用于對(duì)應(yīng)用中的漏洞進(jìn)行分布式發(fā)現(xiàn)的計(jì)算機(jī)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本公開一般涉及關(guān)于安全問題的計(jì)算機(jī)測(cè)試�����。本公開更加具體地涉及用于執(zhí)行網(wǎng) 絡(luò)侵入(penetration)測(cè)試��,攻擊測(cè)試,安全漏洞的識(shí)別��,以及相關(guān)的web應(yīng)用�、服務(wù)器計(jì)算 機(jī)和網(wǎng)絡(luò)元件的安全測(cè)試的技術(shù)。
【背景技術(shù)】
[0002] 本章節(jié)中所描述的方法是能夠被實(shí)行的方法���,但不一定是先前已經(jīng)被構(gòu)想或?qū)嵭?的方法���。因此,除非特別說明�,否則不應(yīng)當(dāng)假設(shè)本章節(jié)所描述的任何方法僅是由于它們被包 括在此章節(jié)中而作為現(xiàn)有技術(shù)。
[0003] 當(dāng)前用于識(shí)別網(wǎng)絡(luò)中的安全問題的方法具有明顯的缺點(diǎn)�����。典型的網(wǎng)絡(luò)安全評(píng)估�、 測(cè)試和保護(hù)涉及在網(wǎng)絡(luò)中安裝保護(hù)性的元件,比如��,防火墻、病毒和惡意軟件掃描儀及類似 的系統(tǒng)����。這些系統(tǒng)接收在其他網(wǎng)絡(luò)中正在發(fā)生的攻擊向量的報(bào)告,并試圖判定相同的攻擊 是否正在具體被測(cè)網(wǎng)絡(luò)中發(fā)生��。如果是���,則報(bào)告會(huì)被準(zhǔn)備并且網(wǎng)絡(luò)管理員可手動(dòng)檢查網(wǎng)絡(luò) 互聯(lián)元件��、web應(yīng)用程序和服務(wù)器計(jì)算機(jī)的配置以判定配置是否應(yīng)當(dāng)被改變以清除問題或 阻止攻擊�。
[0004] 然而��,這些方法的缺陷在于它們是響應(yīng)性的�,而非預(yù)防性的。通常�����,存在如此多的 不同種類的攻擊以致于讓大型企業(yè)內(nèi)的網(wǎng)絡(luò)管理員或者甚至是安全專家組詳盡地針對(duì)所 有已知的攻擊����、惡意軟件或病毒的漏洞測(cè)試該企業(yè)中的所有網(wǎng)絡(luò)元件和計(jì)算設(shè)備被認(rèn)為是 不切實(shí)際的。因此,在當(dāng)前實(shí)踐中����,許多企業(yè)web應(yīng)用、服務(wù)器計(jì)算機(jī)和類似的工具在實(shí)際 的安全事件被識(shí)別和被解決前具有一段時(shí)期的持續(xù)的漏洞���。
【發(fā)明內(nèi)容】
[0005] 所附權(quán)利要求可作為本發(fā)明的概述�����。
【附圖說明】
[0006] 在附圖中:
[0007] 圖1示出了眾包(crowd-sourced)應(yīng)用漏洞發(fā)現(xiàn)的過程��。
[0008] 圖2示出了可被用于眾包web應(yīng)用漏洞發(fā)現(xiàn)、提供全球分布的網(wǎng)絡(luò)侵入測(cè)試�、并確 定用于提升漏洞的發(fā)現(xiàn)的激勵(lì)的示例計(jì)算機(jī)系統(tǒng)安排。
[0009] 圖3示出了與圖2中的某些計(jì)算機(jī)系統(tǒng)元件集成的應(yīng)用漏洞發(fā)現(xiàn)的過程����。
[0010] 圖4A按分類法示出了漏洞類別到激勵(lì)獎(jiǎng)賞金額的范圍的映射。
[0011] 圖4B示出了確定因發(fā)現(xiàn)漏洞對(duì)研究方的激勵(lì)獎(jiǎng)賞���。
[0012] 圖5示出了可在其中實(shí)現(xiàn)實(shí)施例的計(jì)算機(jī)系統(tǒng)���。
【具體實(shí)施方式】
[0013] 在下面的描述中,出于說明的目的提出了許多具體細(xì)節(jié)以便于提供對(duì)本發(fā)明的透 徹理解。然而��,明顯地����,本發(fā)明可在沒有這些具體細(xì)節(jié)的情況下被實(shí)施。在其他實(shí)例中��,以 框圖形式示出了眾所周知的結(jié)構(gòu)和設(shè)備從而避免不必要地模糊本發(fā)明�����。
[0014] 根據(jù)下面的提綱來描述實(shí)施例:
[0015] L總體概述
[0016] 2.眾包應(yīng)用漏洞發(fā)現(xiàn)
[0017] 3.用于全球分布的眾包網(wǎng)絡(luò)侵入測(cè)試的系統(tǒng)
[0018] 4.用于提升計(jì)算機(jī)軟件漏洞發(fā)現(xiàn)的安全評(píng)估激勵(lì)程序
[0019] 5.實(shí)施方式示例-硬件概述
[0020] 6.擴(kuò)展和替換
[0021] 1.總體概述
[0022] 在一個(gè)方面中�,本公開提供了一種方法,該方法包括:邀請(qǐng)分布式的多個(gè)研究方參 與一個(gè)或多個(gè)計(jì)算機(jī)漏洞研究項(xiàng)目���,該項(xiàng)目被用于識(shí)別由第三方所有或操作的一個(gè)或多個(gè) 網(wǎng)絡(luò)和/或計(jì)算機(jī)的計(jì)算機(jī)漏洞��;對(duì)該一個(gè)或多個(gè)研究方的聲望和技術(shù)進(jìn)行評(píng)估�����,并且接 受具有積極的聲望和足夠的技術(shù)來執(zhí)行計(jì)算機(jī)漏洞調(diào)查的研究方的子集��;將與具體被測(cè)網(wǎng) 絡(luò)有關(guān)的具體計(jì)算機(jī)漏洞研究項(xiàng)目分配給研究方的子集中的具體研究方�;使用在邏輯上居 于具體研究方和具體被測(cè)網(wǎng)絡(luò)之間的計(jì)算機(jī)監(jiān)控具體研究方和具體被測(cè)網(wǎng)絡(luò)之間的通信, 其中這些通信與試圖識(shí)別具體被測(cè)網(wǎng)絡(luò)的候選安全漏洞有關(guān)���;驗(yàn)證從具體研究方接收到的 具體被測(cè)網(wǎng)絡(luò)的獲選安全漏洞的報(bào)告�����;響應(yīng)于成功驗(yàn)證了從具體研究方接收到具體被測(cè)網(wǎng) 絡(luò)的獲選安全漏洞的報(bào)告���,確定獎(jiǎng)賞并向該具體研究方提供該獎(jiǎng)賞。
[0023] 在另一方面中��,本公開提供了一種數(shù)據(jù)處理方法��,該方法包括:使用計(jì)算機(jī)邀請(qǐng)分 布式的多個(gè)研究方計(jì)算機(jī)參加一個(gè)或多個(gè)計(jì)算機(jī)漏洞研究項(xiàng)目��,該項(xiàng)目被用于識(shí)別由第三 方所有或操作的一個(gè)或多個(gè)網(wǎng)絡(luò)和/或計(jì)算機(jī)的計(jì)算機(jī)漏洞���;使用該計(jì)算機(jī),將與具體被 測(cè)網(wǎng)絡(luò)有關(guān)的具體計(jì)算機(jī)漏洞研究項(xiàng)目分配給研究方的子集中的具體研究方�;使用在邏輯 上居于具體研究方計(jì)算機(jī)和具體被測(cè)網(wǎng)絡(luò)之間的控制邏輯監(jiān)控在具體研究方和具體被測(cè) 網(wǎng)絡(luò)之間的聯(lián)網(wǎng)的數(shù)據(jù)通信,其中該通信與試圖識(shí)別具體被測(cè)網(wǎng)絡(luò)的候選安全漏洞有關(guān)����; 驗(yàn)證從具體研究方計(jì)算機(jī)接收到的具體被測(cè)網(wǎng)絡(luò)的候選安全漏洞的報(bào)告��;至少部分地基于 該報(bào)告對(duì)具體被測(cè)網(wǎng)絡(luò)執(zhí)行一個(gè)或多個(gè)修復(fù)操作�����;其中該方法是使用一個(gè)或多個(gè)計(jì)算設(shè)備 執(zhí)行的�����。
[0024] 在又一方面中�,本公開提供了一種方法���,該方法包括:邀請(qǐng)分布式的多個(gè)研究方參 與一個(gè)或多個(gè)計(jì)算機(jī)漏洞研究項(xiàng)目��,該項(xiàng)目被用于識(shí)別由第三方所有或操作的一個(gè)或多個(gè) 網(wǎng)絡(luò)和/或計(jì)算機(jī)的計(jì)算機(jī)漏洞�;向分布式的多個(gè)研究方發(fā)布潛在的計(jì)算機(jī)漏洞分類����,其 中在該分類中每一個(gè)具體計(jì)算機(jī)漏洞與一系列獎(jiǎng)賞值相關(guān)聯(lián);使用被通信地耦合至分布式 的多個(gè)研究方中的具體研究方和一個(gè)或多個(gè)網(wǎng)絡(luò)和/或計(jì)算機(jī)中的被測(cè)網(wǎng)絡(luò)的計(jì)算機(jī)監(jiān) 控具體研究方和具體被測(cè)網(wǎng)絡(luò)之間的通信�,其中通信與試圖識(shí)別具體被測(cè)網(wǎng)絡(luò)的候選安全 漏洞有關(guān);響應(yīng)于從具體研究方處接收到的具體被測(cè)網(wǎng)絡(luò)的候選安全漏洞的報(bào)告����,并且基 于分類��,確定具體獎(jiǎng)賞值并向具體研究方提供該具體獎(jiǎng)賞值�。
[0025] 這些方法相比于現(xiàn)有實(shí)踐提供了顯著的益處����。在一個(gè)實(shí)施例中,先前無法進(jìn)入企 業(yè)的全球頂尖的安全性人才能夠被雇傭并通過獎(jiǎng)金被激勵(lì)以發(fā)現(xiàn)各種目標(biāo)應(yīng)用和系統(tǒng)中 的安全漏洞�。全球范圍內(nèi)的安全資源能夠被安全地占用,并且動(dòng)態(tài)經(jīng)濟(jì)學(xué)和游戲機(jī)制可被 用于激勵(lì)那些人才執(zhí)行工作�。因此,費(fèi)用和報(bào)酬產(chǎn)生了優(yōu)于通用報(bào)告的結(jié)果���。
[0026] 在一些實(shí)施例中����,本文所描述的系統(tǒng)能夠在僅僅幾小時(shí)內(nèi)發(fā)起全面的漏洞評(píng)估���, 產(chǎn)生快速的結(jié)果��。通過很少的前置時(shí)間,組織能夠獲取快速的反饋��,減少投放市場(chǎng)的時(shí)間并 且能夠在太遲之前修補(bǔ)漏洞�。該方法還可以能夠可擴(kuò)展的�����。通過使用全球資源��,該方法能 夠立即擴(kuò)展到眾多評(píng)估����。對(duì)于具有大型應(yīng)用和許多web端點(diǎn)的企業(yè)來說�����,本文的方法提供 了比傳統(tǒng)自動(dòng)或手動(dòng)解決方案有效得多的用于獲取快速結(jié)果的解決方案�。
[0027] 實(shí)施例還被配置為是可改編的。評(píng)估能夠由精通隨它們的演進(jìn)的所有技術(shù)棧的工 業(yè)專家來支持����。在實(shí)施例中,測(cè)試不依賴于簽名而是使用對(duì)抗性的策略以通過提供對(duì)攻擊 向量的獨(dú)特洞察力的方法來發(fā)現(xiàn)最新的零日漏洞����。研究方經(jīng)歷嚴(yán)格的核實(shí)和審查過程,并 且本文所描述的服務(wù)的用戶能夠從進(jìn)行此項(xiàng)工作的�、不同信任和驗(yàn)證等級(jí)的安全研究方中 進(jìn)行選擇。
[0028] 2.眾包應(yīng)用漏洞發(fā)現(xiàn)
[0029] 圖1示出了眾包應(yīng)用漏洞發(fā)現(xiàn)的過程�。在一個(gè)實(shí)施例中��,實(shí)現(xiàn)圖1中的過程的一 方可以有效地與大量全球分布的研究方協(xié)調(diào)以識(shí)別第三方計(jì)算機(jī)網(wǎng)絡(luò)的目標(biāo)計(jì)算機(jī)或主 機(jī)的各種不同的計(jì)算機(jī)漏洞�����。例如�����,圖1的過程可由一方面與多個(gè)全球分布的計(jì)算機(jī)安全 研究方具有契約關(guān)系而且與作為漏洞調(diào)查的目標(biāo)的計(jì)算機(jī)系統(tǒng)的第三方所有者或操作者 具有供應(yīng)商-客戶關(guān)系的服務(wù)提供商來實(shí)現(xiàn)��。使用這樣的包括了大量分布的研究方力圖以 被控制和監(jiān)控的方式識(shí)別漏洞的第三方方法�,計(jì)算機(jī)漏洞能夠被以比現(xiàn)有技術(shù)快得多的速 度和更高效地被識(shí)別出來�����。
[0030] 在一個(gè)實(shí)施例中�,在框101處,圖1的過程包括創(chuàng)建一個(gè)或多個(gè)項(xiàng)目記錄以識(shí)別第 三方的計(jì)算機(jī)漏洞���???01廣義地表示出了例如實(shí)現(xiàn)圖1的服務(wù)提供商與擁有或操作計(jì)算 機(jī)系統(tǒng)或網(wǎng)絡(luò)的第三方簽訂契約或其他關(guān)系�,并且創(chuàng)建第三方希望針對(duì)計(jì)算機(jī)漏洞進(jìn)行評(píng) 估的計(jì)算機(jī)�����、系統(tǒng)�、應(yīng)用或其他元件的記錄���。因此����,第三方和服務(wù)提供商可具有客戶-供應(yīng) 商的關(guān)系��。在此上下文中����,"計(jì)算機(jī)漏洞"包括針對(duì)任何終端站計(jì)算機(jī)�����、服務(wù)器計(jì)算機(jī)云計(jì) 算實(shí)例或資源、諸如路由器�����、交換機(jī)、防火墻和網(wǎng)關(guān)之類的網(wǎng)絡(luò)互聯(lián)基礎(chǔ)設(shè)施或其他硬件設(shè) 備�����,以及諸如數(shù)據(jù)庫服務(wù)器���、應(yīng)用服務(wù)器或在線應(yīng)用(比如����,web應(yīng)用���、移動(dòng)應(yīng)用等等)之類 的邏輯實(shí)體或軟件實(shí)體的任何安全漏洞���、網(wǎng)絡(luò)漏洞、機(jī)會(huì)或數(shù)據(jù)泄露等等�。服務(wù)提供商可與 組織密切合作以創(chuàng)建最符合它們的預(yù)算限制和技術(shù)要求的項(xiàng)目,這在一些實(shí)施例中包括執(zhí) 行組織的安全態(tài)勢(shì)初步評(píng)估以確保該組織針對(duì)眾包漏洞測(cè)試的開始進(jìn)行良好的定位���。
[0031] 另外�,框101包括創(chuàng)建具體項(xiàng)目的記錄以識(shí)別漏洞�。項(xiàng)目記錄可由服務(wù)提供商和 第三方例如通過準(zhǔn)備第三方期望檢查或測(cè)試的網(wǎng)絡(luò)或一組計(jì)算機(jī)中的具體資產(chǎn)的拓?fù)浣Y(jié) 構(gòu)或其他描述來定義。
[0032] 在一個(gè)實(shí)施例中���,在框102處,圖1的過程包括邀請(qǐng)分布式的多個(gè)研究方參與一個(gè) 或多個(gè)項(xiàng)目以識(shí)別第三方的計(jì)算機(jī)漏洞��。例如,服務(wù)提供商可使用在線論壇��、留言板��、電子 郵件列表或它自己的網(wǎng)站來提升參與針對(duì)計(jì)算機(jī)漏洞的眾包研究項(xiàng)目的機(jī)會(huì)。通常�����,由于 服務(wù)提供商將與一個(gè)或多個(gè)第三方簽訂契約以向第三方提供關(guān)于其網(wǎng)絡(luò)的安全態(tài)勢(shì)的咨 詢服務(wù)���、安全調(diào)查或其他服務(wù)��,因而第三方的身份是事先已知的。然而�����,出于保密性的目的, 第三方一般不會(huì)在框102處被識(shí)別出來����。非公開協(xié)議和其他契約規(guī)則可作為搭載研究方的 一部分被實(shí)施�;例如�����,社交工程��、DDos和基于垃圾郵件的攻擊可被禁止,并且組織可針對(duì)具 體領(lǐng)域或技術(shù)定義契約的其他規(guī)則�����。
[0033] 在此上下文中,"分布式的多個(gè)研究方"指的是處于世界上的任何地方的任意數(shù)量 的研究方����。通常,研究方不是實(shí)現(xiàn)該方法的一方的雇員��;研究方在框102的邀請(qǐng)的時(shí)候?qū)?shí) 現(xiàn)該方法的一方來說可能是先前未知的�����,或者可能是通過安全論壇��、會(huì)議或其他方法非正 式地得知的。
[0034] 在框104處�,過程包括在計(jì)算機(jī)漏洞管理系統(tǒng)中評(píng)估和登記一個(gè)或多個(gè)研究方����。 框104可包括檢查回復(fù)了框102處的邀請(qǐng)的研究方的證書�,確定該研究方的聲望并在識(shí)別 研究方和提供聯(lián)系信息�、聲望信息來源、履歷或簡(jiǎn)歷等信息的計(jì)算機(jī)數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)記 錄�。在框104處的評(píng)估還可包括向回復(fù)的