计算定量资产风险的制作方法

计算定量资产风险的制作方法
【专利摘要】识别用于多个已知弱点中的特定弱点的标准化弱点分数，其中，标准化弱点分数指示相对于其他弱点的与特定弱点相关联的相对风险水平。确定指示特定资产拥有特定弱点的估计概率的弱点检测分数；以及确定用于特定资产对特定弱点的弱点复合分数，其中，从标准化弱点分数和弱点检测分数导出弱点复合分数。识别对策分量分数，其中，对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率。根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。在某些实例中，可以根据多个计算的风险度量来计算聚合风险分数。
【专利说明】计算定量资产风险
【技术领域】
[0001]本公开一般地涉及计算机安全性评定领域，并且更具体地涉及用于在计算资产系统中计算用于资产的风险度量。
【背景技术】
[0002]资产是计算机或其他电子设备。资产系统可以通过一个或多个网络被连接。例如，家庭可能具有五个资产，其中的每一个被相互联网并通过因特网连接到外面世界。作为另一示例，企业可能具有三个在物理上独立的办公室，其中的每一个具有许多资产。每个办公室内的资产和跨办公室的资产可以通过网络被连接。
[0003]资产系统中的每个资产可能在任何给定时间处于来自多个威胁的风险。每个威胁可对应于由特定病毒、恶意软件或其他未授权实体对资产的潜在攻击。攻击在未授权实体利用资产的已知弱点以求访问或控制资产时发生。某些威胁和弱点具有已知的补救措施，其如果被针对资产实施，则消除或降低该威胁将影响资产的风险。某些威胁不具有已知补救措施。此外，某些已知弱点可能并未与已知威胁相关联。
【专利附图】

【附图说明】
[0004]图1是被网络监视器监视的示例性资产系统的简化示意图；
图2是网络监视器所使用的数据源的示例的简化框图；
图3A是用于生成用于资产和威胁的威胁中心风险度量的示例性过程的流程图；
图3B是用于生成用于资产和弱点的弱点中心风险度量的示例性过程的流程图；
图4是用于基于每个威胁或每个弱点将用于资产的风险度量聚合的示例性过程的流程图；以及
图5是用于基于每个资产将风险度量聚合的示例性过程的流程图。
图6是根据用于资产的聚合风险度量而呈现前十个最处于风险中资产的示例性用户接口。
[0005]各个图中的相同附图标记和命名指示相同的元件。
【具体实施方式】[0006]概沭
一般地，可以用各方法来体现在本说明书中描述的主题的一个方面，所述方法包括识别用于多个已知弱点中的特定弱点的标准化弱点分数的动作，该标准化弱点分数指示相对于其他弱点的与特定弱点相关联的相对风险水平。可以确定弱点检测分数，其指示特定资产拥有特定弱点的估计概率，并且可以针对特定资产确定对特定弱点的弱点复合分数，弱点复合分数是从标准化弱点分数和弱点检测分数导出的。可以识别对策分量分数，其指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率。可以根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。[0007]此外，在另一一般方面，提供了包括至少一个处理器设备、至少一个存储器元件以及网络监视器的系统。网络监视器在被处理器执行时能够识别用于多个已知弱点中的特定弱点的标准化弱点分数，该标准化弱点分数指示相对于其他弱点的与特定弱点相关联的相对风险水平。网络监视器还可以确定指示特定资产拥有特定弱点的估计概率的弱点检测分数，确定从标准化弱点分数和弱点检测分数导出的用于特定资产对特定弱点的弱点复合分数。此外，网络监视器可以识别对策分量分数并根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量，对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率。
[0008]此外，可以以各方法来体现在本说明书中描述的主题的一个方面，所述方法包括接收弱点定义数据的动作，该弱点定义数据包括用于多个弱点中的每一个的弱点指示、降低与资产拥有弱点相关联的风险的一个或多个对策的标识、潜在地由针对弱点的每个对策给予的保护水平的指示以及描述弱点所适用的资产的一个或多个配置的适用性信息。还可以针对一个或多个资产中的每一个接收弱点检测数据、对策检测数据以及配置数据，弱点检测数据识别可应用于资产的弱点，用于每个资产的对策检测数据识别保护资产的一个或多个对策，并且用于每个资产的配置数据描述资产的配置。可以针对一个或多个弱点中的每一个针对一个或多个资产中的每一个确定各风险度量。确定该风险度量可以针对每个资产和每个弱点包括:识别用于弱点的标准化弱点分数，该标准化弱点分数指示与弱点相关联的相对于其他弱点的相对风险水平；根据用于资产的弱点检测数据来确定用于资产的弱点检测分数；确定从标准化弱点分数和弱点检测分数导出的用于特定资产对特定弱点的弱点复合分数；通过分析由在用于弱点的弱点定义数据中和在对策数据中都识别为保护资产的每个对策给予的保护水平，来根据弱点定义数据和对策检测数据而确定对策分量分数；以及根据弱点复合分数和对策分量分数来确定用于资产和弱点的风险度量。
[0009]这些及其他实施例每个能够可选地包括以下特征中的一个或多个。标准化弱点分数可以包括标准化分量和根据包括特定资产的特定系统的特征来调整标准化分量的环境分量。环境分量可以表示特定系统内的特定资产的关键性，并且可以基于用于特定资产的关键性数据信息导出，该关键性信息定义损失特定资产的影响。标准化分量和环境分量中的每一个可以包括描述基于特定弱点的对资产的机密性影响、基于特定弱点的对资产的完整性影响以及基于特定弱点的对资产的可用性影响的数据。标准化分量可以包括反映随时间推移对由特定弱点引起的风险的改变的时间分量。标准化弱点分数可以至少部分地基于公共弱点评分系统(CVSS)的标准分数。可以针对特定弱点接收弱点定义数据，该弱点定义数据包括特定弱点的标识、降低弱点将影响资产的风险的一个或多个对策的标识、指示潜在地由用于弱点的每个对策给予的保护水平的对策保护数据以及描述弱点所适用的资产的一个或多个配置的适用性数据。还可以接收用于特定资产的弱点检测数据、对策检测数据以及配置数据；用于特定资产的弱点检测数据包括暗示特定资产是否拥有弱点的信息、识别保护特定资产的一个或多个对策的用于资产的对策检测数据以及描述特定资产的配置的用于特定资产的配置数据。可以至少从对策保护数据和对策检测数据导出对策分量分数。还可以从用于特定资产的配置数据导出对策分量分数。识别对策分量分数可以包括计算对策分量分数。可以至少从弱点检测数据导出弱点检测分数。还可以从用于特定资产的配置数据导出弱点检测分数。[0010]此外，实施例每个可以可选地包括以下特征中的一个或多个。用于特定资产的所确定风险度量可以是弱点中心风险度量，并且还可以针对特定资产确定威胁中心风险度量。确定用于特定资产的威胁中心风险度量可以包括:确定从估计特定威胁的严重性的威胁严重性分数和估计特定威胁对特定资产的适用性的适用性分数导出的用于特定资产和特定威胁的威胁因数；确定从威胁因数、弱点分量分数以及威胁对策分量分数导出的用于特定资产和特定威胁的威胁暴露因数，弱点分量分数指示特定资产针对特定威胁是否是脆弱的，并且确定从第二对策将缓解关于特定威胁的攻击对特定资产的影响的可能性估计导出的对策分量分数。可以根据用于特定资产的威胁暴露因数和关键性分数来确定用于特定资产和特定威胁的威胁中心风险度量，关键性分数表示损失资产的影响。特定威胁可以利用特定弱点，弱点分量分数可以等于弱点检测分数，并且特定对策可以是第二对策。所确定弱点中心度量和威胁中心度量的各计算值可以是不同的。
[0011]此外，实施例每个可以可选地包括以下特征中的一个或多个。标准化弱点分数可以具有在预定义范围内的值。标准化对策分量分数也可以具有在预定义范围内的值。可使所述多个已知弱点中的至少某些弱点与多个已知威胁中的至少一个相关联，而特定弱点并未与任何已知威胁相关联。可以针对资产确定各风险度量，并且可以根据用于资产和所述多个弱点中的每一个的各风险度量而针对资产确定聚合风险度量。聚合风险度量可以是以下各项中的一个:各风险度量的和、各风险度量的平均值、各风险度量的最大值、各风险度量的最小值或各风险度量的模。可以选择包括特定资产的一组资产，并且可以针对该组中的每个资产确定聚合风险度量以然后根据资产的各聚合风险度量来确定用于该组资产的聚合风险度量。在其他实例中，可以针对多个资产中的每一个确定各风险度量，并且可以根据用于所述多个资产中的每一个和弱点的各风险度量而针对该弱点确定聚合风险度量。
[0012]特征中的某些或全部可以是计算机实现方法，或者进一步地包括在用于执行此所述功能的各系统或其 他设备中。在附图和以下描述中阐述了本公开的这些及其他特征、方面以及实施方式的细节。根据该描述和附图以及根据权利要求，本公开的其他特征、目的和优点将是显而易见的。
[0013]示例性实施例 §1.0资产系统概述
图1图示出被网络监视器102监视的示例性资产系统100。系统100中的资产104通过网络106被相互连接，并且可选地连接到其他系统。
[0014]每个资产104可能对于一个或多个威胁而言是脆弱的。这些威胁包括例如引起未授权攻击的病毒、恶意软件及其他软件或代理。可以用多种对策来保护每个资产。这些对策包括被动对策和主动对策。
[0015]主动对策可以是完全地或部分地消除弱点的存在的对策。例如，对脆弱应用程序或OS部件应用补丁去除弱点。类似地，在其中浏览器设置过于宽松或口令过于短的情况下重配置可消除弱点(并且您创建新的更强口令)。其他主动对策包括卸载脆弱应用程序、关掉脆弱服务并且甚至关掉脆弱机器或将其网络电缆拔掉插头。
[0016]被动对策隐藏弱点的存在以屏蔽其而不被(例如被威胁)利用。例如，被动对策可以包括利用防火墙来保护被脆弱的应用程序侦听的端口，或者激活主机入侵保护系统(HIPS)以检测尝试利用应用程序或操作系统部件中的脆弱代码片上的缓冲器溢出的签名。主动和被动对策可以是基于网络或主机的，并且可以是传感器相关的(诸如防病毒或HIPS)，或者被配置为用于主机的屏蔽(诸如网络或主机防火墙、代理服务器、分组过滤器等)。被动对策总体地保护主机直至弱点可以具有所应用的主动对策为止，或者针对未知弱点进行保护。
[0017]被动对策可以由两种传感器提供:基于主机的传感器108和基于网络的传感器110。基于主机的传感器108和基于网络的传感器110监视资产本身和/或到和来自资产的网络业务。出于说明性目的，下面将传感器描述为通过提供一个或多个对策来监视资产和保护资产两者。然而，监视和对策功能不一定由同一传感器提供。在以下描述中，使用传感器来指代各种类型的监视和保护系统，包括例如防火墙、主机入侵预防系统、网络入侵预防系统、网络访问控制系统、入侵检测系统、防病毒软件以及垃圾过滤器。
[0018]基于主机的传感器108和基于网络的传感器110可以包括作为传感器的一部分的一个或多个被动对策。这些被动对策是保护资产免受各种威胁的软件程序和/或硬件。每个被动对策降低威胁将影响资产的风险。被动对策通过检测并停止与威胁相关联的攻击、通过检测并停止与攻击相关联的活动或者通过缓解由攻击引起的损害来针对威胁进行保护。例如，可将被动对策配置成检测具有与特定攻击相关联的签名的数据，并且阻挡具有该签名的数据。作为另一示例，被动对策可生成被攻击作为目标的特定文件的备份拷贝，使得即使攻击影响了文件，也能够恢复文件。示例性被动对策包括但不限于硬件防火墙、软件防火墙、数据丢失预防系统、web代理、邮件过滤器、基于主机的入侵预防系统、基于网络的入侵预防系统、基于速率的入侵预防系统、基于内容的入侵预防系统、入侵检测系统以及病毒检测软件。
[0019]被动对策也可以是并未完全保护免受攻击的影响或缓解攻击的影响的部分对策。例如，部分被动对策可以阻挡与特定攻击相关联的网络业务中的某些但不是全部。作为另一示例，如果威胁需要直接物理访问或网络访问以损害资产，则示例性部分被动对策将阻挡对资产的网络访问，但不阻挡物理访问。
[0020]基于主机的传感器108可以包括安装在各资产104上的基于代理或否则基于软件的传感器。例如，基于主机的传感器108a被安装在资产104a上,基于主机的传感器108b被安装在资产104c上,并且基于主机的传感器108c被安装在资产104e上。基于主机的传感器108在其各自资产104上运行各种分析例如以识别资产104上的弱点或识别在资产104上执行的病毒或其他恶意软件。基于主机的传感器还可提供用于威胁的一个或多个被动对策，如上所述。示例性基于主机的传感器可以包括防病毒及其他防恶意软件的软件。
[0021]基于网络的传感器110是在受传感器保护的资产104与资产尝试访问的网络资源之间的数据通信路径中的硬件设备和/或软件。例如，传感器IlOa被连接到资产104a和104b，并且传感器IlOb被连接到资产104c、104d和104e。虽然图1图示出在与每个资产的通信路径中的单个基于网络的传感器110，但其他配置是可能的。例如，可以将多个基于网络的传感器110连接到同一资产104，并且可不将某些资产104连接到任何基于网络的传感器 110。
[0022]当资产104尝试通过网络106来发送信息或通过基于网络的传感器110在网络106上接收信息时，传感器分析关于资产104的信息和正在发送或接收的信息，并确定是否允许通信。示例性基于网络的传感器包括一个或多个处理器、存储器子系统以及输入/输出子系统。所述一个或多个处理器根据存储在存储器子系统中的指令而被编程，并监视传递通过输入/输出子系统的网络业务。所述一个或多个处理器被编程为独自地采取一个或多个保护动作，或者查询传感器控制系统(未示出)并按照传感器控制系统102的指示采取进一步动作。示例性基于网络的传感器包括网络访问控制系统、防火墙、路由器、交换机、桥、集线器、web代理、应用程序代理、网关、网络访问控制系统、邮件过滤器、虚拟专用网、入侵预防系统和入侵检测系统。
[0023]还可以用应用于资产的一个或多个主动对策来保护资产104。主动对策对资产配置或现有被动对策的配置做出改变以主动地消除弱点。相对地，被动对策隐藏弱点的影响，但是不去除弱点。每个主动对策在主动对策被应用于资产时通过消除或至少减少弱点而消除或至少降低威胁将影响资产的风险。主动对策通过修改资产104的配置使得资产针对威胁不再是脆弱的而针对威胁进行保护。例如，主动对策可以关闭资产上开放的后门或者修正另一种类型的系统弱点。示例性主动对策包括但不限于应用于资产的软件补丁。
[0024]资产104可能在任何给定时间针对许多不同的威胁是脆弱的。某些资产104可已用一个或多个被动对策来保护，并且某些资产104可能需要使附加对策付诸实施以保护资产免受该威胁影响。因此，确定用于每个资产和每个威胁的风险度量是有帮助的。该风险度量是在威胁将影响资产的概率和威胁将引起的影响的大小两方面威胁对资产造成的风险的量化度量。
[0025]网络监视器102可以包括一个或多个计算机，其中的每一个包括一个或多个处理器(例如，112) 、存储器子系统(例如，114)以及输入/输出子系统(例如，116)。网路监视器102被编程为处理关于网络上的潜在威胁以及由传感器提供的对策和资产的弱点的数据，以便生成用于资产和威胁的风险度量。网络监视器102还可以跨系统将风险度量聚合。在某些实例中，可以使用驻留于一个或多个资产104本身上的一个或多个基于主机的监视器来实现和执行网络监视器102的各部分和/或网络监视器102的功能。此类基于主机的监视器可以包括例如，
下面更详细地描述风险度量以及用于生成和聚合风险度量的示例性技术。
[0026]§ 2.0用于风险度暈生成的示例性数据源
网络监视器102从若干源接收数据以便确定用于给定资产和给定威胁和/或弱点的风险度量。一般地，威胁可以包括作为对资产或系统的危险的源的某些事物。弱点包括可能被利用以对资产或系统做出伤害的资产或系统内的薄弱处。威胁利用一个或多个弱点来对资产或系统做出伤害。换言之，每个威胁利用一个或多个已知弱点。另一方面，弱点可以在不存在已知或定义威胁的情况下存在，并且可以仍表示面对资产或系统的风险。
[0027]图2图示出网络监视器102所使用的数据源的示例。网络监视器102接收威胁定义数据204、弱点定义数据205、弱点检测数据206、资产配置数据207以及对策检测数据208中的一个或多个。威胁定义数据描述所识别威胁、什么对策(如果有的话)保护资产免受威胁影响以及威胁的严重性。弱点定义数据205类似地描述所识别弱点、缓解与该弱点相关联的风险(或解决该弱点)的对策以及弱点的严重性。在某些情况下，弱点定义数据205可以包括表示行业标准的标准化弱点分数或已知弱点的相对严重性的其他协作评定。弱点检测数据206针对每个资产且针对每个威胁指定该资产对于威胁而言是脆弱的、对于威胁而言不是脆弱的或者具有未知弱点。配置数据207针对每个资产指定资产的配置细节。对策检测数据208针对每个资产指定什么对策正在保护资产。
[0028]§2.1.1资产配置数据
从一个或多个配置数据源209接收资产配置数据207。在某些实施方式中，一个或多个配置数据源209是一个或多个数据聚合器。数据聚合器是接收配置数据、将数据聚合并以网络监视器102可使用的格式将数据格式化的一个或多个服务器。数据聚合器可以从资产本身或从监视资产的传感器接收配置数据。示例性数据聚合器包括可从加利福尼亚州圣克拉拉市的McAfee获得的McAfee ePolicy Orchestrator?以及可从华盛顿州雷德蒙市的微软公司获得的Active Directory?。例如，数据聚合器可以以关于资产配置的细节来保持资产数据储存库。替换地，一个或多个配置数据源209是资产和/或传感器本身。当配置数据源209是资产和/或传感器本身时，可以将配置数据直接地传送至网络监视器102，在某些情况下用于网络监视器102 (而不是资产和/或传感器本身)处的聚合。
[0029]资产的配置是硬件和/或软件配置。根据配置，各种弱点和/或威胁可适用于资产。一般地，资产的配置可以包括资产的物理配置、在资产上运行的软件以及在资产上运行的软件的配置中的一个或多个。配置的示例包括特定系列的操作系统(例如，Windows ?、Linux ?、Apple OS ?)、特定版本的操作系统(例如,Windows Vista?)、特定网络端口设置(例如，网络端口 8是开放的)以及在系统上执行的特定软件产品(例如，特定文字处理器或特定web服务器)。在某些实施方式中，配置数据不包括适合于资产的对策，或者资产针对特定威胁是否是脆弱的。
[0030]§2.1.2威胁定义数据
从威胁信息服务210接收威胁定义数据204且可以将其称为“威胁馈送”。威胁信息服务210识别威胁和针对威胁进行保护的对策，并且然后向网络监视器102提供数据。在某些实施方式中，威胁信息服务210可以通过网络向网络监视器102提供具有威胁定义数据的威胁馈送。威胁馈送可以例如是根据需要或者根据预定义调度而通过网络发送的威胁定义数据。
[0031]威胁定义数据204识别一个或多个威胁。威胁定义数据204还可以指定用于每个威胁的一个或多个威胁矢量。每个威胁矢量表示被威胁利用的弱点和该弱点如何被利用，例如表示与威胁相关联的特定攻击。在某些实施方式中，将用于威胁的多个威胁矢量聚合成表示整个威胁的单个威胁矢量。在其他实施方式中，单独地保持用于威胁的单独威胁矢量。如本文所使用的，威胁意指单个威胁矢量所表示的攻击或者一个或多个威胁矢量所表示的总体威胁。
[0032]此外，虽然威胁能够利用多个已知弱点，但有可能不知道某些已知弱点(虽然固有地将资产向潜在的威胁开放)能够被特定、实际或已知威胁利用。换言之，可能并不是所有弱点都被关联或匹配至特定威胁。事实上，在某些系统中，已知弱点的列表可呈指数地在数量上超过已知威胁的列表，从而增加已知弱点中的某些或者甚至许多并未与特定威胁相关联的可能性。
[0033]威胁定义数据204还针对每个威胁指定针对威胁进行保护的对策和用于每个对策的保护分数。一般地，保护分数估计对策对缓解威胁的影响。用于每个对策的保护分数具有在预定范围内的值。在该范围的一端(例如，低端)处的值指示对策提供低水平的缓解。在该范围的另一端(例如，闻端)处的值指不对策提供闻水平的缓解。[0034]考虑其中保护分数在从零至一百范围内的示例。信息服务210可以如下定义保护分数。当对策未覆盖威胁、威胁在对策的范围之外、对策的覆盖待决、对策的覆盖被在资产上执行的某些其他事物暗中破坏时、覆盖未被批准时或者对策的覆盖在分析中时，对策具有用于威胁的零的保护分数。当对策提供用于资产的部分覆盖时，对策具有50的保护分数。下面参考§2.1.4来更详细地描述提供用于资产的部分覆盖的部分对策。当对策预期或者实际上确实提供来自威胁的完全覆盖时，对策具有100的保护分数。可以替换地使用保护分数的其他标度或其他离散化。
[0035]指定缓解威胁的影响的对策的数据还可以包括用于对策的特定配置的所需系统设置。例如，这些设置可以包括软件产品必须使用的签名文件的版本，或者可以包括产品标识符、产品版本标识符以及描述软件产品的其他设置的数据。该数据还可以将某些对策识别为部分对策。在某些实施方式中，威胁定义数据204还包括用于针对威胁进行保护的每个对策的对策置信度分数。置信度分数是对策将降低威胁或威胁矢量将影响资产的风险的可能性的估计。威胁定义数据204还包括用于每个威胁的适用性数据。适用性数据指定资产必须具有从而对于威胁而言脆弱的配置。例如，适用性数据可以指定威胁仅攻击安装在资产上的特定操作系统或特定软件产品，或者威胁仅攻击产品的特定版本或以特定方式配置的产品。
[0036]威胁定义数据204还可以包括用于威胁的严重性分数。该严重性分数是威胁进行的攻击对于资产而言将有多严重的估计，并且还可可选地估计威胁将影响资产的可能性。可以根据多个因数来计算严重性分数，所述多个因数包括例如弱点如何被威胁利用的测量；一旦威胁获得了对目标系统的访问时的攻击复杂性；通常在威胁的攻击期间确定的认证询问的数目的测量；对被威胁作为目标的被成功利用的弱点的机密性的影响；对被威胁作为目标的被成功利用的弱点的系统完整性的影响；以及对被威胁作为目标的被成功利用的弱点的可用性的影响。可以由第三方来指定或者由信息源来确定严重性分数。 [0037]在某些实施方式中，威胁定义数据204还指定哪些传感器和/或在传感器上执行的哪些软件产品能够检测到对应于威胁的攻击。例如，假设威胁A能够攻击具有特定弱点的网络上的所有机器且产品B能够在其具有设置C时检测到弱点。在某些实例中，“设置”可以包括测试，诸如测试弱点的存在的测试脚本或其他可执行文件/应用程序。此外，产品D提供缓解威胁的影响的被动对策。在这种情况下，威胁定义数据可以指定威胁A攻击所有机器，具有设置C的产品B能够检测到对威胁的弱点，并且产品D提供针对威胁进行保护的被动对策。在某些示例中，诸如补丁之类的产品E能够提供用于消除威胁的主动对策。一般地，可以在威胁定义数据204中定义此类对策属性。
[0038]威胁定义数据204还可以可选地包括用于威胁的其他细节，例如是否已使得威胁的存在公开、谁使得威胁的存在公开(例如，其为已被损害的软件的供应商？)、用于威胁的公开披露的web地址以及用于威胁的一个或多个攻击矢量。攻击矢量可以用来确定在给定时间什么被动对策正在保护资产免受威胁影响。
[0039]威胁定义数据还可包括关于威胁的其他信息，例如威胁的简要描述、威胁的名称、威胁的重要性估计、其产品被威胁攻击的一个或多个供应商的标识符以及关于如何缓解或消除威胁的影响的建议。
[0040]在某些实施方式中，威胁定义数据具有分层结构(例如，多个层)。例如，第一层可以包括针对威胁脆弱的产品的一般标识，诸如软件供应商的名称或对威胁脆弱的特定产品的名称。附加层可以包括关于资产的所需配置的附加细节或威胁的其他细节，例如包括上述适用性数据的特定产品版本或设置。
[0041]§2.1.3弱点定义数据
从一个或多个弱点信息服务213接收弱点定义数据205。弱点信息服务21s识别弱点和针对弱点进行保护的对策，并且然后将数据提供给网络监视器102。在某些实施方式中，可以将弱点信息服务213与威胁信息服务210组合以提供弱点定义数据205和威胁定义数据204两者以供网络监视器102 (或供基于主机的部件和风险评定工具)使用。可以根据需要或者根据预定义调度而通过网络来发送弱点定义数据。
[0042]弱点定义数据205识别一个或多个弱点。如上所述，可借助于特定威胁利用特定弱点的标识使弱点与已知威胁(和相应的威胁定义数据204)相关联。可以在一个或多个威胁矢量中指定此类关系，并且还可以将其链接到弱点定义数据205或在弱点定义数据205内识别。在某些实施方式中，可以进一步或单独地在相关数据(在图2中未示出)中定义弱点与威胁之间的关系。此外，弱点定义数据205可以针对每个弱点指定针对弱点进行保护的对策和用于每个对策的保护分数。一般地，保护分数估计对策对缓解与弱点相关联的风险的影响。用于每个对策的保护分数可以具有在预定范围内的值。在该范围的一端(例如，低端)处的值指示对策提供低水平的缓解。在该范围的另一端(例如，高端)处的值指示对策提供高水平的缓解。
[0043]指定缓解弱点的影响的对策的数据还可以包括用于对策的特定配置的系统设置。例如，这些设置可以包括软件产品必须使用的签名文件的版本，或者可以包括产品标识符、产品版本标识符以及 描述软件产品的其他设置的数据。在其他实例中，设置可以指定用于资产的正确、改善或优化的配置，诸如将克服所识别弱点的配置。例如，仅仅作为一个示例，可将web浏览器的错误配置识别为可能经由访问恶意网站而利用的弱点，而重配置浏览器(手动地或自动地)可完全补救该错误配置并消除弱点。该数据还可以将某些对策识别为部分对策。在某些实施方式中，弱点定义数据205还包括用于针对与弱点相关联的风险进行保护的每个对策的对策置信度分数。置信度分数是对策将降低与弱点相关联的风险的可能性的估计。弱点定义数据205还可以包括用于每个弱点的适用性数据。适用性数据指定与资产上的弱点的存在相关联的资产配置。例如，适用性数据可以指定已知将向资产上引入弱点的某些操作系统、补丁版本、外围设备、软件应用程序版本、应用程序设置、插件等。此外，可以与资产配置数据207相结合地使用适用性数据以检测特定资产上的弱点并生成报告此类弱点的发现的相应弱点检测数据206。
[0044]包括在弱点定义数据205内的保护分数可以被关联到或以其他方式相关于针对相同对策包括在上文所讨论的威胁定义数据204中的保护分数。在某些实例中，可以认为给定对策针对与弱点相关联的风险以及与利用该弱点的威胁相关联的风险二者进行缓解。在某些实例中，与弱点相关联的风险可以取决于能够利用该弱点的威胁的严重性。事实上，在某些实施方式中，保护分数可以针对特定对策相对于特定弱点/威胁组合而言是恒定的。例如，用于特定对策的给定保护分数的值可以在考虑特定对策的弱点中心和威胁中心风险评定两者内是相同的。在其他实例中，包括在用于特定弱点的弱点定义数据205中的保护分数可以不同于包括在用于相关威胁的威胁定义数据204中的保护分数。此类差异可以反映例如对策的以下能力:不仅缓解归因于与特定弱点相关联的一个特定相关威胁的风险，而且缓解与特定弱点相关联的其他已知威胁(诸如当弱点向多个不同已知威胁暴露资产并且与多个不同已知威胁相关时)以及该特定威胁以外的可能潜在地利用特定弱点的其他预期或预测(但未知)的威胁。基于弱点定义数据205和威胁定义数据204的变化使用，具有弱点定义数据205的保护分数还可以在值方面与用于相同对策的包括在威胁定义数据204中的保护分数不同。例如，可以基于将利用各弱点定义数据205和威胁定义数据204的风险度量公式和计算技术的类型来优化针对每个保护分数所采用的标度、分数范围等。例如，可以针对弱点中心分析和公式来优化弱点定义数据205 (及其组成分数和值)，而针对威胁中心分析和公式来优化威胁定义数据204。
[0045]如与威胁定义数据204 —样，弱点检测数据206还可以包括相应弱点的严重性的测量。在某些实例中，威胁定义数据204可以包括标准化弱点严重性分数。可以结合特定风险度量的确定来使用此类标准化严重性分数，诸如公共弱点评分系统(CVSS)、SANS弱点分析标度、CERT/CC弱点分数等。标准化严重性分数可以利用来自纵贯整个企业、行业或标准设定组织的系统安全专家的智能以获得对关于数万个所检测、所识别、所解决、所测试以及以其他方式已知的弱点的知识的访问并对它们加以利用。标准化安全分数可以包括用于数千个分类弱点中的每一个的严重性分数。可以针对跨弱点目录的比较来将安全分数标准化，从而如果将在一般系统中识别了两个弱点的话，允许对甚至影响非常不同的资产的特定弱点的严重性进行比较。在某些实例中，可以对标准化弱点严重性分数进行自定义或调整以反映环境内的变化的真实性(即，“时间”考虑)以及特定、实际世界环境的独特问题和配置(即，“环境”考虑)。可以基于弱点定义数据205中的其他信息(诸如附加的系统特定弱点严重性数据或其他非公共信息)、资产配置数据207或可用于弱点信息服务213的其他数据和信息，来驱动且在某些情况下计算环境考虑。
[0046]在一个示例中，表示与弱点相关联的风险和风险严重性的标准化弱点分数可以考虑多个因素。例如，标准化弱点分数可以考虑特定弱点可能使资产暴露的各种影响和影响类型。例如，严重性分数可以基于特定弱点的机密性影响(例如，关于向授权用户限制对特定数据和资产的访问)、完整性影响(例如，关于保护被资产访问或接收或使用特定资产的信息的真实性和可信任性)以及可用性影响(例如，关于系统中的信息的可访问性)。类似地，在此类示例中，环境因数可以类似地从机密性、完整性以及可用性观点出发解决特定资产和子系统的相对重要性(和由此的弱点)。例如，CVSS提供标准化严重性分数，其结合了用于一般系统内的弱点的基础分数B(根据机密性、完整性以及可用性影响的组合考虑而确定)、时间调整因数Xt (以可选地考虑影响一般系统内的弱点的严重性的时间因数)以及环境因数(诸如附带损害潜在因数Xcdp (测量由弱点引入的对寿命或性质的系统特定潜在附带损害))、目标分布因数Xtd (测量受弱点影响的资产的估计百分比)以及影响因数ΧαΑ (结合对被用来计算基础分数B的机密性、完整性以及可用性影响的环境或资产特定调整)。相应地，CVSS标准化弱点严重性分数可以是:
= S (^mp ^td ^cia)。
[0047]§2.1.4弱点检测数据
从一个或多个弱点数据源212接收弱点检测数据206。在某些实施方式中，弱点数据源212是一个或多个数据聚合器。该数据聚合器从系统中的单独传感器接收弱点检测数据。该单独传感器可以是基于主机的传感器和/或基于网络的传感器。数据聚合器是接收配置数据(例如，207)、将数据聚合以及以网络监视器102可使用的格式将其格式化的一个或多个服务器。数据聚合器可以与作为一个或多个配置数据源209的数据聚合器相同或不同。数据聚合器可以从资产本身或从监视资产的传感器接收弱点检测数据。此外，数据聚合器可以访问和利用资产配置数据207来识别弱点可能与特定资产有关或者为特定资产所有。示例性数据聚合器是可从加利福尼亚州圣克拉拉市的McAfee?获得的McAfee ePolicyOrchestrator?。替换地,一个或多个弱点数据源212可以是资产和/或传感器本身。当一个或多个弱点数据源212是资产和/或传感器本身时，弱点检测数据在其被网络监视器102接收到时未被聚合，并且网络监视器102本身将检测数据聚合。
[0048]用于给定资产的弱点检测数据206指定由保护资产的传感器运行什么测试以及那些测试的结果。示例性测试包括病毒扫描、弱点分析、系统配置检查、策略合规检查、网络业务检查(例如，由防火墙、网络入侵检测系统或网络入侵预防系统提供)以及由基于主机的入侵预防系统或基于主机的入侵检测系统执行的测试。弱点检测数据206允许网络监视器102在某些情况下确定资产具有一个或多个弱点，并且在其他情况下确定资产不具有特定弱点。
[0049]可以通过收集、考虑以及比较资产配置数据207和弱点定义数据205来生成弱点检测数据206。可以例如基于用于给定资产的配置数据来确定给定弱点对特定资产的适用性。当描述证明或引起弱点的资产特性和配置的弱点定义数据205中的信息基本上匹配或近似于资产配置数据时，弱点数据源212 (或网络监视器202本身)可以确定该弱点适用于该资产。弱点检测数据还可以指示弱点为资产所拥有的概率。例如，当用于弱点的弱点定义数据指定精确地与资产的配置匹配的配置时，可以肯定地确定弱点为资产所拥有。在其他实施方式中，过程300确定当由适用性数据指定的配置仅部分地与资产的配置匹配时，弱点适用于资产。当 在适用性数据中指定的配置的某些方面与用于资产的配置数据匹配，但某个其他方面并不匹配时，由适用性数据指定的配置部分地与资产的配置匹配。在这种实例中，弱点检测数据206可以指示资产确实拥有或并不拥有弱点的概率。例如，当拥有弱点的操作系统和在资产上运行的操作系统在同一系列中但并不是相同操作系统(例如，不同版本、补丁、服务包等)时，可以确定弱点定义部分地与资产的配置匹配。在另一示例中，可以将识别到特定资产具有特定软件产品的已安装或正运行版本解释为意指资产对于已知存在于或可归因于产品的特定版本的特定弱点而言是脆弱的。
[0050]多个传感器可测试相同的弱点。在那种情况下，弱点检测数据206可以包括用于弱点的所有测试的结果(可选地规格化，如下所述)。替换地，弱点检测数据206可包括用于仅单个测试的结果，例如发现资产脆弱的测试或发现资产并不脆弱的测试。
[0051]在某些实施方式中，当资产可具有已被例如软件补丁的主动对策修正的弱点时，测试将指示资产对于威胁而言不是脆弱的，因为对策已停止该弱点。
[0052]§2.1.5对策检测数据
从一个或多个对策源214接收对策检测数据208。一般地，对策检测数据208针对给定资产指定什么对策适合于保护该资产。在某些实施方式中，对策检测数据208还指定什么对策不在保护资产。例如当对策根本未就位时，或者当其适合于保护资产但其或该资产未被适当地配置时，对策不在保护该资产。相应地，在某些实例中，已部署对策的检测和评定和对策检测数据208的生成可以包括资产配置数据207的考虑。
[0053]一个或多个对策源214是这样的源，其存储网络中的单独传感器的设置以及指定哪些资产受到哪些传感器保护的数据。例如，一个或多个对策源214可以是接收关于由网络中的传感器提供的保护的数据和关于哪些传感器保护哪些资产的数据的一个或多个计算机。一个或多个对策源214将数据聚合以确定哪些对策适合于保护每个资产。示例性对策数据源是可从加利福尼亚州圣克拉拉市的McAfee?获得的McAfee ePolicyOrchestrate/。示例性设置包括提供对策、产品版本以及产品设置的产品标识。其他示例性设置包括被对策阻挡的威胁的一个或多个签名(例如，文件签名或网络业务签名)。
[0054]对策可以由网络中的基于网络的传感器、网络中的基于主机的传感器或两者提供。当由在资产上运行的基于主机的传感器来提供对策时，清楚的是，该对策正在保护资产。然而，基于网络的对策远离其正在保护的资产。因此，需要附加数据以使基于网络的被动对策与其保护的资产相关联。一个或多个对策资源214必须首先确定哪些资产正在被哪些基于网络的传感器监视，并且然后针对每个传感器使由传感器提供的被动对策与被传感器监视的每个资产相关联。用户可以手动地使资产与传感器相关联，或者资产可以自动地与传感器相关联。
[0055]在某些实施方式中，用户通过各种用户接口手动地使资产与传感器相关联。例如，一个用户接口允许用户手动地指定受网络中的每个传感器保护的每个资产的身份。替换地，可以向用户呈现允许其指定用于使资产与传感器相关联的一系列规则的用户接口。所述规则可以例如基于网际协议(IP)地址范围、资产通过其连接到网络的节点、媒体访问控制(MAC)地址范围、资产的NetB1S名称或其他用户指定种类，诸如由用户定义的资产组或由用户标记的资产性质。
[0056]在其他实施方 式中，一个或多个对策源214可以基于从传感器接收到的警报自动地使传感器与资产相关。每个警报识别由传感器所检测的资产上的攻击。例如，当传感器检测到特定IP地址上的攻击时，一个或多个对策源214可以确定该传感器正在保护具有该特定IP地址的资产。
[0057]在某些实施方式中，当传感器的子部分保护资产时，使传感器与资产相关联的数据可以使该子部分与资产相关联。例如，如果基于网络的传感器上的特定端口或在传感器上运行的特定软件程序保护资产，则关联可以进一步指定该端口或该软件程序。
[0058]§ 2.1.6对数据讲行规格化和调解
上述数据是从不同的源接收到的且不一定采取相同格式。例如，每个源可以使用不同的命名惯例来识别威胁、对策以及资产。因此，网络监视器102可能必须在数据能够使用之前将其规格化。网络监视器102通过使用将从给定源接收到的数据格式化成标准格式的源特定调解器216来将数据规格化。例如，企业可从两个产品、产品A和产品B接收数据。产品A可以以一种格式提供数据，并且产品B可以以不同的格式提供数据。网络监视器102使用产品A特定的调解器而将来自产品A的数据转换成能够被网络监视器102使用的格式。类似地，网络监视器102使用产品B所特定的调解器而将来自产品B的数据转换成能够被网络监视器102使用的格式。每个源特定调解器可以是例如一个或多个计算机或一个或多个计算机上的一个或多个软件程序。每个源特定调解器216例如使用相应的表格来转换数据，该相应的表格将被特定源使用的标识符映射到被网络监视器102使用的标识符。[0059]§ 3.0用于风险度暈生成的示例性过程
可以生成风险度量以借助于资产暴露于特定弱点且从而在某些实例中暴露于已知利用特定弱点的关联威胁而说明或评定在特定资产中明显的风险。一般地，在现代系统中，已知弱点的数目大大地在数目上超过利用这些弱点的已知威胁。在某些系统中，所识别、所验证、已编目录或以其他方式已知的系统弱点的数目可能超过30，000或更多，而利用这些弱点的已知威胁的数目可能在5，000或更多的范围内。此外，虽然某些系统管理员对系统满意并基于威胁来管理系统(例如，采用威胁中心风险分析)，但其他管理员可发现弱点中心方法对补充或替换威胁中心风险分析是有用的。此外，在某些实例中，考虑到某些威胁未被映射到或者被识别为利用已知潜在地存在于特定系统资产内的各种系统弱点，威胁中心风险分析可能未适当地考虑存在于资产上的所有风险。结果，可以使用威胁中心和弱点中心技术中的任一者或两者来计算风险度量。
[0060]§ 3.1用于基于威胁的风险度暈生成的示例性过程
图3A是用于生成用于资产和威胁的威胁中心风险度量的示例性过程300的流程图。如本文所使用的，威胁可以是以用于威胁的单独威胁矢量所表示的特定攻击，或者可以是作为整体的威胁。可以例如由网络监视器102来实现该过程。
[0061]过程300确定用于资产和威胁的威胁因数T (302)。该威胁因数是从用于威胁的威胁严重性分数Ts和用于威胁的适用性分数Ap导出的。
[0062]在某些实施方式中，系统如下确定用于资产和威胁的威胁因数。系统确定用于威胁的威胁严重性分数Ts，确定用于威胁的适用性分数AP，并将威胁严重性分数乘以适用性分数，例如T= Ts AP。
[0063]在上文参考图2所述的威胁定义数据204中指定了威胁严重性分数Ts。一般地，威胁严重性分数Ts具有在预定值范围内的值。例如，威胁严重性分数Ts可以具有采取0.1增量的在0.0和10.0之间的值。在某些实施方式中，当用多个威胁矢量来表示威胁时，每个威胁矢量可以具有单独严重性分数。在这些实施方式中，过程300可以从单独严重性分数导出威胁严重性分数。例如，过程300可以使用最大单独威胁严重性分数或平均单独威胁严重性分数作为威胁严重性分数。
[0064]用于资产的适用性分数Ap在威胁适用于资产时具有第一值(例如，一)，并且在威胁不适用于资产时具有第二值(例如零)。当资产正在运行可能具有被威胁所利用的弱点的类型的软件时或者当资产包含可能具有被威胁所利用的弱点的硬件时，威胁适用于资产。例如，如果特定操作系统具有被威胁利用的已知弱点且资产正在运行该操作系统，则威胁适用于资产。无论资产上的操作系统是否具有弱点或已被补救以去除弱点都是如此。
[0065]过程300将用于给定威胁的适用性数据与用于给定资产的配置数据相比较以确定给定威胁是否适用于给定资产。上文参考图2更详细地描述了适用性数据和配置数据。当适用性数据与配置数据匹配时，过程300确定威胁适用于资产，并且因此适用性分数是第一值(例如，一)。相反，当适用性数据并未与配置数据匹配时，过程300确定威胁不适用于资产，并且因此适用性分数是第二值(例如，二)。如果过程不能确定威胁是否适用于资产，例如因为适用性数据或配置数据不可用，则适用性分数是第一值(例如，一)。
[0066]在某些实施方式中，过程300在用于威胁的适用性数据指定精确地与资产的配置匹配的配置时确定威胁适用于资产。在其他实施方式中，过程300在由适用性数据指定的配置仅部分地与资产的配置匹配时确定威胁适用于资产。当在适用性数据中指定的配置的某方面与用于资产的配置数据匹配，但某个其他方面并不匹配时，由适用性数据指定的配置部分地与资产的配置匹配。例如，过程300可以在被威胁作为目标的操作系统和在资产上运行的操作系统在同一系列中但不是相同操作系统时确定用于威胁的适用性数据部分地与资产的配置匹配。
[0067]在某些实施方式中，当用多个威胁矢量来表示威胁时，每个威胁矢量可以具有单独适用性数据。在这些实施方式中，过程300可以确定用于每个威胁矢量的单独适用性分数，并且然后从单独适用性分数导出适用性分数。例如，过程300可以使用最大单独适用性分数或者平均单独适用性分数作为适用性分数。
[0068]过程300确定用于资产和威胁的暴露因数E (304)。暴露因数E估计资产将受到威胁影响的风险，并且从威胁因数T、弱点分数V以及对策分数C导出。在某些实施方式中，暴露因数E与威胁因数T和弱点分数V成比例且与对策分数C成反比。例如，可以如下计算暴露因数:
【权利要求】
1.一种由数据处理设备执行的计算机实现的方法，包括: 识别用于多个已知弱点中的特定弱点的标准化弱点分数，其中，标准化弱点分数指示相对于所述多个已知弱点中的其他弱点的与特定弱点相关联的相对风险水平； 确定指示特定资产拥有特定弱点的估计概率的弱点检测分数； 确定用于特定资产对特定弱点的弱点复合分数，其中，从标准化弱点分数和弱点检测分数导出弱点复合分数； 识别对策分量分数，其中，对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率；以及 根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。
2.如权利要求1所述的方法，其中，标准化弱点分数包括标准化分量和根据包括特定资产的特定系统的特征来调整标准化分量的环境分量。
3.如权利要求2所述的方法，其中，环境分量至少部分地表示特定系统内的特定资产的关键性。
4.如权利要求3所述的方法，其中，基于用于特定资产的关键性信息来导出环境分量，其中，关键性信息定义损失特定资产的影响。
5.如权利要求2所述的方法,其中，标准化分量和环境分量中的每一个包括描述基于特定弱点的对资产的机密性 影响、基于特定弱点的对资产的完整性影响以及基于特定弱点的对资产的可用性影响的数据。
6.如权利要求2所述的方法，其中，标准化分量包括反映由特定弱点造成的风险随时间推移的改变的时间分量。
7.如权利要求2所述的方法，其中，标准化弱点分数至少部分地基于公共弱点评分系统(CVSS)的标准分数。
8.如权利要求1所述的方法，还包括: 接收用于特定弱点的弱点定义数据，弱点定义数据包括特定弱点的标识、降低弱点将影响资产的风险的一个或多个对策的标识、指示潜在地由用于弱点的每个对策给予的保护水平的对策保护数据以及描述弱点所适用于的资产的一个或多个配置的适用性数据；以及 接收用于特定资产的弱点检测数据、对策检测数据以及配置数据，其中，用于特定资产的弱点检测数据包括暗示特定资产是否拥有弱点的信息，用于资产的对策检测数据识别保护特定资产的一个或多个对策，并且用于特定资产的配置数据描述特定资产的配置。
9.如权利要求7所述的方法，其中，对策分量分数是至少从对策保护数据和对策检测数据导出的。
10.如权利要求9所述的方法，其中，对策分量分数进一步从用于特定资产的配置数据导出。
11.如权利要求9所述的方法，其中，识别对策分量分数包括计算对策分量分数。
12.如权利要求7所述的方法，其中，弱点检测分数是至少从弱点检测数据导出的。
13.如权利要求11所述的方法，其中，弱点检测分数进一步从用于特定资产的配置数据导出。
14.如权利要求1所述的方法，其中，用于特定资产的所确定风险度量是弱点中心风险度量，并且所述方法还包括确定用于特定资产的威胁中心风险度量，其中，确定用于特定资产的威胁中心风险度量包括: 确定用于特定资产和特定威胁的威胁因数，其中，威胁因数是从估计特定威胁的严重性的威胁严重性分数和估计特定威胁对特定资产的适用性的适用性分数导出的； 确定用于特定资产和特定威胁的威胁暴露因数，其中，威胁暴露因数是从威胁因数、弱点分量分数以及威胁对策分量分数导出的，其中，弱点分量分数指示特定资产针对特定威胁是否是脆弱的，并且对策分量分数是从第二对策将缓解关于特定威胁的攻击对特定资产的影响的可能性的估计导出的；以及 其中，根据用于特定资产的威胁暴露因数和关键性分数来确定用于特定资产和特定威胁的威胁中心风险度量，其中，关键性分数表示损失资产的影响。
15.如权利要求14所述的方法，其中，特定威胁利用特定弱点，弱点分量分数等于弱点检测分数，并且特定对策是第二对策。
16.如权利要求15所述的方法，其中，所确定的弱点中心度量和威胁中心度量的各计算值是不同的。
17.如权利要求1所述的方法，其中，标准化弱点分数具有在预定义范围内的值。
18.如权利要求1所述的方法，其中，标准化对策分量分数具有在预定义范围内的值。
19.如权利要求1所述的方法，其中，所述多个已知弱点中的至少某些弱点与多个已知威胁中的至少一个相关联，并且所述特定弱点不与所述多个已知威胁中的任何一个相关联。
20.—种在包括代码的非临时介质中编码的逻辑，所述代码用于执行且在被处理器执行时可操作用于执行包括以下各项的操作: 识别用于多个已知弱点中的特定弱点的标准化弱点分数，其中，标准化弱点分数指示相对于所述多个已知弱点中的其他弱点的与特定弱点相关联的相对风险水平； 确定指示特定资产拥有特定弱点的估计概率的弱点检测分数； 确定用于特定资产对特定弱点的弱点复合分数，其中，从标准化弱点分数和弱点检测分数导出弱点复合分数； 识别对策分量分数，其中，对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率；以及 根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。
21.—种系统,包括: 至少一个处理器装置； 至少一个存储器元件；以及 网络监视器，当被至少一个处理器装置执行时适合于: 识别用于多个已知弱点中的特定弱点的标准化弱点分数，其中，标准化弱点分数指示相对于所述多个已知弱点中的其他弱点的与特定弱点相关联的相对风险水平； 确定指示特定资产拥有特定弱点的估计概率的弱点检测分数； 确定用于特定资产对特定弱点的弱点复合分数，其中，从标准化弱点分数和弱点检测分数导出弱点复合分数； 识别对策分量分数，其中，对策分量分数指示对策将缓解与特定资产上的特定弱点相关联的风险的估计概率；以及根据弱点复合分数和对策分量分数来确定用于特定资产和特定弱点的风险度量。
22.—种方法,包括: 接收弱点定义数据，针对多个弱点中的每一个，弱点定义数据包括弱点的指示、降低与资产拥有弱点相关联的风险的一个或多个对策的标识、潜在地由用于弱点的每个对策给予的保护水平的指示以及描述弱点所适用的资产的一个或多个配置的适用性信息；接收用于一个或多个资产中的每一个的弱点检测数据、对策检测数据以及配置数据，其中，用于每个资产的弱点检测数据识别适用于资产的弱点，用于每个资产的对策检测数据识别保护资产的一个或多个对策，并且用于每个资产的配置数据描述资产的配置；以及确定针对一个或多个弱点中的每一个的用于一个或多个资产中的每一个的各风险度量，其中，确定风险度量包括针对每个资产和每个弱点: 识别用于弱点的标准化弱点分数，其中，标准化弱点分数指示与弱点相关联的相对于所述多个弱点中的其他弱点的相对风险水平； 根据用于资产的弱点检测数据来确定用于资产的弱点检测分数； 确定用于特定资产对特定弱点的弱点复合分数，其中，从标准化弱点分数和弱点检测分数导出弱点复合分数； 根据弱点定义数据和对策检测数据来确定对策分量分数，其中，确定对策分量分数包括分析由在用于弱点的弱点定义数据中和在对策数据中都识别为保护资产的每个对策给予的保护水平；以及 根据弱点复合分数和对策分量分数来确定用于资产和弱点的风险度量。
23.如权利要求22所述的方法，还包括: 确定用于资产和所述多个弱点中的每一个的各风险度量；以及根据用于资产和所述多个弱点中的每一个的各风险度量来确定用于资产的聚合风险度量。
24.如权利要求23所述的方法，其中，聚合风险度量是以下各项中的一个:各风险度量的和、各风险度量的平均值、各风险度量的最大值、各风险度量的最小值或各风险度量的模。
25.如权利要求23所述的方法，还包括: 选择包括资产的资产组； 确定用于资产组中的每个资产的聚合风险度量；以及 根据用于资产组中的每个资产的聚合风险度量来确定用于资产组的聚合风险度量。
26.如权利要求22所述的方法，还包括: 确定用于弱点和多个资产中的每一个的各风险度量；以及 根据用于弱点和所述多个资产中的每一个的各风险度量来确定用于弱点的聚合风险度量。
27.如权利要求22所述的方法，其中，风险度量是弱点中心风险度量，并且所述方法还包括: 接收威胁定义数据，针对多个威胁中的每一个，威胁定义数据包括威胁的标识、降低威胁将影响资产的风险的一个或多个对策的标识、描述针对威胁的用于每个对策的保护分数的保护数据以及描述威胁所适用的资产的一个或多个配置的适用性数据；以及确定各威胁中心风险度量，所述确定包括针对每个资产和每个威胁: 根据适用性数据和配置数据来确定用于资产和威胁的适用性分数，其中，适用性分数在威胁适用于资产的配置时具有第一适用性值且在威胁不适用于资产的配置时具有不同的第二适用性值； 根据用于资产的弱点检测数据来确定用于资产和威胁的弱点分数； 根据威胁定义数据和对策检测数据来确定对策分数，其中，生成包括分析既在用于威胁的威胁定义数据中识别也在对策数据中识别为保护资产的每个对策的保护分数，其中，对策分数具有在预定义范围内的值；以及 根据适用性分数、弱点分数以及对策分数来确定针对特定威胁的用于特定资产的威胁中心风险度量。
28.权利要求27的方法，还包括: 确定用于资产和所述多个弱点中的每一个的各弱点中心风险度量； 根据用于资产和所 述多个弱点中的每一个的各风险度量来确定用于资产的聚合弱点中心风险度量； 确定用于资产和所述多个威胁中的每一个的各威胁中心风险度量；以及根据用于资产和所述多个威胁中的每一个的各风险度量来确定用于资产的聚合威胁中心风险度量。
【文档编号】G06F9/06GK104040554SQ201280067493
【公开日】2014年9月10日 申请日期:2012年12月17日 优先权日:2012年1月19日
【发明者】P.G.巴萨瓦帕特纳, D.科林吉瓦迪, S.施雷克 申请人:迈可菲公司