本公开的实施例提供了一种外部攻击面风险评估方法和装置。所述方法包括:根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限,计算得到各经营实体的资产风险值;其中,所述经营实体包括:公司、子公司、外部供应商;根据公司和子公司的资产风险值计算集团的内部资产风险值,根据外部供应商的资产风险值计算集团的外部资产风险值;根据所述内部资产风险值和所述外部资产风险值,对所述集团进行外部攻击面风险评估。以此方式,可以在减少计算量的同时使得评估结果更加精准,也具备了实时性强的优点,能够适用于各类安全类产品对企业内外部的环境风险等级的评估。企业内外部的环境风险等级的评估。企业内外部的环境风险等级的评估。
【技术实现步骤摘要】
一种外部攻击面风险评估方法和装置
[0001]本公开涉及信息安全
,尤其涉及一种外部攻击面风险评估方法和装置。
技术介绍
[0002]攻击面管理主要包括外部攻击面管理(EASM)、网络资产攻击面管理(CAASM)、数字风险保护服务(DRPS)、漏洞评估(VA)、弱点/漏洞优先级技术(VPT)五方面的攻击面管理,包括资产的识别及清点、漏洞修复及暴露面管控、云安全与治理、数据泄漏检测、子公司风险评估、供应链/第三方风险评估和并购(M&A)风险评估等内容。其中,尤其以外部攻击面管理是企业安全中最为关键的一环。
[0003]攻击面是一个给定的计算机或网络系统,可以被黑客访问和利用的漏洞总和。攻击面包含:操作系统、中间件、应用程序、承载网络中存在的软件漏洞;系统和软件中的错误配置与安全控制缺失;违反安全制度和合规要求的网络配置;过度宽松的访问控制规则。
[0004]减少攻击面的基本策略是减少运行中的软件总量,减少非信任用户可使用的入口点,以及消除用户很少使用的服务。改进信息安全的方法之一就是减少系统与软件的攻击表面。因为关闭不必要的功能,可以避免它们带来的安全风险。减少未授权操作者可调用的代码有助避免安全事故。虽然减少攻击表面有助于防止安全事故,但它不能减少一旦攻击者发现漏洞后可能造成的损害程度。
技术实现思路
[0005]本公开提供了一种外部攻击面风险评估方法和装置。
[0006]根据本公开的第一方面,提供了一种外部攻击面风险评估方法。该方法包括:
[0007]根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限,计算得到各经营实体的资产风险值;其中,所述经营实体包括:公司、子公司、外部供应商;
[0008]根据公司和子公司的资产风险值计算集团的内部资产风险值,根据外部供应商的资产风险值计算集团的外部资产风险值;
[0009]根据所述内部资产风险值和所述外部资产风险值,对所述集团进行外部攻击面风险评估。
[0010]进一步的,所述已知资产中包括以下设备中的一种或多种:
[0011]服务器、路由器、防火墙、交换机;
[0012]其中,每种设备包括公开IP、端口、服务、应用程序四种风险暴露面。
[0013]进一步的,所述子公司的资产风险值或所述外部供应商的资产风险值的计算公式如下:
[0014]R
i
=W
i
*||IP||*[||port||*Vul({Service},{Applications})];
[0015][0016]其中,R
i
代表子公司的资产风险值或外部供应商的资产风险值,||IP||代表IP的
数量,||port||代表端口数量,Vul({Service},{Application})代表对应用软件进行评估,r
i
代表子公司或外部供应商的市值,W
i
代表子公司或外部供应商的资产风险值权重。
[0017]进一步的,所述公司的资产风险值的计算公式如下:
[0018]R
e
=∑W
type
*[∑||IP||*||port||*Vul({Service},{Appliction})+R
x
];
[0019]其中,Re代表公司的资产风险值,||IP||代表IP的数量,||port||代表端口数量,Vul({Service},{Application})代表对应用软件进行评估,Wtype代表设备类型的权限,Rx代表未知资产的风险值。
[0020]进一步的,所述未知资产的风险值计算过程包括:
[0021]根据公司资产管理规范和公司资产管理能力确定对应的层级;其中,所述层级包括高、中、低和无四种;
[0022]对各所述层级对应的预设数值相乘的结果,进行非线性映射使得未知资产风险值落在0至1之间。
[0023]进一步的,所述根据所述内部资产风险值和所述外部资产风险值,对所述集团的外部攻击面进行风险评估的公式如下:
[0024]R
total
=R
e
+0.5*∑(R
s1
,R
s2
,...,R
sn
)+0.3∑(R
v1
,R
v2
,...,R
vm
);
[0025]其中,R
total
代表集团总资产风险值,R
e
代表公司的资产风险值,R
sn
代表经营实体中第n个子公司的资产风险值,R
vm
代表经营实体中第m个供应商的资产风险值。
[0026]根据本公开的第二方面,提供了一种外部攻击面风险评估装置。该装置包括:
[0027]计算模块,用于根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限,计算得到各经营实体的资产风险值;其中,所述经营实体包括:公司、子公司、外部供应商;
[0028]确定模块,用于根据公司和子公司的资产风险值计算集团的内部资产风险值,根据外部供应商的资产风险值计算集团的外部资产风险值;
[0029]评估模块,用于根据所述内部资产风险值和所述外部资产风险值,对所述集团进行外部攻击面风险评估。
[0030]根据本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
[0031]根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述的方法。
[0032]本公开提出了一种基于多级加权的外部攻击面风险评估方法,使用该方法对企业外部攻击面进行风险评估,可以在减少计算量的同时使得评估结果更加精准,也具备了实时性强的优点,能够适用于各类安全类产品对企业内外部的环境风险等级的评估。
[0033]应当理解,
技术实现思路
部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0034]结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相
似的附图标记表示相同或相似的元素,其中:
[0035]图1示出了本公开的实施例的集团外部攻击面资产示意图;
[0036]图2示出了根据本公开的实施例的外部攻击面风险评估方法的流程图;
[0037]图3示出了根据本公开的实施例的外部攻击面风险评估装置的框图;
[0038]图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
[0039]为使本公开实施例的目的、技术方案和优点更加清楚,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种外部攻击面风险评估方法,其特征在于,所述方法包括:根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限,计算得到各经营实体的资产风险值;其中,所述经营实体包括:公司、子公司、外部供应商;根据公司和子公司的资产风险值计算集团的内部资产风险值,根据外部供应商的资产风险值计算集团的外部资产风险值;根据所述内部资产风险值和所述外部资产风险值,对所述集团进行外部攻击面风险评估。2.根据权利要求1所述的方法,其特征在于,所述已知资产中包括以下设备中的一种或多种:服务器、路由器、防火墙、交换机;其中,每种设备包括公开IP、端口、服务、应用程序四种风险暴露面。3.根据权利要求1所述的方法,其特征在于,所述子公司的资产风险值或所述外部供应商的资产风险值的计算公式如下:R
i
=W
i
*||IP||*[||port||*Vul({Service},{Applications})];其中,R
i
代表子公司的资产风险值或外部供应商的资产风险值,||IP||代表IP的数量,||port||代表端口数量,Vul({Service},{Application})代表对应用软件进行评估,r
i
代表子公司或外部供应商的市值,W
i
代表子公司或外部供应商的资产风险值权重。4.根据权利要求1所述的方法,其特征在于,所述公司的资产风险值的计算公式如下:R
e
=∑W
type
*[∑||IP||*||port||*Vul({Service},{Appliction})+R
x
];其中,Re代表公司的资产风险值,||IP||代表IP的数量,||port||代表端口数量,Vul({Service},{Application})代表对应用软件进行评估,Wtype代表设备类型的权限,Rx代表未知资产的风险值。5.根据权利要求4所述的方法,其特征在于,所述未知资产的风险值计算过程包括:根据公司资产管理规范...
【专利技术属性】
技术研发人员:沈传宝,郝伟,刘加瑞,
申请(专利权)人:北京华云安信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。