用于对应用中的漏洞进行分布式发现的计算机系统的制作方法
【技术领域】
[0001] 本公开一般涉及关于安全问题的计算机测试。本公开更加具体地涉及用于执行网 络侵入(penetration)测试,攻击测试,安全漏洞的识别,以及相关的web应用、服务器计算 机和网络元件的安全测试的技术。
【背景技术】
[0002] 本章节中所描述的方法是能够被实行的方法,但不一定是先前已经被构想或实行 的方法。因此,除非特别说明,否则不应当假设本章节所描述的任何方法仅是由于它们被包 括在此章节中而作为现有技术。
[0003] 当前用于识别网络中的安全问题的方法具有明显的缺点。典型的网络安全评估、 测试和保护涉及在网络中安装保护性的元件,比如,防火墙、病毒和恶意软件扫描仪及类似 的系统。这些系统接收在其他网络中正在发生的攻击向量的报告,并试图判定相同的攻击 是否正在具体被测网络中发生。如果是,则报告会被准备并且网络管理员可手动检查网络 互联元件、web应用程序和服务器计算机的配置以判定配置是否应当被改变以清除问题或 阻止攻击。
[0004] 然而,这些方法的缺陷在于它们是响应性的,而非预防性的。通常,存在如此多的 不同种类的攻击以致于让大型企业内的网络管理员或者甚至是安全专家组详尽地针对所 有已知的攻击、恶意软件或病毒的漏洞测试该企业中的所有网络元件和计算设备被认为是 不切实际的。因此,在当前实践中,许多企业web应用、服务器计算机和类似的工具在实际 的安全事件被识别和被解决前具有一段时期的持续的漏洞。
【发明内容】
[0005] 所附权利要求可作为本发明的概述。
【附图说明】
[0006] 在附图中:
[0007] 图1示出了众包(crowd-sourced)应用漏洞发现的过程。
[0008] 图2示出了可被用于众包web应用漏洞发现、提供全球分布的网络侵入测试、并确 定用于提升漏洞的发现的激励的示例计算机系统安排。
[0009] 图3示出了与图2中的某些计算机系统元件集成的应用漏洞发现的过程。
[0010] 图4A按分类法示出了漏洞类别到激励奖赏金额的范围的映射。
[0011] 图4B示出了确定因发现漏洞对研究方的激励奖赏。
[0012] 图5示出了可在其中实现实施例的计算机系统。
【具体实施方式】
[0013] 在下面的描述中,出于说明的目的提出了许多具体细节以便于提供对本发明的透 彻理解。然而,明显地,本发明可在没有这些具体细节的情况下被实施。在其他实例中,以 框图形式示出了众所周知的结构和设备从而避免不必要地模糊本发明。
[0014] 根据下面的提纲来描述实施例:
[0015] L总体概述
[0016] 2.众包应用漏洞发现
[0017] 3.用于全球分布的众包网络侵入测试的系统
[0018] 4.用于提升计算机软件漏洞发现的安全评估激励程序
[0019] 5.实施方式示例-硬件概述
[0020] 6.扩展和替换
[0021] 1.总体概述
[0022] 在一个方面中,本公开提供了一种方法,该方法包括:邀请分布式的多个研究方参 与一个或多个计算机漏洞研究项目,该项目被用于识别由第三方所有或操作的一个或多个 网络和/或计算机的计算机漏洞;对该一个或多个研究方的声望和技术进行评估,并且接 受具有积极的声望和足够的技术来执行计算机漏洞调查的研究方的子集;将与具体被测网 络有关的具体计算机漏洞研究项目分配给研究方的子集中的具体研究方;使用在逻辑上居 于具体研究方和具体被测网络之间的计算机监控具体研究方和具体被测网络之间的通信, 其中这些通信与试图识别具体被测网络的候选安全漏洞有关;验证从具体研究方接收到的 具体被测网络的获选安全漏洞的报告;响应于成功验证了从具体研究方接收到具体被测网 络的获选安全漏洞的报告,确定奖赏并向该具体研究方提供该奖赏。
[0023] 在另一方面中,本公开提供了一种数据处理方法,该方法包括:使用计算机邀请分 布式的多个研究方计算机参加一个或多个计算机漏洞研究项目,该项目被用于识别由第三 方所有或操作的一个或多个网络和/或计算机的计算机漏洞;使用该计算机,将与具体被 测网络有关的具体计算机漏洞研究项目分配给研究方的子集中的具体研究方;使用在逻辑 上居于具体研究方计算机和具体被测网络之间的控制逻辑监控在具体研究方和具体被测 网络之间的联网的数据通信,其中该通信与试图识别具体被测网络的候选安全漏洞有关; 验证从具体研究方计算机接收到的具体被测网络的候选安全漏洞的报告;至少部分地基于 该报告对具体被测网络执行一个或多个修复操作;其中该方法是使用一个或多个计算设备 执行的。
[0024] 在又一方面中,本公开提供了一种方法,该方法包括:邀请分布式的多个研究方参 与一个或多个计算机漏洞研究项目,该项目被用于识别由第三方所有或操作的一个或多个 网络和/或计算机的计算机漏洞;向分布式的多个研究方发布潜在的计算机漏洞分类,其 中在该分类中每一个具体计算机漏洞与一系列奖赏值相关联;使用被通信地耦合至分布式 的多个研究方中的具体研究方和一个或多个网络和/或计算机中的被测网络的计算机监 控具体研究方和具体被测网络之间的通信,其中通信与试图识别具体被测网络的候选安全 漏洞有关;响应于从具体研究方处接收到的具体被测网络的候选安全漏洞的报告,并且基 于分类,确定具体奖赏值并向具体研究方提供该具体奖赏值。
[0025] 这些方法相比于现有实践提供了显著的益处。在一个实施例中,先前无法进入企 业的全球顶尖的安全性人才能够被雇佣并通过奖金被激励以发现各种目标应用和系统中 的安全漏洞。全球范围内的安全资源能够被安全地占用,并且动态经济学和游戏机制可被 用于激励那些人才执行工作。因此,费用和报酬产生了优于通用报告的结果。
[0026] 在一些实施例中,本文所描述的系统能够在仅仅几小时内发起全面的漏洞评估, 产生快速的结果。通过很少的前置时间,组织能够获取快速的反馈,减少投放市场的时间并 且能够在太迟之前修补漏洞。该方法还可以能够可扩展的。通过使用全球资源,该方法能 够立即扩展到众多评估。对于具有大型应用和许多web端点的企业来说,本文的方法提供 了比传统自动或手动解决方案有效得多的用于获取快速结果的解决方案。
[0027] 实施例还被配置为是可改编的。评估能够由精通随它们的演进的所有技术栈的工 业专家来支持。在实施例中,测试不依赖于签名而是使用对抗性的策略以通过提供对攻击 向量的独特洞察力的方法来发现最新的零日漏洞。研究方经历严格的核实和审查过程,并 且本文所描述的服务的用户能够从进行此项工作的、不同信任和验证等级的安全研究方中 进行选择。
[0028] 2.众包应用漏洞发现
[0029] 图1示出了众包应用漏洞发现的过程。在一个实施例中,实现图1中的过程的一 方可以有效地与大量全球分布的研究方协调以识别第三方计算机网络的目标计算机或主 机的各种不同的计算机漏洞。例如,图1的过程可由一方面与多个全球分布的计算机安全 研究方具有契约关系而且与作为漏洞调查的目标的计算机系统的第三方所有者或操作者 具有供应商-客户关系的服务提供商来实现。使用这样的包括了大量分布的研究方力图以 被控制和监控的方式识别漏洞的第三方方法,计算机漏洞能够被以比现有技术快得多的速 度和更高效地被识别出来。
[0030] 在一个实施例中,在框101处,图1的过程包括创建一个或多个项目记录以识别第 三方的计算机漏洞。框101广义地表示出了例如实现图1的服务提供商与拥有或操作计算 机系统或网络的第三方签订契约或其他关系,并且创建第三方希望针对计算机漏洞进行评 估的计算机、系统、应用或其他元件的记录。因此,第三方和服务提供商可具有客户-供应 商的关系。在此上下文中,"计算机漏洞"包括针对任何终端站计算机、服务器计算机云计 算实例或资源、诸如路由器、交换机、防火墙和网关之类的网络互联基础设施或其他硬件设 备,以及诸如数据库服务器、应用服务器或在线应用(比如,web应用、移动应用等等)之类 的逻辑实体或软件实体的任何安全漏洞、网络漏洞、机会或数据泄露等等。服务提供商可与 组织密切合作以创建最符合它们的预算限制和技术要求的项目,这在一些实施例中包括执 行组织的安全态势初步评估以确保该组织针对众包漏洞测试的开始进行良好的定位。
[0031] 另外,框101包括创建具体项目的记录以识别漏洞。项目记录可由服务提供商和 第三方例如通过准备第三方期望检查或测试的网络或一组计算机中的具体资产的拓扑结 构或其他描述来定义。
[0032] 在一个实施例中,在框102处,图1的过程包括邀请分布式的多个研究方参与一个 或多个项目以识别第三方的计算机漏洞。例如,服务提供商可使用在线论坛、留言板、电子 邮件列表或它自己的网站来提升参与针对计算机漏洞的众包研究项目的机会。通常,由于 服务提供商将与一个或多个第三方签订契约以向第三方提供关于其网络的安全态势的咨 询服务、安全调查或其他服务,因而第三方的身份是事先已知的。然而,出于保密性的目的, 第三方一般不会在框102处被识别出来。非公开协议和其他契约规则可作为搭载研究方的 一部分被实施;例如,社交工程、DDos和基于垃圾邮件的攻击可被禁止,并且组织可针对具 体领域或技术定义契约的其他规则。
[0033] 在此上下文中,"分布式的多个研究方"指的是处于世界上的任何地方的任意数量 的研究方。通常,研究方不是实现该方法的一方的雇员;研究方在框102的邀请的时候对实 现该方法的一方来说可能是先前未知的,或者可能是通过安全论坛、会议或其他方法非正 式地得知的。
[0034] 在框104处,过程包括在计算机漏洞管理系统中评估和登记一个或多个研究方。 框104可包括检查回复了框102处的邀请的研究方的证书,确定该研究方的声望并在识别 研究方和提供联系信息、声望信息来源、履历或简历等信息的计算机数据库中创建数据记 录。在框104处的评估还可包括向回复的