[go: up one dir, main page]

KR20110130203A - IT security risk management apparatus and method - Google Patents

IT security risk management apparatus and method Download PDF

Info

Publication number
KR20110130203A
KR20110130203A KR1020100049732A KR20100049732A KR20110130203A KR 20110130203 A KR20110130203 A KR 20110130203A KR 1020100049732 A KR1020100049732 A KR 1020100049732A KR 20100049732 A KR20100049732 A KR 20100049732A KR 20110130203 A KR20110130203 A KR 20110130203A
Authority
KR
South Korea
Prior art keywords
vulnerabilities
accessible
vulnerability
network
security risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
KR1020100049732A
Other languages
Korean (ko)
Inventor
전덕조
채문창
Original Assignee
전덕조
채문창
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전덕조, 채문창 filed Critical 전덕조
Priority to KR1020100049732A priority Critical patent/KR20110130203A/en
Publication of KR20110130203A publication Critical patent/KR20110130203A/en
Abandoned legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

IT 보안 위험 관리 장치 및 방법이 개시된다. 실제 기업이 보유한 IT 자산의 취약점에 대한 공격 경로의 분석을 통해, IT 자산이 가지는 보안 위험을 효율적으로 관리하기 위한 T 보안 위험관리 장치는 네트워크 구성 정보 수집부, 취약점 정보 수집부, 및 공격 경로 분석부를 포함한다. 네트워크 구성 정보 수집부는 IT 보안 위험 관리를 수행하고자 하는 네트워크의 구성 형태, 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 네트워크 장치들의 IP 주소를 포함하는 네트워크 구성 정보를 수집하고, 취약점 정보 수집부는 네트워크 내의 IT 자산이 포함하고 있는 취약점 정보를 수집하며, 공격 경로 분석부는 네트워크 구성 정보 및 취약점 정보를 IP 주소를 기반으로 서로 연계하여, IT 자산이 포함하고 있는 취약점들 각각에 대해 외부 공격자로부터의 접근 가능 여부를 분석하고, 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배제한다. 이로 인해, IT 자산이 가지는 취약점에 대해 위협의 공격 경로를 자동적으로 분석하여 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배제함으로써, 관리 대상 취약점의 개수를 줄일 수 있으므로, 보안 투자비용을 감소시킬 수 있으며, 공격 경로 분석을 통해 취약점에 대한 위협 발생 가능성 순위를 설정하여, 설정된 순위에 따라 조치를 취하게 함으로써, IT 자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화할 수 있다.An IT security risk management apparatus and method are disclosed. Through the analysis of attack paths for vulnerabilities of actual IT assets, the T security risk management device for efficiently managing security risks of IT assets includes network configuration information collection unit, vulnerability information collection unit, and attack path analysis. Contains wealth. The network configuration information collecting unit collects network configuration information including the configuration type of the network for which IT security risk management is to be performed, the type of network devices configuring the network, and the IP address of the network devices. It collects vulnerability information included in IT assets, and the attack path analysis unit links network configuration information and vulnerability information based on IP address to access each of the vulnerabilities included in IT assets from external attackers. Analyzes and excludes vulnerabilities inaccessible to external attackers. As a result, by analyzing the attack path of the threat against the vulnerabilities of the IT assets and excluding the inaccessible vulnerabilities by the external attacker, the number of managed vulnerabilities can be reduced, thereby reducing the security investment cost. In addition, by analyzing the attack path, the threat probability of the vulnerability can be set, and the actions taken according to the set rank can be minimized, thereby minimizing the possibility of the IT incident and the impact of the incident.

Figure P1020100049732
Figure P1020100049732

Description

IT 보안 위험 관리 장치 및 방법{Apparatus and method for managing IT security risk}Apparatus and method for managing IT security risk}

본 발명은 IT 보안 위험 관리 장치 및 방법에 관한 것으로, 보다 상세하게는 실제 기업이 보유한 IT 자산의 취약점에 대한 공격 경로의 분석을 통해, IT 자산이 가지는 보안 위험을 효율적으로 관리하기 위한 장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for managing IT security risks, and more particularly, to an apparatus and method for efficiently managing security risks of IT assets through analysis of attack paths for vulnerabilities of actual IT assets. It is about.

현재 많은 기업에서 사용하고 있는 다양한 IT 자산(소프트웨어, 운영체제 등)은 벤더의 제품 출시부터 보안 취약점을 보유하게 되는데, 통계에 따르면 매 1,000라인의 소프트웨어 코드마다 약 5개 정도의 잠재 보안 취약점이 포함되어 출시되는 것으로 알려져 있다. Many IT assets (software, operating systems, etc.) used by many companies now have security vulnerabilities from vendor launches, and statistics show that about 1,000 lines of software code contain about five potential security vulnerabilities. It is known to be released.

이러한 취약점들은 1.25 인터넷 대란, 77 DDoS 대란과 같이 악성코드 및 악의적인 해커들의 목표가 되고 있다(최근에는 이러한 취약점이 알려지자마자 공격이 이루어지는 "Zero-day 위협" 형태의 공격이 성행하기에 이르고 있다). These vulnerabilities are targeted by malware and malicious hackers, such as the 1.25 Internet Catastrophe and the 77 DDoS Catastrophe (recently in the form of "Zero-day threats", where the attack takes place as soon as the vulnerability is known).

CERT, CSI/FBI 등의 통계 자료에 따르면 이러한 취약점들은 지속적으로 발견되고 있고, IT 자산이 다양해지고 복잡해지면서 꾸준히 증가(매년 20~50%씩 증가)하고 있으며, 이에 따른 피해비용도 더불어 증가하고 있다. According to statistics such as CERT and CSI / FBI, these vulnerabilities are found continuously, and as IT assets are diversified and complicated, they are steadily increasing (20-50% annually), and the damage costs are also increasing. .

따라서, IT 보안 위험 관리는 기업 운영 전반에 걸쳐 중요한 문제로 부각되고 있으며, 다양한 보안 솔루션을 설치함으로써 이러한 피해를 줄이기 위해 노력하고 있다. As a result, IT security risk management has emerged as an important issue across enterprise operations, and efforts are being made to reduce such damage by installing various security solutions.

하지만, 보안 솔루션의 설치에도 불구하고 대부분의 기업에서는 여전히 IT 자산의 보안 취약점 증가에 따라 지속적인 악성 코드나 보안 침해사고 또한 비례하여 증가하고 있는데, 이러한 이유는 기존 보안 솔루션들이 주로 알려진 공격 위주의 방어에 초점이 맞추어져 있으며, 이외에도 전체 IT 자산이 가진 위험을 효율적으로 관리하는 데에는 다음과 같은 많은 어려움이 따르고 있기 때문이다. However, despite the deployment of security solutions, most companies still see an increasing proportion of malicious code or security breaches as security vulnerabilities in IT assets increase. It is focused, and there are many challenges to effectively managing the risks of an entire IT asset.

일단, 기업에서 사용되고 있는 비즈니스 애플리케이션의 개수는 수십 ~ 수백 종에 이르고 있으며, 수 천대의 서버, 라우터, 방화벽, 침입방지 시스템 등이 사용되고 있으므로, 다수의 IT 자산이 가지고 있는 보안 취약점은 수 만개에 다다른다고 볼 수 있다. At present, the number of business applications in use in the enterprise ranges from tens to hundreds, and thousands of servers, routers, firewalls, and intrusion prevention systems are used, resulting in tens of thousands of security vulnerabilities in many IT assets. And can be seen.

또한, 현재 IT 자산에 존재하는 보안 취약점뿐만 아니라, 매일 10개 이상의 각종 신규 취약점이 발견되고 있으며, 지속적으로 네트워크 구성이 변경되므로, IT 자산이 가지고 있는 보안 취약점은 그 수를 정확하게 헤아리기 힘들다고 볼 수 있다. In addition, as well as security vulnerabilities existing in current IT assets, more than 10 new vulnerabilities are discovered every day, and the network configuration is constantly changing, so the security vulnerabilities of IT assets cannot be counted accurately. .

이로 인해, 취약점 스캐너라는 솔루션을 이용한다 하더라도, 이는 다수의 취약점을 찾아 관리자에게 단순히 알려주는 것에 불과하므로, 관리자는 어떠한 취약점을 먼저 해결해야 하는지에 대한 정보를 전혀 얻을 수 없으며, 그러한 정보를 얻기 위하여 수주일에서 수개월에 이르는 수작업에 의한 분석을 수행해야 한다. Because of this, even if you use a solution called a vulnerability scanner, it simply finds a number of vulnerabilities and simply informs the administrator, so the administrator cannot get any information on what vulnerabilities should be addressed first. Manual analysis from week to months should be performed.

하지만, 많은 시간과 비용을 소비하여 분석을 수행하였다 하더라도, 발견된 보안 취약점 전체를 해결하는 것은 실질적으로 불가능하다고 볼 수 있으므로, 취약점을 관리함에도 불구하고 보안 수준은 점차 저하되고 있는 실정이다. However, even if the analysis is conducted with a large amount of time and cost, it can be considered that it is practically impossible to solve all the security vulnerabilities found. Therefore, even though the vulnerability is managed, the security level is gradually decreasing.

따라서, 기업 IT 자산이 가진 취약점으로 인한 보안 피해를 줄일 수 있는 구체적이고 명확한 해결책을 제시하는 것이 시급하다고 할 수 있다. Therefore, it is urgent to provide concrete and clear solutions to reduce the security damage caused by the vulnerability of corporate IT assets.

본 발명은 이와 같은 종래의 문제점을 해결하기 위해 안출된 것으로서, IT 자산이 가지는 취약점에 대해 위협(공격자)의 공격 경로를 자동적으로 분석하여 보안 위험 분석 시간을 단축시키며, 보안 투자비용을 감소시키는 것을 목적으로 한다. The present invention has been made to solve such a conventional problem, it is to automatically analyze the attack path of the threat (attacker) for the vulnerabilities of the IT assets to reduce the security risk analysis time, reduce the security investment cost The purpose.

또한, 공격 경로 분석을 통해 취약점에 대한 위협 발생 가능성 순위를 설정하여, 설정된 순위에 따라 조치를 취하게 함으로써, IT 자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화하는 것을 목적으로 한다. It also aims to minimize the possibility of infringement incidents and the impact of infringement incidents of IT assets by setting the threat probability rankings for vulnerabilities through the attack path analysis and taking actions according to the set ranking.

상기 목적을 달성하기 위해 본 발명에 따른 IT 보안 위험관리 장치는 네트워크 구성 정보 수집부, 취약점 정보 수집부, 및 공격 경로 분석부를 포함한다. In order to achieve the above object, the IT security risk management apparatus according to the present invention includes a network configuration information collecting unit, vulnerability information collecting unit, and attack path analysis unit.

네트워크 구성 정보 수집부는 IT 보안 위험 관리를 수행하고자 하는 네트워크의 구성 형태, 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 네트워크 장치들의 IP 주소를 포함하는 네트워크 구성 정보를 수집하고, 취약점 정보 수집부는 네트워크 내의 IT 자산이 포함하고 있는 취약점 정보를 수집하며, 공격 경로 분석부는 네트워크 구성 정보 및 취약점 정보를 IP 주소를 기반으로 서로 연계하여, IT 자산이 포함하고 있는 취약점들 각각에 대해 외부 공격자로부터의 접근 가능 여부를 분석하고, 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배제한다. The network configuration information collecting unit collects network configuration information including the configuration type of the network for which IT security risk management is to be performed, the type of network devices configuring the network, and the IP address of the network devices. It collects vulnerability information included in IT assets, and the attack path analysis unit links network configuration information and vulnerability information based on IP address to access each of the vulnerabilities included in IT assets from external attackers. Analyzes and excludes vulnerabilities inaccessible to external attackers.

이로 인해, IT 자산이 가지는 취약점에 대해 위협의 공격 경로를 자동적으로 분석하여 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배제함으로써, 관리 대상 취약점의 개수를 줄일 수 있으므로, 보안 투자비용을 감소시킬 수 있다. As a result, by analyzing the attack path of the threat against the vulnerabilities of the IT assets and excluding the inaccessible vulnerabilities by the external attacker, the number of managed vulnerabilities can be reduced, thereby reducing the security investment cost. .

또한, 본 발명에 따른 IT 보안 위험관리 장치는 네트워크 장치들 중, 일부 장치들에 개별적으로 적용되어 있는 접근 통제 정책(ACL)을 수집하는 접근 통제 정책 수집부를 더 포함할 수 있으며, 공격 경로 분석부는 네트워크 구성 정보, 접근 통제 정책, 및 취약점 정보를 IP 주소를 기반으로 서로 연계하여, 외부 공격자가 접근 가능한 취약점들에 대해, 외부 공격자가 접근 통제 정책에 의해 접근 가능한지 여부를 분석하고, 외부 공격자가 접근 통제 정책에 의해 접근 불가능한 취약점들을 관리 대상에서 배제할 수 있다. In addition, the IT security risk management apparatus according to the present invention may further include an access control policy collector for collecting an access control policy (ACL) that is individually applied to some of the network devices, attack path analysis unit By linking network configuration information, access control policy, and vulnerability information with each other based on IP address, it analyzes whether the external attacker is accessible by the access control policy for vulnerabilities that an external attacker can access. Vulnerabilities that are not accessible by the control policy can be excluded from management.

이로 인해, 물리적으로 접근 가능한 취약점에 대해서도, 접근 통제 정책에 의해 접근 불가능한 취약점들을 관리 대상에서 추가로 배제할 수 있으므로, 관리 대상 취약점의 개수를 더욱 줄일 수 있다. As a result, even in the case of physically accessible vulnerabilities, the inaccessible vulnerabilities can be additionally excluded from the management target by the access control policy, thereby further reducing the number of managed vulnerabilities.

또한, 공격 경로 분석부는 외부 공격자가 접근 통제 정책에 의해 접근 가능한 취약점들에 대해, 외부 공격자가 직접적으로 접근 가능한 취약점을 직접 접근 가능한 취약점으로 분류하고, 외부 공격자가 내부의 다른 네트워크 장치의 취약점을 통해 접근 가능한 취약점을 간접 접근 가능한 취약점으로 분류할 수 있다. In addition, the attack path analyzer classifies vulnerabilities that are accessible by an external attacker by access control policy, and classifies vulnerabilities that are directly accessible by an external attacker as directly accessible vulnerabilities. Accessible vulnerabilities can be classified as indirectly accessible vulnerabilities.

이로 인해, 외부 공격자가 직접 접근 가능한 취약점이, 간접 접근 가능한 취약점보다 침해사고 발생 가능성이 상대적으로 높은 것으로 간주할 수 있게 되어, 조치 우선 순위 설정 시의 정확성을 높일 수 있다. As a result, vulnerabilities that can be directly accessed by external attackers can be regarded as having a higher probability of infringement than indirectly accessible vulnerabilities, thereby improving accuracy in setting priority of action.

또한, 본 발명에 따른 IT 보안 위험관리 장치는 직접 접근 또는 간접 접근 가능한 취약점들이 위치하는 IT 자산에 대한 IT 자산의 가치 정도와, 직접 접근 또는 간접 접근이 가능한 취약점들의 위협 심각도(CVSS)를 곱하여 각 취약점들의 비즈니스 영향도를 분석하는 비즈니스 영향도 분석부를 더 포함할 수 있다. In addition, the IT security risk management apparatus according to the present invention multiplies the value of the IT asset for the IT asset where the direct or indirectly accessible vulnerabilities are located by multiplying the threat severity (CVSS) of the direct or indirectly accessible vulnerabilities. The business impact analysis unit for analyzing the business impact of the vulnerabilities may further include.

또한, 본 발명에 따른 IT 보안 위험 관리 장치는 직접 접근 또는 간접 접근 가능한 취약점들에 대해 비즈니스 영향도를 연계·분석하여 취약점들의 조치 우선 순위를 설정하는 취약점 조치 우선 순위 설정부를 더 포함할 수 있다. In addition, the IT security risk management apparatus according to the present invention may further include a vulnerability action priority setting unit for setting the action priority of the vulnerabilities by associating and analyzing the business impact on the vulnerabilities that can be directly or indirectly accessed.

이로 인해, 위협 심각도 뿐만 아니라, IT 자산의 가치 정도 및 공격 경로까지 고려하여 각 취약점에 대한 위협 발생 가능성 순위를 설정할 수 있으므로, 조치 우선 순위의 정확도를 높일 수 있고, 설정된 순위에 따라 조치를 취하게 함으로써, IT 자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화할 수 있다.
This allows you to set the threat likelihood ranking for each vulnerability, taking into account not only the threat severity, but also the value of the IT asset and the path of attack, thereby increasing the accuracy of the action priority and taking action according to the established priority. By doing so, it is possible to minimize the possibility of an infringement incident and the impact of the infringement incident on the IT asset.

아울러, 상기 장치를 방법의 형태로 구현한 발명이 개시된다.In addition, an invention embodying the apparatus in the form of a method is disclosed.

본 발명에 의해 IT 자산이 가지는 취약점에 대해 위협의 공격 경로를 자동적으로 분석하여 보안 위험 분석 시간을 단축시킬 수 있고, 보안 투자비용을 감소시킬 수 있으며, 공격 경로 분석을 통해 취약점에 대한 위협 발생 가능성 순위를 설정하여, 설정된 순위에 따라 조치를 취하게 함으로써, IT 자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화할 수 있다. According to the present invention, it is possible to shorten the time of security risk analysis by automatically analyzing the attack path of the threat for the vulnerabilities of the IT assets, reduce the security investment cost, and the possibility of threat to the vulnerability through the attack path analysis. By setting the rankings and taking actions according to the set rankings, it is possible to minimize the likelihood of an infringement incident and the effect of the infringement incident on the IT asset.

도 1은 본 발명에 따른 IT 보안 위험 관리 장치가 설치된 전체 네트워크 구성의 일 실시예를 개략적으로 나타낸 도면.
도 2는 본 발명에 따른 IT 보안 위험 관리 장치 구성의 일 실시예를 개략적으로 나타낸 블록도.
도 3은 도 1의 전체 네트워크 구성에서 외부 공격자(공격 소스)의 공격 경로 분석 과정을 나타낸 도면.
도 4는 본 발명에 따른 IT 보안 위험 관리 방법의 일 실시예를 개략적으로 나타낸 흐름도.
도 5는 하나의 서버에 대한 취약점 정보 수집의 일 실시예를 나타낸 도면.
도 6은 도 4의 공격 경로 분석 단계를 상세히 나타낸 흐름도.
도 7은 공격 경로 분석 결과 및 비즈니스 영향도 분석 결과를 나타낸 도면.1 is a diagram schematically showing an embodiment of an overall network configuration in which an IT security risk management apparatus according to the present invention is installed.
Figure 2 is a block diagram schematically showing an embodiment of the configuration of the IT security risk management apparatus according to the present invention.
3 is a diagram illustrating an attack path analysis process of an external attacker (attack source) in the overall network configuration of FIG.
4 is a flow diagram schematically illustrating one embodiment of an IT security risk management method in accordance with the present invention.
5 is a diagram illustrating an embodiment of collecting vulnerability information for one server.
6 is a flow chart showing in detail the attack path analysis step of FIG.
7 is a diagram illustrating an attack path analysis result and a business impact analysis result;

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 설명한다. 발명의 이해를 보다 명확하게 하기 위해 동일한 구성요소에 대해서는 상이한 도면에서도 동일한 부호를 사용하도록 한다. Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings. In order to more clearly understand the present invention, the same reference numerals are used for the same components in different drawings.

도 1은 본 발명에 따른 IT 보안 위험 관리 장치(100)가 설치된 전체 네트워크 구성의 일 실시예를 개략적으로 나타낸 도면이다.1 is a diagram schematically showing an embodiment of an overall network configuration in which the IT security risk management apparatus 100 according to the present invention is installed.

IT 보안 위험 관리를 수행하고자 하는 전체 네트워크의 구성은 공격 소스(외부 공격자)가 될 수 있는 인터넷(200)이 외부 라우터 1, 2(310, 320)와 연결되어 있고, 외부 라우터 1, 2(310, 320)는 외부 방화벽(400)과 연결되어 있다. 이때, 외부 방화벽(400)부터 내부 네트워크(10)에 포함된다. The whole network configuration to perform IT security risk management is connected to the external router 1, 2 (310, 320) and the external router 1, 2 (310), which can be an attack source (external attacker). , 320 is connected to the external firewall 400. At this time, the external firewall 400 is included in the internal network 10.

외부 방화벽(400)에 구성되어 있는 DMZ 서버(500)에는 FTP 서버(510) 및 웹 서버(520)가 설치되어 있으며, 외부 방화벽(400)은 다시 내부 라우터 1, 2(610, 620)와 연결되어 있고, 내부 라우터 1, 2(610, 620)는 내부 방화벽(700)과 연결되어 있으며, 내부 방화벽(700)은 복수의 서버들(서버 1(810), 서버 2(820), 내지 서버 n(830))과 연결되어 있다. The FTP server 510 and the web server 520 are installed in the DMZ server 500 configured in the external firewall 400, and the external firewall 400 is connected to the internal routers 1 and 2 (610 and 620) again. The internal routers 1 and 2 610 and 620 are connected to the internal firewall 700, and the internal firewall 700 includes a plurality of servers (server 1 810, server 2 820, and server n). 830).

이러한 도 1의 전체 네트워크 구성에서 본 발명의 IT 보안 위험 관리 장치(100)는 내부 방화벽(700)과 복수의 서버들(서버 1(810), 서버 2(820), 내지 서버 n(830)) 사이에 위치하고 있지만, 전체 네트워크 내에서 네트워크의 IT 보안 위험 관리를 수행할 수 있는 어떠한 위치에도 위치할 수 있음이 바람직할 것이다. In the overall network configuration of FIG. 1, the IT security risk management apparatus 100 of the present invention includes an internal firewall 700 and a plurality of servers (server 1 810, server 2 820, and server n 830). While in between, it would be desirable to be anywhere within the entire network where IT security risk management of the network can be performed.

도 2는 본 발명에 따른 IT 보안 위험 관리 장치(100) 구성의 일 실시예를 개략적으로 나타낸 블록도이다. 2 is a block diagram schematically showing an embodiment of the configuration of the IT security risk management apparatus 100 according to the present invention.

본 발명에 따른 IT 보안 위험관리 장치(100)는 네트워크 구성 정보 수집부(110), 접근 통제 정책 수집부(120), 취약점 정보 수집부(130), 공격 경로 분석부(140), 비즈니스 영향도 분석부(150), 및 취약점 조치 우선 순위 설정부(160)를 포함한다. The IT security risk management apparatus 100 according to the present invention includes a network configuration information collecting unit 110, an access control policy collecting unit 120, a vulnerability information collecting unit 130, an attack path analyzing unit 140, and a business impact degree. Analysis unit 150, and vulnerability action priority setting unit 160.

네트워크 구성 정보 수집부(110)는 네트워크 매퍼(mapper)로서, IT 보안 위험 관리를 수행하고자 하는 네트워크의 구성 형태, 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 네트워크 장치들의 IP 주소를 포함하는 네트워크 구성 정보를 수집한다. The network configuration information collecting unit 110 is a network mapper. The network configuration information collecting unit 110 is a network mapper including a configuration form of a network for which IT security risk management is to be performed, types of network devices configuring the network, and IP addresses of the network devices. Collect information.

네트워크 장치들의 종류로는 라우터, 서버, PC, 방화벽, 스위치 등이 있을 수 있다. Types of network devices may include routers, servers, PCs, firewalls, and switches.

접근 통제 정책 수집부(120)는 네트워크 장치들 중, 일부 장치들에 개별적으로 적용되어 있는 접근 통제 정책(ACL, Access Control Lists)을 수집한다. The access control policy collector 120 collects access control policies (ACLs) that are individually applied to some of the network devices.

즉, 네트워크 구성 정보 수집부(110)에서 수집된 네트워크 구성 정보를 기반으로, SSH, Telnet 등의 크리덴셜(Credential)로 로그인하여 네트워크 장치들 중, 방화벽 및 라우터에 개별적으로 적용되어 있는 접근 통제 정책을 수집한다. That is, based on the network configuration information collected by the network configuration information collecting unit 110, the access control policy that is individually applied to firewalls and routers among network devices by logging in with credentials such as SSH and Telnet. Collect it.

취약점 정보 수집부(130)는 네트워크 내의 IT 자산이 포함하는 취약점 정보를 수집한다. The vulnerability information collecting unit 130 collects vulnerability information included in the IT asset in the network.

취약점 정보 수집부(130)는, 공격자가 취약점을 찾기 전에 IT 자산이 포함된 네트워크 장치의 모든 취약점을 찾아서 표시하는 취약점 스캐너가 될 수 있다. The vulnerability information collection unit 130 may be a vulnerability scanner that finds and displays all the vulnerabilities of the network device including the IT asset before the attacker finds the vulnerability.

이때, IT 자산은 기업이 사용하고 있는 모든 소프트웨어(예컨대, 데이터베이스, 운영체제, 애플리케이션 등)를 의미하며, IP 주소를 가지는 네트워크 장치에 포함되므로, 취약점 정보 수집부(130)에서 찾은 취약점들은 각각에 대응되는 IT 자산의 IP 주소(IT 자산이 설치된 네트워크 장치의 IP 주소)와 매칭된다.At this time, the IT asset refers to all the software (eg, database, operating system, applications, etc.) used by the enterprise, and is included in the network device having the IP address, so that the vulnerabilities found in the vulnerability information collecting unit 130 correspond to each. Matches the IP address of the IT asset being created (the IP address of the network device on which the IT asset is installed).

공격 경로 분석부(140)는 네트워크 구성 정보, 접근 통제 정책, 및 취약점 정보를 IP 주소를 기반으로 서로 연계하여, IT 자산의 취약점들 각각에 대해 외부 공격자로부터의 공격 경로를 분석한다. The attack path analyzing unit 140 links network configuration information, access control policy, and vulnerability information with each other based on an IP address, and analyzes an attack path from an external attacker for each of the vulnerabilities of the IT asset.

공격 경로 분석부(140)는 다음과 같은 과정으로 공격 경로를 분석할 수 있다.Attack path analysis unit 140 may analyze the attack path in the following process.

먼저, 네트워크 구성 정보 및 취약점 정보를 이용하여, 발견된 취약점들 각각에 대해 외부 공격자의 접근 가능 여부를 분석하고, 외부 공격자에 의해 접근 불가능한 취약점들은 관리 대상에서 배제시킨다. First, using the network configuration information and vulnerability information, it analyzes the accessibility of the external attacker for each of the found vulnerabilities, and excludes the vulnerabilities that are not accessible by the external attacker.

(단, 내부 사용자 또는 악성 코드에 의해 악용될 수 있는(접근 가능한) 취약점인 경우에는 해당 취약점은 유효한 것으로 간주한다.)(However, if the vulnerability is exploitable (accessible) by an internal user or by malicious code, the vulnerability is considered valid.)

다음으로, 네트워크 구성 정보, 취약점 정보, 및 접근 통제 정책을 IP 주소를 기반으로 서로 연계하여, 외부 공격자에 의해 접근 가능한 취약점이, 네트워크 장치들 각각에 설정된 접근 통제 정책에 의해 외부 공격자가 접근 가능한 취약점인지 여부를 분석하고, 외부 공격자들이 접근 통제 정책에 의해 접근 불가능한 취약점들은 관리 대상에서 배제시킨다(IT 자산이 해당 취약점을 가지고 있다 하더라도 외부 접근이 불가능하므로 배제시킴).Next, by linking the network configuration information, vulnerability information, and access control policy with each other based on the IP address, the vulnerability that can be accessed by an external attacker can be accessed by an external attacker by an access control policy set on each of the network devices. It analyzes whether it is recognized and excludes vulnerabilities that are not accessible by external attackers by the access control policy (except that external access is not possible even if the IT asset has the vulnerability).

즉, 상술한 두 과정(외부 공격자의 접근 가능 여부 분석 및 접근 통제 정책에 의한 접근 가능 여부 분석)을 거치며 발견된 취약점들은 '외부 접근 가능(관리 대상에 포함)' 및 '외부 접근 불가능(관리 대상에서 배제)'으로 분류될 수 있다. That is, the vulnerabilities found through the two processes described above (accessibility analysis by external attacker and accessibility analysis by access control policy) are 'externally accessible (included in the management target)' and 'externally inaccessible (targeted for management). Excluded from).

그리고나서, '외부 접근 가능'으로 분류된 취약점들을 외부 공격자가 직접 접근 또는 간접 접근이 가능한지 여부를 분석한다.Then, it analyzes whether the external attacker can directly or indirectly access the vulnerabilities classified as 'externally accessible'.

직접 접근 가능한 취약점은 외부에서 공격자가 직접 해당 취약점에 접근 가능한 취약점을 의미한다(즉, 외부 공격자 -> 해당 취약점). Directly accessible vulnerabilities refer to vulnerabilities that an attacker can directly access to the vulnerability from outside (ie, an external attacker-> the vulnerability).

또한, 간접 접근 가능한 취약점은 외부에서 공격자가 직접 해당 취약점에 접근하는 것은 불가능 하나, 내부의 다른 장치(서버 등)의 취약점을 통하여 접근 가능한 취약점을 의미한다(즉, 외부 공격자 -> 다른 장치의 취약점 -> 해당 취약점). Also, indirectly accessible vulnerabilities mean that vulnerabilities cannot be accessed directly by an attacker from outside, but are accessible through vulnerabilities of other internal devices (servers, etc.) (ie, external attackers-> vulnerabilities of other devices). -> The vulnerability).

외부 공격자가 직접 접근 가능한 취약점의 경우는 침해사고 발생 가능성이 높은 것으로 분석하고, 외부 공격자가 간접 접근 가능한 취약점의 경우는 침해사고 발생 가능성이 상대적으로 낮은 것으로 분석할 수 있다.  Vulnerabilities that can be directly accessed by external attackers can be analyzed as having a high probability of infringement, and vulnerabilities that can be indirectly accessed by external attackers can be analyzed as being relatively low.

즉, 공격 경로의 분석 결과는 발견된 취약점들을 '외부 접근 불가능(관리 대상에서 배제)', '외부 직접 접근 가능', 및 '외부 간접 접근 가능'으로 분류한 것이 될 수 있다. In other words, the analysis result of the attack path may be classified into found vulnerabilities as 'externally inaccessible (excluded from management)', 'external direct access', and 'external indirectly accessible'.

도 3은 도 1의 전체 네트워크 구성에서 외부 공격자(공격 소스)의 공격 경로 분석 과정을 나타낸 도면이다. FIG. 3 is a diagram illustrating an attack path analysis process of an external attacker (attack source) in the overall network configuration of FIG. 1.

도 1 및 도 3을 참조하여 상술한 공격 경로 분석 과정을 설명하면, 네트워크 구성 정보 수집부(110)는 네트워크의 구성 형태 및 네트워크 장치들의 종류(외부 라우터 1(310), 외부 라우터 2(320), 외부 방화벽(400), 내부 라우터 1(610), 내부 라우터 2(630), 및 공격 목표(서버 1(810), 서버 2(820), 또는 서버 n(830))로 구성됨), 각각의 네트워크 장치들에 대응하는 IP 주소와 같은 네트워크 구성 정보를 수집한다. Referring to FIG. 1 and FIG. 3, the above-described attack path analysis process will be described. The network configuration information collecting unit 110 may include a configuration form of a network and types of network devices (external router 1 310 and external router 2 320). , An external firewall 400, an internal router 1 610, an internal router 2 630, and an attack target (comprised of server 1 810, server 2 820, or server n 830), each of which Collect network configuration information such as IP addresses corresponding to network devices.

접근 통제 정책 수집부(120)는 외부 라우터 1(310), 외부 라우터 2(320), 외부 방화벽(400), 내부 라우터 1(610), 내부 라우터 2(630) 각각에 적용되어 있는 접근 통제 정책을 수집한다.The access control policy collector 120 may apply an access control policy applied to each of the external router 1 310, the external router 2 320, the external firewall 400, the internal router 1 610, and the internal router 2 630. Collect it.

이때, 외부 라우터 1(310), 외부 라우터 2(320), 외부 방화벽(400), 내부 라우터 1(610), 또는 내부 라우터 2(630)와 같은 접근 통제 장치는 "IP 주소, 프로토콜(TCP 또는 UDP), 포트번호"로 외부에서 내부로의 접근을 통제(허용 또는 거부)하는 장치이다.At this time, an access control device such as an external router 1 (310), an external router 2 (320), an external firewall (400), an internal router 1 (610), or an internal router 2 (630) is referred to as an "IP address, protocol (TCP or UDP), port number "to control (allow or deny) access from outside to inside.

그러므로, 도 3의 '접근 통제 정책 x 허용', '접근 통제 정책 z 허용', 또는 '접근 통제 정책 y 허용'의 예를 들어보면, "TCP any * any 80 Allow", "TCP any * any 25 Deny"등이 될 수 있다. "TCP any * any 80 Allow"는 임의의 외부 IP 주소(any)에서 임의의 포트(*)를 가지고 임의의 내부 IP 주소(any)의 80(웹 서버) 포트에 접근 허용과 같은 정책을 의미하며, "TCP any * any 25 Deny"는 모든 외부 IP 주소(any)에서 임의의 포트(*)를 가지고 임의의 내부 IP 주소(any)의 25(이메일 서버) 포트에 접근 허용과 같은 정책을 의미한다. Therefore, referring to the example of 'Access Control Policy x Allow', 'Access Control Policy z Allow', or 'Access Control Policy y Allow' of FIG. 3, "TCP any * any 80 Allow", "TCP any * any 25 "Deny". "TCP any * any 80 Allow" means a policy such as allowing access to 80 (web server) port of any internal IP address (any) with any port (*) at any external IP address (any). , "TCP any * any 25 Deny" means a policy such as allowing access to port 25 (email server) of any internal IP address (any) with any port (*) on any external IP address (any). .

취약점 정보 수집부(130)는 공격 목표(서버 1(810), 서버 2(820), 또는 서버 n(830))가 포함하고 있는 IT 자산들에 대한 취약점 정보를 수집한다. The vulnerability information collecting unit 130 collects vulnerability information on IT assets included in the attack target (server 1 810, server 2 820, or server n 830).

공격 경로 분석부(140)는 네트워크 구성 정보, 접근 통제 정책, 및 취약점 정보를 IP 주소를 기반으로 서로 연계하여, 공격 목표(서버 1(810), 서버 2(820), 또는 서버 n(830))가 포함하고 있는 IT 자산들에 대한 취약점들 각각에 대해, 인터넷(200)과 같은 외부의 공격 소스(외부 공격자, 200)가 접근 가능한 취약점이라면, 외부의 공격 소스(200)가 외부 라우터 1(310) 또는 외부 라우터 2(320)의 접근 통제 정책에 의해 취약점에 접근 가능한지 여부를 분석한다. The attack path analyzing unit 140 associates network configuration information, access control policy, and vulnerability information with each other based on the IP address, thereby attacking the target (server 1 810, server 2 820, or server n 830). For each of the vulnerabilities for the IT assets that are included), if the external attack source (external attacker, 200) such as the Internet 200 is accessible, then the external attack source 200 is the external router 1 ( 310 or whether the vulnerability is accessible by the access control policy of the external router 2 (320).

외부의 공격 소스(200)가 외부 라우터 1(310) 또는 외부 라우터 2(320)의 접근 통제 정책에 의해 취약점에 접근 가능하다면, 외부의 공격 소스(200)가 다음 네트워크 장치인 외부 방화벽(400)의 접근 통제 정책에 의해 취약점에 접근 가능한지 여부를 분석하고, 외부의 공격 소스(200)가 외부 방화벽(400)의 접근 통제 정책에 의해 취약점에 접근 가능하다면, 외부의 공격 소스(200)가 내부 라우터 1(610) 또는 내부 라우터 2(630)의 접근 통제 정책에 의해 취약점에 접근 가능한지 여부를 분석한다. If the external attack source 200 is accessible to the vulnerability by the access control policy of the external router 1 310 or the external router 2 320, the external attack source 200 is the next network device, the external firewall 400. Analyzing whether the vulnerability is accessible by the access control policy of the external attack source, if the external attack source 200 is accessible to the vulnerability by the access control policy of the external firewall 400, the external attack source 200 is the internal router It is analyzed whether the vulnerability is accessible by the access control policy of 1 (610) or internal router 2 (630).

외부의 공격 소스(200)가 내부 라우터 1(610) 또는 내부 라우터 2(630)의 접근 통제 정책에 의해 취약점에 접근 가능하다면, 해당 취약점이, 외부의 공격 소스(200)가 직접 접근 또는 간접 접근이 가능한 취약점인지 여부를 분석한다. If the external attack source 200 can access the vulnerability by the access control policy of the internal router 1 610 or the internal router 2 630, the vulnerability may be directly or indirectly accessed by the external attack source 200. Analyze whether this is a possible vulnerability.

외부의 공격 소스(200)가 다른 내부 서버의 취약점을 통해 해당 취약점에 접근 가능할 경우, 해당 취약점을 간접 접근이 가능한 취약점으로 분류할 수 있다. If the external attack source 200 can access the vulnerability through a vulnerability in another internal server, the vulnerability can be classified as a vulnerability that can be accessed indirectly.

외부의 공격 소스(200)가 직접 접근 가능한 취약점의 경우는 침해사고 발생 가능성이 높은 것으로 분석하고, 외부의 공격 소스(200)가 간접 접근 가능한 취약점의 경우는 침해사고 발생 가능성이 상대적으로 낮은 것으로 분석할 수 있다. In the case of vulnerabilities that can be directly accessed by the external attack source 200, the incidence of infringement is likely to be high. can do.

다시 도 2를 참조하면, 비즈니스 영향도 분석부(150)는 외부 공격자가 직접 접근 또는 간접 접근 가능한 취약점들이 위치하는 IT 자산에 대한 IT 자산의 가치 정도와, 외부 공격자가 직접 접근 또는 간접 접근 가능한 취약점들의 위협 심각도(CVSS, Common Valnerablilty Scoring System)를 곱하여 각 취약점들의 비즈니스 영향도(business impact)를 분석할 수 있다. Referring back to FIG. 2, the business impact analysis unit 150 determines the degree of value of the IT asset for the IT asset where the vulnerabilities accessible by the external attacker are directly accessible or indirectly accessible, and the vulnerabilities directly accessible or indirectly accessible by the external attacker. The business impact of each vulnerability can be analyzed by multiplying their threat severity (CVSS).

모든 취약점들에는 표준화된 위협 심각도가 정량적으로 표현되어 있는데, 위협 심각도는 해당 취약점이 침해되었을 때 발생할 수 있는 피해의 크기가 정량화된 값(1~10)으로 표현된 국제 표준값이다.All vulnerabilities are quantitatively expressed in standardized threat severity. Threat severity is an international standard value expressed as a quantified value (1 to 10) of the magnitude of the damage that can occur when the vulnerability is breached.

해당 취약점이 발견된 IT 자산의 가치와 위협 심각도를 곱하면 비즈니스 영향도 분석이 가능하다. Multiply the value of the IT asset where the vulnerability is found by the threat severity to analyze the business impact.

(즉, 비즈니스 영향도 = IT 자산의 가치 × 위협 심각도)(I.e. business impact = value of IT assets × threat severity)

이때, IT 자산의 가치는 정보 도난, 장애, 파손되었을 경우의 피해복구 비용과 이로 인해 업무를 수행하지 못했을 때의 손해 비용의 합으로 볼 수 있으며, 미리 설정된 값을 입력하거나, 관리자에 의해서 직접 입력될 수 있다. At this time, the value of the IT asset can be seen as the sum of the cost of recovery in case of theft, failure or damage of information, and the cost of the loss in case of inability to perform work, and input the preset value or directly input by the administrator. Can be.

취약점 조치 우선 순위 설정부(160)는 외부 공격자에 의해 간접 접근 및 직접 접근 가능한 취약점들에 대해 비즈니스 영향도를 연계·분석하여 취약점들의 조치 우선 순위를 설정할 수 있다. The vulnerability action priority setting unit 160 may set the action priority of the vulnerabilities by associating and analyzing the business impact on vulnerabilities that are indirectly accessed and directly accessible by an external attacker.

조치 우선 순위는 정량적인 가치(정확한 수치) 또는 정성적인 가치(매우 높음, 높음, 보통, 낮음)로 표현될 수 있다. Action priorities can be expressed as quantitative values (exact figures) or qualitative values (very high, high, moderate, low).

상술한 바와 같은 IT 자산이 가지는 취약점에 대한 외부 공격자의 공격 경로 분석을 자동화할 경우, 보안 위험 분석 시간을 획기적으로 단축할 수 있고, 관리 대상 취약점의 개수를 줄일 수 있으므로, 보안 투자비용을 감소시킬 수 있다(단, IT 자산의 가치가 관리자에 의해 직접 입력되는 경우는 제외).Automating the analysis of attack paths by external attackers for the vulnerabilities of IT assets as described above can dramatically reduce the time of security risk analysis and reduce the number of managed vulnerabilities, thereby reducing the security investment cost. (Unless the value of an IT asset is entered directly by the manager).

또한, 공격 경로 분석 및 비즈니스 영향도 분석을 통해, 정확도 높은 취약점에 대한 침해 발생 가능성 순위(= 조치 우선 순위)를 설정할 수 있다. In addition, through attack path analysis and business impact analysis, it is possible to set the probability of infringement (= action priority) for highly accurate vulnerabilities.

또한, 설정된 침해 발생 가능성 순위에 따라 핵심 IT 자산이 가지는 심각한 위협을 완화할 수 있는 적절한 조치를 취하게 함으로써, IT 자산의 침해 사고 발생 가능성 및 침해 사고에 의한 영향을 최소화할 수 있으며, 이로 인해 IT 보안 위험 관리 과정을 획기적으로 개선할 수 있다. In addition, by taking appropriate measures to mitigate the serious threats of core IT assets according to the established ranking of possible infringements, the possibility of infringement incidents and the impact of infringement incidents on IT assets can be minimized. Significantly improve the security risk management process.

또한, 기존의 IT 보안 위험 관리에 있어서 발생하고 있는 문제점들인, 발견된 취약점이 관리되지 않는 문제, 예방 가능한 보안 침해 사고들이 발생하는 문제, 비핵심 자산에 투자되는 불필요한 자원 낭비(예컨대, 비핵심 자산에 지나친 패치 적용) 문제 등을 해결할 수 있다. In addition, problems found in traditional IT security risk management, uncovered vulnerabilities are unmanaged, preventable security incidents occur, and unnecessary resource waste invested in non-core assets (eg, non-core assets). Excessive patching) problems can be solved.

도 4는 본 발명에 따른 IT 보안 위험 관리 방법의 일 실시예를 개략적으로 나타낸 흐름도이다. 4 is a flowchart schematically showing an embodiment of an IT security risk management method according to the present invention.

먼저, IT 보안 위험 관리를 수행하고자 하는 네트워크의 구성 형태, 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 네트워크 장치들의 IP 주소를 포함하는 네트워크 구성 정보를 수집한다(S100).First, network configuration information including a configuration form of a network to which IT security risk management is to be performed, types of network devices configuring the network, and IP addresses of the network devices are collected (S100).

수집된 네트워크 구성 정보를 기반으로, 네트워크 장치들 중, 일부 장치들(방화벽 및 라우터)에 개별적으로 적용되어 있는 접근 통제 정책을 수집한 후(S200), 네트워크 내의 선택된(또는 전체) IT 자산이 포함하고 있는 취약점 정보를 수집한다(S300).Based on the collected network configuration information, after collecting the access control policy applied individually to some devices (firewall and router) among the network devices (S200), selected (or all) IT assets in the network are included. Collecting vulnerability information (S300).

(단계 S200은 후술하는 도 6의 단계 S420이 수행되기 전의 어떠한 단계에서든 수행될 수 있다.)(Step S200 may be performed at any stage before step S420 of FIG. 6 described later.)

만약, 선택된 IT 자산이 192.1.11.123의 IP 주소를 가지는 서버에 설치되어 있다면, 도 5과 같이 192.1.11.123에 설치된 모든 IT 자산의 모든 취약점 정보가 수집된다. If the selected IT asset is installed in a server having an IP address of 192.1.11.123, all vulnerability information of all IT assets installed in 192.1.11.123 are collected as shown in FIG.

도 5는 하나의 서버에 대한 취약점 정보 수집의 일 실시예를 나타낸 도면이다. 5 is a diagram illustrating an embodiment of collecting vulnerability information for one server.

도 5에서는 총 20개의 취약점이 발견되었음을 볼 수 있으며, 진한 색상의 취약점들이 위협 심각도가 높은 취약점들임을 알 수 있다.In Figure 5 it can be seen that a total of 20 vulnerabilities have been found, it can be seen that the dark colored vulnerabilities are vulnerabilities of high threat severity.

선택된 취약점의 위협 심각도는 6으로 보통이고, TCP 포트 3389번에서 대기하고 있음을 알 수 있다. The threat severity of the selected vulnerability is 6, which is normal, and we can see that it is waiting on TCP port 3389.

(도 5에서는 IT 자산의 가치는 반영되지 않고, 단순히 위협 심각도 만이 적용되어 분류된 것이므로, 조치 우선순위의 정확도가 낮다.)(In Figure 5, the value of IT assets is not reflected, and only threat severity is applied and classified, so the accuracy of action priority is low.)

다시 도 4를 참조하면, 수집된 네트워크 구성 정보, 접근 통제 정책, 및 취약점 정보를 IP 주소를 기반으로 서로 연계하여, IT 자산의 취약점들 각각에 대해 외부 공격자로부터의 공격 경로를 분석하는데(S400), 도 6 및 도 7을 참조하여 공격 경로 분석 단계(S400)를 상세히 설명하고자 한다. Referring back to FIG. 4, the collected network configuration information, access control policy, and vulnerability information are linked to each other based on the IP address to analyze an attack path from an external attacker for each of the vulnerabilities of the IT asset (S400). The attack path analysis step S400 will be described in detail with reference to FIGS. 6 and 7.

도 6은 도 4의 공격 경로 분석 단계(S400)를 상세히 나타낸 흐름도이고, 도 7은 공격 경로 분석 결과 및 비즈니스 영향도 분석 결과를 나타낸 도면이다. FIG. 6 is a flowchart illustrating an attack path analysis step S400 of FIG. 4 in detail, and FIG. 7 is a view showing an attack path analysis result and a business impact analysis result.

수집한 취약점 정보로부터 취약점 각각에 대해, 해당 취약점이 외부 공격자가 접근 가능한지 여부를 분석한다(S410). For each of the vulnerabilities from the collected vulnerability information, it is analyzed whether the corresponding vulnerability is accessible to an external attacker (S410).

외부 공격자가 접근 불가능한 취약점일 경우는, 해당 취약점을 외부에서 접근 불가능한 취약점으로 간주하여 관리 대상에서 배제하고(S412), 외부 공격자가 접근 가능한 취약점일 경우는, 해당 취약점에 대해 외부 공격자가 접근 통제 정책에 의해 접근 가능한지 여부를 분석한다(S420).If the external attacker is an inaccessible vulnerability, the vulnerability is regarded as an externally inaccessible vulnerability and is excluded from management (S412). If the external attacker is an accessible vulnerability, the external attacker has an access control policy for the vulnerability. It is analyzed whether or not accessible by (S420).

외부 공격자가 접근 가능하지만 접근 통제 정책에 의해 접근 불가능한 취약점일 경우는, 해당 취약점을 외부에서 접근 불가능한 취약점으로 간주하여 관리 대상에서 배제하고(S412), 외부 공격자가 접근 가능하며 접근 통제 정책에 의해서도 접근 가능한 취약점일 경우는, 해당 취약점에 대해 외부 공격자가 직접 접근 가능한지 여부를 분석한다(S430).If the external attacker is accessible but cannot be accessed by the access control policy, the vulnerability is regarded as an externally inaccessible vulnerability and is excluded from management (S412), and the external attacker is accessible and is also accessed by the access control policy. If it is a possible vulnerability, it is analyzed whether an external attacker can directly access the vulnerability (S430).

외부 공격자가 직접 접근 가능한 취약점일 경우는, 해당 취약점을 외부에서 직접 접근 가능한 취약점으로 간주하고(S432), 외부 공격자가 직접 접근 불가능한 취약점일 경우, 다른 IT 자산의 취약점을 통해 해당 취약점에 접근 가능하다면 해당 취약점을 외부에서 간접 접근 가능한 취약점으로 간주한다(S434).If the external attacker is a directly accessible vulnerability, the vulnerability is regarded as an externally accessible vulnerability (S432). If the external attacker is not directly accessible, if the external attacker can access the vulnerability through a vulnerability in another IT asset. The vulnerability is considered to be indirectly accessible from outside (S434).

즉, 공격 경로 분석 단계(S400)의 결과로, 도 7에서와 같이 수집된 취약점들이 '외부 접근 불가능', '외부 직접 접근 가능', 및 '외부 간접 접근 가능'으로 분류될 수 있으며, '외부 접근 불가능'으로 분류된 취약점들은 관리 대상에서 배제시키고, '외부 직접 접근 가능'으로 분류된 취약점들은 '외부 간접 접근 가능'으로 분류된 취약점들보다 상대적으로 피해 사고 발생 가능성이 높은 것으로 분석할 수 있다. That is, as a result of the attack path analysis step (S400), the collected vulnerabilities as shown in FIG. 7 may be classified into 'externally inaccessible', 'externally accessible directly', and 'externally indirectly accessible'. Vulnerabilities classified as "inaccessible" can be excluded from management, and vulnerabilities classified as "externally accessible" can be analyzed as having a higher risk of accidents than those classified as "externally indirectly accessible". .

다시 도 4를 참조하면, 취약점들에 대한 공격 경로 분석 단계(S400)가 종료되면, 취약점들에 대한 비즈니스 영향도 분석이 수행된다(S500).Referring back to Figure 4, when the attack path analysis step (S400) for the vulnerabilities is finished, the business impact analysis for the vulnerabilities is performed (S500).

비즈니스 영향도는 '외부 직접 접근 가능', 및 '외부 간접 접근 가능'으로 분류된 취약점들이 위치하는 IT 자산에 대한 IT 자산의 가치 정도와, '외부 직접 접근 가능', 및 '외부 간접 접근 가능'으로 분류된 취약점들의 위협 심각도(CVSS)를 곱하여 분석할 수 있으며, 정량적인 수치(정확한 수치)로 나타내거나, 도 7에서와 같이 정성적인 수치(매우 높음, 높음, 중간, 낮음)로 나타낼 수 있다. The business impact is the value of the IT asset on the IT asset where the vulnerabilities classified as 'externally accessible' and 'externally accessible', as well as 'externally accessible' and 'externally accessible'. It can be analyzed by multiplying the threat severity (CVSS) of the classified vulnerabilities, and can be expressed as a quantitative value (exact value) or as a qualitative value (very high, high, medium, low) as shown in FIG. .

이때, 비즈니스 영향도의 분석은 상술한 바와 같이, '외부 직접 접근 가능' 및 '외부 간접 접근 가능'으로 분류된 취약점들에 대해서 분석될 수 있지만, 수집된 취약점들 전체에 대해서 분석될 수도 있다. In this case, the analysis of the business impact may be analyzed for vulnerabilities classified as 'external direct access' and 'external indirect access', as described above, but may be analyzed for all collected vulnerabilities.

마지막으로, '외부 직접 접근 가능', 및 '외부 간접 접근 가능'으로 분류된 취약점들에 대해 비즈니스 영향도를 연계·분석하여 취약점들의 조치 우선 순위를 설정한다(S600). Finally, business priorities are linked and analyzed for vulnerabilities classified as 'external direct access' and 'external indirect access' (S600).

즉, 도 7을 다시 참조하면, IT 자산을 포함하고 있는 서버의 취약점이 20개라면, 일반적인 취약점 스캐너는 20개의 취약점을 단순히 나열하기만 하므로, 종래의 방식에서는 나열된 취약점들을 관리자가 수작업으로 분석해야 했다. That is, referring back to FIG. 7, if there are 20 vulnerabilities of the server containing the IT asset, the general vulnerability scanner simply lists 20 vulnerabilities, so the administrator must manually analyze the listed vulnerabilities in the conventional method. did.

이 경우, 서버 1 대당 20개의 취약점이 발견되었으므로, 서버가 1,000 대인 대형 네트워크에서는 취약점이 총 20,000개가 되어, 모든 작업을 수작업으로 진행한다면 많은 시간과 노력이 소요될 수밖에 없었다. In this case, 20 vulnerabilities were found per server, so in a large network with 1,000 servers, the total number of vulnerabilities was 20,000, which would take a lot of time and effort if all the work was done by hand.

하지만, 본 발명을 적용하면, '공격 경로 분석-비즈니스 영향도 분석'이 '외부 직접 접근 가능-매우 높음'인 취약점일 경우 최우선적으로 조치를 취해야 하는 취약점으로 설정되고, '외부 간접 접근 가능-낮음'인 취약점일 경우 가장 마지막으로 조치를 취해야하는 취약점으로 설정될 수 있으므로, '외부 직접 접근 가능-매우 높음'인 취약점인 2개의 취약점만 우선적으로 조치하면 된다. However, if the present invention is applied, the attack path analysis-business impact analysis is set as a vulnerability to be taken first priority when the vulnerability is' external direct access-very high ', and' external indirect access-- If the vulnerability is low, it can be set as the last vulnerable action, so only the two vulnerabilities, ie, external direct access-very high, need to be prioritized.

즉, 서버 1 대당 2개, 총 2,000개의 취약점만 조치하면 되므로 약 90%의 관리 비용을 경감시킬 수 있다.In other words, you need to take only 2 vulnerabilities per server and a total of 2,000 vulnerabilities, which can reduce management costs by about 90%.

(공격 경로 분석 및 비즈니스 영향도 분석의 가중치는 관리자의 설정에 따라 달라질 수 있으므로, '외부 직접 접근 가능-매우 높음' 및 '외부 간접 접근 가능-낮음'을 제외한 다른 경우의 조치 우선 순위는 관리자가 설정한 가중치에 따라 달리질 수 있다.)
(The weights of the attack path analysis and business impact analysis may vary depending on the administrator's settings, so the action priority for the other cases except 'direct externally accessible-very high' and 'externally accessible externally-low' It can vary depending on the weight you set.)

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can also be embodied as computer-readable codes on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, an optical data storage device, and the like, and may be implemented in the form of a carrier wave (for example, transmission via the Internet) . The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다. So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

10 내부 네트워크
100 IT 보안 위험 관리 장치
110 네트워크 구성 정보 수집부
120 접근 통제 정책 수집부
130 취약점 정보 수집부
140 공격 경로 분석부
150 비즈니스 영향도 분석부
160 취약점 조치 우선 순위 설정부
200 인터넷
310 외부 라우터 1
320 외부 라우터 2
400 외부 방화벽
500 DMZ 서버
510 FTP 서버
520 웹 서버
610 내부 라우터 1
620 내부 라우터 2
700 내부 방화벽
802 IT 자산
810 서버 1
820 서버 2
830 서버 n10 internal network
100 IT security risk management device
110 Network Configuration Information Collector
120 Access Control Policy Collector
Vulnerability Information Collection Unit
140 Attack Path Analysis
150 Business Impact Analysis Unit
160 Vulnerability Action Priority Settings
200 internet
310 external router 1
320 external router 2
400 external firewall
500 DMZ Server
510 FTP server
520 web server
610 internal router 1
620 internal router 2
700 internal firewall
802 IT Assets
810 server 1
820 server 2
830 server n

Claims (11)

IT 보안 위험 관리를 수행하고자 하는 네트워크의 구성 형태, 상기 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 상기 네트워크 장치들의 IP 주소를 포함하는 네트워크 구성 정보를 수집하는 네트워크 구성 정보 수집부;
상기 네트워크 내의 IT 자산이 포함하고 있는 취약점 정보를 수집하는 취약점 정보 수집부; 및
상기 네트워크 구성 정보 및 상기 취약점 정보를 상기 IP 주소를 기반으로 서로 연계하여, 상기 IT 자산이 포함하고 있는 취약점들 각각에 대해 외부 공격자로부터의 접근 가능 여부를 분석하고, 상기 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배제하는 공격 경로 분석부; 를 포함하는 것을 특징으로 하는 IT 보안 위험 관리 장치.A network configuration information collecting unit configured to collect network configuration information including a configuration form of a network to which IT security risk management is to be performed, types of network devices configuring the network, and IP addresses of the network devices;
A vulnerability information collection unit for collecting vulnerability information included in the IT asset in the network; And
The network configuration information and the vulnerability information are linked to each other based on the IP address to analyze whether each of the vulnerabilities included in the IT asset is accessible from an external attacker, and the vulnerabilities inaccessible to the external attacker. Attack path analysis unit to exclude from the management target; IT security risk management apparatus comprising a. 제 1항에 있어서,
상기 네트워크 장치들 중, 일부 장치들에 개별적으로 적용되어 있는 접근 통제 정책(ACL)을 수집하는 접근 통제 정책 수집부; 를 더 포함하고,
상기 공격 경로 분석부는,
상기 네트워크 구성 정보, 상기 접근 통제 정책, 및 상기 취약점 정보를 상기 IP 주소를 기반으로 서로 연계하여, 상기 외부 공격자가 접근 가능한 취약점들에 대해, 상기 외부 공격자가 상기 접근 통제 정책에 의해 접근 가능한지 여부를 분석하고, 상기 외부 공격자가 상기 접근 통제 정책에 의해 접근 불가능한 취약점들을 관리 대상에서 배제하는 것을 특징으로 하는 IT 보안 위험 관리 장치. The method of claim 1,
An access control policy collector configured to collect an access control policy (ACL) that is individually applied to some of the network devices; Further comprising:
The attack path analysis unit,
The network configuration information, the access control policy, and the vulnerability information are linked to each other based on the IP address to determine whether the external attacker is accessible by the access control policy for vulnerabilities accessible by the external attacker. And analyzing and excluding vulnerabilities inaccessible by the external attacker by the access control policy from the management target. 제 2항에 있어서,
상기 공격 경로 분석부는,
상기 외부 공격자가 상기 접근 통제 정책에 의해 접근 가능한 취약점들에 대해, 상기 외부 공격자가 직접적으로 접근 가능한 취약점을 직접 접근 가능한 취약점으로 분류하고, 상기 외부 공격자가 내부의 다른 네트워크 장치의 취약점을 통해 접근 가능한 취약점을 간접 접근 가능한 취약점으로 분류하는 것을 특징으로 하는 IT 보안 위험 관리 장치.The method of claim 2,
The attack path analysis unit,
For vulnerabilities that are accessible by the external attacker, the vulnerabilities directly accessible by the external attacker are classified as directly accessible vulnerabilities, and the external attacker is accessible through vulnerabilities of other internal network devices. An IT security risk management device, which classifies vulnerabilities as indirectly accessible vulnerabilities. 제 3항에 있어서,
상기 직접 접근 또는 상기 간접 접근 가능한 취약점들이 위치하는 IT 자산에 대한 IT 자산의 가치 정도와, 상기 직접 접근 또는 상기 간접 접근이 가능한 상기 취약점들의 위협 심각도(CVSS)를 곱하여 각 취약점들의 비즈니스 영향도를 분석하는 비즈니스 영향도 분석부; 를 더 포함하는 것을 특징으로 하는 IT 보안 위험 관리 장치. The method of claim 3, wherein
Analyzing the business impact of each vulnerability by multiplying the value of the IT asset for the IT asset where the direct or indirectly accessible vulnerabilities are located and the threat severity (CVSS) of the direct or indirectly accessible vulnerabilities Business impact analysis unit; IT security risk management device further comprising. 제 4항에 있어서,
상기 직접 접근 또는 상기 간접 접근 가능한 취약점들에 대해 상기 비즈니스 영향도를 연계·분석하여 상기 취약점들의 조치 우선 순위를 설정하는 취약점 조치 우선 순위 설정부; 를 더 포함하는 것을 특징으로 하는 IT 보안 위험 관리 장치. The method of claim 4, wherein
A vulnerability action priority setting unit that establishes an action priority of the vulnerability by linking and analyzing the business impact with respect to the direct access or the indirectly accessible vulnerability; IT security risk management device further comprising. (a) IT 보안 위험 관리를 수행하고자 하는 네트워크의 구성 형태, 상기 네트워크를 구성하고 있는 네트워크 장치들의 종류, 및 상기 네트워크 장치들의 IP 주소를 포함하는 네트워크 구성 정보를 수집하는 단계;
(c) 상기 네트워크 내의 IT 자산이 포함하고 있는 취약점 정보를 수집하는 단계; 및
(d) 상기 네트워크 구성 정보 및 상기 취약점 정보를 상기 IP 주소를 기반으로 서로 연계하여, 상기 IT 자산이 포함하고 있는 취약점들 각각에 대해 외부 공격자로부터의 접근 가능 여부를 분석하고, 상기 외부 공격자가 접근 불가능한 취약점들을 관리 대상에서 배제하는 단계; 를 포함하는 것을 특징으로 하는 IT 보안 위험관리 방법.(a) collecting network configuration information including a configuration form of a network to which IT security risk management is to be performed, types of network devices configuring the network, and IP addresses of the network devices;
(c) collecting vulnerability information included in IT assets in the network; And
(d) linking the network configuration information and the vulnerability information with each other based on the IP address, analyzing whether each of the vulnerabilities included in the IT asset is accessible from an external attacker, and accessing the external attacker; Excluding impossible vulnerabilities from management; IT security risk management method comprising a. 제 6항에 있어서,
상기 (a) 단계와 (c) 단계 사이에서,
(b) 상기 네트워크 장치들 중, 일부 장치들에 개별적으로 적용되어 있는 접근 통제 정책(ACL)을 수집하는 단계; 를 더 포함하고,
상기 (d) 단계 이후에,
(e) 상기 네트워크 구성 정보, 상기 접근 통제 정책, 및 상기 취약점 정보를 상기 IP 주소를 기반으로 서로 연계하여, 상기 외부 공격자가 접근 가능한 취약점들에 대해, 상기 외부 공격자가 상기 접근 통제 정책에 의해 접근 가능한지 여부를 분석하고, 상기 외부 공격자가 상기 접근 통제 정책에 의해 접근 불가능한 취약점들을 관리 대상에서 배제하는 단계; 를 더 포함하는 것을 특징으로 하는 IT 보안 위험 관리 방법.The method of claim 6,
Between steps (a) and (c),
(b) collecting an access control policy (ACL) that is individually applied to some of the network devices; Further comprising:
After the step (d)
(e) linking the network configuration information, the access control policy, and the vulnerability information with each other based on the IP address to access vulnerabilities accessible to the external attacker by the external attacker by the access control policy; Analyzing whether it is possible and excluding vulnerabilities that are not accessible by the external attacker by the access control policy from being managed; IT security risk management method characterized in that it further comprises. 제 7항에 있어서,
상기 (e) 단계 이후에,
(f) 상기 외부 공격자가 상기 접근 통제 정책에 의해 접근 가능한 취약점들에 대해, 상기 외부 공격자가 상기 접근 통제 정책에 의해 접근 가능한 취약점들에 대해, 상기 외부 공격자가 직접적으로 접근 가능한 취약점을 직접 접근 가능한 취약점으로 분류하고, 상기 외부 공격자가 내부의 다른 네트워크 장치의 취약점을 통해 접근 가능한 취약점을 간접 접근 가능한 취약점으로 분류하는 단계; 를 더 포함하는 것을 특징으로 하는 IT 보안 위험 관리 방법.The method of claim 7, wherein
After step (e),
(f) direct access to vulnerabilities accessible to the external attacker by the access control policy and direct access to vulnerabilities directly accessible by the external attacker to the vulnerabilities accessible by the external attacker to the access control policy. Classifying the vulnerabilities into indirectly accessible vulnerabilities, wherein the external attackers can access vulnerabilities accessible through vulnerabilities of other internal network devices; IT security risk management method characterized in that it further comprises. 제 7항에 있어서,
상기 (f) 단계 이후에,
(g) 상기 직접 접근 또는 상기 간접 접근이 가능한, 상기 취약점들이 위치하는 IT 자산에 대한 IT 자산의 가치 정도와, 상기 직접 접근 또는 상기 간접 접근이 가능한 상기 취약점들의 위협 심각도(CVSS)를 곱하여 각 취약점들의 비즈니스 영향도를 분석하는 단계; 를 더 포함하는 것을 특징으로 하는 IT 보안 위험 관리 방법.The method of claim 7, wherein
After step (f),
(g) multiply each of the vulnerabilities by multiplying the value of the IT asset for the IT asset in which the direct or indirect accesses are located by the threat severity (CVSS) of the direct or indirectly accessible vulnerabilities; Analyzing their business impact; IT security risk management method characterized in that it further comprises. 제 9항에 있어서,
상기 (g) 단계 이후에,
(h) 상기 직접 접근 또는 상기 간접 접근 가능한 취약점들에 대해 상기 비즈니스 영향도를 연계·분석하여 상기 취약점들의 조치 우선 순위를 설정하는 단계; 를 더 포함하는 것을 특징으로 하는 IT 보안 위험 관리 방법.The method of claim 9,
After step (g),
(h) establishing an action priority of the vulnerabilities by associating and analyzing the business impact with respect to the direct or indirectly accessible vulnerabilities; IT security risk management method characterized in that it further comprises. 제 6항 내지 제 10항 중 어느 한 항의 IT 보안 위험 관리 방법을 컴퓨터에서 판독할 수 있고, 실행 가능한 프로그램 코드로 기록한 기록 매체.A recording medium which can read the IT security risk management method according to any one of claims 6 to 10, and which is recorded as executable program code.
KR1020100049732A 2010-05-27 2010-05-27 IT security risk management apparatus and method Abandoned KR20110130203A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100049732A KR20110130203A (en) 2010-05-27 2010-05-27 IT security risk management apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100049732A KR20110130203A (en) 2010-05-27 2010-05-27 IT security risk management apparatus and method

Publications (1)

Publication Number Publication Date
KR20110130203A true KR20110130203A (en) 2011-12-05

Family

ID=45499073

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100049732A Abandoned KR20110130203A (en) 2010-05-27 2010-05-27 IT security risk management apparatus and method

Country Status (1)

Country Link
KR (1) KR20110130203A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012106843A1 (en) 2011-12-07 2013-06-13 Hyundai Motor Co. Control knob for a vehicle
KR20130138542A (en) * 2012-06-11 2013-12-19 한국전자통신연구원 Physical and it security device control method and system based on security incident response process
KR101442691B1 (en) * 2013-03-26 2014-09-25 한국전자통신연구원 Apparatus and method for quantifying vulnerability of system
WO2016081044A3 (en) * 2014-09-10 2016-07-21 Honeywell International Inc. Dynamic quantification of cyber-security risks in a control system
US10785252B2 (en) 2017-08-10 2020-09-22 Electronics And Telecommunications Research Institute Apparatus for enhancing network security and method for the same

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012106843A1 (en) 2011-12-07 2013-06-13 Hyundai Motor Co. Control knob for a vehicle
KR20130138542A (en) * 2012-06-11 2013-12-19 한국전자통신연구원 Physical and it security device control method and system based on security incident response process
KR101442691B1 (en) * 2013-03-26 2014-09-25 한국전자통신연구원 Apparatus and method for quantifying vulnerability of system
US9692779B2 (en) 2013-03-26 2017-06-27 Electronics And Telecommunications Research Institute Device for quantifying vulnerability of system and method therefor
WO2016081044A3 (en) * 2014-09-10 2016-07-21 Honeywell International Inc. Dynamic quantification of cyber-security risks in a control system
US10162969B2 (en) 2014-09-10 2018-12-25 Honeywell International Inc. Dynamic quantification of cyber-security risks in a control system
US10785252B2 (en) 2017-08-10 2020-09-22 Electronics And Telecommunications Research Institute Apparatus for enhancing network security and method for the same

Similar Documents

Publication Publication Date Title
CA3055978C (en) Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
US8776241B2 (en) Automatic analysis of security related incidents in computer networks
EP1805641B1 (en) A method and device for questioning a plurality of computerized devices
US11050773B2 (en) Selecting security incidents for advanced automatic analysis
US10250627B2 (en) Remediating a security threat to a network
US20230412631A1 (en) Methods and systems for system vulnerability determination and utilization for threat mitigation
US12047397B2 (en) Scored threat signature analysis
KR20190119239A (en) Apparatus and method for managing IT security risk
KR20110130203A (en) IT security risk management apparatus and method
Alkhurayyif et al. Adopting automated penetration testing tools: A cost-effective approach to enhancing cybersecurity in small organizations
Fry et al. Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks
Beigh et al. Intrusion Detection and Prevention System: Classification and Quick
Jones Security posture: A systematic review of cyber threats and proactive security
Kaur et al. An introduction to security operations
Hajdarevic et al. A new method for the identification of proactive information security management system metrics
JP6933320B2 (en) Cybersecurity framework box
CN118316654A (en) A network system penetration testing method and device
Easttom Threat analysis
US20230315849A1 (en) Threat signature scoring
WO2024086337A1 (en) Monitoring and remediation of cybersecurity risk based on calculation of cyber-risk domain scores
Gheorghică et al. A new framework for enhanced measurable cybersecurity in computer networks
Hu et al. A cost-effective automation method of massive vulnerabilities analysis and remediation based on cloud native
Lekkas et al. Handling and reporting security advisories: A scorecard approach
Mbogu et al. Analyzing Network Threats Using a Cybersecurity Tool

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20100527

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20110929

Patent event code: PE09021S01D

PG1501 Laying open of application
AMND Amendment
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20120523

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20110929

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

AMND Amendment
PX0901 Re-examination

Patent event code: PX09011S01I

Patent event date: 20120523

Comment text: Decision to Refuse Application

Patent event code: PX09012R01I

Patent event date: 20111214

Comment text: Amendment to Specification, etc.

PX0701 Decision of registration after re-examination

Patent event date: 20120826

Comment text: Decision to Grant Registration

Patent event code: PX07013S01D

Patent event date: 20120720

Comment text: Amendment to Specification, etc.

Patent event code: PX07012R01I

Patent event date: 20120523

Comment text: Decision to Refuse Application

Patent event code: PX07011S01I

Patent event date: 20111214

Comment text: Amendment to Specification, etc.

Patent event code: PX07012R01I

X701 Decision to grant (after re-examination)
NORF Unpaid initial registration fee
PC1904 Unpaid initial registration fee