: automated systems, functional subsystems, or services;

- модуль управления данными, выполненный с возможностью- a data management module capable of

нормализации данных, собираемых модулем сбора данных, обеспечивая формирование унифицированного вида данных и формирование атрибутного состава в зависимости от типа ЭИ;normalization of data collected by the data collection module, ensuring the formation of a unified data type and the formation of an attribute composition depending on the type of EI;

формирование профиля ЭИ, содержащего атрибутный состав ЭИ;formation of the EI profile containing the attribute composition of the EI;

- модуль обогащения профилей ЭИ, выполненный с возможностью дополнения атрибутного состава профиля ЭИ информацией, включающей в себя:- a module for enriching EI profiles, made with the possibility of supplementing the attribute composition of an EI profile with information, including:

информацию о возможности сетевого взаимодействия между АИ, на основании данных правил безопасности (ACL), а также правил трансляции (NAT) и маршрутизации, определенных на сетевых ЭИ; найденные уязвимости на АИ;information about the possibility of network interaction between AI, based on these security rules (ACL), as well as translation (NAT) and routing rules defined on the network EI; found vulnerabilities on AI;

данные о критичности функционирования логических ЭИ;data on the criticality of the functioning of logical EI;

сведения о выявленных рисках, а также мероприятиях по их устранению;information about the identified risks, as well as measures to eliminate them;

- модуль аналитики, выполненный с возможностью- analytics module made with the ability

учета, анализа и мониторинга внешнего периметра сетевой инфраструктуры; поиска по атрибутному составу профилей активов; анализа необработанных данных, поступающих из источников данных; управления рисками по найденным уязвимостям;accounting, analysis and monitoring of the external perimeter of the network infrastructure; search by attribute composition of asset profiles; analysis of raw data coming from data sources; risk management for found vulnerabilities;

поиска и анализа сетевых маршрутов между АИ для определения возможных путей распространения угрозы;search and analysis of network routes between AIs to determine possible ways of threat propagation;

расчета критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование.calculating the criticality of a vulnerable AI by determining the impact of vulnerabilities on the network infrastructure and its functioning.

[0012] В одном из частных примеров осуществления системы атрибутный состав актива инфраструктуры включает в себя категорию и тип устройств инфраструктуры.[0012] In one particular embodiment of the system, the attribute composition of the infrastructure asset includes the category and type of infrastructure devices.

[0013] В другом частном примере осуществления системы информация по обогащению профиля актива инфраструктуры по взаимодействию сетевых потоков получается на основании полученных атрибутов по устройствам инфраструктуры.[0013] In another particular embodiment of the system, information on enriching the infrastructure asset profile for the interaction of network flows is obtained based on the obtained attributes for the infrastructure devices.

[0014] В другом частном примере осуществления системы информация по обогащению профиля актива по найденным уязвимостям на активах формируется на основании полученных результатов работы сканера безопасности.[0014] In another particular embodiment of the system, the information on enriching the asset profile for the vulnerabilities found on the assets is generated based on the results of the security scanner operation.

[0015] В другом частном примере осуществления системы данные для расчета критичности актива или уязвимости получаются из внешних систем.[0015] In another particular embodiment of the system, data for calculating the criticality of an asset or vulnerability is obtained from external systems.

[0016] В другом частном примере осуществления системы модуль аналитики дополнительно обеспечивает формирование графовых моделей на основании полученных данных по сетевым потокам и информации о связях функциональных ЭИ и логических ЭИ между собой.[0016] In another particular embodiment of the system, the analytics module additionally provides the formation of graph models based on the received data on network flows and information about the connections of functional EI and logical EI among themselves.

[0017] В другом частном примере осуществления системы осуществляется моделирование распространения угрозы за счет определения области уязвимых активов инфраструктуры.[0017] In another particular embodiment of the system, threat propagation is simulated by defining the area of vulnerable infrastructure assets.

[0018] В другом частном примере осуществления системы дополнительно учитывается информация по взаимодействию сетевых потоков.[0018] In another particular embodiment of the system, information on the interaction of network flows is additionally taken into account.

[0019] В другом частном примере осуществления системы обеспечивается определение узлов отказа при сетевом взаимодействии и последствий наступления такого рода отказа.[0019] In another particular embodiment of the system, it is possible to determine the nodes of failure during network interaction and the consequences of such a failure.

[0020] В другом частном примере осуществления системы модуль аналитики дополнительно обеспечивает управление сканированием, при котором формируется список сетевых адресов для передачи их сканеру безопасности.[0020] In another particular embodiment of the system, the analytics module further provides scan control, which generates a list of network addresses for transmission to the security scanner.

[0021] В другом частном примере осуществления системы модуль аналитики дополнительно обеспечивает управление режимом устранения уязвимостей, при котором выявляются активы инфраструктуры для устранения найденных на них уязвимостей.[0021] In another particular embodiment of the system, the analytics module additionally provides management of the vulnerability remediation mode, in which infrastructure assets are identified to eliminate vulnerabilities found on them.

[0022] В другом частном примере осуществления система дополнительно содержит модуль визуализации, обеспечивающий графическое представление обрабатываемых данных.[0022] In another particular embodiment, the system further comprises a visualization module providing a graphical representation of the data being processed.

[0023] В другом частном примере осуществления системы модуль визуализации обеспечивает формирование виджетов и/или отчетов и/или информационных панелей.[0023] In another particular embodiment of the system, the rendering module provides the generation of widgets and / or reports and / or information panels.

[0024] В другом частном примере осуществления система дополнительно содержит модуль администрирования, обеспечивающий управление политиками доступа, справочниками, настройками существующих модулей системы.[0024] In another particular embodiment, the system further comprises an administration module for managing access policies, directories, and settings of existing system modules.

[0025] В другом частном примере осуществления системы при выявлении модулем обогащения АИ, для которых имеется информация об уязвимостях, осуществляется передача упомянутой информации во внешнюю систему для получения пакетов обновлений для устранения уязвимостей на упомянутых АИ.[0025] In another particular embodiment of the system, when the enrichment module detects AIs for which there is information about vulnerabilities, said information is transmitted to an external system to receive update packages to eliminate vulnerabilities on said AIs.

[0026] В другом частном примере осуществления системы процесс выполняется итеративно для всех АИ, для которых происходит обнаружение уязвимостей.[0026] In another particular embodiment of the system, the process is performed iteratively for all AIs for which vulnerabilities are detected.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF DRAWINGS

[0027] Фиг. 1 иллюстрирует общий вид заявленного решения.[0027] FIG. 1 illustrates a general view of the claimed solution.

[0028] Фиг. 2 иллюстрирует пример профиля актива инфраструктуры.[0028] FIG. 2 illustrates an example of an infrastructure asset profile.

[0029] Фиг. 3 иллюстрирует общий вид вычислительного устройства.[0029] FIG. 3 illustrates a general view of a computing device.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯCARRYING OUT THE INVENTION

[0030] В настоящем описании далее будут использоваться следующие термины и определения.[0030] In the present description, the following terms and definitions will be used hereinafter.

[0031] Киберугрозы - потенциально возможные события, действие (воздействие) которых может нарушить бизнес-процесс или состояние защищенности внутренней информационной инфраструктуры.[0031] Cyber threats are potential events, the action (impact) of which may disrupt the business process or the state of security of the internal information infrastructure.

[0032] Внешние источники данных о Киберугрозах - ресурсы и сервисы, предоставляющие данные об уязвимостях, эксплоитах, обновлениях безопасности, результатах сканирования внешнего периметра инфраструктуры.[0032] External sources of data on Cyberthreats - resources and services that provide data on vulnerabilities, exploits, security updates, scan results of the external infrastructure perimeter.

[0033] Внутренние источники данных - ресурсы и сервисы, предоставляющие данные от внутренних систем инфраструктуры, в частности, от систем кибербезопасности, ИТ-систем.[0033] Internal data sources are resources and services that provide data from internal infrastructure systems, in particular, from cybersecurity systems, IT systems.

[0034] Эксплоит - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему.[0034] An exploit is a computer program, piece of software code, or a sequence of commands that exploits vulnerabilities in software and is used to attack a computer system.

[0035] CVE (англ. Common Vulnerabilities and Exposures) - база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер.[0035] CVE (Common Vulnerabilities and Exposures) is a database of commonly known information security vulnerabilities. Each vulnerability is assigned a CVE-year-number identification number.

[0036] Элементы инфраструктуры (ЭИ) - функциональные и логические ЭИ.[0036] Infrastructure Elements (EI) - functional and logical EI.

[0037] Функциональные ЭИ - ЭИ включающие в себя Активы инфраструктуры (АИ), представляющие собой оконечное физическое или виртуальное оборудование предоставляющее услугу/сервис, выполняющие заданные функции внутри инфраструктуры, например: виртуальные машины, серверное оборудование, АРМ, устройства самообслуживания (банкоматы, терминалы), и т.д.; а также Сетевые элементы инфраструктуры - промежуточные устройства (фаерволы, балансировщики, маршрутизаторы и пр.), обеспечивающие сетевое взаимодействие между всеми функциональными элементами инфраструктуры.[0037] Functional EI - EI including Infrastructure Assets (AI), which are terminal physical or virtual equipment providing a service / service, performing specified functions within the infrastructure, for example: virtual machines, server equipment, AWP, self-service devices (ATMs, terminals ), etc.; and also Network elements of infrastructure - intermediate devices (firewalls, balancers, routers, etc.) that provide network interaction between all functional elements of the infrastructure.

[0038] Логические ЭИ - группа функциональных элементов и их логическое объединение, например: автоматизированные системы, функциональные подсистемы, или сервисы.[0038] Logical EI - a group of functional elements and their logical association, for example: automated systems, functional subsystems, or services.

[0039] На Фиг. 1 представлен общий вид заявленного решения (100), которое включает в себя объединенные сетью передачи данных (120), внешние (110) и внутренние источники информации (140), систему (130) интеллектуального управления рисками и уязвимостями элементов инфраструктуры и внешние сканеры безопасности.[0039] FIG. 1 shows a general view of the claimed solution (100), which includes a network of data transmission (120), external (110) and internal sources of information (140), a system (130) for intelligent management of risks and vulnerabilities of infrastructure elements and external security scanners.

[0040] В качестве сети передачи данных (120) может применяться любой известный принцип сетевого обмена, например, Интернет, Интранет, LAN, WAN, PAN, WLAN и т.п.[0040] Any known principle of network exchange, for example, Internet, Intranet, LAN, WAN, PAN, WLAN, and the like, can be used as the data transmission network (120).

[0041] Система (130) может выполняться на базе одного или нескольких вычислительных устройств, с программной или программно-аппаратной реализацией модулей (131)-(139) системы (130). Каждый модуль системы (130) при этом может выполняться в виде ПЛИС, SoC (система на чипе), микроконтроллера, логических вентилей, программной логики и т.п. В общем случае необходимые процессы вычислительной логики в системе (130) осуществляются с помощью одного или нескольких процессоров (131), которые обрабатывают команды, передаваемые по общей шине данных между модулями системы (130).[0041] System (130) can be executed on the basis of one or more computing devices, with software or firmware implementation of modules (131) - (139) of system (130). In this case, each module of the system (130) can be implemented in the form of an FPGA, SoC (system on a chip), a microcontroller, logic gates, program logic, etc. In the general case, the necessary computational logic processes in the system (130) are carried out using one or more processors (131), which process the commands transmitted over the common data bus between the modules of the system (130).

[0042] Модуль сбора данных с источников (133) отвечает за получение информации о найденных уязвимостях, а также получение информации по атрибутному составу ЭИ. Модуль (133) получает данные от внешних (110) и внутренних (140) источников данных, при этом собираемая информация содержит информацию об уязвимостях, активах инфраструктуры и взаимодействиях их сетевых потоков.[0042] The module for collecting data from sources (133) is responsible for obtaining information about the vulnerabilities found, as well as obtaining information on the attribute composition of the EI. Module (133) receives data from external (110) and internal (140) data sources, while the collected information contains information about vulnerabilities, infrastructure assets and interactions of their network flows.

[0043] Для сбора данных модулем (133) поддерживаются различные форматы: СРЕ (Common platform enumeration), XML, JSON, и др. Функциональность модуля (133) также обеспечивает фильтрацию полученных данных и преобразование полученной информации в единый формат представления.[0043] To collect data, the module (133) supports various formats: CPE (Common platform enumeration), XML, JSON, etc. The functionality of the module (133) also provides filtering of the received data and converting the received information into a single presentation format.

[0044] В качестве внешних источников (ПО) получения данных об элементах инфраструктуры (внешний периметр) и уязвимостях могут выступать:[0044] External sources (software) for obtaining data about infrastructure elements (external perimeter) and vulnerabilities can be:

- Системы для анализа защищенности (сканеры безопасности - 150), такие как:- Systems for security analysis (security scanners - 150), such as:

MaxPatrol, Tenable, Qualys, Rapid7 Nexpose, Nmap, Acunetix и др.MaxPatrol, Tenable, Qualys, Rapid7 Nexpose, Nmap, Acunetix, etc.

- Сервисы по TI/Vulnerability, такие как:- TI / Vulnerability services such as:

TIP Sberbank, Shodan, Censys, CPT.Bizone, Anomaly, RiskIQ, Kaspersky Threat Lookup, Group-IB и др.TIP Sberbank, Shodan, Censys, CPT Bizone, Anomaly, RiskIQ, Kaspersky Threat Lookup, Group-IB, etc.

[0045] Внутренние источники (140) получения данных об активах инфраструктуры и уязвимостях могут представлять собой:[0045] Internal sources (140) for obtaining data on infrastructure assets and vulnerabilities can be:

- Системы управления и учета ИТ-инфраструктуры, такие как:- Management and accounting systems of IT infrastructure, such as:

SCCM, uCMDB, HPSM, EMM (Enterprise Mobility Management - AirWatch), AD (Active Directory), локальные сенсоры и др.SCCM, uCMDB, HPSM, EMM (Enterprise Mobility Management - AirWatch), AD (Active Directory), local sensors, etc.

- Системы защиты и анализа инфраструктуры (сканеры безопасности), а также мониторинга событий информационной безопасности, такие как:- Infrastructure protection and analysis systems (security scanners), as well as information security events monitoring, such as:

Сканеры безопасности MaxPatrol, Qualys, Nessus, Rapid7 Nexpose, Nmap, Acunetix и др.Security scanners MaxPatrol, Qualys, Nessus, Rapid7 Nexpose, Nmap, Acunetix, etc.

- Антивирусные средства защиты: Kaspersky, ESET, SEP и др.- Antivirus protection tools: Kaspersky, ESET, SEP, etc.

- Системы хранения и мониторинга событий информационной безопасности: Qradar, ArcSight, ClickHouse, Splunk и др.- Systems for storing and monitoring information security events: Qradar, ArcSight, ClickHouse, Splunk, etc.

- Системы управления и учета (менеджмент/оркестратор) сетевым оборудованием:- Management and accounting systems (management / orchestrator) network equipment:

Tufin, Cisco Security Management (управлением системами класса FW, NGFW);Tufin, Cisco Security Management (FW, NGFW class systems management);

APSolute VISION (управление системами класса балансировки нагрузки);APSolute VISION (load balancing class system management);

BIG-IQ (управление системами класса Web Application Firewall - WAF);BIG-IQ (Web Application Firewall - WAF);

IPAM/NOC (учет сетевой конфигурации)IPAM / NOC (Network Configuration Accounting)

Arbor (управление системами класса Anti-DDos) и др. [0046] По собранной информации модулем сбора (133) формируется сырой (RAW) набор данных об ЭИ. Далее эта информация передается в средство хранения данных (132), например, ПЗУ, содержащее базу данных (1321). Сохраненная информация, переданная от модуля (133), обрабатывается модулем (134) управления данными.Arbor (control of Anti-DDos class systems), etc. [0046] Based on the collected information, the acquisition module (133) generates a raw (RAW) data set about EI. Further, this information is transmitted to data storage means (132), for example, ROM containing a database (1321). The stored information transmitted from the module (133) is processed by the data management module (134).

[0047] Модуль (134) Управление данными отвечает за работу с данными, которые были собраны в базе данных (1321). Модуль (134) выполняет нормализацию собранных модулем (133) данных, обеспечивая формирование унифицированного вида данных и формирования атрибутного состава в зависимости от типа ЭИ. Также, модуль (134) осуществляет формирование базового профиля ЭИ, содержащего атрибутный состав ЭИ.[0047] Module (134) Data Management is responsible for working with data that has been collected in the database (1321). The module (134) normalizes the data collected by the module (133), providing the formation of a unified type of data and the formation of an attribute composition depending on the type of EI. Also, the module (134) generates the basic EI profile containing the attribute composition of the EI.

[0048] Алгоритмы работы, выполняемые модулем (134), отвечают за приведение к единому виду по меньшей мере следующих атрибутов: наименование операционной системы, наименование программного обеспечения и ее версионность, наименование сервисов/служб и т.д.[0048] The algorithms of work performed by the module (134) are responsible for converting at least the following attributes into a single form: the name of the operating system, the name of the software and its version, the name of the services / services, etc.

[0049] Формирование базового профиля ЭИ включает в себя формирование атрибутного состава в зависимости от типа ЭИ. Один и тот же атрибут ЭИ может собираться с разных систем - мастер система и вспомогательная система. Это необходимо для поиска и контроля ошибок в системах учета. В основу модели ЭИ (АРМ, сервер, мобильный телефон, принтер, сетевое устройство, КЭ, сканирование и т.д.), заложена двухуровневая модель, состоящая из «Категория:Тип». Например, «Категория» - сетевое устройство, «Тип» - коммутатор, маршрутизатор, фаервол, балансировщик и т.д.[0049] Formation of the basic EI profile includes the formation of an attribute composition depending on the type of EI. The same EI attribute can be collected from different systems - master system and auxiliary system. This is necessary to find and control errors in accounting systems. The EI model (AWP, server, mobile phone, printer, network device, FE, scanning, etc.) is based on a two-level model consisting of "Category: Type". For example, "Category" is a network device, "Type" is a switch, router, firewall, balancer, etc.

[0050] Каждая пара «Категория:Тип» обладает своим атрибутным составом (это означает, что атрибуты у АРМ, будут отличаться от атрибутов сетевого оборудования). На Фиг. 2 приведен пример базового атрибутного состава профиля АРМ.[0050] Each pair "Category: Type" has its own attribute composition (this means that the attributes of the AWS will differ from the attributes of the network equipment). FIG. 2 shows an example of the basic attribute composition of the AWP profile.

[0051] Модуль (135) обогащение профилей позволяет обогатить базовые профили разных активов информацией из атрибутного состава других активов. Например: «Категория» - сетевое устройство, «Тип» - фаервол. У данного профиля есть свой атрибутный состав, в котором, есть такие атрибуты, как ACL (правила безопасности для сетевого пакета), NAT (правила трансляции) и т.д. Есть ЭИ, которые представляют собой уже конечные точки - АРМ, сервер и т.д. Таким образом, возможно определить сетевую достижимость ЭИ А (АРМ) до ЭИ Б (АРМ) на основании данных фаерволов, что позволяет сформировать механизм, позволяющий определить достижимость ЭИ. [0052] Модуль обогащения профилей (135) обеспечивает дополнение атрибутного состава базового профиля ЭИ следующей информацией:[0051] The module (135) enrichment of profiles allows you to enrich the base profiles of different assets with information from the attribute composition of other assets. For example: "Category" is a network device, "Type" is a firewall. This profile has its own attribute composition, in which there are attributes such as ACL (security rules for a network packet), NAT (translation rules), etc. There are EIs, which are already endpoints - AWP, server, etc. Thus, it is possible to determine the network reachability of EI A (AWP) to EI B (AWP) based on the data of firewalls, which makes it possible to form a mechanism to determine the reachability of EI. [0052] The profile enrichment module (135) provides the addition of the attribute composition of the base EI profile with the following information:

- взаимодействие сетевых потоков, на основании полученных атрибутов по сетевым устройствам;- interaction of network streams, based on the received attributes across network devices;

- найденные уязвимости на ЭИ, на основании полученных результатов работы сканера безопасности, либо собственного алгоритма сопоставления CVE для АЭ;- found vulnerabilities on EI, based on the results of the security scanner operation, or the proprietary CVE matching algorithm for AE;

- критичность ЭИ или уязвимости из сторонних систем;- criticality of EI or vulnerabilities from third-party systems;

- выявленные и/или установленные риски и мероприятия по их устранению.- identified and / or established risks and measures to eliminate them.

[0053] Модуль (135) также выполнен с возможностью обогащения ЭИ, для которых имеется информация об уязвимостях, для чего осуществляется передача упомянутой информации во внешнюю систему для получения пакетов обновлений для устранения уязвимостей на упомянутых ЭИ. Данный процесс выполняется итеративно для всех ЭИ, для которых происходит обнаружение уязвимостей.[0053] The module (135) is also configured to enrich the EI for which there is information about the vulnerabilities, for which the said information is transferred to an external system to obtain update packages to eliminate the vulnerabilities on the said EI. This process is performed iteratively for all EIs for which vulnerabilities are detected.

[0054] Аналитический модуль (136) реализует аналитические алгоритмы, обеспечивающие анализ накопленной информации по уязвимостям и активам инфраструктуры, а также выполняет приоритезацию их обработки и устранения.[0054] The analytical module (136) implements analytical algorithms that analyze the accumulated information on vulnerabilities and infrastructure assets, and also performs the prioritization of their processing and elimination.

[0055] В частности, модуль (136) осуществляет анализ и мониторинг внешнего периметра инфраструктуры. Периметр инфраструктуры может сканироваться в режиме «инвентаризации», а также в режиме «поиска уязвимостей». Режим «инвентаризации» оперирует данным типа «адрес:порт», чтобы найти соответствующий ЭИ, например, сервер, внутри инфраструктуры, а только потом взаимодействует с информацией об обнаруженных уязвимостях. Это обусловлено тем, что найденную уязвимость на периметре (большую их часть), невозможно проанализировать/верифицировать, не зная, на каком конечном/промежуточном узле она найдена.[0055] In particular, the module (136) analyzes and monitors the outer perimeter of the infrastructure. The infrastructure perimeter can be scanned in the "inventory" mode, as well as in the "search for vulnerabilities" mode. The "inventory" mode operates on data of the "address: port" type to find the corresponding EI, for example, a server, inside the infrastructure, and only then interacts with information about the discovered vulnerabilities. This is due to the fact that the vulnerability found on the perimeter (most of them) cannot be analyzed / verified without knowing at which end / intermediate node it was found.

[0056] Модуль (136) обеспечивает также работу с ненормализованными данными, что позволяет проводить более глубокую аналитику, за счет возможности поиска по «сырым» и «ненормализованным» данным. Поиск может выполняться по атрибутному составу профилей ЭИ, с помощью механизма фильтрации требуемых атрибутов ЭИ. Эта функция применяется для оперативного определения набора ЭИ по заданному фильтру.[0056] Module (136) also provides work with unnormalized data, which allows for deeper analytics, due to the ability to search for "raw" and "unnormalized" data. The search can be performed by the attribute composition of the EI profiles, using the filtering mechanism for the required EI attributes. This function is used to quickly determine the set of EI for a given filter.

[0057] Управление рисками с помощью модуля аналитики (136) выполняется по найденным уязвимостям ЭИ, для чего реализуется функция заведения и контроля рисков, при которой могут осуществляться следующие шаги:[0057] Risk management using the analytics module (136) is performed according to the found vulnerabilities of EI, for which the function of establishing and controlling risks is implemented, in which the following steps can be carried out:

Figure 00000001
предоставление возможности управления полным циклом работы с рисками как на стороне платформы, так и в сторонней системе управления инцидентами информационной безопасности;
Figure 00000001
providing the ability to manage the full cycle of working with risks both on the platform side and in a third-party information security incident management system;

Figure 00000001
выполнение привязки: ЭИ - CVE - риск, что в последствии используется, как данные для учета информации по рискам. Также данная информация позволяет избежать дублирования рисков и активов, за счет отслеживания уже используемых CVE и активов в ранее заведенных рисках;
Figure 00000001
binding: EI - CVE - risk, which is subsequently used as data for accounting information on risks. Also, this information allows you to avoid duplication of risks and assets by tracking already used CVEs and assets in previously established risks;

Figure 00000001
обеспечение контроля за выполнением SLA риска, а также нотификация о его нарушении в сторону ответственных/координирующих лиц, указанных в риске;
Figure 00000001
ensuring control over the implementation of the risk SLA, as well as notification of its violation to the responsible / coordinating persons indicated in the risk;

Figure 00000001
связывание рисков с автоматизированными системами, за счет обогащения информацией из конфигурационных элементов;
Figure 00000001
associating risks with automated systems by enriching information from configuration elements;

Figure 00000001
обеспечение вычисления уровня критичности риска за счет наличия определенных условий: наличие эксплоитов в публичном или ограниченном доступе, уровень критичности актива, возможность эксплуатации уязвимости в зависимости от сетевых потоков данных (сегменты и т.д.), количество подверженных активов и т.д.
Figure 00000001
ensuring the calculation of the level of criticality of the risk due to the presence of certain conditions: the presence of exploits in public or limited access, the level of criticality of the asset, the possibility of exploiting the vulnerability depending on network data flows (segments, etc.), the number of exposed assets, etc.

[0058] Функциональность модуля (136) обеспечивает поиск возможных сетевых маршрутов между ЭИ. Упомянутый поиск маршрутов может выполняться по информации из систем, которые являются пограничными узлами сети, отделяющие разные подсети, а именно по информации из правил доступа (ACL), правил трансляции (NAT) и роутинга, определяются возможные взаимодействия сетевых потоков: актив-актив, подсеть-подсеть, актив-подсеть, и т.д.[0058] The functionality of the module (136) provides a search for possible network routes between EIs. The mentioned search for routes can be performed using information from systems that are border nodes of the network, separating different subnets, namely, information from access rules (ACL), translation rules (NAT) and routing, possible interactions of network flows are determined: asset-asset, subnet -subnet, asset-subnet, etc.

[0059] Приоритезация обработки и устранения уязвимости осуществляется с помощью модуля (136).[0059] Prioritization of processing and remediation of the vulnerability is carried out using the module (136).

[0060] Приоритезация обработки позволяет для аналитика отсортировать по важности поступающий поток информации о CVE за счет сопоставления атрибутов ЭИ (используемое программное обеспечение, ОС и т.д.) с атрибутами уязвимости.[0060] Prioritization of processing allows the analyst to sort the incoming CVE information stream by importance by matching the EI attributes (software, OS, etc.) with vulnerability attributes.

[0061] Приоритезация устранения уязвимости оценивается с точки зрения критичности ЭИ, критичности уязвимости и рейтинга риска.[0061] Vulnerability remediation prioritization is assessed in terms of EI severity, vulnerability severity, and risk rating.

[0062] Выполняется также определение применимости уязвимости, что позволяет определить применимость обнаруженной уязвимости на активы ЭИ, по меньшей мере по следующим атрибутам: версия ОС, разрядность ОС, наименование обновления безопасности, наименование программного обеспечения и его версионности, наименование службы и ее версионности, наименование драйвера и его версионности.[0062] Determination of the vulnerability applicability is also performed, which allows to determine the applicability of the detected vulnerability to EI assets, at least by the following attributes: OS version, OS bit, security update name, software name and version, service name and version, name driver and its version.

[0063] Анализ уязвимостей ЭИ может выполняться с помощью графовых моделей на основании полученных данных по сетевым потокам, вследствие чего появляется возможность моделирования распространения угрозы за счет определения набора уязвимых ЭИ, а также информации по взаимодействию сетевых потоков.[0063] The analysis of EI vulnerabilities can be performed using graph models based on the received data on network flows, as a result of which it becomes possible to simulate the spread of a threat by identifying a set of vulnerable EIs, as well as information on the interaction of network flows.

[0064] Работа аналитического модуля (136) позволяет также определить узлы отказа при сетевом взаимодействии и последствие этого отказа (влияние на АС, которые обеспечивают бизнес-процессы внутренней инфраструктуры). В частности, при определении угрозы отказа выявляются ЭИ, в случае выхода из строя которых, связанные с ними узлы инфраструктуры и/или устройства, также будут выведены из строя или потеряют должную функциональность.[0064] The work of the analytical module (136) also makes it possible to determine the nodes of failure in network interaction and the consequences of this failure (the impact on the AS that provide business processes of the internal infrastructure). In particular, when determining the threat of failure, EIs are identified, in the event of failure of which, the associated infrastructure nodes and / or devices will also be disabled or lose their proper functionality.

[0065] Модуль визуализации (137) обеспечивает графическое представление обрабатываемых данных, в частности, оперативное представление большого массива данных за счет создания «виджетов», механизма фильтрации и группировок, и т.п. Графическое представление может формироваться в виде различного рода информационных панелей, графиков, диаграмм, карт и др. Модуль (137) также обеспечивает формирование отчетов.[0065] The visualization module (137) provides a graphical representation of the processed data, in particular, the operational presentation of a large data set by creating "widgets", a filtering mechanism and groupings, and the like. The graphical presentation can be formed in the form of various kinds of information panels, graphs, diagrams, maps, etc. The module (137) also provides the formation of reports.

[0066] Модуль администрирования (138) обеспечивает управление доступом к системе (130), в частности, обеспечивает:[0066] The administration module (138) provides access control to the system (130), in particular, provides:

Figure 00000001
Управление информацией о пользователях;
Figure 00000001
User information management;

Figure 00000001
Управление политиками доступа;
Figure 00000001
Access policy management;

Figure 00000001
Выдачу токенов для доступа по API;
Figure 00000001
Issuance of tokens for API access;

Figure 00000001
Управление словарями (учет подсетей периметра и принадлежность их к территориальному блоку и FW; Словарь программного обеспечения, который формируется по результатам сбора профилей активов и последующим наложением на поступающую трубу CVE).
Figure 00000001
Vocabulary management (accounting for perimeter subnets and their belonging to the territorial block and FW; Software vocabulary, which is formed based on the results of collecting asset profiles and then superimposing CVE on the incoming pipe).

[0067] Модуль интеграции (139) обеспечивает передачу в унифицированном формате данных о киберугрозах во внутреннюю инфраструктуру, и обеспечивает связь с внутренними источниками данных (140).[0067] The integration module (139) provides the transfer of cyber threat data in a unified format to the internal infrastructure, and provides communication with internal data sources (140).

[0068] Далее рассмотрим один из частных примеров работы заявленного решения. На первом шаге осуществляется сбор ЭИ для выполнения процедуры сканирования (инфраструктура периметра, внутренняя инфраструктура). Данные из внутренних источников (140) собираются с помощью их опроса модулем сбора данных (133), например, согласно заданному расписанию сбора информации. Поступившая информация от источников (140) представляет собой входной поток данных для модуля управления данными (134), задачей которого является нормализация данных и формирование профиля атрибутного состава ЭИ в зависимости от его типа.[0068] Next, consider one of the specific examples of the claimed solution. At the first step, EI is collected to perform the scanning procedure (perimeter infrastructure, internal infrastructure). Data from internal sources (140) are collected by polling them by the data collection module (133), for example, according to a given data collection schedule. The information received from the sources (140) is the input data stream for the data management module (134), the task of which is to normalize the data and form a profile of the attribute composition of the EI depending on its type.

[0069] Модуль аналитики (136) на основании поступившего потока данных от модуля управления данными (134) задействует модуль интеграции (139) для передачи списка ЭИ, в частности атрибутов ЭИ, например, внутренних сетевых адресов и/или внешних сетевых адресов/подсетей, на сканер безопасности для выполнения задач сканирования.[0069] The analytics module (136), based on the received data stream from the data management module (134), uses the integration module (139) to transfer a list of EIs, in particular EI attributes, for example, internal network addresses and / or external network addresses / subnets, to the security scanner to perform scanning tasks.

[0070] После завершения задач сканирования, а также получения данных из внешних (110) и внутренних (140) источников с помощью модуля сбора данных (133), полученный поток данных передается в модуль обогащения профилей (135), который в свою очередь обогащает ранее созданный профиль модулем (134), обнаруженными уязвимостями.[0070] After completing the scanning tasks, as well as receiving data from external (110) and internal (140) sources using the data acquisition module (133), the resulting data stream is transmitted to the profile enrichment module (135), which in turn enriches earlier the profile created by the module (134), detected vulnerabilities.

[0071] Механизмы, используемые для обогащения профилей ЭИ, которые имеют отношение к внешнему периметру инфраструктуры, являются частными случаем. А именно, в отличии от обогащения профиля внутреннего ЭИ, дополнительно задействуется модуль аналитики (136), который в свою очередь использует алгоритмы по анализу внешнего периметра инфраструктуры, позволяющие проецировать внешний адрес и порт ЭИ периметра, на адрес и порт внутреннего ЭИ. После получения внутренних ЭИ модуль обогащения (135) дополняет ранее собранный профиль найденными уязвимостями. Результаты, полученные со сканеров безопасности ведутся в учетной части системы и хранятся в объекте учета «Результат сканирования».[0071] The mechanisms used to enrich the EI profiles that relate to the outer perimeter of the infrastructure are a special case. Namely, unlike the enrichment of the internal EI profile, the analytics module (136) is additionally activated, which in turn uses algorithms for analyzing the external perimeter of the infrastructure, which allow projecting the external address and port of the EI of the perimeter onto the address and port of the internal EI. After receiving internal EI, the enrichment module (135) supplements the previously collected profile with the found vulnerabilities. The results obtained from the security scanners are kept in the accounting part of the system and are stored in the "Scan Result" accounting object.

[0072] После обогащения профилей ЭИ найденными уязвимостями, модулем аналитики (136) осуществляется расчет критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование.[0072] After enriching the EI profiles with the found vulnerabilities, the analytics module (136) calculates the criticality of the vulnerable AI by determining the impact of the vulnerabilities on the network infrastructure and its operation.

[0073] Список уязвимых ЭИ прикрепляется к карточке уязвимости, которая содержит описательную часть найденной уязвимости. Дополнительно карточка уязвимости содержит обновления безопасности, которые ее устраняют, если такие имеются, а также обнаруженные эксплоиты в сети Интернет. Далее из карточки уязвимости вручную или автоматически может быть создана сущность типа «Case», которая содержит информацию о найденной уязвимости, масштабах влияния на инфраструктуру (список уязвимых ЭИ). Большинство полей система заполняет автоматически из других сущностей платформы.[0073] The list of vulnerable EIs is attached to the vulnerability card, which contains the descriptive part of the found vulnerability. Additionally, the vulnerability card contains security updates that fix it, if any, as well as detected exploits on the Internet. Further, from the vulnerability card, manually or automatically, an entity of the "Case" type can be created, which contains information about the vulnerability found, the scale of impact on the infrastructure (list of vulnerable EIs). The system fills in most of the fields automatically from other entities of the platform.

[0074] После заполнений всех полей в объекте типа «Case», модулем аналитики (136) осуществляется расчет рейтинга риска. После расчета рейтинга риска, производится его регистрация с учетом автоматического заполнения полей из сущности Case и Vulnerability. Зарегистрированный риск содержит описательную часть, а также мероприятия, которые необходимо выполнить для устранения уязвимостей. Регистрировать риск можно, как внутри платформы, так и в сторонней системе за счет использования модуля интеграций (139).[0074] After filling in all the fields in the "Case" type object, the analytics module (136) calculates the risk rating. After calculating the risk rating, it is registered, taking into account the automatic filling of the fields from the Case and Vulnerability entity. The recorded risk contains a descriptive part, as well as measures that must be taken to eliminate the vulnerabilities. Risk can be registered both within the platform and in a third-party system using the integration module (139).

[0075] После заведения риска модуль аналитики (136) с помощью модуля интеграций (139) обеспечивает управление режимом устранения уязвимостей, при котором выявляются ЭИ для устранения найденных на них уязвимостей, в частности, с помощью списка уязвимых ЭИ, которые передаются во внешнюю систему управления обновлениями.[0075] After the establishment of the risk, the analytics module (136), using the integration module (139), provides management of the vulnerability remediation mode, in which EIs are detected to eliminate the vulnerabilities found on them, in particular, using the list of vulnerable EIs, which are transferred to an external control system updates.

[0076] После выполнения циклов обновлений, система управления обновлениями возвращает результат, который повторно отправляется в сканер безопасности. По итогу проведенного сканирования формируется результат, свидетельствующий об устранении или наличии риска на том или ином ЭИ.[0076] After completing the update cycles, the update management system returns a result that is re-sent to the security scanner. As a result of the scan, a result is formed that indicates the elimination or presence of a risk in one or another EI.

[0077] На Фиг. 3 представлен пример общего вида вычислительного устройства (200), с помощью которого может быть реализована функциональность системы (130). Устройство (200) может являться частью компьютерной системы, например, сервером, компьютером, облачной платформой и т.п.[0077] FIG. 3 shows an example of a general view of a computing device (200), with the help of which the functionality of the system (130) can be implemented. The device (200) can be part of a computer system such as a server, computer, cloud platform, or the like.

[0078] В общем случае, вычислительное устройство (200) содержит объединенные общей шиной информационного обмена один или несколько процессоров (201), средства памяти, такие как ОЗУ (202) и ПЗУ (203), интерфейсы ввода/вывода (204), устройства ввода/вывода (205), и устройство для сетевого взаимодействия (206).[0078] In the General case, the computing device (200) contains one or more processors (201) united by a common bus of information exchange, memory means such as RAM (202) and ROM (203), input / output interfaces (204), devices input / output (205), and a device for networking (206).

[0079] Процессор (201) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором также необходимо учитывать графический процессор, например, GPU NVIDIA или ATI, который также может являться пригодным для выполнения требуемой функциональности по вычислительной обработке. При этом, средством памяти также может выступать доступный объем памяти графической карты или графического процессора.[0079] The processor (201) (or multiple processors, multi-core processor) can be selected from a range of devices currently widely used, for example, Intel ™, AMD ™, Apple ™, Samsung Exynos ™, MediaTEK ™, Qualcomm Snapdragon ™ and etc. The processor also needs to consider a graphics processor such as an NVIDIA or ATI GPU, which may also be capable of performing the required computational functionality. In this case, the memory means can also be the available amount of memory of the graphics card or graphics processor.

[0080] ОЗУ (202) представляет собой оперативную память и предназначено для хранения исполняемых процессором (201) машиночитаемых инструкций для выполнение необходимых операций по логической обработке данных. ОЗУ (202), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.).[0080] RAM (202) is a random access memory and is intended for storing machine-readable instructions executed by the processor (201) for performing the necessary operations for logical data processing. RAM (202), as a rule, contains executable instructions of the operating system and corresponding software components (applications, software modules, etc.).

[0081] ПЗУ (203) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш-память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD-R/RW, BlueRay Disc, MD) и др.[0081] ROM (203) is one or more persistent storage devices, for example, hard disk drive (HDD), solid state data storage device (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R / RW, DVD-R / RW, BlueRay Disc, MD), etc.

[0082] Для организации работы компонентов устройства (200) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (204). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п.[0082] Various types of I / O interfaces (204) are used to organize the operation of the components of the device (200) and to organize the operation of external connected devices. The choice of the appropriate interfaces depends on the specific version of the computing device, which can be, but are not limited to: PCI, AGP, PS / 2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS / Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.

[0083] Для обеспечения взаимодействия пользователя с вычислительным устройством (200) применяются различные средства (205) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п.[0083] To ensure user interaction with the computing device (200), various I / O means (205) are used, for example, a keyboard, display (monitor), touch display, touch pad, joystick, mouse manipulator, light pen, stylus, touch panel, trackball, speakers, microphone, augmented reality, optical sensors, tablet, light indicators, projector, camera, biometric identification (retina scanner, fingerprint scanner, voice recognition module), etc.

[0084] Средство сетевого взаимодействия (206) обеспечивает передачу данных устройством (200) посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п.В качестве одного или более средств (206) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др.[0084] The means of networking (206) allows the device (200) to transmit data via an internal or external computer network, for example, Intranet, Internet, LAN, etc. One or more means (206) may be used, but not limited to : Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communication module, NFC module, Bluetooth and / or BLE module, Wi-Fi module, etc.

[0085] Дополнительно могут применяться также средства спутниковой навигации в составе устройства (200), например, GPS, ГЛОНАСС, BeiDou, Galileo.[0085] In addition, satellite navigation means can also be used as part of the device (200), for example, GPS, GLONASS, BeiDou, Galileo.

[0086] Представленные материалы заявки раскрывают предпочтительные примеры реализации технического решения и не должны трактоваться как ограничивающие иные, частные примеры его воплощения, не выходящие за пределы испрашиваемой правовой охраны, которые являются очевидными для специалистов соответствующей области техники.[0086] The presented application materials disclose preferred examples of the implementation of the technical solution and should not be construed as limiting other, particular examples of its implementation, not going beyond the scope of the claimed legal protection, which are obvious to specialists in the relevant field of technology.

Claims (40)

1. Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры, содержащая:1. The system of intelligent management of risks and vulnerabilities of infrastructure elements, containing: - по меньшей мере один процессор;- at least one processor; - по меньшей мере одно запоминающее устройство;- at least one memory device; связанные с упомянутым процессором:related to the mentioned processor: - модуль сбора данных с источников, выполненный с возможностью - module for collecting data from sources, configured to получения информации из источников данных, содержащих информацию об уязвимостях элементов инфраструктуры (ЭИ), включающих в себя функциональные и логические ЭИ, obtaining information from data sources containing information about the vulnerabilities of infrastructure elements (EI), including functional and logical EI, при этом функциональные ЭИ представляют собой активы инфраструктуры (АИ), содержащие оконечное физическое или виртуальное оборудование, предоставляющее услугу, и сетевые ЭИ, представляющие устройства, обеспечивающие сетевое взаимодействие между всеми функциональными ЭИ;at the same time, functional EIs are infrastructure assets (AI) containing terminal physical or virtual equipment that provides a service, and network EIs, representing devices that provide network interaction between all functional EIs; логические ЭИ представляют собой объединения функциональных ЭИ и логических ЭИ, включающих сущности, взаимодействующие с сетевой инфраструктурой и выбираемые из группы: автоматизированные системы или функциональные подсистемы;logical EI are combinations of functional EI and logical EI, including entities that interact with the network infrastructure and are selected from the group: automated systems or functional subsystems; - модуль управления данными, выполненный с возможностью - a data management module capable of нормализации данных, собираемых модулем сбора данных, обеспечивая формирование унифицированного вида данных и формирование атрибутного состава в зависимости от типа ЭИ; формирование профиля ЭИ, содержащего атрибутный состав ЭИ;normalization of data collected by the data collection module, ensuring the formation of a unified data type and the formation of an attribute composition depending on the type of EI; formation of the EI profile containing the attribute composition of the EI; - модуль обогащения профилей ЭИ, выполненный с возможностью - module for enrichment of EI profiles, made with the ability получения данных сканирования от модуля сбора данных для дополнения атрибутного состава сформированных профилей ЭИ информацией, включающей в себя:receiving scan data from the data collection module to supplement the attribute composition of the generated EI profiles with information, including: информацию о возможности сетевого взаимодействия между АИ на основании данных правил безопасности (ACL), а также правил трансляции (NAT) и маршрутизации, определенных на сетевых ЭИ;information about the possibility of network interaction between AIs based on these security rules (ACL), as well as translation (NAT) and routing rules defined on the network EI; найденные уязвимости на АИ;found vulnerabilities on AI; данные о критичности функционирования логических ЭИ;data on the criticality of the functioning of logical EI; сведения о выявленных рисках, а также мероприятиях по их устранению;information about the identified risks, as well as measures to eliminate them; - модуль аналитики, выполненный с возможностью - analytics module made with the ability учета, анализа и мониторинга внешнего периметра сетевой инфраструктуры; поиска по атрибутному составу профилей ЭИ;accounting, analysis and monitoring of the external perimeter of the network infrastructure; search by attribute composition of EI profiles; анализа необработанных данных, поступающих из источников данных; управления рисками по найденным уязвимостям;analysis of raw data coming from data sources; risk management for found vulnerabilities; поиска и анализа сетевых маршрутов между АИ для определения возможных путей распространения угрозы;search and analysis of network routes between AIs to determine possible ways of threat propagation; на основании данных обогащенных профилей ЭИ осуществлять расчёт критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование;based on the data of the enriched EI profiles, calculate the criticality of the vulnerable AI by determining the impact of vulnerabilities on the network infrastructure and its functioning; формирования списка уязвимых ЭИ и информации об устранениях выявленных уязвимостей с расчетом рейтинга и регистрацией риска выявленных уязвимостей;formation of a list of vulnerable EI and information on the elimination of identified vulnerabilities with the calculation of the rating and registration of the risk of the identified vulnerabilities; обработки поступающего потока данных от модуля управления данными и передачи списка ЭИ посредством модуля интеграции сканеру безопасности, осуществляющему сканирование и выявление ЭИ на основании упомянутого списка ЭИ;processing the incoming data stream from the data management module and transmitting the EI list by the integration module to the security scanner, which performs scanning and detection of EI based on the said EI list; - модуль интеграции, выполненный с возможностью - an integration module capable of управления режимом устранения выявленных уязвимостей, при котором во внешнюю систему управления обновлениями передаются данные об ЭИ на основании сформированного модулем аналитики списка уязвимых ЭИ для выполнения обновлений уязвимых ЭИ.managing the mode of elimination of identified vulnerabilities, in which data on EI is transferred to the external update management system based on the list of vulnerable EI generated by the analytics module for performing updates of the vulnerable EI. 2. Система по п. 1, характеризующаяся тем, что атрибутный состав ЭИ включает в себя категорию и тип устройств инфраструктуры.2. The system according to claim 1, characterized in that the attribute composition of the EI includes the category and type of infrastructure devices. 3. Система по п.1, характеризующаяся тем, что информация по обогащению профиля ЭИ инфраструктуры по взаимодействию сетевых потоков получается на основании полученных атрибутов по устройствам инфраструктуры.3. The system according to claim 1, characterized in that the information on enriching the EI profile of the infrastructure on the interaction of network flows is obtained on the basis of the obtained attributes for the infrastructure devices. 4. Система по п.1, характеризующаяся тем, что информация по обогащению профиля актива по найденным уязвимостям на ЭИ формируется на основании полученных результатов работы сканера безопасности.4. The system according to claim 1, characterized in that the information on enriching the asset profile for the vulnerabilities found on EI is formed on the basis of the obtained results of the security scanner operation. 5. Система по п.1, характеризующаяся тем, что данные для расчета критичности ЭИ или уязвимости получаются из внешних систем.5. The system according to claim 1, characterized in that the data for calculating the criticality of EI or vulnerability are obtained from external systems. 6. Система по п.1, характеризующаяся тем, что модуль аналитики дополнительно обеспечивает формирование графовых моделей на основании полученных данных по сетевым потокам и информации о связях функциональных ЭИ и логических ЭИ между собой.6. The system according to claim 1, characterized in that the analytics module additionally provides the formation of graph models based on the received data on network flows and information about the connections of functional EI and logical EI among themselves. 7. Система по п.6, характеризующаяся тем, что осуществляется моделирование распространения угрозы за счет определения области уязвимых ЭИ.7. The system according to claim 6, characterized by the fact that the threat propagation is simulated by identifying the area of vulnerable EI. 8. Система по п.7, характеризующаяся тем, что дополнительно учитывается информация по взаимодействию сетевых потоков.8. The system according to claim 7, characterized in that information on the interaction of network flows is additionally taken into account. 9. Система по п.6, характеризующаяся тем, что обеспечивается определение узлов отказа при сетевом взаимодействии и последствий наступления такого рода отказа.9. The system according to claim 6, characterized in that it provides the definition of failure nodes during network interaction and the consequences of such a failure. 10. Система по п.1, характеризующаяся тем, что модуль аналитики дополнительно обеспечивает управление сканированием, при котором формируется список сетевых адресов для передачи их сканеру безопасности.10. The system according to claim 1, characterized in that the analytics module additionally provides scan control, in which a list of network addresses is generated for transmission to the security scanner. 11. Система по п.1, характеризующаяся тем, что модуль аналитики дополнительно обеспечивает управление режимом устранения уязвимостей, при котором выявляются активы инфраструктуры для устранения найденных на них уязвимостей.11. The system according to claim 1, characterized in that the analytics module additionally provides management of the vulnerability elimination mode, in which infrastructure assets are identified to eliminate the vulnerabilities found on them. 12. Система по п.1, характеризующаяся тем, что дополнительно содержит модуль визуализации, обеспечивающий графическое представление обрабатываемых данных.12. The system according to claim 1, further comprising a visualization module providing a graphical representation of the processed data. 13. Система по п.12, характеризующаяся тем, что модуль визуализации обеспечивает формирование виджетов и/или отчетов и/или информационных панелей.13. The system according to claim 12, characterized in that the visualization module provides the formation of widgets and / or reports and / or information panels. 14. Система по п.1, характеризующаяся тем, что дополнительно содержит модуль администрирования, обеспечивающий управление политиками доступа, справочниками, настройками существующих модулей системы.14. The system according to claim 1, characterized in that it additionally contains an administration module that provides management of access policies, reference books, settings of existing system modules. 15. Система по п.1, характеризующаяся тем, что при выявлении модулем обогащения АИ, для которых имеется информация об уязвимостях, осуществляется передача упомянутой информации во внешнюю систему для получения пакетов обновлений для устранения уязвимостей на упомянутых АИ.15. The system according to claim 1, characterized in that when the enrichment module detects AIs for which there is information about vulnerabilities, said information is transmitted to an external system to receive update packages to eliminate vulnerabilities on said AIs. 16. Система по п.15, характеризующаяся тем, что процесс выполняется итеративно для всех АИ, для которых происходит обнаружение уязвимостей.16. The system according to claim 15, characterized in that the process is performed iteratively for all AIs for which vulnerabilities are detected.
RU2020125916A 2020-08-04 2020-08-04 Intelligent risk and vulnerability management system for infrastructure elements RU2747476C1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2020125916A RU2747476C1 (en) 2020-08-04 2020-08-04 Intelligent risk and vulnerability management system for infrastructure elements
PCT/RU2020/000695 WO2022031184A1 (en) 2020-08-04 2020-12-16 System for intelligent risk and vulnerability management for infrastructure elements
EA202092860A EA202092860A1 (en) 2020-08-04 2020-12-23 SYSTEM OF INTELLIGENT MANAGEMENT OF RISKS AND VULNERABILITIES OF INFRASTRUCTURE ELEMENTS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020125916A RU2747476C1 (en) 2020-08-04 2020-08-04 Intelligent risk and vulnerability management system for infrastructure elements

Publications (1)

Publication Number Publication Date
RU2747476C1 true RU2747476C1 (en) 2021-05-05

Family

ID=75850933

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020125916A RU2747476C1 (en) 2020-08-04 2020-08-04 Intelligent risk and vulnerability management system for infrastructure elements

Country Status (3)

Country Link
EA (1) EA202092860A1 (en)
RU (1) RU2747476C1 (en)
WO (1) WO2022031184A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904800A (en) * 2021-09-02 2022-01-07 成都仁达至信科技有限公司 Internal network risk asset detection and analysis system
RU2809929C1 (en) * 2023-07-12 2023-12-19 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации System for automatic updating and generation of techniques for implementing computer attacks for information security system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117640250A (en) * 2024-01-24 2024-03-01 天津慧聪科技有限公司 Enterprise information security management system

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
WO2016003756A1 (en) * 2014-06-30 2016-01-07 Neo Prime, LLC Probabilistic model for cyber risk forecasting
US20160014147A1 (en) * 2014-01-07 2016-01-14 Fair Isaac Corporation Cyber security adaptive analytics threat monitoring system and method
WO2017100534A1 (en) * 2015-12-11 2017-06-15 Servicenow, Inc. Computer network threat assessment
WO2017123674A1 (en) * 2016-01-11 2017-07-20 Equinix, Inc. Architecture for data center infrastructure monitoring
US9807109B2 (en) * 2013-12-06 2017-10-31 Cyberlytic Limited Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment
US20170346846A1 (en) * 2016-05-31 2017-11-30 Valarie Ann Findlay Security threat information gathering and incident reporting systems and methods
US20190173893A1 (en) * 2015-08-31 2019-06-06 Splunk Inc. Method and system for generating an entities view with risk-level scoring for performing computer security monitoring
RU2702269C1 (en) * 2019-06-04 2019-10-07 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Intelligent control system for cyberthreats
US20200076839A1 (en) * 2018-08-31 2020-03-05 Forcepoint, LLC Identifying Security Risks Using Distributions of Characteristic Features Extracted from a Plurality of Events

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
US9807109B2 (en) * 2013-12-06 2017-10-31 Cyberlytic Limited Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment
US20160014147A1 (en) * 2014-01-07 2016-01-14 Fair Isaac Corporation Cyber security adaptive analytics threat monitoring system and method
WO2016003756A1 (en) * 2014-06-30 2016-01-07 Neo Prime, LLC Probabilistic model for cyber risk forecasting
US20190173893A1 (en) * 2015-08-31 2019-06-06 Splunk Inc. Method and system for generating an entities view with risk-level scoring for performing computer security monitoring
US20190342311A1 (en) * 2015-08-31 2019-11-07 Splunk Inc. Processing anomaly data to identify threats to network security
WO2017100534A1 (en) * 2015-12-11 2017-06-15 Servicenow, Inc. Computer network threat assessment
WO2017123674A1 (en) * 2016-01-11 2017-07-20 Equinix, Inc. Architecture for data center infrastructure monitoring
US20170346846A1 (en) * 2016-05-31 2017-11-30 Valarie Ann Findlay Security threat information gathering and incident reporting systems and methods
US20200076839A1 (en) * 2018-08-31 2020-03-05 Forcepoint, LLC Identifying Security Risks Using Distributions of Characteristic Features Extracted from a Plurality of Events
RU2702269C1 (en) * 2019-06-04 2019-10-07 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Intelligent control system for cyberthreats

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904800A (en) * 2021-09-02 2022-01-07 成都仁达至信科技有限公司 Internal network risk asset detection and analysis system
CN113904800B (en) * 2021-09-02 2024-01-26 成都仁达至信科技有限公司 Internal network risk asset detection and analysis system
RU2809929C1 (en) * 2023-07-12 2023-12-19 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации System for automatic updating and generation of techniques for implementing computer attacks for information security system

Also Published As

Publication number Publication date
EA202092860A1 (en) 2022-02-28
WO2022031184A1 (en) 2022-02-10

Similar Documents

Publication Publication Date Title
EP3836056A1 (en) Dynamic message analysis platform for enhanced enterprise security
CN107563203B (en) Integrated security policy and event management
US8272061B1 (en) Method for evaluating a network
US20170289187A1 (en) System and method for visualizing and analyzing cyber-attacks using a graph model
US9231962B1 (en) Identifying suspicious user logins in enterprise networks
KR101883400B1 (en) detecting methods and systems of security vulnerability using agentless
US8516586B1 (en) Classification of unknown computer network traffic
US20150347751A1 (en) System and method for monitoring data in a client environment
CN103999091A (en) Geo-mapping system security events
CN105681298A (en) Data security abnormity monitoring method and system in public information platform
CN104285219A (en) Unified scan management
US20100305990A1 (en) Device classification system
RU2747476C1 (en) Intelligent risk and vulnerability management system for infrastructure elements
RU2769075C1 (en) System and method for active detection of malicious network resources
CN103414585A (en) Method and device for building safety baselines of service system
CN106341386B (en) It is determining and remedy for the threat assessment grade of multi-level safety framework based on cloud
CN111181978B (en) Abnormal network traffic detection method and device, electronic equipment and storage medium
US20210336991A1 (en) Security threat management framework
US10826927B1 (en) Systems and methods for data exfiltration detection
WO2021243197A1 (en) Threat mitigation system and method
KR101910788B1 (en) Method for attacker profiling in graph database corresponding incident
WO2024026371A1 (en) Devices, systems, and methods for autonomous threat response and security enhancement
Cheng et al. Integrated situational awareness for cyber attack detection, analysis, and mitigation
Malik et al. Dynamic risk assessment and analysis framework for large-scale cyber-physical systems
Evancich et al. Network-wide awareness