使用安全度量对资产进行优先级排序制造技术

本公开描述了用于识别网络中的资产的关键度的技术。在示例方法中，识别网络中的第一资产的第一安全度量，以及识别网络数据，该网络数据标识与网络中的第二资产相关联的数据流。第二资产是网络中的第一资产的最近邻居。该方法包括基于网络数据来确定网络中在时间段期间与第二资产交换了数据业务的主机的数量，以及基于第一安全度量和主机的数量来生成第二资产的第二安全度量。基于安全度量来调整第二资产的安全策略。第二资产的安全策略。第二资产的安全策略。

【技术实现步骤摘要】
【国外来华专利技术】使用安全度量对资产进行优先级排序
[0001]相关申请的交叉引用
[0002]本专利申请要求于2020年9月18日提交的、题为“使用安全度量对资产进行优先级排序(PRIORITIZING ASSETS USING SECURITY METRICS)”的美国专利申请No.17/026,093的优先权，该申请要求于2020年7月30日提交的、题为“使用安全度量对资产进行优先级排序(PRIORITIZING ASSETS USING SECURITY METRICS)”的印度临时申请No.202041032709的权益，上述申请中的每个申请的内容通过引用以其整体并入本文。


[0003]本公开总体涉及识别资产(例如，主机、应用或端口)的安全度量，以及根据资产各自的安全度量对资产进行优先级排序。例如，可以根据安全度量来对资产的安全管理进行优先级排序。

技术介绍

[0004]在示例企业中，安全分析师可能具有有限量的时间和资源来调整企业内的资产(例如，主机、端口和应用)的安全姿态(posture)。因此，分析师可以对企业内的资产进行优先级排序，并将其安全管理努力集中在具有较高优先级的资产上。在各种情况下，分析师可以基于企业内的关键子网和应用的隐性(tacit)知识来对资产进行优先级排序。例如，分析师可以参考配置管理数据库(CMDB)来评估企业内的哪些资产应该被进行优先级排序。
[0005]然而，基于隐性知识来对资产进行优先级排序存在许多问题。例如，单个安全分析师可能不能在整个企业中一致地对资产进行优先级排序。此外，如果多于一个的安全分析师管理共享的资产组，则安全分析师可能难以一致地对资产进行优先级排序。此外，安全分析师可能不能手动地且有效地对企业内的资产进行优先级排序，特别是当安全分析师负责管理大量(例如，数千)资产时。即使当安全分析师能够手动地评估企业内的资产的优先级时，安全分析师可能不能基于网络流量中的实时变化来调整资产的优先级。手动地评估资产对网络的重要性通常是复杂的、易于出错的且耗时的。
[0006]此外，随着企业向对容器托管和云托管的应用进行以开发和操作(DevOp)为导向的部署和管理的转移，开发者以比CMDB更快的速度启动和/或关闭应用，可以被保持最新。出于评估资产的优先级的目的而手动地或自动地评估对CMDB的依赖可能防止安全分析师可靠地确定给定资产对企业的雇员或顾客的重要性。
[0007]在一些示例中，安全分析师可以依赖于企业内的资产的漏洞(vulnerability)以便对资产进行优先级排序。资产的漏洞可以基于漏洞元数据(诸如通用漏洞评分系统(CVSS))来评估。然而，评估资产的漏洞也是手动的、昂贵的、耗时的和易于出错的。此外，由于典型企业中应用漏洞的数量增加到数百万，所需的多维分析的规模成为问题，该问题不能由安全分析师手动可行地解决。虽然安全分析师可以使用复杂的基于机器学习的分析来评估企业内各种资产的漏洞，但是由于资产继续发送和接收数据业务，所以基于机器学习的技术常常在计算上是昂贵的并且对于实时分析是不可行的。
附图说明
[0008]下面参考附图给出详细说明。在附图中，附图标记的最左边的(一个或多个)数字表示附图标记首次出现的附图。在不同附图中使用相同的附图标记表示相似或相同的项目。附图中所示的系统不是按比例绘制的，并且附图中的组件可以彼此不按比例绘制。
[0009]图1示出了根据本文所述的各种实现方式的示例网络环境。
[0010]图2示出了具有影响资产的安全度量的各种因素的网络环境的示例。
[0011]图3示出了利用缩短的地址来计算资产的安全度量的示例表。
[0012]图4示出了用于计算资产的安全度量的示例过程。
[0013]图5示出了能够执行程序组件以实现本文所述功能的服务器计算机的示例计算机架构。
具体实施方式
[0014]本专利技术的各方面在独立权利要求中阐述，并且优选特征在从属权利要求中阐述。一个方面的特征可以单独或与其他方面组合应用于任何方面。
[0015]本公开描述了用于识别资产的安全度量的各种技术。一种示例方法包括：识别网络中的第一资产的第一安全度量；识别网络数据，所述网络数据标识与所述网络中的第二资产相关联的数据流，所述第二资产是所述网络中的所述第一资产的最近邻居和/或近邻邻居；基于所述网络数据来确定所述网络中在时间段期间与所述第二资产交换了数据业务的主机的数量；基于所述第一安全度量和所述主机的数量来生成所述第二资产的第二安全度量；以及基于所述第二安全度量来调整所述第二资产的安全策略。
[0016]根据一些示例，所述第二安全度量与所述第二资产的漏洞无关。在一些情况下，所述第二资产包括应用、端口或主机中的至少一者。在一些示例中，所述时间段的长度大于或等于7天且小于或等于31天。在一些情况下，所述时间段的长度大于或等于1天且小于或等于31天。
[0017]在一些情况下，所述第二安全度量指示出以下项中的至少一项：所述第二资产的关键度、所述第二资产的暴露、所述资产的漏洞利用概率、或所述资产的应用漏洞风险。
[0018]在一些实现方式中，该方法包括：识别与在所述时间段期间与所述第二资产交换了数据业务的所述主机相关联的用户的数量，其中，生成所述第二安全度量是基于所述用户的数量的。
[0019]根据一些实例，确定所述主机的数量包括：基于所述网络数据来识别所述主机的地址；通过提取所述地址的最高有效位的子集来生成缩短的地址，所述缩短的地址比所述地址短；以及基于所述缩短的地址的数量来确定所述主机的数量。
[0020]在一些示例中，调整所述安全策略包括：确定所述第二安全度量高于阈值；以及基于确定所述第二安全度量高于所述阈值，减小所述资产的多因素认证(MFA)间隔。在特定示例中，其中，调整所述安全策略包括：确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡；确定所述第二安全度量高于阈值；以及基于确定所述第二安全度量高于所述阈值来输出警报，所述警报报告被所述防火墙阻挡的所述一个或多个分组。
[0021]示例实施例
[0022]本公开描述了用于有效地评估网络中的资产的关键度(criticalit)并使用该关键度来进行优先级排序和/或调整与资产相关联的安全策略的各种技术。
[0023]在本文描述的各种实现方式中，可以针对特定资产(例如，主机、在主机上运行的应用、主机的端口等)生成安全度量。如本文所使用的，资产的术语“安全度量”可以指示出资产的暴露(exposure)、关键度或其组合。资产的暴露对应于网络内的其他实体(例如，主机、用户、其他资产等)对资产的可访问性。资产的关键度指示出资产对包括资产的组织(例如，企业)的重要性，并且因此可以对应于组织在资产受损时将招致的损失。在一些情况下，指示资产的暴露的安全度量可以被称为“暴露度量”，并且安全度量指示
[0024]例如，基于与资产相关联的网络数据来计算安全度量。网络数据可以反映和/或指示已经与资产交本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：识别网络中的第一资产的第一安全度量；识别网络数据，所述网络数据标识与所述网络中的第二资产相关联的数据流，所述第二资产是所述网络中的所述第一资产的最近邻居；基于所述网络数据来确定所述网络中在时间段期间与所述第二资产交换了数据业务的主机的数量；基于所述第一安全度量和所述主机的数量来生成所述第二资产的第二安全度量；以及基于所述第二安全度量来调整所述第二资产的安全策略。2.如权利要求1所述的方法，其中，所述第二安全度量与所述第二资产的漏洞无关。3.如权利要求1或2所述的方法，其中，所述第二资产包括应用、端口或主机中的至少一者。4.如权利要求1至3中任一项所述的方法，其中，所述第二安全度量指示出以下项中的至少一项：所述第二资产的关键度、所述第二资产的暴露、所述资产的漏洞利用概率、或所述资产的应用漏洞风险。5.如权利要求1至4中任一项所述的方法，还包括：识别与在所述时间段期间与所述第二资产交换了数据业务的所述主机相关联的用户的数量，其中，生成所述第二安全度量是基于所述用户的数量的。6.如权利要求1至5中任一项所述的方法，其中，确定所述主机的数量包括：基于所述网络数据来识别所述主机的地址；通过提取所述地址的最高有效位的子集来生成缩短的地址，所述缩短的地址比所述地址短；以及基于所述缩短的地址的数量来确定所述主机的数量。7.如权利要求1至6中任一项所述的方法，其中，调整所述安全策略包括：确定所述第二安全度量高于阈值；以及基于确定所述第二安全度量高于所述阈值，减小所述资产的多因素认证(MFA)间隔。8.如权利要求1至7中任一项所述的方法，其中，调整所述安全策略包括：确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡；确定所述第二安全度量高于阈值；以及基于确定所述第二安全度量高于所述阈值来输出警报，所述警报报告被所述防火墙阻挡的所述一个或多个分组。9.一种系统，包括：至少一个处理器；以及一个或多个非暂态介质，所述一个或多个非暂态介质存储有指令，所述指令在由所述系统执行时，使得所述系统执行操作，所述操作包括：识别网络中的第一资产的第一安全度量；识别网络数据，所述网络数据标识与所述网络中的第二资产相关联的数据流，所述第二资产位于所述第一资产的阈值距离内；基于所述网络数据来确定所述网络中在时间段期间与所述第二资产交换了数据业务
的主机的数量；基于所述第一安全度量和所述主机的数量来生成所述第二资产的第二安全度量；以及基于所述安全度量来调整所述第二资产的安全策略。10.如权利要求9所述的系统，其中，所述第二安全度量与所述第二资产的漏洞无关。11.如权利要求9或10所述的系统，其中，所述第二资产包括应用、端口或主机中的至少一者。12.如权利要求9至11中任一项所述的系统，其中，所述时间段的长度大于或等于1天且小于或等于31天。13.如权利要求9至12中任一项所述的系统，其中，所述操作还包括：识别与在所述时间段期间与所述第二资产交换了数据业务的所述主机相关联的用户的数量，其中，生成所述第二安全度量是基于所述用户的数量的。14.如权利要求9至13中任一项所述的系统，其中，确定所述主机的数量包括：基于所述网络数据来识别所述主机的地址；通过提取所述地址的最高有效位的子集来生成缩短的地址，所述缩短的地址比所述地址短；以及基于所述缩短的地址的数量来确定所述主机的数量。15.如权利要求9至14中任一项所述的系统，其中，调整所述安全策略包括：确定所述安全度量高于阈值；以及基于确定所述安全度量高于所述阈值，减小所述资产的多因素认证(MFA)间隔。16.如权利要求9至15中任一项所述的系统，其中，调整所述安全策略包括：确定定向到所述第二资产的一个或多个分组被与所述第二资产相关联的防火墙阻挡；确定所述第二安全度量高于阈值；以及基于确定所述第二安全度量高于所述阈值来输出警报，所述警报报告被所述防火墙阻挡的所述一个或多个分组。17.一种装置，包括：用于识别网络中的第一资产的第一安全度量的设备；用于识别网络数据的设备，所述网络数据标识与所述网络中的第二资产相关联的数据流，所述第二资产是所述网络中...

【专利技术属性】
技术研发人员：特拉维斯，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：