用户定义的对抗措施的制作方法

用户定义的对抗措施的制作方法
【专利摘要】包括多个计算资产的特定计算系统上的特定计算资产集合被标识。接收对被应用到该特定资产集合的特定对抗措施的用户定义，该对抗措施的用户定义包括该特定资产集合中的每个资产的标识以及多个已知漏洞或威胁中由该特定对抗措施所解决的至少一个漏洞或威胁的标识。基于该用户定义，可在该特定计算系统的至少一部分的风险评估中假定该特定对抗措施在该特定计算系统上的实际部署。
【专利说明】用户定义的对抗措施
[0001]本专利申请根据35U.S.C.§ 120要求2011年10月18日提交的题为“USER-DEFINED COUNTERMEASURES (用户定义的对抗措施)”的美国临时专利申请S/N:61/548，226的优先权，该临时专利申请通过援引整体明确纳入于此。
【技术领域】
[0002]本公开一般涉及计算机安全领域，更具体而言，涉及计算机系统风险评估。
【背景技术】
[0003]因特网已经允许互连遍布整个世界的不同计算机网络。然而，有效地保护和维护稳定的计算机和系统的能力对组件制造商、系统设计者以及网络运营商带来显著的阻碍。的确，每天都标识出数以千计的新威胁、漏洞以及恶意软件，它们有可能损坏并伤害整个世界的计算机系统的安全。在系统的各种组件所面临的漏洞和威胁广泛而不断变换的情况下，维护包括多个设备、组件、程序和网络的大计算系统的安全可能使人气馁。尽管安全工具、卫士、和其他对抗措施可被用于对抗系统威胁和漏洞，然而在某些情况下，管理员可能被迫将其系统分类以确定如何来将其财务、技术以及人力资源最佳地应用于解决这些漏洞。已经开发出准许用户对与系统中的各种设备和组件相关联的风险进行调研的风险评估工具。系统的风险评估能够标识并量化暴露给各种系统组件中的任一组件的风险以及暴露给系统整体的总风险。
【专利附图】

【附图说明】
[0004]图1是根据一个实施例的包括风险评估服务器的示例系统的简化示意图；
[0005]图2是根据一个实施例的包括示例风险评估引擎的示例系统的简化框图；
[0006]图3是根据一个实施例的表示计算系统的示例风险评估的简化框图；
[0007]图4A-4B示出根据至少一些实施例的示例场景，其涉及包括用户定义的对抗措施的系统的风险评估；
[0008]图5A-5C示出根据至少一些实施例的与用户定义的对抗措施的定义结合使用的示例用户界面的截屏；
[0009]图6是示出与本系统的至少一些实施例相关联的示例操作的简化流程图。
[0010]各附图中相同的附图标记指示相同的元素。
[0011]示例实施例的详细描述
[0012]概览
[0013] 一般而言，本说明书描述的主题的一个方面能体现在包括以下动作的方法中:标识包括多个计算资产的特定计算系统上的特定计算资产集合。可接收对被应用到该特定资产集合的特定对抗措施的用户定义，该对抗措施的用户定义包括该特定资产集合中的每个资产的标识以及多个已知漏洞或威胁中由该特定对抗措施所解决的至少一个漏洞或威胁的标识。基于该用户定义，可在该特定计算系统的至少一部分的风险评估中假定该特定对抗措施在该特定计算系统上的实际部署。
[0014]本说明书所描述的主题的另一一般方面可体现在包括至少一个处理器设备、至少一个存储器元件、以及风险评估引擎的系统中。该风险评估引擎在由该至少一个处理器设备执行时能够标识包括多个计算资产的特定计算系统上的特定计算资产集合，接收被应用到该特定资产集合的特定对抗措施的用户定义，并且在该特定计算系统的至少一部分的风险评估中假定该特定对抗措施在该特定计算系统上的实际部署。该对抗措施的用户定义可包括该特定资产集合的标识以及多个已知漏洞或危险中由该特定对抗措施解决的至少一个漏洞或威胁的标识。
[0015]这些和其他实施例可各自可任选地包括以下特征中的一个或多个。风险评估可包括对该特定计算资产集合上的漏洞集合所引入的风险的考虑(该漏洞集合包括在该多个已知漏洞中且包括该至少一个漏洞)，以及对应用到该特定计算资产集合的对抗措施集合的考虑，该对抗措施集合减少了该漏洞集合所引入的风险，并且该对抗措施集合包括该特定对抗措施以外的至少一个对抗措施。至少该特定计算资产集合可被扫描以标识部署在该特定计算资产集合上的至少一个其他对抗措施。该特定对抗措施可不在对该特定计算资产集合的扫描中被检测到。至少一个其他对抗措施可从多个已知对抗措施中被标识，并且该特定对抗措施可不包括在该多个已知对抗措施中。至少该特定计算资产集合可被扫描以标识该漏洞集合。标识该漏洞集合中的每个漏洞可包括标识受相应漏洞影响的相应软件资产。该特定对抗措施所解决的该至少一个漏洞可被包括在该漏洞集合中，并且该用户定义的特定对抗措施可在风险评估中被考虑以减少与该特定对抗措施所解决的该至少一个漏洞相关联的风险。剩余风险的主要来源可在缺少该特定对抗措施的情况下确定。对剩余风险的主要来源的确定可基于该特定对抗措施的用户定义来修订。
[0016]进一步，这些和其他实施例还可各自可任选地包括以下特征中的一个或多个。该风险评估可与对该特定计算系统的建模相结合来做出，该建模包括将该特定对抗措施假想地应用到该特定计算机系统中的该特定计算资产集合。向该特定计算资产集合应用该特定对抗措施所导致的系统风险的假想变化可被标识。该特定对抗措施的用户定义可进一步包括在后续对该计算系统的所部署的对抗措施的扫描过程中在标识该特定计算系统上的该特定对抗措施时所使用的信息。该特定系统可被扫描以基于该特定对抗措施的用户定义来标识该特定对抗措施在该特定资产集合之外的资产上的至少一个其他部署。该特定对抗措施的该用户定义可进一步包括该特定对抗措施可缓解与该至少一个漏洞相关联的风险的程度，该程度在风险评估时被考虑。该程度可指示该特定对抗措施解决该至少一个漏洞，但是没有完全缓解与该至少一个漏洞相关联的风险。可标识与该特定对抗措施所解决的该至少一个漏洞相对应的至少一个威胁，导致以下假设:借助该特定对抗措施缓解了该至少一个威胁。该特定对抗措施的用户定义包括该特定对抗措施的至少一个声明规则的定义。该至少一个声明规则可包括多个声明规则并且该特定对抗措施的用户定义可将该多个声明规则中的至少一个声明规则定义为至少临时被禁用。
[0017]这些特征中的一些或全部可以是计算机实现的方法或被进一步包括在用于执行这一所描述的功能的相应系统或其他设备中。本公开的这些和其他特征、方面、以及实现的细节在附图和以下描述中阐明。本公开的其他特征、目标、以及优点将从该描述和附图以及从权利要求中显而易见。[0018]示例实施例
[0019]图1是示出计算系统100的示例实施例的简化框图，该计算系统100包括为该系统提供后端和大型机(mainframe)支持的一个或多个系统服务器105，以及服务应用、共享资源、程序和在该系统内例如由其他系统服务器105 (包括应用服务器)以及终端用户设备110、115、120、125、130使用的其他服务和资源。终端用户设备110、115、120、125、130可包括用于(例如通过一个或多个网络135)与系统100中的其他设备通信的计算设备，其结合消费、开发、测试或以其他方式与程序、应用、服务和系统100的(例如由系统服务器105提供的)其他功能交互的系统用户。进一步，可在系统100中提供适应于筛选和分析系统100中的设备、应用、网络元件、存储元件和其他组件和资源(统称“组件”)的风险评估服务器140以便评估与单个系统组件相关联的计算风险，以及合成并聚合包括该系统的资产中的两个或更多个资产的子系统以及该系统100本身的风险。
[0020]一般而言，“服务器”、“设备”、“计算设备”、“终端用户设备”、“客户机” “端点”、“计算机”以及“系统资产”(例如，105、110、115、120、130、140)可包括用于接收、传送、处理、存
储、或管理与软件系统100相关联的数据和信息的电子计算设备。如在本文中所使用的，术语“计算机”、“计算设备”、“处理器”或“处理设备”旨在涵盖适于执行与计算机可读指令的执行相一致的计算任务的任何合适的处理设备。此外，计算设备中的任何、全部或一些可被改动以执行任何操作系统，包括Linux、UNIX、Windows Server等以及被改动以虚拟化特定操作系统(包括定制或专用操作系统)的执行的虚拟机。
[0021]服务器、计算设备以及其他系统资产(例如，105、110、115、120、130、140)可各自包括一个或多个处理器、计算机可读存储器、以及一个或多个接口。系统服务器105(以及终端用户设备110、115、120、125、130)可包括任何适当的软件组件或模块，或能够主存(host)和/或服务软件应用和其他程序(包括分布式的、企业的、或基于云的软件应用)的计算设备。例如，应用服务器可被配置成主存、服务或以其他方式管理web服务或应用，包括基于SOA的服务、模块服务和应用、基于云的服务、多组件企业软件服务、以及与其他企业服务具有接口、相互协作或者取决于该其他服务器的应用，包括关注安全的应用。在一些情况下，某些服务器组合可被主存在公共计算系统、服务器或服务器池上，并共享计算资源，包括共享存储器、处理器以及接口，诸如在向多个不同客户机提供服务的企业软件系统中。
[0022]系统资产可包括系统100中的终端用户设备110、115、120、125、130。终端用户设备110、115、120、125、130可包括被实现为一个或多个本地和/或远程客户机或端点设备的设备，诸如个人计算机、膝上型计算机、智能电话、平板计算机、个人数字助理、媒体客户机、启用web的电视、远程呈现(telepresence)系统、以及适于接收、观看、编辑、发送或以其他方式与通过系统服务器105伺服或提供的应用、程序和服务交互或对其访问、操纵、消费或以其他方式使用的其他设备。客户机或终端用户设备110、115、120、125、130可包括能操作以使用有线或无线连接至少与服务器105、其他客户机或终端用户设备、网络135、和/或其他设备连接或通信的任何计算装置。每一终端用户设备可包括允许用户查看系统100的应用、工具、服务和其他软件的图形用户界面并与其交互的至少一个图形显示设备和用户界面。一般而言，终端用户设备可包括用于接收、传送、处理以及存储与图1的软件环境相关联的任何适当的数据的任何电子计算设备。将理解，可存在与系统100相关联的任何数量的终端用户设备，以及系统100外部的任何数量的终端用户设备。此外，术语“客户机”、“终端用户设备”、“端点设备”、以及“用户”可在适当时互换地使用，而不背离本公开的范围。此夕卜，尽管每一终端用户设备可按由一个用户使用来描述，但本公开构想了许多用户可使用一个计算机或一个用户可使用多个计算机。
[0023]尽管图1被描述为包含或关联于多个元素，但并非图1的系统100内示出的所有元素可被用于本公开的每一替换实现中。另外，在此描述的元素中的一个或多个可以位于系统100外部，而在其他实例中，某些元素可被包括在其他所描述的元素中的一个或多个以及在所示实现中未描述的其他元素之内或作为其一部分。此外，图1中示出的某些元素可以与其他组件相组合，以及被用于除在此描述的这些目的之外的替换或附加目的。
[0024]风险评估服务器140可执行系统100以及系统100内或以其他方式使用系统100的单独资产的风险评估。传统风险评估尝试标识特定系统资产上存在或面临的所有漏洞和/或威胁，并计算与这些漏洞和威胁相关联的风险。风险评估可进一步标识在该系统上部署或以其他方式实现的对抗措施，所述对抗措施用于缓解特定漏洞和/或威胁所施加的风险。
[0025]每个资产(例如，105、110、115、120、125、130、140)可具有一个或多个漏洞并因此
易受一个或多个威胁的攻击。威胁可包括例如蠕虫、病毒、恶意软件以及导致未授权攻击的其他软件或代理。每一资产可由各种对抗措施来保护。这些对抗措施包括被动对抗措施和主动对抗措施。被动对抗措施可由基于代理的传感器和/或基于网络的传感器来提供。这些“传感器”可包括适于监视资产本身和/或进出所述资产的网络业务量的软件。为说明目的，传感器被描述为既监视资产，又通过提供一个或多个对抗措施来保护资产。然而，监视和对抗措施功能不必由同一传感器(或主存所述传感器的设备)提供。在下面的描述中，传感器被用来指代各种类型的监视和保护系统，包括:例如，防火墙、主机入侵预防系统、网络入侵预防系统、网络访问控制系统、入侵检测系统、入侵预防系统、防病毒软件以及垃圾邮件过滤器。
[0026]传感器可包括一个或多个被动对抗措施，它们作为该传感器的一部分。这些被动对抗措施可包括保护资产免受各种威胁的软件程序和/或硬件。每个被动对抗措施减少威胁影响到资产的风险。被动对抗措施通过尝试检测并停止与威胁相关联的攻击、通过检测并停止与该攻击相关联的活动、或通过缓解攻击所导致的损坏来针对该威胁提供保护。例如，被动对抗措施可被配置为检测具有与特定攻击相关联的签名的数据，并且阻挡带有该签名的数据。作为另一示例，被动对抗措施可生成攻击所针对的特定文件的备份副本，以便即便该攻击攻击了所述文件，所述文件仍能被还原。示例被动对抗措施包括但不限于:硬件防火墙、软件防火墙、数据损失预防系统、web代理、邮件过滤器、基于主机的入侵预防系统、基于网络的入侵预防系统、基于速率的入侵预防系统、基于内容的入侵预防系统、入侵检测系统以及病毒检测软件。
[0027]被动对抗措施还可以是不完全针对攻击提供保护或者缓解攻击影响的部分对抗措施。例如，部分被动对抗措施可阻挡与特定攻击相关联的网络流量的部分而非全部。作为另一示例，如果威胁需要直接物理访问或者网络访问以便损害资产，则示例部分被动对抗措施将阻挡对该资产的网络访问而不阻挡物理访问。
[0028]基于代理的传感器可包括基于软件的传感器，其被安装在相应的资产(例如，105、110、120、125、130、140)上。在一些示例中，基于代理的传感器的实例可被独立地安装在多个系统资产的每一个上或以其他方式加载。基于代理的传感器可适于对其相应的资产运行各种分析，例如以便标识所述资产上的漏洞或者标识所述资产上执行的病毒或其他恶意软件。这些基于代理的传感器可包括通用或多用途传感器，其适于标识资产上的多种不同类型的漏洞或威胁，也可包括专用传感器，其适于标识资产上的特定漏洞和威胁。如上所述，基于代理的传感器还可提供针对威胁的一个或多个被动对抗措施。只作为一个示例，基于代理的传感器可包括加载在资产上的防病毒软件。
[0029]基于网络的传感器可包括位于被该传感器监视和/或保护的系统资产以及该资产尝试访问的网络资源之间的数据通信路径中(例如，网络135中)的硬件设备和/或软件。在一些实现中，单一基于网络的传感器可位于与每个资产的通信路径中，而在其他配置中，多个基于网络的传感器可被连接到同一资产，且一些资产可以不连接到任何基于网络的传感器。
[0030]当资产(例如，105、110、115、120、125、130、140)尝试通过网络135发送信息或者
通过网络135 (例如，通过基于网络的传感器)接收信息时，该传感器分析关于该资产的信息以及被发送或接收的信息，并且确定是否允许该通信。示例的基于网络的传感器包括一个或多个处理器、存储器子系统和输入/输出子系统。该一个或多个处理器可根据存储在存储器子系统中的指令被编程，并且监视穿过输入/输出子系统的网络业务量。该一个或多个处理器被编程以自行采取一个或多个保护性动作，或者查询传感器控制系统并根据传感器控制系统的指令来采取进一步动作。示例的基于网络的传感器包括网络访问控制系统、防火墙、路由器、交换机、桥、集线器、web代理、应用代理、网关、网络访问控制系统、邮件过滤器、虚拟专用网络、入侵预防系统和入侵检测系统。
[0031]资产104还可由被应用到该资产的一个或多个主动对抗措施来保护。活动对抗措施可以对资产的配置或现有被动对抗措施的配置做出改变以主动消除漏洞。与之相反，被动对抗措施隐藏漏洞的影响，但是不移除漏洞。当向资产应用主动对抗措施时，每个主动对抗措施通过消除或至少减少漏洞来消除或至少减少威胁将影响资产的风险。主动对抗措施通过修改资产(例如，105、110、115、120、125、130、140)的配置来针对威胁提供保护，以便该资产不再易受该威胁攻击。例如，主动对抗措施可关闭资产上打开的后门或者纠正另一类系统漏洞。示例的主动对抗措施包括但不限于被应用到资产的软件补丁。
[0032]资产(例如，105、110、115、120、125、130、140)可在任何给定时刻易受许多不同威胁的攻击。资产104中的一些可能已经被一个或多个对抗措施保护，而所述资产的一些可能需要具备额外的对抗措施来保护所述资产免受威胁。因此，确定每个资产和每个威胁(和/或漏洞)的风险度量是有帮助的。风险度量是对威胁或漏洞施加给资产的风险的量化测量，该量化测量既在威胁或漏洞将影响该资产的概率方面，又在潜在影响的幅度方面。例如，可以通过一个或多个风险评估监视器140的帮助来计算风险度量以便生成资产和威胁的风险度量，该风险评估监视器140处理关于系统及其网络上的潜在威胁的数据以及传感器所提供的对抗措施和资产的漏洞。风险评估监视器140还可开发对抗风险度量，该对抗风险度量量化系统100内标识出的对抗措施的影响。进而，风险评估监视器140可跨系统聚合风险度量以便开发出系统及其子系统的合成风险简档或者得分。
[0033]某些现有风险评估工具的不足之一是风险评估在其标识和考虑系统所面对的所有漏洞、威胁和对抗措施的能力上是有限的。例如，典型的风险评估工具(包括传感器)可扫描系统、其资产、数据流、以及文件的资源、头部、设备标识符、寄存器和其他数据来标识匹配该风险评估系统已知的威胁、漏洞和对抗措施的简档的威胁、漏洞和对抗措施。然而，特定风险评估工具不知道或者未预料到的威胁、漏洞和对抗措施可能被忽视，由此导致系统的风险评估不准确。例如，专有的或定制的、以及新开发或修改的对抗措施可能未被特定传统风险评估工具的数据库所知晓或包括，并且将在使用未被标识的对抗措施来缓解来自相应漏洞的风险的系统、设备和组件的风险评估中被忽视。
[0034]在一些实现中，计算系统100可解决本文标识的与计算系统及其组件资产的传统风险评估有关的许多问题。例如，在图2中示出的示例图示200中，风险评估监视器140被示出为包括示例风险评估引擎205。风险评估引擎205可被用于执行与多个系统资产的每一个处的风险的评估有关的各种任务，所述系统资产包括客户机或终端用户设备210、215、220以及后端和企业系统设备和服务器225、230、235。进一步，结合系统的风险评估，风险评估引擎205可包括允许用户自定义(custom-define)并标识原本未知或不能自动检测的对抗措施。
[0035]示例风险评估引擎205可包括例如通过一个或多个基于软件的模块提供的各种功能和特征。作为示例，示例风险评估引擎205可包括漏洞检测引擎240、对抗措施检测引擎245、以及威胁检测引擎250以在自动标识影响系统100中的特定资产(例如，210、215、220、225、230、235)的漏洞、所部署的对抗措施、以及威胁时使用。进一步，可提供用户定义的对抗措施引擎225以在允许用户补充对抗措施检测引擎245的发现并提供在一个或多个系统资产上部署的对抗措施的更完整图像时使用。
[0036]使用漏洞(例如，使用漏洞检测引擎240检测或标识的)、对抗措施(例如，使用对抗措施检测引擎245和用户定义对抗措施引擎255检测或标识的)、以及威胁(例如，使用威胁检测引擎250检测或标识的)，可完善各种基于风险的分析。例如，风险计算器260可用于例如通过计算一个或多个相应系统资产的一个或多个得分或风险简档来完善所述资产的风险评估。进一步，对抗措施建模引擎265可用于利用假想的或计划的对抗措施来对资产和系统中的假想风险以及这些假想对抗措施对系统风险的影响进行建模。此外，风险诊断引擎270可提供对各种系统资产的风险评估的分析并且被用来标识对特定系统中存在的残留风险不成比例地施加或做出贡献的资产、系统区域、类别或子系统。风险诊断引擎270所执行的分析可用于例如帮助管理员和其他IT人员标识系统中在部署了最新近的对抗措施集合之后仍旧最易受攻击的区域、作为额外对抗措施的最佳候选的区域、或者暴露于最多风险的区域等等。风险诊断引擎270还可用于分析和标识对抗措施对系统的成功和效果，包括标识对系统、子系统或特定资产中的风险具有最大的、最经济的、或者最一致的影响的那些对抗措施。
[0037]风险评估监视器140可接收威胁定义数据282、漏洞检测数据285、资产配置数据288、以及对抗措施检测数据290中的一个或多个(并将其存储在一个或多个数据存储280中)。威胁定义数据282可描述所标识的威胁、(如果有对抗措施)什么对抗措施保护资产免受威胁和漏洞攻击、以及威胁的严重性。漏洞检测数据285可针对每个资产并针对每个威胁指定该资产是易受该威胁攻击、不易受该威胁攻击、该资产易受一个或多个已知或未知威胁攻击的程度、和/或未知漏洞。资产配置数据288可针对每个资产(例如，210、215、220、225、230、235)指定资产的配置的细节。对抗措施检测数据290可针对每个资产指定什么对抗措施正在保护该资产。
[0038]可从一个或多个配置数据源(其包括一个或多个数据聚合器(例如238))接收资产配置数据288。数据聚合器238可以是接收配置数据、聚合该数据、并将该数据格式化为风险评估监视器140能够使用的格式的一个或多个服务器。数据聚合器238可从资产本身或者从监视资产的传感器接收配置数据。例如，数据聚合器238可维护带有资产配置的细节的资产数据储存库。进一步，配置数据源可包括资产本身(例如，210、215、220、225、230、235)和/或监视该资产的传感器。在从资产和/或传感器直接接收配置数据的情况下，配置数据可以不在接收时被聚合，而是可由例如风险评估监视器140本身聚合。
[0039]资产的配置可以是硬件和/或软件配置。取决于配置，各种威胁可以应用于资产。一般而言，资产的配置可包括资产的物理配置、资产上运行的软件、以及资产上运行的软件的配置中的一个或多个。配置的示例包括特定操作系统族(例如，Windows?, Linux?, AppleOS?, Apple iOS?)、操作系统的具体版本(例如，Windows7?)、特定网络端口设置(例如，网络端口 8打开)、以及在系统上执行的特定软件产品(例如，特定文字处理器、企业应用或服务、特定web服务器等)。在一些实现中，配置数据不包括或直接标识资产的就位的对抗措施，或者该资产是否易受特定威胁的攻击。
[0040]威胁定义数据282可从威胁检测引擎250接收。威胁检测引擎250可标识威胁以及针对威胁提供保护的对抗措施。在一些实现中，威胁检测引擎250可为风险评估监视器140提供带有威胁定义数据的威胁馈送。威胁馈送可包括例如根据需要或根据预定义调度表通过网络发送的威胁定义数据。
[0041]威胁定义数据282可标识一个或多个威胁。威胁定义数据282可进一步指定每个威胁的一个或多个威胁向量。每个威胁向量可表示该威胁所利用的漏洞以及如何利用该漏洞，例如，表示与该威胁相关联的特定攻击。在一些实现中，威胁的多个威胁向量被聚合为表示整个威胁的单一威胁向量。在其他实现中，威胁的单个威胁向量被独立维护。本文使用的威胁意思是单一威胁向量所表示的攻击，或者一个或多个威胁向量所表示的总威胁。
[0042]威胁定义数据282进一步针对每个威胁指定针对该威胁提供保护的对抗措施和每个对抗措施的保护得分。一般而言，保护得分估算对抗措施对缓解该威胁的影响。对每个对抗措施的保护得分具有在预定范围的值。在该范围的一端(例如，低端)的值指示该对抗措施提供低缓解水平。在该范围的一端(例如，低端)的值指示该对抗措施提供低缓解水平。例如，示例保护得分范围可从O到100:当对抗措施不覆盖一威胁时(例如，该威胁在该对抗措施的范围之外、该对抗措施的覆盖是待决的、该对抗措施被在该资产上执行的其他东西破坏时、当该覆盖未被保证时、或者当该对抗措施的覆盖正被分析时)，该对抗措施对于该威胁具有O的保护得分，当预计或实际上该对抗措施提供对威胁的全面覆盖时，具有100的保护得分，而当该对抗措施提供对该威胁的部分但小于全部的覆盖时，具有在O和100之间的某处的保护得分。可替代地使用保护得分的其他尺度和其他离散化。
[0043]威胁定义数据282还可包括针对每个威胁的应用能力(applicability)数据。应用能力数据可指定使得资产易受该威胁攻击的资产配置。例如，该应用能力数据可指定:该威胁仅攻击安装在资产上的特定操作系统或者特定软件产品，或者该威胁仅攻击特定版本的产品或者按特定方式配置的产品。威胁定义数据282还可包括该威胁的严重性得分。严重性得分可以是该威胁对于一资产的攻击的严重程度的估算，但是也可以任选地估算该威胁有多大可能影响资产。可以根据多种因素来计算严重性得分，所述因素包括例如:漏洞被威胁利用的度量、一旦该威胁获得对目标系统的访问时攻击的复杂性；通常在被威胁攻击期间确定的认证挑战的数量的度量；该威胁所针对的被成功利用的漏洞对保密性的影响；该威胁所针对的被成功利用的漏洞对系统的完整性的影响；以及该威胁所针对的被成功利用的漏洞对可用性的影响。严重性得分可由第三方指定或者由信息源(诸如风险评估监视器140或其组分子模块之一的供应商、制造商或管理者)确定。
[0044]在一些实现中，威胁定义数据282还可指定哪些传感器和/或传感器上执行的哪些软件产品可检测与该威胁相对应的攻击。例如，假定威胁A可攻击网络上的带有特定漏洞的所有机器，而产品B在其具有设置C时可检测该漏洞。而且，产品D提供被动对抗措施，该被动对抗措施缓解该威胁的影响。在此情况下，该威胁定义数据可指定:威胁A攻击所有机器，带有设置C的产品B可检测对该威胁的漏洞，以及产品D提供针对该威胁提供保护的被动对抗措施。
[0045]威胁定义数据282还可任选地包括针对该威胁的其他细节，例如，该威胁的存在是否已被公开，谁公开了该威胁的存在(例如，是否是该软件的供应商已经被损害？)，该危险的公开披露的web地址，以及该威胁的一个或多个攻击向量。所述攻击向量可用于确定在给定时刻什么被动对抗措施正在保护该资产免受该威胁攻击。威胁定义数据282还可包括关于该威胁的其他信息，例如，对该威胁的简要描述、该威胁的名称、对该威胁的重要性的估计、被该威胁攻击的产品的供应商的标识符、以及关于如何缓解该威胁的影响的推荐。
[0046]在一些实现中，威胁定义数据282具有分层结构(例如，多个层)。例如，第一层可包括易受该威胁攻击的产品的通用标识，诸如产品供应商的名称或者易受该威胁攻击的特定产品的名称。附加的层可包括关于该资产的所需配置的附加细节或者该威胁的其他细节，例如，如上所述的特定产品版本或者包括应用能力数据的设置。
[0047]可由一个或多个漏洞检测引擎240检测和/或从一个或多个漏洞检测引擎240接收漏洞检测数据285。在一些实现中，漏洞检测引擎240可聚合来自该系统中的单个传感器和资产的漏洞检测数据。该单个传感器可以是基于代理的传感器和/或基于网络的传感器。给定资产的漏洞检测数据可指定例如保护该资产的传感器运行什么测试和扫描，以及那些测试和扫描的结果。示例测试包括病毒扫描、漏洞分析、系统配置检查、策略符合性检查、网络业务量检查(例如，由防火墙、网络入侵检测系统或者网络入侵预防系统所提供的)，以及由基于主机的入侵预防系统或基于主机的入侵检测系统所执行的测试。漏洞检测数据285允许风险评估监视器140在一些情况下确定资产具有能够被威胁利用的一个或多个漏洞，并且在其他情况下确定该资产不具有能被该威胁利用的任何漏洞。一些威胁仅利用单一漏洞，而其他威胁利用多个漏洞。
[0048]针对同一漏洞可测试多个传感器。在该情况下，漏洞检测数据285可包括针对该漏洞的所有测试的结果(可任选地，所述结果被正规化，如下所述)。替代地，漏洞检测数据285可包括仅单一测试(例如，发现资产易受攻击的测试或者发现资产不易受攻击的测试)的结果。在一些情况下，可确定资产上的漏洞已被该资产上所实现的特定对抗措施(诸如主动对抗措施)中和或停止。
[0049]可使用对抗措施检测引擎245来检测和/或接收对抗措施检测数据290。一般而言，对抗措施检测数据290指定对于给定资产什么措施已就位以保护该资产。在一些实现中，对抗措施检测数据290还可指定什么对抗措施可用或已安装但是没有在保护该资产。例如，当对抗措施完全没有就位，或者当对抗措施已就位以进行保护但未被适当配置时，该对抗措施就没有在保护该资产。
[0050]对抗措施检测引擎245可以收集、检测以及维护该系统中的个体传感器的设置，以及指定哪些资产被哪些传感器保护的数据。例如，对抗措施检测引擎245可以是接收关于该网络中的传感器所提供的保护的数据以及关于哪些传感器保护哪些资产的数据的一个或多个计算机。这些数据可被聚合以便确定哪些对抗措施已就位以保护每个资产。示例设置可包括提供对抗措施的产品的标识、产品版本、以及与所检测的对抗措施相对应的产品设置。其他示例设置包括该对抗措施所阻挡的威胁的一个或多个签名(例如，文件签名或者网络业务量签名)。
[0051]对抗措施可由该系统的网络中的基于网络的传感器、该系统中的基于代理的传感器、或者这两者来提供。当一对抗措施由运行在该资产上的基于代理的传感器来提供时，可以确定该对抗措施正在保护该资产。然而，基于网络的对抗措施位于所述对抗措施所保护的资产的远程。因此，可能需要额外数据来将基于网络的被动对抗措施与它们所保护的资产相关联。对抗措施检测引擎245可以确定并维护哪些资产被哪些传感器监视的记录，并随后对于每个传感器将该传感器所提供的对抗措施与该传感器所监视的每个资产相关联。在一些情况下，对抗措施检测引擎245可自动检测对抗措施和它们所保护的资产之间的关联。例如，对抗措施检测引擎245可基于从传感器接收的警告来自动将传感器与资产相关。每个警告可标识该传感器所检测到的对资产的攻击。例如，当传感器检测到对特定IP地址的攻击时，对抗措施源214可确定该传感器正在保护具有该特定IP地址的资产。在一些实现中，当传感器的子部分保护该资产时，将传感器与资产相关联的数据可将该子部分与该资产相关联。例如，如果基于网络的传感器上的特定端口，或者传感器上运行的特定软件程序保护一资产，则该关联可进一步制定该端口或软件程序。
[0052]除了被至少部分识别、检测以及该系统已知的与威胁、漏洞和资产相关联的对抗措施检测数据290 (例如，通过风险评估监视器140)以外，例如使用用户定义的对抗措施引擎255可生成并使用用户定义的对抗措施数据295。定制的、专有的、开发中的、一次性的、以及其他对抗措施可存在于系统中，这些对抗措施不被系统识别、不能被系统检测(例如，使用对抗措施检测引擎245)、或者另外地不被系统所知。例如，可在系统上采用定制的或第三方的对抗措施，其中对于该系统，对抗措施检测数据290不可被检测、或者另外地不被风险评估监视器140所知。
[0053]用户定义的对抗措施引擎255可提供供用户用于自标识以及自定义资产或系统上的特定对抗措施的用户界面。在一些情况下，用户可基于现有对抗措施检测数据290的查询而知晓对抗措施或其属性的性质，由此促使该用户针对该未知对抗措施定义一个或多个定制对抗措施记录295。针对用户定义的对抗措施生成的定制对抗措施记录295可包括标识该用户定义的对抗措施、描述其实现或部署、将特定资产与该用户定义的对抗措施相关联(即，使用该用户定义的对抗措施来保护)的信息、以及该对抗措施所对抗的漏洞和/或威胁的标识，包括定义用户定义的对抗措施对抗相关联的漏洞或威胁或针对其提供保护的程度。
[0054]与风险评估和对系统的资产和子系统以及系统本身的其他分析相联系，用户定义的对抗措施引擎255所生成的描述用户定义的对抗措施的定制对抗措施记录295可与威胁定义数据282、漏洞检测数据285、资产配置数据288以及对抗措施检测数据290 —起使用。因为用户定义的对抗措施有可能在与各种威胁和/或漏洞相关联的风险对抗方面与该系统上的其他已知措施一样有效，所以考虑用户定义的对抗措施的效果可带来对系统的更准确而稳健的分析。
[0055]作为示例，例如使用针对使用一个或多个用户定义的对抗措施的特定资产、子系统或系统的风险计算器260，可计算风险得分。进而，管理员可使用用户定义的对抗措施来对系统内的假想对抗措施的效果建模(例如，与对抗措施建模引擎265相联系)。进而，风险诊断引擎270可执行对系统资产和子系统的附加分析，其表征风险如何影响特定系统以及对抗措施如何影响或可能潜在地影响该系统内的风险。资产(包括使用风险评估引擎205生成的风险得分，对抗建模，以及风险诊断)可被记录在存储在数据存储280中的评估记录中。评估记录298进而可以由其他工具(包括风险计算器260、对抗措施建模引擎265、以及风险诊断引擎270)访问并在后续建模和诊断评估中使用。
[0056]转向图3，在框图300的表示中示出了示例风险得分评估。示出了三个资产305、310、315，每个资广具有被标识的、相关联的漏洞、威胁和/或对抗措施。例如，例如联系(例如，由一个或多个传感器或安全工具)对资产305的扫描,可以标识存在于资产305上的漏洞“Vulnl (漏洞I)”和“Vuln2 (漏洞2)”，并且资产305暴露于威胁“ThreatI (威胁I)”。进而，可在资产305上标识对抗措施“ CMl (对抗措施I)”。一般而言，漏洞(例如，“Vulnl”和“Vuln2”)和威胁(例如，“Threatl”)可增加针对特定资产305生成的风险得分(例如"ScorelO (即，表明更高的风险与资产305相关联)，而对抗措施趋向于减少该资产的风险得分。可利用多种公式和算法来确定风险得分、风险简档或以其他方式评估单个系统资产的风险。在一些实现中，风险得分(例如，“ Score I (得分I) ”、“ Score2 ”、“ Score3 ”)的计算可作为输入接收并将这些数据当作所标识的威胁和/或漏洞的严重性得分、由所标识的漏洞或威胁所带来损失的可能性、对抗措施对漏洞或威胁缓解的程度、对抗措施的预期有效性、资产的配置数据如何增加来自所标识的漏洞和威胁、该资产的配置数据如何增加特定对抗措施的有效性、以及其他示例。
[0057]在一些实现中，可通过将包括特定子系统或该系统本身的资产的风险评估结果进行聚合来执行聚合或复合风险得分或评估。例如，如在图3的简化的说明性示例中所示，可基于各个资产的相关联的配置数据、漏洞、威胁和对抗措施来生成多个资产305、310、315的风险得分(例如，“ Score I ”、“ Score2 ”和“ Score3，，)。进而，可应用各种公式或算法之一以聚合或以其他方式考虑与在单一系统或子系统中操作的资产305、310、315相关联的复合风险。例如，在一些示例中，系统或聚合风险得分可从所涉及资产(例如，305、310、315 )的分量风险得分聚合、正规化或平均，而不考虑各个资产和相应风险简档的相互依赖。在其他情况下，聚合风险评估也可考虑特定系统或子系统内的特定资产集合之间的交互以及包括增加或减少个体资产的风险的程度(如果存在)。
[0058]转向图4A-4B，在框图400a_b的表示中示出了示例风险得分评估。例如，资产可包括一个或多个对抗措施、与一个或多个对抗措施相关联或者以其他方式由一个或多个对抗措施保护，所述对抗措施包括在所述资产的本地实现的主动和被动对抗措施以及在所述资产的远程实现的对抗措施。尽管在图4A-4B中被表示为包含在资产405、410、415之内，然而应当理解，被示出为包括在资产405、410、415的表示之内的对抗措施(例如，CM1、2、3、4和5)仅指示该对抗措施与相应资产相关联或以其他方式保护该对抗措施,而不必然指示该对抗措施的类型或者该对抗措施如何实现(例如，该对抗措施是否在该资产本地、由该资产提供或被包含在该资产内)。例如，对抗措施CM1、2、3、4和5中的任一个可在它们所保护的资产的远程提供，诸如该资产所连接到并接收数据的网络上运行的对抗措施。
[0059]如在图4A中所指示的(在键420a)，对抗措施中的一些(例如，CM2、CM3、CM4)可以是能够使用一个或多个技术或模块(例如，对抗措施检测引擎245)来检测和检查的对抗措施，以便标识和收集描述所述对抗措施及其对一个或多个资产的相应保护的方面的对抗措施检测数据290。进而，可部署或提供保护一个或多个资产(例如，205、210、215)或以其他方式影响与特定资产相关联的风险的其他对抗措施(例如，CMl和CM5)。这些对抗措施(例如，CMl和CM5)可包括用于标识保护系统中资产的对抗措施以及与该对抗措施对该系统上的资产的保护有关的该对抗措施的属性的对抗措施检测工具和扫描所没有完全识别或不能识别的对抗措施。
[0060]如图4A的示例中所示，无法正确地标识以及理解系统中的所有对抗措施的功能(例如，因为无法考虑到未被标识的对抗措施CMl和CM5)可能导致不完全或者不准确的对系统中的资产的风险评估以及该系统本身的风险评估。例如，与一个或多个漏洞(诸如影响资产405和415的漏洞Vulnl)相关联的风险可以至少部分通过特定对抗措施CMl的实际的但是未被标识的部署来缓解。例如，无法标识对抗策略CMl可能导致对于资产405和415所生成的风险得分(不正确地)假定资产405、415完全暴露于与漏洞Vulnl相关联的风险(以及相关威胁)。结果是，可能错误地认为与资产405和415相关联的风险高于与资产405、415相关联的实际风险。而且，使用风险评估的系统管理员可错误地总结(例如，如果他们了解未标识对抗措施CMl的部署):意在保护给定资产的一个或多个对抗措施正在无效地操作，和/或一个或多个漏洞目前比本来更危险(例如，如果管理员不熟悉未标识对抗措施CM1，例如，基于对风险评估的检测的过度依赖以及系统上的对抗措施的枚举)。
[0061]转向图4B，用户可自定义在系统内部署或以其他方式使用但该系统原本不可标识的对抗措施。例如，诸如系统管理员等用户可利用用户定义对抗措施引擎(例如，255)的用户界面(诸如下面描述的在图5A-5C的示例中示出的那些用户界面)来针对风险评估工具定义该系统上存在、但是风险评估工具没有检测到或不能检测到的对抗措施的属性。例如，在标识所部署的特定对抗措施CMl在系统的扫描或风险评估期间没有被标识之后，管理员可手动标识该对抗措施并且定义该对抗措施的属性，包括对抗措施的操作、其对该系统已知的漏洞或威胁的应用能力、其对特定系统资产(包括系统资产的类型或组)的保护、其如何针对特定威胁或漏洞保护资产、以及该对抗措施针对该威胁或漏洞保护相应资产的程度。例如，在图4B的示例中，用户已将对抗措施CMl定义为针对漏洞Vulnl保护资产405、415。此外，用户可定义声明规则，该声明规则指示对抗措施CMl针对漏洞Vulnl保护资产405、415的方式和程度。
[0062]可由一个或多个风险评估工具使用一个或多个风险评估公式来评估风险，以考虑用户定义的对抗措施(例如，CMU CM5)以及该系统评估工具和其他传感器和检测工具自动检测的其他部署的对抗措施。的确，使用用户定义的对抗措施的用户定义，用户定义的对抗措施可以与该系统内自动标识的任何其他对抗措施一样被评估。尽管风险评估工具可能更熟悉且预先理解某些对抗措施(例如，已被预先标识并且能被风险评估工具和传感器自动检测的对抗措施)以及这些可检测对抗措施的属性、规则和功能，然而该风险评估工具可遵从用户自己对未标识(但现在已由用户定义)的对抗措施的定义并基于以下假设来评估该系统的风险:用户已提供了用户定义的对抗措施的存在、部署、操作和有效性的准确表征。相应地，结合用户定义的对抗措施的风险评估可考虑该用户定义的对抗措施打消与该用户定义的对抗措施所解决的漏洞和威胁相关联的风险(例如，基于用户定义的对抗措施的所定义的规则和属性，其解释了怎样以及在什么条件下该用户定义的对抗措施会阻挡特定威胁或克服一个或多个资产的特定漏洞)。因此，在图4B的示例中，为资产405、410、415计算的复合系统风险(即，“系统风险2 (System Risk2)”)(包括用户定义的抵抗措施CMl和CM5)可以低于针对资产405、410、415确定的复合系统风险(S卩，“系统风险I”)(其中对抗措施CMl和CM5仍未被标识)。
[0063]用户还可标识用户定义的对抗措施的属性，其中所述属性允许该用户定义的对抗措施的至少某个部分的存在或操作随后由风险评估工具自动检测。该风险评估工具仍旧缺乏独立检测用户定义的风险评估工具、其属性和功能的能力，但是用户能定义某些标识信息以供用户定义的风险评估工具预测这些工具对系统中的其他资产的附加包括或保护。例如，用户可在该对抗措施的用户定义中定义文件名、IP或MAC地址、数据流分组头部内容、数据流格式或协议，以及能与该用户定义的对抗措施相关联的其他信息。在用户不将这种标识信息与用户定义的对抗措施相关联的情况下，风险评估工具和联系该风险评估工具监视网络连接和资产的传感器可能不可以或不能够计入文件、网络元件、资源和与用户定义的对抗措施有关的流的来源或者重要性。然而，基于这种关联，风险评估工具和协调传感器可能更能够基于在该用户定义的对抗措施的定义中的用户所做的表示和关联来将相关联的该系统内发现的数据、文件、设备或资源标识为与特定用户定义的对抗措施相关联。
[0064]除了通过将用户定义的对抗措施的效果并入在该系统内而生成资产和系统的风险评估简档和得分之外，其他基于风险的诊断还可考虑用户定义的对抗措施。例如，基于对系统的风险评估，可运行危急度(criticality)分析来标识特定资产(例如，单个资产、资产类型、资产群组等)、资产的特定用户(例如，与特定资产相关联的单个用户、用户群组等)以及对与系统所经历的总风险或剩余风险不成比例地做出贡献的资产做出贡献或相关联的特定威胁和漏洞。剩余风险(residual risk)指示在部署减小了系统中的总风险的特定对抗措施的情况下系统中剩下的风险的净量。相应地，具有更高危急度的资产、漏洞和威胁可被认为是未来的或经改善的对抗措施部署的良好候选，因为高危急度资产、漏洞和威胁表面上不足以被现有对抗措施解决。进而，无法正确地标识部署在系统上的特定对抗措施可能导致如下错误确定:这些未标识对抗措施所解决的资产、漏洞和威胁是高危急度的，从而将注意力从已部署对抗措施没有充分解决的其他资产、漏洞和威胁转移。例如，通过考虑针对系统内先前确定具有高危急度的特定漏洞提供保护的用户定义的对抗措施，系统中的总剩余风险的计算可与该用户定义的对抗措施所解决的特定漏洞的危急度一起被降低。进而，给定该系统的剩余风险上的用户定义的对抗措施以及相关资产、危急度和威胁的影响，可确定其他被较少保护的资产或被较少缓解的漏洞和对抗措施的危急度相对于系统中的其他的更高，从而凸显了管理员解决这些其他资产、漏洞和威胁而不是用户定义的对抗措施所保护的那些的需要。[0065]在一些情况下，用于用户定义特定未标识对抗措施的功能和工具可被用来监视在系统中的假想的对抗措施的部署。在一些方面，风险评估或诊断工具可考虑用户定义的对抗措施而无需用户定义的对抗措施被实际部署或包括用户已定义其拥有的功能的证据或保证。相应地，在一些情况下，用户可创建假想的用户定义的对抗措施并允许风险评估和诊断工具考虑该系统内的假想的用户定义的对抗措施的影响。的确，通过创建一个或多个假想的用户定义的对抗措施(即，未被实际部署在系统上的对抗措施)，用户可对开发、获取、购买或以其他方式将这些对抗措施部署在系统上的影响和价值进行建模，所述建模针对这些对抗措施将对资产或资产的系统内的风险具有的影响。
[0066]转向图5A-5C，示出了截屏500a_c，其图解了适于在一些示例实现中在创建和编辑用户定义的对抗措施以包括在系统的风险评估中的示例用户界面。例如，图5A图解了用户定义的对抗措施目录的用户界面500的截屏500a，其标识并呈现一个或多个先前创建的用户定义的对抗措施给用户，例如联系用户编辑现有用户定义的对抗措施或创建新的用户定义的对抗措施的努力。用户定义的对抗措施用户界面505可包括其允许用户在两个或更多个窗口视图中切换的标签510、515，在此示例中，一个窗口对应于对抗措施目录列表窗口520，一个窗口对应于用户定义的对抗措施声明规则(例如，图5B的窗口 525)。在示例目录列表窗口 520中，可向用户呈现用户定义对抗措施(例如，530a-c)的列表。在一些情况下，用户定义的对抗措施的列表可包括系统中定义的用户定义对抗措施530a-c的子集。所显示的目录列表窗口 520中包括的用户定义的对抗措施的子集例如可基于对系统中的用户定义的对抗措施的过滤或搜索，诸如由用户通过搜索引擎界面元素535输入的搜索查询。
[0067]用户可选择目录窗口 520中包括的一个或多个用户定义对抗措施以检查所选择的用户定义对抗措施的属性和其他细节。例如，用户可标识、查看其细节、甚至编辑与特定用户定义对抗措施相关联的声明规则(例如，550a-c )。例如，选择超链接550将显示用户定义防病毒产品530a的三个声明规则。进而，例如通过选择“编辑”按钮540，用户可编辑一个或多个预先存在的用户定义规则的属性(诸如对抗措施的声明规则)。此外，例如通过选择“新对抗措施”按钮545，用户可创建或定义新的用户定义对抗措施。
[0068]转向图5B，示出了用户界面505，其呈现了声明规则窗口 525。声明规则窗口 525可呈现联系系统中的用户定义对抗规则的定义而创建的声明规则。声明规则可标识对抗措施所保护的资产、对抗措施所缓解的漏洞和/或威胁、以及标识使用该对抗措施来对抗漏洞或威胁的什么方面的规则，以及该对抗措施有效或被声明的条件。声明规则窗口 525中呈现的声明规则(例如，555a-c)可包括使用用户定义对抗措施引擎定义的规则的子集，包括特定对抗措施或对抗措施类别的声明规则，或者响应于对系统中的声明规则的整个集合的搜索或过滤而返回的声明规则的子集(例如，使用搜索工具560)。系统内的声明规则可以是预先生成的声明规则，其包括与风险评估工具能够检测的已知对抗措施有关的声明规贝U。声明规则可进一步包括定制的、用户生成的声明规则。例如，用户可例如通过“新规则”按钮565定义新声明规则，并且可例如通过选择“编辑”按钮570来编辑预先存在的声明规贝U (并通过编辑预先存在的声明规则创建新的声明规则)。
[0069]声明规则可被启用(例如，使用按钮580)、禁用(例如，使用按钮575)或无效掉。被启用的规则可被认为是活规则，用户定义的对抗措施的活部署用该活规则作为用户定义的对抗措施在该系统内的操作的基础。被禁用的声明规则是当前未被用户定义的对抗规则在该系统内的当前部署所利用或不与其相关的所部署的用户定义的对抗措施的附加功能。进而，在某些实现中，尽管系统或风险评估工具可能遵从由特定用户定义的用户定义的对抗措施的能力的表示，然而系统、风险评估系统或用户定义的对抗措施引擎可对用户定义的对抗措施执行某种质量控制功能。例如，质量控制扫描可在用户定义的对抗措施的定义的声明规则上完成以标识该声明规则中的错误，诸如对系统中的资产、漏洞和威胁的无效引用以及用户定义的规则将采取以解决特定漏洞或威胁的措施的错误属性(诸如宣称通过对例如终端用户执行不相关的任务而针对基于网络元件的漏洞提供保护的对抗措施动作)。声明规则中的错误或不相容的检测可导致该声明规则被声明为“无效”。
[0070]图5C是示例用户界面580的截屏，该界面580被提供以帮助用户定义和编辑用户定义对抗措施的声明规则，例如，响应于图5B的示例中示出的用户界面505中的“新规则”按钮565或“编辑”按钮570的选择。用户界面580可包括接收用户的输入的多个字段和界面元素(例如，582、584、585、588、589、590、595)。例如，用户可(使用界面元素582)定义新声明规则的名称并(例如使用界面元素584)指定其功能取决于该声明规则的一个或多个对抗措施。该声明规则可被初始地启用或禁用(例如，使用单选元素585)且由该规则保护的特定资产可被标识(例如，使用界面元素588)。受该声明规则影响的特定资产可被选择，例如，使用下拉或浏览器型用户界面元素。此外，可选择资产分组，诸如属于特定资产类别或分组的资产，或根据资产的一个或多个分类或标签。例如，资产可被手动或自动地与一个或多个分类标签相关联，且资产可根据这些资产而被分组。例如，用户可尝试为影响特定类型的资产(诸如网络路由器)的新定义的用户定义对抗措施创建新声明规则。相应地，用户可尝试寻找并通过将该规则应用到被标记为“路由器”的所有资产而将该新声明规则应用到系统中的所有网络路由器，还有许多其他示例。
[0071]对某些威胁(和/或漏洞)的保护也可被标识(例如，使用界面元素590)，从而允许该用户将特定规则与一个或多个不同的漏洞或威胁(包括互相关的漏洞和威胁)相关联。附加界面元素和相应功能可被包括在用户界面580中，诸如允许用户提供对该用户定义声明规则的实例进行概述的简短描述的注释字段。进而，可提供准许用户以更细的粒度定义特定规则如何有关于或影响特定资产、漏洞或威胁的界面元素，例如，通过定义声明相关用户定义对抗措施如何及在什么条件下保护漏洞或威胁的元素。例如，作为说明性示例，可为部署在系统上但是没有被风险评估工具标识的用户定义的防火墙定义一个或多个声明规则。这种声明规则可以解决与包括特定易感因特网浏览器的终端用户计算资产上的社交联网站点的访问有关的威胁。例如，可为用户定义的防火墙定义一个或多个声明规则，其包括已知社交联网漏洞的标识、被影响的终端用户设备、以及指示该防火墙将仅控制从具有与特定已知社交联网站点相对应的特定URL的网站接收的数据(即，仍保持以下可能性的开放:该资产可能仍暴露于来自社交网络但未包括在该用户定义防火墙已知的站点集合中的与社交联网相关的漏洞)的规则。此外，在一些情况下，用户还可提供知识特定用户定义对抗措施(或声明规则)针对特定威胁(或漏洞)保护相应资产的范围或程度。
[0072]最终，在完成(一个或多个用户定义对抗措施的)用户定义声明规则的定义或编辑之后，该声明规则可结合一个或多个用户定义对抗措施的定义而被保存并使其可用于检查和编辑(例如，在声明规则窗口 520中)。进而，例如在其他用户定义对抗措施的后续定义中，声明规则可被重用。随后，联系用户定义对抗规则所保护的系统或资产的一个或多个风险评估，可至少部分基于与该对抗措施相关联的定义的、启用的声明规则来评估这样定义的用户定义对抗规则。
[0073]图6是示出用于在对一个或多个计算资产的风险评估中生成和使用用户定义对抗规则的示例技术的简化流程图600。例如，可标识包括多个计算资产的特定计算系统上的特定计算资产集合。该特定计算资产集合可包括系统中的一个、两个或更多个、或全部资产。可标识610特定对抗措施的用户定义，其定义被标识为保护至少该特定计算资产集合的用户定义对抗措施。该对抗措施的用户定义可包括特定资产集合中的每个资产的标识以及该用户定义对抗措施所解决的至少一个漏洞和/或至少一个威胁的标识。用户定义的对抗措施可以是部署在系统上以保护未被用于审计和分类部署在该系统上的对抗措施以用于确定该系统及其组成资产的一个或多个风险度量的一个或多个风险评估工具标识或检测的至少一个特定资产集合的对抗措施。相应地，基于该用户定义对抗措施的用户定义，该用户定义对抗措施的实际部署可被假定615并被一个或多个风险评估工具接受为拥有在该用户定义对抗措施的用户定义中定义的特征和属性。进而，在一些实现中，该一个或多个风险评估工具可使用620该对抗措施的用户定义以评估包括该用户定义对抗措施的部署的系统、资产或资产群组的风险。
[0074]虽然按照某些实现以及一般相关联的方法描述了本公开，但这些实现和方法的变型和置换将对本领域技术人员显而易见。例如，在此描述的动作可按与所描述的次序不同的次序执行并仍然达到所需结果。作为一个示例，附图中示出的过程并不一定要求图示特定顺序、或顺序地，来实现期望的结果。在某些实现中，多任务处理和并行处理可能是有利的。另外，其他用户界面布局和功能可能被支持。其它变型也落在所附权利要求的范围内。
[0075]本说明书中描述的主题和操作的各实施例可以用数字电路、或计算机软件、固件、或硬件或用它们中的一个或多个的组合来实现，包括在本说明书中公开的结构和它们的等效结构。本说明书中描述的主题的各实施例可被实现为编码在计算机存储介质上以供数据处理装置执行或控制数据处理装置的操作的一个或多个计算机程序，即一个或多个计算机程序指令模块。作为替换或补充，这些程序指令可被编码在被生成为编码信息以传输给合适的接收机装置供数据处理装置执行的人工生成的传播信号上，例如，机器生成的电、光、或电磁信号上。计算机存储介质可以是或被包括在计算机可读存储设备、计算机可读存储基板、随机或顺序存取存储器阵列或设备、或它们中的一个或多个的组合中。此外，尽管计算机存储介质本质上不是传播信号，但计算机存储介质可以是被编码在人工生成的传播信号中的计算机程序指令的源或目的地。计算机存储介质也可以是或包括在一个或多个不同的物理组件或介质(例如，多个CD、盘、或其他存储设备)中，包括分布式软件环境或云计算环境。
[0076]在本说明书中描述的操作可被实现为由数据处理装置对储存在一个或多个计算机可读存储设备上的或从其他源接收到的数据执行的操作。术语“数据处理装置”、“处理器”、“处理设备”以及“计算设备”可涵盖用于处理数据的所有种类的装置、设备、以及机器，作为示例包括可编程处理器、计算机、片上系统、或上述中的多个或组合。该装置可包括通用或专用逻辑电路，例如专用处理单元(CPU)、刀片(blade)、专用集成电路(ASIC)、或现场可编程门阵列(FPGA)以及其他合适的选项。尽管一些处理器和计算设备已描述和/或示为单个处理器，但根据相关联的服务器的特定需求，多个处理器可被使用。引用单个处理器旨在在适用时包括多个处理器。一般而言，处理器执行指令并操纵数据来执行特定操作。一种装置也可包括(除硬件之外)为正在讨论的计算机程序创建执行环境的代码，例如构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机、或它们中的一个或多个的组合的代码。该装置和执行环境可以实现各自不同的计算模型基础结构，如web服务、分布式计算和网格计算基础结构。
[0077]计算机程序(也称为程序、软件、软件应用、脚本、模块、(软件)工具、(软件)引擎、或代码)可以用任何形式的编程语言来编写，包括已编译或已解释语言、声明性或过程语言，并且它可以按任何形式来部署，包括作为适于用在计算环境中的独立程序或作为模块、组件、子例程、对象、或其他单元。例如，计算机程序可包括可操作以在被执行时至少执行在此描述的过程和操作的计算机可读指令、固件、有线或编程硬件、或有形介质上的其任何组合。计算机程序可以但不必对应于文件系统中的文件。程序可被存储在保持其他程序或数据(例如，储存在标记语言文档中的一个或多个脚本)的文件的一部分中、专用于该正在讨论的程序的单个文件中、或多个协调文件(例如，存储一个或多个模块、子程序、或代码部分的文件)中。计算机程序可被部署以在一个计算机上执行或者在位于一处或分布在多个地点并通过通信网络互连的多个计算机上执行。
[0078]程序可被实现为通过各对象、方法、或其他过程实现各特征和功能的单独的模块，或在适当时可改为包括多个子模块、第三方服务、组件、库，诸如此类。反之，在适当时，各组件的特征和功能可被组合成单个组件。在一些情况下，程序和软件系统可被实现为复合主存应用。例如，该复合应用的各部分可被实现为Enterprise Java Bean (EJB)或设计时组件可具有生成不同平台内的运行时实现的能力，如J2EE (Java2平台，企业版)、ABAP (高级业务应用编程)对象或微软的.NET，以及其他。另外，应用可以表示经由网络(例如，通过因特网)访问和执行的基于web的应用。此外，与特定主存应用或服务相关联的一个或多个过程可在远程被存储、引用、或执行。例如，特定主存应用或服务的一部分可以是与该应用相关联的在远程调用的web服务，而该主存应用的另一部分可以是打包以供在远程客户机处进行处理的接口对象或代理。此外，主存应用和软件服务中的任一个或全部可以是另一软件模块或企业应用(未示出)的子模块而不背离本公开的范围。另外，主存应用的各部分可由直接在主存该应用的服务器处执行以及在客户机处远程地执行。
[0079]本说明书所描述的过程和逻辑流程可以被一个或多个可编程处理器执行，从而执行一个或多个计算机程序以通过对输入数据进行操作并产生输出来执行多种动作。这些过程和逻辑流程还可由装置执行，并且该装置可被实现为专用逻辑电路，例如FPGA(现场可编程门阵列)或ASIC (专用集成电路)。
[0080]作为示例，适于执行计算机程序的处理器包括通用微处理器和专用微处理器两者，以及任何类型的数字计算机中的任何一个或多个处理器。一般而言，处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于根据指令执行多种动作的处理器以及用于存储指令和数据的一个或多个存储设备。一般而言，计算机还将包括或可用于耦合以从和/或向用于存储数据的一个或多个大容量存储设备(例如，磁盘、磁光盘或光盘)接收数据和/或传输数据。然而，计算机不需要具有这种设备。此外，计算机可以被嵌入到另一个设备中，比如移动电话、个人数字助理(PDA)、平板计算机、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器、或便携式存储设备(比如USB闪存驱动器)等等。适于体现计算机程序指令和数据的信息载体包括所有形式的非易失性存储器，作为示例该非易失性存储器包括:储存设备(例如，EPROM、EEPROM)和闪存设备；磁盘(例如，内部硬盘或可移动盘);磁光盘；以及⑶-ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路系统补充和/或被纳入该专用逻辑电路系统。
[0081]为了提供与用户的交互，本说明书中描述的主题的各实施例可被实现在具有用于向用户显示信息的显示设备(如，CRT (阴极射线管)或LCD (液晶显示器)显示器)与用户可通过它向计算机提供输入的键盘和定位设备(如，鼠标或跟踪球)的计算机上。其他类型的设备也可用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的感觉反馈，例如，视觉反馈、听觉反馈、或触觉反馈；以及来自用户的输入可按任何形式接收，包括声音、语音和/或触觉输入。另外，计算机可通过向用户所使用的设备(包括远程设备)发送文档和从该设备接收文档与用户交互。
[0082]本说明书中描述的主题的各实施例可被实现为计算机系统，包括后端组件(如，作为数据服务器)或者包括中间件组件(如，应用服务器)或者可包括前端组件(如，具有用户通过它与此处描述的系统和技术的实现进行交互的图形用户界面或web浏览器)，或者这些后端、中间件或前端组件的任意组合。系统的组件可通过任何形式或介质的数字数据通信(例如，通信网络)来互连。通信网络的示例包括可操作来便于系统中的各组件之间的通信的任何内部或外部网络、诸网络、子网、或其组合。网络可在网络地址之间传递例如网际协议(IP)分组、帧中继帧、异步传输模式(ATM)单元、语音、视频、数据、以及其他合适的信息。网络还可包括一个或多个局域网(LAN)、无线电接入网络(RAN)、城域网(MAN)、广域网(WAN)、因特网的全部或部分、对等网络(例如，自组织对等网络)、和/或一个或多个位置处的一个或多个任何其他通信系统。
[0083]计算系统可包括客户机和服务器。客户机和服务器一般相距甚远且通常通过通信网络交互。客户机和服务器的关系根据在相应计算机上运行且彼此具有客户机-服务器关系的计算机程序来产生。在一些实施例中，服务器将数据(比如HTML页面)发送到客户机设备(比如，为了向用户显示数据并且接收与客户机设备交互作用的用户的输入)。在客户机设备处产生的数据(比如用户交互作用的结果)可以是从服务器处的客户机设备中接收到的。
[0084]虽然本说明书包含许多具体实现细节，但这些具体实现细节不构成对本发明的范围或者权利要求范围的限制，而是作为本发明特定实施方式特定的特征的描述。本说明书的各单独实施方式内容中描述的某些特征也可以组合起来在单个实施方式中实现。反之，在单一实施方式的内容中描述的各种特征也可以在多个实施方式中单独或者以任何合适的次级组合的形式实现。此外，虽然诸特征在上文可能被描述为以某些组合的方式起作用且甚至最初是如此要求保护的，但来自所要求保护的组合的一个或多个特征在一些情形中可从该组合被删去，且所要求保护的组合可以针对子组合、或子组合的变体。
[0085]类似地，虽然在附图中以特定次序描绘了诸操作，但这不应当被理解为要求此类操作以所示的特定次序或按顺序次序来执行、或要执行所有所解说的操作才能达成期望的结果。在某些环境中，多任务处理和并行处理可能是有利的。此外，上文所描述的实施例中的各种系统组件的分开不应被理解为在所有实施例中都要求此类分开，并且应当理解，所描述的程序组件和系统一般可以一起整合在单个软件产品中或封装成多个软件产品。[0086] 因而，本主题的特定实施例已被描述。其他实施例也落在所附权利要求的范围之内。在一些情形中，权利要求中叙述的动作可按不同次序来执行并且仍达成期望的结果。另夕卜，在附图中描述的过程并非必需所示的特定顺序或连续顺序来实现所要求的结果。
【权利要求】
1.一种方法，包括: 标识包括多个计算资产的特定计算系统上的特定计算资产集合； 接收对被应用到所述特定资产集合的特定对抗措施的用户定义，所述对抗措施的所述用户定义包括所述特定资产集合中的每个资产的标识以及多个已知漏洞中由所述特定对抗措施所解决的至少一个漏洞的标识；以及 在所述特定计算系统的至少一部分的风险评估中假定所述特定对抗措施在所述特定计算系统中的实际部署。
2.如权利要求1所述的方法，其中所述风险评估包括对所述特定计算资产集合上的漏洞集合所引入的风险的考虑，所述漏洞集合被包括在所述多个已知漏洞中且包括所述至少一个漏洞，以及对应用到所述特定计算资产集合的对抗措施集合的考虑，所述对抗措施集合减少所述漏洞集合所引入的风险，并且所述对抗措施集合包括所述特定对抗措施以外的至少一个对抗措施。
3.如权利要求2所述的方法，还包括扫描所述特定计算资产集合以标识部署在所述特定资产集合上的至少一个其他对抗措施。
4.如权利要求3所述的方法，其中所述特定对抗措施在对至少所述特定计算资产集合的扫描中没有被检测到。
5.如权利要求4所述的方法，其中所述至少一个其他对抗措施是从多个已知对抗措施中标识的，且所 述特定对抗措施未被包括在所述多个已知对抗措施中。
6.如权利要求2所述的方法，还包括扫描至少所述特定计算资产集合来标识所述漏洞集合
7.如权利要求6所述的方法，其中标识所述漏洞集合中的每个漏洞包括标识受对应漏洞影响的相应软件资产。
8.如权利要求2所述的方法，其中所述特定对抗措施所解决的所述至少一个漏洞被包括在所述漏洞集合中，并且所述用户定义的特定对抗措施在所述风险评估中被考虑以减少与所述特定对抗措施所解决的所述至少一个漏洞相关联的风险。
9.如权利要求1所述的方法，还包括: 确定在没有所述特定对抗措施的情况下剩余风险的主要来源；以及 基于所述特定对抗措施的所述用户定义来修订对剩余风险的所述主要来源的所述确定。
10.如权利要求1所述的方法，其中所述风险评估与对所述特定计算系统的建模相联系来做出，所述建模包括将所述特定对抗措施假想地应用到所述特定计算机系统中的所述特定计算资产集合。
11.如权利要求10所述的方法，还包括标识向所述特定计算资产集合应用所述特定对抗措施所导致的系统风险的假想变化。
12.如权利要求1所述的方法，其中所述特定对抗措施的所述用户定义进一步包括在后续对所述计算系统的所部署的对抗措施的扫描过程中在标识所述特定计算系统上的所述特定对抗措施时所使用的信息。
13.如权利要求12所述的方法，还包括扫描所述特定系统以基于所述特定对抗措施的所述用户定义来标识所述特定对抗措施在所述特定资产集合之外的资产上的至少一个其他部署。
14.如权利要求1所述的方法，其中所述特定对抗措施的所述用户定义进一步包括所述特定对抗措施缓解与所述至少一个漏洞相关联的风险的程度，并且所述程度在所述风险评估时被考虑。
15.如权利要求14所述的方法，其特征在于，所述程度指示所述特定对抗措施解决所述至少一个漏洞，但是没有完全缓解与所述至少一个漏洞相关联的风险。
16.如权利要求1所述的方法，还包括: 标识与所述特定对抗措施所解决的所述至少一个漏洞相对应的至少一个威胁；以及 假定所述至少一个威胁借助所述特定对抗措施而被缓解。
17.如权利要求1所述的方法，其中所述特定对抗措施的所述用户定义包括所述特定对抗措施的至少一个声明规则的定义。
18.如权利要求17所述的方法，其中所述至少一个声明规则可包括多个声明规则并且所述特定对抗措施的所述用户定义将所述多个声明规则中的至少一个声明规则定义为至少临时被禁用。
19.一种编码在非暂态介质中的逻辑，包括供执行且在由处理器执行时能用于执行以下操作的代码: 标识特定计算系统上的多个计 算资产； 接收对被应用到特定计算资产集合的特定对抗措施的用户定义，所述对抗措施的所述用户定义包括所述特定资产集合中的每个资产的标识以及多个已知威胁中由所述特定对抗措施所解决的至少一个威胁的标识；以及 在所述特定计算系统的至少一部分的风险评估中假定所述特定对抗措施在所述特定计算系统中的实际部署。
20.—种系统,包括: 至少一个处理器设备； 至少一个存储器控制器元件；以及 风险评估引擎，适于在被所述至少一个处理器设备执行时: 标识包括多个计算资产的特定计算系统上的特定计算资产集合； 接收对被应用到所述特定资产集合的特定对抗措施的用户定义，所述对抗措施的所述用户定义包括所述特定资产集合中的每个资产的标识以及多个已知漏洞中由所述特定对抗措施所解决的至少一个漏洞的标识；以及 在所述特定计算系统的至少一部分的风险评估中假定所述特定对抗措施 在所述特定计算系统中的实际部署。
21.如权利要求20所述的系统，其中所述风险评估引擎被进一步适于计算表示所述特定计算系统中的风险的得分，其中计算所述得分包括考虑漏洞集合在所述特定计算系统上引入的风险，所述漏洞集合被包括在所述多个已知漏洞中并包括所述至少一个漏洞，并且考虑被应用到所述特定计算资产集合的对抗措施集合，所述对抗措施集合减少所述漏洞集合所引入的风险，并且所述对抗措施集合包括所述特定对抗措施以及所述特定对抗措施以外的至少一个对抗措施，其中所述特定对抗措施的考虑基于所述特定对抗措施的所述用户定义。
22.如权利要求20所述的系统，还包括扫描引擎，所述扫描引擎适于在被所述至少一个处理器设备执行时检测来自部署在所述特定计算系统的资产上的多个已知对抗措施的对抗措施。
23.如权利要求22 所述的系统，其中所述扫描引擎不能检测至少所述特定对抗措施。
【文档编号】G06F21/56GK103890771SQ201280051443
【公开日】2014年6月25日 申请日期:2012年10月17日 优先权日:2011年10月18日
【发明者】P·G·巴萨瓦帕特纳, D·考林吉瓦蒂, S·斯克瑞克 申请人:迈克菲股份有限公司