一种外部攻击面风险评估方法和装置与流程

1.本公开涉及信息安全技术领域，尤其涉及一种外部攻击面风险评估方法和装置。


背景技术：

2.攻击面管理主要包括外部攻击面管理(easm)、网络资产攻击面管理(caasm)、数字风险保护服务(drps)、漏洞评估(va)、弱点/漏洞优先级技术(vpt)五方面的攻击面管理，包括资产的识别及清点、漏洞修复及暴露面管控、云安全与治理、数据泄漏检测、子公司风险评估、供应链/第三方风险评估和并购(m&a)风险评估等内容。其中，尤其以外部攻击面管理是企业安全中最为关键的一环。
3.攻击面是一个给定的计算机或网络系统，可以被黑客访问和利用的漏洞总和。攻击面包含：操作系统、中间件、应用程序、承载网络中存在的软件漏洞；系统和软件中的错误配置与安全控制缺失；违反安全制度和合规要求的网络配置；过度宽松的访问控制规则。
4.减少攻击面的基本策略是减少运行中的软件总量，减少非信任用户可使用的入口点，以及消除用户很少使用的服务。改进信息安全的方法之一就是减少系统与软件的攻击表面。因为关闭不必要的功能，可以避免它们带来的安全风险。减少未授权操作者可调用的代码有助避免安全事故。虽然减少攻击表面有助于防止安全事故，但它不能减少一旦攻击者发现漏洞后可能造成的损害程度。


技术实现要素：

5.本公开提供了一种外部攻击面风险评估方法和装置。
6.根据本公开的第一方面，提供了一种外部攻击面风险评估方法。该方法包括：
7.根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限，计算得到各经营实体的资产风险值；其中，所述经营实体包括：公司、子公司、外部供应商；
8.根据公司和子公司的资产风险值计算集团的内部资产风险值，根据外部供应商的资产风险值计算集团的外部资产风险值；
9.根据所述内部资产风险值和所述外部资产风险值，对所述集团进行外部攻击面风险评估。
10.进一步的，所述已知资产中包括以下设备中的一种或多种：
11.服务器、路由器、防火墙、交换机；
12.其中，每种设备包括公开ip、端口、服务、应用程序四种风险暴露面。
13.进一步的，所述子公司的资产风险值或所述外部供应商的资产风险值的计算公式如下：
14.ri＝wi*||ip||*[||port||*vul({service},{applications})]；
[0015][0016]
其中，ri代表子公司的资产风险值或外部供应商的资产风险值，||ip||代表ip的
数量，||port||代表端口数量，vul({service},{application})代表对应用软件进行评估，ri代表子公司或外部供应商的市值，wi代表子公司或外部供应商的资产风险值权重。
[0017]
进一步的，所述公司的资产风险值的计算公式如下：
[0018]
re＝∑w
type
*[∑||ip||*||port||*vul({service},{appliction})+r
x
]；
[0019]
其中，re代表公司的资产风险值，||ip||代表ip的数量，||port||代表端口数量，vul({service},{application})代表对应用软件进行评估，wtype代表设备类型的权限，rx代表未知资产的风险值。
[0020]
进一步的，所述未知资产的风险值计算过程包括：
[0021]
根据公司资产管理规范和公司资产管理能力确定对应的层级；其中，所述层级包括高、中、低和无四种；
[0022]
对各所述层级对应的预设数值相乘的结果，进行非线性映射使得未知资产风险值落在0至1之间。
[0023]
进一步的，所述根据所述内部资产风险值和所述外部资产风险值，对所述集团的外部攻击面进行风险评估的公式如下：
[0024]rtotal
＝re+0.5*∑(r
s1
,r
s2
,...,r
sn
)+0.3∑(r
v1
,r
v2
,...,r
vm
)；
[0025]
其中，r
total
代表集团总资产风险值，re代表公司的资产风险值，r
sn
代表经营实体中第n个子公司的资产风险值，r
vm
代表经营实体中第m个供应商的资产风险值。
[0026]
根据本公开的第二方面，提供了一种外部攻击面风险评估装置。该装置包括：
[0027]
计算模块，用于根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限，计算得到各经营实体的资产风险值；其中，所述经营实体包括：公司、子公司、外部供应商；
[0028]
确定模块，用于根据公司和子公司的资产风险值计算集团的内部资产风险值，根据外部供应商的资产风险值计算集团的外部资产风险值；
[0029]
评估模块，用于根据所述内部资产风险值和所述外部资产风险值，对所述集团进行外部攻击面风险评估。
[0030]
根据本公开的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。
[0031]
根据本公开的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如上所述的方法。
[0032]
本公开提出了一种基于多级加权的外部攻击面风险评估方法，使用该方法对企业外部攻击面进行风险评估，可以在减少计算量的同时使得评估结果更加精准，也具备了实时性强的优点，能够适用于各类安全类产品对企业内外部的环境风险等级的评估。
[0033]
应当理解，发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0034]
结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案，不构成对本公开的限定在附图中，相同或相
似的附图标记表示相同或相似的元素，其中：
[0035]
图1示出了本公开的实施例的集团外部攻击面资产示意图；
[0036]
图2示出了根据本公开的实施例的外部攻击面风险评估方法的流程图；
[0037]
图3示出了根据本公开的实施例的外部攻击面风险评估装置的框图；
[0038]
图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
[0039]
为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。
[0040]
另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
[0041]
本公开中，通过多级加权对集团外部攻击面进行风险评估，可使用该方法对企业外部攻击面进行风险评估，可以在减少计算量的同时使得评估结果更加精准，也具备了实时性强的优点，能够适用于各类安全类产品对企业内外部的环境风险等级的评估。
[0042]
近年来，数字化转型带来巨大的变化，数字时代的资产不仅仅包含传统的信息资产，也包括类似于像物联网、iot、传感器，也包括网站、域名、数字证书、敏感数据、应用api等。以外部攻击者的视角来看待数字化时代所面临的数字资产的风险，漏洞已经不再只是传统意义上软硬件漏洞或缺陷，更多的包括像弱口令、不正确的配置、不当权限、泄露数据、过期证书、恶意网站、钓鱼网站，也包括供应链漏洞、分支机构/分子公司的弱点等漏洞，以上漏洞的均会可能会带来数字风险。
[0043]
本公开以外部攻击面的视角，提出了一种提供了一种有效的外部攻击面(easm)风险评估方法，外部攻击面风险评估是指为发现面向外部提供服务的企业资产，系统以及相关漏洞而部署的集流程、技术、管理为一体的服务，比如服务器、凭证、公共云服务配置错误、三方合作伙伴软件代码漏洞等。外部攻击面风险评估提供的服务里会包含drps、威胁情报，三方风险评估以及脆弱性评估，以及供应商能力评估等细分服务。
[0044]
下面以集团外部攻击面管理为例，对本公开中的外部攻击面风险评估方法进行说明。
[0045]
图1示出了集团外部攻击面管理的资产示意图。其中，外部攻击面管理的资产分为集团资产和外部资产。
[0046]
具体的，集团资产包括子公司资产和公司资产，公司资产进一步包括已知资产和未知资产，子公司资产进一步包括n个子公司资产(即子公司1资产至子公司n资产)。外部资产包括m个供应商资产(即供应商1资产至供应商m资产)。
[0047]
图2示出了根据本公开实施例的外部攻击面风险评估方法的流程图。该方法包括：
[0048]
s1：根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限，计算得到各经营实体的资产风险值。
[0049]
具体的，攻击面包括所有可以被外部攻击者所利用的资源，包括：已知资产(ka)和
未知资产(ua)两类。经营实体包括公司、子公司、外部供应商、办公室地址相同ip地址不相同的公司、ip地址相同办公室地址不同的公司。其中，公司的资产风险值的计算公式如下：
[0050]
re＝∑w
type
*[∑||ip||*||port||*vul({service},{appliction})+r
x
]；
[0051]
其中，re代表公司的资产风险值，||ip||代表ip的数量，||port||代表端口数量，vul({service},{application})代表对应用软件进行评估，w
type
代表设备类型的权限，r
x
代表未知资产的风险值。
[0052]
已知资产包括：物联网、传感器、打印机、摄像机等非传统的it资产，也包括网站域名、数字证书、敏感数据、业务api、云资产、saas应用、第三方组件等资产；未知资产包括：影子资产、隐匿资产、被遗忘的老化资产、本应下线的应用程序/镜像/微服务，以及恶意资产、钓鱼网站、分子公司和分支机构的资产、供应链资产。
[0053]
未知资产的风险值计算过程包括：根据公司资产管理规范和公司资产管理能力确定对应的层级；其中，所述层级包括高、中、低和无四种；对各所述层级对应的预设数值相乘的结果，进行非线性映射使得未知资产风险值落在0至1之间。具体的，非线性映射公式如下所示：
[0054]
r＝(e
x-1)/e
16
；
[0055]
其中，x的取值范围为[1，2，...，16]，通过上述公式分别按非线性映射到[0，1]之上。
[0056]
需要说明的是，关于未知资产风险值r
x
由技术人员根据该公司是否具有公司资产管理规范、资产管理规范制定的规范程度和该资产管理规范的执行程度，对该公司的公司资产管理规范和公司资产管理能力进行评估得到确切的层级。
[0057]
可以采用wireshark、fofa、zoomeye、quake、hunter、shodan、爱企查、masscan、subfinder等资产采集工具，获取以上资产。
[0058]
获取后将已知资产进行分类，已知资产中包括以下设备中的一种或多种：服务器、路由器、防火墙、交换机；其中，每种设备包括公开ip、端口、服务、应用程序四种风险暴露面。
[0059]
其中，子公司的资产风险值和所述外部供应商的资产风险值的计算公式如下：
[0060]ri
＝wi*||ip||*[||port||*vul({service},{applications})]；
[0061][0062]
其中，ri代表子公司的资产风险值或外部供应商的资产风险值，||ip||代表ip的数量，||port||代表端口数量，vul({service},{application})代表对应用软件进行评估，ri代表子公司或外部供应商的市值，wi代表子公司或外部供应商的资产风险值权重。
[0063]
s2：根据公司和子公司的资产风险值计算集团的内部资产风险值，根据外部供应商的资产风险值确定外部资产风险值。
[0064]
具体的，根据s1计算得到的公司资产风险值re和各子公司资产风险值r
s1
、r
s2
…rsi
，将以上资产风险值进行加权后累加求和，得到集团的内部资产风险值。集团的内部资产风险值的计算公式如下：r
gr
＝re+0.5*∑(r
s1
,r
s2
,...,r
sn
)；
[0065]
其中，r
gr
代表集团的内部资产风险值，re代表公司的资产风险值，r
sn
代表第n个子公司。
[0066]
外部资产风险值的计算公式如下：
[0067]rw
＝∑(r
v1
,r
v2
,...,r
vm
)；
[0068]
其中，rw代表外部资产风险值，r
vm
代表第m个供应商公司。
[0069]
s3：根据所述内部资产风险值和所述外部资产风险值，对所述集团的外部攻击面进行风险评估。
[0070]
具体的，根据s2计算得到的内部资产风险值r
gr
和外部资产风险值rw对集团的外部攻击面进行风险评估，该集团的外部攻击面的总资产风险评估值的计算公式如下：
[0071]rtotal
＝r
gr
+0.3rw；
[0072]
即r
total
＝re+0.5*∑(r
s1
,r
s2
,...,r
sn
)+0.3∑(r
v1
,r
v2
,
…
,r
vm
)。
[0073]
本公开中的资产风险评估值在不同的环境下的应用标准可以进行微调，在一些实施方式中可以以每1.0为一个量级。
[0074]
若评估结果为0～10，则没有风险，集团外部攻击面有关资产安全程度极高。
[0075]
若评估结果为10～100，则风险程度低，比较安全，根据集团对安全的需求程度，需要决定是否需要继续消除风险。
[0076]
若评估结果为100～1000，则有明显的风险，需要引起管理者注意，应该采取一定措施减少风险。
[0077]
若评估结果为1000～10000，则有显著的风险，集团管理都必需引起高度的重视并尽快解决。
[0078]
若评估结果高于10000，则确定集团外部攻击面风险等级较高，集团应该立即投入精力解决。
[0079]
需要说明的是，以上资产风险评估值是根据外部攻击管理中各资产的设备类型和数量等数据进行计算得到。此外，在一些其他实施例中，若其中某个设备的重要程度较高，而且存在高危漏洞，则在计算集团总资产风险评估值的过程中，将此数字资产的权重增加。
[0080]
根据设备的重要程度及漏洞的优先级及其对应的权重计算集团总资产风险评估值，可以在集团外部攻击面的资产风险评估过程中，对资产的价值进行动态调整，从而能够有效的帮助用户识别真正高危的漏洞风险，将工作聚焦在有价值的漏洞修复上。
[0081]
在一些实施例中，上述评估结果阈值是可以根据集团实际情况进行调整的。
[0082]
本发明提出了一种基于多级加权实现的外部攻击面管理方法，本方法通过对当前集团的已知资源、未知资产的各类资源进行累积加权计算，再对子公司和供应商进行综合评估，实现对集团外部攻击面的评估，提供了一种有效的外部攻击面风险评估方法。
[0083]
需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。
[0084]
以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。
[0085]
图3示出了根据本公开的实施例的外部攻击面风险评估装置300的方框图。装置300包括：
[0086]
计算模块310，用于根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限，计算得到各经营实体的资产风险值；其中，所述经营实体包括：公司、子公司、外部供应商；
[0087]
确定模块320，用于根据公司和子公司的资产风险值计算集团的内部资产风险值，根据外部供应商的资产风险值计算集团的外部资产风险值；
[0088]
评估模块330，用于根据所述内部资产风险值和所述外部资产风险值，对所述集团进行外部攻击面风险评估。
[0089]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0090]
根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
[0091]
图4示出了可以用来实施本公开的实施例的电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
[0092]
设备400包括计算单元401，其可以根据存储在只读存储器(rom)402中的计算机程序或者从存储单元408加载到随机访问存储器(ram)403中的计算机程序，来执行各种适当的动作和处理。在ram 403中，还可存储设备400操作所需的各种程序和数据。计算单元401、rom 402以及ram 403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
[0093]
设备400中的多个部件连接至i/o接口405，包括：输入单元406，例如键盘、鼠标等；输出单元407，例如各种类型的显示器、扬声器等；存储单元408，例如磁盘、光盘等；以及通信单元409，例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
[0094]
计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理，例如外部攻击面风险评估方法。例如，在一些实施例中，外部攻击面风险评估方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元408。在一些实施例中，计算机程序的部分或者全部可以经由rom 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到ram 403并由计算单元401执行时，可以执行上文描述的外部攻击面风险评估方法的一个或多个步骤。备选地，在其他实施例中，计算单元401可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行外部攻击面风险评估方法。
[0095]
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计
算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
[0096]
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
[0097]
在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
[0098]
为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
[0099]
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
[0100]
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
[0101]
应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。
[0102]
上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开
的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

技术特征：
1.一种外部攻击面风险评估方法，其特征在于，所述方法包括：根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限，计算得到各经营实体的资产风险值；其中，所述经营实体包括：公司、子公司、外部供应商；根据公司和子公司的资产风险值计算集团的内部资产风险值，根据外部供应商的资产风险值计算集团的外部资产风险值；根据所述内部资产风险值和所述外部资产风险值，对所述集团进行外部攻击面风险评估。2.根据权利要求1所述的方法，其特征在于，所述已知资产中包括以下设备中的一种或多种：服务器、路由器、防火墙、交换机；其中，每种设备包括公开ip、端口、服务、应用程序四种风险暴露面。3.根据权利要求1所述的方法，其特征在于，所述子公司的资产风险值或所述外部供应商的资产风险值的计算公式如下：r
i
＝w
i
*||ip||*[||port||*vul({service},{applications})]；其中，r
i
代表子公司的资产风险值或外部供应商的资产风险值，||ip||代表ip的数量，||port||代表端口数量，vul({service},{application})代表对应用软件进行评估，r
i
代表子公司或外部供应商的市值，w
i
代表子公司或外部供应商的资产风险值权重。4.根据权利要求1所述的方法，其特征在于，所述公司的资产风险值的计算公式如下：r
e
＝∑w
type
*[∑||ip||*||port||*vul({service},{appliction})+r
x
]；其中，re代表公司的资产风险值，||ip||代表ip的数量，||port||代表端口数量，vul({service},{application})代表对应用软件进行评估，wtype代表设备类型的权限，rx代表未知资产的风险值。5.根据权利要求4所述的方法，其特征在于，所述未知资产的风险值计算过程包括：根据公司资产管理规范和公司资产管理能力确定对应的层级；其中，所述层级包括高、中、低和无四种；对各所述层级对应的预设数值相乘的结果，进行非线性映射使得未知资产风险值落在0至1之间。6.根据权利要求1所述的方法，其特征在于，所述根据所述内部资产风险值和所述外部资产风险值，对所述集团的外部攻击面进行风险评估的公式如下：r
total
＝r
e
+0.5*∑(r
s1
,r
s2
,...,r
sn
)+0.3∑(r
v1
,r
v2
,...,r
vm
)；其中，r
total
代表集团总资产风险值，r
e
代表公司的资产风险值，r
sn
代表经营实体中第n个子公司的资产风险值，r
vm
代表经营实体中第m个供应商的资产风险值。7.一种外部攻击面风险评估装置，其特征在于，所述装置包括：计算模块，用于根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限，计算得到各经营实体的资产风险值；其中，所述经营实体包括：公司、子公司、外部供应商；确定模块，用于根据公司和子公司的资产风险值计算集团的内部资产风险值，根据外部供应商的资产风险值计算集团的外部资产风险值；
评估模块，用于根据所述内部资产风险值和所述外部资产风险值，对所述集团进行外部攻击面风险评估。8.一种电子设备，其特征在于，所述设备包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-6中任一项所述的方法。9.一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，所述计算机指令用于使所述计算机执行根据权利要求1-6中任一项所述的方法。

技术总结
本公开的实施例提供了一种外部攻击面风险评估方法和装置。所述方法包括：根据各经营实体的已知资产中各设备的风险暴露面及设备类型权限，计算得到各经营实体的资产风险值；其中，所述经营实体包括：公司、子公司、外部供应商；根据公司和子公司的资产风险值计算集团的内部资产风险值，根据外部供应商的资产风险值计算集团的外部资产风险值；根据所述内部资产风险值和所述外部资产风险值，对所述集团进行外部攻击面风险评估。以此方式，可以在减少计算量的同时使得评估结果更加精准，也具备了实时性强的优点，能够适用于各类安全类产品对企业内外部的环境风险等级的评估。企业内外部的环境风险等级的评估。企业内外部的环境风险等级的评估。


技术研发人员：沈传宝 郝伟 刘加瑞
受保护的技术使用者：北京华云安信息技术有限公司
技术研发日：2023.05.09
技术公布日：2023/7/20