RU2813483C1 - System and method for prioritizing installation of patches on computers in network - Google Patents
System and method for prioritizing installation of patches on computers in network Download PDFInfo
- Publication number
- RU2813483C1 RU2813483C1 RU2023115008A RU2023115008A RU2813483C1 RU 2813483 C1 RU2813483 C1 RU 2813483C1 RU 2023115008 A RU2023115008 A RU 2023115008A RU 2023115008 A RU2023115008 A RU 2023115008A RU 2813483 C1 RU2813483 C1 RU 2813483C1
- Authority
- RU
- Russia
- Prior art keywords
- computer
- patch
- software
- patches
- data
- Prior art date
Links
- 238000009434 installation Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims description 47
- 230000005540 biological transmission Effects 0.000 claims abstract description 18
- 230000000694 effects Effects 0.000 claims abstract description 7
- 241000700605 Viruses Species 0.000 claims description 18
- 230000002155 anti-virotic effect Effects 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 14
- 238000013480 data collection Methods 0.000 claims description 13
- 238000011156 evaluation Methods 0.000 abstract description 10
- 238000012913 prioritisation Methods 0.000 abstract description 4
- 239000000126 substance Substances 0.000 abstract description 2
- 230000003612 virological effect Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 27
- 238000012545 processing Methods 0.000 description 8
- 230000002093 peripheral effect Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000002354 daily effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000003203 everyday effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013070 change management Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000007630 basic procedure Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Abstract
Description
Область техникиField of technology
Изобретение относится к информационной безопасности, а более конкретно к системе и способу приоритизации установки патчей на компьютеры в сети.The invention relates to information security, and more specifically to a system and method for prioritizing the installation of patches on computers on a network.
Уровень техникиState of the art
На сегодняшний день почти любая компания собирает и хранит у себя большие объемы данных, в том числе персональные данные пользователей, являющиеся очень ценными и не редко конфиденциальными, посягательство на которые может нанести вред не только компании, но и скомпрометировать пользователей путем кражи их персональных данных. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу. Today, almost any company collects and stores large amounts of data, including users’ personal data, which is very valuable and often confidential, the infringement of which can harm not only the company, but also compromise users by stealing their personal data. Personal data means any information relating directly or indirectly to a specific or identifiable person.
В настоящее время используются различные защитные решения в области кибербезопасности для защиты своей корпоративной инфраструктуры. Кроме защитных решений, также требуется и своевременно обновлять программное обеспечение, установленное на компьютерах в сети. Последствия несвоевременного обновления подвергают опасности практически всю корпоративную инфраструктуру. Так, например, в 2017 году произошла атака на крупные корпоративные сети компаний и госслужб по всему миру. Атака осуществлялась при помощи вредоносной программы, известной как «Petya (NotPetya)», поражавшей компьютеры на операционной системе Microsoft Windows, получавшей полный контроль над всей инфраструктурой компаний. При этом последствия данной атаки можно было свести к минимуму, если бы многие компании заранее позаботились об актуальности программного обеспечения. Nowadays, various cybersecurity protection solutions are used to protect their corporate infrastructure. In addition to security solutions, it is also necessary to promptly update the software installed on computers on the network. The consequences of untimely updates put virtually the entire corporate infrastructure at risk. For example, in 2017, there was an attack on large corporate networks of companies and government services around the world. The attack was carried out using a malicious program known as “Petya (NotPetya)”, which affected computers running the Microsoft Windows operating system, gaining complete control over the entire infrastructure of companies. At the same time, the consequences of this attack could have been minimized if many companies had taken care in advance to ensure that the software was up to date.
Одним из решений по автоматизации процесса обновлений является патч-менеджмент. Патч-менеджмент (англ. patch-management) – это система управления внесением изменений. Данное решение помогает компаниям своевременно устанавливать необходимые обновления для программного обеспечения (далее – ПО) и контролировать их. На сегодняшний день существует множество вариаций патч-менеджмента, направленных на всю корпоративную инфраструктуру компаний, при этом определяющих приоритетность установки обновлений в зависимости от критичности уязвимостей. Однако существующие системы патч-менеджмента обладают не только полезными для компаний функциями, но и некоторыми недостатками. Одним из недостатков является использование ручной работы специалистов информационной безопасности (далее - ИБ) по анализу результатов сканирования, приоритизации найденных уязвимостей и устранению выявленных уязвимостей в определенной последовательности в зависимости от критичности. Указанный недостаток несет в себе потерю времени, за которое киберпреступники могут успеть осуществить компрометацию корпоративной инфраструктуры компаний. Также к недостаткам стоит отнести, что приоритизация уязвимостей в патч-менеджментах осуществляется, как правило, лишь на основании информации о критичности уязвимости. Еще одним недостатком систем патч-менеджмента является отсутствие анализа причин, по которым тот или иной патч не установился на компьютер. One solution to automate the update process is patch management. Patch management is a change management system. This solution helps companies timely install and monitor the necessary updates for software (hereinafter referred to as software). Today, there are many variations of patch management aimed at the entire corporate infrastructure of companies, while prioritizing the installation of updates depending on the criticality of vulnerabilities. However, existing patch management systems not only have useful functions for companies, but also some disadvantages. One of the disadvantages is the use of manual work by information security specialists (hereinafter - IS) to analyze scan results, prioritize the vulnerabilities found and eliminate the identified vulnerabilities in a certain sequence depending on the criticality. This drawback entails a loss of time, during which cybercriminals can manage to compromise the corporate infrastructure of companies. Another disadvantage is that the prioritization of vulnerabilities in patch management is carried out, as a rule, only on the basis of information about the criticality of the vulnerability. Another disadvantage of patch management systems is the lack of analysis of the reasons why a particular patch was not installed on the computer.
В качестве одного из примеров известных из уровня техники решений является изобретение, представленное в патенте US9959111B2 «Prioritization of software patches». Представленное изобретение позволяет устанавливать приоритеты обновлений для программного обеспечения (ПО) на основе определения классов ошибок, при этом процесс определения классов ошибок является автоматизированным и устанавливает более высокий приоритет ошибкам безопасности. One example of solutions known from the prior art is the invention presented in patent US9959111B2 “Prioritization of software patches”. The present invention allows software updates to be prioritized based on the definition of error classes, wherein the process of determining error classes is automated and gives higher priority to security errors.
Также из уровня техники известно изобретение, раскрытое в патентной заявке WO2019089389A1 «Systems and methods for prioritizing software vulnerabilities for patching». Представленное изобретение позволяет приоритизировать обновления на основе прогнозирования того, какие уязвимости ПО могут быть использованы киберпреступниками и, следовательно, более приоритетны для исправления. Also known from the prior art is the invention disclosed in patent application WO2019089389A1 “Systems and methods for prioritizing software vulnerabilities for patching.” The presented invention allows you to prioritize updates based on predicting which software vulnerabilities can be exploited by cybercriminals and therefore have a higher priority for patching.
Указанные изобретения в той или иной мере направлены на приоритизацию обновлений. Однако приоритизация на основании только лишь оценки уязвимостей не позволяет в полной мере провести качественную градацию приоритетов, ввиду отсутствия использования других критериев оценки, использование которых может повысить эффективность системы патч-менеджмента. Исходя из анализа предшествующего уровня техники, отсутствие анализа причин сбоев в патч-менеджменте, по которым тот или иной патч не установился на компьютер, может нести серьезный риск компрометации системы и ее уязвимости. These inventions are, to one degree or another, aimed at prioritizing updates. However, prioritization based only on the assessment of vulnerabilities does not allow for a full qualitative gradation of priorities, due to the lack of use of other assessment criteria, the use of which can improve the efficiency of the patch management system. Based on the analysis of the prior art, the lack of analysis of the reasons for failures in patch management, due to which a particular patch was not installed on a computer, can carry a serious risk of system compromise and vulnerability.
Заявляемое техническое решение направлено на усовершенствование патч-менеджмента, обеспечивая эффективность определения приоритетов установки патчей, а также расширение функциональности патч-менеджмента в части анализа причин сбоев, по которым патч не установился.The claimed technical solution is aimed at improving patch management, ensuring the efficiency of determining priorities for installing patches, as well as expanding the functionality of patch management in terms of analyzing the causes of failures due to which the patch was not installed.
Раскрытие сущности изобретенияDisclosure of the invention
Задачей заявляемого изобретения является усовершенствование патч-менеджмента и расширение его функциональности.The objective of the claimed invention is to improve patch management and expand its functionality.
Технический результат заключается в повышении эффективности определения приоритетов установки патчей. Указанный технический результат достигается за счет предложенного способа приоритизации установки патчей на компьютеры в сети.The technical result is to increase the efficiency of determining priorities for installing patches. The specified technical result is achieved through the proposed method for prioritizing the installation of patches on computers on the network.
В качестве одного из вариантов реализации настоящего изобретения предлагается система приоритизации установки патчей на компьютеры в сети, включающая сервер, объединенный с компьютерами пользователей в сеть, при этом сервер включает в себя: а) модуль сбора данных, связанный с анализатором, упомянутый модуль сбора данных предназначен для получения данных о компьютерах в сети, при этом данные включают информацию о программном обеспечении (далее – ПО), установленном на компьютерах; б) анализатор, связанный с модулем управления патчами, при этом упомянутый анализатор предназначен для: определения наличия уязвимостей в ПО по крайней мере на одном компьютере в сети на основании полученных данных от модуля сбора данных; выявления для каждой определенной уязвимости наличие по меньшей мере одного патча; вычисления для каждого патча итоговой оценки, основанной на двух и более из следующих оценок: оценка важности учетной записи; оценка частоты использования ПО, для которого было определено наличие уязвимости; оценка использования аппаратных ресурсов компьютера; оценка рисков компрометации по вирусным инцидентам; оценка канала передачи данных на компьютер; в) модуль управления патчами, предназначенный для: определения приоритета установки по меньшей мере для двух патчей на основании вычисленной итоговой оценки для каждого указанного патча; установки патчей на компьютеры в зависимости от определенного приоритета установки. As one of the embodiments of the present invention, a system for prioritizing the installation of patches on computers on a network is proposed, including a server connected to user computers in a network, wherein the server includes: a) a data collection module associated with an analyzer, said data collection module is designed to obtain data about computers on the network, where the data includes information about the software (hereinafter referred to as the software) installed on the computers; b) an analyzer associated with a patch management module, wherein said analyzer is designed to: determine the presence of vulnerabilities in software on at least one computer on the network based on data received from the data collection module; identifying the presence of at least one patch for each specific vulnerability; calculating for each patch a final score based on two or more of the following scores: account importance score; assessment of the frequency of use of software for which the presence of a vulnerability has been determined; assessing the use of computer hardware resources; assessing the risks of compromise based on virus incidents; assessment of the data transmission channel to the computer; c) a patch management module for: determining installation priority for at least two patches based on the calculated final score for each specified patch; installing patches on computers depending on a specific installation priority.
В еще одном варианте реализации системы дополнительно модуль сбора данных получает данные, содержащие по меньшей мере следующую информацию: роль учетной записи пользователя; частота использования ПО пользователем; пропускная способность канала передачи данных; информация о наличии обновлений для ПО; наличие установленного на компьютере ПО специального назначения; наличие на компьютере мессенджеров; использование аппаратных ресурсов компьютера.In yet another embodiment of the system, the data collection module additionally receives data containing at least the following information: user account role; frequency of software use by the user; data transmission channel capacity; information about the availability of software updates; availability of special-purpose software installed on the computer; presence of instant messengers on the computer; use of computer hardware resources.
В еще одном варианте реализации системы анализатор дополнительно вычисляет для каждого патча по меньшей мере одну из оценок для определения приоритета установки патча: оценка наличия ПО специального назначения, установленного на компьютере; оценка доступности компьютера; оценка по наличию доступа к сети Интернет; оценка уровня безопасности антивирусной защиты.In yet another embodiment of the system, the analyzer additionally calculates for each patch at least one of the assessments to determine the priority of patch installation: an assessment of the presence of special-purpose software installed on the computer; computer accessibility assessment; assessment based on the availability of Internet access; assessment of the security level of anti-virus protection.
В еще одном варианте реализации системы анализатор дополнительно получает обратную связь после установки патчей. In another embodiment of the system, the analyzer additionally receives feedback after installing patches.
В еще одном варианте реализации системы данные обратной связи содержат по меньшей мере одну или несколько категорий информации: версия операционной системы; разрядность операционной системы; объем памяти; запущенные процессы на компьютере в момент установки патчей; установленное ПО; сведения о последней перезагрузке; активность пользователя; наличие доступа к сети Интернет; наличие прав администратора; данные инсталлятора патчей.In another embodiment of the system, the feedback data comprises at least one or more categories of information: operating system version; operating system bit depth; Memory; running processes on the computer at the time of patch installation; installed software; information about the last reboot; user activity; availability of access to the Internet; having administrator rights; patch installer data.
В еще одном варианте реализации системы в случае сбоя установки на компьютере по меньшей мере одного патча анализатор проводит анализ причин сбоя на основе данных обратной связи и формирует отчет о сбое с пересчитанными итоговыми оценками.In another embodiment of the system, if the installation of at least one patch on a computer fails, the analyzer analyzes the causes of the failure based on feedback data and generates a failure report with recalculated final scores.
В еще одном варианте реализации системы модуль управления патчами изменяет приоритет для по меньшей мере одного патча, который не был установлен, на основе отчета о сбое с пересчитанными итоговыми оценками.In yet another embodiment of the system, the patch management module changes the priority for at least one patch that was not installed based on a crash report with recalculated final scores.
В еще одном варианте реализации системы модуль управления патчами устанавливает патчи на компьютеры в зависимости от измененного приоритета.In another embodiment of the system, the patch management module installs patches on computers based on the changed priority.
В качестве другого варианта реализации предлагается способ приоритизации установки патчей на компьютеры в сети включающий этапы, на которых: а) получают данные о компьютерах в сети, при этом данные включают информацию о программном обеспечении (далее – ПО), используемом на компьютере; б) определяют наличие уязвимостей в ПО по крайней мере на одном компьютере в сети на основании полученных данных; в) выявляют для каждой определенной уязвимости по меньшей мере один патч; г) вычисляют для каждого патча итоговую оценку, основанную на двух и более из следующих оценок: оценка важности учетной записи; оценка частоты использования ПО, для которого было определено наличие уязвимости; оценка использования аппаратных ресурсов компьютера; оценка рисков компрометации по вирусным инцидентам; оценка канала передачи данных на компьютер; д) определяют приоритет установки по меньшей мере для двух патчей на основании вычисленной итоговой оценки для каждого указанного патча; е) устанавливают патчи на компьютеры в зависимости от определенного приоритета установки.As another implementation option, a method is proposed for prioritizing the installation of patches on computers on a network, which includes the steps of: a) obtaining data about computers on the network, wherein the data includes information about the software (hereinafter referred to as the software) used on the computer; b) determine the presence of software vulnerabilities on at least one computer on the network based on the data received; c) identify at least one patch for each specific vulnerability; d) calculate for each patch a final score based on two or more of the following scores: account importance score; assessment of the frequency of use of software for which the presence of a vulnerability has been determined; assessing the use of computer hardware resources; assessing the risks of compromise based on virus incidents; assessment of the data transmission channel to the computer; e) determining installation priority for at least two patches based on the calculated final score for each specified patch; f) install patches on computers depending on a certain installation priority.
В еще одном варианте реализации способа дополнительно получаемыми данными являются по меньшей мере информация для вычисления оценок: роль учетной записи пользователя; частота использования ПО пользователем; пропускная способность канала передачи данных; информация о наличии обновлений для ПО; наличие установленного на компьютере ПО специального назначения; наличие на компьютере мессенджеров; использование аппаратных ресурсов компьютера.In yet another embodiment of the method, the additional data obtained is at least information for calculating scores: the role of the user account; frequency of software use by the user; data transmission channel capacity; information about the availability of software updates; availability of special-purpose software installed on the computer; presence of instant messengers on the computer; use of computer hardware resources.
В еще одном варианте реализации способа дополнительно вычисляют для каждого патча по меньшей мере одну из оценок для определения приоритета установки патча: оценка наличия ПО специального назначения, установленного на компьютере; оценка по наличию доступа к сети Интернет; оценка доступности компьютера; оценка уровня безопасности антивирусной защиты.In another embodiment of the method, at least one of the estimates is additionally calculated for each patch to determine the priority of installing the patch: an estimate of the presence of special-purpose software installed on the computer; assessment based on the availability of Internet access; computer accessibility assessment; assessment of the security level of anti-virus protection.
В еще одном варианте реализации способа дополнительно получают данные обратной связи после установки патчей.In yet another embodiment of the method, feedback data is additionally obtained after the patches are installed.
В еще одном варианте реализации способа данные обратной связи содержат по меньшей мере следующую информацию: версия операционной системы; разрядность операционной системы; объем памяти; запущенные процессы на компьютере в момент установки патчей; установленное ПО; сведения о последней перезагрузке; активность пользователя; наличие доступа к сети Интернет; наличие прав администратора; данные инсталлятора патчей.In yet another embodiment of the method, the feedback data contains at least the following information: operating system version; operating system bit depth; Memory; running processes on the computer at the time of patch installation; installed software; information about the last reboot; user activity; availability of access to the Internet; having administrator rights; patch installer data.
В еще одном варианте реализации способа в случае сбоя установки на компьютере по меньшей мере одного патча проводят анализ причин сбоя на основе данных обратной связи и формируют отчет о сбое с пересчитанными итоговыми оценками.In another embodiment of the method, if the installation of at least one patch on a computer fails, the reasons for the failure are analyzed based on the feedback data and a failure report is generated with recalculated final estimates.
В еще одном варианте реализации способа изменяют приоритет для патчей, которые не были установлены, на основе отчета о сбое с пересчитанными итоговыми оценками.In yet another embodiment of the method, the priority for patches that have not been installed is changed based on the crash report with the recalculated final scores.
В еще одном варианте реализации способа устанавливают патчи на компьютеры в зависимости от измененного приоритета.In another embodiment of the method, patches are installed on computers depending on the changed priority.
Краткое описание чертежейBrief description of drawings
Прилагаемые чертежи иллюстрируют только примерные варианты осуществления и поэтому не должны считаться ограничивающими его объем, могут допускать другие, не менее эффективные, варианты осуществления. Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:The accompanying drawings illustrate exemplary embodiments only and should therefore not be considered limiting in scope, other equally effective embodiments may be permitted. Additional objects, features and advantages of the present invention will become apparent from a reading of the following description of the invention with reference to the accompanying drawings, in which:
Фиг. 1 представляет пример структурной схемы системы приоритизации установки патчей на компьютеры в сети.Fig. 1 presents an example of a block diagram of a system for prioritizing the installation of patches on computers on a network.
Фиг. 2 представляет пример базы данных оценок.Fig. 2 presents an example of a rating database.
Фиг. 3 представляет пример способа приоритизации установки патчей на компьютеры в сети.Fig. 3 presents an example of a method for prioritizing the installation of patches on computers on a network.
Фиг. 4 представляет вариант реализации способа приоритизации установки патчей на компьютеры в сети.Fig. 4 represents an embodiment of a method for prioritizing the installation of patches on computers on a network.
Фиг. 5 представляет пример компьютерной системы, с помощью которой осуществляется настоящее изобретение.Fig. 5 shows an example of a computer system with which the present invention is implemented.
Осуществление изобретенияCarrying out the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.Objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The substance set forth in the specification is nothing more than the specific details necessary to assist one skilled in the art in fully understanding the invention, and the present invention is defined within the scope of the appended claims.
Ниже определен ряд терминов, которые будут использоваться при описании вариантов осуществления изобретения. A number of terms are defined below that will be used in describing embodiments of the invention.
Патч (англ. patch – заплатка) или обновление (англ. update) называется, в частности, автоматизированное отдельно поставляемое программное средство, содержащее информацию, необходимую для устранения проблем в программном обеспечении или изменения его функциональности. Например, ряд патчей выпускается для закрытия уязвимостей, чтобы их нельзя было использовать.A patch (English patch) or update (English update) is, in particular, an automated, separately supplied software tool that contains the information necessary to fix problems in the software or change its functionality. For example, a number of patches are released to close vulnerabilities so that they cannot be exploited.
Патч-менеджмент (англ. patch-management) – система управления внесением изменений. Patch management is a change management system.
Вирусные инциденты – компьютерный инцидент, произошедший в результате воздействия или с помощью использования вредоносной программы (программ).Virus incidents are a computer incident that occurred as a result of exposure to or through the use of a malicious program (programs).
Эксплойт (англ. exploit, эксплуатировать) – компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Exploit (English exploit, exploit) is a computer program, a fragment of program code or a sequence of commands that exploit vulnerabilities in software and are used to carry out an attack on a computer system.
Учетная запись – хранимая в компьютерной системе совокупность данных о пользователе, необходимая для его опознания (аутентификации) и предоставления доступа к его личным данным и настройкам.An account is a set of data about a user stored in a computer system, necessary to identify him (authenticate) and provide access to his personal data and settings.
SCADA (аббр. от англ. Supervisory Control Data Acquisition – диспетчерское управление и сбор данных) – программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления. SCADA (abbreviation for Supervisory Control Data Acquisition - supervisory control and data acquisition) is a software package designed to develop or ensure real-time operation of systems for collecting, processing, displaying and archiving information about a monitoring or control object.
Суть изобретения заключается в том, что для уязвимостей в ПО, выявленных на компьютерах пользователей, определяют патчи, в свою очередь для патчей определяют приоритеты установки на основании двух и более оценок. В зависимости от реализации настоящего изобретения упомянутые оценки принимают определенные итоговые суммарные значения, что позволяет впоследствии приоритизировать установку патчей по уровню первоочередности установки. The essence of the invention is that patches are determined for software vulnerabilities identified on user computers, and installation priorities for patches are determined based on two or more assessments. Depending on the implementation of the present invention, these estimates take on certain final total values, which allows you to subsequently prioritize the installation of patches according to the installation priority level.
На Фиг. 1 представлен пример структурной схемы системы приоритизации установки патчей на компьютеры в сети. In FIG. Figure 1 shows an example of a block diagram of a system for prioritizing the installation of patches on computers on the network.
Структурная схема системы приоритизации установки патчей на компьютеры в сети 100 (далее – система 100) содержит сервер 120, взаимодействующий с компьютерами 105 в сети 110. Сервер 120 включает модуль сбора данных 130, анализатор 140, базу данных уязвимостей 150, базу данных патчей 160, базу данных оценок 170 и модуль управления патчами 180. В рамках данной заявки под компьютерами 105 понимается любое вычислительное устройство, в частности персональный компьютер, ноутбук, смартфон, планшет, маршрутизатор, система хранения данных, сервер. Элементы системы приоритизации установки патчей на компьютеры в сети 100 могут быть реализованы на компьютерной системе, пример которой представлен на Фиг. 5.The block diagram of the system for prioritizing the installation of patches on computers in the network 100 (hereinafter referred to as the system 100) contains a server 120 that interacts with computers 105 in the network 110. The server 120 includes a data collection module 130, an analyzer 140, a vulnerability database 150, a patch database 160, a rating database 170 and a patch management module 180. For the purposes of this application, computers 105 mean any computing device, in particular a personal computer, laptop, smartphone, tablet, router, storage system, server. Elements of a system for prioritizing the installation of patches on computers on network 100 may be implemented on a computer system, an example of which is shown in FIG. 5.
Система 100 реализуется следующим образом: сервер 120 во время взаимодействия с компьютерами 105 через сеть 110 при помощи модуля сбора данных 130 получает данные о компьютерах в сети, при этом данные включают информацию о ПО, установленном на компьютерах. Примером информации о ПО является информация о версии и дате установки ПО, времени использования ПО. Модуль сбора данных 130 отправляет полученные данные о компьютерах 105 в анализатор 140. The system 100 is implemented as follows: the server 120, when interacting with computers 105 through the network 110, using the data collection module 130, receives data about computers on the network, and the data includes information about the software installed on the computers. An example of information about the software is information about the version and date of installation of the software, and the time of use of the software. The data acquisition module 130 sends the received data about the computers 105 to the analyzer 140.
В другом варианте реализации системы 100 модуль сбора данных 130 дополнительно получает от компьютеров 105 данные, которые содержат по меньшей мере следующую информацию:In another embodiment of the system 100, the data acquisition module 130 additionally receives data from the computers 105 that contains at least the following information:
а) роль учетной записи пользователя;a) the role of the user account;
б) частота использования ПО пользователем;b) frequency of use of the software by the user;
в) пропускная способность канала передачи данных;c) data transmission channel capacity;
г) информация о наличии обновлений для ПО;d) information about the availability of software updates;
д) наличие установленного на компьютере ПО специального назначения;e) availability of special-purpose software installed on the computer;
е) наличие на компьютере мессенджеров;f) the presence of instant messengers on the computer;
ж) использование аппаратных ресурсов компьютера.g) use of computer hardware resources.
Анализатор 140 предназначен для определения наличия уязвимостей в ПО на основе базы данных уязвимостей 150, выявления для каждой определенной уязвимости наличие по меньшей мере одного патча на основе базы данных патчей 160 и вычисления для каждого патча итоговой оценки, на основании двух и более оценок, хранящихся в базе данных оценок 170. Анализатор 140 полученные данные от модуля сбора данных 130 структурирует по меньшей мере по разновидности ПО, установленного на компьютерах 105, после чего проводит поиск известных уязвимостей, относящихся к ПО, в базе данных уязвимостей 150 для определения наличия уязвимостей в ПО.The analyzer 140 is designed to determine the presence of vulnerabilities in software based on the vulnerability database 150, identify for each specific vulnerability the presence of at least one patch based on the patch database 160, and calculate a final score for each patch based on two or more scores stored in assessment database 170. The analyzer 140 organizes the received data from the data collection module 130 by at least the type of software installed on the computers 105, and then searches for known vulnerabilities related to the software in the vulnerability database 150 to determine the presence of vulnerabilities in the software.
Стоит отметить, что наполнение информацией об уязвимостях базы данных уязвимостей 150 осуществляется в частном случае при помощи внешних источников, например, следующих баз данных: американская база данных уязвимостей (англ. National Vulnerability Database, NVD), база данных общеизвестных уязвимостей информационной безопасности (англ. Common Vulnerabilities and Exposures, CVE), банк данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (БДУ ФСТЭК). В частном случае реализации база данных уязвимостей 150 содержит информацию только об уязвимостях, относящийся к ПО, которое установлено на компьютерах 105, при этом перечень уязвимостей дополняется в случае появления нового ПО на компьютерах 105.It is worth noting that filling the vulnerability database 150 with information about vulnerabilities is carried out in a particular case using external sources, for example, the following databases: American vulnerability database (English National Vulnerability Database, NVD), database of well-known information security vulnerabilities (English. Common Vulnerabilities and Exposures, CVE), a database of information security threats of the Federal Service for Technical and Export Control (BDU FSTEC). In a particular implementation case, the vulnerability database 150 contains information only about vulnerabilities related to software installed on computers 105, while the list of vulnerabilities is supplemented if new software appears on computers 105.
После определения наличия уязвимостей в ПО анализатор 140 обращается в базу данных патчей 160 для поиска патчей для обнаруженных уязвимостей. База данных патчей 160 содержит перечень патчей, относящихся к ПО на компьютерах 105, при этом база данных патчей 160 дополняется в случае появления нового ПО на компьютерах 105. После выявления для каждой определенной уязвимости по меньшей мере одного патча анализатор 140 вычисляет для каждого патча итоговую оценку, на основании двух и более из следующих оценок:After determining the presence of vulnerabilities in the software, the analyzer 140 accesses the patch database 160 to search for patches for the detected vulnerabilities. Patch database 160 contains a list of patches related to software on computers 105, and patch database 160 is updated as new software becomes available on computers 105. After identifying at least one patch for each specific vulnerability, analyzer 140 calculates a final score for each patch. , based on two or more of the following assessments:
• оценка важности учетной записи,• assessment of the importance of the account,
• оценка частоты использования ПО, для которого было определено наличие уязвимости,• assessment of the frequency of use of software for which the presence of a vulnerability has been determined,
• оценка использования аппаратных ресурсов компьютера,• assessment of the use of computer hardware resources,
• оценка наличия ПО специального назначения, установленного на компьютере,• assessment of the availability of special-purpose software installed on the computer,
• оценка канала передачи данных на компьютер,• assessment of the data transmission channel to the computer,
• оценка рисков компрометации по вирусным инцидентам,• assessing the risks of compromise based on virus incidents,
• оценка доступности компьютера,• computer accessibility assessment,
• оценка по наличию доступа к сети Интернет,• assessment based on the availability of access to the Internet,
• оценка уровня безопасности антивирусной защиты.• assessment of the security level of anti-virus protection.
В частном варианте реализации у каждой оценки имеется разная градация шкалы, отражающая степень важности, например, в интервале от 1 до 5 баллов, где оценка 1 - очень низкий балл, оценка 2 - низкий балл, оценка 3 - средний балл, оценка 4 - высокий балл, оценка 5 - очень высокий балл. Кроме того, баллы одной оценки могут суммироваться по нескольким критериям, а итоговая оценка может складываться из двух и более вычисленных оценок для каждого патча. Итоговая оценка, вычисленная путем сложения оценок двух и более вычисленных оценок, указывает на очередность установки каждого патча. Приведенный пример шкалы оценок не является ограничением всей совокупности реализации, а лишь представлен как один из вариантов реализации.In a particular implementation, each rating has a different scale gradation, reflecting the degree of importance, for example, in the range from 1 to 5 points, where rating 1 is a very low score, rating 2 is a low score, rating 3 is an average score, rating 4 is a high score, score 5 - very high score. In addition, the scores of one assessment can be summed up across several criteria, and the final score can be the sum of two or more calculated scores for each patch. The final score, calculated by adding the scores of two or more calculated scores, indicates the order in which each patch was installed. The given example of a rating scale is not a limitation of the entire implementation, but is only presented as one of the implementation options.
Рассмотрим более подробно приведенные оценки, хранящихся в базе данных оценок 170, пример которой представлен на Фиг. 2, и их критерии.Let us consider in more detail the given ratings stored in the rating database 170, an example of which is presented in FIG. 2, and their criteria.
1. Оценка важности учетной записи. Данная оценка определяется для компьютера 105 анализатором 140. Под важностью учетной записи понимается какой уровень доступа к корпоративной инфраструктуре, конфиденциальным данным имеет та или иная учетная запись пользователя на компьютере. В свою очередь учетные записи пользователей подразделяются на два вида – обычная учетная запись и учетная запись администратора. Учетная запись обычного пользователя предназначается для повседневной работы (например, работа в текстовых редакторах, пересылка почты, просмотр фильма и т.д.), а учетная запись администратора предоставляет полный контроль над компьютером. Например, к компьютеру с учетной записью «инженер» по данному критерию присваивается оценка 4 по причине того, что у указанной учетной записи имеется доступ к корпоративной инфраструктуре и конфиденциальным данным (например, имеется доступ к файлам разработки программного обеспечения). Другому компьютеру с учетной записью «кладовщик» по данному критерию присваивается оценка 1 ввиду отсутствия доступа к конфиденциальным данным. Градация оценки важности учетной записи на примере таблицы 1 может выглядеть следующим образом.1. Assessing the importance of the account. This assessment is determined for computer 105 by analyzer 140. Account importance refers to the level of access to corporate infrastructure and confidential data that a particular user account on the computer has. In turn, user accounts are divided into two types - a regular account and an administrator account. The standard user account is intended for everyday work (for example, working in word processors, forwarding mail, watching a movie, etc.), while the administrator account provides full control over the computer. For example, a computer with an "engineer" account is assigned a score of 4 for this criterion because the account has access to corporate infrastructure and sensitive data (for example, access to software development files). Another computer with the “storekeeper” account is assigned a score of 1 for this criterion due to the lack of access to confidential data. The gradation of assessing the importance of an account using the example of Table 1 may look like this.
Таблица 1. Оценки важности учетной записи. Table 1. Account importance ratings.
2. Оценка частоты использования ПО, для которого было определено наличие уязвимости. Данная оценка также определяется для компьютера 105 анализатором 140. Под частотой использования ПО понимается, насколько часто используется установленное ПО, для которого было определено наличие уязвимости. Оценка определяется по меньшей мере по нескольким критериям:2. Assessment of the frequency of use of software for which the presence of a vulnerability has been determined. This score is also determined for computer 105 by analyzer 140. Software usage frequency refers to how often the installed software that has been identified as having a vulnerability is used. The assessment is determined by at least several criteria:
• Ежедневное использование установленного ПО на компьютере, например, по данному критерию присваивается оценка 3.• Daily use of installed software on a computer, for example, a score of 3 is assigned to this criterion.
• Использование установленного ПО с правами локального администратора, например, по данному критерию присваивается оценка 5.• Using installed software with local administrator rights, for example, this criterion is assigned a score of 5.
• ПО остается запущенным при неактивности пользователя, например, пользователь оставил компьютер включенным с открытым браузером с большим количеством вкладок, по данному критерию, к примеру, присваивается оценка 4.• The software remains running when the user is inactive, for example, the user left the computer turned on with an open browser with a large number of tabs; according to this criterion, for example, a score of 4 is assigned.
• ПО стоит в автозапуске и включается при каждой загрузке компьютера, по данному критерию, например, присваивается оценка 2.• The software is installed in autostart and is turned on every time the computer boots; according to this criterion, for example, a score of 2 is assigned.
• Редкое использование установленного ПО на компьютере, например, по данному критерию присваивается оценка 1. Под редким использованием установленного ПО на компьютере понимается ситуация, когда запуск такого ПО происходит реже одного раза за установленный интервал времени и продолжительность эксплуатации занимает не более заданной продолжительности;• Rare use of installed software on a computer, for example, according to this criterion, a score of 1 is assigned. Rare use of installed software on a computer means a situation when such software is launched less than once in a specified time interval and the duration of operation takes no more than a specified duration;
• Неиспользование установленного ПО на компьютере, по данному критерию присваивается оценка, например, 1.• Failure to use installed software on the computer; this criterion is assigned a score, for example, 1.
Например, в случае если ПО стоит в автозапуске и включается при каждой загрузке компьютера, при этом пользователь ежедневно использует установленное ПО на компьютере, оценка складывается из совокупности критериев оценки и будет равна 5. В другом примере, если используется установленное ПО с правами локального администратора, при этом использование ПО осуществляется ежедневно, оценка будет равна 8.For example, if the software is in autostart and is turned on every time the computer boots, and the user uses the installed software on the computer every day, the score is the sum of a set of evaluation criteria and will be equal to 5. In another example, if the installed software is used with local administrator rights, In this case, the software is used daily, the score will be 8.
3. Оценка использования аппаратных ресурсов компьютера. Данная оценка также определяется для компьютера 105 анализатором 140. Под оценкой использования аппаратных ресурсов компьютера понимается анализ ситуации, при которой рабочий сеанс пользователя на компьютере может на время завершиться или замедлиться из-за перегрузки ресурсов компьютера установкой патча в тот момент, когда пользователь работает на компьютере. Оценка определяется по одному из нескольких критериев:3. Assessing the use of computer hardware resources. This assessment is also determined for the computer 105 by the analyzer 140. The assessment of the use of computer hardware resources refers to the analysis of a situation in which the user's work session on the computer may be temporarily terminated or slowed down due to overload of computer resources by installing a patch while the user is working on the computer . The score is determined by one of several criteria:
• Пользователь активно работает на компьютере, при этом на компьютере запущено множество программ, что может спровоцировать конфликт запущенного ПО с установкой патча, по данному критерию, например, присваивается оценка 4.• The user is actively working on the computer, while many programs are running on the computer, which can provoke a conflict between the running software and the installation of the patch; according to this criterion, for example, a score of 4 is assigned.
• Пользователь активно работает на компьютере, при этом процессор загружен на 100%, например пользователь осуществляет видеомонтаж, требующий больших вычислительных ресурсов компьютера; осуществляет резервное копирование и т.д., процесс установки патчей значительно снизит производительность выполнения работы компьютером. По данному критерию присваивается, например, оценка 2.• The user is actively working on the computer, while the processor is loaded at 100%, for example, the user is editing video, which requires large computing resources of the computer; performs backups, etc., the process of installing patches will significantly reduce the performance of the computer. For this criterion, for example, a score of 2 is assigned.
• Пользователь активно использует компьютер, при этом процессор компьютера загружен приложениями, работающими в режиме реального времени, например, выполняется сеанс видеосвязи, онлайн видеоконференции и т.д., процесс установки патча может прервать работу этих приложений. По данному критерию присваивается, например, оценка 3.• The user actively uses the computer, while the computer's processor is loaded with applications running in real time, for example, a video conference session, online video conferencing, etc., the process of installing the patch may interrupt the operation of these applications. For this criterion, for example, a score of 3 is assigned.
• Компьютер пользователя задействован в технологическом или производственном процессе, например, осуществляется управление технологическим процессом из консоли «SCADA-системы»; управление работой станка с числовым программным управлением (сокр. ЧПУ; англ. computer numerical control), процесс установки патчей может нарушить работу технологических или производственных процессов. По данному критерию присваивается, например, оценка 1.• The user's computer is involved in a technological or production process, for example, the technological process is controlled from the console of a SCADA system; control of the operation of a machine with numerical control (abbr. CNC; English computer numerical control), the process of installing patches can disrupt the operation of technological or production processes. For this criterion, for example, a score of 1 is assigned.
• Компьютер пользователя используется без нагрузки на процессор, при этом процесс установки патча на компьютер не повлияет на рабочий сеанс пользователя. По данному критерию присваивается, например, оценка 5. • The user's computer is used without CPU load, and the process of installing a patch on the computer will not affect the user's work session. For this criterion, for example, a score of 5 is assigned.
4. Оценка наличия ПО специального назначения (далее – специальное ПО), установленного на компьютере. Данная оценка также определяется для компьютера 105 анализатором 140. Специальное ПО в настоящем изобретении представляет собой совокупность программ, используемых для решения определенного класса задач, компрометация которых может повлечь административные и финансовые риски, например вывод денежных средств со счетов организации, утечку конфиденциальной информации. Оценка определяется по меньшей мере по нескольким критериям:4. Assessing the availability of special-purpose software (hereinafter referred to as special software) installed on the computer. This assessment is also determined for computer 105 by analyzer 140. Special software in the present invention is a set of programs used to solve a certain class of problems, the compromise of which can lead to administrative and financial risks, for example, withdrawal of funds from the organization’s accounts, leakage of confidential information. The assessment is determined by at least several criteria:
• по наличию токена ЭЦП, по данному критерию присваивается оценка, например, 5;• based on the presence of an EDS token, this criterion is assigned a score, for example, 5;
• наличие на компьютере бухгалтерского ПО (например, 1С: Бухгалтерия), банковского ПО, ПО «SCADA-системы», по данному критерию присваивается, например, оценка 4;• the presence on the computer of accounting software (for example, 1C: Accounting), banking software, SCADA system software, according to this criterion, for example, a score of 4 is assigned;
• поведение пользователя компьютера, например, посещение веб-страниц банков, платежных систем, по данному критерию присваивается, например, оценка 3;• computer user behavior, for example, visiting the web pages of banks, payment systems, according to this criterion is assigned, for example, a score of 3;
• наличие на компьютере пользователя мессенджеров или доступа к социальным сетям, по данному критерию присваивается, к примеру, оценка 2.• the presence of instant messengers or access to social networks on the user’s computer; according to this criterion, for example, a score of 2 is assigned.
В случае наличия на компьютере пользователя, например, токена ЭЦП, бухгалтерского ПО или ПО «SCADA – системы», при этом если пользователь активно посещает веб-страницы платежных систем, и на компьютере имеются мессенджеры, по данным критериям присваивается оценка 14. В другом случае, если у пользователя на компьютере имеются мессенджеры и пользователь посещает веб-страницы банков, но отсутствует, например, бухгалтерское ПО, по данным критериям присваивается оценка 5. Вышеприведенное специальное ПО указано в качестве примеров и подразумевает, что могут быть и другие разновидности специального ПО, не указанного в настоящем изобретении.If the user’s computer has, for example, an electronic digital signature token, accounting software or SCADA system software, and if the user actively visits the web pages of payment systems, and there are instant messengers on the computer, a score of 14 is assigned according to these criteria. In another case , if the user has instant messengers on his computer and the user visits the web pages of banks, but does not have, for example, accounting software, a score of 5 is assigned according to these criteria. The above special software is indicated as examples and implies that there may be other types of special software, not specified in the present invention.
5. Оценка канала передачи данных на компьютер. Указанная оценка определяется для компьютера 105 анализатором 140. Данная оценка определяется на основе пропускной способности канала передачи данных от сервера 120 к компьютеру 105. Например, требуется установить 5 патчей на компьютер, из которых патчи под номерами 1 и 3 приоритетны по критичности исправляемых проблем, и размер каждого составляет 500 мегабайт, однако компьютер с длительностью подключения к сети менее 15 минут может просто не успеть загрузить и установить патчи 1 и 3, а также не загрузятся остальные патчи 2, 4, 5. Изначально менее приоритетные патчи 2, 4, 5, имеющие меньший размер, по сравнению с патчами 1 и 3, например, 5 мегабайт, в указанном случае станут более приоритетными, по данному критерию присваивается, например, оценка 2. В другом примере существует необходимость загрузить и установить 5 патчей на большое количество компьютеров, предположим, на 1000 компьютеров, где патчи под номерами 1 и 3 приоритетны по критичности исправляемых проблем и размер каждого составляет 500 мегабайт, при этом компьютеры пользователей находятся в удаленной подсети, одновременная загрузка на них большого по размеру патча снизит пропускную способность канала передачи данных от сервера к компьютерам. По данному критерию присваивается, например, оценка 1.5. Evaluation of the data transmission channel to the computer. The specified score is determined for the computer 105 by the analyzer 140. This score is determined based on the bandwidth of the data transmission channel from the server 120 to the computer 105. For example, it is required to install 5 patches on the computer, of which patches numbered 1 and 3 have priority in terms of the criticality of the problems being corrected, and the size of each is 500 megabytes, however, a computer with a network connection duration of less than 15 minutes may simply not have time to download and install patches 1 and 3, and the remaining patches 2, 4, 5 will not download. Initially, lower priority patches 2, 4, 5, having a smaller size compared to patches 1 and 3, for example, 5 megabytes, in this case will become more priority, according to this criterion, for example, a score of 2 is assigned. In another example, there is a need to download and install 5 patches on a large number of computers, suppose , for 1000 computers, where patches numbered 1 and 3 are prioritized in terms of the criticality of the problems being corrected and the size of each is 500 megabytes, while the user’s computers are located on a remote subnet, simultaneous downloading of a large patch to them will reduce the bandwidth of the data transmission channel from the server to computers. For this criterion, for example, a score of 1 is assigned.
6. Оценка рисков компрометации по вирусным инцидентам. Данная оценка вычисляется для компьютера 105 анализатором 140. Под рисками компрометации по вирусным инцидентам понимаются случаи, когда на компьютере пользователя фиксировались атаки с использованием эксплойтов или иного вредоносного ПО. Оценка определяется по меньшей мере по нескольким критериям:6. Assessing the risks of compromise based on virus incidents. This assessment is calculated for computer 105 by analyzer 140. Risks of compromise from virus incidents are understood as cases where attacks using exploits or other malware were recorded on the user’s computer. The assessment is determined by at least several criteria:
• На компьютере пользователя никогда не было вирусных инцидентов и эксплоитов, по данному критерию присваивается оценка, например, 1.• There have never been any virus incidents or exploits on the user’s computer; this criterion is assigned a score, for example, 1.
• На компьютере пользователя были вирусные инциденты, но не связанные с эксплойтом, по данному критерию присваивается, к примеру, оценка 2.• There were virus incidents on the user’s computer, but not related to an exploit; according to this criterion, for example, a score of 2 is assigned.
• На компьютере пользователя фиксировались сетевые атаки или атаки с использованием эксплойтов, по данному критерию присваивается, например, оценка 3.• Network attacks or attacks using exploits were recorded on the user’s computer; for example, a score of 3 is assigned according to this criterion.
• На компьютере пользователя фиксировались атаки с использованием эксплойтов в отношении конкретного уязвимого ПО, на которое планируется установить патч, по данному критерию присваивается, например, оценка 4.• Attacks using exploits against specific vulnerable software on which it is planned to install a patch were recorded on the user’s computer; for example, a score of 4 is assigned according to this criterion.
• На компьютере пользователя фиксировались атаки с использованием эксплойтов к уязвимостям, выявленным в конкретном уязвимом ПО, по данному критерию присваивается, например, оценка 5.• Attacks were recorded on the user’s computer using exploits for vulnerabilities identified in specific vulnerable software; for example, a score of 5 is assigned according to this criterion.
7. Оценка доступности компьютера. Данная оценка вычисляется для компьютера 105 анализатором 140. Под доступностью компьютера понимается период времени, в течение которого компьютер включен. Оценка определяется по меньшей мере по нескольким критериям:7. Assessing computer accessibility. This estimate is calculated for computer 105 by analyzer 140. Computer availability refers to the period of time during which the computer is turned on. The assessment is determined by at least several criteria:
• Компьютер пользователя включен круглосуточно (компьютер доступен для установки патчей), по данному критерию присваивается, например, оценка 1,• The user’s computer is turned on 24 hours a day (the computer is available for installing patches), according to this criterion, for example, a score of 1 is assigned,
• Компьютер пользователя запускается и работает по определенному расписанию, например, с 8 часов утра до 18 часов вечера с понедельника по пятницу (компьютер доступен в определенное время), по данному критерию присваивается, например, оценка 2,• The user’s computer starts and works according to a certain schedule, for example, from 8 am to 6 pm from Monday to Friday (the computer is available at a certain time), for example, a score of 2 is assigned according to this criterion,
• Компьютер пользователя запускается и работает кратковременно, например, каждую пятницу в определенный промежуток времени или же компьютер пользователя доступен не каждый день, но в течение 20 минут (компьютер доступен не всегда), по данному критерию присваивается, например, оценка 3,• The user’s computer starts and works for a short time, for example, every Friday at a certain period of time, or the user’s computer is not available every day, but for 20 minutes (the computer is not always available), for example, a score of 3 is assigned according to this criterion,
• Компьютер пользователя перезагружается с определенной периодичностью, например один раз в день, неделю или месяц, при этом в зависимости от определенного периода критерию присваивается определенная оценка. В случае, если компьютер пользователя перезагружается один раз в день, присваивается, например, оценка 1.• The user's computer is rebooted at certain intervals, such as once a day, a week, or a month, and a certain score is assigned to the criterion depending on the specified period. If the user's computer restarts once a day, for example, a score of 1 is assigned.
8. Оценка по наличию доступа к сети Интернет. Указанная оценка определяется для каждого компьютера 105 анализатором 140. Под данной оценкой понимается методы и средства, посредством которых пользователи подключаются к сети Интернет. Оценка определяется по меньшей мере по нескольким критериям: 8. Assessment based on availability of access to the Internet. This score is determined for each computer 105 by the analyzer 140. This score refers to the methods and means by which users connect to the Internet. The assessment is determined by at least several criteria:
• Подключение компьютера пользователя к сети Интернет отсутствует, по данному критерию присваивается, например, оценка 1.• The user’s computer is not connected to the Internet; this criterion is assigned, for example, a score of 1.
• Подключение компьютера пользователя к сети Интернет, по данному критерию присваивается, например, оценка 2.• Connecting the user’s computer to the Internet; according to this criterion, for example, a score of 2 is assigned.
• Подключение компьютера пользователя к сетям, которые имеют доступ к сети Интернет, например подключение к сети 3G, Wifi, по данному критерию присваивается, например, оценка 3.• Connecting the user’s computer to networks that have access to the Internet, for example, connecting to a 3G network, Wifi, according to this criterion, for example, a score of 3 is assigned.
• Подключение к компьютеру пользователя осуществляется из сети Интернет, например, возможность пользователя подключаться к компьютеру удаленно, по данному критерию присваивается, например, оценка 4. • The connection to the user’s computer is carried out from the Internet, for example, the user’s ability to connect to the computer remotely, according to this criterion, for example, a score of 4 is assigned.
9. Оценка уровня безопасности антивирусной защиты. Указанная оценка вычисляется для каждого компьютера 105 анализатором 140. Под данной оценкой понимается оценка состояния антивирусной защиты, характеризующего степень защищенности компьютера. Оценка определяется по меньшей мере по следующим критериям:9. Assessment of the security level of anti-virus protection. The specified assessment is calculated for each computer 105 by the analyzer 140. This assessment is understood as an assessment of the state of anti-virus protection, which characterizes the degree of security of the computer. The score is determined by at least the following criteria:
• На компьютере пользователя включен и настроен контроль приложений (англ. Application Control), по данному критерию присваивается, например, оценка 1.• Application Control is enabled and configured on the user’s computer; for example, a score of 1 is assigned to this criterion.
• На компьютере пользователя включен и настроен брандмауэр (англ. firewall), по данному критерию присваивается, например, оценка 1.• A firewall is enabled and configured on the user’s computer; for example, a score of 1 is assigned to this criterion.
• На компьютере пользователя базы данных антивирусной защиты обновляются ежедневно, по данному критерию присваивается, например, оценка 1.• On the user’s computer, the anti-virus protection databases are updated daily, and according to this criterion, for example, a score of 1 is assigned.
• На компьютере пользователя произошло отключение антивирусной защиты, по данному критерию присваивается, например, оценка 3.• Anti-virus protection has been disabled on the user’s computer; this criterion is assigned, for example, a score of 3.
Анализатор 140 передает в модуль управления патчами 180 итоговые оценки по меньшей мере для двух патчей. В свою очередь, модуль управления патчами 180 определяет приоритет установки для каждого патча на основании полученных итоговых оценок. Analyzer 140 provides final scores for at least two patches to patch management module 180. In turn, the patch management module 180 determines the installation priority for each patch based on the resulting final scores.
В частном варианте реализации модуль управления патчами 180 определяет очередность установки патчей согласно следующему принципу: высший приоритет имеют патчи, у которых итоговая оценка равна или превышает установленное верхнее пороговое значение, например, равна 25 или более баллам; средний приоритет имеют патчи, у которых итоговая оценка находится в интервале между установленным верхним и нижним пороговым значением, например, равна от 15 до 24 баллов; низкий приоритет имеют патчи, у которых итоговая оценка не превышает установленного нижнего порогового значения, например, равна 14 баллам и ниже. Приведенный пример итоговых оценок не является ограничением всей совокупности реализации, а лишь представлен как один из вариантов реализации.In a particular embodiment, the patch management module 180 determines the order of installation of patches according to the following principle: the highest priority is given to patches whose final score is equal to or greater than a specified upper threshold value, for example, equal to 25 points or more; Medium priority is given to patches whose final score is in the range between the established upper and lower threshold values, for example, from 15 to 24 points; Low priority is given to patches whose final score does not exceed the established lower threshold, for example, 14 points or lower. The given example of final assessments is not a limitation of the entire implementation, but is only presented as one of the implementation options.
Вычисление итоговых оценок для каждого патча, основанные на двух и более оценках, выглядит следующим образом на примере таблицы 2.The calculation of the final scores for each patch, based on two or more scores, is as follows, using the example of Table 2.
Таблица 2. Вычисление итоговых оценок для каждого патча.Table 2. Calculation of final scores for each patch.
В приведенной таблице 2 компьютеры распределены следующим образом: компьютер 1 с ролью учетной записи пользователя «директор»; компьютер 2 с ролью учетной записи пользователя «бухгалтер»; компьютер 3 с ролью учетной записи пользователя «инженер»; компьютер 4 с ролью учетной записи пользователя «стажер»; компьютер 5 с ролью учетной записи пользователя «кладовщик».In Table 2, computers are distributed as follows: computer 1 with the user account role “director”; computer 2 with the user account role “accountant”; computer 3 with the user account role “engineer”; computer 4 with the user account role “trainee”; computer 5 with the user account role “storekeeper”.
Самую высокую итоговую оценку приоритета установки патча получил компьютер 1 с ролью пользователя учетной записи «директор», а самую низкую итоговую оценку приоритета установки патча получил компьютер 5 с ролью пользователя учетной записи «кладовщик». Соответственно, компьютер 1 с ролью пользователя «директор» и компьютер 2 с ролью пользователя «бухгалтер» получат первоочередную установку патчей, т.к. патчи для этих компьютеров набрали итоговую оценку 25 баллов и выше; патчи для компьютера 3 и компьютера 4 получили приоритет средней срочности установки, установка патчей начнется после установки патчей на компьютеры 1 и 2. Патч для компьютера 5 с итоговой оценкой в 12 баллов получил низкий приоритет установки, установка патчей на компьютер 5 начнется после установки патчей на компьютеры 3 и 4.The highest final priority score for installing the patch was received by computer 1 with the user role of the “director” account, and the lowest final score of the priority of installing the patch was received by computer 5 with the user role of the “storekeeper” account. Accordingly, computer 1 with the user role “director” and computer 2 with the user role “accountant” will receive priority installation of patches, because patches for these computers scored a final score of 25 points or higher; patches for computer 3 and computer 4 received a medium priority installation priority, installation of patches will begin after installing patches on computers 1 and 2. A patch for computer 5 with a final score of 12 points received low installation priority, installation of patches on computer 5 will begin after installing patches on computers 3 and 4.
После определения приоритета установки по меньшей мере для двух патчей модуль управления патчами 180 производит установку патчей на соответствующие компьютеры 105 в сети 110 согласно определенному приоритету установки патчей.After determining the installation priority for at least two patches, the patch management module 180 installs the patches on the corresponding computers 105 on the network 110 according to the determined patch installation priority.
В другом варианте реализации системы 100 дополнительно получают обратную связь после установки патчей. Сервер 120 получает обратную связь от каждого компьютера 105 через сеть 110 после установки патчей с информацией об успешности или сбое установки патчей, при этом указанная информация поступает в модуль сбора данных 130. Далее модуль сбора данных 130 передает полученную информацию в анализатор 140. В случае сбоя установки патчей анализатор 140 проводит анализ причин сбоя установки патчей на основе данных обратной связи и формирует отчет о сбое с пересчитанными итоговыми оценками. Причинами сбоя установки является, например, ситуация, в которой компьютер 105 выключился в момент установки патча, или ситуация, когда аппаратные ресурсы компьютера во время установки патчей были перегружены, что привело к непредвиденной перезагрузке компьютера, или ситуация, связанная с возможным вирусным инцидентом. In another embodiment, systems 100 additionally receive feedback after patches are installed. The server 120 receives feedback from each computer 105 through the network 110 after installing patches with information about the success or failure of patch installation, and this information is sent to the data collection module 130. Next, the data collection module 130 transmits the received information to the analyzer 140. In case of failure patch installation analyzer 140 analyzes the causes of patch installation failure based on feedback data and generates a failure report with recalculated final scores. Reasons for installation failure include, for example, a situation in which the computer 105 shut down while the patch was being installed, or a situation in which the computer's hardware resources were overloaded during the installation of the patches, resulting in an unexpected reboot of the computer, or a situation involving a possible virus incident.
Данные обратной связи, поступающие на сервер 120 от компьютеров 105 через сеть 110 в модуль сбора данных 130, содержат по меньшей мере следующую информацию:The feedback data received by the server 120 from the computers 105 via the network 110 to the data acquisition module 130 contains at least the following information:
• версия операционной системы,• operating system version,
• разрядность операционной системы,• bit depth of the operating system,
• объем памяти,• Memory,
• запущенные процессы на компьютере в момент установки патчей,• running processes on the computer at the time of patch installation,
• установленное ПО,• installed software,
• сведения о последней перезагрузке,• information about the last reboot,
• активность пользователя, • user activity,
• наличие доступа к сети Интернет, • availability of access to the Internet,
• наличие прав администратора, • having administrator rights,
• данные инсталлятора патчей.• patch installer data.
Пересчет итоговых оценок по двум и более оценкам анализатором 140 для патчей, которые не были установлены, выглядит следующим образом: например, на компьютерах 3 и 5 из таблицы 2 произошел сбой установки патчей, вызванный вирусным инцидентом. Сформированный отчет о сбое указывает, что произошло отключение антивирусной защиты, на указанных компьютерах зафиксированы атаки с использованием эксплойтов к уязвимостям, выявленным в конкретном уязвимом ПО, а также зафиксировано поведение пользователей этих компьютеров, такое как посещение веб-страниц банков, платежных систем. В данном случае изменятся критерии таких оценок как: оценка наличия ПО специального назначения на компьютере; оценка рисков компрометации по вирусным инцидентам; оценка уровня безопасности антивирусной защиты. Следовательно, пересчитанная итоговая оценка по двум и более оценкам с учетом изменившихся критериев для патча на компьютер 3 стала 26 баллов, а для патча на компьютер 5 стала 19 баллов. Пример с пересчитанными итоговыми оценками представлен в таблице 3.The recalculation of the final scores for two or more scores by the analyzer 140 for patches that were not installed is as follows: for example, on computers 3 and 5 from Table 2, patch installation failed due to a virus incident. The generated failure report indicates that anti-virus protection was disabled, attacks using exploits for vulnerabilities identified in specific vulnerable software were recorded on the specified computers, and the behavior of users of these computers was recorded, such as visiting the web pages of banks and payment systems. In this case, the criteria for such assessments will change: assessment of the presence of special-purpose software on the computer; assessing the risks of compromise based on virus incidents; assessment of the security level of anti-virus protection. Consequently, the recalculated final score for two or more assessments, taking into account the changed criteria for the patch on computer 3, became 26 points, and for the patch on computer 5 became 19 points. An example with recalculated final grades is presented in Table 3.
Таблица 3. Пример пересчитанных итоговых оценок. Table 3. Example of recalculated final grades.
В частном варианте реализации анализатор 140 осуществляет пересчет итоговой оценки для компьютера 105 с учетом повышенных коэффициентов для одной или нескольких оценок, где повышение коэффициента зависит от значимости критериев оценки. Например, итоговая оценка рассчитывается исходя из уравнения: Ио = К1 х А + К2 х Б + К3 х В + … + Kn x C, где Ио – итоговая оценка, А, Б, В, C – оценки, К1, K2, K3, Kn – коэффициенты. В настоящем изобретении под значимостью понимается важность критериев оценки, по которым вызван сбой установки патча. Такой критерий, как отключение антивирусной защиты важнее критерия перезагрузки компьютера. Пересчет итоговых оценок повышением баллов критериев оценок по значимости выглядит следующим образом: например, из таблицы 2 на компьютере 3 произошел сбой установки патчей, вызванный вирусным инцидентом. Сформированный отчет о сбое указывает, что произошло отключение антивирусной защиты, на указанном компьютере зафиксировались сетевые атаки или атаки с использованием эксплойтов, а также зафиксировано поведение пользователя этого компьютера, такое как посещение веб-страниц банков, платежных систем. Изменились критерии таких оценок как, оценка рисков компрометации по вирусным инцидентам, оценка уровня безопасности антивирусной защиты, оценка наличия ПО специального назначения, установленного на компьютере. На основе отчета о сбое изменившиеся критерии оценок дополнительно повышаются на 5 баллов к тем оценкам, которые уже были выставлены до сбоя установки. С учетом дополнительного повышения оценки, пересчитанная итоговая оценка по изменившимся критериям повысилась на 15 баллов и стала 38 баллов для компьютера 3. В другом примере, из таблицы 2 на компьютере 3, если в отчете о сбое указано, что произошла непредвиденная перезагрузка компьютера, то значимость этого оценочного критерия дополнительно повышает итоговую оценку на 2 балла и пересчитанная итоговая оценка для компьютера 3 становится 22 балла.In a particular embodiment, analyzer 140 recalculates the final score for computer 105, taking into account increased coefficients for one or more ratings, where the increased coefficient depends on the significance of the evaluation criteria. For example, the final grade is calculated based on the equation: Io = K1 x A + K2 x B + K3 x B + ... + Kn x C, where Io is the final grade, A, B, C, C are grades, K1, K2, K3 , Kn – coefficients. In the present invention, significance refers to the importance of the evaluation criteria by which the patch installation fails. Such a criterion as disabling anti-virus protection is more important than the criterion of restarting the computer. The recalculation of the final grades by increasing the scores of the evaluation criteria by significance is as follows: for example, from Table 2, on computer 3, the installation of patches failed due to a virus incident. The generated crash report indicates that anti-virus protection was disabled, network attacks or attacks using exploits were recorded on the specified computer, and the behavior of the user of this computer was recorded, such as visiting the web pages of banks and payment systems. The criteria for assessments such as assessing the risk of compromise from virus incidents, assessing the security level of anti-virus protection, and assessing the presence of special-purpose software installed on the computer have changed. Based on the failure report, the changed rating criteria are increased by an additional 5 points to the ratings already assigned before the installation failure. Taking into account the additional increase in the score, the recalculated final score for the changed criteria increased by 15 points to 38 points for computer 3. In another example, from table 2 on computer 3, if the crash report indicates that an unexpected reboot of the computer occurred, then the significance This evaluation criterion additionally increases the final score by 2 points and the recalculated final score for computer 3 becomes 22 points.
В другом варианте реализации модуль управления патчами 180 изменяет приоритет для патчей, которые не были установлены, на основе отчета о сбое с пересчитанными итоговыми оценками. На примере таблицы 3, модуль управления патчами 180 изменяет приоритет патчей с пересчитанными итоговыми оценками для компьютера 3 на высший приоритет, а приоритет патча для компьютера 5 изменяет с низкого приоритета на средний приоритет. In another implementation, the patch management module 180 changes the priority for patches that were not installed based on a crash report with recalculated final scores. Using the example of Table 3, the patch control module 180 changes the priority of the recalculated final score patches for computer 3 to high priority, and the priority of the patch for computer 5 changes from low priority to medium priority.
В другом варианте реализации модуль управления патчами 180 устанавливает патчи на компьютеры 105 в зависимости от измененного приоритета.In another embodiment, the patch management module 180 installs patches on the computers 105 based on the changed priority.
На Фиг. 3 представлен пример способа приоритизации установки патчей на компьютеры в сети 300 (далее – способ 300). In FIG. 3 presents an example of a method for prioritizing the installation of patches on computers in network 300 (hereinafter referred to as method 300).
На шаге 310 получают данные о компьютерах в сети 105 модулем сбора данных 130, при этом данные включают информацию о ПО, используемом на компьютере. Примером информации о ПО является информация о версии и дате установки ПО, времени использования ПО. Дополнительно получаемыми данными являются по меньшей мере информация для вычисления оценок: а) роль учетной записи пользователя, б) частота использования ПО пользователем, в) пропускная способность канала передачи данных, г) информация о наличии обновлений для ПО, д) наличие установленного на компьютере ПО специального назначения, е) наличие на компьютере мессенджеров, ж) использование аппаратных ресурсов компьютера.At step 310, data about computers on the network 105 is obtained by data acquisition module 130, the data including information about the software used on the computer. An example of information about the software is information about the version and date of installation of the software, and the time of use of the software. Additionally, the data obtained is at least information for calculating estimates: a) the role of the user account, b) the frequency of use of the software by the user, c) the bandwidth of the data transmission channel, d) information about the availability of updates for the software, e) the presence of software installed on the computer special purpose, f) the presence of instant messengers on the computer, g) the use of computer hardware resources.
На шаге 320 определяют наличие уязвимостей в ПО анализатором 140 по крайней мере на одном компьютере в сети на основании полученных данных от модуля сбора данных 130. Наличие уязвимостей определяют с помощью базы данных уязвимостей 150, при этом в упомянутой базе содержится информация только об уязвимостях, относящаяся к ПО, которое установлено на компьютерах. Перечень уязвимостей дополняют в случае появления нового ПО на компьютерах.At step 320, the presence of vulnerabilities in the software is determined by the analyzer 140 on at least one computer on the network based on the data received from the data collection module 130. The presence of vulnerabilities is determined using the vulnerability database 150, and the said database contains only information about vulnerabilities related to to software installed on computers. The list of vulnerabilities is expanded when new software appears on computers.
На шаге 330 выявляют для каждой определенной уязвимости по меньшей мере один патч анализатором 140. Выявляют патчи с помощью базы данных патчей 160, при этом упомянутая база содержит перечень патчей, относящийся к ПО на компьютерах. База данных патчей 160 дополняется в случае появления нового ПО на компьютерах.At step 330, at least one patch is identified for each identified vulnerability by analyzer 140. Patches are identified using a patch database 160, said database containing a list of patches related to software on computers. The 160 patch database is updated as new software appears on computers.
На шаге 340 вычисляют для каждого патча итоговую оценку анализатором 140, основанную на двух и более из следующих оценок: At step 340, for each patch, a final score is calculated by analyzer 140 based on two or more of the following scores:
• оценка важности учетной записи, • assessment of the importance of the account,
• оценка частоты использования ПО, для которого было определено наличие уязвимости, • assessment of the frequency of use of software for which the presence of a vulnerability has been determined,
• оценка использования аппаратных ресурсов компьютера, оценка наличия ПО специального назначения, установленного на компьютере, • assessment of the use of computer hardware resources, assessment of the availability of special-purpose software installed on the computer,
• оценка канала передачи данных на компьютер, • assessment of the data transmission channel to the computer,
• оценка рисков компрометации по вирусным инцидентам,• assessing the risks of compromise based on virus incidents,
• оценка доступности компьютера,• computer accessibility assessment,
• оценка по наличию доступа к сети Интернет,• assessment based on the availability of access to the Internet,
• оценка уровня безопасности антивирусной защиты.• assessment of the security level of anti-virus protection.
Подробное описание вычисления итоговых оценок для каждого патча рассмотрено при описании Фиг. 1.A detailed description of the calculation of the final scores for each patch is discussed in the description of FIG. 1.
На шаге 350 определяют приоритет установки по меньшей мере для двух патчей модулем управления патчами 180 на основании вычисленной итоговой оценки для каждого указанного патча. At step 350, the installation priority of at least two patches is determined by the patch management module 180 based on the calculated final score for each specified patch.
На шаге 360 устанавливают патчи на компьютеры модулем управления патчами 180 в зависимости от определенного приоритета установки. At step 360, patches are installed on computers by patch management module 180 depending on the determined installation priority.
На Фиг. 4 показан вариант реализации способа 400 приоритизации установки патчей на компьютеры в сети, который осуществляется совместно со способом 300 и начинается после шага 360. In FIG. 4 shows an implementation of a method 400 for prioritizing the installation of patches on computers on a network, which is implemented in conjunction with method 300 and begins after step 360.
На шаге 410 получают обратную связь после установки патчей модулем сбора данных 130. Обратная связь содержит по меньшей мере информацию об успешной установки патча либо о сбое при установке патча. At step 410, feedback is received after the patches have been installed by data acquisition module 130. The feedback includes at least information about whether the patch was installed successfully or whether the patch installation failed.
В частном варианте реализации способа 400 обратная связь дополнительно содержит по меньшей мере следующую информацию: 1) версия операционной системы, 2) разрядность операционной системы, 3) объем памяти, 4) запущенные процессы на компьютере в момент установки патчей, 5) установленное ПО, 6) сведения о последней перезагрузке, 7) активность пользователя, 8) наличие доступа к сети Интернет, 9) наличие прав администратора, 10) данные инсталлятора патчей.In a particular embodiment of method 400, the feedback additionally contains at least the following information: 1) version of the operating system, 2) bitness of the operating system, 3) amount of memory, 4) running processes on the computer at the time of patch installation, 5) installed software, 6 ) information about the last reboot, 7) user activity, 8) availability of Internet access, 9) availability of administrator rights, 10) patch installer data.
На шаге 420 проводят анализ причин сбоя установки патчей на основе данных обратной связи и формируют отчет о сбое с пересчитанными итоговыми оценками анализатором 140. At step 420, the causes of patch installation failure are analyzed based on the feedback data and a failure report is generated with recalculated final scores by analyzer 140.
На шаге 430 изменяют приоритет для патчей, которые не были установлены, на основе отчета о сбое с пересчитанными итоговыми оценками модулем управления патчами 180.At step 430, the priority for patches that were not installed is changed based on the crash report with the recalculated final scores by the patch management module 180.
На шаге 440 устанавливают патчи на компьютеры в зависимости от измененного приоритета модулем управления патчами 180.At step 440, patches are installed on the computers depending on the changed priority by the patch management module 180.
На Фиг. 5 представлена компьютерная система, на которой могут быть реализованы различные варианты систем и способов, раскрытых в настоящем документе. Компьютерная система 20 может представлять собой систему, сконфигурированную для реализации настоящего изобретения и может быть в виде одного вычислительного устройства или в виде нескольких вычислительных устройств, например, настольного компьютера, портативного компьютера, ноутбука, мобильного вычислительного устройства, смартфона, планшетного компьютера, сервера, мейнфрейма, встраиваемого устройства и других форм вычислительных устройств.In FIG. 5 illustrates a computer system on which various embodiments of the systems and methods disclosed herein can be implemented. Computer system 20 may be a system configured to implement the present invention and may be in the form of a single computing device or multiple computing devices, such as a desktop computer, a laptop computer, a notebook computer, a mobile computing device, a smartphone, a tablet computer, a server, a mainframe computer. , embedded device, and other forms of computing devices.
Как показано на Фиг. 5, компьютерная система 20 включает в себя: центральный процессор 21, системную память 22 и системную шину 23, которая связывает разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, способную взаимодействовать с любой другой шинной архитектурой. Примерами шин являются: PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, I2C и другие подходящие соединения между компонентами компьютерной системы 20. Центральный процессор 21 содержит один или несколько процессоров, имеющих одно или несколько ядер. Центральный процессор 21 исполняет один или несколько наборов машиночитаемых инструкций, реализующих способы, представленные в настоящем документе. Системная память 22 может быть любой памятью для хранения данных и/или компьютерных программ, исполняемых центральным процессором 21. Системная память может содержать как постоянное запоминающее устройство (ПЗУ) 24, так и память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами компьютерной системы 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.As shown in FIG. 5, the computer system 20 includes: a central processing unit 21, a system memory 22, and a system bus 23 that communicates various system components, including memory, coupled to the central processing unit 21. The system bus 23 is implemented as any bus known in the art. a structure that in turn contains a bus memory or bus memory controller, a peripheral bus, and a local bus capable of interfacing with any other bus architecture. Examples of buses include: PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, I2C, and other suitable connections between components of the computer system 20. The central processing unit 21 includes one or more processors having one or more cores. The central processing unit 21 executes one or more sets of computer-readable instructions implementing the methods presented herein. System memory 22 may be any memory for storing data and/or computer programs executed by the central processing unit 21. System memory may include both read-only memory (ROM) 24 and random access memory (RAM) 25. Main input/output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between elements of the computer system 20, for example, when the operating system is loaded using ROM 24.
Компьютерная система 20 включает в себя одно или несколько устройств хранения данных, таких как одно или несколько извлекаемых запоминающих устройств 27, одно или несколько неизвлекаемых запоминающих устройств 28, или комбинации извлекаемых и неизвлекаемых устройств. Одно или несколько извлекаемых запоминающих устройств 27 и/или неизвлекаемых запоминающих устройств 28 подключены к системной шине 23 через интерфейс 32. В одном из вариантов реализации извлекаемые запоминающие устройства 27 и соответствующие машиночитаемые носители информации представляют собой энергонезависимые модули для хранения компьютерных инструкций, структур данных, программных модулей и других данных компьютерной системы 20. Системная память 22, извлекаемые запоминающие устройства 27 и неизвлекаемые запоминающие устройства 28 могут использовать различные машиночитаемые носители информации. Примеры машиночитаемых носителей информации включают в себя машинную память, такую как кэш-память, SRAM, DRAM, ОЗУ не требующую конденсатора (Z-RAM), тиристорную память (T-RAM), eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; флэш-память или другие технологии памяти, такие как твердотельные накопители (SSD) или флэш-накопители; магнитные кассеты, магнитные ленты и магнитные диски, такие как жесткие диски или дискеты; оптические носители, такие как компакт-диски (CD-ROM) или цифровые универсальные диски (DVD); и любые другие носители, которые могут быть использованы для хранения нужных данных и к которым может получить доступ компьютерная система 20.Computer system 20 includes one or more data storage devices, such as one or more removable storage devices 27, one or more non-removable storage devices 28, or combinations of removable and non-removable devices. One or more removable storage devices 27 and/or non-removable storage devices 28 are connected to the system bus 23 through an interface 32. In one embodiment, removable storage devices 27 and associated computer-readable storage media are non-volatile modules for storing computer instructions, data structures, program modules and other data of the computer system 20. System memory 22, removable storage devices 27, and non-removable storage devices 28 may use various computer-readable storage media. Examples of computer-readable storage media include computer memory such as cache memory, SRAM, DRAM, capacitorless RAM (Z-RAM), thyristor memory (T-RAM), eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; flash memory or other memory technologies such as solid-state drives (SSDs) or flash drives; magnetic cassettes, magnetic tapes and magnetic disks such as hard disks or floppy disks; optical media such as compact discs (CD-ROMs) or digital versatile discs (DVDs); and any other media that can be used to store the desired data and that can be accessed by the computer system 20.
Системная память 22, извлекаемые запоминающие устройства 27 и неизвлекаемые запоминающие устройства 28, содержащиеся в компьютерной системе 20 используются для хранения операционной системы 35, приложений 37, других программных модулей 38 и программных данных 39. Компьютерная система 20 включает в себя периферийный интерфейс 46 для передачи данных от устройств ввода 40, таких как клавиатура, мышь, стилус, игровой контроллер, устройство голосового ввода, устройство сенсорного ввода, или других периферийных устройств, таких как принтер или сканер через один или несколько портов ввода/вывода, таких как последовательный порт, параллельный порт, универсальная последовательная шина (USB) или другой периферийный интерфейс. Устройство отображения 47, такое как один или несколько мониторов, проекторов или встроенных дисплеев, также подключено к системной шине 23 через выходной интерфейс 48, такой как видеоадаптер. Помимо устройств отображения 47, компьютерная система 20 оснащена другими периферийными устройствами вывода (на Фиг. 5 не показаны), такими как динамики и другие аудиовизуальные устройства.System memory 22, removable storage devices 27, and non-removable storage devices 28 contained in the computer system 20 are used to store the operating system 35, applications 37, other program modules 38, and program data 39. The computer system 20 includes a peripheral interface 46 for data transfer. from input devices 40 such as a keyboard, mouse, stylus, game controller, voice input device, touch input device, or other peripheral devices such as a printer or scanner through one or more input/output ports such as a serial port, a parallel port , Universal Serial Bus (USB), or other peripheral interface. A display device 47, such as one or more monitors, projectors, or embedded displays, is also connected to the system bus 23 through an output interface 48, such as a video adapter. In addition to the display devices 47, the computer system 20 is equipped with other peripheral output devices (not shown in FIG. 5), such as speakers and other audiovisual devices.
Компьютерная система 20 может работать в сетевом окружении, используя сетевое соединение с одним или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 является рабочим персональным компьютером или сервером, который содержит большинство или все упомянутые компоненты, отмеченные ранее при описании сущности компьютерной системы 20, представленной на Фиг. 5. В сетевом окружении также могут присутствовать и другие устройства, например, маршрутизаторы, сетевые станции или другие сетевые узлы. Компьютерная система 20 может включать один или несколько сетевых интерфейсов 51 или сетевых адаптеров для связи с удаленными компьютерами 49 через одну или несколько сетей, таких как локальная компьютерная сеть (LAN) 50, глобальная компьютерная сеть (WAN), интранет и Интернет. Примерами сетевого интерфейса 51 являются интерфейс Ethernet, интерфейс Frame Relay, интерфейс SONET и беспроводные интерфейсы.The computer system 20 may operate in a networked environment using a network connection to one or more remote computers 49. The remote computer(s) 49 is a working personal computer or server that contains most or all of the components noted previously in describing the nature of the computer system 20 , presented in Fig. 5. There may also be other devices in the network environment, such as routers, network stations or other network nodes. The computer system 20 may include one or more network interfaces 51 or network adapters for communicating with remote computers 49 over one or more networks, such as a local area network (LAN) 50, a wide area network (WAN), an intranet, and the Internet. Examples of network interface 51 are an Ethernet interface, a Frame Relay interface, a SONET interface, and wireless interfaces.
Варианты раскрытия настоящего изобретения могут представлять собой систему, способ, или машиночитаемый носитель (или носитель) информации.Embodiments of the present invention may be a system, a method, or a computer-readable medium (or storage medium).
Машиночитаемый носитель информации является осязаемым устройством, которое сохраняет и хранит программный код в форме машиночитаемых инструкций или структур данных, к которым имеет доступ центральный процессор 21 компьютерной системы 20. Машиночитаемый носитель может быть электронным, магнитным, оптическим, электромагнитным, полупроводниковым запоминающим устройством или любой подходящей их комбинацией. В качестве примера, такой машиночитаемый носитель информации может включать в себя память с произвольным доступом (RAM), память только для чтения (ROM), EEPROM, портативный компакт-диск с памятью только для чтения (CD-ROM), цифровой универсальный диск (DVD), флэш-память, жесткий диск, портативную компьютерную дискету, карту памяти, дискету или даже механически закодированное устройство, такое как перфокарты или рельефные структуры с записанными на них инструкциями. A computer-readable storage medium is a tangible device that stores and stores program code in the form of machine-readable instructions or data structures that can be accessed by the central processing unit 21 of a computer system 20. The computer-readable storage medium may be an electronic, magnetic, optical, electromagnetic, semiconductor storage device, or any suitable their combination. By way of example, such a computer-readable storage medium may include random access memory (RAM), read-only memory (ROM), EEPROM, compact disc read-only memory (CD-ROM), digital versatile disk (DVD) ), flash memory, hard drive, portable computer floppy disk, memory card, floppy disk, or even a mechanically encoded device such as punch cards or embossed structures with instructions written on them.
Система и способ, настоящего изобретения, могут быть рассмотрены в терминах средств. Термин «средство», используемый в настоящем документе, относится к реальному устройству, компоненту или группе компонентов, реализованных с помощью аппаратного обеспечения, например, с помощью интегральной схемы, специфичной для конкретного приложения (ASIC) или FPGA, или в виде комбинации аппаратного и программного обеспечения, например, с помощью микропроцессорной системы и набора машиночитаемых инструкций для реализации функциональности средства, которые (в процессе выполнения) превращают микропроцессорную систему в устройство специального назначения. Средство также может быть реализовано в виде комбинации этих двух компонентов, при этом некоторые функции могут быть реализованы только аппаратным обеспечением, а другие функции - комбинацией аппаратного и программного обеспечения. В некоторых вариантах реализации, по крайней мере, часть, а в некоторых случаях и все средство может быть выполнено на центральном процессоре 21 компьютерной системы 20. Соответственно, каждое средство может быть реализовано в различных подходящих конфигурациях и не должно ограничиваться каким-либо конкретным вариантом реализации, приведенным в настоящем документе.The system and method of the present invention can be thought of in terms of means. The term "device" as used herein refers to an actual device, component, or group of components implemented in hardware, such as an application-specific integrated circuit (ASIC) or FPGA, or a combination of hardware and software. providing, for example, using a microprocessor system and a set of machine-readable instructions to implement the functionality of a tool that (in the process of execution) turns the microprocessor system into a special-purpose device. The tool may also be implemented as a combination of these two components, with some functions being implemented by hardware alone and other functions being implemented by a combination of hardware and software. In some embodiments, at least a portion, and in some cases all, of the means may be executed on the central processing unit 21 of the computer system 20. Accordingly, each means may be implemented in various suitable configurations and should not be limited to any particular implementation. given in this document.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что при разработке любого реального варианта осуществления настоящего изобретения необходимо принять множество решений, специфических для конкретного варианта осуществления, для достижения конкретных целей, и эти конкретные цели будут разными для разных вариантов осуществления. Понятно, что такие усилия по разработке могут быть сложными и трудоемкими, но, тем не менее, они будут обычной инженерной задачей для тех, кто обладает обычными навыками в данной области, пользуясь настоящим раскрытием изобретения. In conclusion, it should be noted that the information given in the description are examples that do not limit the scope of the present invention as defined by the formula. One skilled in the art will appreciate that in developing any actual embodiment of the present invention, many decisions specific to the particular implementation must be made to achieve specific objectives, and these specific objectives will differ from one embodiment to another. It is understood that such development efforts can be complex and time consuming, but will nevertheless be a routine engineering task for those of ordinary skill in the art using the present disclosure.
Claims (82)
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2813483C1 true RU2813483C1 (en) | 2024-02-12 |
Family
ID=
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060080656A1 (en) * | 2004-10-12 | 2006-04-13 | Microsoft Corporation | Methods and instructions for patch management |
| US7080371B1 (en) * | 1998-03-03 | 2006-07-18 | Siebel Systems, Inc. | Method, system, apparatus and program product for distribution and instantiation of software upgrades |
| US20090089777A1 (en) * | 2007-09-29 | 2009-04-02 | Bruce Gordon Fuller | Managing software updates in an automation environment |
| US20090183150A1 (en) * | 2008-01-16 | 2009-07-16 | Bea Systems, Inc. | System and method for software product versioning packaging, distribution, and patching |
| US20110246899A1 (en) * | 2010-03-31 | 2011-10-06 | Brocade Communications Systems, Inc. | Simplified distribution of software to networked devices |
| US8296756B1 (en) * | 2009-11-06 | 2012-10-23 | Southern Company Services, Inc. | Patch cycle master records management and server maintenance system |
| RU2712130C1 (en) * | 2016-04-27 | 2020-01-24 | Хуавей Текнолоджиз Ко., Лтд. | Method and device for processing update-based file with patch, a target device and storage medium |
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7080371B1 (en) * | 1998-03-03 | 2006-07-18 | Siebel Systems, Inc. | Method, system, apparatus and program product for distribution and instantiation of software upgrades |
| US20060080656A1 (en) * | 2004-10-12 | 2006-04-13 | Microsoft Corporation | Methods and instructions for patch management |
| US20090089777A1 (en) * | 2007-09-29 | 2009-04-02 | Bruce Gordon Fuller | Managing software updates in an automation environment |
| US20090183150A1 (en) * | 2008-01-16 | 2009-07-16 | Bea Systems, Inc. | System and method for software product versioning packaging, distribution, and patching |
| US8296756B1 (en) * | 2009-11-06 | 2012-10-23 | Southern Company Services, Inc. | Patch cycle master records management and server maintenance system |
| US20110246899A1 (en) * | 2010-03-31 | 2011-10-06 | Brocade Communications Systems, Inc. | Simplified distribution of software to networked devices |
| RU2712130C1 (en) * | 2016-04-27 | 2020-01-24 | Хуавей Текнолоджиз Ко., Лтд. | Method and device for processing update-based file with patch, a target device and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20170206128A1 (en) | Cognitive analysis for healing an it system | |
| US8850587B2 (en) | Network security scanner for enterprise protection | |
| US11797684B2 (en) | Methods and systems for hardware and firmware security monitoring | |
| US8683589B2 (en) | Providing protection against unauthorized network access | |
| US8856774B1 (en) | System and method for processing updates to installed software on a computer system | |
| US20140317681A1 (en) | Cloud forensics | |
| US11023133B2 (en) | Systems and methods for modifying storage system configuration using artificial intelligence | |
| EP2867820B1 (en) | Devices, systems, and methods for monitoring and asserting trust level using persistent trust log | |
| JP2006053788A (en) | Software operation monitoring device and software operation monitoring method | |
| US10242187B1 (en) | Systems and methods for providing integrated security management | |
| US20070300299A1 (en) | Methods and apparatus to audit a computer in a sequestered partition | |
| EP3014515B1 (en) | Systems and methods for directing application updates | |
| US10635488B2 (en) | System, method and computer program for data scraping using script engine | |
| CN109388950B (en) | System and method for ensuring secure changes to system configuration | |
| US20110071811A1 (en) | Using event correlation and simulation in authorization decisions | |
| US9069969B2 (en) | Managing software patch installations | |
| KR101649909B1 (en) | Method and apparatus for virtual machine vulnerability analysis and recovery | |
| US8930970B2 (en) | Method and computer for obtaining using-frequency of application program | |
| US10511974B2 (en) | System and method of identifying potentially dangerous devices during the interaction of a user with banking services | |
| RU2813483C1 (en) | System and method for prioritizing installation of patches on computers in network | |
| EP3964990A1 (en) | Method and system for deciding on the need for an automated response to an incident | |
| US9349012B2 (en) | Distributed processing system, distributed processing method and computer-readable recording medium | |
| US20220398313A1 (en) | Threat aware data protection | |
| WO2023175756A1 (en) | Policy control device, zero trust system, policy control method, and policy control program | |
| JP2010061548A (en) | Computer system, processing method and program |