安全漏洞信息聚合转让专利
申请号 : CN200610144762.4
文献号 : CN1940951B
文献日 : 2011-03-02
发明人 : C·古斯塔夫 , S·T·周 , D·维默尔
申请人 : 阿尔卡特公司
摘要 :
公开了一种安全漏洞信息聚合技术。与一个或多个安全漏洞相关联的漏洞信息获取自多个源,并且被聚合成针对一个或多个安全漏洞的各个统一漏洞定义。在一些实施例中,聚合可以包括格式转换、内容聚合或这二者。统一漏洞定义可以根据指定消费者的策略而被分发给漏洞信息消费者。接收自源的漏洞信息的存储可以使得聚合过程关于现有漏洞信息而被“逆动地”执行。还公开了相关的数据结构和图形用户接口(GUI)。
权利要求 :
1.一种用于处理漏洞信息的装置,该装置包括:
接口,其用于从多个源接收与特定安全漏洞相关联的漏洞信息,
有效耦合至所述接口的多个格式适配器,其中每个格式适配器都被配置用来将从各自的源所接收的漏洞信息的格式转换成关联于所述安全漏洞的统一漏洞定义的格式,漏洞信息存储单元,其有效耦合至所述多个格式适配器,并且用于存储与所述安全漏洞相关联且被所述多个格式适配器转换的漏洞信息,内容聚合器,其有效耦合至所述漏洞信息存储单元,并且被配置用来通过基于接收自所述多个源、被所述多个格式适配器转换并且被存储于所述漏洞信息存储单元中的漏洞信息的相应部分来确定所述统一漏洞定义的一部分,将所述漏洞信息聚合成所述统一漏洞定义,策略存储单元,其有效耦合至所述内容聚合器,并且用于存储一个或多个聚合策略,其中,所述接口被配置用来从所述多个源接收关联于多个安全漏洞的漏洞信息,并且所述内容聚合器被配置用来按照所述策略存储单元中的漏洞信息消费者的聚合策略将接收的漏洞信息聚合成一个或多个各自的统一漏洞定义,该接收的漏洞信息关联于一个或多个各自的安全漏洞、被所述多个格式适配器转换并且被存储于所述漏洞信息存储单元中,其中,所述内容聚合器还被配置用来在所述策略存储单元中添加或修改聚合策略的情况下根据新的或所修改的聚合策略从所述漏洞信息存储单元中检索与一个或多个各自的安全漏洞相关联的已转换漏洞信息,并且将所检索的已转换漏洞信息聚合成一个或多个各自的统一漏洞定义。
2.根据权利要求1所述的装置,其中,所述接口包括多个接口,所述多个接口中每个接口都被配置用来从各自的一组一个或多个源接收漏洞信息。
3.根据权利要求1所述的装置,其中,所述内容聚合器还被配置用来检测在从所述多个源中不同的源所接收的漏洞信息之间的冲突,并且所述装置还包括下列模块中的至少一个:冲突解决模块,其有效耦合至所述内容聚合器并且被配置用来解决由该内容聚合器所检测的冲突;以及冲突告警模块,其有效耦合至所述内容聚合器并且被配置用来允许用户解决由该内容聚合器所检测的冲突。
4.根据权利要求1所述的装置,其中,所述内容聚合器还被配置用来检测接收自所述多个源中不同的源的漏洞信息之间的冲突,并且,所述装置还包括:冲突规则存储单元,其用于存储冲突规则的集合;和
冲突解决模块,其有效耦合至所述内容聚合器和所述冲突规则存储单元,并且被配置用来基于存储于所述冲突规则存储单元中的所述冲突规则的集合来解决由所述内容聚合器检测的冲突。
5.根据权利要求1所述的装置,其中,从每个源接收的漏洞信息包括按照各自的源格式所安排的各自的源内容,并且所述多个格式适配器中的每个格式适配器被配置用来将漏洞信息从各自的源格式转换成所述统一漏洞定义的格式。
6.根据权利要求1至5中任一个所述的装置,该装置还包括:
用户接口,其有效耦合至所述内容聚合器,用于提供所述统一漏定义的表示。
7.根据权利要求1至5中任一个所述的装置,该装置还包括:
一个或多个输出接口,其有效耦合至所述内容聚合器,所述一个或多个输出接口中每个输出接口都被配置用来将所述统一漏洞定义发送给各自的一组一个或多个漏洞信息消费者。
8.根据权利要求7所述的装置,其中,所述一个或多个聚合策略指定了针对一个或多个漏洞信息消费者的各自的分发参数集合,并且所述内容聚合器还被配置用来按照所述聚合策略中指定的分发参数集合来通过所述一个或多个输出接口之一分发所述一个或多个各自的统一漏洞定义。
9.根据权利要求8所述的装置,其中,所述内容聚合器还被配置用来通过所述一个或多个输出接口之一将所述一个或多个各自的统一漏洞定义分发给漏洞信息消费者,其中所述新的或所修改的聚合策略针对该消费者而指定了分发参数集合。
10.一种用于处理漏洞信息的方法,该方法包括下列步骤:
从多个源获取与特定安全漏洞相关联的漏洞信息,
在各自的格式适配器中将接收自所述多个源的漏洞信息各自的格式转换成关联于所述安全漏洞的统一漏洞定义的格式,将关联于所述安全漏洞且被多个格式适配器转换的漏洞信息存储到漏洞信息存储单元中,以及通过基于接收自所述多个源、被所述多个格式适配器转换并且被存储于所述漏洞信存储单元中的漏洞信息的相应部分来确定所述统一漏洞定义的一部分,将所述漏洞信息聚合成所述统一漏洞定义,其中,获取的步骤包括从所述多个源获取关联于多个安全漏洞的漏洞信息,并且聚合的步骤包括按照存储于策略存储单元中的聚合策略将漏洞信息聚合成一个或多个各自的统一漏洞定义,该漏洞信息关联于一个或多个各自的安全漏洞、在所述多个格式适配器中被转换并且被存储于所述漏洞信息存储单元中,其中,聚合的步骤还包括在所述策略存储单元中添加或修改聚合策略的情况下根据新的或所修改的聚合策略从所述漏洞信息存储单元中检索与一个或多个各自的安全漏洞相关联的已转换漏洞信息,并且将所检索的已转换漏洞信息聚合成一个或多个各自的统一漏洞定义。
11.根据权利要求10所述的方法,其中,聚合的步骤还包括:
检测在从所述多个源中不同的源所接收的漏洞信息之间的冲突;以及
根据一个或多个冲突规则的集合和用户输入中的至少一个来解决所检测的冲突。
12.根据权利要求10所述的方法,其中,从每个源所接收的漏洞信息包括按照各自的源格式所安排的各自的源内容,并且转换的步骤包括在各自的格式适配器中将所述漏洞信息从每个源格式转换成所述统一漏洞定义的格式。
13.根据权利要求10至12中任一个所述的方法,该方法还包括:
提供所述统一漏洞定义的表示。
14.根据权利要求10至12中任一个所述的方法,其中,获取的步骤包括下列步骤中的至少一个:请求漏洞信息;以及
接收漏洞信息。
15.根据权利要求10至12中任一个所述的方法,其中,存储于所述策略存储单元中的所述聚合策略指定了针对一个或多个漏洞信息消费者的分发参数集合,该方法还包括:按照在所述聚合策略中指定的所述分发参数集合来分发所述一个或多个各自的统一漏洞定义。
16.根据权利要求15所述的方法,还包括:
将所述一个或多个各自的统一漏洞定义分发给漏洞信息消费者,其中所述新的或所修改的聚合策略针对该消费者而指定了分发参数集合。
说明书 :
安全漏洞信息聚合
[0001] 相关申请的交叉引用
[0002] 本申请涉及以下专利申请:2005年5月18日提交的美国专利申请序号11/131,598,其标题为“SECURITY RISK ANALYSIS SYSTEMS ANDMETHODS”;2005年5月18日提交的美国专利申请序号11/132,118,其标题为“COMMUNICATION NETWORK SECURITY RISK EXPOSUREMANAGEMENT SYSTEMS AND METHODS”;2005年9月22日提交的美国专利申请序号11/232,004,其标题为“APPLICATION OF CUT-SETS TONETWORKINTERDEPENDENCY SECURITY RISK ASSESSMENT”;2006年3月2日提交的美国专利申请序号11/366,101,其标题为“INFORMATIONSYSTEM SERVICE-LEVEL SECURITY RISK ANALYSIS”;以及2006年3月2日提交的美国专利申请序号11/366,100,其标题为“SYSTEMS ANDMETHODS OF ASSOCIATING SECURITY VULNERABILITIES ANDASSETS”。
技术领域
[0003] 本发明一般涉及安全漏洞,并且特别涉及聚合来自多个源的漏洞信息。
背景技术
[0004] 安全报告(advisory)通常用于描述信息系统漏洞。这些报告提供关于与漏洞相关联的指定特征的信息,例如受影响的软件平台产品、纠正补丁、公开暴露日期、对受影响平台产品的影响的类型等等。
[0005] 当前,存在许多漏洞报告的生产者(producer)或源。这些源跨越了不同级别的信息细节,产品销售商以及公共或政府机构。每个漏洞报告源典型地具有它自己的专有格式,其可能与其它源所用的格式重叠。一些源可能在它们的报告中并入漏洞信息,而其它源没有并入该信息。不同的产品销售商或安全机构定期地提出漏洞提示(note),例如由例如卡内基梅隆大学软件工程学院(CarnegieMellon Software Engineering Institute)或系统管理和网络安全审计委员会(SANS,SysAdmin,Audit,Network,Security)所管理的计算机紧急响应小组协调中心(CERT/CC,Computer Emergency Response Team-CoordinationCentre)。漏洞信息源的异质性(heterogeneous nature)会导致在漏洞报告之中缺乏一致性。
[0006] 尽管存在针对漏洞信息报告不同方面的事实上的标准,然而不是所有的源都使用那些标准。甚至在多个源提供按照同一标准而被格式化的报告的情况下,由那些源提供的漏洞信息的特定类型和内容也可能不同。
[0007] 公共漏洞和暴露(CVE,Common Vulnerabilities and Exposures)方案将唯一的名称给予可能已被多个实体发现的漏洞。这确保不同的漏洞数据库对于相同的漏洞仍使用通用名称。通过将指定名称与漏洞相关联,CVE提供了一种在不同的数据馈送中识别相同漏洞的信息的方式。这个名称以及该漏洞的简要描述,是经由集中式储存库而公开可用的。利用CVE命名方案的漏洞信息源因而可以提供利用通用名称的相同漏洞的漏洞信息。然而,倘若所有源都支持该CVE命名方案,则这个方法仅链接来自不同源的漏洞,而没有整合(consolidating)与用相同CVE名称所标识的不同漏洞相关联的实际内容。该CVE方案仅涉及漏洞命名,而并没有指定可以与所命名漏洞相关联的漏洞信息的格式或内容。
[0008] 普通漏洞评分系统(CVSS,Common Vulnerability Scoring System)是通过国家基础设施咨询委员会(NIAC,National Infrastructure Advisory Council)来开发的,而目前由事件响应和安全小组论坛(FIRST,Forum of Incident Responseand Security Teams)来管理。CVSS提供了用于根据特定标准来评估漏洞的通用方案和过程。尽管CVSS方案是客观的,然而不同实体通常例如对所利用平台有不同的经验和知识,以使得可以由不同的源分配不同的CVSS分数给相同的漏洞。此外,尽管CVSS包括对照特定标准的评级(rating)方案,然而关于漏洞的信息细节还是留给了每个源的格式。
[0009] 由于新漏洞的数目不断增加,人工编辑并产生来自多个源的漏洞信息,不仅是劳动密集的而且容易出错。
[0010] 除了所述问题的“格式化”方面之外,还存在额外的“历史”方面。例如,随着时间的过去,一些源可能消失或重定位至不同的网站,一些报告可能消失,而一些可能改变预订需求,并且实际上一些源可能是“只推送(push-only)”源。由于所有这些不同的问题,因此难以收集报告的完整集合。
[0011] 因此,依然存在对于改进的漏洞信息处理技术的需要。
发明内容
[0012] 拥有一种详尽地清查并描述漏洞的一致方式是漏洞管理领域中非常关注的问题。保持漏洞境况(landscope)的最新准确视图(view)是针对信息系统安全特性的有成本效益的管理的关键需求。随着新发现的漏洞数目不断增加,期望自动化这个过程。
[0013] 可能也期望实现一种要被“逆动地(retro-actively)”改变的聚合策略,其指定了针对漏洞信息消费者的漏洞信息分发参数。例如,尽管运行在特定系统上的特定服务当前可能被评定为不重要,然而后续的商业改变可能使该服务变得相当重要。这意味着先前不认为重要的漏洞可能变得相当重要。在本发明的一些实施例中,响应于用户的聚合策略的改变,与这种漏洞相关联的现有漏洞信息可以被逆动地聚合并且包含于用户的漏洞信息馈送中。
[0014] 本发明的实施例涉及聚合漏洞信息,例如漏洞报告,以提供漏洞管理境况的统一且整合后的视图。
[0015] 根据本发明的一个方面,提供了一种装置,它包括用于从多个源接收与特定安全漏洞相关联的漏洞信息的接口;以及有效耦合至该接口的聚合器,用于通过所述接口接收漏洞信息,并且用于将接收自多个源的漏洞信息聚合成与安全漏洞相关联的统一漏洞定义。
[0016] 所述接口可以包括多个接口。所述多个接口中每一个都被配置用来从各自的一组一个或多个源接收漏洞信息。
[0017] 所述聚合器可以包括有效耦合至所述接口的多个格式适配器,每个格式适配器都被配置用来将接收自各自的源的漏洞信息的格式转换成统一漏洞定义的格式。
[0018] 在一个实施例中,所述聚合器包括内容聚合器,该内容聚合器有效耦合至所述接口并且被配置用来基于接收自多个源的漏洞信息的相应部分来确定统一漏洞定义的一部分。
[0019] 所述内容聚合器还可以被配置用来检测从多个源中不同的源所接收的漏洞信息之间的冲突。在这种情况下,所述聚合器可以包括冲突解决模块,其有效耦合至所述内容聚合器并且被配置用来解决(resolve)由该内容聚合器所检测的冲突。所述内容聚合器还可以包括冲突告警模块,其有效耦合至所述内容聚合器并且被配置用来使用户能够解决由该内容聚合器所检测的冲突。
[0020] 从每个源接收的漏洞信息可以包括按照各个源格式所安排的各个源内容。多个格式适配器可以有效耦合至所述接口,并且被配置用来将漏洞信息从各自的源格式转换成统一漏洞定义的格式。有效耦合至多个格式适配器的内容聚合器,被配置用来基于转换后的、接收自多个源的漏洞信息中相应的源内容部分来确定统一漏洞定义格式中的一部分内容。
[0021] 所述装置也可以包括用户接口,其有效耦合至所述聚合器,用于提供统一漏洞定义的表示。
[0022] 在一些实施例中,所述装置包括有效耦合至所述聚合器的一个或多个输出接口。每个输出接口被配置用来将统一漏洞定义发送给各自的一组一个或多个漏洞信息消费者。
[0023] 有效耦合至所述聚合器的策略存储单元可以存储一个或多个聚合策略。一个或多个聚合策略指定了针对一个或多个漏洞信息消费者的各自的分发参数集合。如果所述接口被配置用来从多个源接收与多个安全漏洞相关联的漏洞信息,则所述聚合器可以被配置用来根据所述策略存储单元中漏洞信息消费者的聚合策略,将与一个或多个各自的安全漏洞相关联的所接收漏洞信息聚合成一个或多个各自的统一漏洞描述,并且用来通过一个或多个输出接口之一将所述一个或多个各自的统一漏洞描述分发给漏洞信息消费者。
[0024] 漏洞信息存储单元也可以被提供,并且有效耦合至所述接口和聚合器,用于存储与多个安全漏洞相关联的漏洞信息。在这种情况下,如果将聚合策略添加给所述策略存储单元或在该策略存储单元中修改该聚合策略,则所述聚合器还可以被配置用来:根据新的或修改后的聚合策略,从所述漏洞信息存储单元中检索与一个或多个各自的安全漏洞相关联的漏洞信息;将所检索的漏洞信息聚合成一个或多个各自的统一漏洞描述;以及通过一个或多个输出接口之一将所述一个或多个各自的统一漏洞描述分发给漏洞信息消费者,其中所述新的或修改后的聚合策略针对该消费者而指定了分发参数。
[0025] 一种根据本发明另一方面的方法包括:从多个源获取与特定安全漏洞相关联的漏洞信息,以及将获取自多个源的漏洞信息聚合成与该安全漏洞相关联的统一漏洞定义。
[0026] 所述聚合操作可以包括将接收自每个源的漏洞信息的格式转换成统一漏洞定义的格式。
[0027] 在一些实施例中,所述聚合包括基于接收自多个源的漏洞信息的部分来确定所述统一漏洞定义的一部分。
[0028] 所述确定操作可以包括检测从多个源中不同的源所接收的漏洞信息之间的冲突,以及根据一个或多个冲突规则的集合和用户输入中的至少一个来解决所检测的冲突。
[0029] 从每个源接收的漏洞信息可以包括按照各个源格式所安排的各个源内容,在这种情况下,所述方法也可以包括将漏洞信息从每个源格式转换成统一漏洞定义的格式,以及基于转换后的、接收自多个源的漏洞信息中相应的源内容部分来确定统一漏洞定义格式中的一部分内容。
[0030] 所述方法也可以包括提供统一漏洞定义的表示。
[0031] 在一些实施例中,所述获取操作包括请求漏洞信息和接收漏洞信息中的至少一个。
[0032] 所述方法也可以包括将统一漏洞定义分发给一个或多个漏洞信息消费者。
[0033] 所述获取操作可以包括从多个源获取与多个安全漏洞相关联的漏洞信息。在这种情况下,所述聚合操作可以包括这样的操作:根据指定漏洞信息消费者的分发参数的聚合策略,将与一个或多个各自的安全漏洞相关联的漏洞信息聚合成一个或多个各自的统一漏洞描述,并且所述分发操作可以包括将一个或多个各自的统一漏洞描述分发给漏洞信息消费者。
[0034] 所述方法可以以机器可读介质来体现。
[0035] 根据本发明另一方面的图形用户接口(GUI)包括与特定安全漏洞相关联的统一漏洞定义的表示。统一漏洞定义包括基于获取自多个源的漏洞信息所确定的被聚合漏洞信息。
[0036] 所述表示可以包括多个源的指示,其中,来自所述多个源的漏洞信息被聚合成统一漏洞定义。
[0037] 本发明的另一方面提供了一种存储数据结构的机器可读介质。所述数据结构包括与特定安全漏洞相关联的统一漏洞定义,该统一漏洞定义包括基于获取自多个源的漏洞信息所确定的被聚合漏洞信息。
[0038] 在读过下面对本发明的指定说明性实施例的描述后,本发明的其它方面和特征对于本领域的技术人员而言将变得显而易见。
附图说明
[0039] 现在将参考附图详细描述本发明实施例的例子。
[0040] 图1是说明一般安全概念的框图;
[0041] 图2是说明安全判决模型的框图;
[0042] 图3是其中可以使用漏洞信息的安全风险分析系统的框图;
[0043] 图4是实现本发明实施例的装置的框图;
[0044] 图5是说明本发明另一实施例的方法的流程图;
[0045] 图6是图形用户接口(GUI)的框图;
[0046] 图7是统一漏洞定义数据结构的框图。
具体实施方式
[0047] 图1是说明一般安全概念的框图。图1所示的表示10说明了基于信息技术安全评估的公共准则国际标准ISO/IEC 15408:1999的基础安全范例和导出概念。
[0048] 图1示出了用户或所有者12、对策14、漏洞16、威胁代理18、威胁22、风险20以及资产24。图1示出的一般安全范例是本领域技术人员所熟知的,因此这里仅对其作简要描述。
[0049] 用户/所有者12可以包括例如通信网络的所有者或运营商,或者关注资产24的其他利益共享者。
[0050] 对策14代表动作,例如更新例如计算机系统资产上的操作系统或应用软件,可以采取所述动作来减少漏洞16。漏洞16是使资产易受攻击的资产操作中的条件,或可能是故障。操作系统软件中的安全漏洞是漏洞的一个说明性例子。
[0051] 威胁代理18是希望滥用或不以其用户/所有者12所期望的方式使用资产24的那一方。威胁22是关于资产24可能被损害的指示,其说明性地是一种可能性。
[0052] 在通信网络的例子中,资产24是网络的部件,并且既可以是物理的也可以是逻辑的。对于每个类型的资产24都可能存在漏洞16。
[0053] 如图1所示,用户/所有者12评估资产、希望将资产24的风险20最小化,并且可能意识到会导致资产24的风险20的漏洞16。漏洞16可以由用户/所有者12通过强制对策14而被减少。根据对其的回顾,图1所示的其他概念之间的相互关系对本领域的技术人员是显而易见的。
[0054] 图2说明了图1所示概念的适配,以及它们是如何关联于本发明实施例的,图2是说明安全判决模型的框图。
[0055] 图2中的用户/所有者32、威胁代理38、威胁42、风险40、资产44以及漏洞36基本上与图1中类似标记的部件相同,但是根据本发明的实施例与传统技术不同地处理它们。
[0056] 漏洞和网络库存(inventory)数据库系统46包括数据库,该数据库存储了与漏洞和资产相关联的信息或从中可以导出漏洞和资产信息的信息。在图2所示的例子中,数据库系统46包括安全知识数据库47,其存储了与已知漏洞相关联的信息,或者存储了被转换或被处理以生成漏洞信息的安全信息。网络配置文件(profile)数据库48存储网络库存信息。与网络中的资产相关联的信息,可以从网络配置文件数据库48中获取或从获取自网络配置文件数据库48的信息中导出。
[0057] 数据库系统46的各种不同的实现对于本领域的技术人员而言是显而易见的。例如,任何不同类型的数据存储设备,例如磁盘驱动器和固态存储设备,都可以用来存储数据库47、48。根据本发明的一个特定实施例,数据库47、48被存储在还执行实现安全判决模型30的软件的计算机系统上。然而应当认识到,数据库系统46旨在更一般地表示这样一种系统:通过该系统可以访问漏洞和资产信息或可以从中导出漏洞和资产信息的信息。数据库47、48因而可以是远程数据库,模型30可以通过合适的接口和连接来访问该远程数据库。数据库47、48可以例如存在于局域网(LAN)的服务器中,在这种情况下,信息通过网络接口和LAN连接是可访问的。
[0058] 在操作中,安全判决模型30考虑了资产和漏洞以确定风险评估。风险评估向用户/所有者32提供对当前网络安全状态的指示。
[0059] 安全判决模型30可以如图3所示地被实现,图3是根据本发明实施例的安全风险暴露管理系统的框图。
[0060] 系统50的结构包括三个主要单元,即用户接口52、安全模块54以及数据系统56。这些单元中的任一个或全部都可以在一个或多个计算机系统中部分上或整体上被实现。用户接口52因而可以通过显示器和例如键盘、鼠标和/或触摸屏的输入设备而被提供,安全模块54主要是在存储于计算机系统的存储器中并由处理器执行的软件中被实现的,并且数据系统56包括本地存储设备、至远程存储设备的接口,或其组合。
[0061] 应当认识到,使用漏洞信息的系统可以包括比图3中明确示出的更多、更少或不同的具有不同互连的单元。例如,安全风险管理系统可能不包括图3所示的每个单元。其中实现系统50的计算机系统或其他设备,也可以包括用于其他功能的其他单元。例如,除实现安全风险管理功能的应用软件之外,计算机系统中的处理器还典型地执行操作系统软件。因此,图3和其他附图只是用于进行说明,而不限制发明的范围。
[0062] 在图3所示的特定示例性系统50中,用户接口52包括仿真接口62、配置接口64、网络地图66以及报告接口68。这些用户接口单元62、64、66、68与安全模块54相连接以接受用户输入和/或提供输出给用户。显示器、键盘、鼠标和触摸屏代表输入和输出设备类型的例子,通过它们可以在用户和安全模块54之间传送信息。这些单元也可以具有关联的软件组件,其由处理器执行以处理并传送输入和输出信息。
[0063] 仿真接口62、配置接口64、网络地图66以及报告接口68有效耦合到安全模块54。这些单元通过其进行交互的连接形式取决于其中实现系统50的特定类型的设备。例如,内部总线结构通常被用在计算机系统中,并且因此用户接口52及其部件与安全模块54以及数据系统56之间的交互,可以通过在处理器与不同输入/输出设备之间的内部连接、驱动器和接口来被实现。然而,也可以使用其他类型的连接。
[0064] 安全模块54包括:事件管理器72,其有效耦合到仿真接口62、配置接口64、一个或多个外部系统以及数据系统56;网络模型管理器74,其有效耦合到网络地图66、事件管理器72以及数据系统56;风险分析器76,其有效耦合到配置接口64、网络模型管理器74以及数据系统56;以及报告管理器78,其有效耦合到风险分析器76、报告接口68以及数据系统56。安全模块54的这些部件,像用户接口52的那些部件一样,可以用硬件、由处理器执行的软件或其组合来实现。
[0065] 数据系统56包括:漏洞数据库82,其有效耦合到漏洞信息源接口71、事件管理器72和风险分析器76;资产数据库84,其有效耦合到事件管理器72、网络模型管理器74以及风险分析器76;安全状态数据库86,其有效耦合到风险分析器76和报告管理器78;以及用户接口数据库88,其有效耦合到用户接口52。这些数据库可以被存储于任何不同类型的存储设备中,例如固态存储设备、磁盘驱动器以及使用固定的、活动的或可拆卸的存储介质的其他类型存储设备。数据系统56可以包括数据存储单元,或通过其可访问远程数据存储单元的接口,如上面结合图2所指出的。尽管图3中被分离的示出,然而多个数据库82、84、
86、88可以被存储于一个数据存储单元或存储设备中。
86、88可以被存储于一个数据存储单元或存储设备中。
[0066] 漏洞数据库82存储与漏洞相关联的信息。根据本发明的实施例,漏洞信息源接口71向漏洞数据库82提供漏洞信息。在一个实现中,接口71从远程聚合系统接收被聚合漏洞信息。例如,系统50的操作员可以预订“聚合服务”以从聚合系统接收被聚合馈送。在这种情况下,接口71实际上是聚合器的输出接口,其从多个源获取特定漏洞的漏洞信息、应用可能是用户指定的策略以将该漏洞信息聚合成针对每个漏洞的统一漏洞定义,并且将所产生的统一漏洞定义存储到漏洞数据库82中。根据另一实施例,接口71本身可以获取并聚合来自多个源的漏洞信息。
[0067] 接口71也有效耦合至用户接口52,以允许用户查看和/或可能地输入或修改漏洞信息。用户可以还通过用户接口52输入或修改聚合策略。为避免过度复杂化该附图,这在图3中显示为接口71与用户接口52之间的单一连接。然而应当认识到,接口71可以有效耦合至用户接口52的多个单元。此外,如果漏洞信息功能是由安全模块54来提供的,则接口71与用户接口52之间的有效耦合可以通过其它部件来实现,所述其它部件例如是通过配置接口64接收用户输入的事件管理器72。下面参考图4详细描述一种装置的说明性例子,该装置可以有效耦合至接口71或作为接口71而被提供。
[0068] 资产数据库84存储与资产相关联的信息。漏洞数据库82和资产数据库84代表数据库47、48(图2)的例子。
[0069] 安全状态数据库86存储与历史的和/或当前的系统风险状态相关联的信息。与用户接口52相关联的信息被存储在用户接口数据库88中,其中所述信息例如是不同的网络视图和由用户配置的图标布局。
[0070] 系统50的针对操作的初始配置可能包括将漏洞信息和资产信息存储在数据库82、84中。漏洞和资产信息可以由网络操作员人工输入,和/或从现有数据存储单元或其他源中引入。根据本发明的实施例,存储于数据库82中的漏洞信息包括由聚合系统基于获取自多个源的漏洞信息而生成的被聚合漏洞定义。如上面指出的,接口71可以有效耦合至聚合系统或包括该系统。在一个实施例中,数据库82、84分别通过接口71和事件管理器72来被填充(populated),尽管在一些实现中数据库82、84中每一个可以通过其它接口来访问。
[0071] 事件管理器72处理进入的事件,例如初始网络配置信息或者网络拓扑或配置中的变化。信息可以由事件管理器72从仿真接口62、配置接口64或例如通信网络的网络管理系统(NMS)的一个或多个外部系统来接收。
[0072] 通过仿真接口62,用户可以进行网络中的试验性或临时性变化。这使用户能够在网络中实际发生这些变化之前调查变化的效果,例如对策。来自仿真接口62的仿真事件以不同于接收自其他源的变化或更新的方式而被优先地处理,以便临时的仿真变化不会影响反映实际网络条件的漏洞和资产。这可以例如通过提供分离的仿真数据库来实现,其中临时的变化可以应用于所述仿真数据库。仿真数据库可以被存储,直到根据数据系统56中可用的存储空间量而被用户明确删除或清除,或当用户关闭或退出仿真接口62时自动被删除。
[0073] 由事件管理器72从配置接口64或外部系统接收的信息可以被处理并被写入资产数据库84,其中该信息影响了实际的网络资产。由事件管理器72所执行的处理的特性可能例如取决于信息的类型、格式和/或源。
[0074] 由用户输入的信息可能已经根据用于将信息存储在数据库82、84中的数据结构而被格式化,并且可以被写入数据库中,而无需大量的处理。然而,在接收自漏洞源或其它外部系统的信息的情况下,例如格式化和/或内容转换的处理可以被执行。包括由网络中所用软件的销售商所发现的新漏洞的报告的电子邮件更新,可以由例如接口71或在一些实施例中由分离的聚合系统来接收并处理,并且被用来更新漏洞数据库82。接收自NMS或其它系统的网络设备或配置更新可能类似地包括由事件管理器72所进行的处理。
[0075] 网络模型管理器74从事件管理器72、资产数据库84或二者捕获被分析网络的表示,以向用户呈现网络地图66。资产和它们的关系,如在资产数据库84中所指明的,被网络模型管理器74用来构建网络的模型。影响当前网络模型的事件可以从事件管理器72被传递到网络模型管理器74,或被存储在资产数据库84中,用于由网络模型管理器74来访问。因此应当认识到,网络模型管理器74不必物理连接到事件管理器72。在一些实施例中,仿真接口62和配置接口64可以有效耦合到网络模型管理器74,来将变化应用于模型。
[0076] 风险分析器76执行风险分析和计算。由风险分析器76来确定影响通信网络的资产的漏洞,并且因此通过分析所述漏洞和资产来确定该通信网络中的风险。如上所述,与漏洞和资产相关联的信息被存储在数据库82、84中,并且被风险分析器76访问。
[0077] 资产可以包括物理资产、逻辑资产或二者,其中所述物理资产说明性地是通信网络中的设备,所述逻辑资产例如是运行于通信网络中的设备上的软件和由通信网络中的设备所存储的信息。
[0078] 风险分析器76所确定风险的指示被提供给网络模型管理器74,以便通信网络的表示和所确定的风险可以通过用户接口52以网络地图66的形式被提供给用户。网络地图66因而包括网络表示和详细的安全风险信息二者。许多不同类型和布局的网络地图66中任一个都可以被用来呈现风险分析的结果。其中利用图标或图像、文本或其组合来示出资产和风险的网络的绘图表示,可以提供网络当前安全状态的最有效指示。在一些实施例中,网络地图66的格式和布局是根据存储于用户接口数据库88中的在先建立的用户接口设置的。
[0079] 系统50决不限于任何特定类型的表示或输出。例如,也可以设想例如告警或警报的指示,其可以通过用户接口52在本地被提供或被传送给例如寻呼机或电子邮件客户端的远程系统。
[0080] 风险分析器76也可以向报告管理器78和安全状态数据库86中任一个或二者提供安全风险信息。在图3中,风险分析器76有效耦合到报告管理器78和安全状态数据库86二者。来自风险分析器76的输出还可以通过报告管理器78而被提供给安全状态数据库
86。另一个可能选项是将风险分析器76和报告管理器78有效耦合到安全状态数据库86。
在这种情况下,来自风险分析器76的输出被提供给安全状态数据库86,并且安全状态数据库86中的信息然后被报告管理器78访问,以通过报告接口68向用户提供报告。
86。另一个可能选项是将风险分析器76和报告管理器78有效耦合到安全状态数据库86。
在这种情况下,来自风险分析器76的输出被提供给安全状态数据库86,并且安全状态数据库86中的信息然后被报告管理器78访问,以通过报告接口68向用户提供报告。
[0081] 报告接口68也可以接收来自用户的风险报告选择输入,用于配置由风险分析器76所确定风险的报告。风险报告选择输入可以控制报告管理器78所产生的报告的内容、格式或二者。响应于通过报告接口68所接收的风险报告选择输入,报告管理器78访问例如安全状态数据库86中的安全风险信息,并且生成用户的定制报告。
[0082] 应当指出,漏洞信息的报告或其它表示也可以被提供给用户。报告接口68和报告管理器78可以与接口71、漏洞数据库82或这二者进行交互,以向用户提供例如针对特定漏洞的统一漏洞定义的表示。图6中显示并在下面详细描述的GUI是一个这种表示的说明性例子。
[0083] 系统50的风险分析功能可以通过经由配置接口64输入风险分析配置信息来被控制。例如,这可能包括选择风险计算的指定类型或其参数,和/或用于进行分析的特定通信网络组件(feature)的选择。用户可能针对由网络提供的指定服务或利用通信网络而被执行的指定任务而关注于评估指定网络资产的风险。
[0084] 一旦选择了服务、任务、或其它网络组件,风险分析器76就说明性地通过访问数据库82、82来确定影响网络中的所选组件或与所选组件相关联的资产的漏洞。风险分析器76因而通过分析所述漏洞和资产来确定所选组件的风险。然后,指定组件的风险的指示可以通过网络模型管理器74、报告管理器78或这二者而被提供。
[0085] 在上面提及的三个专利申请中提供了可以基于漏洞来被执行的风险分析过程的细节,其中针对该漏洞的信息被存储在漏洞数据库82中。由于本发明的实施例主要涉及处理可以用在这些或其它过程中的漏洞信息,因此对照其在安全风险分析中的使用,本申请在下文中主要集中于漏洞信息的收集和处理。
[0086] 图4是实现本发明实施例的装置的框图。装置100包括用于与漏洞信息源102、104通信的一个或多个通信接口106。格式迁移(migration)模块108包括有效耦合至通信接口106和漏洞信息存储单元119的格式适配器116、118。在内容聚合模块110中,内容聚合器126通过漏洞信息存储单元119有效耦合至格式适配器116、118,冲突解决模块122有效耦合至内容聚合器126和冲突规则存储单元124,并且策略存储125、冲突告警模块128以及一个或多个输出接口123也有效耦合至内容聚合器126。漏洞数据库112有效耦合至输出接口123,并且代表可以向其转发统一漏洞描述的系统或用户的一个例子,这里通常也称作漏洞信息消费者。用户接口114有效耦合至漏洞数据库112、内容聚合器126、冲突告警模块128、冲突解决模块122、冲突规则存储单元124以及策略存储单元125。
[0087] 本发明决不限于图4所示的指定部件和互连。其它实施例可以包括与所示出的相比更多、更少、和/或不同的、以相似或不同方式互连的部件。例如,装置100可以从不止两个源102、104获取漏洞信息。在一些实施例中,用户接口114允许其它部件接收来自用户的输入或向用户提供输出。
[0088] 通过物理连接或逻辑互连,装置100的部件可以有效地相互耦合,其中所述部件中任一个在所述逻辑互连中都是利用由一个或多个处理单元所执行的软件来被实现的。对于基于软件的实现,不同的部件可以访问例如存储于存储器的公共存储位置中的数据,并且因此可以被认为是通过逻辑连接而相互耦合的。通过漏洞信息存储单元119,格式适配器116、118以及内容聚合器126经由这种逻辑连接而有效耦合在一起。
[0089] 根据上面的描述,显然,装置100的许多部件可以利用硬件、软件、固件或其任何组合来被实现。本领域的技术人员熟悉用于实现装置100的设备,这包括例如微处理器、微控制器、专用集成电路(ASIC)、可编程逻辑器件(Programmable Logic Device)(PLD)和/或现场可编程门阵列(FPGA)。
[0090] 考虑到图4所示部件的许多可能的实现,这里主要就其功能描述这些部件。基于这些功能描述,本领域的技术人员能够以各种方式中任一种来实现本发明的实施例。
[0091] 然而,漏洞信息存储单元119、冲突规则存储单元124、策略存储单元125以及漏洞数据库112,通常是作为硬件部件的数据存储单元而被提供的,特别是一个或多个存储设备。固态存储设备在一些类型的系统中是常见的,尽管装置100还可以包括用于活动的或甚至可拆卸的存储介质的存储设备。
[0092] 例如,如果装置100被用来实现“聚合提供方”,则漏洞信息存储单元119可能相当重要。在这个变型中,如图4所示,格式适配器116、118的输出将所接收的、重新格式化的漏洞信息存储到漏洞信息存储单元119。这允许内容聚合模块110聚合所存储的漏洞信息,从而提供这样的特性:针对不同的漏洞信息消费者而支持存储于策略存储单元125中的多个聚合策略,并且在新策略被定义和/或现有策略被修改时逆动地聚合现有漏洞信息。下面将详细描述所述及其它特性。
[0093] 冲突规则存储单元124用来存储用于解决内容聚合期间的冲突的规则。下面也描述了基于规则的冲突解决。
[0094] 如果装置100是在漏洞信息源接口71(图3)中被实现的,则漏洞数据库112可以是漏洞数据库82。在其它实施例中,漏洞数据库112是在漏洞数据馈送用户系统处所提供的远程部件,并且没有有效耦合至用户接口114。漏洞数据库的另一可能实现是本地存储单元,其中由内容聚合器126生成的统一漏洞描述从该本地存储单元被检索,并且包含于通过输出接口123提供给用户的一个或多个漏洞数据馈送中。
[0095] 一般来说,用户接口114也是利用例如键盘、鼠标以及显示器的物理设备而被提供的。触摸屏是既可以接收来自用户的输入又可以向用户提供输出的设备的一个例子。
[0096] 通信接口106接收来自源102、104的漏洞信息。通信接口106的结构和功能可能至少在一定程度上取决于在装置100与源102、104之间所使用的通信协议。例如,通信接口106可以包括用于经由通信网络与一个或多个远程漏洞信息源进行通信的网络接口,用于访问数据存储单元中先前接收的漏洞信息的本地接口,或多种类型的接口。在一个实施例中,各个通信接口106被提供用来支持不同的通信协议或与一组一个或多个源102、104的通信。
[0097] 经由通信接口106的漏洞信息传送可能包括“拉(pull)”和“推”操作中任一个或二者。在拉方案中,通过经由通信接口106发送请求或其它消息来轮询(poll)漏洞源。这些消息致使漏洞源102、104将漏洞信息返回给装置100。漏洞信息也可以由一个或多个源102、104例如以定期的间隔、自动推至装置100。装置100因而可以在具有或不具有首先传送的特定形式请求的情况下接收漏洞信息。
[0098] 这里对用于接收漏洞信息的接口的参考应当被相应地解释为包括一个或多个接口,用于直接地或经由例如上述存储器而间接地与漏洞信息源进行通信,以使得漏洞信息被聚合器获取。
[0099] 装置100的格式迁移模块108和内容聚合模块110代表根据本发明实施例的聚合器的一个说明性例子。
[0100] 格式迁移模块108将所接收漏洞信息从一个或多个源格式转换成统一漏洞定义的格式。在所示例子中,提供了专用于各个漏洞信息源102、104的格式适配器116、118。每个格式适配器116、118在一个或多个漏洞信息源的源格式与统一漏洞定义格式之间转换。
[0101] 就实现而言,格式适配器116、118可以被设计为插件程序或其它软件代码,以在新的漏洞信息源随时间推移而出现时,促进该新漏洞信息源的添加。这在源改变其提供漏洞信息的格式时,也促进了格式适配器的改变或更新。
[0102] 为了便于描述,下面将主要参考指定源的格式适配器来详细描述格式转换功能。然而应当认识到,指定源的格式适配器116、118是本发明一个实施例的说明。格式迁移模块可以以其它方式实现多格式转换功能,而不必提供不同的指定源或格式的功能部件。
[0103] 如上面所指出的,提供漏洞信息所用的格式可以在不同的源之间变化。一个源可以提供以第一格式的漏洞信息,包括漏洞“名称”、自由形式的文本漏洞“描述”、“受影响平台”的列表以及“影响”,而另一个源可以提供以第二格式的漏洞信息,包括漏洞“名称”、“受影响系统”的列表、“影响”以及自由形式的文本漏洞“描述”。例如,在由每个源生成的数据馈送中,这种源格式可以通过使用标签、标记或其它描述符来被指示。
[0104] 每个格式适配器116、118可用于将各个源格式转换成统一漏洞定义格式。例如,格式适配器可以由漏洞源基于它们自己的源格式和可以由聚合器制造商或销售商分发的统一漏洞格式规范来被开发。漏洞源可以也分发源格式规范以使聚合器销售商或第三方能够开发格式适配器。与格式适配器开发机制无关,倘若统一格式和源格式二者都是已知的,则统一格式的部分或字段可以被映射到源格式的部分或字段。
[0105] 考虑统一格式的简单例子,其包括漏洞“名称”、“受影响平台”、“影响”以及“描述”。如上所述,这些字段在数据流或数据存储单元中可以通过标签或标记来描绘。用于上述第一格式的格式适配器可以将第一格式“名称”映射到统一格式的“名称”、将第一格式的自由形式的文本漏洞“描述”映射到统一格式的“描述”、将第一格式的“受影响平台”映射到统一格式的“受影响平台”,以及将第一格式的“影响”映射到第二格式的“影响”。
[0106] 例如,漏洞信息从第一格式到统一格式的转换可以包括更新或盖写(overwrite)数据流或数据存储单元中的标签或标记。因此,格式适配器116、118在将所接收的数据流传递给漏洞信息存储单元119时更新标签或标记、将来自所接收数据流的漏洞信息的部分存储到漏洞信息存储单元119中的数据结构的特定字段中,或者在所接收数据流已被存储之后修改漏洞信息存储单元119中的标签或标记。
[0107] 通过将第二格式的“名称”映射到统一格式的“名称”、将第二格式的“受影响系统”映射到统一格式的“受影响平台”、将第二格式的“影响”映射到统一格式的“影响”,以及将第二格式的“描述”映射到统一格式的“描述”,可以以相似的方式来实现漏洞信息从第二格式到统一格式的转换。
[0108] 上面仅为了说明而提供了第一格式、第二格式以及统一格式的例子。也可以设想其它源/统一格式。特定格式的映射和转换功能将不同于上面描述的用于不同源/统一格式的那些功能。例如,源和统一格式可以不必完全重叠。源可以以它们各自的源格式提供不同的漏洞信息字段。源格式可以包括不是统一格式的一部分的字段,可以不包括是统一格式的一部分的所有字段,或具有还未被填充的一些字段。在不偏离本发明范围的情况下,源格式之间的以及源格式与统一格式之间的其他变型也是可能的。
[0109] 在装置100中,一旦漏洞信息已被转换成适当的格式(这并不是在所有实施例中都是必要的),并且被存储在漏洞信息存储单元119中,它就被内容聚合模块110访问。内容聚合模块110(特别是内容聚合器126)的主要目的是将源自不同源102、104的漏洞信息的实际源内容合并成单一、一致且统一的漏洞定义。统一漏洞定义包括基于接收自多个源的源内容的相应部分所确定的内容的至少一部分。
[0110] 例如,对于例如CVSS分数的数字字段来说,内容聚合器126可以通过确定基于多个源分数的平均值、最大值和/或其它值,将来自多个源的CVSS分数聚合成单一分数。通过将来自多个源的文本连成单一文本字段,或者通过选择来自一个特定优选源的文本,可以组合例如描述的文本字段,其中所述单一文本字段可能具有特定文本所源自的每个源的标识符。例如,优选源可以是预先确定的或由用户通过用户接口114来配置。
[0111] 文本字段代表不同源可能针对其而提供相冲突的漏洞信息的一个字段类型,或更一般地代表可能较难以自动聚合的漏洞信息。在这些情况下,内容聚合器126可以触发冲突解决模块122来解决源自不同数据源的不一致性。冲突解决模块122的一个实施例包括一组静态冲突规则,在图4中示出为冲突规则存储单元124。例如,冲突规则可以由操作员通过用户接口114来配置,以将最高置信度应用于特定的源,即接受来自那些源的信息而不是其它源。优选的源规则也可以是指定字段的,其中特定源对于特定类型的漏洞信息来说是优选的。
[0112] 在一些情况中,自动化规则可能没有完全解决所有冲突,并且可以提供一种允许人工介入的选项。如果例如需要人类操作员的介入来解决冲突或填充指定信息字段,则内容聚合器126可以使冲突告警模块128发出警报。警报可以被存储到专用数据库中,以随后通过用户接口114进行报告和人工分析,或者例如通过用户接口114作为用户提示而被提供。
[0113] 内容聚合器126向输出接口123输出统一格式的统一漏洞定义,这包括基于接收自多个不同源的漏洞信息的内容。在图4所示的实施例中,统一漏洞描述经由输出接口123而被提供给漏洞数据库112,以使得特定漏洞的统一漏洞定义可以由用户经由例如用户接口114和浏览应用来访问。漏洞数据库112也可以被例如安全风险分析系统的其它部件访问。
[0114] 输出接口123接收来自内容聚合器126的统一漏洞定义,并且可以将那些统一漏洞描述分发给一个或多个漏洞信息消费者。像通信接口106一样,输出接口123的结构和功能可以至少在一定程度上取决于在装置100与消费者之间所使用的通信协议,其中向该消费者提供统一漏洞描述。例如,输出接口123可以包括其中实现装置100以馈送本地漏洞数据的本地接口、用于与一个或多个远程消费者通信的网络接口,或多种类型的接口。在一个实施例中,各个输出接口123被提供以支持不同的通信协议或与各自的一组一个或多个漏洞信息消费者进行通信。
[0115] 在一些情况中,如果源预订机制是可用的,则漏洞信息可以通过推或通知机制来获取。这允许聚合器、漏洞数据库112和/或由装置100服务的任何其它消费者在新漏洞出现时被更新,例如与现有漏洞关联的信息被修改,或新的源变为可用。也可以提供按需的(on-demand)拉子部件,以实现与一个或多个漏洞信息源相关联的当前装态的即时视图的接收。这个功能是通过用户接口114或远程消费者系统而直接可获的,例如在用户浏览漏洞定义时,或者被预先配置以基于例如调度而被触发。
[0116] 关于更新统一漏洞定义,应当认识到,可以在不同时刻从源接收漏洞信息。装置100可能最初仅从源102接收与特定漏洞相关联的信息。源104可能在那时不具有与该漏洞相关联的信息。在这种情况下,漏洞信息存储单元119和针对该漏洞而产生的统一漏洞定义,可以包括仅来自源102的信息。当随后从源104接收与相同漏洞相关联的信息时,例如在提供源的实体已经发现并分析该漏洞之后,漏洞信息存储单元119和统一定义被更新。被更新的统一定义因而包括基于从不同源接收的漏洞信息而确定的信息,尽管是在不同的时刻接收所述漏洞信息。
[0117] 上面对图4的描述主要涉及针对一个漏洞将来自多个源的漏洞信息聚合成统一漏洞定义。然而应当认识到,装置100可以(并且很可能会)执行针对多个安全漏洞的聚合功能。在一些实施例中,装置100被用来提供漏洞报告或数据馈送服务,其中与多个漏洞相关联的统一漏洞描述被分发给漏洞信息消费者。提供每个统一漏洞定义所用的通用格式,使得消费者能够例如在风险分析系统中直接载入漏洞数据库,或至少定义要对它实施的漏洞信息馈送的处理功能的标准集合。
[0118] 漏洞信息消费者因而受益于拥有来自多个源的漏洞信息,而不必支持由那些源提供不同类型漏洞信息所用的各种不同的格式,其中所述漏洞信息是以统一漏洞定义的形式的,该统一漏洞定义聚合了来自多个源的信息。
[0119] 每个漏洞信息消费者都可以具有不同的漏洞信息需求。策略存储单元125提供一种用于管理指定消费者的策略的机制。这些策略可以将这种漏洞信息分发参数指定为向每个消费者发送漏洞定义的频率、特定漏洞等等,其中统一漏洞定义针对所述特定漏洞而包含于每个消费者的数据馈送中。因此,策略存储单元125中的每个策略都指定用于特定漏洞信息消费者的一个或多个分发参数的集合。
[0120] 要被发送给消费者的统一漏洞定义可以被存储在数据库112或另一数据库中的分别的每消费者数据存储单元中,或者经由输出接口123被推入从装置100到消费者的被聚合数据馈送中。
[0121] 漏洞信息存储单元119也可以提供在管理不同消费者漏洞信息需求方面的优点。例如,考虑将新客户加入由装置100所提供的漏洞数据馈送服务。如果该新客户希望接收所有新漏洞的被聚合馈送,则可能该客户也希望接收针对所有当前漏洞的漏洞信息。在这种情况下,内容聚合器126可以检测策略存储单元125中针对该新客户的策略,或者被指示或触发以准备并发送数据馈送给该新客户。内容聚合器126然后从存储单元119检索现有漏洞信息,并且“逆动地”聚合该漏洞信息。
[0122] 在配置文件(profile)存储单元125中改变用户配置文件时可以执行相似的操作。假设信息系统运行许多不同的软件应用,只有一些被标识为“关键任务”。即时消息(IM)服务器可能例如是低优先级的,并且因此在安全风险分析过程中未着重考虑它。例如,IM服务器可能只能通过单个路由器来到达,该路由器没有用于其它任何事务。在这种情况下,该路由器或IM服务器的漏洞基本上被忽略,并且同样该信息系统的所有者或管理者不太可能需要与它的来自装置100的数据馈送中那些漏洞相关联的漏洞信息。
[0123] 然而,新的首创(initiative)或其它发展可能影响信息系统的一些先前非关键的软件应用的重要性。例如,如果即时消息对于新的自动化首创来说是关键的,则先前不重要的路由器就变得关键。所述路由器的新的及过去的漏洞也都变得重要。响应于配置文件存储单元125中用户配置文件的更新或一些其它命令或触发,内容聚合器126从存储单元119中检索现有漏洞信息,并且生成针对新近的重要漏洞的统一漏洞描述。在这种情况下,内容聚合器126可能仅重复该用户所需求的所有漏洞的整个聚合过程。因此,内容聚合器
126也包括该用户的数据馈送中针对目前重要的漏洞的统一漏洞描述。
126也包括该用户的数据馈送中针对目前重要的漏洞的统一漏洞描述。
[0124] 图5是说明漏洞信息管理方法的流程图。方法130包括:在132从多个源获取与安全漏洞相关联的漏洞信息,以及在134将该漏洞信息聚合成与该安全漏洞相关联的统一漏洞定义。
[0125] 在132的操作包括从源接收漏洞信息,并且也可以包括请求来自一个或多个源的漏洞信息。
[0126] 在134的漏洞信息聚合可以包括格式转换、内容转换或这二者。在一些实施例中,聚合也包括检测接收自不同源的漏洞信息之间的冲突,并且根据一个或多个冲突规则和/或用户输入来解决那些冲突。
[0127] 应当认识到,方法130是作为根据本发明实施例的方法的一个例子。其它实施例可能包括与明确示出且描述的相比更多、更少或不同操作,这些操作可以以相似或不同的顺序和方式来被执行。这里已经描述了方法130的一些变型和可以被执行的附加或不同操作的例子,其它变型和例子对于本领域的技术人员来说是显而易见的。
[0128] 例如,与漏洞关联的统一定义可以基于新的或被更新的漏洞信息而被更新,如图5中虚线所示。在一个实施例中,更新可以通过GUI来被触发,在该GUI中提供了统一漏洞定义的表示。漏洞信息聚合器部件可以是集成的或者可以结合安全管理应用来操作,其中该安全管理应用也提供了使用户能够在一组统一漏洞定义之中进行浏览的UI部件。负责轮询漏洞信息源的部件可以从那些源中检索当前信息,以使统一定义以及因此的用户漏洞视图可以保持与由源维持的漏洞信息同步。
[0129] 尽管上面主要就示例性装置和方法进行了描述,然而本发明还可以以其它形式来被实现或支持,包括例如GUI中显示的表示或者是存储在机器可读介质上的数据结构或指令。下面分别参考图6和7详细描述GUI和数据结构。
[0130] 图6示出了提供统一漏洞定义的表示的GUI。在图6中,所述表示是以窗口140的形式,其具有通用图形元素,例如标题栏、目录树,以及最小化、最大化和关闭窗口功能元素142、144、146。
[0131] 窗口140提供了与安全漏洞相关联的统一漏洞定义的图形表示154。表示154包括标识特定安全漏洞的图形元素152,以及类似地提供统一漏洞定义中其他漏洞信息的表示的其它图形元素。如上所述,统一漏洞定义包括获取自多个源的被聚合漏洞信息。源的指示在标记为“Reference Ids(参考Id)”的字段中被提供,其中来自所述源的漏洞信息被聚合成统一漏洞定义。
[0132] 几个可能的与GUI相关的特征体现在窗口140中。在针对不同漏洞的统一定义之间的浏览,可以通过窗口140左侧的目录树而变得容易。同样明显的是,统一漏洞定义的至少一些字段可以由用户来选择或输入。例如,在“Type(类型)”、“Severity(严重性)”、“Vendor confidence(销售商置信度)”以及“Attackerexpertise(攻击者级别)”字段中的信息,可以从下拉菜单中选择,而至少其它一些字段(例如“Description(描述)”和“Solution(解决方案)”字段)的信息可通过使用鼠标指针点击那些字段来编辑。人工信息条目可用于使用户能够解决冲突或填充字段,其中对于所述字段,漏洞信息不能从任何源获得。
[0133] 图6中示出了文本和数字字段二者。Confidentiality impact(机密性影响)、Integrity impact(完整性影响)、Availability impact(可用性影响)以及Magnitudeimpact(量值影响)中每一个都是用数字表示的,而“Description(描述)”、“Solution(解决方案)”以及其它字段则包括文本。如上所述,这些类型的信息可以以不同的方式被聚合。
[0134] 也可以也提供功能图形元素。按钮162提供这样的功能:通过启动例如新的窗口对话框的用户接口,来添加或移除针对相应字段的信息,这允许针对相应字段的选项的选择。可以选择按钮164以查看与被管理系统相关联的任何资产,其中该被管理系统受到所显示漏洞的影响和/或被所显示漏洞利用。显而易见地,保存按钮166使得用户能够将在窗口140中作出的任何改变保存到漏洞数据库或存储单元,而取消按钮168则使得用户能够取消在窗口140中作出的任何改变,而不保存那些改变。
[0135] 应当认识到,本发明决不限于与图6所示信息的特定表示、布局、字段或类型。例如,漏洞“Name(名称)”可以用不同于数字的其它形式,例如对用户有意义的词语或短语,一些字段可以包括例如超级链接的“现用”内容,而要在GUI中呈现的信息和/或GUI本身的特性可以是预定义的或者可能是可配置的。在超级链接或其它现用内容的情况下,聚合器可以显示该超级链接和在特定时刻、该超级链接处所提供的信息的捕获,以及也可能显示捕获信息的时刻的指示。然后用户能够查看该信息,并且如果希望的话还能获取来自该超级链接的当前信息。
[0136] 图7是示例性统一漏洞定义数据结构的框图。数据结构170包括安全漏洞标识符172,以及与该安全漏洞相关联的其它漏洞信息174。漏洞信息174包括至少一些漏洞信息,或已经基于获取自多个源的漏洞信息所确定的内容。
[0137] 例如,漏洞标识符172可以是漏洞名称或数字。
[0138] 如以上详细描述的那样,来自不同源的漏洞信息可以以各种方式中任一种来被聚合。统一文本字段可以包括来自多个源的文本,以及统一文本的部分所源自的每个源的标识符。因此,统一漏洞定义中的特定字段可能具有多个条目176、177,其包括不同的内容182、186和标签184、188。
[0139] 例如,统一漏洞定义中的数字字段可以表示由不同源提供的相应值的意义。在这种情况下,单个值包含于统一漏洞定义中,如在178所示的那样。
[0140] 根据上述内容而变得显而易见的是,统一漏洞定义数据结构可以包括与图7中示出的相比更多、更少或不同的字段。例如,字段标签或其它描述符可以被存储,以在统一漏洞定义的字段之间进行区分。还应当认识到,聚合器可以生成并维持针对不止一个漏洞的统一漏洞定义。漏洞数据库因而可以包括数据结构,例如针对每个漏洞的数据结构170。
[0141] 还应当认识到,图7所示的框图并不意味着数据结构170或另一个统一漏洞定义数据库必须被存储在存储介质的邻近位置中。
[0142] 本发明的实施例可以克服在耗时负担方面的固有限制,该负担是关于分配和填充与漏洞相关联的数据字段的。通过聚合器来聚合多个源条目的一种全面方法可以确保所管理系统的漏洞境况的一致准确的视图,其中该聚合器可以提供上述漏洞信息格式适配器的软件堆栈。
[0143] 根据一些实施例,来自不同源的漏洞信息被自动聚合成统一漏洞定义。在必要时,潜在的冲突基于冲突规则和/或用户输入而得到解决。
[0144] 以非集中式的方法,本发明的实施例可以提供来自不同远程源的漏洞信息的接近实时的聚合。也可以设想集中式聚合储存库,用来提供存储漏洞信息源的经整合最新视图的高速缓存。不管漏洞信息是否是从远程源和/或从利用从多个源收集的信息来被填充的集中式储存库来收集的,这里公开的技术都可以用于提供各种漏洞信息数据库的统一视图。
[0145] 源自现有源数据馈送生产者的漏洞信息的整合,解决了对于异质定义和其它信息的自动统一的访问的越来越紧要的需求,所述其它信息与当前已知的和将来的安全漏洞相关联。根据一个可能的实现,聚合器结构是基于模块化设计的,这调节了可以例如作为插件而被部署的适配器的堆栈,从而当从新的源获取漏洞信息时满足了按需的需求。
[0146] 这里公开的技术也可以容易地基于每分布式安全管理应用而被部署。这可以允许漏洞信息聚合能力被集成到分布式环境中,只要不同的漏洞管理应用要分享所管理系统的漏洞状态的一致视图。
[0147] 统一漏洞定义可以提供针对特定漏洞的漏洞信息的经整合且非冗余的单个集合。例如,聚合期间的冗余可以通过以下操作来避免:检测来自不同源的复制源内容,可能地通过允许用户判定源内容的特定部分是否实际上是复制品,并且在统一定义中仅包含一次任何复制的源内容。
[0148] 由于新的漏洞快速出现,这种类型的任务的自动化变得越来越强制性,而随着时间的推移,维持通信网络或其它被管理系统的安全状态的演进的一致视图变得越来越必要。本发明的实施例允许网络安全管理员拥有反映关于漏洞定义的网络当前状态的准确视图。
[0149] 已经描述的内容仅是本发明原理的应用的说明。其它安排和方法可以由本领域的技术人员在不偏离本发明范围的情况下来实现。
[0150] 例如,各种漏洞规范中任一种都可以由漏洞源和/或聚合器来使用,这包括(但不限于)应用漏洞定义语言(AVDL,Application Vulnerability DefinitionLanguage)、CVE以及CVSS。其它漏洞信息选项也是可能的,并且对于本领域的技术人员来说是显而易见的。
[0151] 此外,图中所示功能的指定划分仅是出于说明的目的。这里公开的功能可以利用与明确所示的相比更多或更少的功能块来实现。
[0152] 类似地,这里公开的特定功能不被解释为是穷举的。聚合可以包括还未具体描述的其它功能。例如如果漏洞信息源以针对多个漏洞的大量更新的形式提供漏洞信息,则格式适配器或其它部件可以分析漏洞信息或对其进行分类。