公开了用于确定在一个或多个由计算元件组成的计算系统内的网络风险相关损失的概率的系统、方法和存储介质。示例性实施方式可以:通过基于在计算元件处于易受攻击状态的给定时间帧内的离散时间的数量确定所述计算元件的暴露窗口来评估脆弱性;确定所述计算元件与威胁行为体的接触频率;归一化所述暴露窗口和所述接触频率;通过将所述归一化的暴露窗口除以所述归一化的接触频率来计算损失事件频率;以及针对多个元件重复这些步骤。当与描述这些事件的损失幅度蕴含的责任数据结合时,组织可基于损失暴露来对所述元件排优先级并采取行动以防止损失暴露。动以防止损失暴露。动以防止损失暴露。
【技术实现步骤摘要】
【国外来华专利技术】计算在计算系统内的网络风险损失的频率的系统、方法和存储介质
[0001]本公开涉及用于计算在一个或多个由本文中称为“资产”的计算元件组成的计算系统内的网络风险相关损失的频率的系统、方法和存储介质。
技术介绍
[0002]网络风险环境是复杂的且动态的,并且用于管理该网络风险的资源是有限的。不可避免的含义(implication)在于组织必须对其面临的许多网络相关风险排优先级,以便务实地应对风险。一旦发生了该排优先级,组织就可估计并比较许多可用的风险缓解选项的成本效益主张。优先化的第一步骤要求测量网络相关损失事件的频率。
[0003]例如,假设企业可能在其网络风险环境内具有一千个资产,并且这些系统的脆弱性有可能每天使用常见扫描技术(例如,QUALYS
TM
)进行估计。资产可以是计算系统、应用程序、计算环境或计算装置。此外,假设QUALYS报告这些资产在给定一天内总共存在3,457个漏洞,其中使用名为常见脆弱性评分系统(CVSS)的评分系统或其某些衍生品将那些漏洞的三分之一评定为严重或非常高。
[0004]CVSS是用于产生反映脆弱性严重性的数字得分的已知机制。然后,数字得分可转变为定性表示(诸如低、中、高和严重)。然而,已知CVSS模型不准确(例如,其忽略了风险方程的频率侧、其在序数尺度上使用了复杂数学等),这意味着这些工具对于确定来自这些事件的损失的频率不可靠。在无法基于频率来为其缓解尝试排优先级时,在本示例中的企业将被迫试图修复多于一千个的易受攻击状况。以及时方式解决这么多脆弱性是不务实的,尤其是考虑到网络风险威胁环境的高度动态性质。
[0005]由于与损失事件频率(LEF)相关的经验数据对于大多数网络相关损失事件通常稀有并难以得到,因此分析师必须基于对潜在因素的手动分解来估计频率。然后,这种估计可应用在信息风险因素分析(FAIR)模型内,该FAIR模型是用于从财务方面量化并管理网络风险的常见本体和方法。
[0006]当使用FAIR模型时,确定LEF归结为估计损失事件频率(TEF)和脆弱性,这进一步分解为接触频率和行动概率(在TEF下)和威胁能力和难度(在脆弱性下)。图1是FAIR本体的相关部分的图示。然而,难以可靠地估计威胁能力和难度,这降低了一些分析的可靠性。此外,许多组织必须在数百个或甚至数千个易受攻击状况(例如,缺少软件补丁)中排优先级,这无法通过手动分析方法合理地完成。因此,威胁分析方法的现状以及由此的应对网络威胁的现状非常繁琐和低效。
技术实现思路
[0007]本公开的一个方面涉及一种系统,所述系统被配置为在一个或多个由计算元件组成的计算系统内对网络风险排优先级。所述系统可包括一个或多个硬件处理器,所述一个或多个硬件处理器由机器可读指令配置。所述处理器可被配置为通过基于在计算元件处于
易受攻击状态的给定时间帧(time frame)内的离散时间的数量确定所述计算元件的暴露窗口来评估脆弱性。所述处理器可被配置为确定所述计算元件与威胁行为体的接触频率。所述处理器可被配置为归一化所述暴露窗口和所述接触频率。所述处理器可被配置为通过将所归一化的暴露窗口除以所归一化的接触频率来计算LEF。所述处理器可被配置为针对多个元件重复以上操作。当与损失幅度数据(不是本公开的一部分)结合时,所述处理器可被配置为基于威胁损失频率来对所述元件排优先级,并且当与损失幅度数据结合时,基于损失暴露来对元件排优先级。
[0008]本公开的另一方面涉及一种用于在一个或多个由计算元件组成的计算系统内对网络风险排优先级的方法。所述方法可包括在通过基于在计算元件处于易受攻击状态的给定时间帧内的离散时间的数量确定所述计算元件的暴露窗口来评估脆弱性。所述方法可包括确定所述计算元件与威胁行为体的接触频率。所述方法可包括归一化所述暴露窗口和所述接触频率。所述方法可包括通过将所归一化的暴露窗口除以所归一化的接触频率来计算LEF。所述方法可包括针对多个元件重复以上步骤。当与损失幅度数据结合时,所述方法可包括基于损失事件频率来对所述元件排优先级。
[0009]本公开的又一方面涉及一种非暂时性计算机可读存储介质,在所述非暂时性计算机可读存储介质上包含指令,所述指令可由一个或多个处理器执行以执行用于在一个或多个由计算元件组成的计算系统内对网络风险排优先级的方法。所述方法可包括在通过基于在计算元件处于易受攻击状态的给定时间帧内的离散时间的数量确定所述计算元件的暴露窗口来评估脆弱性。所述方法可包括确定所述计算元件与威胁行为体的接触频率。所述方法可包括归一化所述暴露窗口和所述接触频率。所述方法可包括通过将所归一化的暴露窗口除以所归一化的接触频率来计算LEF。所述方法可包括针对多个元件重复以上步骤。当与损失幅度数据结合时,所述方法可包括基于损失事件频率来对所述元件排优先级。
[0010]参考附图考虑以下描述和所附权利要求书,本专利技术的这些和其他特征和特性以及结构的相关元件的操作方法和功能还有零件和制造经济性的组合将变得更清楚,所有附图形成本说明书的一部分,其中在各个图中,相似的附图标记表示对应的部分。然而,应当明确地理解,附图仅出于说明和描述目的,并且不旨在作为本专利技术的限制的定义。如本说明书中和权利要求书中所使用,除非上下文另外明确地指出,否则单数形式“一个”、“一种”和“所述”包括复数指代物。
附图说明
[0011]图1是FAIR本体的图示。
[0012]图2示出根据一个或多个实施例的被配置为在一个或多个计算系统内对网络风险排优先级的系统。
[0013]图3示出根据一个或多个实施例的用于在一个或多个计算系统内对网络风险排优先级的方法。
具体实施方式
[0014]对威胁环境如何运作的仔细检查表明可将威胁行为体解析为两个宽泛群体:1)威胁行为体是机会主义者并将攻击任何易受攻击组织,以及2)基于一个或多个价值相关标准
来仔细地选择其目标的威胁行为体。短语“威胁环境”是指特定计算系统潜在地面对的一系列威胁。机会主义者威胁行为体典型地在互联网上搜索可利用的易受攻击状况(例如,缺少补丁、密码为空白的账户等)。其他威胁行为体仔细地选择其目标并将持续地监视和探测其目标的攻击面区域(例如,面向互联网的系统、应用程序、最终用户等),直到识别出可利用的易受攻击状况。在这两种情况下,在发现可利用的易受攻击状况之前,不发生实际攻击(利用尝试)。
[0015]鉴于这种理解,可通过以下两个参数得出估计的LEF:1)易受攻击状况的频率和持续时间,以下称为“暴露窗口”,因为其代表了暴露于威胁行为体所利用的时间窗口;2)威胁方接触频率。当数学上结合(如下所述)时,可使用这两个值来得到威胁方将接触并利用易受攻击状况而导致损失事件的概率。这为预期的LEF提供了基础。
[0016]这个概念可作为FAIR模型的扩展进行应用,其消除了使用威胁能力和难度来估计脆弱性的需要。此外,FAIR模型中的行动概率分支可通过假设遇到易受攻击状况的威胁行为体(机会主义者和有选择性的威胁行为体)有1本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种系统,被配置用于确定在一个或多个由计算元件组成的计算系统内的网络风险损失的频率,所述系统包括:一个或多个硬件处理器,所述一个或多个硬件处理器由机器可读指令配置以用于:通过基于在计算元件处于易受攻击状态的给定时间帧内的离散时间的数量确定所述计算元件的暴露窗口来评估脆弱性;确定所述计算元件与威胁行为体的接触频率;归一化所述暴露窗口和所述接触频率;通过将归一化的暴露窗口除以归一化的接触频率来计算损失事件频率;以及针对多个元件重复以上操作。2.如权利要求2所述的系统,其中所述暴露窗口的归一化是作为评估脆弱性的一部分完成的,并且所述接触频率的归一化是作为确定频率的一部分完成的。3.如权利要求2所述的系统,其中所述暴露窗口的归一化包括将所述离散时间设定为一天并将所述给定时间帧设定为一年,并且所述接触频率的归一化是通过确定接触间隔平均时间来进行的,所述接触间隔平均时间由在一年中的天数除以在一年中的接触次数表示。4.如权利要求2所述的系统,其中所述暴露窗口、所述接触频率和所述损失事件频率被表达为范围,并且所述计算损失事件频率包括应用随机过程。5.如权利要求2所述的系统,其中评估脆弱性包括在可利用的易受攻击状态与不可利用的易受攻击状态之间进行确定,并仅使用可利用的易受攻击状态来确定所述离散时间的数量。6.如权利要求2所述的系统,其中确定频率包括确定在威胁环境内所述元件的位置,并且其中指示所述接触频率的数据基于所述位置确定。7.如权利要求2所述的系统,其中评估脆弱性包括使用零日利用信息来确定所述暴露窗口。8.如权利要求2所述的系统,其中所述一个或多个硬件处理器由机器可读指令进一步配置以基于元件的排优先级来采取网络风险预防活动。9.如权利要求1所述的系统,其中所述一个或多个硬件处理器由机器可读指令进一步配置以将所确定的损失事件频率与损失幅度数据结合并基于损失暴露来对元件排优先级。10.一种用于在一个或多个由计算元件组成的计算系统内对网络风险排优先级的方法,所述方法包括:通过基于在计算元件处于易受攻击状态的给定时间帧内的离散时间的数量确定所述计算元件的暴露窗口来评估脆弱性;确定所述计算元件与威胁行为体的接触频率;归一化所述暴露窗口和所述接触频率;以及通过将归一化的暴露窗口除以归一化的接触频率来计算损失事件频率;以及针对多个元件重复以上步骤。11.如权利要求10所述的方法,其中所述暴露窗口的归一化是作为评估脆弱性的一部分完成的,并且所述接触频率的归一化是作为确定频率的一部分完成的。12.如权利要求10所述的方法,其中所述暴露窗口的归一化包括将所述离散时间设定
为一天,并将所述给定时间帧设定为一年,并且所述接触频率的归一化是通过确定接触间隔平均时间来进行的,所述接触间隔平均时间由在一年中的天数除以在一年中的接触次数表示。13.如权利要求10所述的方法,其中所述暴露窗口...
【专利技术属性】
技术研发人员:J,
申请(专利权)人:风险透镜股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。