[发明专利]用于高效风险抑制的脆弱性评估和提供相关服务和产品的系统和方法

说明书

在说明性实施例中，用于网络脆弱性评估的系统和方法包括：获得评估数据，评估数据包括与企业的网络安全脆弱性的域有关的信息，以及对于每个安全域，相应的域级别脆弱性分数；基于(一个或多个)域级别脆弱性分数识别与所述企业相关的(一个或多个)风险；识别推荐产品或服务，以用于减轻每个风险；并且准备图形用户界面，以用于选择推荐产品或服务中的一部分。用户可以通过用户界面选择一个或多个产品或服务，以进行购买和/或部署计划。基于一些推荐产品或服务的应用，可以将域级别脆弱性分数与同行脆弱性分数、目标脆弱性分数或预期脆弱性分数进行比较。

相关申请的交叉引用

本申请要求于2018年6月27日提交的题为“脆弱性评估和提供相关服务的系统和方法(Systems and Methods for Vulnerability Assessment and Provisioning ofRelated Services)”的美国临时专利申请序列号62/690,512，以及于2018年1月31日提交的题为“脆弱性评估和提供相关服务的系统和方法(System and Methods forVulnerability Assessment and Provisioning of Related Services)”的美国临时专利申请序列号62/624,575的优先权。所有以上识别的申请均通过引用整体并入本文。

背景技术

在一些示例中，网络安全风险涉及敏感数据(例如，商户持有的支付数据或卫生保健提供者持有的医疗数据)泄露、计算机系统渗透、与身份欺诈相关的个人信息泄露以及类似的不测事件所导致的损失。这些种类的损失可能是由罪犯导致的，这些罪犯响应于现在时态环境变量管制机会(新发现的漏洞(exploits)、网络安全的近期趋势等)而调整他们的动作。迄今为止，对网络安全风险的评估严重依赖于人力资本，结果是基于个别专家的方法和专业背景的主观风险评估。因此，在个人或实体的系统、财产和设施的网络风险评估中的重要因素迅速变化，但是他们的风险评估继续由个人执行，并且因此以可能不超过分配给任务的特定个人的专业水平执行。此外，当在一个行业中出现风险因素时，对于这些因素的知识趋于局限于该行业中的专业人员，从而使其他行业是脆弱的，并致使对在这些其他行业中执行的脆弱性评估信息不足。

市场上对于网络风险评估和风险减轻的另一个复杂问题是，必须基于个人找到并订购可用于协助个人或企业管理网络安全风险的第三方服务。例如，个人可能会寻求服务来检测和防止身份欺诈，或者确定他或她的个人信息是否已经被泄露并在暗网上发布。例如，小型或中型业务可能会寻求安全管理的虚拟私人网络(VPN)服务。这些类型的服务是单独出售的，并且消费者必须逐个网站去搜索和寻找来理解各种产品，并从中明智地选择。此外，如果客户离开提供者的网站以寻求在其他地方发布的配套服务，那么这种“搜索和寻找”的过程可能会使服务提供者或保险人失去向潜在客户提供服务的机会。还提出了这样的可能性，即保险人或服务提供者可能不知道其客户施加的一项或多项风险抑制服务，因为该项服务是通过另一个供应商订购的，在这种情况下，保险人或服务提供者“看不见”交易。

有必要进行不受个人主观判断影响的风险评估、消除识别潜在服务提供者和保险人的延迟以防网络安全风险，以及消除现有的用于定位风险抑制服务的搜索和寻找过程。

此外，平台操作者可能期望评估用户或其所代表的组织相对于多种危险的风险。例如，除了评估网络安全风险，平台操作者可能期望评估用户或其所代表的组织关于违反监管框架的风险，诸如欧盟《通用数据保护法规》或美国《健康保险便携性和责任法案》)。必须对平台进行重新编程以应对这些各种危险中的每一种是低效率的。

有必要抑制这种背景下的数据库调用负担，并且允许这些平台在各种危险之间重新聚焦，同时减少这种重新聚焦所需的编程工作。

发明内容