CN110476167B - 基于上下文的计算机安全风险缓解的系统和方法 - Google Patents
基于上下文的计算机安全风险缓解的系统和方法 Download PDFInfo
- Publication number
- CN110476167B CN110476167B CN201880020576.0A CN201880020576A CN110476167B CN 110476167 B CN110476167 B CN 110476167B CN 201880020576 A CN201880020576 A CN 201880020576A CN 110476167 B CN110476167 B CN 110476167B
- Authority
- CN
- China
- Prior art keywords
- user
- computing device
- privilege
- processor
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 50
- 238000013349 risk mitigation Methods 0.000 title description 3
- 238000012502 risk assessment Methods 0.000 claims abstract description 111
- 230000000116 mitigating effect Effects 0.000 claims description 146
- 230000004044 response Effects 0.000 claims description 38
- 238000004891 communication Methods 0.000 claims description 26
- 230000008859 change Effects 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 69
- 239000003795 chemical substances by application Substances 0.000 description 32
- 238000010586 diagram Methods 0.000 description 14
- 230000009471 action Effects 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 9
- 238000013459 approach Methods 0.000 description 8
- 230000001010 compromised effect Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000006855 networking Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000010979 ruby Substances 0.000 description 2
- 229910001750 ruby Inorganic materials 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005401 electroluminescence Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种装置包括可操作地耦合到存储器的处理器。处理器接收包括第一用户特权标准和第一设备标准的第一组风险评定规则。第一设备标准包括计算设备补丁级别、网络类型和/或密码策略。处理器基于第一组风险评定规则识别用户特定安全风险,并且基于用户特定安全风险应用特权缓解措施,而不与管理服务器通信。处理器稍后在计算设备处接收第二组更新后的风险评定规则。在检测到用户的另一次登录时,处理器基于更新后的这组风险评定规则识别更新后的用户特定安全风险,并且基于更新后的用户特定安全风险应用修改的特权缓解措施,同样不与管理服务器通信。
Description
相关申请的交叉引用
本申请要求于2017年2月27日提交的标题为“Systems and Methods forContext-Based Privilege Mitigation”的美国临时专利申请No.62/464152的权益,该申请的全部内容通过引用整体并入本文。
技术领域
本公开总体上涉及计算机和计算机相关的技术。更具体而言,本公开涉及用于基于上下文的计算机安全风险缓解的系统和方法。
背景技术
电子设备的使用在现代社会中已变得越来越普遍。随着电子设备的成本下降,并且随着电子设备的有用性增加,人们正在将它们用于各种各样的目的。例如,许多人使用电子设备来执行工作任务以及寻求娱乐。一种类型的电子设备是计算机。
计算机技术继续快速发展。通常使用的计算机包括从手持计算设备到大型多处理器计算机系统的所有设备。这些计算机包括软件(诸如包括用户界面的应用)以使这些计算机对最终用户有用和可访问。计算机越来越多地通过网络与其它计算机链接。随着计算机技术的扩展,网络的规模不断扩大。网络可以将相距很远的计算机链接在一起。
网络涉及的挑战之一是提供计算机安全性。例如,恶意实体可能试图破坏计算设备以获得对计算设备或其网络上的敏感信息的访问。计算设备可能受到危害的一种方式是利用用户的特权(privilege)级别。具有提升的特权级别的用户可以具有更多的对计算设备或网络上的资源的访问权限。
因此,需要用于主动管理计算机账户使用和相关联的特权级别以减轻安全风险的系统和方法。
发明内容
一种装置包括可操作地耦合到存储器的处理器。处理器接收包括第一用户特权标准和第一设备标准的第一组风险评定规则。第一设备标准包括计算设备补丁(patch)级别、网络类型和/或密码策略。处理器基于第一组风险评定规则识别用户特定安全风险,并且基于用户特定安全风险应用特权缓解措施,而不与管理服务器通信。处理器稍后在计算设备处接收第二组更新后的风险评定规则。在检测到用户的另一次登录时,处理器基于更新后的这组风险评定规则识别更新后的用户特定安全风险,并且基于更新后的用户特定安全风险应用修改的特权缓解措施,同样不与管理服务器通信。
附图说明
图1A是图示了根据实施例的用于基于上下文的特权缓解的联网系统的框图。
图1B是图示了根据实施例的用于基于上下文的特权缓解的方法的流程图。
图2是图示了根据另一实施例的用于基于上下文的特权缓解的方法的流程图。
图3是图示了根据另一个实施例的用于基于上下文的特权缓解的方法的流程图,该方法包括检测有漏洞的(vulnerable)软件应用。
图4是图示了根据另一个实施例的用于基于上下文的特权缓解的方法的流程图,该方法包括检测计算设备在公共网络上。
图5是图示了根据另一个实施例的用于基于上下文的特权缓解的方法的流程图,该方法包括检测组策略违反。
图6是图示了根据实施例的可以被包括在风险评定规则中的各种风险标准的框图。
图7是图示了根据实施例的用于基于上下文的特权缓解的联网系统的框图。
图8图示了根据实施例的用于基于上下文的特权缓解的计算设备的框图。
具体实施方式
本公开的方法和装置有助于在个性化用户的基础上管理计算机系统漏洞(vulnerability)。响应于检测到用户正在使用计算设备的上下文的变化,可以动态地(“立即”)确定和实现对计算设备的用户许可或特权的改变。
在一些实施例中,一种装置包括处理器,该处理器可操作地耦合到存储器,并且在一些实施例中,可操作地与网络通信。处理器在第一时间检测计算设备的用户的第一登录事件,并且响应于检测到第一登录事件,在计算设备处接收第一组风险评定规则。第一组风险评定规则包括与用户相关联的第一用户特权标准、一组特权缓解措施和第一设备标准。第一设备标准包括计算设备的补丁级别、计算设备的网络类型或密码策略中的至少一项。所述一组特权缓解措施中的第一特权缓解措施与第一用户特权标准相关联。处理器基于第一用户特权标准和第一设备标准识别(例如,响应于第一登录事件、响应于检测到的组策略违反、响应于检测到的网络变化,或者响应于接收到第一组风险评定规则)第一用户特定安全风险。处理器经由计算设备并且在第二时间基于第一用户特定安全风险应用所述一组特权缓解措施中的第一特权缓解措施,处理器在第二时间不与管理服务器通信。处理器在计算设备处接收第二组风险评定规则(例如,响应于检测到与计算设备相关联的新漏洞)。第二组风险评定规则包括与第一用户特权标准不同的第二用户特权标准或与第一设备标准不同的第二设备标准中的至少一项。处理器在第一时间之后的第三时间检测计算设备的用户的第二登录事件。处理器基于第二用户特权标准或第二设备标准中的至少一项来识别(并且,例如,响应于第一登录事件、响应于检测到的组策略违反、响应于检测到的网络变化,或者响应于接收到第一组风险评定规则)与第一用户特定安全风险不同的第二用户特定安全风险。处理器经由计算设备并且在第四时间(处理器在第四时间不与管理服务器通信)应用所述一组特权缓解措施中的第二特权缓解措施。第二特权缓解措施与第一特权缓解措施不同,并且基于第二用户特定安全风险。处理器可以被配置为在应用第一特权缓解措施和/或第二特权缓解措施之后将强制执行(enforcement)活动报告给管理服务器。
处理器可以通过修复与用户相关联的用户账户设置以符合组策略来应用第一特权缓解措施和/或第二特权缓解措施。替代地或附加地,处理器可以通过以下中的至少一项来应用第一特权缓解措施和/或第二特权缓解措施:(1)自动修复与用户相关联的组策略;或(2)使得在计算设备上安装更新。替代地或附加地,处理器可以通过打补丁、特权管理、列入白名单或列入黑名单中的至少一项来应用第一特权缓解措施和/或第二特权缓解措施。
在示例实现中,处理器进一步基于第一登录事件识别第一用户特定安全风险,并且第一登录事件包括失败的登录尝试。在这样的示例实现中,特权缓解措施包括将用户锁于在计算设备上运行的应用之外(例如,防止用户访问在计算设备上运行的应用)。在一些其它实现中,当第一设备标准包括计算设备的网络类型时,第一特权缓解措施可以包括:如果计算设备的网络类型是公共网络,则禁用用户的网络访问。在其它实现中,当第一设备标准包括计算设备的网络类型时,第一特权缓解措施可以包括:如果计算设备的网络类型是公共网络,则向用户发送警报(例如,通知用户网络是公共的)。
在另一个示例实现中,处理器被配置为通过检测计算设备的用户的用户特权级别来识别用户特定安全风险,并且基于风险评定规则检测用户有权访问的有漏洞的软件应用。处理器被配置为通过以下中的至少一项来应用特权缓解措施:修改用户的用户特权级别;不允许软件安装在计算设备上,直到有漏洞的软件应用的更新被安装;或者不允许有漏洞的软件应用运行,直到已将安全修复(security fix)应用于计算设备。
在另一个示例实现中,处理器被配置为通过检测用户有权访问安全敏感文件并检测计算设备在公共网络上来识别用户特定安全风险。处理器被配置为通过以下中的至少一项来应用特权缓解措施:不允许对于安全敏感文件的访问;禁用计算设备的网络访问,直到计算设备未连接到公共网络,或者禁用计算设备。在其它实现中,处理器被配置为通过检测计算设备的用户的用户特权级别并检测与用户相关联的一个或多个用户账户设置违反组策略来识别用户特定安全风险。在一些情况下,处理器被配置为基于第一用户特权标准来检测用户有权访问安全敏感文件。在这种情况下,第一设备标准可以包括计算设备的网络类型是公共网络并且第一特权缓解措施可以包括不允许用户对于安全敏感文件的访问。
在一些实施例中,一种装置包括处理器和可操作地耦合到处理器的存储器。处理器被配置为在第一时间检测用户在计算设备上的第一登录,并且接收包括与计算设备的用户相关联的用户特权标准的第一组风险评定规则。用户特权标准可以包括用户的用户特权级别。然后,处理器响应于检测到第一登录并且基于第一组风险评定规则检测用户有权访问的有漏洞的软件应用。处理器响应于检测到有漏洞的软件应用,降低用户特权级别(例如,向登录用户提供受限的访问权限使得登录用户可访问较少的能力/资源、移除对于与识别出的风险相关联的一个或多个能力/资源的访问等)。处理器稍后接收与计算设备的用户相关联的第二组风险评定规则。在第二时间之后的第三时间,在计算设备上检测到用户的第二登录,并且处理器响应于检测到第二登录并且基于第二组风险评定规则,提高和/或提升用户特权级别(例如,向登录用户提供增加的访问权限以使得登录用户可访问更多的能力/资源,授予对于与识别出的风险相关联的一个或多个能力/资源的访问权限等)。
在一些实现中,处理器还被配置为检测已经在计算设备上安装了补丁。补丁可以与有漏洞的软件应用相关联。提高用户特权级别还可以基于检测到补丁。在还有的其它实现中,处理器还被配置为基于第一用户特权标准检测与用户相关联的一个或多个用户账户设置违反组策略。第一特权缓解措施可以包括修复与用户相关联的一个或多个用户账户设置以符合组策略。
在一些实施例中,一种方法包括由与网络可操作地通信的处理器并且在第一时间检测计算设备的用户的第一登录事件。在处理器处并且响应于检测到用户的第一登录,识别第一组风险评定规则。第一组风险评定规则可以包括:(1)与用户相关联的第一用户特权标准;(2)一组特权缓解措施;以及(3)第一应用标准。第一应用标准包括在计算设备上运行的软件应用的供应商、软件应用的版本、软件应用的补丁级别或者软件应用的暴露风险中的至少一项。该组特权缓解措施中的至少一个特权缓解措施与第一用户特权标准相关联。基于第一用户特权标准和第一应用标准,经由处理器识别第一用户特定安全风险。经由计算设备并且在第二时间基于第一用户特定安全风险应用该组特权缓解措施中的第一特权缓解措施。处理器在第二时间不与管理服务器通信。由处理器识别第二组风险评定规则。第二组风险评定规则包括与第一用户特权标准不同的第二用户特权标准或与第一应用标准不同的第二应用标准中的至少一项。经由处理器并且在第一时间之后的第三时间检测计算设备的用户的第二登录事件。经由处理器识别与第一用户特定安全风险不同并且基于第二用户特权标准或第二应用标准中的至少一项的第二用户特定安全风险。然后,经由计算设备并且在第四时间应用该组特权缓解措施中的第二特权缓解措施。第二特权缓解措施与第一特权缓解措施不同,并且基于第二用户特定安全风险。处理器在第四时间不与管理服务器通信。第一特权缓解措施和第二特权缓解措施中的至少一个包括向用户发送警报。警报可以包括推荐软件更新的消息和/或发起对软件应用的更新的消息。
现在参考各图描述用于基于上下文的特权缓解的系统和方法的各种配置,其中相同的附图标记可以指示相同或功能相似的要素。如本文各图中一般描述和图示的,本系统和方法的配置可以以各种不同的配置来布置和设计。因此,如各图中所表示的,若干配置的以下更详细描述并非旨在限制系统和方法的范围,而是仅代表系统和方法的各种配置。
图1A是图示根据实施例的用于基于上下文的特权缓解的联网系统100的框图。联网系统100包括经由网络(图1A中未示出)彼此进行电子通信的一组电子设备。例如,联网系统100可以包括一个或多个局域网(LAN)、广域网(WAN)、无线局域网(WLAN)、互联网等。联网系统100包括一个或多个计算设备104和至少一个管理服务器102。
管理服务器102和计算设备104均可以是例如基于硬件的集成电路(IC)或被配置为运行和/或执行一组指令或代码的任何其它合适的处理器/处理设备。例如,管理服务器102和/或计算设备104可以是通用处理器、中央处理单元(CPU)、加速处理单元(APU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、复杂可编程逻辑器件(CPLD)、可编程逻辑控制器(PLC)等等。管理服务器102和/或计算设备104均可以通过系统总线(例如,地址总线、数据总线和/或控制总线)可操作地耦合到存储器。
管理服务器102可以包括风险评定规则生成器106和强制执行报告器108。计算设备104可以包括具有风险评估器118和特权缓解强制执行模块120的代理116。风险评定规则生成器106、强制执行报告器108、代理116、风险评估器118和/或特权缓解强制执行模块120中的每一个可以是存储在存储器中并由处理器执行的软件(例如,使处理器执行风险评定规则生成器106、强制执行报告器108、代理116、风险评估器118和/或特权缓解强制执行模块120的代码可以存储在存储器中)和/或基于硬件的设备,诸如例如ASIC、FPGA、CPLD、PLA、PLC等。(在硬件上执行的)软件可以用各种软件语言(例如,计算机代码)表示,包括C、C++、JavaTM、Ruby、Visual BasicTM和/或其它面向对象的、过程的或其它编程语言和开发工具。
管理服务器102可以包括处理器和存储器,并且可以经由网络与联网系统100的一个或多个计算设备104通信。管理服务器102可以物理地位于地理上远离一个或多个计算设备104的位置。在实现中,管理服务器102是可以例如经由互联网连接来访问的基于云的服务器。替代地,管理服务器102还可以与一个或多个计算设备104物理上共址。
取决于实现,一个或多个计算设备104可以包括服务器、台式计算机、膝上型计算机、平板计算机、智能电话、路由器、打印机等。在实现中,一个或多个计算设备104是被配置为加入多个不同网络的移动设备(例如,膝上型计算机、智能电话、平板计算机等)。
计算机安全性对于保护一个或多个计算设备104以及一个或多个计算设备104和管理服务器102所连接的网络是重要的。计算机安全性也可称为“网际(cyber)安全性”或信息技术(IT)安全性。计算机安全性包括控制对于一个或多个计算设备104的硬件和软件的访问。计算机安全性还包括保护网络免受可能经由网络访问、数据和代码(例如,受损的软件应用)中的漏洞而带来的伤害。
随着越来越多的计算设备104通过一个或多个网络连接,计算机安全性变得越来越重要。例如,随着社会变得依赖于复杂的计算系统和互联网,计算设备104可能被恶意实体利用来危害特权信息。这个问题在使用无线网络(例如,蜂窝)和“智能”设备(例如,智能电话、电视和作为物联网的一部分的设备)的增长的情况下尤其重要。
计算设备104可能面临各种漏洞。例如,安装在计算设备104上的软件应用可能变得容易遭受零日漏洞利用(zero-day exploit),零日漏洞利用允许黑客利用计算设备104、附加计算机和/或网络上的计算机程序和/或数据。计算设备104面临的另一个漏洞是从安全网络移动到不提供安全环境的公共网络。例如,黑客可以监视公共网络上的网络流量以试图获得对于计算设备104的访问。计算设备104面临的又一个漏洞是受损的用户账户。例如,黑客可以通过获取用户凭证(例如,用户名称和密码)来尝试获得对于计算设备104或网络的访问权限。对于在计算设备104上具有提升的特权的用户来说,这种情形尤其危险。例如,相比于网络上的非管理员用户,管理员可能具有提升的特权访问更多的文件、应用或网络资源。因此,黑客可能会用管理员的用户凭据对网络造成相当大的损害。
可以使用不同的途径来提供计算机安全性。一种途径是安装防病毒软件。防病毒软件通常使用检测例程,该检测例程在计算设备104已被恶意软件破坏时通知用户和管理员。防病毒软件还可以在计算设备104的扫描期间检测恶意代码签名或行为。但是,防病毒途径通常在与安全问题相关的事后(after-the-fact)应用。换句话说,防病毒软件通常在计算设备104已被感染之后检测到受损计算设备104。因此,防病毒软件通常响应已知威胁,但不保护计算设备104免受尚未知晓的威胁。
计算机安全性的另一种途径是补丁管理。在补丁管理中,计算设备104上的软件程序通常在更新可用时进行更新。但是,利用补丁管理系统,更新可能不会足够快地被应用以保护计算设备104免受新发现的漏洞的影响。例如,在零日漏洞利用的情况下,正在运行受损软件应用的计算设备104可能在相关联的补丁可用并安装之前仍然易受攻击。
计算机安全性的另一种途径使用组策略对象(GPO)。IT管理员可以创建和/或定义GPO以强制执行网络100的规则。管理员通常创建和/或定义管理网络上的用户的规则和权力的策略。例如,GPO可以指定密码到期参数和密码复杂性规则。但是,由于管理员是创建GPO和/或有权访问GPO的人,因此管理员可以在用户级别推翻GPO设置,而不会使推翻被GPO异常标记。换句话说,这些管理员拥有允许管理员免受GPO约束的权力。此外,管理员通常会执行年度安全合规性验证,但是,由于IT环境的复杂性,安全合规性验证通常是抽查,而不是合规性的完全审核,并且可能没有实现任何期望的GPO推翻。
在计算机安全性中,常见的漏洞利用通常会导致恶意用户获得对于用户账户的访问权限以及用户所拥有的任何特权或权力。因此,具有提升的权力和角色的用户(例如,管理员)应该比其它用户(例如,非管理员)具有应用于此类用户的更多安全策略,以确保如果具有提升的权力和/或角色的用户的账户成为目标,恶意用户将无法获得对于网络的关键部分(例如,公司网络的)访问权限。但是,这在实践中很少被遵循。例如,IT管理员可能通常为了方便起见而禁用他们针对其它用户强制执行的密码到期参数和密码复杂性规则,但代价是降低了更广泛的IT环境(例如,企业IT环境)的安全性。
如前面可以观察到的,需要基于上下文的特权缓解来保护计算设备104。本文描述的系统和方法(例如,联网系统100)可以分析与登录到计算设备104中的用户(本文也称为登录用户)有关的相关内容,例如,包括设置、策略和/或登录用户可访问的软件应用和/或计算设备,以确定登录用户的适当安全级别。然后,联网系统100可以应用特权缓解措施来降低安全风险。通过特权缓解,即使没有检测到的恶意签名,联网系统100也可以帮助保护计算设备104免受已知和未知威胁的影响。
本文描述的系统和方法(例如,联网系统100)有助于确保计算系统的安全性对于给定的情形或上下文是足够的。在一些实施例中,对与计算设备104相关联的上下文进行分析以确定是否应当应用特权缓解措施114。上下文可以包括关于计算设备104(例如,设备设置、被授权安装在计算设备上的软件应用(即,“列入白名单的”软件应用)、计算设备的软件应用的预定义或期望的补丁级别等)、登录用户(例如,用于登录到计算设备104中的用户账户、与用户相关联的特权/(一个或多个)许可级别等)以及当用户登录时或在用户正在使用计算设备104的时间段期间计算设备104所连接的网络的网络类型(例如,私有/“在联网(on-network)”或公共/“离网(off-network)”)的信息。基于计算设备104的当前状态和已知漏洞的当前状态,可以限制适用于登录用户的特权和/或设置,使得计算设备104更安全。
管理服务器102可以是管理员创建、定义、查看和管理管理员想要为联网系统100强制执行的策略和/或规则集的设备。管理员可以制作动态规则集、静态规则集或两者的组合。
在示例实现中,管理服务器102用于例如使用驻留在管理服务器102内的风险评定规则生成器106(例如,存储在管理服务器102的存储器中和/或由管理服务器102的处理器执行)生成风险评定规则110。管理员可以定义适用于联网系统100中的一个或多个计算设备104的风险评定规则110。风险评定规则110可以包括风险标准112和与风险标准112相关联的一个或多个特权缓解措施114。风险标准112提供计算设备104可以用来评估与登录用户相关联的一个或多个风险的上下文。风险标准112可以包括例如可能适用于识别安全风险的用户特权标准、设备标准和/或应用标准。用户特权标准可以包括与登录用户相关联的指示安全风险的参数。例如,用户特权标准可以包括登录用户是否是管理员的指示。用户特权标准还可以包括登录用户是否具有关于对计算设备104和/或网络上的资源的访问的提升特权的指示。用户特权标准还可以包括登录用户是否具有超出访问网络的特权的网络特权(例如,用于修改一个或多个联网设备上的数据、在联网设备上安装软件应用等的特权)的指示。
设备标准可以包括与计算设备104相关联的可能适用于识别安全风险的参数。这些参数可以包括例如计算设备104的补丁级别(例如,已经应用的软件补丁的数量、或者软件补丁的标识符/版本号)的指示、网络“类型”或位置(例如,在指定的安全网络上或在公共网络上)的指示、一个或多个密码策略(例如,GPO策略)和/或计算设备104的类型(例如,膝上型或智能电话、生产商、型号等)的指示符。
应用标准可以包括与安装在计算设备104上的软件应用相关联的可能适用于识别安全风险的参数。应用标准可以包括例如应用的供应商的指示、应用的版本、应用的补丁级别的指示、该应用的暴露风险的指示和/或一个或多个已知漏洞的指示。
风险评定规则110还可以包括与风险标准112相关联的一个或多个特权缓解措施114的指示符集合。在一些情况下,特权缓解措施114是与用户特权相关的可以由计算设备104实现以减少与登录用户相关联的已识别风险的一个或多个动作。可以将一个或多个特权缓解措施114映射到基于风险标准112识别出的安全风险。可以通过从管理服务器102向计算设备104发送信号,在管理服务器102处应用计算设备处的一个或多个特权缓解措施114的实现。信号可以编码有指令以在计算设备处实现一个或多个特权缓解措施114。替代地,可以在计算设备处直接/本地应用计算设备处的一个或多个特权缓解措施114的实现。
特权缓解措施114的示例包括减少登录用户的用户特权级别(例如,提供登录用户的受限访问权限使得登录用户可访问更少的能力/资源、移除对于与已识别出的风险相关联的一个或多个能力/资源的访问权限等)。例如,可以减少被发现具有相关联的“高”安全风险的管理员的特权级别。特权缓解措施114的另一个示例包括禁用软件应用安装(例如,一般或对于一个或多个特定软件应用)和/或禁用计算设备104上的软件应用使用,直到安装在计算设备上并被识别为“有漏洞”的软件应用被更新。特权缓解措施114的其它示例包括防止对于特权和/或机密文件的访问、禁用网络访问、提示用户解决识别出的安全风险、和/或禁用计算设备104。
在实现中,一个或多个特权缓解措施114的选择基于网络类型/位置。例如,当计算设备104被识别为连接到指定的安全网络(例如,家庭网络或其它专用网络)时,第一特权缓解措施114可以在计算设备104处实现(例如,响应于在计算设备104处从管理服务器102接收到的并且编码有在计算设备处实现一个或多个特权缓解措施114的指令的信号),而如果计算设备104被识别为连接到公共网络,则与第一特权缓解措施114不同的第二特权缓解措施114可以在计算设备104处实现。
在一些实现中,基于已知漏洞的严重性来选择特权缓解措施114。严重性可以在计算设备104处或在管理服务器102处确定。例如,安装在计算设备104上的软件应用可以被识别为过时的或需要更新(并且因此潜在地易受一个或多个安全风险攻击),并且联网系统100还可以识别软件应用的预定的更新再被延迟一周,直到与计算设备104相关联的维护“窗口”(即,时间间隔)开始。在这种情况下,第一特权缓解措施114可以包括提示用户手动更新计算设备104,而没有任何其它限制。但是,作为另一个示例,软件应用可能变得易受已知漏洞利用(即,安全漏洞)影响。在这种情况下,可以将软件应用更新识别为关键,并且可以实现第二特权缓解措施114来防止访问软件应用,直到安装软件应用更新。
在一些实现中,风险评定规则110包括计算设备104为了降低所识别出的与登录用户和/或与计算设备104相关联的安全风险而遵循的决策树。风险评定规则110可以与其中计算设备104可以采取补救措施的多个不同场景的指示相关联,从而取决于例如与给定场景相关联的风险,给予管理员定义计算设备104的不同反应级别(即,特权缓解)的能力。
在一些实现中,管理服务器102将风险评定规则110(包括风险标准112和特权缓解措施114的指示符)发送到计算设备104。如图1A中所示,计算设备104可以包括被配置为使用风险评定规则110来执行基于上下文的特权缓解的代理116。代理116可以是用于管理计算设备104的网络管理系统的一部分或与之相关联。
图1A的代理116包括风险评估器118,风险评估器118被配置为基于风险评定规则110确定与计算设备104的登录用户相关联的安全风险(即,用户特定安全风险)。例如,除了风险评定规则110中的风险标准112之外,风险评估器118还可以基于与计算设备104相关联的用户信息122、设备信息124和/或应用信息126来确定安全风险。当风险评估器118基于用户信息122确定安全风险时,代理116可以确定哪些用户具有需要缓解的特权,并且审核与这些用户相关联的一个或多个策略以确保适当的策略被强制执行。
在一种实现中,风险评估器118在检测到计算设备104的登录时和/或之后识别与登录用户相关联的安全风险。例如,在用户登录之前(即,在用户未登录到该计算设备104上时),计算设备104不能识别任何安全风险。但是,一旦用户登录,计算设备104就可以应用风险评定规则110(例如,基于登录用户的标识符和/或在计算设备104上安装和/或运行的软件应用的标识符)来确定与登录用户相关联的安全风险。
在另一个实现中,风险评估器118在从管理服务器102接收到指示新的安全漏洞与计算设备104相关联的经更新的风险评定规则110时确定与登录用户相关联的安全风险。在这样的实现中,用户可能当前已登录。例如,在零日漏洞利用的情况下,可以从管理服务器102向计算设备104发送新的风险评定规则110,并且可以识别这个新的漏洞。在这种情况下,新风险评定规则110可以标记新发现的漏洞并提示在计算设备104处实现风险评定规则110的一个或多个特权缓解措施114。
在一些实现中,风险评估器118重新评估风险评定规则110以周期性地和/或响应于检测到的事件更新与登录用户相关联的安全风险。例如,每当用户登录到计算设备104中时,风险评估器118可以重新评估风险评定规则110。替代地,风险评估器118可以每天(或另一个可配置的时间段)一次地为登录用户重新评估风险评定规则110。每当在计算设备104处从管理服务器102接收到新的风险评定规则110时,和/或当在新的风险评定规则110中识别出具有严重标记的项目时,风险评估器118也可以重新评估风险评定规则110。
代理116也可以包括特权缓解强制执行模块120,特权缓解强制执行模块120指定一个或多个特权缓解措施114,以供计算设备104上的处理器基于检测到的与登录用户相关联的安全风险来实现。当检测到安全风险时,特权缓解强制执行模块120可以防止用户访问计算设备104的一个或多个资源(例如,一个或多个软件应用),以便保护计算设备104。由特权缓解强制执行模块120强制执行的一个或多个特权缓解措施114可以由风险评定规则110指定。
在实现中,特权缓解强制执行模块120强制执行特权缓解措施114,特权缓解措施114包括软件补丁、特权管理和/或列入白名单/列入黑名单中的一个或多个。当特权缓解措施114包括软件补丁时,特权缓解强制执行模块120可以向用户提供软件更新可用的指示(例如,经由图形用户界面“GUI”)。特权缓解强制执行模块120可以自动地或者响应于用户输入(例如,经由GUI)来安装更新。
当特权缓解措施114包括特权管理时,可以减少与用户账户相关联的特权级别。例如,(与一个或多个其它用户相比)具有与他/她的账户相关联的一个或多个提升的特权级别的管理员或其它登录用户可以减少他们的用户特权级别中的一个或多个,例如以限制他们对于计算设备104上的和/或可经由网络访问的文件、应用或其它资源的访问。
当特权缓解措施114包括列入白名单时,特权缓解强制执行模块120可以许可计算设备104上的一个或多个功能/资源以许可该一个或多个功能/资源的继续操作/可访问性。当特权缓解措施114包括列入黑名单时,可以禁用一个或多个功能/资源。在示例中,风险评估器118可以确定安装在计算设备104上的软件应用是过时的,并且软件应用的当前版本易受漏洞利用的攻击。基于这样的确定,特权缓解强制执行模块120可以将预定的一组软件应用“列入黑名单”(例如,使其不可用),直到该组软件应用中的一个或多个软件应用被更新,同时以其它方式允许计算设备104的继续操作。替代地,特权缓解强制执行模块120可以将预定的一组软件应用“列入白名单”(例如,使其可用),直到不在该组软件应用内的一个或多个软件应用被更新(在那时,更新后的(一个或多个)软件应用可以被添加到白名单中)。特权缓解强制执行模块120也可以将有漏洞的软件应用列入黑名单,从而禁用软件应用,直到软件应用的版本被更新。虽然白名单和黑名单选项会影响用户的体验(例如,在使用计算设备104时给用户带来暂时的不便),但是这样的途径对于在风险得到解决之前保护计算设备104会是有用的。
在一些实现中,代理116被配置为是自包含的,因为如果代理116离网(即,不与管理服务器102通信),则代理116仍然可以强制执行风险评定规则110。类似地说,风险评定规则110一旦被接收就可以存储在计算设备104的本地存储器中,并且随后由代理116访问/使用。例如,计算设备104可以被配置为从本地存储器“接收”(或识别)风险评定规则110。
如本文所使用的,“联网”是指计算设备104连接到指定的安全网络,并且“离网”是指计算设备104未连接到指定的安全网络。例如,如果计算设备104在办公室中,则计算设备104可以与网络上的域控制器通信以确定它在指定的安全网络上。计算设备104可以例如检测与指定的安全网络相关联的核心基础设施,并且因此确定计算设备104连接到指定的安全网络。
如果计算设备104不在指定的安全网络上,但仍然能够访问互联网,则计算设备104可以被称为离网。例如,计算设备104可以在网吧中、在宾馆上、在家庭WiFi上等等。如果计算设备104没有检测到指示联网连接的任何核心基础设施(因此确定计算设备104离网),则代理116可以做出与当代理116确实检测到指示联网连接的核心基础设施时将会作出的安全决策不同的安全决策。例如,在确定计算设备104离网时,代理116可以实现比代理116在确定计算设备104联网时将实现的更多数量的特权缓解措施114。
在一些实现中,计算设备104被配置为基于登录事件来识别安全风险,诸如失败的登录尝试(或失败的登录尝试的次数超过预定的或预定义的阈值数量)。响应于基于失败的登录尝试识别安全风险,计算设备104可以实现将用户锁于在计算设备104上运行的应用之外的特权缓解措施。
代理116还可以被配置为在计算设备104处于远程网络位置时获取风险评定规则110。例如,在基于云的途径中,如果计算设备104在公共网络上,则代理116可以经由互联网联系管理服务器102以获取风险评定规则110。因此,离网的计算设备104仍然可以得到支持,就像它联网了一样。
在实现中,代理116被配置为在已经实现特权缓解措施之后将强制执行活动(即,已经被实现的特权缓解措施)报告回管理服务器102。当代理116识别安全风险并强制执行特权缓解措施114时,代理116可以将强制执行报告128发送回管理服务器102。在接收到强制执行报告128时,管理服务器102的强制执行报告器108可以向管理员提供通知(例如,经由管理服务器102的GUI)。强制执行报告128可以向管理员警告最佳实践的变化。例如,强制执行报告128可以提示管理员限制交互式会话。
在一些实现中,当识别出有漏洞的软件应用时,可以使用特权缓解来降低安全风险。例如,管理员可能意识到“在野外(in the wild)”的软件应用的漏洞利用。“在野外”的软件应用是在使用中并且已在受限环境之外发布的软件应用(例如,通过受感染的网络传播)。基于漏洞利用的知识,管理员可以为相关联的软件应用生成新的风险评定规则110。可以经由网络将这些新的风险评定规则110发送到计算设备104。然后,响应于接收到新风险评定规则110,计算设备104上的代理116可以监视可用于相关联的软件应用的更新。
在接收到新的风险评定规则110(其包括有漏洞的软件应用是安全风险的指示)时,代理116可以确定有漏洞的软件应用在计算设备104上,并且响应于该确定,应用特权缓解措施114。特权缓解措施114可以包括降低与有漏洞的软件应用相关联的登录用户的特权级别,直到有漏洞的软件应用是完全最新的(即,直到已对有漏洞的软件应用进行更新使该软件应用不再易受识别出的安全威胁攻击)。代理116还可以实现一个或多个附加特权缓解措施114,以进一步保护登录用户和/或计算设备104。例如,代理116可以实现动态策略分配处理,在动态策略分配处理中,取决于在修改安全策略时与登录用户相关联的一组环境,与登录用户相关联的安全策略被迭代地(例如,周期性地和/或响应于触发)修改。
在一些这样的情况下,可以在稍后的时间接收与软件应用和/或登录用户相关联的另一组风险评定规则110。例如,另一组风险评定规则110可以包括软件补丁已被应用的指示,和/或新软件漏洞已被识别出的指示。随后,可以检测到用户在计算设备104上的另一个登录。响应于检测到另一个登录并且基于另一组风险评定规则110,可以提高(或以其它方式调整)用户特权级别。
在一些实现中,可以通过自动修复组策略使用特权缓解来降低安全风险。例如,代理116可以分析与用户和/或用户可访问的软件应用或设备有关的相关内容(例如,设置、策略等),以确定用户的适当安全级别。代理116可以确定与登录用户相关联的用户账户设置以某种方式违反组策略对象(GPO)。例如,管理员可以推翻密码强制执行策略。在这种情况下,特权缓解措施114可以是修复登录用户的用户账户设置以符合GPO。替代地或附加地,代理116可以通过规则和/或通过监视构成策略异常的动作的有效性来强制执行GPO,并且通过应用规则或者响应于监视,修改(或“修复”)GPO以确保用户正在以负责任的方式行事。
本文描述的系统和方法(例如,图1A的系统100)改进了计算机安全性的已知途径。所描述的系统和方法通过基于上下文的特权缓解来提供计算机安全性,以保护计算设备104免受已知和未知威胁的影响,而不是在事后对安全风险做出响应。与减少与计算设备104相关联的一个或多个安全风险相反,可以采取不同的动作来减少与登录用户相关联的一个或多个安全风险。
图1B是图示了根据实施例的用于基于上下文的特权缓解的处理器实现的方法的处理流程图,该方法可由图1A中的计算设备104的处理器实现。如图1B中所示,用于基于上下文的特权缓解的方法150包括在135a处由与网络可操作通信的处理器在第一时间检测计算设备的用户的第一登录事件。在135b处,在处理器处并且响应于检测到用户的第一登录,识别第一组风险评定规则。在一些情况下,第一组风险评定规则可以包括:(1)与用户相关联的第一用户特权标准;(2)一组特权缓解措施;以及(3)第一应用标准。第一应用标准包括计算设备上运行的软件应用的供应商、软件应用的版本、软件应用的补丁级别或者软件应用的暴露风险中的至少一项。该组特权缓解措施中的至少一个特权缓解措施可以与第一用户特权标准相关联。
在135c处,经由处理器基于第一用户特权标准和第一应用标准(例如,经由风险评定规则从管理服务器接收,如图1A所示)识别第一用户特定安全风险。然后,在135d处,经由处理器在第二时间基于第一用户特定安全风险,应用多个特权缓解措施中的第一特权缓解措施。在一些实现中,处理器在第二时间不与管理服务器通信。在其它实现中,处理器在第二时间与管理服务器通信。
在135e处,处理器识别第二组风险评定规则。第二组风险评定规则可以包括与第一用户特权标准不同的第二用户特权标准或与第一应用标准不同的第二应用标准中的至少一项,例如因为计算上下文已经改变。在135f处,经由处理器在第一时间之后的第三时间检测计算设备的用户的第二登录事件。在135g处,经由处理器识别与第一用户特定安全风险不同并且基于第二用户特权标准或第二应用标准中的至少一项的第二用户特定安全风险。在135h处,然后,经由处理器在第四时间应用该组特权缓解措施中的第二特权缓解措施。第二特权缓解措施与第一特权缓解措施不同,并且基于第二用户特定安全风险。处理器在第四时间不与管理服务器通信。第一特权缓解措施和第二特权缓解措施中的至少一个包括向用户发送警报。警报可以包括推荐软件更新的消息和/或发起对于软件应用的更新的消息。
图2是图示了根据另一个实施例的用于基于上下文的特权缓解的方法200的流程图。方法200可以由计算设备(例如,图1A的计算设备104)实现。计算设备可以经由网络与管理服务器(例如,图1A的管理服务器102)通信。如图2所示,在202处,计算设备104可以从管理服务器102接收风险评定规则110。风险评定规则110可以包括风险标准112,风险标准112包括安全风险的指示。这些风险标准112可以包括指示安全风险的用户特权标准、设备标准或应用标准。例如,用户特权标准可以指示当登录用户是管理员时,安全风险为“高”(和与非管理员登录用户相关联的安全风险相比)。在另一个示例中,设备标准可以包括计算设备104的网络类型/位置,并且公共网络可以与比指定的安全网络(例如,专用网络)的安全风险更高的安全风险相关联。在又一示例中,应用标准包括软件应用可能暴露的一个或多个已知漏洞的指示符。风险评定规则110也可以包括与安全风险相关联的一个或多个特权缓解措施114。特权缓解措施114包括可以由计算设备104实现以减少与登录用户相关联的识别出的安全风险的一个或多个动作。
在204处,计算设备104可以基于风险评定规则110确定与计算设备104的登录用户相关联的安全风险。除了风险评定规则110中的风险标准112(统称为“上下文信息”)之外,计算设备104还可以基于与计算设备104相关联的用户信息122、设备信息124和/或应用信息126来确定204安全风险。如果所评估的上下文信息被确定为与一个或多个风险标准112相关联,则识别安全风险。例如,如果登录用户是有权访问特权数据或敏感数据的管理员并且计算设备104连接到公共网络,则计算设备104可以确定存在安全风险。
在实现中,在204处,计算设备104可以在检测到登录用户在计算设备104处的登录时确定与登录用户相关联的安全风险。例如,当用户登录到计算设备104中时,计算设备104可以评估风险评定规则110以评定是否存在与该用户相关联的安全风险。
在另一个实现中,计算设备104可以在(例如,从管理服务器102)接收到指示与计算设备104相关联的新漏洞的经更新的风险评定规则110时确定204与登录用户相关联的安全风险。例如,如果管理员识别出软件应用漏洞利用,则管理员可以将新的风险评定规则110发送到计算设备104以“标记”有漏洞的软件应用(即,使软件应用与漏洞利用相关联)。计算设备104可以响应于接收到经更新的风险评定规则110来评估风险评定规则110,以评定登录用户是否可访问有漏洞的软件应用。
在206处,计算设备104可以基于与登录用户相关联的安全风险来应用特权缓解措施114。例如,当检测到安全风险时,计算设备104可以防止用户访问计算设备104的一个或多个资源,以保护计算设备104。
计算设备104可以实现风险评定规则110中指示的特权缓解措施114中的一个或多个。特权缓解措施114的示例包括降低登录用户的用户特权级别、防止登录用户在计算设备104上的应用安装和/或使用直到有漏洞的应用被更新、防止登录用户访问敏感文件、禁用网络访问、(例如,经由计算设备104的GUI)提示登录用户采取行动来解决安全风险、禁用计算设备104和/或修复与登录用户相关联的与组策略不符合的一个或多个用户设置。作为本文列出的那些特权缓解措施的替代或附加,也可以应用其它特权缓解措施114。
图3是图示了根据另一个实施例的用于基于上下文的特权缓解的方法300的流程图,该方法包括检测有漏洞的软件应用。方法300可以由计算设备(例如,图1A的计算设备104)和/或由与管理服务器(例如,图1A的管理服务器102)通信的计算设备来实现。如图3所示,在302处,计算设备104可以从管理服务器102接收风险评定规则110。这可以例如如结合图2所描述的那样实现。一旦计算设备104已经接收到风险评定规则110,计算设备104就可以或可以不维持与管理服务器102的通信。风险评定规则110可以指示计算设备104的软件应用易受漏洞利用攻击。例如,漏洞可能导致应用行为改变。在一些情况下,漏洞可能是零日漏洞利用或允许攻击者获得登录用户的权力和特权的其它漏洞利用。
在304处,计算设备104可以评估风险评定规则110。例如,风险评定规则110可以提供与安全风险相关联的风险标准112。计算设备104上的代理116可以获得并评估关于计算设备104上的与风险标准112相关的信息(例如,安装在计算设备104上的一个或多个软件应用的指示、一个或多个软件应用的版本、登录用户的标识符、网络类型等)。例如,代理116可以评估用户信息122(例如,登录用户特权)和应用信息126。评估可以在用户登录时或者在接收到经更新的风险评定规则110时发生和/或由其触发。在306处,计算设备104然后可以确定登录用户在计算设备104上具有提升的特权(与计算设备104的一个或多个其它授权用户相比)。例如,登录用户可以是对计算设备104和/或网络100具有比其它用户更多访问权限或权力的管理员或其它用户。
在308处,计算设备104可以检测登录用户有权访问的有漏洞的软件应用。例如,计算设备104可以识别由风险评定规则110“标记”的软件应用。计算设备104还可以确定补丁尚未应用于软件应用,并且软件应用因此易受漏洞利用攻击。计算设备104还可以确定登录用户有权访问有漏洞的软件应用。
在计算设备104已经确定用户具有提升的特权以及对有漏洞的软件应用的访问之后(虽然漏洞当前可能在计算设备104上不活跃),计算设备104可以实现风险评定规则110中指定的一个或多个特权缓解措施114。例如,在310处,计算设备104可以减少登录用户的用户特权级别(例如,管理员可能失去管理特权)。
在312处,计算设备104还可以应用如下规则或设置:该规则或设置防止登录用户将软件安装在计算设备104上直到已经(例如,由可信用户)安装有漏洞的软件应用的期望更新。通过防止登录用户安装附加软件,计算设备104可以防止漏洞利用使用用户的特权在计算设备104上安装恶意代码。
在314处,计算设备104还可以应用防止其它用户在计算设备104上安装软件的规则或设置。这可以防止漏洞利用使用登录用户的凭证使用另一个用户的账户来安装恶意代码。
在316处,计算设备104还可以应用如下规则或设置:该规则或设置防止有漏洞的软件应用运行,直到已将安全修复应用于计算设备104。换句话说,计算设备104可以禁用或阻止有漏洞的软件应用。例如,计算设备104可以将有漏洞的软件应用列入黑名单以防止有漏洞的软件应用运行。可以强制执行黑名单,直到计算设备104确定已更新软件应用来解决安全风险。
在318处,计算设备104可以提示用户在计算设备104上存在漏洞(例如,通过经由GUI向用户提供消息),并向用户提供他们更新相关软件应用的请求。例如,计算设备104可以向用户显示警告,该警告指示软件应用已被识别为安全风险并且需要更新。
在实现中,在320处,计算设备104应用更新。计算设备104可以自动应用更新。例如,代理116可以调用例如驻留在计算设备104内或与其可操作通信的补丁管理系统,以执行更新。替代地,计算设备104可以响应于用户输入而应用更新。例如,登录用户可以通过输入指令(例如,经由GUI)来响应318的提示以应用更新。
计算设备104可以响应于检测到有漏洞的软件应用而强制执行一个特权缓解措施114或特权缓解措施114的组合。例如,对于比其它用户具有更低特权级别的用户,计算设备104可以在318处仅向用户提供计算设备104上存在漏洞并且需要软件更新的指示,但是计算设备104可以允许用户继续使用有漏洞的软件应用。但是,对于具有相对较高特权级别的用户,计算设备104可以附加地对用户的特权级别施加限制(例如,包括禁用有漏洞的软件应用)。如通过这个示例可以观察到的,本文阐述的系统和方法基于安全风险的上下文提供不同级别的安全性。
图4是图示了根据另一个实施例的用于基于上下文的特权缓解的方法400的流程图,该方法包括检测计算设备(例如,计算设备104)在公共网络上。方法400可以由计算设备104实现。如图4所示,在402处,计算设备104从管理服务器102接收风险评定规则110。这可以例如如结合图2所描述的那样实现。在计算设备104在402处已经接收到风险评定规则110之后,计算设备104可以或可以不维持与管理服务器102的通信。在404处,计算设备104可以确定登录用户有权访问安全敏感文件。在这种情况下,登录用户有权访问例如应该保密的特权文件。计算设备104还可以确定登录用户可经由计算设备104访问这些安全敏感文件。
在406处,计算设备104确定计算设备104在公共网络上。例如,登录用户可以在连接到指定的安全网络一段时间之后停止使用他/她的笔记本电脑,并且通过连接到公共可访问网络继续使用他/她的笔记本电脑。计算设备104可以检测到网络类型的这种变化。
计算设备104可以基于风险评定规则110确定当具有提升的特权级别(与其它用户相比)和对特权文件的访问权限的用户离网时存在安全风险。计算设备104可以通过实现一个或多个特权缓解措施114来响应这种安全风险的确定。例如,在408处,计算设备104可以应用防止登录用户访问安全敏感文件的规则或设置。换句话说,登录用户将不能经由计算设备104(和/或经由与其进行网络通信的一个或多个其它设备)访问特权的和/或机密的文件。例如,计算设备104可以将安全敏感文件或软件应用列入黑名单,以免当计算设备104离网时被登录用户访问。
替代地或附加地,在410处,计算设备104可以如下应用规则或设置:该规则或设置防止登录用户的网络访问,直到计算设备104连接到指定的安全网络100。在一些情况下,登录用户可能无法访问安全网络,直到他们处于由安全网络覆盖的预定地理位置。在另一个实现中,计算设备104可以在计算设备104离网时禁用网络访问(例如,访问端口、web浏览器、文件传输协议(FTP)客户端等),但允许登录用户继续将计算设备104用于其它任务。
在412处,计算设备104可以向登录用户提供消息(例如,经由GUI)以向他们警告他们处于可能不安全的公共位置的事实。例如,计算设备104可以显示文本框,警告用户当前网络连接可能不安全。计算设备104还可以向登录用户提供消息,要求登录用户确认他们想要打开安全敏感文件。例如,当安全风险被认为低时,可以实现该特权缓解措施114。在一些情况下,在414处,可以禁用计算设备104。例如,计算设备104可以应用防止用户使用计算设备104的资源直到计算设备104返回联网的规则或设置。
图5是图示了根据另一个实施例的用于基于上下文的特权缓解的方法500的流程图,该方法包括检测组策略违反。方法500可以由计算设备(例如,图1A的计算设备104)的处理器实现。如图5所示,在502处,计算设备104可以从管理服务器102接收风险评定规则110。这可以例如如结合图2所描述的那样实现。在计算设备104在502处已经接收到风险评定规则110之后,计算设备104可以或可以不维持与管理服务器102的通信。在图5的示例方法500中,风险评定规则110包括与GPO的违反相关联的风险标准112。换句话说,偏离GPO并且因此可以被视为安全风险的用户账户设置可以被包括在风险标准112中。与其它用户相比具有提升的特权(例如,管理员)并且被确定为违反GPO的用户可以被认为比同样违反GPO的其它用户甚至具有更高的安全风险。
在504处,计算设备104接收登录请求。例如,用户可以在计算设备104处输入用户凭证,以获得对于计算设备104的访问权限。计算设备104可以分析与用户和/或用户可访问的应用和设备有关的相关内容(例如,设置、策略等),以确定登录用户的适当安全级别。在506处,计算设备104确定登录用户在计算设备104上具有提升的特权。例如,登录用户可以是对计算设备104和/或网络100具有比其它用户更多访问权限或权力的管理员或其它用户。在508处,计算设备104确定与登录用户相关联的一个或多个用户账户设置违反GPO。例如,计算设备104可以检测到管理员已经推翻密码强制执行策略。然后,在510处,计算设备104可以修改或“修复”与登录用户相关联的用户账户设置,使得用户账户设置符合GPO。例如,计算设备104可以重置任何密码强制执行推翻,使得用户账户设置符合GPO的密码强制执行策略。计算设备104可以通过基于异常的感知(例如,通过监视异常)或者通过将修复管理员的组策略以确保他们负责任地行事的严格规则应用(例如,通过不允许任何异常)来强制执行风险评定规则110。
图6是图示了根据实施例的可以被包括在风险评定规则110中的各种风险标准612的框图。风险标准612指示当满足一个或多个条件时计算设备104上的安全风险。风险标准612中包括的是设备标准630、用户特权标准632和应用标准634。如图6所示,设备标准630可以包括与计算设备104相关联的指示安全风险的参数。这些参数可以包括例如计算设备104的补丁级别、网络类型或位置的指示(例如,在指定的安全网络上还是在公共网络上)、密码策略(例如,GPO策略)、计算设备104的类型的指示,和/或配置信息,诸如一个或多个注册表设置、一个或多个GPO设置等。
用户特权标准632可以包括与登录用户相关联的指示安全风险的参数。例如,用户特权标准632可以包括登录用户是否是管理员的指示。用户特权标准632还可以包括例如特权级别或者登录用户是否对计算设备104或网络100具有提升的特权或访问权限的指示。用户特权标准632还可以包括例如登录用户是否具有超出访问权限的网络特权的指示。
应用标准634可以包括与计算设备104上的软件应用相关联的指示安全风险的各种参数。应用标准634可以包括例如应用的供应商的指示、应用的版本、应用的补丁级别、该应用的暴露风险的指示和/或一个或多个已知漏洞的指示。
图7是图示了根据实施例的用于基于上下文的特权缓解的联网系统700的框图。如图7所示,管理服务器702连接到路由器744。路由器744连接到交换机746a、746b和746c。交换机746a经由它们各自的子网748a、748b和748c连接到若干节点704a、704b、704c等。交换机746b经由它们各自的子网748d、748e和748f连接到若干节点704d、704e、704f等。交换机746c经由它们各自的子网748g、748h和748i连接到若干节点704g、704h和704i等。子网I748i包括一个或多个节点704。虽然图7示出了一个路由器744以及有限数量的交换机746、子网748和节点704,但是许多和不同数量的路由器744、交换机746、子网748和节点704可以被包括在用于实现基于上下文的特权缓解的网络和/或系统中。可以根据结合图1A描述的管理服务器102来实现管理服务器702。此外,节点704可以是结合图1A描述的计算设备104中的一个或多个的示例。虽然图7示出了与节点704通信的管理服务器702,但是在一些实现中,离网的一个或多个附加节点(未示出)可以连接到联网系统700(例如,经由云),作为管理服务器702的替代或附加(例如,用于发送/接收风险评定规则、报告强制执行活动或本文阐述的与管理服务器相关的任何其它功能)。
图8图示了根据实施例的用于基于上下文的特权缓解的计算设备804。计算设备804可以被实现为本文描述的管理服务器102或计算设备104中的一个或多个。如图8所示,计算设备804包括处理器852和存储器854。存储器854包括程序指令856a和数据858a。处理器852控制计算设备804的操作,并且可以是例如微处理器、微控制器、数字信号处理器(DSP)或本领域中已知的其它设备。处理器852被配置为基于从存储器854接收到的程序指令856b和/或数据858b来执行逻辑和算术运算。计算设备804还包括用于与其它电子设备通信的一个或多个通信接口860。通信接口860可以基于有线通信技术、无线通信技术或两者。不同类型的通信接口860的示例包括串行端口、并行端口、通用串行总线(USB)、以太网适配器、IEEE总线接口、小型计算机系统接口(SCSI)总线接口、红外线(IR)通信端口、无线通信适配器等。
计算设备804还包括一个或多个输入设备862和一个或多个输出设备864。输入设备862的示例包括键盘、鼠标、麦克风、遥控设备、按钮、操纵杆、轨迹球、触摸板、光笔等。不同种类的输出设备864的示例包括扬声器、GUI、打印机等。计算机系统中可以包括的一种特定类型的输出设备是显示设备866。与本文公开的配置一起使用的显示设备866可以使用任何合适的图像投影技术,诸如液晶显示器(LCD)、发光二极管(LED)、气体等离子体、电致发光、阴极射线管(CRT)等。
计算设备804还包括显示控制器868,用于将存储在存储器854中的数据转换成文本、图形和/或移动图像(视情况而定)以显示在显示设备866上。图8图示了计算设备804的一种可能配置,并且也可以使用各种其它体系架构和组件。
虽然上面所示出和描述(例如,如在图1A中)的包括风险评定规则生成器106和强制执行报告器108,并且执行相关联的功能,但是在其它实施例中,管理服务器102可以具有附加功能。例如,管理服务器102可以包括代理116、风险评估器118和特权缓解强制执行模块120中的一个或多个,并且执行如本文所述的相关联功能。
在以上描述中,有时结合各种术语使用附图标记。在术语与附图标记结合使用的情况下,这意味着指代在一个或多个图中示出的特定元素。在不带附图标记地使用术语的情况下,这意味着一般指代术语而不限于任何特定的图。
术语“自动地”在本文中用于修改在没有诸如用户的外部源的直接输入或提示的情况下发生的动作。自动地发生的动作可以周期性地、偶尔地、响应于检测到的事件(例如,用户登录)或者根据预定的调度发生。
术语“确定”包含各种各样的动作,因此,“确定”可以包括运算、计算、处理、推导、调查、查找(例如,在表、数据库或其它数据结构中查找)、查明等。而且,“确定”可以包括接收(例如,接收信息)、访问(例如,访问存储器中的数据)等。而且,“确定”可以包括解析、选择、筛选、建立等。
除非另有明确说明,否则短语“基于”并不意味着“仅基于”。换句话说,短语“基于”描述了“仅基于”和“至少基于”。
术语“处理器”应该被广义地解释为包括通用处理器、中央处理单元(CPU)、微处理器、数字信号处理器(DSP)、控制器、微控制器、状态机等。在一些情况下,“处理器”可以指专用集成电路(ASIC)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)等。术语“处理器”可以指处理设备的组合(例如DSP和微处理器的组合)、多个微处理器、结合DSP内核的一个或多个微处理器或任何其它这样的配置。
术语“存储器”应该被广义地解释为包括能够存储电子信息的任何电子组件。术语存储器可以指各种类型的处理器可读介质,诸如随机存取存储器(RAM)、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除PROM(EEPROM)、闪存、磁或光数据存储装置、寄存器等。如果处理器可以从处理器读取信息和/或将信息写入存储器,则该存储器被称为与处理器进行电子通信。与处理器集成一体的存储器与处理器进行电子通信。
术语“指令”和“代码”应该被广义地解释为包括任何类型的(一个或多个)计算机可读语句。例如,术语“指令”和“代码”可以指一个或多个程序、例程、子例程、函数、过程等。“指令”和“代码”可以包括单个计算机可读语句或许多计算机可读语句。
术语“计算机可读介质”是指可以由计算机或处理器访问的任何可用的非瞬态有形介质。作为示例而非限制,计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、磁盘存储装置或其它磁存储设备或可以用于以指令或数据结构的形式携带或存储所需的程序代码并且可以由计算机访问的任何其它介质。如本文所使用的,盘和碟包括紧凑碟(CD)、激光碟、光碟、数字通用光碟(DVD)、软盘和碟,其中盘通常以磁性方式再现数据,而碟通过激光以光学方式再现数据。
还可以通过传输介质传输软件或指令。例如,如果使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)或无线技术(诸如红外线、无线电和微波)从网站、服务器或其它远程源传输软件,则同轴电缆、光纤电缆、双绞线、DSL或无线技术(诸如红外线、无线电和微波)都被包含在传输介质的定义中。
本文公开的方法包括用于实现所描述的方法的一个或多个步骤或动作。在不脱离权利要求的范围的情况下,方法步骤和/或动作可以彼此互换。换句话说,除非正在被描述的方法的正确操作需要特定的步骤或动作的顺序,否则可以在不脱离权利要求的范围的情况下修改特定步骤和/或动作的顺序和/或使用。
虽然上面已经描述了各种实施例,但是应该理解的是,它们仅以示例的方式而不是限制的方式呈现。在上述方法和/或示意图指示以某种顺序发生的某些事件和/或流程模式的情况下,可以修改某些事件和/或流程模式的排序。虽然已经特别示出和描述了实施例,但是将理解的是,可以在形式和细节上进行各种改变。
虽然已经将各种实施例描述为具有特定特征和/或组件的组合,但是其它实施例也可以具有如上所讨论的任何实施例中的任何特征和/或组件的组合。
本文描述的一些实施例涉及具有非瞬态计算机可读介质(也可以被称为非瞬态处理器可读介质)的计算机存储产品,该非瞬态计算机可读介质上具有用于执行各种计算机实现的操作的指令或计算机代码。计算机可读介质(或处理器可读介质)在其本身不包括瞬时传播信号的意义上是非瞬态的(例如,在诸如空间或电缆的传输介质上传播携带信息的电磁波)。介质和计算机代码(也可以被称为代码)可以是为特定目的而设计和构造的代码。非瞬态计算机可读介质的示例包括但不限于:磁存储介质,诸如硬盘、软盘和磁带;光学存储介质,诸如紧凑碟/数字视频碟(CD/DVD)、紧凑碟只读存储器(CD-ROM)和全息设备;磁光存储介质,诸如光盘;载波信号处理模块;以及专门被配置为存储和执行程序代码的硬件设备,诸如专用集成电路(ASIC)、可编程逻辑器件(PLD)、只读存储器(ROM)和随机存取存储器(RAM)设备。本文描述的其它实施例涉及可以包括例如本文所讨论的指令和/或计算机代码的计算机程序产品。
本文描述的一些实施例和/或方法可以由软件(在硬件上执行)、硬件或其组合来执行。硬件模块可以包括例如通用处理器、现场可编程门阵列(FPGA)和/或专用集成电路(ASIC)。软件模块(在硬件上执行)可以用各种软件语言(例如,计算机代码)表达,包括C、C++、JavaTM、Ruby、Visual BasicTM和/或其它面向对象、过程式或其它编程语言和开发工具。计算机代码的示例包括但不限于微代码或微指令、诸如由编译器产生的机器指令、用于产生web服务的代码,以及包含由计算机使用解释器执行的更高级指令的文件。例如,实施例可以使用命令式编程语言(例如,C、Fortran等)、函数编程语言(Haskell、Erlang等)、逻辑编程语言(例如,Prolog)、面向对象的编程语言(例如,Java、C++等)或其它合适的编程语言和/或开发工具。计算机代码的附加示例包括但不限于控制信号、加密代码和压缩代码。
应该理解的是,权利要求不限于上面说明的精确配置和组件。在不脱离权利要求的范围的情况下,可以对本文描述的系统、方法和装置的布置、操作和细节进行各种修改、改变和变化。
Claims (23)
1.一种用于基于上下文的特权缓解的装置,包括:
处理器;以及
存储器,可操作地耦合到所述处理器,所述处理器被配置为:
在第一时间检测计算设备的用户的第一登录事件;
响应于检测到第一登录事件,在计算设备处接收第一组风险评定规则,第一组风险评定规则包括:(1)与所述用户相关联的第一用户特权标准;(2)多个特权缓解措施;以及(3)包括计算设备的补丁级别、计算设备的网络类型或密码策略中的至少一项的第一设备标准,所述多个特权缓解措施中的至少一个特权缓解措施与第一用户特权标准相关联;
基于第一用户特权标准和第一设备标准识别第一用户特定安全风险;
经由计算设备并且在第二时间,基于第一用户特定安全风险应用所述多个特权缓解措施中的第一特权缓解措施,所述处理器在第二时间不与管理服务器通信;
在计算设备处接收第二组风险评定规则,第二组风险评定规则包括与第一用户特权标准不同的第二用户特权标准或与第一设备标准不同的第二设备标准中的至少一项;
在第一时间之后的第三时间检测计算设备的用户的第二登录事件;
基于第二用户特权标准和第二设备标准中的至少一项,识别与第一用户特定安全风险不同的第二用户特定安全风险;以及
经由计算设备并且在第四时间,应用所述多个特权缓解措施中的第二特权缓解措施,第二特权缓解措施与第一特权缓解措施不同并且基于第二用户特定安全风险,所述处理器在第四时间不与管理服务器通信。
2.如权利要求1所述的装置,其中,所述处理器被配置为还基于第一登录事件识别第一用户特定安全风险,第一登录事件包括失败的登录尝试,并且所述特权缓解措施包括将用户锁于在计算设备上运行的应用之外。
3.如权利要求1所述的装置,其中,所述处理器被配置为响应于第一登录事件来识别第一用户特定安全风险。
4.如权利要求1所述的装置,其中,所述处理器被配置为响应于接收到第一组风险评定规则来识别第一用户特定安全风险。
5.如权利要求1所述的装置,其中,所述处理器被配置为响应于检测到与计算设备相关联的新漏洞,在计算设备处接收第二组风险评定规则。
6.如权利要求1所述的装置,其中,第一设备标准包括计算设备的网络类型,并且第一特权缓解措施包括:如果计算设备的网络类型是公共网络,则禁用所述用户的网络访问。
7.如权利要求1所述的装置,其中,第一设备标准包括计算设备的网络类型,并且第一特权缓解措施包括:如果计算设备的网络类型是公共网络,则向所述用户发送警报,所述警报告知所述用户网络是公共的。
8.如权利要求1所述的装置,其中:
所述处理器被配置为通过以下识别用户特定安全风险:
检测计算设备的用户的用户特权级别;以及
基于风险评定规则检测用户有权访问的有漏洞的软件应用,以及
所述处理器被配置为通过以下中的至少一项来应用特权缓解措施:(1)修改用户的用户特权级别;(2)不允许将软件安装在计算设备上,直到安装所述有漏洞的软件应用的更新;或者(3)不允许所述有漏洞的软件应用运行,直到已将安全修复应用于计算设备。
9.如权利要求1所述的装置,其中:
所述处理器被配置为通过以下识别用户特定安全风险:
检测到用户可访问安全敏感文件;以及
检测到计算设备在公共网络上,并且
所述处理器被配置为通过以下中的至少一项来应用特权缓解措施:(1)不允许访问安全敏感文件;(2)禁用计算设备的网络访问,直到计算设备未连接到公共网络;或(3)禁用计算设备。
10.如权利要求1所述的装置,其中,所述处理器被配置为通过以下识别用户特定安全风险:
检测计算设备的用户的用户特权级别;以及
检测到与所述用户相关联的一个或多个用户账户设置违反了组策略。
11.如权利要求1所述的装置,其中,所述处理器被配置为通过修复与所述用户相关联的用户账户设置以符合组策略来应用特权缓解措施。
12.如权利要求1所述的装置,其中,所述处理器被配置为通过以下中的至少一项来应用特权缓解措施:(1)自动地修复与所述用户相关联的组策略;或(2)使在计算设备上安装更新。
13.如权利要求1所述的装置,其中,所述处理器被配置为通过打补丁、特权管理、列入白名单或列入黑名单中的至少一项来应用特权缓解措施。
14.如权利要求1所述的装置,其中,所述处理器被配置为在应用特权缓解措施之后将强制执行活动报告给管理服务器。
15.如权利要求1所述的装置,其中,所述处理器与网络可操作地通信,并且所述处理器被配置为响应于网络中检测到的变化来识别第一用户特定安全风险。
16.如权利要求1所述的装置,其中,所述处理器被配置为响应于检测到的组策略违反来识别第一用户特定安全风险。
17.如权利要求1所述的装置,其中,所述处理器被配置为基于第一用户特权标准检测到用户可访问安全敏感文件,第一设备标准包括计算设备的网络类型,计算设备的网络类型是公共网络,第一特权缓解措施包括不允许用户访问安全敏感文件。
18.一种用于基于上下文的特权缓解的装置,包括:
处理器;以及
存储器,可操作地耦合到所述处理器,所述处理器被配置为:
在第一时间检测用户在计算设备上的第一登录;
接收包括与计算设备的用户相关联的用户特权标准的第一组风险评定规则,用户特权标准包括所述用户的用户特权级别;
响应于检测到第一登录并且基于第一组风险评定规则,检测用户可访问的有漏洞的软件应用;
响应于检测到所述有漏洞的软件应用而降低用户特权级别;
在第一时间之后的第二时间接收与计算设备的用户相关联的第二组风险评定规则;
在第二时间之后的第三时间检测所述用户在计算设备上的第二登录;以及
响应于检测到第二登录并且基于第二组风险评定规则,提高用户特权级别。
19.如权利要求18所述的装置,其中,所述处理器还被配置为检测到计算设备上已经安装补丁,所述补丁与所述有漏洞的软件应用相关联,所述提高用户特权级别还基于检测到所述补丁。
20.如权利要求18所述的装置,其中,所述处理器还被配置为基于第一用户特权标准检测与用户相关联的一个或多个用户账户设置违反组策略,第一特权缓解措施包括修复与所述用户相关联的所述一个或多个用户账户设置以符合组策略。
21.一种用于基于上下文的特权缓解的方法,包括:
通过与网络可操作地通信的处理器并且在第一时间检测计算设备的用户的第一登录事件;
在所述处理器处并且响应于检测到所述用户的第一登录,识别第一组风险评定规则,第一组风险评定规则包括:(1)与所述用户相关联的第一用户特权标准;(2)多个特权缓解措施;以及(3)第一应用标准,第一应用标准包括在计算设备上运行的软件应用的供应商、软件应用的版本、软件应用的补丁级别或者软件应用的暴露风险中的至少一项,所述多个特权缓解措施中的至少一个特权缓解措施与第一用户特权标准相关联;
经由所述处理器,基于第一用户特权标准和第一应用标准识别第一用户特定安全风险;
经由计算设备并且在第二时间,基于第一用户特定安全风险应用所述多个特权缓解措施中的第一特权缓解措施,所述处理器在第二时间不与管理服务器通信;
由所述处理器识别第二组风险评定规则,第二组风险评定规则包括与第一用户特权标准不同的第二用户特权标准或与第一应用标准不同的第二应用标准中的至少一项;
经由所述处理器并且在第一时间之后的第三时间,检测计算设备的用户的第二登录事件;
经由所述处理器并且基于第二用户特权标准或第二应用标准中的至少一项,识别与第一用户特定安全风险不同的第二用户特定安全风险;以及
经由计算设备并且在第四时间,应用所述多个特权缓解措施中的第二特权缓解措施,第二特权缓解措施与第一特权缓解措施不同并且基于第二用户特定安全风险,所述处理器在第四时间不与管理服务器通信。
22.如权利要求21所述的方法,其中,第一特权缓解措施包括向用户发送警报,所述警报推荐软件更新。
23.如权利要求21所述的方法,其中,所述特权缓解措施包括向用户发送警报以及发起对软件应用的更新。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762464152P | 2017-02-27 | 2017-02-27 | |
US62/464,152 | 2017-02-27 | ||
PCT/US2018/019936 WO2018157124A1 (en) | 2017-02-27 | 2018-02-27 | Systems and methods for context-based mitigation of computer security risks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110476167A CN110476167A (zh) | 2019-11-19 |
CN110476167B true CN110476167B (zh) | 2023-10-13 |
Family
ID=61622744
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880020576.0A Active CN110476167B (zh) | 2017-02-27 | 2018-02-27 | 基于上下文的计算机安全风险缓解的系统和方法 |
Country Status (7)
Country | Link |
---|---|
US (2) | US10805333B2 (zh) |
EP (1) | EP3586259B1 (zh) |
JP (1) | JP7091354B2 (zh) |
CN (1) | CN110476167B (zh) |
AU (1) | AU2018224839B2 (zh) |
CA (1) | CA3054319A1 (zh) |
WO (1) | WO2018157124A1 (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017076476A1 (en) * | 2015-11-06 | 2017-05-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Configuration technique for a network element in a communication network |
US10510014B2 (en) * | 2017-05-31 | 2019-12-17 | Microsoft Technology Licensing, Llc | Escalation-compatible processing flows for anti-abuse infrastructures |
WO2019168066A1 (ja) * | 2018-02-28 | 2019-09-06 | 日本電気株式会社 | 管理装置、管理方法及び記録媒体 |
US10725766B2 (en) * | 2018-05-14 | 2020-07-28 | Dell Products, L.P. | Systems and methods to assign variable delays for processing computer system updates |
US10558454B2 (en) * | 2018-06-04 | 2020-02-11 | Palantir Technologies Inc. | Constraint-based upgrade and deployment |
US10999290B2 (en) | 2018-08-28 | 2021-05-04 | Cobalt Iron, Inc. | Dynamic authorization control system and method |
US11310237B2 (en) * | 2018-08-28 | 2022-04-19 | Cobalt Iron, Inc. | Dynamic authorization control system and method |
JP7210937B2 (ja) * | 2018-08-29 | 2023-01-24 | コニカミノルタ株式会社 | 画像形成装置 |
US11128629B2 (en) * | 2018-09-19 | 2021-09-21 | Google Llc | Escalating user privileges in cloud computing environments |
US10938846B1 (en) * | 2018-11-20 | 2021-03-02 | Trend Micro Incorporated | Anomalous logon detector for protecting servers of a computer network |
JP2021002081A (ja) * | 2019-06-19 | 2021-01-07 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
CN110826036A (zh) * | 2019-11-06 | 2020-02-21 | 支付宝(杭州)信息技术有限公司 | 用户操作行为安全性的识别方法、装置和电子设备 |
JP7371493B2 (ja) * | 2019-12-27 | 2023-10-31 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びコンピュータプログラム |
US11032270B1 (en) | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
CN114884685B (zh) * | 2021-02-05 | 2023-08-22 | 华为技术有限公司 | 电子设备的安全管理方法、电子设备及其可读介质 |
WO2022177778A1 (en) * | 2021-02-17 | 2022-08-25 | Microsoft Technology Licensing, Llc | Determining data risk and managing permissions in computing environments |
US12107879B2 (en) | 2021-02-17 | 2024-10-01 | Microsoft Technology Licensing, Llc | Determining data risk and managing permissions in computing environments |
WO2022231618A1 (en) * | 2021-04-30 | 2022-11-03 | Hewlett-Packard Development Company, L.P. | Protection of computing device from potential optical network intrusion attack |
CN115017400B (zh) * | 2021-11-30 | 2023-05-26 | 荣耀终端有限公司 | 一种应用app推荐方法及电子设备 |
US20230259616A1 (en) * | 2022-02-16 | 2023-08-17 | Kyndryl, Inc. | Log tampering prevention for high availability environments |
US12058142B2 (en) * | 2022-03-25 | 2024-08-06 | Rakuten Symphony Singapore Pte. Ltd. | Dynamic privileged access request system |
US12093377B2 (en) * | 2022-04-27 | 2024-09-17 | Bank Of America Corporation | System and method for providing data security using software library containers |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710598A (zh) * | 2011-04-19 | 2012-10-03 | 卡巴斯基实验室封闭式股份公司 | 用于减小计算机网络中的安全风险的系统和方法 |
CN103581203A (zh) * | 2013-11-20 | 2014-02-12 | 北京可信华泰信息技术有限公司 | 基于可信计算的可信网络连接方法 |
Family Cites Families (65)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6785810B1 (en) * | 1999-08-31 | 2004-08-31 | Espoc, Inc. | System and method for providing secure transmission, search, and storage of data |
US7765135B2 (en) * | 2002-09-06 | 2010-07-27 | Talaris Holdings Limited | Count and login management |
JP4517578B2 (ja) * | 2003-03-11 | 2010-08-04 | 株式会社日立製作所 | ピアツーピア通信装置および通信方法 |
US7647637B2 (en) * | 2005-08-19 | 2010-01-12 | Sun Microsystems, Inc. | Computer security technique employing patch with detection and/or characterization mechanism for exploit of patched vulnerability |
US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US7461036B2 (en) * | 2006-01-18 | 2008-12-02 | International Business Machines Corporation | Method for controlling risk in a computer security artificial neural network expert system |
WO2007089786A2 (en) * | 2006-01-30 | 2007-08-09 | Sudhakar Govindavajhala | Identifying unauthorized privilege escalations |
US8321944B1 (en) * | 2006-06-12 | 2012-11-27 | Redseal Networks, Inc. | Adaptive risk analysis methods and apparatus |
US7832004B2 (en) * | 2006-08-10 | 2010-11-09 | Microsoft Corporation | Secure privilege elevation by way of secure desktop on computing device |
US20080120699A1 (en) * | 2006-11-17 | 2008-05-22 | Mcafee, Inc. | Method and system for assessing and mitigating access control to a managed network |
US20080307525A1 (en) * | 2007-06-05 | 2008-12-11 | Computer Associates Think, Inc. | System and method for evaluating security events in the context of an organizational structure |
KR101496329B1 (ko) * | 2008-03-28 | 2015-02-26 | 삼성전자주식회사 | 네트워크의 디바이스 보안 등급 조절 방법 및 장치 |
US20090293121A1 (en) | 2008-05-21 | 2009-11-26 | Bigus Joseph P | Deviation detection of usage patterns of computer resources |
US20100043066A1 (en) * | 2008-05-21 | 2010-02-18 | Miliefsky Gary S | Multiple security layers for time-based network admission control |
US8752142B2 (en) * | 2009-07-17 | 2014-06-10 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback |
US8539546B2 (en) * | 2010-10-22 | 2013-09-17 | Hitachi, Ltd. | Security monitoring apparatus, security monitoring method, and security monitoring program based on a security policy |
US9129257B2 (en) * | 2010-12-20 | 2015-09-08 | Verizon Patent And Licensing Inc. | Method and system for monitoring high risk users |
US8566934B2 (en) * | 2011-01-21 | 2013-10-22 | Gigavation, Inc. | Apparatus and method for enhancing security of data on a host computing device and a peripheral device |
WO2012109633A2 (en) * | 2011-02-11 | 2012-08-16 | Achilles Guard, Inc. D/B/A Critical Watch | Security countermeasure management platform |
US9282114B1 (en) * | 2011-06-30 | 2016-03-08 | Emc Corporation | Generation of alerts in an event management system based upon risk |
KR102195788B1 (ko) * | 2011-08-10 | 2020-12-28 | 기타 스리바스타바 | 호스트 컴퓨팅 디바이스와 주변기기의 데이터의 보안을 강화하기 위한 장치 및 방법 |
US8561157B2 (en) * | 2011-09-23 | 2013-10-15 | Canon U.S.A., Inc. | Method, system, and computer-readable storage medium for establishing a login session |
US20130096980A1 (en) * | 2011-10-18 | 2013-04-18 | Mcafee, Inc. | User-defined countermeasures |
JP2015038667A (ja) | 2011-10-18 | 2015-02-26 | 株式会社ベーシック | アプリケーションマネージャ及びネットワークアクセス制御システム |
US9058486B2 (en) * | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
US9208338B2 (en) * | 2012-07-26 | 2015-12-08 | Adobe Systems Incorporated | Method and apparatus for securely executing multiple actions using less than a corresponding multiple of privilege elevation prompts |
US9154507B2 (en) | 2012-10-15 | 2015-10-06 | International Business Machines Corporation | Automated role and entitlements mining using network observations |
MX2015009172A (es) * | 2013-01-15 | 2016-02-18 | Beyondtrust Software Inc | Sistemas y metodos para identificar y reportar vulnerabilidades de aplicaciones y archivos. |
EP2959418A4 (en) | 2013-02-25 | 2016-10-05 | Beyondtrust Software Inc | SYSTEMS AND METHODS FOR RISK-BASED RULES FOR APPLICATION CONTROL |
US9467465B2 (en) * | 2013-02-25 | 2016-10-11 | Beyondtrust Software, Inc. | Systems and methods of risk based rules for application control |
US20140359777A1 (en) * | 2013-05-31 | 2014-12-04 | Fixmo, Inc. | Context-aware risk measurement mobile device management system |
US9185136B2 (en) * | 2013-11-28 | 2015-11-10 | Cyber-Ark Software Ltd. | Correlation based security risk identification |
US10063654B2 (en) * | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
US9703974B1 (en) * | 2013-12-20 | 2017-07-11 | Amazon Technologies, Inc. | Coordinated file system security via rules |
US9396332B2 (en) * | 2014-05-21 | 2016-07-19 | Microsoft Technology Licensing, Llc | Risk assessment modeling |
US11275861B2 (en) * | 2014-07-25 | 2022-03-15 | Fisher-Rosemount Systems, Inc. | Process control software security architecture based on least privileges |
US9798883B1 (en) * | 2014-10-06 | 2017-10-24 | Exabeam, Inc. | System, method, and computer program product for detecting and assessing security risks in a network |
WO2016064919A1 (en) * | 2014-10-21 | 2016-04-28 | Abramowitz Marc Lauren | Dynamic security rating for cyber insurance products |
US9648036B2 (en) * | 2014-12-29 | 2017-05-09 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
US9800605B2 (en) * | 2015-01-30 | 2017-10-24 | Securonix, Inc. | Risk scoring for threat assessment |
US10021119B2 (en) * | 2015-02-06 | 2018-07-10 | Honeywell International Inc. | Apparatus and method for automatic handling of cyber-security risk events |
US9836598B2 (en) | 2015-04-20 | 2017-12-05 | Splunk Inc. | User activity monitoring |
US10032031B1 (en) * | 2015-08-27 | 2018-07-24 | Amazon Technologies, Inc. | Detecting unknown software vulnerabilities and system compromises |
US20170070521A1 (en) * | 2015-09-05 | 2017-03-09 | Nudata Security Inc. | Systems and methods for detecting and scoring anomalies |
US20170078309A1 (en) * | 2015-09-11 | 2017-03-16 | Beyondtrust Software, Inc. | Systems and methods for detecting vulnerabilities and privileged access using cluster movement |
US10044745B1 (en) * | 2015-10-12 | 2018-08-07 | Palantir Technologies, Inc. | Systems for computer network security risk assessment including user compromise analysis associated with a network of devices |
US10257205B2 (en) * | 2015-10-22 | 2019-04-09 | Oracle International Corporation | Techniques for authentication level step-down |
US10735456B2 (en) * | 2015-10-28 | 2020-08-04 | Qomplx, Inc. | Advanced cybersecurity threat mitigation using behavioral and deep analytics |
US9843934B1 (en) * | 2015-12-15 | 2017-12-12 | Symantec Corporation | Systems and methods for detecting public networks |
JP6648531B2 (ja) * | 2016-01-14 | 2020-02-14 | 富士通株式会社 | ファイル操作チェック装置、ファイル操作チェックプログラム、及びファイル操作チェック方法 |
US10404733B1 (en) * | 2016-02-02 | 2019-09-03 | Symantec Corporation | Active push-based remediation for reputation-based security systems |
US10536478B2 (en) * | 2016-02-26 | 2020-01-14 | Oracle International Corporation | Techniques for discovering and managing security of applications |
US10498772B2 (en) * | 2016-03-21 | 2019-12-03 | Vireshwar K. Adhar | Method and system for digital privacy management |
WO2017177077A2 (en) * | 2016-04-08 | 2017-10-12 | Cloud Knox, Inc. | Method and system to detect discrepancy in infrastructure security configurations from translated security best practice configurations in heterogeneous environments |
US11108793B2 (en) * | 2016-04-29 | 2021-08-31 | Vmware, Inc. | Preemptive alerts in a connected environment |
US10237240B2 (en) * | 2016-07-21 | 2019-03-19 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
US20180041540A1 (en) * | 2016-07-29 | 2018-02-08 | Egemen Tas | Method to detect and protect against remote control |
US10454971B2 (en) * | 2016-09-07 | 2019-10-22 | International Business Machines Corporation | Managing privileged system access based on risk assessment |
US20180091553A1 (en) * | 2016-09-23 | 2018-03-29 | Qualcomm Incorporated | Methods and devices for protecting network endpoints |
US20180124082A1 (en) * | 2016-10-20 | 2018-05-03 | New York University | Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example |
US9830469B1 (en) * | 2016-10-31 | 2017-11-28 | International Business Machines Corporation | Automated mechanism to secure customer data |
US10346625B2 (en) * | 2016-10-31 | 2019-07-09 | International Business Machines Corporation | Automated mechanism to analyze elevated authority usage and capability |
US20180191766A1 (en) * | 2017-01-04 | 2018-07-05 | Ziften Technologies, Inc. | Dynamic assessment and control of system activity |
US10887325B1 (en) * | 2017-02-13 | 2021-01-05 | Exabeam, Inc. | Behavior analytics system for determining the cybersecurity risk associated with first-time, user-to-entity access alerts |
US10685107B2 (en) * | 2017-10-24 | 2020-06-16 | International Business Machines Corporation | Detection of malicious intent in privileged identity environments |
-
2018
- 2018-02-27 AU AU2018224839A patent/AU2018224839B2/en active Active
- 2018-02-27 US US15/906,559 patent/US10805333B2/en active Active
- 2018-02-27 WO PCT/US2018/019936 patent/WO2018157124A1/en unknown
- 2018-02-27 EP EP18710657.0A patent/EP3586259B1/en active Active
- 2018-02-27 CA CA3054319A patent/CA3054319A1/en active Pending
- 2018-02-27 CN CN201880020576.0A patent/CN110476167B/zh active Active
- 2018-02-27 JP JP2019545919A patent/JP7091354B2/ja active Active
-
2020
- 2020-10-13 US US17/069,529 patent/US20210150023A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710598A (zh) * | 2011-04-19 | 2012-10-03 | 卡巴斯基实验室封闭式股份公司 | 用于减小计算机网络中的安全风险的系统和方法 |
CN103581203A (zh) * | 2013-11-20 | 2014-02-12 | 北京可信华泰信息技术有限公司 | 基于可信计算的可信网络连接方法 |
Also Published As
Publication number | Publication date |
---|---|
JP7091354B2 (ja) | 2022-06-27 |
EP3586259B1 (en) | 2022-06-08 |
US20210150023A1 (en) | 2021-05-20 |
CN110476167A (zh) | 2019-11-19 |
AU2018224839B2 (en) | 2021-12-09 |
EP3586259A1 (en) | 2020-01-01 |
US10805333B2 (en) | 2020-10-13 |
WO2018157124A1 (en) | 2018-08-30 |
US20180375891A1 (en) | 2018-12-27 |
JP2020508519A (ja) | 2020-03-19 |
CA3054319A1 (en) | 2018-08-30 |
AU2018224839A1 (en) | 2019-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110476167B (zh) | 基于上下文的计算机安全风险缓解的系统和方法 | |
US11100232B1 (en) | Systems and methods to automate networked device security response priority by user role detection | |
US9672348B2 (en) | Risk-based credential management | |
KR101669694B1 (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
US9467465B2 (en) | Systems and methods of risk based rules for application control | |
US8065712B1 (en) | Methods and devices for qualifying a client machine to access a network | |
US20230308451A1 (en) | Data security | |
AU2019246773B2 (en) | Systems and methods of risk based rules for application control | |
US20170346824A1 (en) | Methods and systems for mobile device risk management | |
CN112039894B (zh) | 一种网络准入控制方法、装置、存储介质和电子设备 | |
US11757975B1 (en) | Systems and methods for monitoring a file download | |
US20230334150A1 (en) | Restricted execution mode for network-accessible devices | |
US11683350B2 (en) | System and method for providing and managing security rules and policies | |
Powers et al. | Whitelist malware defense for embedded control system devices | |
Kim et al. | A Study on the Security Requirements Analysis to build a Zero Trust-based Remote Work Environment | |
US20240154981A1 (en) | Logging configuration system and method | |
US20240195830A1 (en) | Malicious application detection | |
US20220311805A1 (en) | System and Method for Providing and Managing Security Rules and Policies | |
US20240169056A1 (en) | Managing and classifying computer processes | |
Hooper | Cybersecurity for media technology products | |
Satyanarayana et al. | Modern Secure Cloud Architecture | |
Van Ruitenbeek et al. | The Common Misuse Scoring System (CMSS): Metrics for Software Feature Misuse Vulnerabilities (DRAFT) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |