CN108476196B - 用于选择安全性减轻动作的方法、存储介质以及计算系统 - Google Patents
用于选择安全性减轻动作的方法、存储介质以及计算系统 Download PDFInfo
- Publication number
- CN108476196B CN108476196B CN201580084991.9A CN201580084991A CN108476196B CN 108476196 B CN108476196 B CN 108476196B CN 201580084991 A CN201580084991 A CN 201580084991A CN 108476196 B CN108476196 B CN 108476196B
- Authority
- CN
- China
- Prior art keywords
- security
- mitigation action
- security mitigation
- action
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Alarm Systems (AREA)
Abstract
本文公开的示例涉及基于设备使用来选择安全性减轻动作。在一个实现中,处理器基于与设备的使用相关的信息和与选择的安全性减轻动作相关联的相关联使用限制来选择用于设备的安全性减轻动作。处理器可以输出与选择的安全性减轻动作相关的信息。
Description
背景技术
安全性事件可以发生在用户设备上,并且可以执行安全性减轻动作来解决事件。例如,系统管理员可以接收关于针对网络中的设备的威胁的信息,并且响应于指示设备已经被损害的信息在用户的设备上发起动作。
附图说明
附图描述了示例实施例。以下详细描述参考附图,其中:
图1是图示基于设备使用来选择安全性减轻动作的计算系统的一个示例的框图。
图2是图示基于设备使用来选择安全性减轻动作的方法的一个示例的流程图。
图3是图示基于与不同设备相关联的设备使用来选择用于不同设备的不同安全性减轻动作的一个示例的图。
图4是图示基于设备使用来选择安全性减轻动作的一个示例的图。
具体实施方式
在一个实现中,自动化安全性减轻系统基于与设备在受安全性减轻响应影响的时间段期间如何被使用和/或计划被使用相关的信息来选择安全性减轻动作,并且在一些情况下选择安全性减轻工作流。例如,诸如连接到网络中的多个用户设备的服务器之类的处理器可以基于与设备的使用相关的信息和与所选择的安全性减轻动作相关联的关联使用限制来选择用于设备的安全性减轻动作。处理器可以输出与安全性减轻动作相关的信息,例如以发送或存储关于安全性减轻动作的信息,使得其可以在设备上执行。
基于设备使用自动地选择减轻动作的系统可以更好地平衡安全性兴趣与保持设备可用于高优先级使用的业务兴趣。例如,用户可以指示他正处于高优先级呈现的中间。安全性减轻系统可以选择在呈现期间执行例如防止事故的扩散和数据的丢失的第一减轻动作,使得用户不延迟所有安全性减轻动作,并且安全性减轻系统可以延迟会在该时间段期间干扰计划的设备使用的安全性减轻动作。
在一个实现中,安全性减轻系统基于设备使用自动地选择安全性减轻工作流。例如,小型或中型企业可能不具有附加的计算机来提供给用户以继续工作而同时在用户的设备上执行安全性减轻动作,并且安全性减轻工作流可以包括在业务时间期间执行第一安全性事故隔离动作以及在业务时间之后执行安全性事故解决动作。安全性减轻系统可以自动地选择被设计为提供用于设备使用的灵活性但具有安全性减轻约束的减轻动作,诸如在较小的时间窗口内提供灵活性但在较大的时间帧内执行特定动作而不管设备使用如何的情况下就是这样。允许用户提供关于优选使用权衡的信息可以另外使得用户更加意识到安全性关注。
图1是图示基于设备使用来选择安全性减轻动作的计算系统100的一个示例的框图。计算系统100可以用于基于设备使用自动地选择用于设备的安全性减轻动作。计算系统100包括处理器101、机器可读存储介质102和存储装置108。计算系统100可以被实现为与经历安全性事故的设备通信的服务器,或者计算系统100可以被实现为设备的部分(诸如在设备上运行、在设备上的管理程序内执行的代理的部分),或者允许计算系统100监视用户设备的任何其他实现。处理器101可以与向多个设备提供安全性减轻选项的服务器相关联,所述多个设备诸如是相同组织中的设备或预订由服务器提供的相同服务的设备。在一个实现中,由处理器101提供的功能与由处理器101监视的设备相关联。
存储装置108可以是与处理器101通信的任何合适的存储装置。存储装置108可以与包括处理器101的设备相关联,或者处理器101可以经由网络与存储装置108通信。处理器101可以访问存储装置108中的信息以选择用于设备的安全性减轻动作。存储装置108可以包括安全性减轻动作信息106和设备使用影响信息107。
安全性减轻动作信息106可以包括关于潜在安全性减轻动作的信息。安全性减轻动作信息106可以包括关于安全性减轻动作、可能由安全性减轻动作解决的安全性缺陷的类型、和/或安全性减轻动作的可能影响的信息。例如,安全性减轻动作可以与完全解决安全性事故的高可能性相关联,或者可以与临时减轻与安全性事故相关联的损坏相关联。安全性减轻动作可以与防止与检测到的安全性事件类似的未来的安全性事件相关,诸如与避免网络钓鱼计划或不打开附件的指令相关的安全性减轻动作。
设备使用影响信息107可以包括关于与安全性减轻动作相关联的设备使用影响的信息。设备使用影响信息107可以包括关于与执行特定安全性减轻动作相关联的对设备的限制和/或限制的时间段的信息。作为示例,安全性减轻动作可以与在两个小时时段内没有设备使用可用或在30分钟时段内有限的设备使用相关联。
处理器101可以是中央处理单元(CPU)、基于半导体的微处理器或适于检索和执行指令的任何其他设备。作为取出、解码和执行指令的替代或附加,处理器101可以包括一个或多个集成电路(IC)或可以包括其他包括用于执行下面描述的功能的多个电子组件的电子电路。下面描述的功能可以由多个处理器执行。
处理器101可以与机器可读存储介质102通信。机器可读存储介质102可以是任何合适的机器可读介质,诸如存储可执行指令或其他数据的电子、磁性、光学或其他物理存储设备(例如,硬盘驱动器、随机存取存储器、闪速存储器等)。机器可读存储介质102可以是例如计算机可读非暂时性介质。机器可读存储介质102可以包括设备使用请求指令103、安全性减轻动作选择指令104和安全性减轻动作执行指令105。
设备使用请求指令103可以包括确定关于在与安全性减轻动作相关联的时间段期间的可能的设备使用的信息的指令。处理器101可以诸如通过向用户发电子邮件或通过使得用户界面显示在用户设备上来向用户发送请求。所请求的信息可以包括例如对与优选时间帧或优选中断类型相关联的加权信息的请求,诸如在用户可以选择或排名时间帧或中断类型的情况下就是这样。所请求的信息可以相关于与设备使用相关联的用户信息,诸如在一段时间上的时间表或位置。
在一个实现中,处理器101诸如通过检查存储的日历或与设备的用户相关联的其他信息来自动地确定可能的使用信息。在一个实现中,请求相关于设备使用的上下文信息,诸如设备位置和/或联网信息。例如,可以在用户知道或不知道请求的情况下都从设备请求GPS坐标信息。例如,设备可以与允许设备将位置信息返回给计算系统100的隐私简档相关联。
安全性减轻动作选择指令104可以包括用于使处理器101基于与存储的设备使用影响信息107相比较的、对关于设备使用的请求的接收到的响应来自动地选择安全性减轻动作的指令。例如,安全性减轻动作选择指令104可以包括从安全性减轻动作信息106中选择安全性减轻动作的子集的指令,其中子集与特定类型的安全性事故相关。可以基于对设备使用请求的响应与设备使用影响信息107相比的比较来选择安全性减轻动作。例如,与安全性事故的类型相关联的安全性减轻动作可以基于对可容忍的设备使用限制的类型的适用性来排名。
在一个实现中,可以考虑关于设备使用的上下文信息。例如,设备使用可能在安全性事故正被寻址到的时段期间改变。例如,当前的设备位置(诸如无论在美国还是中国、无论在办公室还是在公共网络)都可能影响选择哪种安全性减轻动作。上下文信息可以包括关于可用带宽量和/或带宽成本的信息。在一个实现中,当检测到使用上下文中的改变时,选择更新的安全性减轻动作。在一个实现中,用户可以提供更新的使用信息,诸如在正从事高优先级任务的情况下就是如此,并且可以相应地更新安全性减轻动作。
在一个实现中,附加信息被确定为与安全性减轻动作相关联,诸如截止期限。例如,可以基于安全性事故的严重程度来确定截止期限。处理器101可以使得安全性动作自动地执行,如果在截止期限之前没有以其他方式执行的话就是这样。例如,安全性减轻动作可以与截止期限一起呈现给用户。用户可以选择更早地执行动作,诸如在用户在更接近截止期限的更晚点处在设备上具有呈现的情况下就是如此。然而,如果安全性减轻动作未在截止期限之前执行,则动作可以自动地执行。在一个实现中,如果选择的动作未在截止期限之前执行,则安全性减轻系统使得不同的安全性减轻动作得以执行。例如,如果选择的减轻动作未在截止期限之前执行,则可以锁定设备。
在一个实现中,选择安全性减轻工作流。工作流可以被初始选择并且基于在执行第一安全性减轻动作之后发生的测试而被更新。工作流可以包括来自安全性减轻动作信息106的、要在第一安全性减轻动作之后执行的第二选择的安全性减轻动作。第二安全性减轻动作可以被选择为随后的减轻动作,所述选择诸如基于与执行的更多时间量相关联、与对设备的更繁重的中断相关联、和/或与解决安全性事故中的成功的更高可能性相关联。在一个实现中,选择第一安全性减轻动作以限制安全性事故的影响同时根据接收到的信息限制设备使用约束,并且第二安全性减轻动作基于与更少约束相关联的时间帧来选择并且与解决事故的更高可能性相关联。例如,第一安全性减轻动作可以与防止来自设备的命令到达命令和控制中心相关联,并且第二安全性减轻动作可以涉及对设备重映像(reimage)。
安全性减轻动作执行指令105包括使得选择的安全性减轻动作在设备上执行的指令。处理器可以发送、存储和/或显示关于选择的安全性减轻动作的信息。例如,处理器101可以发送关于减轻动作的信息以使得其由设备执行,处理器101可以自身发起动作,和/或处理器101可以将关于选择的安全性减轻动作的信息发送给诸如路由器的另一个设备来执行。
图2是图示基于设备使用来选择安全性减轻动作的方法的一个示例的流程图。例如,处理器可以考虑安全性事故和计划的设备使用来选择解决设备上的安全性事故的安全性减轻动作。可以选择安全性减轻动作来提供更大的灵活性并平衡安全性和业务生产率关注。方法可以例如通过诸如图1的计算系统100之类的安全性减轻系统来实现。方法可以由用于管理远程设备上的安全性响应的服务器来实现,和/或方法可以在其上管理安全性响应(诸如在安全性责任由设备管理程序管理的情况下)的设备上实现。
开始于200处,安全性减轻系统检测设备上的安全性事件的发生。安全性事件可以是任何适合的安全性事件,诸如拒绝服务攻击或感染。安全性减轻系统可以以任何合适的方式检测安全性事件。安全性减轻系统可以监视设备并检测事件,和/或安全性减轻系统可以从设备或另一设备接收指示设备被损害的信息。例如,运行在设备上或设备上的管理程序上的代理可以检测设备上的安全性事件并将信息传达给安全性减轻系统。在一个实现中,安全性减轻系统接收关于与网络相关的安全性事件的信息,并且网络上的设备与安全性事件相关联。在一个实现中,基于设备外部的信息(诸如基于指示设备正在与命令和控制中心进行通信的、来自设备的业务)在设备上检测安全性事件。
继续到201,安全性减轻系统发送与设备的使用相关的请求。安全性减轻系统可以以任何合适的方式发送请求,所述任何合适的方式诸如经由电子邮件、SMS和/或经由web界面提供信息的请求。安全性减轻系统可以将请求发送给设备、发送给与设备相关联的用户、或者发送给存储与设备的用户相关联的信息的第二设备。在一个实现中,发送请求包括请求与设备使用相关联的存储的信息,诸如日历信息。请求可以与关联于设备使用的情况相关,诸如设备的位置和设备连接到的网络的类型。请求可以与设备上发生的活动的类型或针对限制的类型的用户偏好相关。在一个实现中,请求包括关于潜在响应及其对设备使用的影响的信息。例如,用户可以基于指示相关联设备限制的信息来对潜在响应进行排名。
在一个实现中,发送请求使得用户界面被显示以接收与设备使用相关的输入。输入可以例如与如下内容相关:与关联于安全性减轻动作的设备使用限制相关的偏好、设备上的当前活动的优先级、和/或在与安全性减轻动作相关联的时间段期间的设备的即将到来的计划活动。安全性减轻系统可以响应于用户从电子邮件或其他源启动用户界面而使得用户界面显示在设备上和/或使得用户界面显示在设备或另一设备(诸如与同一用户相关联的不同设备)上。在一个实现中,安全性减轻系统以允许用户更新状态的方式(诸如通过发送随后的电子邮件或通过允许用户登录回到站点中)提供请求。例如,在用户响应于初始请求后可能出现紧急任务。
继续到202,安全性减轻系统基于对请求的响应以及与选择的安全性减轻动作相关联的对设备使用的影响来为检测到的安全性事件选择安全性减轻动作。例如,可以选择安全性减轻动作来平衡解决安全性事件中的安全性关注与具有设备访问的用户关注。选择还可以基于使用情况,诸如设备正在哪个国家中使用。在一个实现中,可以不接收对针对设备信息的请求的响应,诸如因为用户选择不响应或者因为与设备的通信不成功。当没有接收到与设备使用信息相关的响应时,安全性减轻系统可以选择默认动作。安全性减轻系统可以自动地使得一些安全性减轻动作得以执行,并且可以为可能干扰设备使用的安全性减轻动作的子集使用设备信息和选择过程。在一个实现中,关于选择的安全性减轻动作的信息可以被提供给可以更改或升级选择的管理员。
减轻动作可以是任何合适的减轻动作。示例包括传送给用户的警告或与设备相关地采取的动作。例如,安全性减轻动作可以包括添加阻止业务到可疑地址或域的防火墙规则,移除可疑证书授权中心证书,警告用户不要使用USB棒,警告用户不要与同事交换数据,运行经批准的清理脚本,和/或对设备重映像。安全性动作可以与解决安全性事件或防止关于检测到的潜在安全性事件的进一步问题相关。
在一个实现中,安全性减轻系统选择截止期限来与安全性减轻动作相关联。截止期限可以是安全性减轻动作自动地发起的时间、或者如果没有以其他方式完成则是安全性减轻动作发起的时间。例如,安全性减轻系统可以向用户提供灵活的时间帧,使得用户可以选择何时发起安全性减轻动作,只要在截止期限之前发起它就行。截止期限可以基于用户偏好、安全性减轻动作解决事故的可能性、和/或设备使用的上下文信息来确定。例如,在安全性动作不太可能解决事故的情况下,截止期限可以更早地发生,以使得更迫切的安全性减轻动作可以更早地发生。作为另一个示例,在设备在外国的情况下,截止期限可以被设置得更早。
在一个实现中,安全性减轻系统接收来自管理员的与可接受风险和设备使用与安全性关注的平衡相关的输入。例如,在使得更激烈的安全性减轻动作得以执行之前,不同的实体对于允许设备的使用的时间量具有不同容限。安全性减轻系统可以访问存储的风险偏好信息并使用所述信息来选择安全性减轻动作。例如,安全性减轻系统可以针对与具有不同风险简档的不同实体相关联的设备不同地选择安全性减轻动作。在一个实现中,存在基于用户的角色接受的不同类型的响应或风险,诸如在对与销售角色中的用户相关联的设备的关注可能与将安全性事故扩散到客户设备相关情况下和在对与执行角色中的用户相关联的设备的关注可能与防止机密数据的泄露相关的情况下就是如此。安全性减轻系统可以部分地基于用户角色信息来选择安全性减轻动作。
在一个实现中,安全性减轻系统针对不同的实体或角色使用不同的工作流。在一个实现中,安全性减轻系统使用决策树或其他数据结构来选择安全性减轻动作,其中决策树考虑关于设备和/或用户的信息以确定关联于与设备使用相关的一种类型的响应的安全性减轻动作。例如,在与决策树相关联的其他因素(诸如用户角色)不同的情况下,选择的安全性减轻动作对于相同的设备使用响应可能不同。在一个实现中,用户角色信息与对设备使用信息的响应相关联,诸如其中响应包括用户提供的关于时间表的信息以及对与用户部门(department)相关的自动化数据库查询的响应。
在一个实现中,安全性减轻系统选择安全性减轻工作流。工作流可以被初始选择,或者可以响应于先前的安全性减轻动作的结果和/或基于在先前的安全性减轻动作之后发生的设备使用或情况中的改变而被顺序地选择。工作流可以被选择为提供响应中的灵活性,诸如延迟或避免与更大的设备使用限制相关联的安全性减轻动作。在一个实现中,第一安全性减轻动作与第一截止期限相关联,并且第二安全性减轻动作与第二更晚的截止期限相关联,并且第二安全性减轻动作与解决安全性事件的更高可能性相关联。例如,可以执行测试以确定在第一安全性减轻动作之后的设备的状态,并且如果状态指示在执行第一安全性减轻动作之后解决了安全性事件,则可以避免第二安全性减轻动作。
在一个实现中,选择第一安全性减轻动作来限制安全性事件的影响以在执行解决安全性事件的第二安全性减轻动作以前提供更大的时间量,诸如其中第一安全性减轻动作是立即阻止与命令和控制中心的通信,并且第二安全性减轻动作是在五个小时内对设备重映像。在一个实现中,根据在执行第一安全性减轻动作之后的状态结果来选择不同的第二安全性减轻动作或不同的截止期限。作为示例,如果AV扫描发现感染和隔离,则可以将第二安全性减轻从对系统重映像更新为运行经批准的清理脚本的更小侵入性响应。
安全性减轻系统可以继续选择附加的安全性减轻动作,诸如直到设备状态信息指示安全性事件被解决和/或从管理员接收到指示安全性事件被关闭的信息。安全性减轻系统可以在选择用于工作流的附加安全性减轻动作之前和/或周期性地发送对设备信息的附加请求,直到解决安全性事件为止。在一个实现中,安全性减轻系统基于更新的设备信息来更新选择的安全性减轻动作。例如,安全性减轻系统可以接收关于计划使用的更新信息,诸如用户具有非预期空闲时间或非预期截止期限或设备使用情况从工作网络变为公共网络。
继续到203,安全性减轻系统使得在设备上执行选择的安全性减轻动作。安全性减轻系统可以使得以任何合适的方式执行安全性减轻动作。安全性减轻系统可以确定何时使得安全性减轻动作得以执行。例如,安全性减轻系统可以使得安全性减轻动作诸如在与动作相关联的截止期限之前在由用户接受的时间之时得以执行,或者如果尚未执行安全性减轻动作则在所确立的截止期限时使得安全性减轻动作得以执行。
安全性减轻系统可以输出关于选择的信息,使得另一设备执行动作。例如,安全性减轻系统可以显示、发送和/或存储关于要由安全性减轻系统、由受影响的设备或由另一个设备执行的选择的安全性减轻动作的信息。在一个实现中,可以手动地执行一些方面,诸如在动作涉及用户首先保存或重启的情况下或者在由支持工程师手动地发起重映像的情况下就是如此。安全性减轻系统可以执行安全性减轻动作以在截止期限时执行和/或向另一个设备发送关于选择的动作和截止期限的信息以由该另一个设备在截止期限内发起。
在一个实现中,安全性减轻动作由设备自身执行,诸如在安全性减轻动作涉及改变操作系统配置或更新本地防火墙规则的情况下就是如此。作为另一个示例,可以从设备上的管理程序执行安全性减轻动作,诸如在安全性减轻动作与阻塞设备上的USB端口相关的情况下就是如此。安全性减轻动作可以由网络中的另一个设备执行,诸如在网络交换机将设备移动到隔离的VLAN或者强制实行附加的防火墙规则的情况下就是如此。在一个实现中,执行取决于关于是远程地执行还是由设备自身执行的安全性减轻动作的类型。
在一个实现中,安全性减轻系统可以使得安全性减轻动作得以执行,然后使安全性减轻动作倒退。例如,在接收到指示安全性事故是失误警报的附加信息的情况下,安全性减轻系统可以使安全性减轻动作回滚。安全性减轻系统可以使第一安全性减轻动作倒退并且基于来自设备和/或用户的与第一安全性减轻动作的影响相关的响应而选择第二安全性减轻动作。作为示例,安全性事故可以与授权的证书列表中的特定自签名证书的存在相关联,并且安全性减轻动作可以涉及移除该特定证书。用户和/或设备可以向安全性减轻系统提供指示在移除证书之后设备不再能够连接到EDI系统的信息。当证书的副本从设备移除时安全性减轻系统可以保存证书的副本,并且响应于与安全性减轻动作相关联的非预期使用限制而替换证书。
图3是图示基于与不同设备相关联的设备使用来选择用于不同设备的不同安全性减轻动作的一个示例的图。框300示出潜在的安全性减轻动作和与安全性减轻动作相关联的信息的列表。例如,存在响应于安全性事故的三种潜在的动作、解决的可能性、以及关于使用影响的信息。信息可以是比较性的或更具体的,诸如低的设备限制或导致稍微更慢的设备响应但允许完全使用的设备限制。
可以检测到安全性事故,并且可以针对受安全性事故影响的网络中的设备A和B选择减轻动作。框301示出与设备A使用相关的接收到的信息。例如,设备A的用户可以将信息输入到用户界面中。与设备A相关的信息指示由于用户不处于重要任务的中间所以在选择的安全性减轻动作中可能存在一些灵活性。用户不具有可用的备用设备。框302示出与设备B使用相关的接收到的信息。框302中的信息指示用户正处于高优先级任务的中间,但用户具有可用的备用设备。
框303和304示出关于针对设备A和设备B的对安全性事件的选择的减轻动作的信息。选择的动作和定时截止期限可以取决于与设备使用相关的接收到的信息而不同。例如,框303示出选择的安全性减轻工作流包括快速启动的第一动作和在业务时间之后启动的第二动作。由于如下事实:用户不处于不可以被中断的高优先级任务的中间并且由于缺少替代设备更侵入性安全性减轻动作可能阻止用户执行常规业务,而可以选择工作流。第一安全性减轻动作与成功的中等可能性相关联,第二安全性减轻动作与成功的高可能性相关联。然而,第二安全性减轻动作也与更大的设备限制相关联,并且其被选择为要在第一动作失败的情况下执行并且要在与较少的用户不便性相关联的稍后时间处执行的第二动作。
框304示出与针对设备A相比针对设备B选择不同的安全性减轻工作流。例如,由于与设备使用相关的信息,初始动作被延迟30分钟。然而,与针对设备A相比更早地发起更多的限制动作。可能存在合理地更早(sooner as reasonable)发起动作的偏好,以避免由于用户在30分钟延迟之后具有了较少冲突的事实而导致的附加安全性问题。工作流包括三个动作:要在30分钟内发生的添加防火墙规则的安全性减轻动作、要在稍后更方便的时间处发生的运行清理脚本的第二安全性减轻动作、以及要在先前的安全性减轻动作不成功的情况下最后执行的对设备重映像的更繁重的动作。自动地选择不同的工作流以平衡不同的用户设备使用关注与安全性减轻关注。
图4是图示基于设备使用来选择安全性减轻动作的一个示例的图。例如,与设备相关联的时间线400示出了关于与安全性事件相关联的设备所采取的动作,并且与安全性减轻系统相关的时间线401示出了由处理器采取以减轻与设备相关联的安全性事故的动作。用户设备可以是任何合适的设备,诸如膝上型电脑或移动电话。安全性减轻系统可以是任何合适的安全性减轻系统。在一个实现中,安全性减轻系统被设计为减轻跨多个设备的安全性事故。安全性减轻系统可以与为多个实体提供IT服务和安全性减轻的服务相关联。
开始于402处,安全性减轻系统检测到设备A上的安全性事件X。安全性事件X可以是例如检测到来自与命令和控制中心通信的用户设备的业务。安全性减轻系统可以以任何合适的方式(诸如基于用户设备A的分析、基于来自用户设备A的通知、和/或基于来自另一个设备的通知)检测事件X。
继续到403,安全性减轻系统向用户设备A发送与用户设备A的使用相关的请求。诸如基于与关联于特定安全性事故的一组减轻动作相关联的限制,所述请求可以针对特定安全性事故调整。
继续到404,在用户设备A上显示用户界面以请求关于设备使用的信息。用户界面可以自动地显示或可以在从电子邮件或其他通信选择时显示。继续到405,与用户设备A相关联的用户可以提供指示设备将在接下来的30分钟内在呈现中被使用的信息。
继续到406,安全性减轻系统基于与用户设备A的使用相关的接收到的信息来选择减轻动作。安全性减轻系统选择要在接下来的5分钟内执行的减轻动作1以及要在35分钟内执行的与设备重启相关联的减轻动作2。安全性减轻系统将关于减轻动作选择的信息发送给用户设备A。
继续到407,用户设备A显示提供关于选择的减轻动作和截止期限的信息的用户界面。信息可以被显示成使得用户可以在截止期限之前在所提供的窗口内选择更方便的时间(如果需要的话)。继续到408,用户可以选择在5分钟截止期限之前在3分钟处执行减轻动作1。继续到409,安全性减轻系统可以检测到减轻动作2在35分钟截止期限内未被执行并且使得减轻动作2被自动地执行。继续到410,用户设备A执行减轻动作2。安全性减轻系统以符合用户设备使用偏好的方式选择减轻动作和相关联的截止期限,同时确保安全性策略被满足。
Claims (10)
1.一种计算系统,包括:
存储装置,用于存储:
关于安全性减轻动作的信息,其中安全性减轻动作分别与安全性事件相关联;
关于分别与安全性减轻动作相关联的对设备使用的影响的信息;和
处理器,用于:
请求关于与检测到的安全性事件相关联的设备的计划使用的信息;
从存储的安全性减轻动作中选择第一安全性减轻动作,
其中选择的第一安全性减轻动作与检测到的安全性事件相关联,并且
其中选择是基于响应于请求而接收到的信息与关联于选择的第一安全性减轻动作的存储的设备使用影响信息的比较;和
使得选择的第一安全性减轻动作在设备上执行;
其中处理器还用于从存储的安全性减轻动作中选择要在选择的第一安全性减轻动作之后执行的第二安全性减轻动作;
其中选择的第一安全性减轻动作与限制安全性事件的影响相关联并且与解决安全性事件成功的中等可能性相关联,并且第二安全性减轻动作与解决安全性事件成功的更高可能性相关联。
2.根据权利要求1所述的计算系统,其中,第二安全性减轻动作与选择的第一安全性减轻动作相比时是以下中的至少一项:与执行的更大时间量相关联、与对设备的更繁重的中断相关联、和与解决安全性事件中的成功的更高可能性相关联。
3.根据权利要求1所述的计算系统,其中,处理器还用于:确定与选择的安全性减轻动作相关联的截止期限;并且其中处理器还用于如果在截止期限之前没有以其他方式执行则使得安全性减轻动作被自动地执行。
4.根据权利要求1所述的计算系统,其中,请求关于计划使用的信息包括使得用户界面被显示以接收与以下中的至少一个相关的信息:用于设备上的安全性减轻动作的时间帧偏好信息和与安全性减轻动作相关联的设备中断类型偏好。
5.一种用于选择安全性减轻动作的方法,包括:
检测设备上的安全性事件的发生;
发送与设备的使用相关的请求;
基于对请求的响应以及与选择的安全性减轻动作相关联的对设备使用的影响来选择针对检测到的安全性事件的安全性减轻动作;和
使得选择的安全性减轻动作在设备上执行;
其中选择安全性减轻动作包括选择安全性减轻动作工作流,所述安全性减轻动作工作流包括具有第一截止期限的第一安全性减轻动作和具有第二更晚的截止期限的第二安全性减轻动作,其中第二安全性减轻动作与解决安全性事件成功的更高可能性相关联;并且其中第一安全性减轻动作与限制安全性事件的影响相关联并且与解决安全性事件成功的中等可能性相关联。
6.根据权利要求5所述的方法,其中,发送请求包括使得用户界面被显示以接收与以下中的至少一个相关的输入:与关联于安全性减轻动作的设备使用限制相关的偏好、设备上的当前活动的优先级、以及在与安全性减轻动作相关联的时间段期间的针对设备的即将到来的计划活动。
7.根据权利要求5所述的方法,其中,发送请求包括以下中的至少一个:请求与计划的设备使用相关联的所存储的信息、请求设备使用位置信息、以及请求设备使用联网信息。
8.根据权利要求5所述的方法,其中,使得安全性减轻动作在设备上执行包括使得安全性减轻动作在以下中的至少一个时被执行:在截止期限之前在由用户接受时的时间和如果尚未执行则在截止期限时。
9.一种具有指令的机器可读非暂时性存储介质,所述指令可由处理器执行以:
基于与设备的使用相关的信息以及与选择的安全性减轻动作相关联的相关联使用限制来选择用于设备的安全性减轻动作;和
输出与选择的安全性减轻动作相关的信息;
其中,选择安全性减轻动作的指令包括指令,用于:
选择与第一截止期限相关联的第一安全性减轻动作和与第二更晚的截止期限相关联的第二安全性减轻动作;和
在执行第一安全性减轻动作之后基于设备状态来确定执行第二安全性减轻动作;
其中第一安全性减轻动作与限制安全性事件的影响相关联并且与解决安全性事件成功的中等可能性相关联,并且第二安全性减轻动作与解决安全性事件成功的更高可能性相关联。
10.根据权利要求9所述的机器可读非暂时性存储介质,还包括使得用户界面被显示以接收与以下中的至少一个的优先次序相关的信息的指令:安全性减轻动作的定时和与安全性减轻动作相关联的设备限制的类型。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2015/063014 WO2017095380A1 (en) | 2015-11-30 | 2015-11-30 | Security mitigation action selection based on device usage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108476196A CN108476196A (zh) | 2018-08-31 |
| CN108476196B true CN108476196B (zh) | 2021-08-20 |
Family
ID=58797653
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580084991.9A Active CN108476196B (zh) | 2015-11-30 | 2015-11-30 | 用于选择安全性减轻动作的方法、存储介质以及计算系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10867037B2 (zh) |
| EP (1) | EP3384652B1 (zh) |
| CN (1) | CN108476196B (zh) |
| WO (1) | WO2017095380A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10691796B1 (en) | 2017-05-11 | 2020-06-23 | Ca, Inc. | Prioritizing security risks for a computer system based on historical events collected from the computer system environment |
| US11438373B2 (en) | 2020-01-09 | 2022-09-06 | Cymulate Ltd. | Monitoring for security threats from lateral movements |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056210A (zh) * | 2007-06-05 | 2007-10-17 | 网御神州科技(北京)有限公司 | 一种网络集中管理平台上的事件处理系统和方法 |
| CN102710598A (zh) * | 2011-04-19 | 2012-10-03 | 卡巴斯基实验室封闭式股份公司 | 用于减小计算机网络中的安全风险的系统和方法 |
| CN103020511A (zh) * | 2011-09-23 | 2013-04-03 | 三星Sds株式会社 | 移动装置管理设备和方法以及管理服务器 |
| US8495747B1 (en) * | 2010-03-31 | 2013-07-23 | Mcafee, Inc. | Prioritizing asset remediations |
| US8646031B2 (en) * | 2010-12-16 | 2014-02-04 | Tufin Software Technologies Ltd | Method of generating security rule-set and system thereof |
| CN104253820A (zh) * | 2014-10-16 | 2014-12-31 | 北京邮电大学 | 软件定义网安全控制系统和控制方法 |
| CN104468161A (zh) * | 2013-09-17 | 2015-03-25 | 中国移动通信集团设计院有限公司 | 一种防火墙规则集的配置方法、装置及防火墙 |
| CN104486292A (zh) * | 2014-11-24 | 2015-04-01 | 东软集团股份有限公司 | 一种企业资源安全访问的控制方法、装置及系统 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7373659B1 (en) * | 2001-12-20 | 2008-05-13 | Mcafee, Inc. | System, method and computer program product for applying prioritized security policies with predetermined limitations |
| US6952779B1 (en) | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| US7493650B2 (en) | 2003-07-01 | 2009-02-17 | Portauthority Technologies Inc. | Apparatus and method for ensuring compliance with a distribution policy |
| US7519996B2 (en) | 2003-08-25 | 2009-04-14 | Hewlett-Packard Development Company, L.P. | Security intrusion mitigation system and method |
| US9407662B2 (en) * | 2005-12-29 | 2016-08-02 | Nextlabs, Inc. | Analyzing activity data of an information management system |
| US7461036B2 (en) | 2006-01-18 | 2008-12-02 | International Business Machines Corporation | Method for controlling risk in a computer security artificial neural network expert system |
| WO2007134448A1 (en) | 2006-05-18 | 2007-11-29 | Research In Motion Limited | Automatic security action invocation for mobile communications device |
| WO2007146437A2 (en) * | 2006-06-14 | 2007-12-21 | Agent Science Technologies, Inc. | User authentication system |
| US9916481B2 (en) * | 2008-04-02 | 2018-03-13 | Yougetitback Limited | Systems and methods for mitigating the unauthorized use of a device |
| US8375453B2 (en) * | 2008-05-21 | 2013-02-12 | At&T Intellectual Property I, Lp | Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network |
| WO2009151459A1 (en) * | 2008-06-13 | 2009-12-17 | Hewlett-Packard Development Company, L.P. | Hierarchical policy management |
| US20100095365A1 (en) * | 2008-10-14 | 2010-04-15 | Wei-Chiang Hsu | Self-setting security system and method for guarding against unauthorized access to data and preventing malicious attacks |
| KR20120057066A (ko) | 2010-11-26 | 2012-06-05 | 한국전자통신연구원 | 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치 |
| US8776241B2 (en) | 2011-08-29 | 2014-07-08 | Kaspersky Lab Zao | Automatic analysis of security related incidents in computer networks |
| WO2013177311A1 (en) | 2012-05-23 | 2013-11-28 | Observable Networks, Llc | System and method for continuous device profiling (cdp) |
| US9208325B2 (en) * | 2012-07-26 | 2015-12-08 | International Business Machines Corporation | Protecting data on a mobile device |
| US8782784B1 (en) | 2012-09-25 | 2014-07-15 | Emc Corporation | Framework for implementing security incident and event management in an enterprise |
| US20140136242A1 (en) * | 2012-11-12 | 2014-05-15 | State Farm Mutual Automobile Insurance Company | Home sensor data gathering for insurance rating purposes |
| US20140380475A1 (en) * | 2013-06-25 | 2014-12-25 | International Business Machines Corporation | User centric fraud detection |
| EP3053298B1 (en) | 2013-10-03 | 2023-03-29 | FireEye Security Holdings US LLC | Dynamic adaptive defense for cyber-security threats |
| US20150237062A1 (en) | 2014-02-14 | 2015-08-20 | Risk I/O, Inc. | Risk Meter For Vulnerable Computing Devices |
| RU2581559C2 (ru) * | 2014-08-01 | 2016-04-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ применения политик безопасности к накопителю в сети |
| US10944764B2 (en) * | 2015-02-13 | 2021-03-09 | Fisher-Rosemount Systems, Inc. | Security event detection through virtual machine introspection |
| CN107409126B (zh) * | 2015-02-24 | 2021-03-09 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
| US10002242B2 (en) * | 2015-08-17 | 2018-06-19 | Qualcomm Incorporated | Electronic device access control using biometric technologies |
-
2015
- 2015-11-30 EP EP15909898.7A patent/EP3384652B1/en active Active
- 2015-11-30 US US15/764,484 patent/US10867037B2/en active Active
- 2015-11-30 CN CN201580084991.9A patent/CN108476196B/zh active Active
- 2015-11-30 WO PCT/US2015/063014 patent/WO2017095380A1/en active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056210A (zh) * | 2007-06-05 | 2007-10-17 | 网御神州科技(北京)有限公司 | 一种网络集中管理平台上的事件处理系统和方法 |
| US8495747B1 (en) * | 2010-03-31 | 2013-07-23 | Mcafee, Inc. | Prioritizing asset remediations |
| US8646031B2 (en) * | 2010-12-16 | 2014-02-04 | Tufin Software Technologies Ltd | Method of generating security rule-set and system thereof |
| CN102710598A (zh) * | 2011-04-19 | 2012-10-03 | 卡巴斯基实验室封闭式股份公司 | 用于减小计算机网络中的安全风险的系统和方法 |
| CN103020511A (zh) * | 2011-09-23 | 2013-04-03 | 三星Sds株式会社 | 移动装置管理设备和方法以及管理服务器 |
| CN104468161A (zh) * | 2013-09-17 | 2015-03-25 | 中国移动通信集团设计院有限公司 | 一种防火墙规则集的配置方法、装置及防火墙 |
| CN104253820A (zh) * | 2014-10-16 | 2014-12-31 | 北京邮电大学 | 软件定义网安全控制系统和控制方法 |
| CN104486292A (zh) * | 2014-11-24 | 2015-04-01 | 东软集团股份有限公司 | 一种企业资源安全访问的控制方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3384652A4 (en) | 2019-04-10 |
| CN108476196A (zh) | 2018-08-31 |
| WO2017095380A1 (en) | 2017-06-08 |
| EP3384652B1 (en) | 2021-08-11 |
| US10867037B2 (en) | 2020-12-15 |
| US20180276377A1 (en) | 2018-09-27 |
| EP3384652A1 (en) | 2018-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10797965B2 (en) | Dynamically selecting or creating a policy to throttle a portion of telemetry data | |
| US10831466B2 (en) | Automatic patch management | |
| US9755990B2 (en) | Automated reconfiguration of shared network resources | |
| JP2022171958A (ja) | モバイルデバイスサポートサービスを提供するためのシステム、方法、装置、および非一時的コンピュータ可読記憶媒体 | |
| US10944794B2 (en) | Real-time policy selection and deployment based on changes in context | |
| JP2020109974A (ja) | モバイル機器サポートサービスを提供するためのシステム、方法、装置、およびコンピュータプログラム製品 | |
| CN108369544B (zh) | 计算系统中延期的服务器恢复方法和设备 | |
| US10491632B1 (en) | Methods for reducing compliance violations in mobile application management environments and devices thereof | |
| US20180083889A1 (en) | Systems and methodologies for defining and scheduling custom actions as cloud operations | |
| US8549639B2 (en) | Method and apparatus for diagnosing and mitigating malicious events in a communication network | |
| US11265351B2 (en) | Dynamic policy creation based on user or system behavior | |
| US20180131583A1 (en) | Automatic provisioning of cloud services | |
| US20130007245A1 (en) | Rules based actions for mobile device management | |
| US20110302332A1 (en) | Method of monitoring device forming information processing system, information apparatus and information processing system | |
| US11467915B2 (en) | System and method for backup scheduling using prediction models | |
| US11477227B1 (en) | Enterprise security measures | |
| US20150261658A1 (en) | Scheduling tests of software for a cloud computing environment | |
| JP2009521746A (ja) | プログラム実行サービスウィンドウ | |
| US20210105251A1 (en) | Ip address access based on security level and access history | |
| US20110302655A1 (en) | Anti-virus application and method | |
| US20180316711A1 (en) | Personalized threat protection | |
| US20200092165A1 (en) | Honeypot asset cloning | |
| CN108476196B (zh) | 用于选择安全性减轻动作的方法、存储介质以及计算系统 | |
| US20190333038A1 (en) | Basic input/output system (bios) credential management | |
| US11036518B1 (en) | Automated management of scheduling a computer hardware reboot |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |