一种基于场景化多因子的第三方组件漏洞排名方法
申请人信息
- 申请人:深圳海云安网络安全技术有限公司
- 申请人地址:518000 广东省深圳市福田区梅林街道孖岭社区凯丰路10号翠林大厦15层1501—1504室
- 发明人: 深圳海云安网络安全技术有限公司
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种基于场景化多因子的第三方组件漏洞排名方法 |
| 专利类型 | 发明授权 |
| 申请号 | CN202311379105.8 |
| 申请日 | 2023/10/24 |
| 公告号 | CN117113363B |
| 公开日 | 2024/2/6 |
| IPC主分类号 | G06F21/57 |
| 权利人 | 深圳海云安网络安全技术有限公司 |
| 发明人 | 谢朝海; 齐大伟; 彭波; 雷德诚; 谢朝战 |
| 地址 | 广东省深圳市福田区梅林街道孖岭社区凯丰路10号翠林大厦15层1501—1504室 |
摘要文本
深圳海云安网络安全技术有限公司取得“一种透气窗帘布”专利技术,本发明公开了一种基于场景化多因子的第三方组件漏洞排名方法,涉及第三方组件漏洞领域,通过识别每个漏洞是否能在特定部署环境中被触发进行初次分类,然后根据组件所在环境的隔离或屏蔽情况进行进一步的分类。每个分类中的漏洞将根据CVSS评分、漏洞利用难度、组件可达性、软件等保定级和数据安全定级等多个因子进行评分,再通过权重计算综合评分。最后,根据这些综合评分,对漏洞进行优先排序。本发明结合具体部署场景评估第三方组件的漏洞,提供了更为实际和针对性的威胁评估,不仅仅依赖抽象的漏洞评分,而是将实际应用环境的具体因素纳入评估中,确保关键安全问题得到优先处理,使得漏洞管理更加有效和有针对性。
专利主权项内容
1.一种基于场景化多因子的第三方组件漏洞排名方法,其特征在于,包括搜集软件开发过程中多个不同场景下的多个第三方组件漏洞,并按照如下步骤对多个不同场景下的多个第三方组件漏洞组件进行依次排序:首先判断每个漏洞在部署环境中是否能被触发,所有判断为是的漏洞划分至第一族群,判断为不确定的漏洞划分至第二族群,判断为否的漏洞划分至第三族群;确定漏洞是否能被触发的方法包括:通过环境审查确定软件的运行环境配置来判断漏洞在部署环境中是否能被触发,以及在实际环境中尝试触发该漏洞以确认是否能被触发;在每个族群内,按照漏洞软件所处环境是否被隔离或是否采用手段屏蔽划分为三个子群,其中第一子群对应于未被隔离且未采用手段屏蔽,第二子群对应不确定,第三子群对应被隔离或采用手段屏蔽;在每个子群内,按照下面几个方面分别计算每个第三方组件漏洞的评分:(a)CVSS评分;(b)漏洞利用难度,难度越低评分越高;(c)漏洞组件在实际软件中的可达性,可达性越高评分越高;(d)漏洞所在软件的等保定级,定级越高,评分越高;(e)漏洞所在软件所使用的数据的数据安全定级,定级越高,评分越高;对每个方面的评分加权得到综合评分;将第一族群、第二族群、第三族群依次前后排列,在每个族群内,按照第一子群、第二子群、第三子群依次前后排列,在每个子群内,根据所述综合评分高低将第三方组件漏洞依次排列,其中所述综合评分高的排在前列。 关注公众号马克数据网