重组威胁建模制造技术

技术编号:16388579 阅读:32 留言:0更新日期:2017-10-16 09:07
本发明专利技术公开描述了动态开发和维护威胁模型、威胁景观和威胁矩阵。具体描述的是关于如何涉及(1)攻击表面、(2)攻击历史、(3)威胁和(4)历史响应相关联的技术,通过将这四种类型的数据以及其他数据加载到数据存储器中。公开的一个示例数据存储器包括图形数据结构的一些变型。在加载数据时,经填充的数据存储器可以用于开发威胁模型,其将代表威胁景观和威胁矩阵。然后可以查询这些相对于安装的经推荐的反应式和主动式响应,以便提高安全性。

【技术实现步骤摘要】
【国外来华专利技术】重组威胁建模
技术介绍
企业不断受到网络攻击或对计算资源和数据的电子攻击(以下所有企业的计算资源和数据,不仅仅是连接资源,被称为“网络”)。从2011到2015年,在美国以及美国以外的许多其他企业和政府网络上,至少有七百(700)件文件记录在案的主要网络攻击事件。一些攻击为了窃取数据。其他攻击为了窃取金钱或获取对金钱的电子访问。而其攻击则恶意破坏数据,或导致拒绝服务。这些攻击不仅降低了受到攻击的特定网络的完整性,而且降低了用户对所有网络的信心。因此,网络安全人员和负责计算机安全的其他人员一直面临着为网络防御网络攻击而提出的挑战。因此,网络安全人员负责开发和维护用于其负责下的网络的威胁模型。威胁模型识别这些网络中的漏洞,并且理想地,识别或帮助识别技术以减轻任何识别到的相应计算机安全风险。这些技术的应用被称为修复。然而,目前针对企业和政府计算资源攻击的规模、复杂程度和种类已经增加到了威胁数据的分析至少从自动化、第三方数据的利用和数据共享中受益的程度。附图说明具体实施方式参照附图进行说明。图1是目前威胁空间的示图。图2是显示相同威胁矩阵中两个威胁模型的交集的示图。图3示出了威胁、攻击向量(漏洞)和威胁模型的上下文。图4说明了威胁模型、威胁景观和威胁矩阵之间的关系。图5是用于重组威胁模型和威胁矩阵的示例性硬件、软件和网络环境。图6是重组威胁模型和威胁矩阵的示例性框图。图7是示例性图形结构。具体实施方式威胁模型的上下文和概述计算机安全中的现有威胁环境企业和政府实体面临的威胁环境在过去几年中,在货币流失、知识产权和数据二者方面,从简单破坏服务(“黑客”)急剧变化到重大经济盗窃。公司采用的风险控制策略已被迫从基于策略和控制的策略变化到包括评估、测量和跟踪漏洞的复杂的安全设备。大多数安全应用都会监测安全信息和事件管理日志(称为“SIEM”),并对发现的问题进行评分,并且然后为修复制定缓解响应。然而,随着复杂的企业风险分析策略的发展,这些策略对更危险的攻击对手而言仍然是防御性的和反应式的。目前的企业和政府对信息基础设施具有关键性的依赖,以推销他们的产品和服务、与客户沟通并辅助图形分布式工作场所、员工和数据中心之间的通信。这些接入点中的每一个都具有由其配置和已知漏洞定义的攻击表面。成功攻击的特征是通用漏洞和暴露(CVE)、计算机应急响应小组(CERT)以及来自安全研究人员的其他报告。然而,认识到这些攻击是基于对攻击签名本身的事实识别之后的。驱动和资助更复杂攻击发展的经济激励导致图1中威胁金字塔100所示的威胁空间中的巨大差异。在检测后组织和指导风险缓解和修复已经不够,因为它是基于在攻击表面上出现的攻击签名。威胁金字塔100代表了对当前状况的更准确的看法。现有技术的风险管理工具通过安全策略、数据治理和安全设备将一级和二级威胁处理得很好。第六级攻击本质上对漏洞扫描工具是不可见的,因为漏洞利用(exploit)创建了一个以前不存在的自定义漏洞,因此没有任何签名来检测。第五级攻击在很难检测和修复方面相似。漏洞、威胁、攻击和攻击表面威胁可以被理解为具有使用不同攻击过程来利用漏洞的能力和意愿的特定实体。例如,较早版本的WindowsNTTM服务器容易通过ping脆弱端口(称为“死亡Ping”)而崩溃。因此,NT死亡Ping威胁是脆弱端口与对已知端口进行ping的相关性。这样一来,漏洞就是网络防御的弱点,通常被称为攻击向量。攻击是对该漏洞的利用。威胁是可能执行或正在执行特定攻击的一方或实体。网络特定部分的一组漏洞或攻击向量被称为网络部分的攻击表面。重要的是要指出,威胁不需要利用本质上为技术性的漏洞,而可能是非技术性的(例如来自受损工人或不满工人的威胁)。这在图2中示出,其中威胁模型包含外部攻击表面(其包括攻击向量(诸如NT死亡Ping)的)和内部攻击表面(诸如不满的雇员)。攻击树攻击表面通常用攻击树来表示。攻击树是计算机安全结构,其用于存储计算机网络中漏洞的先决条件和前提。通常,树将由父节点组成,每个父节点都有一组子节点。树内部的子节点将具有各自相应的子节点(父节点的孙子节点)。没有自己的子节点的子节点是叶节点。每个父节点都存储网络的潜在漏洞。该父节点的子节点是利用存储在父节点中的漏洞的潜在向量。例如,父节点可以存储病毒可能感染文件的概念。父节点可以具有第一子节点(其存储作为管理员执行的病毒向量)和第二子节点(其存储作为非管理员权限执行的病毒向量)。存储作为管理员执行的病毒向量的子节点可以依次具有其各自相应的子节点,其存储利用根漏洞的病毒的概念和利用受损管理帐户运行的病毒的概念。因为攻击树存储攻击向量,所以攻击树被用来开发威胁矩阵。威胁矩阵是对网络所有威胁的主列表,其被交叉引用至潜在的修复响应。然而,由于攻击树不存储明确的响应,因此它们不提供修复信息以开发完整的威胁矩阵。此外,用于开发攻击树的现有技术本质上是人工的。因此,开发和维护攻击树是复杂和耗时的。具体来说,现有技术的攻击树技术不具备动态生成攻击树的能力。可以针对特定类别的漏洞开发攻击树。例如,第一攻击树可能存储来自技术攻击的漏洞,第二攻击树可能会存储来自社交攻击的漏洞。这两个攻击树也可以组合成单一的威胁矩阵。然而,利用现有技术,存储在两个攻击树中的攻击先决条件不会相关,尽管其处于相同的威胁矩阵中。具体来说,现有技术并不考虑一个攻击树中的子节点是潜在先决条件并且因此是第二攻击树中的潜在子节点。一般来说,现有技术的威胁建模技术遭受具有单一威胁行为人的目标。具体来说,用于开发威胁模型的现有技术的过程本质上是线性的,即使真实世界的攻击可以是侧向的,即最初存储在一个攻击树中的攻击最终演变成存储在另一个攻击树中的攻击。例如,社交模型下(即存储在由社交和/或人为因素数据构成的攻击树中)的攻击的指示符不被用作指示技术威胁的指示符(即存储在由技术攻击数据组成的攻击树中)。例如,过去三个评审中员工被忽略加薪的知识可能不会触发检查员工是否是IT人员并可能尝试对服务器进行技术攻击的响应。攻击树适合于将许多数据源(组织的内部和外部)的数据合并到组织中。然而在实践中,威胁矩阵通常仅用作内部开发的威胁模型的输入。通常情况下,威胁矩阵不会被其他安装中没有由公司安全主管负责的安装事件更新。这通常不仅不能访问第三方数据,而且现有技术已经是时间密集的以便单独从内部数据开发攻击树。重组威胁模型威胁模型、威胁景观(landscape)、威胁矩阵在这里,我们描述了开发称为重组威胁模型的威胁模型的新技术,它识别威胁空间的差异化。重组威胁模型映射威胁及其相应的攻击向量。重组威胁模型可以组合成一系列重叠的“威胁景观”。然后威胁景观可以组合成最终的“威胁矩阵”,以用于安装。由于本文所述的性质,重组威胁模型可能是相互关的,并且可以使用第三方数据进行扩展。“攻击表面”一般是在一系列潜在威胁的上下文中提出的,称为威胁模型。例如,一个攻击表面可能由弱加密的威胁组成。另一个攻击表面可能包含来自服务器中无意暴露点的威胁。另一个攻击表面可能包括来自人为因素的威胁(例如不满的雇员、受损员工、人为错误)。重组威胁模型可以被构建为攻击表面阵列,其相应的攻击向量对应于一个或多个资产(asset)(见图3)。攻击表面由与描述相应漏洞的一个或本文档来自技高网...
重组威胁建模

【技术保护点】
一种执行计算机安全威胁分析的系统,包括:处理器,被配置为执行计算机可执行指令;存储器,与所述处理器可通信地耦合;计算机可读介质,与所述处理器可通信地耦合;数据存储结构,驻留在所述计算机可读介质中,被配置为存储多个攻击表面实例、多个攻击向量数据实例,每个攻击向量数据实例被配置为存储与一个或更多个攻击表面实例、多个威胁模型实例的关联以及攻击表面实例和威胁模型实例之间的多个关联;以及软件查询组件,驻留在所述存储器中并且可通信地耦合到所述数据存储结构,所述软件查询组件被配置为至少基于攻击表面实例与威胁模型实例之间的关联来返回数据。

【技术特征摘要】
【国外来华专利技术】2014.12.05 US 62/088,479;2015.12.03 US 14/958,7921.一种执行计算机安全威胁分析的系统,包括:处理器,被配置为执行计算机可执行指令;存储器,与所述处理器可通信地耦合;计算机可读介质,与所述处理器可通信地耦合;数据存储结构,驻留在所述计算机可读介质中,被配置为存储多个攻击表面实例、多个攻击向量数据实例,每个攻击向量数据实例被配置为存储与一个或更多个攻击表面实例、多个威胁模型实例的关联以及攻击表面实例和威胁模型实例之间的多个关联;以及软件查询组件,驻留在所述存储器中并且可通信地耦合到所述数据存储结构,所述软件查询组件被配置为至少基于攻击表面实例与威胁模型实例之间的关联来返回数据。2.如权利要求1所述的系统,其中所述数据存储结构还被配置为存储指示符数据,所述指示符数据与攻击向量实例或与攻击表面实例相关联并且描述指示相关联的实例的可能性的事件。3.如权利要求1所述的系统,其中所述数据存储结构还被配置为存储响应数据,所述响应数据与攻击向量实例或与攻击表面实例相关联并且描述修复相关联的实例的过程。4.如权利要求1所述的系统,其中所述数据存储结构将威胁矩阵中的所述多个威胁模型相关联,其中所述多个威胁模型被构造为有向图形,并且其中所述威胁模型具有不同的属性。5.如权利要求4所述的系统,还包括可通信地耦合到所述软件查询组件的软件相似度组件,所述软件相似度组件存储相似度函数以确定两个实体之间的相似度得分,并且其中所述软件查询组件被配置为如果所述两个实体之间的所述相似度得分超过预定阈值,则推断两个实体之间的有向图链接。6.如权利要求5所述的系统,其中至少通过两个各自实体的相应属性之间的所述相似度得分来确定两个实体之间的所述相似度得分。7.如权利要求5所述的系统,其中所述软件查询组件被配置为返回最初不与威胁模型相关联但是通过所述威胁模型和所述攻击表面之间推断的有向图链接与所述威胁模型相关联的攻击表面实例。8.如权利要求5所述的系统,还包括可通信地耦合到所述软件相似度组件的软件数据馈送组件,被配置为通过创建相应的攻击表面实例、威胁模型实例来接收数据并将数据加载到所述数据存储结构中,并且被配置为基于由所述软件相似度组件执行的至少一个相似度得分来创建所述攻击表面实例与威胁模型实例之...

【专利技术属性】
技术研发人员:G·R·里思B·C·佩佩
申请(专利权)人:T移动美国公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1