用于高效风险抑制的脆弱性评估和提供相关服务和产品的系统和方法技术方案

在说明性实施例中，用于网络脆弱性评估的系统和方法包括：获得评估数据，评估数据包括与企业的网络安全脆弱性的域有关的信息，以及对于每个安全域，相应的域级别脆弱性分数；基于(一个或多个)域级别脆弱性分数识别与所述企业相关的(一个或多个)风险；识别推荐产品或服务，以用于减轻每个风险；并且准备图形用户界面，以用于选择推荐产品或服务中的一部分。用户可以通过用户界面选择一个或多个产品或服务，以进行购买和/或部署计划。基于一些推荐产品或服务的应用，可以将域级别脆弱性分数与同行脆弱性分数、目标脆弱性分数或预期脆弱性分数进行比较。

【技术实现步骤摘要】
【国外来华专利技术】用于高效风险抑制的脆弱性评估和提供相关服务和产品的系统和方法相关申请的交叉引用本申请要求于2018年6月27日提交的题为“脆弱性评估和提供相关服务的系统和方法(SystemsandMethodsforVulnerabilityAssessmentandProvisioningofRelatedServices)”的美国临时专利申请序列号62/690,512，以及于2018年1月31日提交的题为“脆弱性评估和提供相关服务的系统和方法(SystemandMethodsforVulnerabilityAssessmentandProvisioningofRelatedServices)”的美国临时专利申请序列号62/624,575的优先权。所有以上识别的申请均通过引用整体并入本文。
技术介绍
在一些示例中，网络安全风险涉及敏感数据(例如，商户持有的支付数据或卫生保健提供者持有的医疗数据)泄露、计算机系统渗透、与身份欺诈相关的个人信息泄露以及类似的不测事件所导致的损失。这些种类的损失可能是由罪犯导致的，这些罪犯响应于现在时态环境变量管制机会(新发现的漏洞(exploits)、网络安全的近期趋势等)而调整他们的动作。迄今为止，对网络安全风险的评估严重依赖于人力资本，结果是基于个别专家的方法和专业背景的主观风险评估。因此，在个人或实体的系统、财产和设施的网络风险评估中的重要因素迅速变化，但是他们的风险评估继续由个人执行，并且因此以可能不超过分配给任务的特定个人的专业水平执行。此外，当在一个行业中出现风险因素时，对于这些因素的知识趋于局限于该行业中的专业人员，从而使其他行业是脆弱的，并致使对在这些其他行业中执行的脆弱性评估信息不足。市场上对于网络风险评估和风险减轻的另一个复杂问题是，必须基于个人找到并订购可用于协助个人或企业管理网络安全风险的第三方服务。例如，个人可能会寻求服务来检测和防止身份欺诈，或者确定他或她的个人信息是否已经被泄露并在暗网上发布。例如，小型或中型业务可能会寻求安全管理的虚拟私人网络(VPN)服务。这些类型的服务是单独出售的，并且消费者必须逐个网站去搜索和寻找来理解各种产品，并从中明智地选择。此外，如果客户离开提供者的网站以寻求在其他地方发布的配套服务，那么这种“搜索和寻找”的过程可能会使服务提供者或保险人失去向潜在客户提供服务的机会。还提出了这样的可能性，即保险人或服务提供者可能不知道其客户施加的一项或多项风险抑制服务，因为该项服务是通过另一个供应商订购的，在这种情况下，保险人或服务提供者“看不见”交易。有必要进行不受个人主观判断影响的风险评估、消除识别潜在服务提供者和保险人的延迟以防网络安全风险，以及消除现有的用于定位风险抑制服务的搜索和寻找过程。此外，平台操作者可能期望评估用户或其所代表的组织相对于多种危险的风险。例如，除了评估网络安全风险，平台操作者可能期望评估用户或其所代表的组织关于违反监管框架的风险，诸如欧盟《通用数据保护法规》或美国《健康保险便携性和责任法案》)。必须对平台进行重新编程以应对这些各种危险中的每一种是低效率的。有必要抑制这种背景下的数据库调用负担，并且允许这些平台在各种危险之间重新聚焦，同时减少这种重新聚焦所需的编程工作。
技术实现思路
在一个方面，本公开涉及用于网络安全脆弱性评估和管理的平台和方法。该平台和方法可以实现自动化或半自动化的网络安全弹性评估。可以为评估执行评分，以识别企业信息技术(IT)系统对各种网络安全威胁的风险或暴露。该平台和方法提供的评估可以包括图形显示，使得终端用户能够识别跨多个安全域的弱点。此外，安全子域评估可以将用户引导到需要改进的具体区域。可以鉴于目标脆弱性等级和/或同行基准脆弱性等级来评估企业，以实现企业当前状态的视觉比较。此外，该平台和方法可以提供一个或多个用于减轻一个或多个网络安全风险的推荐，在一些示例中包括产品、服务和保险策略。可以向用户展示预期脆弱性分数，该预期脆弱性分数代表在应用一个或多个补救时分数的改进。在一个方面，本公开涉及一种用于推荐和启用网络安全风险减轻以减轻通过对企业的IT系统的自动或半自动评估而识别的网络安全脆弱性的平台和方法。该平台和方法可以提供关于产品、服务和/或保险策略的信息，该产品、服务和/或保险策略旨在补救企业的IT系统中网络安全弹性中的一个或多个缺陷。此外，平台和方法可以提供用于将推荐的(一个或多个)产品、(一个或多个)服务和/或(一个或多个)策略添加到企业的基础设施的购买机制。购买机制可以包括联合一个或多个第三方提供者，以通过平台集成用户与第三方之间的销售。在一些实施例中，向交互式网络安全评估工具的用户展示用于选择、规划和预算的交互式路线图显示，以将一系列补救应用于企业的IT基础设施。某些补救可以包括从属补救(例如，依赖性)，从属补救涉及或取决于应用一个或多个附加补救的集合以减轻一个或多个风险。交互式路线图显示可以包括时间线和制定应用多个补救的计划的优先级。在一个方面，本公开涉及一种用于向用户展示交互式网络脆弱性评估的平台和方法，包括在多个安全域中展示的网络安全评估问题。交互式网络脆弱性评估可以通过浏览器界面来展示。可以通过解析包含互连数据矩阵的集合的文档来构建用于网络脆弱性评估的图形用户界面，该互连数据矩阵的集合包含安全域信息、问题、每个问题的答复控件以及与每个潜在答复对应的分数信息。此外，该文档可以包括一个或多个矩阵，用于存储与网络脆弱性评估交互的用户相关的答复和其他进度信息。在一些实施例中，一个或多个用户可以访问和重新访问交互式网络脆弱性评估，其中，用户进度存储在文档的矩阵中，以用于在将来访问时填充交互式网络脆弱性评估。一个用户可以包括专家或评估者，由平台和方法向其提供附加控件，以用于在完成的评估问卷内添加反馈或评论。包括完成的问卷信息和专家评述的文档可以用于生成图形报告以供企业审查。该报告可以是交互式的(例如，经由浏览器展示)。在一个方面，本公开涉及一种基于企业的真实生活结果来评估网络安全风险和脆弱性分数的平台和方法，该企业具有由用于网络安全脆弱性评估的平台和方法收集的网络脆弱性评估信息以及网络保险理赔信息。该平台和/或方法可以访问关于网络攻击的事件数据以及为每次网络攻击中涉及的企业计算的分数，并分析该信息以确定目标脆弱性分数，以避免将来在其他企业中的网络攻击。在一些实施例中，用于使用交互式问卷收集和管理网络安全评估信息的系统包括文档，该文档包括：安全域矩阵，该安全域矩阵包括被布置用于存储关于多个安全域的信息的多个域字段，其中，对于多个安全域的每个域，多个域字段包括进度字段，该进度字段用于通过对应于多个安全域的相应安全域的交互式问卷的多个部分中的相应部分来收集和存储交互式问卷的用户的进度；问题矩阵，该问题矩阵包括被布置用于存储关于多个问题的信息的多个问题字段，每个问题在逻辑上链接到安全域矩阵中的多个安全域的相应安全域，其中，对于多个问题中的每个问题，多个问题字段包括至少一个文本字符串，该文本字符串包含要展示给交互式问卷的用户的问题，以及多个答复控件类型中的至少一个答本文档来自技高网...

【技术保护点】
1.一种评估企业的网络安全脆弱性的系统，包括：/n处理电路；和/n非暂时性计算机可读介质，其上存储有指令，其中，所述指令在所述处理电路上被执行时，使得所述处理电路执行以下操作：/n获得评估数据，所述评估数据包括与所述企业的网络安全脆弱性的多个域有关的信息，/n对于所述多个域中的每个域，基于与相应域有关的所述评估数据的信息，确定相应的域级别脆弱性分数，/n对于所述多个域中的至少一个域，基于所述域级别脆弱性分数和与所述相应域有关的所述评估数据中的至少一个，识别与所述企业相关的一个或多个风险，/n基于所述一个或多个风险，识别一个或多个推荐产品或服务，以用于减轻所述一个或多个风险中的每一个，/n为了向远程计算设备处的所述企业的代表进行展示，准备第一图形用户界面，以用于选择所述一个或多个推荐产品或服务中的每一个，/n通过与所述第一图形用户界面的交互，从所述远程计算设备接收对所述一个或多个推荐产品或服务中的至少一个产品或服务的选择，以及/n实时响应于接收所述选择，/ni)基于所述至少一个产品或服务将一个或多个经调整的值应用于所述评估数据，以获得预期评估数据，并且/nii)使用所述预期评估数据来计算预期域级别脆弱性分数，所述预期域级别脆弱性分数代表受应用所述至少一个推荐产品或服务影响的所述多个域中的相应域中的脆弱性分数，并且/niii)为了向所述远程计算设备处的代表进行展示，准备第二图形用户界面，包括：/n图示所述相应域的脆弱性分数与所述相应域的预期域级别脆弱性分数之间的脆弱性分数的改进。/n...

【技术特征摘要】
【国外来华专利技术】20180131 US 62/624,575;20180627 US 62/690,5121.一种评估企业的网络安全脆弱性的系统，包括：
处理电路；和
非暂时性计算机可读介质，其上存储有指令，其中，所述指令在所述处理电路上被执行时，使得所述处理电路执行以下操作：
获得评估数据，所述评估数据包括与所述企业的网络安全脆弱性的多个域有关的信息，
对于所述多个域中的每个域，基于与相应域有关的所述评估数据的信息，确定相应的域级别脆弱性分数，
对于所述多个域中的至少一个域，基于所述域级别脆弱性分数和与所述相应域有关的所述评估数据中的至少一个，识别与所述企业相关的一个或多个风险，
基于所述一个或多个风险，识别一个或多个推荐产品或服务，以用于减轻所述一个或多个风险中的每一个，
为了向远程计算设备处的所述企业的代表进行展示，准备第一图形用户界面，以用于选择所述一个或多个推荐产品或服务中的每一个，
通过与所述第一图形用户界面的交互，从所述远程计算设备接收对所述一个或多个推荐产品或服务中的至少一个产品或服务的选择，以及
实时响应于接收所述选择，
i)基于所述至少一个产品或服务将一个或多个经调整的值应用于所述评估数据，以获得预期评估数据，并且
ii)使用所述预期评估数据来计算预期域级别脆弱性分数，所述预期域级别脆弱性分数代表受应用所述至少一个推荐产品或服务影响的所述多个域中的相应域中的脆弱性分数，并且
iii)为了向所述远程计算设备处的代表进行展示，准备第二图形用户界面，包括：
图示所述相应域的脆弱性分数与所述相应域的预期域级别脆弱性分数之间的脆弱性分数的改进。


2.根据权利要求1所述的系统，其中，所述第二图形用户界面还包括控件，所述控件被配置为在选择时向所述代表提供关于所述至少一个产品或服务的购买的信息。


3.根据权利要求1所述的系统，其中，所述评估数据包括对关于所述企业的一个或多个技术系统的多个问题的答案。


4.根据权利要求1所述的系统，其中，所述一个或多个推荐产品或服务包括网络保险。


5.根据权利要求1所述的系统，其中，所述第一图形用户界面包括一个或多个控件，所述一个或多个控件被配置为在选择时根据减轻的风险的数目、应用的相对紧迫性以及所述多个安全域中的关联的域中的至少一个，过滤或排序所述一个或多个推荐产品或服务。


6.根据权利要求1所述的系统，其中，所述指令在所述处理电路上被执行时，使得所述处理电路在准备所述第二图形用户界面之后执行以下操作：
经由所述第二图形用户界面接收用户对导航控件的选择；和
响应于接收所述选择，为了向所述远程计算设备处的代表进行展示，准备第三图形用户界面，所述第三图形用户界面包括时间线和多个可选元素，每个可选元素代表所述至少一个推荐产品或服务中的不同产品或服务，其中
所述多个可选元素中的每个元素被配置为使用用户输入交互来布置到所述时间线上，以用于准备应用对应的产品或服务的计划。


7.根据权利要求6所述的系统，其中，所述多个可选元素中的每个元素被配置为使用第二用户输入交互来将相应元素与预算、持续时间和开始日期中的至少一个相关联。


8.根据权利要求1所述的系统，其中，
所述至少一个推荐产品或服务中的一个或多个产品或服务与一个或多个先决条件推荐产品或服务相关联；和
准备所述第二图形用户界面包括识别与所述至少一个产品或服务中的第一推荐产品或服务相关联的所述一个或多个先决条件推荐产品或服务。


9.根据权利要求1所述的系统，其中，所述指令在所述处理电路上被执行时，使得所述处理电路执行以下操作：
为所述多个域中的每个域确定相应的同行域脆弱性分数，其中，
所述同行域脆弱性分数代表被识别为与所述企业共享一个或多个特性的多个组织的脆弱性分数的组合；
其中，准备所述第一图形用户界面包括对于所述多个域中的至少一个域，为展示所述企业的域脆...

【专利技术属性】
技术研发人员：J霍格，N丹，J博拉斯，C乌里亚特，A佩克曼，M德西，
申请(专利权)人：怡安风险顾问股份有限公司，
类型：发明
国别省市：美国;US