WO2022031184A1 - Система интеллектуаьного управления рисками и уязвимостями элементов инфраструктуры - Google Patents

Система интеллектуаьного управления рисками и уязвимостями элементов инфраструктуры Download PDF

Info

Publication number
WO2022031184A1
WO2022031184A1 PCT/RU2020/000695 RU2020000695W WO2022031184A1 WO 2022031184 A1 WO2022031184 A1 WO 2022031184A1 RU 2020000695 W RU2020000695 W RU 2020000695W WO 2022031184 A1 WO2022031184 A1 WO 2022031184A1
Authority
WO
WIPO (PCT)
Prior art keywords
vulnerabilities
data
infrastructure
module
information
Prior art date
Application number
PCT/RU2020/000695
Other languages
English (en)
French (fr)
Inventor
Дмитрий Юрьевич РЮПИЧЕВ
Евгений Александрович НОВИКОВ
Максим Михайлович НИЧИПОРЧУК
Рустем Дмитриевич МАХМУТОВ
Грант Сергеевич ЭФЕНДЯН
Original Assignee
Публичное Акционерное Общество "Сбербанк России"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Публичное Акционерное Общество "Сбербанк России" filed Critical Публичное Акционерное Общество "Сбербанк России"
Publication of WO2022031184A1 publication Critical patent/WO2022031184A1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Definitions

  • This technical solution relates to the field of computer technology, in particular to information protection, for which a system for intelligent management of risks and vulnerabilities of infrastructure elements is proposed.
  • the claimed solution is aimed at improving existing developments in the art, providing a new, expanded functionality in terms of integrated infrastructure cybersecurity management, providing timely identification of vulnerabilities, and analysis of all infrastructure elements to ensure network security.
  • the present technical solution is aimed at solving the technical problem of creating a new and effective means of managing infrastructure risks and vulnerabilities.
  • the technical result is to improve the efficiency of infrastructure security management by providing a full cycle of managing vulnerabilities and associated risks, with the possibility of their timely detection and elimination.
  • An additional result is the expansion of the functionality of analyzing the occurrence of risks of cyber threats, by tracking possible paths for the spread of threats between infrastructure elements.
  • a module for collecting data from sources configured to obtain information from data sources containing information about the vulnerabilities of infrastructure elements (EI), including functional and logical EI, while functional EI are infrastructure assets (AI) containing a terminal physical or virtual equipment providing a service and / or service, and network EI, representing devices that provide network interaction between all functional EI;
  • EI infrastructure elements
  • functional EI are infrastructure assets (AI) containing a terminal physical or virtual equipment providing a service and / or service
  • network EI representing devices that provide network interaction between all functional EI
  • logical EI are combinations of functional EI and logical EI, including entities interacting with the network infrastructure and selected from the group: automated systems, functional subsystems, or services;
  • a data management module configured to normalize the data collected by the data collection module, providing the formation of a unified type of data and the formation of an attribute composition depending on the type of EI; formation of an EI profile containing the attribute composition of the EI;
  • EI profile enrichment module configured to supplement the attribute composition of the EI profile with information including: EI; found vulnerabilities on AI; data on the criticality of the functioning of logical EI; information about identified risks, as well as measures to eliminate them;
  • an analytics module configured to account, analyze and monitor the external perimeter of the network infrastructure; search by attribute composition of asset profiles; analysis of raw data coming from data sources; risk management for found vulnerabilities; search and analysis of network routes between AI to determine possible ways of spreading the threat; calculating the criticality of a vulnerable AI by determining the impact of vulnerabilities on the network infrastructure and its functioning.
  • the attribute composition of the infrastructure asset includes the category and type of infrastructure devices.
  • infrastructure asset profile enrichment information on network flow interaction is obtained based on received attributes across infrastructure devices.
  • information on enriching the asset profile for found vulnerabilities on assets is generated based on the results of the security scanner.
  • data for calculating the criticality of an asset or vulnerability is obtained from external systems.
  • the analytics module additionally provides the formation of graph models based on the received data on network flows and information about the links between functional EI and logical EI among themselves.
  • threat propagation is modeled by defining the area of vulnerable infrastructure assets.
  • information on the interaction of network flows is additionally taken into account.
  • the analytics module additionally provides scan control, which generates a list of network addresses for transmission to the security scanner.
  • the analytics module further provides management of the vulnerability remediation mode, in which infrastructure assets are identified to eliminate the vulnerabilities found on them.
  • system further comprises a visualization module that provides a graphical representation of the data being processed.
  • the visualization module provides for the generation of widgets and/or reports and/or dashboards.
  • system additionally contains an administration module that provides management of access policies, directories, settings of existing system modules.
  • the enrichment module when the enrichment module detects AIs for which information about vulnerabilities is available, said information is transferred to an external system to receive update packages to eliminate vulnerabilities on said AIs.
  • the process is performed iteratively for all AIs for which vulnerabilities are discovered.
  • FIG. 1 illustrates the general view of the claimed solution.
  • FIG. 2 illustrates an example infrastructure asset profile.
  • FIG. 3 illustrates a general view of a computing device.
  • Cyber threats are potentially possible events, the action (impact) of which can disrupt a business process or the state of security of the internal information infrastructure.
  • Internal data sources are resources and services that provide data from internal infrastructure systems, in particular, from cybersecurity systems, IT systems.
  • An exploit is a computer program, a piece of program code, or a sequence of commands that uses vulnerabilities in software and is used to attack a computer system.
  • CVE Common Vulnerabilities and Exposures
  • Functional EI - EI including Infrastructure Assets (AI), which are terminal physical or virtual equipment that provides a service / service that performs specified functions within the infrastructure, for example: virtual machines, server equipment, workstations, self-service devices (ATMs, terminals ), etc.; and Network infrastructure elements - intermediate devices (firewalls, balancers, routers, etc.) that provide network interaction between all functional elements of the infrastructure.
  • AI Infrastructure Assets
  • FIG. 1 shows a general view of the claimed solution (100), which includes networked data transmission (120), external (110) and internal sources of information (140), a system (130) for intelligent risk and vulnerability management of infrastructure elements and external security scanners.
  • any known networking principle can be used, such as the Internet, Intranet, LAN, WAN, PAN, WLAN, and the like.
  • System (130) can be implemented on the basis of one or more computing devices, with software or firmware implementation of modules (131)-(139) of system (130).
  • Each module of the system (130) can be implemented as an FPGA, SoC (system on a chip), microcontroller, logic gates, software logic, etc.
  • the necessary processes of computational logic in the system (130) are carried out using one or more processors (131), which process commands transmitted over a common data bus between the modules of the system (130).
  • the module for collecting data from sources (133) is responsible for obtaining information about the vulnerabilities found, as well as obtaining information on the attribute composition of the EI.
  • the module (133) receives data from external (110) and internal (140) data sources, while the information collected contains information about vulnerabilities, infrastructure assets and interactions of their network flows.
  • the module (133) supports various formats: CPE (Common platform enumeration), XML, JSON, etc.
  • CPE Common platform enumeration
  • XML XML
  • JSON JavaScript
  • the functionality of the module (133) also provides filtering of the received data and converting the received information into a single presentation format.
  • External sources (software) for obtaining data on infrastructure elements (external perimeter) and vulnerabilities can be:
  • TIP Sberbank Shodan, Censys, CPT.Bizone, Anomaly, RisklQ, Kaspersky Threat Lookup, Group-IB, etc.
  • Internal sources (140) of obtaining data on infrastructure assets and vulnerabilities can be:
  • SCCM System for protecting and analyzing infrastructure (security scanners), as well as monitoring information security events, such as:
  • IPAM/NOC Network Configuration Consideration
  • the acquisition module (133) Based on the collected information, the acquisition module (133) generates a raw (RAW) EI data set. Further, this information is transferred to the data storage means (132), for example, a ROM containing a database (1321). The stored information transmitted from the module (133) is processed by the data management module (134).
  • the data storage means (132) for example, a ROM containing a database (1321).
  • the data management module (134) is responsible for handling the data that has been collected in the database (1321). Module (134) performs normalization of the data collected by module (133), providing the formation of a unified type of data and the formation of an attribute composition depending on the type of EI. Also, the module (134) performs the formation of the basic profile of the EI, containing the attribute composition of the EI.
  • the work algorithms performed by the module (134) are responsible for bringing to a single form at least the following attributes: the name of the operating system, the name of the software and its versioning, the name of the services / services, etc.
  • the formation of a basic EI profile includes the formation of an attribute composition depending on the type of EI.
  • the same EI attribute can be collected from different systems - the master system and the auxiliary system. This is necessary to find and control errors in accounting systems.
  • the EI model (workstation, server, mobile phone, printer, network device, CE, scanning, etc.) is based on a two-level model consisting of "Category: Type".
  • Category is a network device
  • “Type” is a switch, router, firewall, balancer, etc.
  • Each pair of "Category: Type” has its own attribute composition (this means that the attributes of the workstation will be different from the attributes of the network equipment).
  • FIG. 2 shows an example of the basic attribute composition of the ARM profile.
  • the profile enrichment module (135) makes it possible to enrich the base profiles of different assets with information from the attribute composition of other assets. For instance:
  • Category - network device, "Type” - firewall.
  • This profile has its own attribute composition, in which there are such attributes as ACL (security rules for a network packet), NAT (translation rules), etc.
  • ACL security rules for a network packet
  • NAT translation rules
  • EI which are already end points - workstation, server, etc.
  • the profile enrichment module (135) provides the addition of the attribute composition of the base EI profile with the following information:
  • the module (135) is also configured to enrich the EI for which there is information about vulnerabilities, for which the said information is transferred to an external system to obtain update packages to eliminate vulnerabilities on the mentioned EI. This process is performed iteratively for all EIs for which vulnerabilities are detected.
  • the analytical module (136) implements analytical algorithms that analyze the accumulated information on vulnerabilities and infrastructure assets, and also prioritizes their processing and elimination.
  • the module (136) analyzes and monitors the outer perimeter of the infrastructure.
  • the infrastructure perimeter can be scanned in the "inventory” mode, as well as in the "vulnerability search” mode.
  • the “inventory” mode operates on data of the “address short” type to find the corresponding EI, for example, a server, inside the infrastructure, and only then interacts with information about the detected vulnerabilities. This is due to the fact that the vulnerability found on the perimeter (most of them) cannot be analyzed/verified without knowing on which final/intermediate node it was found.
  • the module (136) also provides work with non-normalized data, which allows for deeper analytics, due to the ability to search for "raw” and "non-normalized” data.
  • the search can be performed by the attribute composition of EI profiles, using the mechanism for filtering the required EI attributes. This function is used to quickly determine the set of EI by a given filter.
  • Risk management using the analytics module (136) is performed on the EI vulnerabilities found, for which the function of establishing and controlling risks is implemented, in which the following steps can be performed:
  • binding execution EI - CVE - risk, which is subsequently used as data for taking into account information on risks. Also, this information allows you to avoid duplication of risks and assets by tracking already used CVEs and assets in previously entered risks;
  • the functionality of the module (136) provides a search for possible network routes between EI.
  • Said route search can be performed on information from systems that are network boundary nodes that separate different subnets, namely, on information from access rules (ACL), translation rules (NAT) and routing, possible interactions of network flows are determined: active-active, subnet -subnet, asset-subnet, etc.
  • ACL access rules
  • NAT translation rules
  • routing possible interactions of network flows are determined: active-active, subnet -subnet, asset-subnet, etc.
  • Processing prioritization allows the analyst to prioritize the incoming stream of CVE information by matching EI attributes (software, OS, etc.) with vulnerability attributes.
  • EI attributes software, OS, etc.
  • vulnerability attributes software, OS, etc.
  • Prioritization of vulnerability remediation is evaluated in terms of EI criticality, vulnerability criticality, and risk rating.
  • a vulnerability applicability determination is also performed, which makes it possible to determine the applicability of the detected vulnerability to EI assets, at least by the following attributes: OS version, OS bit depth, security update name, software name and version number, service name and version number, name driver and its versioning.
  • EI vulnerability analysis can be performed using graph models based on the received data on network flows, as a result of which it becomes possible to model the spread of a threat by determining a set of vulnerable EI, as well as information on the interaction of network flows.
  • the operation of the analytical module (136) also allows you to determine the failure nodes during network interaction and the consequences of this failure (the impact on the AS that provide the business processes of the internal infrastructure). In particular, when determining the threat of failure, EI are identified, in the event of a failure of which, the associated infrastructure nodes and / or devices will also be disabled or lose their proper functionality.
  • the visualization module (137) provides a graphical representation of the data being processed, in particular, an operational presentation of a large array of data through the creation of "widgets", a filtering and grouping mechanism, and the like.
  • the graphical representation can be formed in the form of various kinds of information panels, graphs, charts, maps, etc.
  • the module (137) also provides for the generation of reports.
  • the administration module (138) provides access control to the system (130), in particular, provides:
  • the integration module (139) provides for the transmission of cyber threat data in a unified format to the internal infrastructure, and provides communication with internal data sources (140).
  • EI is collected to perform the scanning procedure (perimeter infrastructure, internal infrastructure).
  • Data from internal sources (140) is collected by polling the data collection module (133), for example, according to a predetermined schedule for collecting information.
  • the received information from the sources (140) is the input data stream for the data management module (134), whose task is to normalize the data and form the profile of the attribute composition of the EI, depending on its type.
  • the analytics module (136) based on the incoming data stream from the data management module (134), activates the integration module (139) to transfer the list of EI, in particular EI attributes, for example, internal network addresses and / or external network addresses / subnets, to the security scanner to perform scanning tasks.
  • EI attributes for example, internal network addresses and / or external network addresses / subnets
  • the received data stream is transmitted to the profile enrichment module (135), which in turn enriches the previously profile created by module (134), detected vulnerabilities.
  • the analytics module (136) is additionally used, which in turn uses algorithms for analyzing the external perimeter of the infrastructure, allowing you to project the external address and port of the EI of the perimeter onto the address and port of the internal EI.
  • the enrichment module (135) supplements the previously collected profile with the found vulnerabilities. The results obtained from security scanners are maintained in the accounting part of the system and stored in the accounting object “Scan result”.
  • the analytics module (136) calculates the criticality of the vulnerable AI by determining the impact of vulnerabilities on the network infrastructure and its functioning.
  • a list of vulnerable EIs is attached to a vulnerability card that contains a descriptive part of the found vulnerability. Additionally, the vulnerability card contains security updates that fix it, if any, as well as exploits found on the Internet. Further, from the vulnerability card, manually or automatically, an entity of the “Case” type can be created, which contains information about the vulnerability found, the extent of the impact on the infrastructure (the list of vulnerable EI). Most of the fields are filled in automatically by the system from other platform entities. [0074] After filling in all the fields in the object of type "Case", the analytics module (136) calculates the risk rating. After calculating the risk rating, it is registered taking into account the automatic filling of fields from the Case and Vulnerability entities. The registered risk contains a descriptive part, as well as actions that must be taken to eliminate vulnerabilities. You can register a risk both within the platform and in a third-party system by using the integration module (139).
  • the analytics module (136) with the help of the integration module (139) provides control of the vulnerability elimination mode, in which EIs are detected to eliminate the vulnerabilities found on them, in particular, using a list of vulnerable EIs that are transferred to an external control system updates.
  • the update management system After performing update cycles, the update management system returns a result, which is resubmitted to the security scanner. As a result of the scan, a result is formed that indicates the elimination or presence of a risk on a particular EI.
  • FIG. 3 shows an example of a general view of a computing device (200) with which the functionality of the system (130) can be implemented.
  • the device (200) may be part of a computer system, such as a server, computer, cloud platform, or the like.
  • the computing device (200) comprises one or more processors (201), memory devices such as RAM (202) and ROM (203), input/output interfaces (204), devices input/output (205), and a device for networking (206).
  • processors 201
  • memory devices such as RAM (202) and ROM (203)
  • input/output interfaces 204
  • devices input/output 205
  • a device for networking 206
  • the processor (201) may be selected from a variety of devices currently widely used, such as IntelTM, AMDTM, AppleTM, Samsung ExynosTM, MediaTEKTM, Qualcomm SnapdragonTM, and etc. Under the processor, it is also necessary to take into account a graphics processor, for example, an NVIDIA or ATI GPU, which may also be suitable for performing the required computational processing functionality. In this case, the memory means can also be the available memory of the graphics card or graphics processor.
  • RAM (202) is a random access memory and is designed to store machine-readable instructions executable by the processor (201) to perform the necessary data logical processing operations.
  • RAM (202) typically contains executable instructions of the operating system and corresponding software components (applications, program modules, etc.).
  • a ROM (203) is one or more persistent storage devices such as a hard disk drive (HDD), a solid state drive (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R/RW, DVD-R/RW, BlueRay Disc, MD), etc.
  • I/O interfaces (204) are used to organize the operation of device components (200) and organize the operation of external connected devices.
  • the choice of appropriate interfaces depends on the particular design of the computing device, which can be, but not limited to: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.
  • various means (205) of I/O information are used, for example, a keyboard, a display (monitor), a touch screen, a touchpad, a joystick, a mouse, a light pen, a stylus, touch panel, trackball, speakers, microphone, augmented reality, optical sensors, tablet, indicator lights, projector, camera, biometric identification tools (retinal scanner, fingerprint scanner, voice recognition module), etc.
  • the networking means (206) enables data to be transmitted by the device (200) via an internal or external computer network, such as an Intranet, Internet, LAN, and the like.
  • an internal or external computer network such as an Intranet, Internet, LAN, and the like.
  • one or more means (206) can be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communication module, NFC module, Bluetooth and / or BLE module, Wi-Fi module and others
  • satellite navigation tools in the device (200) can also be used, for example, GPS, GLONASS, BeiDou, Galileo.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Изобретение относится к системе интеллектуального управления рисками и уязвимостями элементов инфраструктуры. Технический результат заключается в выявлении и устранении уязвимостей в элементах инфраструктуры. Система содержит процессор, запоминающее устройство, модуль сбора данных об уязвимостях элементов инфраструктуры (ЭИ), модуль управления данными для формирования унифицированного вида собираемых данных, атрибутного состава в зависимости от типа ЭИ, профиля ЭИ, содержащего атрибутный состав ЭИ, модуль обогащения профилей ЭИ для дополнения атрибутного состава профиля ЭИ информацией о возможности сетевого взаимодействия между АИ, найденных уязвимостях на АИ, о критичности функционирования ЭИ, и сведениями о выявленных рисках и мероприятиях по их устранению, модуль аналитики для учета, анализа и мониторинга внешнего периметра сетевой инфраструктуры, поиска по атрибутному составу профилей ЭИ, анализа необработанных данных, поступающих из источников данных, управления рисками по найденным уязвимостям, поиска и анализа сетевых маршрутов между АИ для определения возможных путей распространения угрозы, расчета критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру.

Description

СИСТЕМА ИНТЕЛЛЕКТУАЛЬНОГО УПРАВЛЕНИЯ РИСКАМИ И УЯЗВИМОСТЯМИ ЭЛЕМЕНТОВ ИНФРАСТРУКТУРЫ
ОБЛАСТЬ ТЕХНИКИ
[0001] Настоящее техническое решение относится к области компьютерных технологий, в частности к информационной защите, для которых предлагается система интеллектуального управления рисками и уязвимостями элементов инфраструктуры.
УРОВЕНЬ ТЕХНИКИ
[0002] В настоящее время с учетом массового применения ИТ (информационные технологии) в различных промышленных и экономических сферах, развитие систем и подходов в области кибербезопасности является одним из приоритетных направлений и требует постоянного усовершенствования с учетом постоянного появления новых типов киберугроз. В связи с этим, важным аспектом создаваемых решений является актуализация информации о существующих типах киберугроз, а также сведений об их устранении и поддержание актуальной степени киберзащиты внутренней инфраструктуры.
[0003] В сфере банковского обслуживания проблема кибербезопасности играет ключевую роль, поскольку внутренняя информационная инфраструктура осуществляет обработку огромного количества структурированных и неструктурированных данных, что требует в свою очередь огромных ресурсов для своевременного выявления потенциально вредоносных объектов, которые могут привести к риску наступления киберугрозы.
[0004] В качестве одного из примеров применяемых технологий для управления рисками и потенциальными уязвимостями инфраструктуры можно рассмотреть решение компании Skybox - Vulnerability Control
(https://www.skyboxsecurity.com/products/vulnerability-control/). Данное решение позволяет комплексно оценивать потенциальные риски нарушения кибербезопасности инфраструктуры и осуществлять контроль за уязвимостями.
[0005] Другим известным решением является система интеллектуального управления киберугрозами (патент РФ № 2702269, 07.10.2019), которая содержит модульную архитектуру, позволяющую анализировать и обогащать сведения о киберугрозах инфраструктуры для последующего оперативного отслеживания и распознавания киберугроз.
[0006] Заявленное решение направлено на усовершенствование существующих разработок в данной области техники, обеспечивая новую, расширенную функциональность в части комплексного управления кибербезопасностью инфраструктуры, обеспечивая своевременное выявление уязвимостей, и анализ всех элементов инфраструктуры для обеспечения сетевой безопасности.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0007] Настоящее техническое решение направлено на решение технической проблемы, заключающейся в создании нового и эффективного средства управления рисками и уязвимостями инфраструктуры.
[0008] Техническим результатом является повышение эффективности управления безопасностью инфраструктуры, за счет обеспечения полного цикла управления уязвимостями и связанными с ними рисками, с возможностью их своевременного выявления и устранения.
[0009] Дополнительным результатом является расширение функциональных возможностей анализа возникновения рисков киберугроз, за счет отслеживания возможных путей распространения угроз между элементами инфраструктуры.
[0010] Другим дополнительным результатом является формирование исходных данных, необходимых для устранения уязвимостей, таких как:
- идентификационная информация об элементах инфраструктуры (ЭИ);
- информация об обнаруженной уязвимости;
- информация о мероприятиях, необходимых для устранения обнаруженной уязвимости.
[ООП] Заявленный технический результат достигается за счет осуществления настоящего изобретения, представляющего собой систему интеллектуального управления рисками и уязвимостями элементов инфраструктуры, которая включает в себя:
- по меньшей мере один процессор;
- по меньшей мере одно запоминающее устройство;
- модуль сбора данных с источников, выполненный с возможностью получения информации из источников данных, содержащих информацию об уязвимостях элементов инфраструктуры (ЭИ), включающие в себя функциональные и логические ЭИ, при этом функциональные ЭИ представляют собой активы инфраструктуры (АИ), содержащие оконечное физическое или виртуальное оборудование, предоставляющее услугу и/или сервис, и сетевые ЭИ, представляющие устройства, обеспечивающие сетевое взаимодействие между всеми функциональными ЭИ; логические ЭИ представляют собой объединения функциональных ЭИ и логических ЭИ, включающих сущности, взаимодействующие с сетевой инфраструктурой и выбираемые из группы: автоматизированные системы, функциональные подсистемы, или сервисы;
- модуль управления данными, выполненный с возможностью нормализации данных, собираемых модулем сбора данных, обеспечивая формирование унифицированного вида данных и формирование атрибутного состава в зависимости от типа ЭИ; формирование профиля ЭИ, содержащего атрибутный состав ЭИ;
- модуль обогащения профилей ЭИ, выполненный с возможностью дополнения атрибутного состава профиля ЭИ информацией, включающей в себя: информацию о возможности сетевого взаимодействия между АИ, на основании данных правил безопасности (ACL), а также правил трансляции (NAT) и маршрутизации, определенных на сетевых ЭИ; найденные уязвимости на АИ; данные о критичности функционирования логических ЭИ; сведения о выявленных рисках, а также мероприятиях по их устранению;
- модуль аналитики, выполненный с возможностью учета, анализа и мониторинга внешнего периметра сетевой инфраструктуры; поиска по атрибутному составу профилей активов; анализа необработанных данных, поступающих из источников данных; управления рисками по найденным уязвимостям; поиска и анализа сетевых маршрутов между АИ для определения возможных путей распространения угрозы; расчёта критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование.
[0012] В одном из частных примеров осуществления системы атрибутный состав актива инфраструктуры включает в себя категорию и тип устройств инфраструктуры.
[0013] В другом частном примере осуществления системы информация по обогащению профиля актива инфраструктуры по взаимодействию сетевых потоков получается на основании полученных атрибутов по устройствам инфраструктуры.
[0014] В другом частном примере осуществления системы информация по обогащению профиля актива по найденным уязвимостям на активах формируется на основании полученных результатов работы сканера безопасности. [0015] В другом частном примере осуществления системы данные для расчета критичности актива или уязвимости получаются из внешних систем.
[0016] В другом частном примере осуществления системы модуль аналитики дополнительно обеспечивает формирование графовых моделей на основании полученных данных по сетевым потокам и информации о связях функциональных ЭИ и логических ЭИ между собой.
[0017] В другом частном примере осуществления системы осуществляется моделирование распространения угрозы за счет определения области уязвимых активов инфраструктуры.
[0018] В другом частном примере осуществления системы дополнительно учитывается информация по взаимодействию сетевых потоков.
[0019] В другом частном примере осуществления системы обеспечивается определение узлов отказа при сетевом взаимодействии и последствий наступления такого рода отказа.
[0020] В другом частном примере осуществления системы модуль аналитики дополнительно обеспечивает управление сканированием, при котором формируется список сетевых адресов для передачи их сканеру безопасности.
[0021] В другом частном примере осуществления системы модуль аналитики дополнительно обеспечивает управление режимом устранения уязвимостей, при котором выявляются активы инфраструктуры для устранения найденных на них уязвимостей.
[0022] В другом частном примере осуществления система дополнительно содержит модуль визуализации, обеспечивающий графическое представление обрабатываемых данных.
[0023] В другом частном примере осуществления системы модуль визуализации обеспечивает формирование виджетов и/или отчетов и/или информационных панелей.
[0024] В другом частном примере осуществления система дополнительно содержит модуль администрирования, обеспечивающий управление политиками доступа, справочниками, настройками существующих модулей системы.
[0025] В другом частном примере осуществления системы при выявлении модулем обогащения АИ, для которых имеется информация об уязвимостях, осуществляется передача упомянутой информации во внешнюю систему для получения пакетов обновлений для устранения уязвимостей на упомянутых АИ.
[0026] В другом частном примере осуществления системы процесс выполняется итеративно для всех АИ, для которых происходит обнаружение уязвимостей. КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0027] Фиг. 1 иллюстрирует общий вид заявленного решения.
[0028] Фиг. 2 иллюстрирует пример профиля актива инфраструктуры.
[0029] Фиг. 3 иллюстрирует общий вид вычислительного устройства.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[0030] В настоящем описании далее будут использоваться следующие термины и определения.
[0031] Киберугрозы — потенциально возможные события, действие (воздействие) которых может нарушить бизнес-процесс или состояние защищенности внутренней информационной инфраструктуры.
[0032] Внешние источники данных о Киберугрозах — ресурсы и сервисы, предоставляющие данные об уязвимостях, эксплоитах, обновлениях безопасности, результатах сканирования внешнего периметра инфраструктуры.
[0033] Внутренние источники данных — ресурсы и сервисы, предоставляющие данные от внутренних систем инфраструктуры, в частности, от систем кибербезопасности, ИТ-систем.
[0034] Эксплоит — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему.
[0035] CVE (англ. Common Vulnerabilities and Exposures) — база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер.
[0036] Элементы инфраструктуры (ЭИ) — функциональные и логические ЭИ.
[0037] Функциональные ЭИ — ЭИ включающие в себя Активы инфраструктуры (АИ), представляющие собой оконечное физическое или виртуальное оборудование предоставляющее услугу/сервис, выполняющие заданные функции внутри инфраструктуры, например: виртуальные машины, серверное оборудование, АРМ, устройства самообслуживания (банкоматы, терминалы), и т.д.; а также Сетевые элементы инфраструктуры — промежуточные устройства (фаерволы, балансировщики, маршрутизаторы и пр.), обеспечивающие сетевое взаимодействие между всеми функциональными элементами инфраструктуры.
[0038] Логические ЭИ — группа функциональных элементов и их логическое объединение, например: автоматизированные системы, функциональные подсистемы, или сервисы. [0039] На Фиг. 1 представлен общий вид заявленного решения (100), которое включает в себя объединенные сетью передачи данных (120), внешние (110) и внутренние источники информации (140), систему (130) интеллектуального управления рисками и уязвимостями элементов инфраструктуры и внешние сканеры безопасности.
[0040] В качестве сети передачи данных (120) может применяться любой известный принцип сетевого обмена, например, Интернет, Интранет, LAN, WAN, PAN, WLAN и т.п.
[0041] Система (130) может выполняться на базе одного или нескольких вычислительных устройств, с программной или программно-аппаратной реализацией модулей (131)-(139) системы (130). Каждый модуль системы (130) при этом может выполняться в виде ПЛИС, SoC (система на чипе), микроконтроллера, логических вентилей, программной логики и т.п. В общем случае необходимые процессы вычислительной логики в системе (130) осуществляются с помощью одного или нескольких процессоров (131), которые обрабатывают команды, передаваемые по общей шине данных между модулями системы (130).
[0042] Модуль сбора данных с источников (133) отвечает за получение информации о найденных уязвимостях, а также получение информации по атрибутному составу ЭИ. Модуль (133) получает данные от внешних (110) и внутренних (140) источников данных, при этом собираемая информация содержит информацию об уязвимостях, активах инфраструктуры и взаимодействиях их сетевых потоков.
[0043] Для сбора данных модулем (133) поддерживаются различные форматы: СРЕ (Common platform enumeration), XML, JSON, и др. Функциональность модуля (133) также обеспечивает фильтрацию полученных данных и преобразование полученной информации в единый формат представления.
[0044] В качестве внешних источников (ПО) получения данных об элементах инфраструктуры (внешний периметр) и уязвимостях могут выступать:
- Системы для анализа защищенности (сканеры безопасности — 150), такие как:
MaxPatrol, Tenable, Qualys, Rapid? Nexpose, Nmap, Acunetix и др.
- Сервисы no TI/Vulnerability, такие как:
TIP Sberbank, Shodan, Censys, CPT.Bizone, Anomaly, RisklQ, Kaspersky Threat Lookup, Group-IB и др.
[0045] Внутренние источники (140) получения данных об активах инфраструктуры и уязвимостях могут представлять собой:
- Системы управления и учета ИТ-инфраструктуры, такие как:
SCCM, uCMDB, HPSM, EMM (Enterprise Mobility Management - AirWatch), AD (Active Directory), локальные сенсоры и др. - Системы защиты и анализа инфраструктуры (сканеры безопасности), а также мониторинга событий информационной безопасности, такие как:
Сканеры безопасности MaxPatrol, Qualys, Nessus, Rapid? Nexpose, Nmap, Acunetix и др.
- Антивирусные средства защиты: Kaspersky, ESET, SEP и др.
- Системы хранения и мониторинга событий информационной безопасности: Qradar, ArcSight, ClickHouse, Splunk и др.
- Системы управления и учета (менеджмент/оркестратор) сетевым оборудованием:
Tufin, Cisco Security Management (управлением системами класса FW, NGFW);
APSolute VISION (управление системами класса балансировки нагрузки);
BIG-IQ (управление системами класса Web Application Firewall - WAF);
IPAM/NOC (учет сетевой конфигурации)
Arbor (управление системами класса Anti-DDos) и др.
[0046] По собранной информации модулем сбора (133) формируется сырой (RAW) набор данных об ЭИ. Далее эта информация передается в средство хранения данных (132), например, ПЗУ, содержащее базу данных (1321). Сохраненная информация, переданная от модуля (133), обрабатывается модулем (134) управления данными.
[0047] Модуль (134) Управление данными отвечает за работу с данными, которые были собраны в базе данных (1321). Модуль (134) выполняет нормализацию собранных модулем (133) данных, обеспечивая формирование унифицированного вида данных и формирования атрибутного состава в зависимости от типа ЭИ. Также, модуль (134) осуществляет формирование базового профиля ЭИ, содержащего атрибутный состав ЭИ.
[0048] Алгоритмы работы, выполняемые модулем (134), отвечают за приведение к единому виду по меньшей мере следующих атрибутов: наименование операционной системы, наименование программного обеспечения и ее версионность, наименование сервисов/служб и т.д.
[0049] Формирование базового профиля ЭИ включает в себя формирование атрибутного состава в зависимости от типа ЭИ. Один и тот же атрибут ЭИ может собираться с разных систем - мастер система и вспомогательная система. Это необходимо для поиска и контроля ошибок в системах учета. В основу модели ЭИ (АРМ, сервер, мобильный телефон, принтер, сетевое устройство, КЭ, сканирование и т.д.), заложена двухуровневая модель, состоящая из «Категория: Тип». Например, «Категория» - сетевое устройство, «Тип» - коммутатор, маршрутизатор, фаервол, балансировщик и т.д. [0050] Каждая пара «Категория:Тип» обладает своим атрибутным составом (это означает, что атрибуты у АРМ, будут отличаться от атрибутов сетевого оборудования). На Фиг. 2 приведен пример базового атрибутного состава профиля АРМ.
[0051] Модуль (135) обогащение профилей позволяет обогатить базовые профили разных активов информацией из атрибутного состава других активов. Например:
«Категория» - сетевое устройство, «Тип» - фаервол. У данного профиля есть свой атрибутный состав, в котором, есть такие атрибуты, как ACL (правила безопасности для сетевого пакета), NAT (правила трансляции) и т.д. Есть ЭИ, которые представляют собой уже конечные точки - АРМ, сервер и т.д. Таким образом, возможно определить сетевую достижимость ЭИ А (АРМ) до ЭИ Б (АРМ) на основании данных фаерволов, что позволяет сформировать механизм, позволяющий определить достижимость ЭИ.
[0052] Модуль обогащения профилей (135) обеспечивает дополнение атрибутного состава базового профиля ЭИ следующей информацией:
- взаимодействие сетевых потоков, на основании полученных атрибутов по сетевым устройствам;
- найденные уязвимости на ЭИ, на основании полученных результатов работы сканера безопасности, либо собственного алгоритма сопоставления CVE для АЭ;
- критичность ЭИ или уязвимости из сторонних систем;
- выявленные и/или установленные риски и мероприятия по их устранению.
[0053] Модуль (135) также выполнен с возможностью обогащения ЭИ, для которых имеется информация об уязвимостях, для чего осуществляется передача упомянутой информации во внешнюю систему для получения пакетов обновлений для устранения уязвимостей на упомянутых ЭИ. Данный процесс выполняется итеративно для всех ЭИ, для которых происходит обнаружение уязвимостей.
[0054] Аналитический модуль (136) реализует аналитические алгоритмы, обеспечивающие анализ накопленной информации по уязвимостям и активам инфраструктуры, а также выполняет приоритезацию их обработки и устранения.
[0055] В частности, модуль (136) осуществляет анализ и мониторинг внешнего периметра инфраструктуры. Периметр инфраструктуры может сканироваться в режиме «инвентаризации», а также в режиме «поиска уязвимостей». Режим «инвентаризации» оперирует данным типа «адресшорт», чтобы найти соответствующий ЭИ, например, сервер, внутри инфраструктуры, а только потом взаимодействует с информацией об обнаруженных уязвимостях. Это обусловлено тем, что найденную уязвимость на периметре (большую их часть), невозможно проанализировать/верифицировать, не зная, на каком конечном/промежуточном узле она найдена. [0056] Модуль (136) обеспечивает также работу с ненормализованными данными, что позволяет проводить более глубокую аналитику, за счет возможности поиска по «сырым» и «ненормализованным» данным. Поиск может выполняться по атрибутному составу профилей ЭИ, с помощью механизма фильтрации требуемых атрибутов ЭИ. Эта функция применяется для оперативного определения набора ЭИ по заданному фильтру.
[0057] Управление рисками с помощью модуля аналитики (136) выполняется по найденным уязвимостям ЭИ, для чего реализуется функция заведения и контроля рисков, при которой могут осуществляться следующие шаги:
• предоставление возможности управления полным циклом работы с рисками как на стороне платформы, так и в сторонней системе управления инцидентами информационной безопасности;
• выполнение привязки: ЭИ - CVE - риск, что в последствии используется, как данные для учета информации по рискам. Также данная информация позволяет избежать дублирования рисков и активов, за счет отслеживания уже используемых CVE и активов в ранее заведенных рисках;
• обеспечение контроля за выполнением SLA риска, а также нотификация о его нарушении в сторону ответственных/координирующих лиц, указанных в риске;
• связывание рисков с автоматизированными системами, за счет обогащения информацией из конфигурационных элементов;
• обеспечение вычисления уровня критичности риска за счет наличия определенных условий: наличие эксплоитов в публичном или ограниченном доступе, уровень критичности актива, возможность эксплуатации уязвимости в зависимости от сетевых потоков данных (сегменты и т.д.), количество подверженных активов и т.д.
[0058] Функциональность модуля (136) обеспечивает поиск возможных сетевых маршрутов между ЭИ. Упомянутый поиск маршрутов может выполняться по информации из систем, которые являются пограничными узлами сети, отделяющие разные подсети, а именно по информации из правил доступа (ACL), правил трансляции (NAT) и роутинга, определяются возможные взаимодействия сетевых потоков: актив-актив, подсеть-подсеть, актив-подсеть, и т.д.
[0059] Приоритезация обработки и устранения уязвимости осуществляется с помощью модуля (136).
[0060] Приоритезация обработки позволяет для аналитика отсортировать по важности поступающий поток информации о CVE за счет сопоставления атрибутов ЭИ (используемое программное обеспечение, ОС и т.д.) с атрибутами уязвимости. [0061 ] Приоритезация устранения уязвимости оценивается с точки зрения критичности ЭИ, критичности уязвимости и рейтинга риска.
[0062] Выполняется также определение применимости уязвимости, что позволяет определить применимость обнаруженной уязвимости на активы ЭИ, по меньшей мере по следующим атрибутам: версия ОС, разрядность ОС, наименование обновления безопасности, наименование программного обеспечения и его версионности, наименование службы и ее версионности, наименование драйвера и его версионности.
[0063] Анализ уязвимостей ЭИ может выполняться с помощью графовых моделей на основании полученных данных по сетевым потокам, вследствие чего появляется возможность моделирования распространения угрозы за счет определения набора уязвимых ЭИ, а также информации по взаимодействию сетевых потоков.
[0064] Работа аналитического модуля (136) позволяет также определить узлы отказа при сетевом взаимодействии и последствие этого отказа (влияние на АС, которые обеспечивают бизнес-процессы внутренней инфраструктуры). В частности, при определении угрозы отказа выявляются ЭИ, в случае выхода из строя которых, связанные с ними узлы инфраструктуры и/или устройства, также будут выведены из строя или потеряют должную функциональность.
[0065] Модуль визуализации (137) обеспечивает графическое представление обрабатываемых данных, в частности, оперативное представление большого массива данных за счет создания «виджетов», механизма фильтрации и группировок, и т.п. Графическое представление может формироваться в виде различного рода информационных панелей, графиков, диаграмм, карт и др. Модуль (137) также обеспечивает формирование отчетов.
[0066] Модуль администрирования (138) обеспечивает управление доступом к системе (130), в частности, обеспечивает:
• Управление информацией о пользователях;
• Управление политиками доступа;
• Выдачу токенов для доступа по API;
• Управление словарями (учет подсетей периметра и принадлежность их к территориальному блоку и FW; Словарь программного обеспечения, который формируется по результатам сбора профилей активов и последующим наложением на поступающую трубу CVE).
[0067] Модуль интеграции (139) обеспечивает передачу в унифицированном формате данных о киберугрозах во внутреннюю инфраструктуру, и обеспечивает связь с внутренними источниками данных (140). [0068] Далее рассмотрим один из частных примеров работы заявленного решения. На первом шаге осуществляется сбор ЭИ для выполнения процедуры сканирования (инфраструктура периметра, внутренняя инфраструктура). Данные из внутренних источников (140) собираются с помощью их опроса модулем сбора данных (133), например, согласно заданному расписанию сбора информации. Поступившая информация от источников (140) представляет собой входной поток данных для модуля управления данными (134), задачей которого является нормализация данных и формирование профиля атрибутного состава ЭИ в зависимости от его типа.
[0069] Модуль аналитики (136) на основании поступившего потока данных от модуля управления данными (134) задействует модуль интеграции (139) для передачи списка ЭИ, в частности атрибутов ЭИ, например, внутренних сетевых адресов и/или внешних сетевых адресов/подсетей, на сканер безопасности для выполнения задач сканирования.
[0070] После завершения задач сканирования, а также получения данных из внешних (110) и внутренних (140) источников с помощью модуля сбора данных (133), полученный поток данных передается в модуль обогащения профилей (135), который в свою очередь обогащает ранее созданный профиль модулем (134), обнаруженными уязвимостями.
[0071] Механизмы, используемые для обогащения профилей ЭИ, которые имеют отношение к внешнему периметру инфраструктуры, являются частными случаем. А именно, в отличии от обогащения профиля внутреннего ЭИ, дополнительно задействуется модуль аналитики (136), который в свою очередь использует алгоритмы по анализу внешнего периметра инфраструктуры, позволяющие проецировать внешний адрес и порт ЭИ периметра, на адрес и порт внутреннего ЭИ. После получения внутренних ЭИ модуль обогащения (135) дополняет ранее собранный профиль найденными уязвимостями. Результаты, полученные со сканеров безопасности ведутся в учетной части системы и хранятся в объекте учета «Результат сканирования».
[0072] После обогащения профилей ЭИ найденными уязвимостями, модулем аналитики (136) осуществляется расчёт критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование.
[0073] Список уязвимых ЭИ прикрепляется к карточке уязвимости, которая содержит описательную часть найденной уязвимости. Дополнительно карточка уязвимости содержит обновления безопасности, которые ее устраняют, если такие имеются, а также обнаруженные эксплоиты в сети Интернет. Далее из карточки уязвимости вручную или автоматически может быть создана сущность типа «Case», которая содержит информацию о найденной уязвимости, масштабах влияния на инфраструктуру (список уязвимых ЭИ). Большинство полей система заполняет автоматически из других сущностей платформы. [0074] После заполнений всех полей в объекте типа «Case», модулем аналитики (136) осуществляется расчет рейтинга риска. После расчета рейтинга риска, производится его регистрация с учетом автоматического заполнения полей из сущности Case и Vulnerability. Зарегистрированный риск содержит описательную часть, а также мероприятия, которые необходимо выполнить для устранения уязвимостей. Регистрировать риск можно, как внутри платформы, так и в сторонней системе за счет использования модуля интеграций (139).
[0075] После заведения риска модуль аналитики (136) с помощью модуля интеграций (139) обеспечивает управление режимом устранения уязвимостей, при котором выявляются ЭИ для устранения найденных на них уязвимостей, в частности, с помощью списка уязвимых ЭИ, которые передаются во внешнюю систему управления обновлениями.
[0076] После выполнения циклов обновлений, система управления обновлениями возвращает результат, который повторно отправляется в сканер безопасности. По итогу проведенного сканирования формируется результат, свидетельствующий об устранении или наличии риска на том или ином ЭИ.
[0077] На Фиг. 3 представлен пример общего вида вычислительного устройства (200), с помощью которого может быть реализована функциональность системы (130). Устройство (200) может являться частью компьютерной системы, например, сервером, компьютером, облачной платформой и т.п.
[0078] В общем случае, вычислительное устройство (200) содержит объединенные общей шиной информационного обмена один или несколько процессоров (201), средства памяти, такие как ОЗУ (202) и ПЗУ (203), интерфейсы ввода/вывода (204), устройства ввода/вывода (205), и устройство для сетевого взаимодействия (206).
[0079] Процессор (201) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п. Под процессором также необходимо учитывать графический процессор, например, GPU NVIDIA или ATI, который также может являться пригодным для выполнения требуемой функциональности по вычислительной обработке. При этом, средством памяти также может выступать доступный объем памяти графической карты или графического процессора.
[0080] ОЗУ (202) представляет собой оперативную память и предназначено для хранения исполняемых процессором (201) машиночитаемых инструкций для выполнение необходимых операций по логической обработке данных. ОЗУ (202), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.). [0081] ПЗУ (203) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш- память (EEPROM, NAND и т.п.), оптические носители информации (CD-R/RW, DVD- R/RW, BlueRay Disc, MD) и др.
[0082] Для организации работы компонентов устройства (200) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (204). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п.
[0083] Для обеспечения взаимодействия пользователя с вычислительным устройством (200) применяются различные средства (205) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п.
[0084] Средство сетевого взаимодействия (206) обеспечивает передачу данных устройством (200) посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (206) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др.
[0085] Дополнительно могут применяться также средства спутниковой навигации в составе устройства (200), например, GPS, ГЛОНАСС, BeiDou, Galileo.
[0086] Представленные материалы заявки раскрывают предпочтительные примеры реализации технического решения и не должны трактоваться как ограничивающие иные, частные примеры его воплощения, не выходящие за пределы испрашиваемой правовой охраны, которые являются очевидными для специалистов соответствующей области техники.

Claims

ФОРМУЛА
1. Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры, содержащая:
- по меньшей мере один процессор;
- по меньшей мере одно запоминающее устройство;
- модуль сбора данных с источников, выполненный с возможностью получения информации из источников данных, содержащих информацию об уязвимостях элементов инфраструктуры (ЭИ), включающие в себя функциональные и логические ЭИ, при этом функциональные ЭИ представляют собой активы инфраструктуры (АИ), содержащие оконечное физическое или виртуальное оборудование, предоставляющее услугу и/или сервис, и сетевые ЭИ, представляющие устройства, обеспечивающие сетевое взаимодействие между всеми функциональными ЭИ; логические ЭИ представляют собой объединения функциональных ЭИ и логических ЭИ, включающих сущности, взаимодействующие с сетевой инфраструктурой и выбираемые из группы: автоматизированные системы, функциональные подсистемы, или сервисы;
- модуль управления данными, выполненный с возможностью нормализации данных, собираемых модулем сбора данных, обеспечивая формирование унифицированного вида данных и формирование атрибутного состава в зависимости от типа ЭИ; формирование профиля ЭИ, содержащего атрибутный состав ЭИ;
- модуль обогащения профилей ЭИ, выполненный с возможностью дополнения атрибутного состава профиля ЭИ информацией, включающей в себя: информацию о возможности сетевого взаимодействия между АИ, на основании данных правил безопасности (ACL), а также правил трансляции (NAT) и маршрутизации, определенных на сетевых ЭИ; найденные уязвимости на АИ; данные о критичности функционирования логических ЭИ; сведения о выявленных рисках, а также мероприятиях по их устранению;
- модуль аналитики, выполненный с возможностью учета, анализа и мониторинга внешнего периметра сетевой инфраструктуры; поиска по атрибутному составу профилей ЭИ; анализа необработанных данных, поступающих из источников данных; управления рисками по найденным уязвимостям; поиска и анализа сетевых маршрутов между АИ для определения возможных путей распространения угрозы; расчёта критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование.
2. Система по п.1 , характеризующаяся тем, что атрибутный состав ЭИ включает в себя категорию и тип устройств инфраструктуры.
3. Система по п.1, характеризующаяся тем, что информация по обогащению профиля ЭИ инфраструктуры по взаимодействию сетевых потоков получается на основании полученных атрибутов по устройствам инфраструктуры.
4. Система по п.1, характеризующаяся тем, что информация по обогащению профиля актива по найденным уязвимостям на ЭИ формируется на основании полученных результатов работы сканера безопасности.
5. Система по п.1, характеризующаяся тем, что данные для расчета критичности ЭИ или уязвимости получаются из внешних систем.
6. Система по п.1, характеризующаяся тем, что модуль аналитики дополнительно обеспечивает формирование графовых моделей на основании полученных данных по сетевым потокам и информации о связях функциональных ЭИ и логических ЭИ между собой.
7. Система по п.6, характеризующаяся тем, что осуществляется моделирование распространения угрозы за счет определения области уязвимых ЭИ.
8. Система по п.7, характеризующаяся тем, что дополнительно учитывается информация по взаимодействию сетевых потоков.
9. Система по п.6, характеризующаяся тем, что обеспечивается определение узлов отказа при сетевом взаимодействии и последствий наступления такого рода отказа.
10. Система по п.1, характеризующаяся тем, что модуль аналитики дополнительно обеспечивает управление сканированием, при котором формируется список сетевых адресов для передачи их сканеру безопасности.
И. Система по п.1, характеризующаяся тем, что модуль аналитики дополнительно обеспечивает управление режимом устранения уязвимостей, при котором выявляются активы инфраструктуры для устранения найденных на них уязвимостей.
12. Система по п.1, характеризующаяся тем, что дополнительно содержит модуль визуализации, обеспечивающий графическое представление обрабатываемых данных.
13. Система по п.12, характеризующаяся тем, что модуль визуализации обеспечивает формирование виджетов и/или отчетов и/или информационных панелей.
14. Система по п.1, характеризующаяся тем, что дополнительно содержит модуль администрирования, обеспечивающий управление политиками доступа, справочниками, настройками существующих модулей системы.
15. Система по п.1, характеризующаяся тем, что при выявлении модулем обогащения АИ, для которых имеется информация об уязвимостях, осуществляется передача упомянутой информации во внешнюю систему для получения пакетов обновлений для устранения уязвимостей на упомянутых АИ.
16. Система по п.15, характеризующаяся тем, что процесс выполняется итеративно для всех АИ, для которых происходит обнаружение уязвимостей.
PCT/RU2020/000695 2020-08-04 2020-12-16 Система интеллектуаьного управления рисками и уязвимостями элементов инфраструктуры WO2022031184A1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2020125916A RU2747476C1 (ru) 2020-08-04 2020-08-04 Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры
RU2020125916 2020-08-04

Publications (1)

Publication Number Publication Date
WO2022031184A1 true WO2022031184A1 (ru) 2022-02-10

Family

ID=75850933

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2020/000695 WO2022031184A1 (ru) 2020-08-04 2020-12-16 Система интеллектуаьного управления рисками и уязвимостями элементов инфраструктуры

Country Status (3)

Country Link
EA (1) EA202092860A1 (ru)
RU (1) RU2747476C1 (ru)
WO (1) WO2022031184A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117640250A (zh) * 2024-01-24 2024-03-01 天津慧聪科技有限公司 一种企业信息安全管理系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904800B (zh) * 2021-09-02 2024-01-26 成都仁达至信科技有限公司 内部网络风险资产侦测分析系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160014147A1 (en) * 2014-01-07 2016-01-14 Fair Isaac Corporation Cyber security adaptive analytics threat monitoring system and method
US20170346846A1 (en) * 2016-05-31 2017-11-30 Valarie Ann Findlay Security threat information gathering and incident reporting systems and methods
RU2702269C1 (ru) * 2019-06-04 2019-10-07 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Система интеллектуального управления киберугрозами
US20190342311A1 (en) * 2015-08-31 2019-11-07 Splunk Inc. Processing anomaly data to identify threats to network security

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
GB2520987B (en) * 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
US9680855B2 (en) * 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting
US10686805B2 (en) * 2015-12-11 2020-06-16 Servicenow, Inc. Computer network threat assessment
WO2017123674A1 (en) * 2016-01-11 2017-07-20 Equinix, Inc. Architecture for data center infrastructure monitoring
US11811799B2 (en) * 2018-08-31 2023-11-07 Forcepoint Llc Identifying security risks using distributions of characteristic features extracted from a plurality of events

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160014147A1 (en) * 2014-01-07 2016-01-14 Fair Isaac Corporation Cyber security adaptive analytics threat monitoring system and method
US20190342311A1 (en) * 2015-08-31 2019-11-07 Splunk Inc. Processing anomaly data to identify threats to network security
US20170346846A1 (en) * 2016-05-31 2017-11-30 Valarie Ann Findlay Security threat information gathering and incident reporting systems and methods
RU2702269C1 (ru) * 2019-06-04 2019-10-07 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Система интеллектуального управления киберугрозами

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117640250A (zh) * 2024-01-24 2024-03-01 天津慧聪科技有限公司 一种企业信息安全管理系统

Also Published As

Publication number Publication date
RU2747476C1 (ru) 2021-05-05
EA202092860A1 (ru) 2022-02-28

Similar Documents

Publication Publication Date Title
US11212299B2 (en) System and method for monitoring security attack chains
US20240031397A1 (en) Selecting actions responsive to computing environment incidents based on severity rating
US10313382B2 (en) System and method for visualizing and analyzing cyber-attacks using a graph model
US8272061B1 (en) Method for evaluating a network
CN107563203B (zh) 集成安全策略和事件管理
US11895135B2 (en) Detecting anomalous behavior of a device
US11909752B1 (en) Detecting deviations from typical user behavior
US7735141B1 (en) Intrusion event correlator
TW550913B (en) System and method for assessing the security posture of a network
CN100463461C (zh) 主动式网络安全漏洞检测器
KR101883400B1 (ko) 에이전트리스 방식의 보안취약점 점검 방법 및 시스템
US20090198707A1 (en) System and method for managing firewall log records
CN103999091A (zh) 地理映射系统安全事件
US20100305990A1 (en) Device classification system
CN103414585A (zh) 建立业务系统的安全基线的方法和装置
CN102790706A (zh) 海量事件安全分析方法及装置
RU2747476C1 (ru) Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры
US11916964B2 (en) Dynamic, runtime application programming interface parameter labeling, flow parameter tracking and security policy enforcement using API call graph
CN116137908A (zh) 动态确定端到端链路的信任级别
US10826927B1 (en) Systems and methods for data exfiltration detection
RU2769075C1 (ru) Система и способ активного обнаружения вредоносных сетевых ресурсов
US11228619B2 (en) Security threat management framework
Gonzalez-Granadillo et al. Enhancing information sharing and visualization capabilities in security data analytic platforms
GLAVAN et al. Multi-access edge computing analysis of risks and security measures
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20948327

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20948327

Country of ref document: EP

Kind code of ref document: A1