用于對應用中的漏洞進行分布式發(fā)現(xiàn)的計算機系統(tǒng)的制作方法
【技術領域】
[0001] 本公開一般涉及關于安全問題的計算機測試����。本公開更加具體地涉及用于執(zhí)行網 絡侵入(penetration)測試,攻擊測試�����,安全漏洞的識別��,以及相關的web應用����、服務器計算 機和網絡元件的安全測試的技術。
【背景技術】
[0002] 本章節(jié)中所描述的方法是能夠被實行的方法�����,但不一定是先前已經被構想或實行 的方法�����。因此,除非特別說明�,否則不應當假設本章節(jié)所描述的任何方法僅是由于它們被包 括在此章節(jié)中而作為現(xiàn)有技術。
[0003] 當前用于識別網絡中的安全問題的方法具有明顯的缺點��。典型的網絡安全評估�、 測試和保護涉及在網絡中安裝保護性的元件,比如�����,防火墻���、病毒和惡意軟件掃描儀及類似 的系統(tǒng)。這些系統(tǒng)接收在其他網絡中正在發(fā)生的攻擊向量的報告����,并試圖判定相同的攻擊 是否正在具體被測網絡中發(fā)生。如果是�,則報告會被準備并且網絡管理員可手動檢查網絡 互聯(lián)元件、web應用程序和服務器計算機的配置以判定配置是否應當被改變以清除問題或 阻止攻擊�����。
[0004] 然而,這些方法的缺陷在于它們是響應性的����,而非預防性的。通常��,存在如此多的 不同種類的攻擊以致于讓大型企業(yè)內的網絡管理員或者甚至是安全專家組詳盡地針對所 有已知的攻擊����、惡意軟件或病毒的漏洞測試該企業(yè)中的所有網絡元件和計算設備被認為是 不切實際的。因此��,在當前實踐中�����,許多企業(yè)web應用�����、服務器計算機和類似的工具在實際 的安全事件被識別和被解決前具有一段時期的持續(xù)的漏洞�����。
【發(fā)明內容】
[0005] 所附權利要求可作為本發(fā)明的概述。
【附圖說明】
[0006] 在附圖中:
[0007] 圖1示出了眾包(crowd-sourced)應用漏洞發(fā)現(xiàn)的過程���。
[0008] 圖2示出了可被用于眾包web應用漏洞發(fā)現(xiàn)�、提供全球分布的網絡侵入測試����、并確 定用于提升漏洞的發(fā)現(xiàn)的激勵的示例計算機系統(tǒng)安排。
[0009] 圖3示出了與圖2中的某些計算機系統(tǒng)元件集成的應用漏洞發(fā)現(xiàn)的過程��。
[0010] 圖4A按分類法示出了漏洞類別到激勵獎賞金額的范圍的映射��。
[0011] 圖4B示出了確定因發(fā)現(xiàn)漏洞對研究方的激勵獎賞��。
[0012] 圖5示出了可在其中實現(xiàn)實施例的計算機系統(tǒng)����。
【具體實施方式】
[0013] 在下面的描述中���,出于說明的目的提出了許多具體細節(jié)以便于提供對本發(fā)明的透 徹理解���。然而,明顯地���,本發(fā)明可在沒有這些具體細節(jié)的情況下被實施��。在其他實例中���,以 框圖形式示出了眾所周知的結構和設備從而避免不必要地模糊本發(fā)明�。
[0014] 根據(jù)下面的提綱來描述實施例:
[0015] L總體概述
[0016] 2.眾包應用漏洞發(fā)現(xiàn)
[0017] 3.用于全球分布的眾包網絡侵入測試的系統(tǒng)
[0018] 4.用于提升計算機軟件漏洞發(fā)現(xiàn)的安全評估激勵程序
[0019] 5.實施方式示例-硬件概述
[0020] 6.擴展和替換
[0021] 1.總體概述
[0022] 在一個方面中��,本公開提供了一種方法��,該方法包括:邀請分布式的多個研究方參 與一個或多個計算機漏洞研究項目��,該項目被用于識別由第三方所有或操作的一個或多個 網絡和/或計算機的計算機漏洞�����;對該一個或多個研究方的聲望和技術進行評估����,并且接 受具有積極的聲望和足夠的技術來執(zhí)行計算機漏洞調查的研究方的子集;將與具體被測網 絡有關的具體計算機漏洞研究項目分配給研究方的子集中的具體研究方���;使用在邏輯上居 于具體研究方和具體被測網絡之間的計算機監(jiān)控具體研究方和具體被測網絡之間的通信��, 其中這些通信與試圖識別具體被測網絡的候選安全漏洞有關����;驗證從具體研究方接收到的 具體被測網絡的獲選安全漏洞的報告;響應于成功驗證了從具體研究方接收到具體被測網 絡的獲選安全漏洞的報告����,確定獎賞并向該具體研究方提供該獎賞。
[0023] 在另一方面中��,本公開提供了一種數(shù)據(jù)處理方法�,該方法包括:使用計算機邀請分 布式的多個研究方計算機參加一個或多個計算機漏洞研究項目,該項目被用于識別由第三 方所有或操作的一個或多個網絡和/或計算機的計算機漏洞��;使用該計算機����,將與具體被 測網絡有關的具體計算機漏洞研究項目分配給研究方的子集中的具體研究方;使用在邏輯 上居于具體研究方計算機和具體被測網絡之間的控制邏輯監(jiān)控在具體研究方和具體被測 網絡之間的聯(lián)網的數(shù)據(jù)通信����,其中該通信與試圖識別具體被測網絡的候選安全漏洞有關; 驗證從具體研究方計算機接收到的具體被測網絡的候選安全漏洞的報告�����;至少部分地基于 該報告對具體被測網絡執(zhí)行一個或多個修復操作����;其中該方法是使用一個或多個計算設備 執(zhí)行的。
[0024] 在又一方面中�����,本公開提供了一種方法��,該方法包括:邀請分布式的多個研究方參 與一個或多個計算機漏洞研究項目����,該項目被用于識別由第三方所有或操作的一個或多個 網絡和/或計算機的計算機漏洞;向分布式的多個研究方發(fā)布潛在的計算機漏洞分類�����,其 中在該分類中每一個具體計算機漏洞與一系列獎賞值相關聯(lián)�;使用被通信地耦合至分布式 的多個研究方中的具體研究方和一個或多個網絡和/或計算機中的被測網絡的計算機監(jiān) 控具體研究方和具體被測網絡之間的通信,其中通信與試圖識別具體被測網絡的候選安全 漏洞有關�;響應于從具體研究方處接收到的具體被測網絡的候選安全漏洞的報告,并且基 于分類�����,確定具體獎賞值并向具體研究方提供該具體獎賞值�����。
[0025] 這些方法相比于現(xiàn)有實踐提供了顯著的益處。在一個實施例中�,先前無法進入企 業(yè)的全球頂尖的安全性人才能夠被雇傭并通過獎金被激勵以發(fā)現(xiàn)各種目標應用和系統(tǒng)中 的安全漏洞。全球范圍內的安全資源能夠被安全地占用�,并且動態(tài)經濟學和游戲機制可被 用于激勵那些人才執(zhí)行工作。因此����,費用和報酬產生了優(yōu)于通用報告的結果。
[0026] 在一些實施例中���,本文所描述的系統(tǒng)能夠在僅僅幾小時內發(fā)起全面的漏洞評估�����, 產生快速的結果����。通過很少的前置時間���,組織能夠獲取快速的反饋���,減少投放市場的時間并 且能夠在太遲之前修補漏洞。該方法還可以能夠可擴展的���。通過使用全球資源�,該方法能 夠立即擴展到眾多評估�����。對于具有大型應用和許多web端點的企業(yè)來說�,本文的方法提供 了比傳統(tǒng)自動或手動解決方案有效得多的用于獲取快速結果的解決方案。
[0027] 實施例還被配置為是可改編的�。評估能夠由精通隨它們的演進的所有技術棧的工 業(yè)專家來支持。在實施例中���,測試不依賴于簽名而是使用對抗性的策略以通過提供對攻擊 向量的獨特洞察力的方法來發(fā)現(xiàn)最新的零日漏洞�。研究方經歷嚴格的核實和審查過程��,并 且本文所描述的服務的用戶能夠從進行此項工作的�����、不同信任和驗證等級的安全研究方中 進行選擇�����。
[0028] 2.眾包應用漏洞發(fā)現(xiàn)
[0029] 圖1示出了眾包應用漏洞發(fā)現(xiàn)的過程。在一個實施例中��,實現(xiàn)圖1中的過程的一 方可以有效地與大量全球分布的研究方協(xié)調以識別第三方計算機網絡的目標計算機或主 機的各種不同的計算機漏洞��。例如���,圖1的過程可由一方面與多個全球分布的計算機安全 研究方具有契約關系而且與作為漏洞調查的目標的計算機系統(tǒng)的第三方所有者或操作者 具有供應商-客戶關系的服務提供商來實現(xiàn)�。使用這樣的包括了大量分布的研究方力圖以 被控制和監(jiān)控的方式識別漏洞的第三方方法���,計算機漏洞能夠被以比現(xiàn)有技術快得多的速 度和更高效地被識別出來��。
[0030] 在一個實施例中�����,在框101處����,圖1的過程包括創(chuàng)建一個或多個項目記錄以識別第 三方的計算機漏洞���?�??01廣義地表示出了例如實現(xiàn)圖1的服務提供商與擁有或操作計算 機系統(tǒng)或網絡的第三方簽訂契約或其他關系�,并且創(chuàng)建第三方希望針對計算機漏洞進行評 估的計算機、系統(tǒng)����、應用或其他元件的記錄���。因此����,第三方和服務提供商可具有客戶-供應 商的關系���。在此上下文中��,"計算機漏洞"包括針對任何終端站計算機�、服務器計算機云計 算實例或資源��、諸如路由器�、交換機、防火墻和網關之類的網絡互聯(lián)基礎設施或其他硬件設 備����,以及諸如數(shù)據(jù)庫服務器、應用服務器或在線應用(比如���,web應用��、移動應用等等)之類 的邏輯實體或軟件實體的任何安全漏洞�����、網絡漏洞��、機會或數(shù)據(jù)泄露等等�����。服務提供商可與 組織密切合作以創(chuàng)建最符合它們的預算限制和技術要求的項目����,這在一些實施例中包括執(zhí) 行組織的安全態(tài)勢初步評估以確保該組織針對眾包漏洞測試的開始進行良好的定位。
[0031] 另外���,框101包括創(chuàng)建具體項目的記錄以識別漏洞�。項目記錄可由服務提供商和 第三方例如通過準備第三方期望檢查或測試的網絡或一組計算機中的具體資產的拓撲結 構或其他描述來定義���。
[0032] 在一個實施例中�,在框102處,圖1的過程包括邀請分布式的多個研究方參與一個 或多個項目以識別第三方的計算機漏洞�����。例如���,服務提供商可使用在線論壇�����、留言板、電子 郵件列表或它自己的網站來提升參與針對計算機漏洞的眾包研究項目的機會��。通常��,由于 服務提供商將與一個或多個第三方簽訂契約以向第三方提供關于其網絡的安全態(tài)勢的咨 詢服務�����、安全調查或其他服務��,因而第三方的身份是事先已知的���。然而�����,出于保密性的目的��, 第三方一般不會在框102處被識別出來����。非公開協(xié)議和其他契約規(guī)則可作為搭載研究方的 一部分被實施;例如��,社交工程��、DDos和基于垃圾郵件的攻擊可被禁止��,并且組織可針對具 體領域或技術定義契約的其他規(guī)則�。
[0033] 在此上下文中,"分布式的多個研究方"指的是處于世界上的任何地方的任意數(shù)量 的研究方�����。通常�����,研究方不是實現(xiàn)該方法的一方的雇員���;研究方在框102的邀請的時候對實 現(xiàn)該方法的一方來說可能是先前未知的��,或者可能是通過安全論壇��、會議或其他方法非正 式地得知的��。
[0034] 在框104處���,過程包括在計算機漏洞管理系統(tǒng)中評估和登記一個或多個研究方����。 框104可包括檢查回復了框102處的邀請的研究方的證書����,確定該研究方的聲望并在識別 研究方和提供聯(lián)系信息���、聲望信息來源�、履歷或簡歷等信息的計算機數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)記 錄��。在框104處的評估還可包括向回復的