CN110999250A - 在计算机环境中监视特权用户和检测异常活动的技术 - Google Patents
在计算机环境中监视特权用户和检测异常活动的技术 Download PDFInfo
- Publication number
- CN110999250A CN110999250A CN201880052275.6A CN201880052275A CN110999250A CN 110999250 A CN110999250 A CN 110999250A CN 201880052275 A CN201880052275 A CN 201880052275A CN 110999250 A CN110999250 A CN 110999250A
- Authority
- CN
- China
- Prior art keywords
- users
- actions
- user
- service
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 106
- 230000002159 abnormal effect Effects 0.000 title description 7
- 230000009471 action Effects 0.000 claims abstract description 212
- 230000000694 effects Effects 0.000 claims abstract description 190
- 230000015654 memory Effects 0.000 claims description 39
- 230000008859 change Effects 0.000 claims description 32
- 230000008520 organization Effects 0.000 abstract description 184
- 238000012544 monitoring process Methods 0.000 abstract description 69
- 238000007726 management method Methods 0.000 description 117
- 238000004458 analytical method Methods 0.000 description 85
- 238000012545 processing Methods 0.000 description 48
- 230000008569 process Effects 0.000 description 38
- 230000000246 remedial effect Effects 0.000 description 34
- 238000004422 calculation algorithm Methods 0.000 description 33
- 238000004891 communication Methods 0.000 description 33
- 230000006399 behavior Effects 0.000 description 32
- 238000001514 detection method Methods 0.000 description 31
- 238000010586 diagram Methods 0.000 description 22
- 238000005067 remediation Methods 0.000 description 20
- 239000008186 active pharmaceutical agent Substances 0.000 description 17
- 230000006870 function Effects 0.000 description 16
- 238000013475 authorization Methods 0.000 description 13
- 238000010801 machine learning Methods 0.000 description 12
- 238000012800 visualization Methods 0.000 description 12
- 230000007246 mechanism Effects 0.000 description 11
- 239000013598 vector Substances 0.000 description 11
- 230000004048 modification Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 9
- 238000012546 transfer Methods 0.000 description 7
- 238000013528 artificial neural network Methods 0.000 description 6
- 230000003542 behavioural effect Effects 0.000 description 6
- 238000013145 classification model Methods 0.000 description 6
- 238000007405 data analysis Methods 0.000 description 6
- 230000006855 networking Effects 0.000 description 6
- 238000012549 training Methods 0.000 description 6
- 230000000670 limiting effect Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 2
- 238000013474 audit trail Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 2
- 238000003064 k means clustering Methods 0.000 description 2
- 238000012417 linear regression Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000000611 regression analysis Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- TVZRAEYQIKYCPH-UHFFFAOYSA-N 3-(trimethylsilyl)propane-1-sulfonic acid Chemical compound C[Si](C)(C)CCCS(O)(=O)=O TVZRAEYQIKYCPH-UHFFFAOYSA-N 0.000 description 1
- 241000699666 Mus <mouse, genus> Species 0.000 description 1
- 241000699670 Mus sp. Species 0.000 description 1
- 208000018583 New-onset refractory status epilepticus Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000002591 computed tomography Methods 0.000 description 1
- 230000002153 concerted effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002059 diagnostic imaging Methods 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- -1 iOS Chemical class 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000002595 magnetic resonance imaging Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000003989 repetitive behavior Effects 0.000 description 1
- 208000013406 repetitive behavior Diseases 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000004513 sizing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000003325 tomography Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000002604 ultrasonography Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
Abstract
在各种实施方式中,用于监视和管理云服务的安全性的安全性管理和控制系统能够包括用于识别给定云服务的特权用户的自动化技术。在各种示例中,安全性管理和控制系统能够从云服务获得活动日志,其中活动日志记录由组织的用户在使用云服务时执行的动作。在各种示例中,安全性管理和控制系统能够识别活动日志中相对于云服务具有特权的动作。在这些和其它示例中,安全性管理和控制系统能够使用活动日志中的这些动作来识别特权用户。一旦识别出特权用户,安全性管理和控制系统就能够以更高的审查程度监视特权用户。
Description
相关申请的交叉引用
本申请要求于2017年6月22日提交的美国临时申请No.62/523,668和2018年6月18日提交的美国申请No.16/011,538的优先权,其全部内容通过引用整体并入本文。
背景技术
云服务提供商在“云”中提供各种服务,即,通过诸如公用互联网之类的网络,并且任何网络连接的客户端设备均可远程访问。由云服务提供商(本文中也称为“云提供商”或“提供商”)使用的服务模型的示例包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)和网络即服务(NaaS)。IaaS提供商为客户提供基础设施资源,诸如客户能够用来运行软件的处理、存储、网络和其它计算资源。客户不管理基础设施,但尤其可以控制操作系统、存储装置和已部署的应用,并且可以能够控制一些网络部件(诸如防火墙)。PaaS提供商为客户提供了客户可以在其上开发、运行和管理应用的平台,而无需维护底层的计算基础设施。SaaS是软件许可和交付模型,其中软件是按订阅方式向客户许可的,并且由云提供商集中托管。在这种模型下,可以例如使用web浏览器访问应用。NaaS提供商通过例如在另一方运营的网络基础设施上供应(provision)虚拟网络来向客户提供网络服务。在这些服务模型中的每一种中,云服务提供商都维护并管理提供服务的硬件和/或软件,而很少有(如果有的话)软件在用户的设备上执行。
云服务提供商的客户(可以被称为用户或租户)可以向服务提供商订阅以获得对由服务提供商提供的特定服务的访问。服务提供商可以为用户或租户维护账户,用户和/或租户可以通过该账户来访问提供商的服务。服务提供商还可以为各个用户维护与租户相关联的用户账户。服务提供商的示例包括Box、Dropbox、Microsoft、Docusign、Google、Salesforce、Oracle、Amazon等。诸如这些之类的服务提供商可以提供多种不同的服务,但是不同的服务提供商不需要彼此具有任何从属关系,包括不共享基础设施或安全边界。服务提供商系统常常也受到高度保护并且对非租户是关闭的。
组织对计算环境的依赖已经导致云服务被广泛地用于诸如协作、销售和客户服务、基础设施等之类的操作。通过云环境提供的应用可以使组织能够更快地推出服务,而无需在数据中心、硬件、软件和部署项目上进行大量前期投资。由于可从许多地点(例如,在工作地点、家中、在宾馆和其它地点)使用支持云的服务,因此应用的可访问性可以提高员工的生产率。
因为组织和/或组织的用户可以订阅许多不同的云服务提供商的服务,所以组织可能需要确保组织自己的系统不会因使用云服务而受到损害的方式。使用云服务会导致在组织在组织自身内部托管和管理服务时不存在的安全性风险。
发明内容
在各种实施方式中,提供了用于云安全性系统的系统和方法,其可以识别相对于由云服务提供商提供的应用或服务具有特权能力的用户。具有特权功能的用户(可以被称为管理性用户或特权用户)可以具有访问或修改云服务的能力,这可以改变云服务操作的方式和/或其他用户使用云服务的方式。因为特权用户相对于普通用户在云服务方面具有更多的能力,所以可能期望以更高的审查程度监视特权用户,并快速确定特权用户账户是否已受到损害。
但是,对于云服务,知道哪些用户是特权用户和哪些用户是普通用户可能并不容易。对于什么使用户具有特权,不同的云服务可以具有不同的参数。此外,云服务可能无法为客户提供确定哪些用户账户具有特权的方式。
提供了使安全性管理系统能够识别云服务的特权用户的系统、方法和计算机可读介质。在各种实施方式中,安全性管理系统可以包括用于识别云服务的特权用户的技术,其中该技术包括执行各种步骤。步骤可以包括从服务提供商系统获得活动数据。活动数据可以描述在使用云服务期间执行的动作。动作可以由与租户相关联的一个或多个用户执行,其中服务提供商系统向租户提供租户账户。租户账户使一个或多个用户能够访问云服务。步骤还可以包括在活动数据中识别相对于云服务具有特权的一个或多个动作。步骤还可以包括使用活动数据来识别执行一个或多个动作的用户集。可以从与租户相关联的一个或多个用户中确定该用户集。步骤还可以包括将用户集分类为具有特权。步骤还可以包括使用活动数据来确定一个或多个用户的一个或多个风险得分。步骤还可以包括确定用户集中的用户的风险得分大于阈值。步骤还可以包括确定用于服务提供商系统的安全性控制,其中该安全性控制被服务提供商系统用于配置对云服务的访问。步骤还可以包括确定一个或多个指令以发送到服务提供商系统。步骤还可以包括将一个或多个指令发送到服务提供商系统。一个或多个指令可以使安全性控制相对于用户改变,其中用户对云服务的访问由于对安全性控制的改变而被修改。
在各个方面,使用与云服务相关联的动作的列表来识别该一个或多个动作,其中动作的列表中的动作相对于云服务被分类为具有特权。在各个方面,使用管理性动作列表来识别该一个或多个动作。
在各个方面,由上述系统、方法和计算机可读介质实现的技术还包括步骤,诸如使用一个或多个动作和过去的活动数据来生成模型,其中该模型描述云服务的相对于云服务具有特权的使用模式。步骤还可以包括使用模型来识别该用户集。
在各个方面,由上述系统、方法和计算机可读介质实现的技术还包括步骤,诸如对在云服务的使用期间执行的动作进行分组。步骤还可以包括识别包括具有特权的动作的一组动作,其中用户集是使用该组动作来识别的。
在各个方面,风险得分指示用户在使用云服务时所执行的动作对租户的安全性风险的程度。在各个方面,风险得分被计算为风险指标(indicator)的加权和。在各种示例中,被分类为具有特权的用户的风险得分以比非特权用户的风险得分的权重更大的权重进行计算。
在各个方面,特权动作是在由第一用户执行时可以以影响其他用户对云服务的使用的方式来修改云服务的动作。在各个方面,特权动作是当由第一用户执行时可以影响云服务的其他用户的用户账户的动作。
通过参考以下说明书、权利要求书和附图,前述内容以及其它特征和实施方式将变得更加清楚。
附图说明
图1包括框图,该框图图示包括安全性监视和控制系统的计算环境的示例。
图2图示了可以由安全性管理和控制系统实现的示例云安全性系统的框图。
图3图示了安全性管理和控制系统的示例分析引擎的框图。
图4图示了行为分析引擎的框图。
图5图示了表6中的数据的图的示例。
图6包括流程图,该流程图图示了用于确定云服务的特权用户并管理特权用户的活动可能造成的安全性风险的处理的示例。
图7描绘了其中可以实现上述各种示例的分布式系统的简化图。
图8是在其中可以将服务作为云提供的系统环境的一个或多个部件的简化框图。
图9图示了可以被用于实现各种示例的计算机系统的示例。
具体实施方式
在下面的描述中,出于解释的目的,阐述了具体细节以便提供对各种实施方式和示例的透彻理解。但是,将清楚的是,可以在没有这些具体细节的情况下实践各种实施方式。例如,电路、系统、算法、结构、技术、网络、处理和其它部件可以被示为框图形式的部件,以便不以不必要的细节使实施方式模糊。附图和描述不意图是限制性的。
一些示例(诸如关于本公开中的附图所公开的那些)可以被描述为被绘制为流程图、流图、数据流图、结构图、顺序图或框图的处理。虽然顺序图或流程图可以将操作描述为顺序处理,但是许多操作可以并行或并发地执行。此外,操作的次序可以被重新安排。处理在其操作完成时终止,但是可以具有图中不包括的附加步骤。处理可以与方法、函数、过程、子例程、子程序等对应。当处理与函数对应时,其终止可以与函数返回到调用函数或主函数对应。
本文描绘的处理(诸如参考本公开中的附图描述的那些)可以用由一个或多个处理单元(例如,处理器核)、硬件或其组合执行的软件(例如,代码、指令、程序)来实现。软件可以存储在存储器中(例如,存储在存储设备上、存储在非瞬态计算机可读存储介质上)。在一些示例中,本文中以序列图和流程图描绘的处理可以通过本文公开的任何系统来实现。本公开中的处理步骤的特定系列并不旨在限制。步骤的其它顺序也可以根据替代示例执行。例如,本公开的替代示例可以以不同的次序执行上面概述的步骤。而且,附图中所示的各个步骤可以包括多个子步骤,这些子步骤可以以对个体步骤适当的各种顺序执行。此外,取决于特定的应用,可以添加或移除附加的步骤。本领域的普通技术人员将认识到许多变化、修改和替代。
在一些示例中,本公开的图中的每个处理可以由一个或多个处理单元执行。处理单元可以包括一个或多个处理器,包括单核或多核处理器、处理器的一个或多个核,或其组合。在一些示例中,处理单元可以包括一个或多个专用协处理器,诸如图形处理器、数字信号处理器(DSP)等。在一些示例中,可以使用定制电路来实现一些或所有处理单元,诸如专用集成电路(ASIC)或现场可编程门阵列(FPGA)。
在各种示例中,云服务可以定义将服务的管理性用户与服务的普通用户区分开的特权。在这个上下文中,特权是指对诸如网络、应用或服务等的计算资源进行改变的能力,和/或影响受限制以便不被非特权用户访问的资源的能力。普通用户可以具有最少的特权集,而管理性用户具有更高的特权,使得管理性用户可以对管理性用户具有更高特权的计算资源进行配置和管理。管理性用户在本文中也被称为特权用户。
云服务可以以特定于该云服务的各种方式细分和分配特权。例如,文件共享服务Box具有访问控制模型,该模型定义管理性用户、共同管理性用户和组管理性用户。在这个示例中,管理性用户可以管理用户和组、查看和编辑组织的所有文件和文件夹、登录到组织中的任何用户的用户账户、编辑组织的设置,以及运行或访问报告。共同管理性用户可以执行与管理性用户相同的操作,但是不能改变管理性用户的权限。组管理性用户可以管理组织内的组,并且可以将用户添加到这些用户所管理的组,可以创建将被指派给组的新用户,并且可以将访问权指派给组,但是在该组之外没有能力。
因为管理性用户具有比普通用户更高的特权,所以与普通用户的活动相比,可能需要对管理性用户的活动给予更高的审查程度。出于各种原因,可能需要进行更高的审查程度。例如,合规审核员可以请求针对管理性活动的审核踪迹(trail),以确保云服务符合各种财务安全法律。作为另一个示例,对流氓管理员的识别可以防止滥用或篡改组织的机密数据。作为另一个示例,网络攻击者经常将管理性用户账户作为目标,网络攻击者寻求获得管理性用户账户可用的更高特权。
但是,识别特定服务的特权用户可能不容易。对于在企业网络内执行的企业应用,组织有时可以将这些应用与组织的内部公司身份管理系统集成在一起。这样做可以使组织能够管理企业应用的用户以及指派给这些用户的特权。但是,对于云服务,对用户和用户的特权的管理是在企业网络外部的云服务内被处置的。此外,每个云服务可以使用不同的模型来向云服务的用户授予特权,使得使用户成为管理性用户的特权对于每个云服务可以是不同的。因此,可能没有统一的定义来识别云服务的特权用户。
而且,组织的用户可以使用不受管理的设备(例如,与该组织拥有的设备相对的,个人拥有的设备)来使用云服务,和/或可以从不受管理的网络(例如,家里、机场、宾馆或其它在企业网络外部的互联网连接)来访问云服务。在这些情况下,用户对云服务的使用会造成组织的网络的安全漏洞,从而使组织容易受到网络攻击。
来自各个供应商(诸如Imperva、Lgrhythem、Cyberark和Oracle)的产品可以执行特权用户的监视。但是,这些产品要求特权用户事先被识别并且被录入该产品以进行监视。云服务的特权用户可能是事先不知道的,因为对该信息的跟踪可能不是无瑕疵的。此外,管理性用户还可以随着时间而改变,新的管理性用户由组织的用户、由自动化工具、通过API和/或由恶意用户创建。同样经常发生的是,创建了并使用管理性账户的人可会停止被组织雇佣,使得关于哪些账户是管理性账户的知识随着时间而丢失。
在各种实施方式中,用于监视和管理云服务的安全性的安全性管理和控制系统可以包括用于识别给定云服务的特权用户的自动化技术。在各种示例中,安全性管理和控制系统可以从云服务获得日志文件,在本文中被称为活动日志,其中活动日志记录由组织的用户在使用云服务时执行的动作。在各种示例中,安全性管理和控制系统可以识别活动日志中相对于云服务具有特权的动作。例如,安全性管理和控制系统可以使用受监督学习技术和无监督学习技术来开发模型,该模型描述组织的用户使用云服务的方式。在这个和其它示例中,安全性管理和控制系统可以使用活动日志中的操作来识别特权用户。一旦识别出特权用户,安全性管理和控制系统就可以以更高的审查程度来监视这些特权用户。
图1包括图示计算环境100的示例的框图,该计算环境100包括安全性监视和控制系统102(在本文中也称为“安全性管理系统”和“安全性系统”)。安全性监视和控制系统102可以为使用由云服务提供商110提供的服务112a-112b的组织130提供威胁分析和补救。因为服务112a-112b是在组织130的网络的外部被管理的,所以组织130的网络安全性系统可能无法确保对服务112a-112b的使用不会对组织130产生安全性风险。在各种示例中,组织130的用户可以通过网络150或网络的组合来访问和使用服务112a-112b。网络150可以包括例如公共互联网。组织130可以类似地通过网络150来访问和使用安全性监视和控制系统102的服务。在各种示例中,安全性监视和控制系统102也可以被描述为由云服务提供商管理的云服务。安全性监视和控制系统的示例是OracleCASB,它是由Oracle公司提供的产品和服务。
服务提供商是被配置为向他人提供计算服务的硬件和软件的集合。计算服务可以包括例如硬件资源、处理资源、数据存储装置、硬件平台、软件平台和/或各种复杂级别的应用等计算资源。在一些情况下,服务提供商操作启用提供商的服务的硬件和软件。在一些情况下,服务提供商使用另一个服务提供商的硬件和软件。例如,第一服务提供商可以是数据中心的运营商,其将软件托管服务资源出租给第二服务提供商,第二服务提供商然后向组织的用户提供诸如协作文字处理应用之类的应用。
在各种示例中,服务提供商遵循订阅模型,并将服务的使用出租给他人,其中出租可以持续一段时间。可以向订户(在本文中也称为租户)给予针对服务提供商和/或特定服务的账户,租户通过该账户使用服务。当租户是组织时,租户可以具有针对服务提供商的账户(在本文中称为租户账户或企业账户)并且组织的用户可以具有针对服务提供商和/或特定服务的个人用户账户。在一些情况下,用户账户与租户的账户绑定,并且租户账户可以控制和管理用户账户。
在一些示例中,服务提供商可以提供服务而无需来自订户的直接报酬。例如,服务提供商可以提供免费的电子邮件应用,并通过其它渠道(诸如广告)获得服务的收入。在这个和其它示例中,订户可以在没有租约的情况下并且可能无限期地获得针对服务提供商的账户。
在图1的示例中,服务提供商110提供两个服务112a-112b,它们可以通过网络150让服务提供商110的客户访问。服务112a-112b可以包括例如基础设施、平台、网络和应用以及其它服务。在一些示例中,两个服务112a-112b可以是相互关联的,诸如能够共享数据或可通过单一登录机制访问(例如,用户凭证的一个集合使用户能够访问两个服务112a-112b,而无需分别对每个服务进行认证)。在一些示例中,服务112a-112b完全独立地操作。例如,第一服务112a可以是银行应用,而第二服务112b可以是软件开发平台。在这个示例中,服务提供商110可以将两个服务112a-112b作为分离且不相关的产品提供。
服务提供商110的客户可以包括个人用户和/或组织,其中组织可以包括多个用户。组织是将人和资源聚集在一起以实现一个或多个共同目的的实体。组织的示例包括公司、大学、公用事业和政府实体,等等。组织的人可以在组织中被表示为用户。在计算环境100的上下文中,用户是数字实体,其可以包括用户名、用户标识符、用户账户、凭证(例如,密码、安全令牌或另一种形式的凭证)和/或可以被用于访问和使用组织的计算系统的其它数据。一个或多个人可以与同一用户账户关联,或者一个人可以具有多个用户账户。例如,网络管理团队的成员可以使用与网络管理团队的其他成员所使用的相同的管理性用户账户,同时还具有仅由该网络管理员使用的用户账户。在一些示例中,代替由人类驱动或作为其补充,用户的活动可以由自动化程序(诸如“机器人”)驱动。
在各种示例中,组织的用户和组织的资源处于共同的管理之下,并且可以在相同的安全范围内操作。例如,在图1的示例中,组织130的资源包括企业网络104和多个客户端设备106a-106c。客户端设备106a-106c可以包括例如台式计算机、膝上型计算机、智能电话、平板电脑和其它计算设备。在一些示例中,客户端设备106a-106c可以由组织130的员工个人拥有,但是当这些设备连接到企业网络104时,这些设备由组织130管理。企业网络104还可以包括其它计算设备,诸如服务器、打印机、路由器、交换机和其它网络设备。组织130的资源还可以包括数据(例如,文档、网页、业务数据、用户数据等)、数据库、应用、处理能力、存储能力、联网能力以及其它硬件、软件或数字资源。
在各种示例中,组织130的客户端设备106a-106b可以连接到企业网络104并在其中操作。例如,客户端设备106a-106b可以连接到企业网络104内的交换机,其将客户端设备106a-106b放置在企业网络104的防火墙108后面。通过位于防火墙108后面,将客户端设备106a-106b置于企业网络104的安全范围内。在安全范围内,防火墙108和其它网络安全性系统(诸如安全性信息和事件管理(SIEM)应用、入侵检测系统(IDS)和入侵防御系统(IPS)等等)可以保护企业网络104中的设备免受网络威胁。
在各种示例中,组织130的客户端设备106c可以从企业网络104的外部连接到组织130。例如,客户端设备106c可以通过互联网服务提供商(ISP)连接到网络150,并且通过网络150,客户端设备106c可以能够连接到企业网络104的虚拟专用网(VPN),或类似的机制。一旦连接到VPN,客户端设备106c就可以作为企业网络104的一部分进行操作,并受到企业网络104的安全范围的保护。但是,在这个示例中,客户端设备106c同时连接到客户端设备106c与企业网络104之间的网络150,因此仍然会暴露于可能来自网络150的安全性风险。此外,在一些示例中,客户端设备106c可能不需要连接到企业网络104以便能够访问服务提供商110的服务112a-112b。
在各种示例中,组织130的用户可以通过客户端设备106a-106c利用组织130的资源以及组织130订阅的服务112a-112b,客户端设备106a-106c可以是组织130拥有的并由组织130提供给组织的成员。在各种示例中,成员可以使用组织130的任何客户端设备,并且可以能够使用多个客户端设备。例如,企业网络104可以包括用户工作站,任何成员都可以使用该用户工作站登录并访问该成员的用户账户。作为另一个示例,成员可以访问膝上型计算机和智能电话,并且可以登录到任一设备以访问同一个用户账户。可替代地或附加地,成员可以使用成员个人拥有的客户端设备来连接到组织的网络,以利用组织130的资源。
如上所述,服务提供商的服务112a-112b的订户也可以是不隶属于组织130或不作为组织130的一部分的个人。个人可以访问启用网络的客户端设备106d,个人可以通过该设备访问服务112a-112b。个人可以具有针对ISP的用户账户,该用户账户使个人能够访问网络150。可替代地或附加地,个人可以具有针对服务112a-112b中的一个或多个的用户账户。但是,个人不能使用客户端设备106d连接到企业网络104,因为该个人没有针对组织130的用户账户或使该用户账户获得连接到企业网络104的权限的凭证。
在各种示例中,个人和组织可以订阅由不同服务提供商提供的服务。例如,组织可以使用来自一个服务提供商的电子邮件服务(例如,来自的Gmail)和来自另一个服务提供商的文件共享服务(例如,Dropbox)。在这个和其它示例中,不同的服务提供商可以是不相关的,包括具有用于支持其相应服务并由不同实体控制的分开的计算系统。在一些示例中,用户可以具有针对每个服务提供商和/或每个服务提供商的服务的分开的账户。在一些示例中,用户可以能够使用公共用户账户来访问不同服务提供商的服务。
在一些示例中,云服务可以被授权或不被授权在组织130中使用。经授权的服务是组织130已经批准使用的服务。批准可以包括例如通过认证处理对服务进行审查(vet)以确保服务是安全的、与服务提供商110建立服务合同、将服务提供商110置于经批准的服务提供商列表中、将服务提供商110识别为知名且受信任的服务提供商、和/或控制为组织130的用户生成针对服务的用户账户等活动。例如,服务提供商110可以被服务提供商110分类为“受信任的”服务提供商。在一些示例中,组织130可以将其它服务提供商分类为“不信任的”,或者将不在受信任的列表上的所有服务提供商分类为不信任的。未经授权的服务是组织还没有特别批准并且由用户自行决定使用的服务。例如,用户可以正在使用组织130还没有特别授权的文件共享服务,可能组织130没有意识到文件共享服务正在被使用。
在一些示例中,服务提供商110的服务112a-112b可以通过可以从组织130内执行并且可以被授权在组织130内使用的应用来执行或访问。例如,组织130可以具有经授权的web浏览器应用,用户可以通过该应用来访问诸如文件共享服务或数据库服务之类的服务。在这个和其它示例中,web浏览器应用可以被称为内部应用。在一些示例中,内部应用可以与云服务112a-112b协作地操作,包括例如允许服务112a-112b访问组织130内的数据、用户账户信息或其它信息。因为内部应用正在组织130内执行(例如,在组织130的客户端设备106a-106c上),所以组织130可以监视和控制内部应用的使用情况。但是,组织130可能不知道或不能够监视用户通过内部应用对服务提供商110的服务112a-112b的使用情况。
在一些示例中,用户可以通过第三方服务提供商114来访问服务提供商110的服务112a-112b。例如,用户可以首先访问由第三方服务提供商114提供的服务116,并且通过这个服务116,访问另一个服务提供商110的服务112b(在这里用虚线箭头示出)。第三方服务提供商114的服务116可以是例如使用户能够定位和访问其它云服务提供商的应用和服务的门户服务。在一些示例中,第三方服务提供商的服务116通过网络150提供对其它服务的访问(例如,去往和来自服务116的针对另一个服务112b的数据通过网络150传输到另一个服务112b和从另一个服务112b传输),但是从用户的角度来看,访问可以看起来是直接的。在一些示例中,服务116使用户能够建立针对另一个服务112b的订阅,此后,用户直接访问另一个服务112b,而无需访问第三方服务提供商114的服务116。
云服务112a-112b的使用可以对服务112a-112b的订户产生安全性风险。例如,在大多数情况下,在组织内操作的硬件、平台和软件可以由组织控制并由组织保护,例如使用物理屏障和/或网络安全工具。但是,云服务112a-112b在组织130之外操作并且在组织130的直接控制之外。组织130可能对用户在使用服务112a-112b时执行的活动具有几乎零可见性,或者不能控制用户执行的动作。此外,组织130可能几乎没有监视或控制以下用户动作的能力,即,这些用户动作使得可疑数据或未经授权的用户通过服务112a-112b进入组织130,或使得组织的数据通过服务112a-112b的使用而离开组织130。
在各种实施方式中,安全性监视和控制系统102可以为云服务112a-112b的订户提供网络威胁检测和补救服务。在各种实施方式中,安全性监视和控制系统102可以分析服务112a-112b的使用并识别可能对组织或个人订户构成威胁的活动。在一些实施方式中,安全性监视和控制系统102还可以建议补救动作,和/或可以自动执行补救动作以隔离或停止威胁。在一些示例中,由安全性监视和控制系统102执行的分析可以包括确定用户活动中的正常和/或异常行为的模型,并使用这些模型来检测可疑活动的模式。在一些示例中,安全性监视和控制系统102可以同时分析来自不同服务和/或来自不同服务提供商的数据。在这些示例中,安全性监视和控制系统102可以能够检测仅在使用不同服务执行的动作发生时才明显的可疑活动。在各种示例中,当分析确定可能需要在其它服务提供商处采取动作时,安全性监视和控制系统102可以确定可以在检测到可疑活动的服务提供商处或在不同服务提供商处执行的补救措施。
在一些示例中,安全性管理和控制系统102可以被集成到组织130的计算环境中。例如,安全性监视和控制系统102可以在企业网络104中的服务器上并且在组织130的防火墙108后执行。在这些示例中,安全性管理和控制系统102可以由组织的网络管理员和/或由与安全性管理和控制系统102的开发人员相关联的人员来管理。
可替代地或附加地,在各种示例中,可以将安全性监视和控制系统102的能力作为服务提供给个人和组织。例如,可以将安全性监视系统102的网络安全服务作为基于web的云服务和/或在软件即服务(SaaS)模型下提供。在这些和其它示例中,客户可以使用由安全性监视和控制系统102提供的应用,其中这些应用提供各种威胁检测和补救功能。与服务提供商110的服务112a-112b一样,个人和组织可以订阅由安全性监视和控制系统102提供的安全服务。在一些示例中,组织130的组用户可以被指定为管理性用户,并且可以管理由安全性监视和控制系统102在监视组织130的安全性时所进行的操作。这些用户可以能够访问信息(诸如由安全性管理和控制系统102生成的报告),并且具有执行安全性管理和控制系统102建议的补救动作的能力,等等。
在各种实施方式中,可以使用计算系统来实现安全性监视和控制系统102。在这些实施方式中,计算系统可以包括一个或多个计算机和/或服务器(例如,一个或多个访问管理器服务器),其可以是通用计算机、专用服务器计算机(诸如台式服务器、UNIX服务器、中型服务器、大型机、机架式服务器等)、服务器场、服务器集群、分布式服务器或任何其它适当布置和/或计算硬件的组合。安全性监视和控制系统102可以运行操作系统和/或各种附加服务器应用和/或中间层应用,包括超文本传输协议(HTTP)服务器、文件传输服务(FTP)服务器、通用网关接口(CGI)服务器、Java服务器、数据库服务器和其它计算系统。数据库服务器的示例包括可从Oracle、Microsoft等获得的数据库服务器。可以使用硬件、固件、软件或硬件、固件和软件的组合来实现安全性监视和控制系统102。
在各种实施方式中,安全性监视和控制系统102可以包括至少一个存储器、一个或多个处理单元(例如,(一个或多个)处理器)和/或存储装置。(一个或多个)处理单元可以适当地以硬件(例如,集成电路)、计算机可执行指令、固件或硬件和指令的组合来实现。在一些示例中,安全性监视和控制系统102可以包括若干子系统和/或模块。安全性监视和控制系统102中的子系统和/或模块可以以硬件、在硬件上执行的软件(例如,可由处理器执行的程序代码或指令)或其组合来实现。在一些示例中,软件可以存储在存储器(例如,非暂态计算机可读介质)中、存储器设备上或某种其它物理存储器中,并且可以由一个或多个处理单元(例如,一个或多个处理器、一个或多个处理器核心、一个或多个图形处理单元(GPU)等)执行。(一个或多个)处理单元的计算机可执行指令或固件实施方式可以包括以任何合适编程语言编写的可以执行本文所述的各种操作、功能、方法和/或处理的计算机可执行指令或机器可执行指令。存储器可以存储在(一个或多个)处理单元上可加载和可执行的程序指令,以及在这些程序的执行期间生成的数据。存储器可以是易失性的(诸如随机存取存储器(RAM))和/或非易失性的(诸如只读存储器(ROM)、闪存等)。可以使用任何类型的持久性存储设备(诸如计算机可读存储介质)来实现该存储器。在一些示例中,计算机可读存储介质可以被配置为保护计算机免受包含恶意代码的电子通信的影响。计算机可读存储介质可以包括存储在其上的指令,该指令在处理器上执行时执行安全性监视和控制系统102的操作。
在各种实施方式中,安全性监视和控制系统102可以包括实现安全性监视和控制系统102的不同特征的各种模块。在图1的示例中,这些模块包括扫描器174、模式分析器176、学习系统178、数据访问器182、数据分析系统136、信息处置器系统138、映射生成器170、控制管理器172、日志收集器系统134和接口120。安全性监视和控制系统102还包括存储装置122,其存储安全性监视和控制系统102使用的各种数据。在一些示例中,安全性监视和控制系统102还可以连接到附加的数据存储库180,附加数据存储库180可以存储安全性监视和控制系统102可能需要的附加数据。
在各种示例中,安全性监视和控制系统102的存储装置122可以存储一个或多个数据存储库,这些存储库存储租户配置信息124、安全性信息126、域信息128和应用信息132。在各种示例中,存储装置122可以包括一个或多个数据库(例如,文档数据库、关系数据库或其它类型的数据库)、一个或多个文件存储库、一个或多个文件系统,或用于存储数据的系统的组合。
在各种示例中,租户配置信息124(“租户配置信息”)可以包括租户和租户账户以及与每个租户账户相关联的用户账户的配置信息。例如,当组织130订阅安全性管理和控制系统102的服务时,组织可以向安全性管理和控制系统102提供识别组织针对云服务提供商110的租户账户的信息。在这个示例中,安全性管理和控制系统102可以将租户账户信息存储在租户配置信息124中。在一些情况下,组织130也可以提供针对服务提供商110的用户账户的列表,该列表也可以存储在租户配置信息124中。可替代地或附加地,在一些示例中,安全性管理和控制系统102可以查询服务提供商110以确定用户账户。在一些示例中,安全性监视和控制系统102可以以各种方式使用租户账户和用于该租户的用户的用户账户之间的关联,包括检索关于与该租户相关联的用户的活动的信息。
在一些示例中,组织130还可以向安全性管理和控制系统102提供认证信息,其中认证信息可以用于登录或以其它方式访问服务提供商110的服务112a-112b。在各种示例中,安全性管理和控制系统102可以使用授权信息来访问组织130针对服务提供商110的租户账户。授权信息可以采取例如令牌(例如,OAuth令牌)、用户名和密码的形式或另一种形式的凭证。在一些示例中,组织130可以用授权来指定许可或特权,这可以定义安全性管理和控制系统102对组织的租户账户的访问级别。例如,组织130可以指定安全性管理和控制系统102可以改变用于由服务提供商110提供的服务的安全设置,但是安全性管理和控制系统102不能生成新的用户账户或删除用户账户。
在各种示例中,租户配置信息124可以存储组织130的其它信息,诸如例如安全性、用于访问服务提供商110的服务112a-112b的设置、日志设置和/或访问设置(例如,安全性策略、安全性配置以及白名单和黑名单等)。在一些示例中,组织130可以基于级别为服务指定安全设置。例如,处于高级别的安全设置可以要求用户密码“强”,例如,意味着密码必须包括各种字符(诸如大写和小写)、数字和/或符号。类似地,处于不同级别的安全设置可以将会话不活动定时器设置为较高或较低的时间段,使得,例如,当不活动定时器到期时,用户的会话自动结束。
在一些示例中,存储装置122可以包括安全性信息126(“安全性信息”),该安全性信息126包括由安全性监视和控制系统102执行的安全性分析。在一些示例中,安全性信息126可以包括用于安全性监视和控制系统102的不同客户的分开的条目。在一些示例中,安全性信息126包括可以在需要时进行查询的历史数据:过去分析的结果(例如,自上个月以来、最近三个月、去年或某个其它过去的时间段)。在一些示例中,安全性信息126还可以包括过去的安全性事件的记录、对过去的安全性事件是实际事件还是假阳性的确定、针对过去事件采取的补救动作的记录和/或执行补救动作的结果等数据。在一些示例中,安全性信息126还可以包括网络威胁情报数据,该数据例如是从第三方威胁情报聚合器和分发器获得的。
在一些示例中,存储装置122可以包括关于服务提供商110和其它服务提供商的域信息128(“域信息”)。域信息128可以包括例如服务提供商110的网络地址或位置、用于服务提供商110的所有者或运营商的标识信息(例如,拥有和/或运营服务提供商110的个人或组织)、以及用于验证服务提供商110的身份的信息。例如,可以通过查询服务提供商110、从服务提供商110请求证书和/或从服务提供商的ISP或服务提供商的托管服务请求信息来获得域信息128。
在一些示例中,存储装置122可以包括应用信息132(“应用信息”),该应用信息记录服务提供商的应用或服务的用户。应用信息132可以包括例如从组织130收集的数据日志和/或从服务提供商110获得的活动日志。应用信息132可以记录例如在服务提供商110的服务112a-112b的使用期间执行的动作以及执行了这些动作的用户的标识、何时执行了动作的时间戳、当用户执行动作时网络的网络标识和/或用户的地理位置、受动作影响的资源,以及与服务112a-112b的使用相关的其它信息。
在各种实施方式中,安全性监视和控制系统102可以耦合到一个或多个数据存储库180或与之通信。可以使用任何类型的持久存储设备来实现数据存储库180,诸如存储器存储设备或其它非暂态计算机可读存储介质。在一些示例中,数据存储库180可以包括或实现一个或多个数据库(例如,文档数据库、关系数据库或其它类型的数据库)、一个或多个文件存储库、一个或多个文件系统或其组合。数据存储库180可以由服务提供商系统提供的服务来实现和/或作为服务提供商系统提供的服务来访问。数据存储库180可以包括用于请求与服务或服务的服务提供商相关的数据的接口。
在一些实施方式中,安全性监视和控制系统102可以包括日志收集器系统134,该日志收集器系统134执行用于获得安全性监视和控制系统102可以对其执行分析的数据的操作。在各种示例中,安全性监视和控制系统102可以使用不同类型的数据或数据源来进行威胁分析。例如,安全性监视和控制系统102可以使用通过监视客户端设备106a-106c(服务112a-112b是通过客户端设备106a-106c而被使用的)而获得的数据,和/或通过监视组织的网络内的点(例如路由器或防火墙108处的点)获得的数据。在本文中,从客户端设备或组织的网络内获得的数据被称为网络数据。为了获得网络数据,在一些示例中,可以将监视代理放置在客户端设备106a-106c上和/或组织的网络的网络基础设施上。在这些示例中,监视代理可以在用户使用云服务时捕获用户活动。
作为另一个示例,安全性监视和控制系统102可以使用来自服务提供商110的数据日志。在各种示例中,当服务提供商110的服务112a-112b被使用时,服务提供商110可以记录用户活动。例如,服务提供商110可以记录用户何时登录服务、用户登录时用户的网络和/或地理位置、用户使用服务时由用户执行的动作、受动作影响的资源,以及与服务的使用相关的其它信息。来自服务提供商的数据在本文中称为活动数据或活动日志。
以下示例说明了可以从服务提供商获得的活动数据的一些示例。以下是可以从服务提供商获得的活动数据的第一示例(例如,审核日志记录):
以下是可以从服务提供商获得的活动数据的第二示例(例如,共享文件审核日志记录)。
以下是可以从服务提供商获得的活动数据的第三示例(例如,审核记录)。
以下是可以从服务提供商获得的活动数据的第四示例(例如,审核记录)。
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47efcdemyprodbucket[06/Feb/202017:00:01:57+0000]192.0.2.3Mary DD6CC733AMARYREST.GET.OBJECT s3-dg.pdf“GET/mybucket/financial2016Q4.pdf HTTP/1.1”200--4406583 4175428“-”“S3Console/0.4”-
在一些示例中,安全性监视和控制系统102可以使用来自其它数据源的数据,诸如来自除组织的网络或服务提供商110之外的网络源的第三方馈送。其它网络源的示例可以包括网络安全数据聚合器和分发器、社交联网系统、新闻报道或聚合系统、政府系统、声誉系统和其它系统。
在各种实施方式中,日志收集器系统134可以执行操作以获得网络数据和/或活动数据。例如,日志收集器系统134可以被配置为与和在企业网络104放置在一起的软件代理进行通信,以使由这些代理记录的数据联网。在这个示例中,网络数据可以包括当用户使用服务提供商110的服务112a-112b或另一个服务提供商的服务时生成的网络流量。在一些示例中,网络数据可以包括其它网络流量,例如当用户使用其它网络资源(诸如组织130的资源或互联网(诸如网站)上的资源)时生成的网络流量。作为另一个示例,日志收集器系统134可以被配置为与服务提供商110通信,以从服务提供商110获得活动日志。服务提供商110可以具有例如使日志收集器系统134能够请求活动日志的API。在这些示例中,日志收集器系统134可以能够使用针对服务提供商110的租户账户的凭证来请求活动日志;即,日志收集器系统134可以扮演服务提供商110的租户并以与租户相同的方式提出请求。
在各种实施方式中,由日志收集器系统134获得的数据可以由安全性监视和控制系统102中的数据分析系统136处理。数据分析系统136可以对网络数据和活动数据进行分析以执行操作,诸如正在使用的应用的发现、活动模式学习和识别、异常检测以及网络威胁检测,等等。下面进一步讨论可以由数据分析系统136执行的这些和其它操作。
在各种实施方式中,安全性监视和控制系统102的信息处置器系统138管理存储装置122中的数据,包括例如存储数据、定位和检索数据、组织数据以及更新数据,等等。在一些示例中,信息处置器系统138从组织130的用户(诸如管理性用户)接收数据,该用户可以提供信息,诸如组织的用户的列表和关于这些用户的数据。关于用户的数据可以包括例如用户的角色或特权。在这些和其它示例中,信息处置器系统138可以管理用户数据在存储装置122中的适当数据存储库中的存储。
在各种实施方式中,映射生成器170对组织130或安全性监视和控制系统102的另一个客户执行安全性分析。例如,映射生成器170可以对数据分析系统136的输出进行操作,并计算服务、用户、租户或服务、用户和/或租户的组合的安全性的量度。在一些示例中,映射生成器170可以从接口120获得数据以执行安全性分析。安全性分析操作将在下面进一步讨论。
在各种实施方式中,安全性监视和控制系统102中的控制管理器172可以代表组织130进行操作,以管理组织的用户对服务提供商110的服务112a-112b的访问。在各种示例中,控制管理器172可以为多个云服务或组织的用户使用的任何云服务提供此服务。在一些示例中,控制管理器172可以使用访问策略来控制用户对服务112a-112b的访问。访问策略可以定义(例如)可以使用或不能使用服务的用户的类型或类别、可以使用或不能使用服务的具体用户、可以使用服务的一天中的时间或一周中的某天、可以向服务传送和从服务传送的数据的量、可以使用的数据带宽的量、在使用服务时可以执行或不能执行的操作、访问策略适用于哪些用户,和/或关于服务的其它限制或权限。在各种示例中,控制管理器172可以为订阅安全性管理和控制系统102的服务的每个组织维护策略集。在一些示例中,控制管理器172可以为预设提供不同的安全性级别,其中选择预设为一个或多个服务选择安全性配置。在这些示例中,组织对预设的选择可以影响组织的一些或全部用户使用服务的能力。
在一些示例中,控制管理器172还可以维护用于组织130的安全性策略。安全性策略可以定义动作或动作集,这些动作在被检测到时构成安全性违反或以其他方式需要注意的事件。在一些示例中,可以通过使用一个服务而发生由策略定义为违反安全性的动作,这意味着所有动作都是在使用同一服务时执行的。在一些示例中,动作可以在使用多于一个服务期间发生,其中服务是由一个服务提供商或多个服务提供商提供的。在一些示例中,安全性策略还可以定义要在检测到违反策略时执行的一个或多个补救动作。补救动作可以包括例如向造成了违反的用户、向组织130的网络管理员、向安全性管理和控制系统102的管理员和/或向另一个实体发送通知。
在一些示例中,补救可以包括修改对服务或对多个服务的访问。例如,补救动作可以包括阻止特定用户使用服务,或者阻止组织130的所有用户使用服务。作为另一个示例,补救动作可以包括限制可以在使用服务时执行的动作。在一些示例中,执行补救动作可以包括向企业网络104发送指令。在这些示例中,指令可以例如配置客户端设备或网络基础设施设备(诸如防火墙108)。在一些示例中,客户端设备106a-106c和/或网络基础设施设备可以正在执行软件代理,该软件代理使控制管理器172能够与设备通信并且对设备进行修改。修改可以包括例如限制对域或IP地址的访问、阻止所有网络流量、禁用设备或对设备进行某种其它修改。
在一些示例中,执行补救动作可以包括向服务提供商110发送指令以修改对服务112a-112b的访问。在这些示例中,补救动作可以包括确定要发送的指令。例如,控制管理器172可以检查服务提供商110和/或服务的API,以识别可以被执行以引起对服务的期望改变的指令。在这个示例中,API可以定义指令,该指令可以例如防止或限制组织130的用户或一组用户对服务的访问。作为另一个示例,API可以定义可以禁用或启用服务的某些功能的指令,其中禁用或启用影响组织130的一个或多个用户。在这些和其它示例中,对服务的修改影响与补救相关联的组织的用户,而不影响不同组织的用户。
在各种实施方式中,安全性监视和控制系统102可以包括学习系统178。学习系统178可以将各种机器学习算法应用于由安全性监视和控制系统102收集的数据。然后例如可以由数据分析系统136使用关于数据学习到的信息来做出关于在使用由服务提供商110提供的服务时的用户活动的确定。例如,学习系统178可以学习组织的用户的正常或普通行为的模式。在这些和其它示例中,学习系统178可以生成捕获学习系统178已经学习到的模式的模型,该模型可以与用于组织的其它数据一起存储在存储装置122中。
为了支持学习系统178,在一些实施方式中,安全性监视和控制系统102包括扫描器174和模式分析器176。在这些实施方式中,扫描器174可以例如扫描数据以获取特定类型的信息。例如,扫描器174可以提取特定用户、用户组、用户类和/或与特定租户相关联的所有用户的活动。作为另一个示例,扫描器174可以提取与特定服务或服务集的使用相关的活动。作为另一个示例,扫描器174可以提取与特定服务提供商相关的活动。在各种实施方式中,模式分析器176可以使用由扫描器174提取的数据来识别数据中的模式。例如,用户和/或组织可以以重复的方式或以循环的方式使用服务。在这些示例中,模式分析器176可以识别重复行为,并且向学习系统178识别这些行为模式。
在一些示例中,安全性监视和控制系统102中的数据访问器182可以与服务提供商通信,以从那些服务提供商获得活动数据。活动数据可以是针对用户账户、租户账户、组账户或另一类型的账户。可以针对服务、特定类型的数据(例如,特定属性的数据)、一个或多个用户、或者服务、服务提供商、属性、用户或其它因素的组合来获得活动数据。在一些示例中,数据访问器182可以处理数据以识别与一个或多个准则(诸如一个或多个服务、特定类型的数据(例如,特定属性的数据)、一个或多个用户或其组合)相关的活动。
在各种实施方式中,安全性管理和控制系统102提供接口120,安全性管理和控制系统102的客户可以通过该接口使用安全性管理和控制系统102的服务。接口120可以提供例如图形用户界面(GUI),该图形用户界面可以显示使组织的管理性用户能够配置安全性管理和控制系统102的服务的控制面板或仪表板。图形用户界面还可以使管理性用户能够查看关于服务提供商110的服务112a-112b的用户活动的报告。图形用户界面还可以提供安全性事件的报告并建议补救动作,和/或报告安全性管理和控制系统102自动执行的补救动作的结果。图形用户界面可以例如被实现为可以在组织130的客户端设备106a-106c上执行的软件应用。可替代地或附加地,图形用户界面可以被实现为基于web的界面(例如,网站)。
在一些示例中,接口120可以可替代地或附加地提供API,组织130可以通过该API来管理由安全性管理和控制系统102提供的服务。该API可以定义动作,例如,在使用云服务时拉取关于用户活动的报告、拉取关于安全性事件的报告、发布用于补救动作的指令、获得关于用户活动的统计信息和/或与安全性管理和控制系统102的服务相关的其它动作。接口120的API可以使组织能够例如将安全性管理和控制系统102的能力集成到组织130的安全性基础设施中。
在各种实施方式中,用于安全性监视和控制的系统可以包括多个部件,这些部件可以位于单个硬件平台上或彼此通信的多个硬件平台上。部件可以包括配置服务器或其它计算设备以执行安全性管理和控制系统102的操作的软件应用和/或模块。
图2图示了可以由安全性管理和控制系统实现的示例云安全性系统200的框图。在各种实现方式中,示例云安全性系统200可以为服务提供商230的租户220进行网络威胁分析,并且确定租户220的用户在使用服务提供商230的服务时的动作是否构成网络威胁。在各种实施方式中,云安全性系统200可以包括用于与租户220接口的用户接口部件215和用于与服务提供商230接口的提供商接口部件201。在后端,云安全性系统200可以包括用于进行分析的各种应用和用于存储在分析中使用的数据的数据存储库。
在图2的示例的上下文中,租户220是服务提供商230的租户,这意味着租户220正在使用服务提供商230的服务。当云安全性系统200被提供为云服务时,租户220也可以是云安全性系统200的租户,因为租户220正在使用云安全性系统200的服务。
在各种示例中,用户接口部件215包括管理控制台214和分析可视化控制台216。使用管理控制台214,租户220可以配置用于服务提供商230的服务的安全性控制。安全性控制的配置可以包括例如启用或禁用租户的用户对服务的访问、启用或禁用租户的用户可以使用的服务的特征,以及租户220可用的其它配置。分析可视化控制台216可以被用于查看由云安全性系统200生成的分析。例如,使用分析可视化控制台216,租户220可以查看涉及租户的用户和租户220所订阅的服务的安全性事件的报告。在各种示例中,可以从云安全性系统200的数据存储库获得在管理控制台214和分析可视化控制台216中显示的信息。
在各种实施方式中,管理控制台214可以向租户220提供针对多个云服务和/或云服务提供商的控制的规格化视图。管理控制台214可以包括用户界面,该用户界面在同一屏幕上显示用于不同云服务的控制的简化视图。提供给管理控制台214的信息可以是使用基于元数据的模式映射从应用目录数据库208检索的。在一些示例中,管理控制台214可以被用于跨云服务指派一致的访问策略。在这些示例中,管理控制台214可以根据指定的分类器(诸如例如标准、严格或自定义等)来显示控制和/或设置控制。在这个示例中,越高级别的分类与越严格的控制对应。在一些示例中,安全性控制的分类和/或指定符合由组织(诸如美国国家标准技术研究院(NIST)、国际标准化组织(ISO)和/或支付卡行业数据安全标准(PCI DSS))指定的准则,和/或一个这种组织提供的具体证书。在一些示例中,管理控制台214还可以提供用于与SaaS、PaaS和原生应用集成的插件接口。
在各种实施方式中,分析可视化控制台216可以以库格式显示安全性指标,其具有用颜色(诸如红色、绿色、黄色)编码的风险因素。可以显示其它统计信息或度量,诸如例如用户登录尝试、具有最新添加的用户的组、已删除的文件、具有最多已删除的文件的用户和/或下载最多文件的用户,等等。一些类型的信息可以特定于特定的服务提供商。例如,对于Salesforce.com,度量可以包括正在下载机会或预算数据、合同或联系人的用户的身份。在一些示例中,分析可视化控制台216提供用于租户的云服务的安全性控制的统一视图。分析可视化控制台216可以显示用于不同云服务的任何或所有安全性控制集而值集,以及当前值相对于与预定策略或配置相关联的值的偏差。
在各种示例中,提供商接口部件201可以是云安全性系统200可以用来与服务提供商230进行接口的应用。这些部件可以包括云爬取器(crawler)应用202、云播种器应用204和数据加载器应用206。
在各种示例中,云爬取器应用202可以从服务提供商230检索关于安全性控制的信息。可以将由云爬取器应用202检索到的数据输入到应用目录数据库208中。检索信息可以包括例如向服务提供商230发送请求,该请求被制定为向服务提供商230询问可用于服务的安全性控制以及用于安全性控制的任何可用设置。可替代地或附加地,服务提供商230可以包括API,云爬取器应用202可以通过该API获得用于服务的安全性控制。在各种示例中,云爬取器应用202可以从服务提供商230检索软件定义的安全性配置数据。软件定义的安全性配置数据可以描述针对特定服务的安全性控制的配置。安全性控制是限制访问云服务提供商所提供(house)的应用和/或数据的机制。例如,软件定义的安全性配置数据可以包括描述为以下各项定义的角色的数据:用户、组和用户的分组;加密密钥;令牌;访问控制;权限;配置;认证策略的类型;移动访问策略;以及许多其它类型的安全性控制。
在各种示例中,云爬取器应用202可以连接到服务提供商230,以便获得软件定义的安全性配置数据。服务提供商230可以要求用于访问服务提供商的系统的授权或某种其它形式的同意。授权可以由令牌(诸如使用用于授权的开放授权(OAuth)开放标准)或由凭证(诸如用户名和密码)提供。令牌或凭证可以是租户220的令牌或凭证,或者可以是与云安全性系统200相关联的令牌或凭证。可以使用各种其它技术来授权对云提供商的系统和数据的访问。该连接还可以包括提供服务URL。
在各种示例中,可以通过使用服务提供商230的API来收集软件定义的安全性配置数据。API和API类的示例包括代表性状态传输(REST)、Java2平台、企业版(J2EE)、简单对象访问协议(SOAP)和原生编程方法(诸如用于Java的原生应用API),等等。还可以使用其它技术来请求信息,诸如脚本语言(诸如Python和PHP)、部署描述符、日志文件、通过Java数据库连接(JDBC)或REST的数据库连接性以及驻留应用(诸如云信标)。被发送或接收的信息可以以各种格式表示,诸如JavaScript对象表示法(JSON)、可扩展标记语言(XML)或逗号分隔值(CSV)等等。
下面的表1提供了由云服务提供商Box和AmazonWebServices(AWS)提供的一些安全性控制的示例。其它云服务提供商可以具有类似的安全性控制或其它安全性控制。
表1
表2提供了用于云服务提供商Salesforce.com的安全性控制和受支持的访问中的一些的示例。其它云服务提供商可以使用类似的或其它安全性控制和访问控制。
表2
在各种示例中,云爬取器应用202可以根据从服务提供商230获得的软件定义的安全性配置数据来生成安全性控制元数据。安全性控制元数据是规格化的描述符,用于将信息输入到公共数据库(诸如应用目录数据库208)中。可以对安全性控制元数据进行分类(例如,映射到类别中)并索引。分类可以符合由安全性组织指定的标准和/或可以由第三方认证和/或审核。此外,可以围绕特定法规或标准的要求来制定安全性控制元数据和/或元数据的分类。例如,诸如健康保险可移植性和责任法案(HIPAA,Health InsurancePortability and Accountability Act)、萨班斯-奥克斯利法案(Sarbanes-Oxley Act)、联邦风险与授权管理计划(FedRAMP,Federal Risk and Authorization ManagementProgram)和/或支付卡行业数据安全标准(PCIDSS,Payment Card Industry DataSecurity Standard)之类的法规和标准可以要求报告和审核踪迹。可以以显示法规和标准所需的信息的类型的方式来格式化安全性控制元数据,并促进所需的报告的生成。
安全性控制元数据可以存储在应用目录数据库208中。在一些示例中,应用目录数据库208是ApacheCassandra数据库,这是被设计为跨许多商用服务器处置大量数据的开源NoSQL数据库管理系统。在一些示例中,应用目录数据库028是使用适于该应用的数据库的类型来实现的。在一些示例中,可以使用各种数据库来存储应用目录,以供以后检索、报告生成和分析生成。
在各种实施方式中,可以使用其它方法来检索软件定义的安全性配置数据并生成安全性控制元数据。此外,用于检索软件定义的安全性配置数据的各种类型的控制和机制可以由不同的云服务提供商支持。例如,其它云应用(诸如Office365、GitHub、Workday和各种Google应用)都使用特定于服务的检索机制。此外,取决于云服务提供商支持什么,用于检索软件定义的安全性配置数据的处理可以被自动化。
在各种实施方式中,云播种器应用204可以被用于实现用于租户220的安全性策略。云播种器应用204可以例如为针对服务提供商的服务的租户账户设置安全性控制。安全性控制可以影响例如一个用户账户、多个用户账户或所有用户账户。在一些示例中,云播种器应用204可以在各种情况下设置安全性控制。例如,云播种器应用204可以作为对威胁的补救的一部分,或者在由租户220调用时,设置安全性控制。在各种示例中,云播种器应用204可以被用于协调跨云服务的一致访问策略。在一些示例中,安全性控制可以跨组织所具有的针对不同服务提供商的多个账户来协调。例如,可以定义不同的安全性级别,使得在选择更高或更低级别的安全性时,组织针对不同云服务的账户的安全性控制都被设置为反映该更高或更低级别的安全性。以这种方式,可以强制实施统一的策略和安全性控制配置。可以通过输入到用户界面(诸如上面讨论的控制管理平台)中来定义处于不同的安全性级别的各种安全性控制的值,并且可以将与处于每个安全性级别的安全性控制相关联的值存储在数据库中。可以提供用户界面,以示出组织的针对云服务的账户的安全性控制以及安全性控制值处于一安全性级别的指派。作为示例,处于“严格”安全性级别的安全性控制可以包括针对用户账户的密码要求,诸如最少十个字符、两个数字、一个特殊字符、一个大写字母、不重用最后十个密码,等等。
在各种实施方式中,数据加载器应用206可以从服务提供商230检索租户220的活动数据。活动数据可以来自当租户的用户使用服务提供商的服务时由服务提供商230生成的日志。在各种示例中,数据加载器应用206可以通过从服务提供商230请求数据来获得活动数据。可以将由数据加载器应用206检索到的数据输入到着陆(landing)储存库210和/或分析和威胁情报储存库211中。输入到着陆储存库210中的数据可以具有不同的格式和/或具有不同的值范围,例如由于它们是从不同的服务提供商收集的。在一些示例中,来自数据加载器应用206的数据可以在被移至分析和威胁情报储存库211之前被重新格式化和/或结构化,使得例如数据具有统一格式。
在各种示例中,数据加载器应用206可以通过连接到服务提供商230并与之通信来获得活动数据。在各种示例中,该连接是通过加密的通信信道进行的。在一些示例中,可以通过令牌或使用登录凭证或另一种认证方法对连接进行认证。在一些示例中,活动数据的收集被调度为周期性地发生(例如,每四个小时、每六个小时或以某个其它时间间隔)。在一些示例中,用于收集的调度可由租户220配置。在一些示例中,数据加载器应用206使用实时计算系统(诸如例如ApacheStorm,开源分布式实时计算系统)在事件发生时实时地收集数据。数据加载器应用206可以被配置为将某些事件或活动指定为高风险事件,并且这些事件可以在所调度的检索间隔之外近乎实时地被检索。
在各种示例中,活动数据可以包括关于服务提供商的服务的用户的各种类型的信息。例如,与用户账户相关联的活动数据可以包括与服务的用户账户的使用和/或对服务的用户账户所采取的动作相关的信息。在这个示例中,活动数据可以包括信息的源,诸如用户日志和/或审核踪迹。活动数据的更具体类型可以包括例如登录和登出统计信息(包括尝试和成功)、文件操作、访问度量、网络下载/上传度量、应用度量(例如,使用、操作、功能等)、用于访问服务的IP地址、用于访问服务的设备,和/或被访问了的云资源(诸如例如文件管理云应用[诸如Box]中的文件和文件夹、人力资源云应用[诸如Workday]中的员工和承包商、和/或客户关系管理云应用[诸如Salesforce]中的联系人和客户)。在各种示例中,活动数据可以包括与事件或统计信息相关联的用户的用户账户或其它用户标识符。在各种示例中,活动数据可以包括关于云系统的系统状况或活动的信息,诸如例如服务器活动、服务器重新引导、服务器所使用的安全密钥以及系统凭证,这种信息是使用经授权的凭证的系统可见的或可访问的。
在一些示例中,活动数据还可以包括关于租户账户的安全性配置的信息,可能包括与该租户账户相关联的用户账户的安全性配置。安全性配置可以包括用于租户和/或与该租户相关联的用户账户的安全性控制被设置为的值。
在各种示例中,数据加载器应用206可以将检索到的活动数据存储在分析和威胁情报储存库211中。分析和威胁情报储存库211可以是具有查询能力的任何数据库或数据储存库。在一些示例中,虽然可以将任何数据仓库基础设施适当地用于应用,但是分析和威胁情报储存库211在基于NoSQL的基础设施(诸如ApacheCassandra)或另一个分布式数据处理系统中构建。在一些示例中,在将数据移动到分析和威胁情报储存库211之前,首先将该数据输入到着陆储存库210中并重新格式化和/或结构化。
在一些示例中,活动数据可能是以由不同服务提供商或服务使用的不同格式而接收的。例如,数据可以以JSON或其它数据交换格式来格式化,或者可以作为日志文件或数据库条目而可用。在一些示例中,数据加载器应用206执行用于规格化数据并将数据重新格式化为用于存储在分析和威胁情报储存库211中并从中检索的通用格式的操作。将数据重新格式化可以包括将数据分类并结构化为通用格式。在一些示例中,数据库适于结构化改变和新值,并且可以运行自动化的处理以检查改变的数据。在一些示例中,云爬取器应用202识别检索出的数据的结构或值的差异,并且可以将改变应用于应用目录数据库208和/或分析和威胁情报储存库211。
在一些示例中,数据加载器应用206可以预生成系统报告。系统报告可以由被调度以周期性间隔在数据集上运行的作业(例如,进程)生成。存储在应用目录数据库208和/或分析和威胁情报储存库211中的数据可以被用于生成各种报告。报告的类别可以包括例如认证和授权、网络和设备、系统和改变数据、资源访问和可用性、恶意软件活动以及故障和严重错误,等等。报告可以基于各种属性,诸如例如按应用、按用户、按受保护的资源以及按用于访问的设备,等等。报告可以突出显示最近的改变,诸如云应用中更新后的功能或新修改后的策略。报告可以由所调度的作业(例如,出于性能原因)预先生成或者可以由用户或管理员请求。
在一些示例中,报告包括对数据生成的分析。分析可以使用ApacheSoftwareFoundation技术(诸如Hadoop、Hive、Spark和Mahout)或所使用的数据存储框架中可用的其它特征。在一些示例中,R编程语言被用于生成分析。在一些示例中,分析的生成包括使用机器学习算法、专有算法和/或来自外部商业源(诸如FireEye和Norse)或公共威胁情报社区(诸如Zeus和Tor)的外部威胁情报。
在各种实施方式中,关于访问模式和其它事件统计信息的分析和威胁情报储存库211中的活动信息的聚合使系统200能够建立行为的基线。例如,机器学习技术可以应用于检测威胁并提供关于如何对威胁进行响应的推荐。可以开发威胁模型来检测已知或未知或正在出现的威胁。威胁也可以通过将活动数据与外部威胁情报信息(诸如由第三方提供商提供的信息)进行比较来识别,如下面进一步讨论的。在各种示例中,分析和威胁情报储存库211中的数据还可以被用于生成可以经由用户界面可视地呈现给系统管理员的报告,以及生成用于确定威胁级别、检测具体威胁以及预测潜在威胁的分析,等等。
在一些示例中,租户220的单个用户可以具有针对服务提供商230和/或针对由服务提供商230提供的服务的多个账户。在各种示例中,一个用户的各个用户账户可以在用户身份储存库209中关联在一起。在一些示例中,用户身份储存库209可以将用户针对多个服务提供商所具有的用户账户分组在一起。在一些示例中,租户220可以具有针对服务提供商230的租户账户。在这些示例中,用户身份储存库209可以将租户220的用户与租户账户相关联,这也可以将用户的用户账户与租户账户相关联。用户账户与租户账户的关联可以通过各种方式被使用,诸如检索关于租户的用户的用户活动的信息。在一些示例中,可以使用租户账户针对服务提供商230的凭证来登录服务提供商230,以检索与该租户账户相关联的用户账户的活动数据。
在各种实施方式中,用户身份储存库209还可以被用于促进对用户活动的跟踪和简档的生成,其中简档可以描述特定用户对云服务或多个云服务的使用。在一些示例中,云安全性系统200可以使用用户的简档来采取影响多个云服务的动作。例如,当用户在使用若干云服务的活动可能是安全性风险时,云安全性系统200可以抢先警告系统管理员。可替代地或附加地,作为另一个示例,云安全性系统200可以通过应用补救措施来主动保护用户在其上维护数据的其它服务,诸如向认证添加附加步骤、改变密码、阻止一个或多个特定IP地址、阻止电子邮件或发件人、或锁定账户,等等。
在各种实施方式中,云安全性系统200可以包括对由云安全性系统200收集的数据执行分析的应用或软件模块。该应用或软件模块可以存储在易失性或非易失性存储器中,并且在被执行时,可以将处理器配置为执行某些功能或处理。这些应用可以包括描述性分析应用207和预测分析应用212。在一些示例中,描述性分析应用207可以生成分析,诸如关于用户、用户活动和用户使用的资源的统计信息。在一些示例中,威胁检测和预测分析应用212可以使用机器学习和其它算法来生成分析。由预测分析应用212执行的分析可以包括根据活动和行为模型的模式来识别和预测安全性威胁。可以使用存储在分析和威胁情报储存库211中的数据来执行由描述性分析应用207和预测分析应用212执行的分析。
在各种实施方式中,云安全性系统200可以包括补救功能,该补救功能提供用于对威胁进行响应的手动和/或自动处理。在一些示例中,分析可以使用从租户系统接收的描述由租户提供的威胁情报的信息。这些源(在示例系统200中被称为租户基线217)可以包括诸如以下信息:要观察或阻止的具体IP地址、要观察或阻止的用户、要观察或阻止的电子邮件地址、要监视的软件弱点、可能易于被滥用的浏览器或浏览器版本,和/或脆弱的移动设备或移动硬件或软件的版本,等等。在一些示例中,分析可以使用从外部第三方馈送218接收的信息。第三方馈送218的源可以是例如威胁情报聚合器或分发器。通过提供关于安全性威胁的外部信息,来自第三方馈送218的信息可以被用于增强云安全性系统200的威胁分析。外部信息可以包括例如被感染的节点的识别、来自特定源IP地址的恶意活动、被恶意软件感染的电子邮件消息、脆弱的web浏览器版本,以及对云的已知攻击,等等。
在各种实施方式中,事件补救应用213可以被用于响应于检测到的威胁而协调和/或执行补救动作。在一些示例中,当在警报中呈现并选择推荐的补救动作时,可以调用事件补救应用213。事件补救应用213可以执行所选择的补救动作,或者指示另一个应用(诸如云播种器应用204)执行所选择的补救动作。当所选择的补救动作要被手动执行或在安全性系统200外部时,事件补救应用213可以跟踪补救动作的状况以及补救动作是否完成。在一些示例中,事件补救应用213可以被用于存储手动或自动补救动作的结果。在一些示例中,所选择的补救动作将由安全性系统200外部的系统(诸如由第三方的或租户的事件补救系统)执行。在这些示例中,事件补救应用213可以指示或调用第三方的或租户的事件补救系统以执行动作。例如,事件补救应用213可以能够访问第三方或租户220的自动集成处理。
图3图示了安全性管理和控制系统的示例分析引擎300的框图。在各种示例中,分析引擎300可以分析各种数据源以识别针对其用户正在使用云服务的组织的网络威胁。在各种示例中,分析引擎300的操作可以被用于检测和/或解决各种威胁场景。
威胁场景的一个示例是IP跳跃(IP hopping)。在IP跳跃场景中,攻击者可以在发起攻击之前使用一个或多个代理服务器来隐藏攻击者的真实位置或机器身份。对这种类型的场景的检测可以涉及用于连接到云应用的每个IP连接的地理解析(例如,识别或查找与IP地址相关联的地理位置)。检测还可以包括检测空间数据中的异常特点,并根据这个信息预测威胁。用于检测的度量可以包括例如用户每天使用的唯一IP地址的数量的计数和/或速度,这可以指使用不同IP地址之间的时间差和/或每个IP地址所使用的持续时间。
威胁场景的另一个示例是不寻常地理位置场景。不寻常地理位置场景可以指活动源自非预期的位置或已建立的模式之外的位置。这种场景可以包括诸如但不限于从不寻常地理位置成功登录或上传/下载文件之类的活动。
威胁场景的另一个示例是暴力攻击。暴力攻击的示例是当攻击者尝试许多密码以便发现正确的密码并破坏用户账户的尝试。检测可以涉及评估失败的登录尝试的速度和事件活动中的模式,以预测暴力攻击。在一些示例中,暴力攻击可以具有不同的速度,诸如缓慢的攻击速度或快速的攻击速度。用于检测的度量可以包括例如对于现有有效账户的不寻常高数量的登录失败和/或利用无效或终止/暂停的用户名的不寻常高数量的登录尝试。
威胁场景的另一个示例是内部威胁。内部威胁可以指人从网络内部实施的安全漏洞。例如,组织的已经授权的员工在其被组织雇佣期间可能滥用授权并有意或无意地造成(case)安全漏洞。检测内部威胁可以涉及跟踪用户的正常行为,并在与用户的一个或多个账户相关联的事件或活动偏离正常时生成警报。度量可以包括例如经常性大量使用公司资源,诸如大量下载和/或评级较低的员工下载或共享数量不寻常多的文件/文件夹、从源代码控制系统中删除代码,或下载、删除或修改客户信息,等等。
威胁场景的另一个示例是应用滥用。应用滥用是一种场景,其可以包括例如与终止或暂停的员工相关联的事件(例如,使用过期或撤消的用户账户、使用诸如SSH密钥之类的密码密钥,等等)或被恶意软件感染的设备使用有效凭证但不寻常的地理位置或IP地址执行次数不寻常的文件下载/上传。
虽然上面讨论了具体的威胁情景和可以被用于辨别这些场景的信息类型,但是本领域技术人员将认识到的是,威胁检测和预测可以利用各种信息和公式中的任何一种。
在各种示例中,分析引擎300可以通过检查各种外部和内部数据源来检测以上讨论的威胁场景以及其它威胁场景。外部数据源可以提供从云服务提供商获得的活动数据310。在一些示例中,外部数据可以可选地包括租户基线317和第三方数据318。在一些示例中,内部数据源可以包括由行为分析引擎304确定的数据模型,并且可以可选地包括由安全性管理和控制系统维护的威胁情报数据314。
在各种示例中,当用户使用云服务时,云服务可以存储用户活动。例如,云服务可以存储用户登录以使用服务的每次发生、用户在使用服务时执行的动作、受动作影响的资源、被移入、移出或在服务内的数据和/或用户在会话结束时登出,等等。在这些和其它示例中,可以将用户的活动存储在日志文件中,该日志文件在本文中被称为活动日志。活动日志中的条目可以包括例如执行的动作或执行的动作的描述、执行动作的用户的标识、受动作影响的资源、执行动作的时间或动作在什么时间发起和/或完成,和/或执行动作的用户的网络位置或地理位置等信息。在图3的示例中,活动数据310可以包括用于多个服务和/或多个服务提供商的活动日志。在这些和其它示例中,一个活动日志可以包括用于一个服务或由同一服务提供商提供的多个服务的用户活动。
在各种示例中,分析引擎300每天一次、隔天一次或在另一个时间间隔周期性地接收更新后的活动数据310。在一些示例中,当某些事件发生时,分析引擎300接收活动数据310,诸如服务指示事件已经发生(例如,服务已被更新、或者服务已检测到网络威胁、或另一个事件在该服务处发起)、组织指示事件已经发生(例如,组织已将用户添加到服务、或网络管理员请求更新后的分析、或另一个事件在该组织处发起),或安全性管理和控制系统指示事件已经发生(例如,接收到新的威胁情报数据314、或另一个事件在安全性管理和控制系统处发起)。
在一些示例中,来自不同云服务的活动日志可以具有不同格式。例如,一个活动日志中的条目可以被提供为逗号分隔的值,而另一个活动日志可以使用JSON语法。在这些和其它示例中,活动日志中的数据可以由分析引擎300规格化,或者在被提供给分析引擎300之前被规格化。规格化活动数据310包括重新格式化活动数据310,使得来自不同服务和/或服务提供商的数据是可比较的、具有相同的含义和/或具有相同的意义和相关性。在规格化之后,行为分析引擎304可以以有意义的方式聚合和比较来自不同云服务的数据。例如,由一个用户对一个云服务进行的一系列失败的登录尝试可以被视为不是威胁。但是,同一用户在多个不同的云服务处的一系列登录失败指示破解用户的密码的协力努力,因此应当发出警报。
在各种示例中,可以由行为分析引擎304将活动数据310摄取到分析引擎300中。在各种实施方式中,行为分析引擎304可以从活动数据310收集统计信息,并从活动数据310识别行为特点。统计信息可以包括例如动作(诸如成功的登录尝试或失败的登录尝试)的计数。在一些示例中,统计信息可以与特定服务提供商、特定服务、特定用户、可以在使用服务时执行的特定动作、特定时间范围、其它因素和/或因素组合相关联。
在各种实施方式中,行为分析引擎304可以使用从活动数据310生成的统计数据来确定活动简档,该活动简档在本文中也被称为行为简档。例如,行为分析引擎304可以生成活动简档,该活动简档描述特定组织的用户对服务的通用或典型使用模式。作为另一个示例,行为分析引擎304可以为特定用户或用户组生成活动简档。在这个示例中,活动简档可以描述用户在使用一个或多个服务时的活动。在各种示例中,为了识别用户跨服务的活动,行为分析引擎304可以能够访问用户身份数据,该用户身份数据可以将特定用户针对不同云服务的账户链接在一起。用户身份数据可以包括例如针对每个云服务的用户名或其它形式的标识。在各种示例中,用户身份数据可以由组织提供。可替代地或附加地,在一些示例中,安全性管理和控制系统可以自动确定不同的用户账户是相关的。例如,安全性管理和控制系统可以假设应当链接具有相同用户名或源自相同IP地址或MAC地址的用户账户。
在一些示例中,行为分析引擎304可以在用户的活动简档中包括上下文数据。可以从例如第三方数据318获得上下文数据,其中第三方数据318的源是声誉系统、社交媒体系统、新闻聚合器或提供商,或者可以维护关于用户的信息的另一个系统。上下文数据的示例包括来自旅行应用或电子邮件的旅行位置和行程、来自医疗保健管理系统的员工状态、来自Salesforce应用的敏感财务时间段,和/或来自电子邮件服务器的敏感电子邮件,等等数据。在一些示例中,可以附加地或可替代地从用户使用的客户端设备获得上下文数据。在这些示例中,上下文数据可以包括例如客户端设备的类型的标识、由客户端设备使用的IP地址、由客户端设备的全球定位系统(GPS)接收器计算的地理位置数据,以及关于客户端设备或可以从客户端设备获得的其它信息。
在各种示例中,活动简档可以覆盖不同的时间段。在一些示例中,活动简档可以使用固定的移动窗口来覆盖以周为单位测量的时间段。在一些示例中,可以生成“新兴简档”,其捕获相对较近期(诸如上周内或目标日期之前的一周内)的事件。在一些示例中,可以生成“稳定简档”,其包括在上四(或八)周内或目标日期之前的四(或八)周内的事件。在各种示例中,可以生成其它简档或简档类型。
在一些示例中,固定的移动窗口可以是不重叠的。即,时间进一步倒退的窗口可以排除时间上较近的窗口中的事件。例如,八周简档不包括四周简档或一周简档中的事件,并且类似地,四周简档不包括一周简档内的事件。每日(或周期性)聚合处理可以在日内或日间运行。
下面的表3示出了针对一些用户活动的计算出的示例统计信息。示例用户活动包括四周窗口简档的平均登录计数(“avglogcntday4wk”)、四周窗口简档的平均登录IP地址计数(“avglogipcntday42k”)、一周窗口简档的登录计数的标准偏差(“stdlogcntday1wk”),以及一周窗口简档的登录IP地址计数的标准偏差(“stdlogipcntday1wk”)。取决于可用数据和/或正被预测的威胁,可以计算类似的和其它统计信息。
表3
诸如以上所示的那些之类的统计信息可以被组合成特征向量。特征向量可以包括例如登录次数的计数、用于登录的不同IP地址的数量的计数、在24小时时间段内用于登录的任何两个IP地址之间的最大距离、在24小时时间段内用于连接到云应用的不同浏览器的数量的计数,和/或其它量度。可以按云应用和/或按云应用按用户来聚合特征向量。
下面的表4示出了示例每日聚合矩阵向量。第一列提供了示例应用提供商,第二列说明了提供商可以支持的向量维度,并且第三列说明了可以指派给每个维度的值。
表4
下面的表5列出了若干可能的每日聚合矩阵向量的示例值。这里说明的示例向量包括一天中的每日登录计数(“logcntday_1dy”)、一天中的每日失败登录计数(“logfailcntday_1dy”)、一天当中发生失败登录的IP地址每日计数(“logfailipdisday_1dy”)和一天当中用于登录的IP地址的每日计数(“logipdisday_1dy”)。
表5
用户ID | logcntday_1dy | logfailcntday_1dy | logfailipdisday_1dy | logipdisday_1dy |
User1 | 5 | 4 | 3 | 2 |
User2 | 6 | 2 | 2 | 1 |
User3 | 4 | 3 | 2 | 2 |
User4 | 4 | 4 | 2 | 1 |
User5 | 5 | 5 | 1 | 1 |
在各种示例中,由行为分析引擎304确定的活动简档可以由威胁检测引擎302使用,以识别可能对正在使用云服务的组织构成威胁的云服务的使用情况。在一些示例中,威胁检测引擎302应用安全性策略来识别威胁。安全性策略可以描述事件,当该事件发生时,该事件将引起组织和/或安全性管理和控制系统的注意。例如,安全性策略可以指定需要引起组织注意的动作,诸如下载包含信用卡号的文件、复制加密密钥、提升普通用户的特权等。在一些示例中,安全性策略还可以描述在检测到事件时将要采取的动作,诸如阻止对服务的访问或禁用用户账户。
在一些示例中,威胁检测引擎302进行异常检测以识别威胁。异常检测可以涉及搜索偏离已建立的规范的统计变化。在一些示例中,威胁检测引擎302的操作可以通过租户基线317来增强,该租户基线可以包括来自组织的威胁情报。在一些示例中,威胁检测引擎302可以可替代地或附加地接收由安全性管理和控制系统维护的威胁情报数据314,和/或接收包括来自例如威胁情报聚合器或分发器的威胁情报的第三方数据318。
以下提供了可以被用于异常检测的各种示例算法。提供这些算法作为示例,并且可以使用其它算法。
算法1是可以被用于确定登录IP地址变化的算法的一个示例。可以在不同时间段内为登录IP地址特征向量计算Z得分。下面的示例使用一周、四周和八周作为不同时间段的示例,得出三个Z得分:
Z得分可以与指派给每个得分的权重(w1...w3)组合:
L组合=(w1×L1 Z得分)+(w2×L2 Z得分)+(w3×L3 Z得分)
在一些示例中,权重之和为一。取决于何时执行计算,可以动态地计算所应用的权重。例如,在第一天,可以使用基于现有数据计算的值来应用默认基线,包括默认Avg(平均值)和默认Stddev(标准偏差)。作为另一个示例,对于从第二天开始的第一周,L1 Z得分可用,使得权重可以被设置为w1=1、w2=0、w3=0。继续该示例,在五周之后,L1和L2 Z得分可用,并且权重可以被设置为w1=0.4、w2=0.6、w3=0。在14周之后,L1、L2和L3 Z得分可用,使得权重可以被设置为w1=0.2、w2=0.3、w3=0.5。登录IP地址的变化中的异常条件可以被定义为L_Combined(L组合)>T,其中T是阈值。该阈值可以根据先前的数据确定和/或可以随时间被修改。
算法2是可以被用于检测失败的登录IP地址变化的算法的示例。可以针对不同时间段内的登录IP地址特征向量计算Z得分,这里以一周、四周和八周作为示例来进行说明:
失败的登录IP地址的Z得分可以与指派给每个得分的权重(w1...w3)组合:
L组合=(w1×L1 Z得分)+(w2×L2 Z得分)+(w3×L3 Z得分)
在各种示例中,可以取决于何时执行计算来动态地计算所应用的权重。例如,在第一天,可以使用基于现有数据计算的值来应用默认基准,包括默认Avg(平均值)和默认Stddev(标准偏差)。在这个示例中,权重可以随着周的进展而变化,如算法1的示例中所提供的那样。登录IP地址的变化中的异常条件可以被定义为L_Combined(L组合)>T,其中T是阈值。该阈值可以根据先前的数据确定和/或可以随时间被修改。
在各种示例中,针对一个云服务的用户检测到的异常活动可以被威胁检测引擎302用于计算或重新计算在使用另一个云服务时的威胁的可能性。以这种方式,可以主动地筛选在使用一个云服务期间发生的新事件,以检测和/或预测在使用另一个云服务时的威胁。在各种示例中,可以将跨不同云服务的多个数据点关联起来,以提高威胁得分的准确性。
算法3提供了可以被用于分析多个应用行为的算法的示例。在算法3中,将与各种云服务活动(诸如登录)相关联的用户IP地址解析为地理位置坐标IP1(纬度1,经度1)、IP2(纬度2,经度2)、IP3(纬度3,经度3)等。如果用户对于不同的云服务具有不同的用户名,那么可以将与该用户相关联的各个用户名映射到唯一的特定于用户的身份,该身份跨服务识别该用户。可以使用各种距离量度和/或公式中的任何一个计算针对任何数量的云服务(例如,AmazonWebServices、Box、Salesforce等)的用于登录(例如,登录尝试、成功登录和/或失败的登录)的任何两个IP地址之间的距离。在一些示例中,距离d是使用Haversine距离公式计算的,如下所示:
Diff经度=经度2-经度1
Diff纬度=纬度2-纬度1
d=R×c
在用于d的等式中,R是地球的半径。
可以使用如上计算的最大距离来计算Z得分以确定不同时间段内用户行为的偏差。作为示例,示出了1周、4周和8周的时间段:
Z得分可以与指派给每个得分的权重(w1...w3)组合,如下:
L组合=(w1×L1 Z得分)+(w2×L2 Z得分)+(w3×L3 Z得分)
在各种示例中,可以取决于何时执行计算来动态地计算所应用的权重。例如,在第一天,可以使用基于现有数据计算的值来应用默认基线,包括默认Avg(平均值)和默认Stddev(标准偏差)。在这个示例中,如上面所提供的,权重可以随时间的进展而变化。登录IP地址的变化中的异常条件可以被定义为L_Combined(L组合)>T,其中T是阈值。该阈值可以从先前的数据确定和/或可以随时间被修改。
算法4提供了用于确定访问云应用时使用的浏览器或操作系统(OS)的变化的算法的示例。可以使用特征向量来计算Z得分,该特征向量表示当访问云应用时使用的不同浏览器或操作系统的数量的计数,其中访问发生在各个时间段。作为示例,下面使用一周、四周和八周:
可以将Z得分与指派给每个得分的权重(w1...w3)组合,如下:
L组合=(w1×L1 Z得分)+(w2×L2 Z得分)+(w3×L3 Z得分)
在各种示例中,可以初始地应用默认基线,并且随着时间的进展,权重可以随着更多数据变得可用而变化。登录IP地址的变化中的异常条件可以被定义为L_Combined(L组合)>T,其中T是阈值。该阈值可以根据先前的数据确定和/或可以随时间被修改。
算法5提供了用于确定从云应用下载的数量的变化的算法的示例。可以使用特征向量来计算Z得分,该特征向量表示用户账户在不同时间段内的下载次数计数,诸如以下示例中提供的一周、四周和八周:
可以将Z得分与指派给每个得分的权重(w1...w3)组合,如下:
L组合=(w1×L1 Z得分)+(w2×L2 Z得分)+(w3×L3 Z得分)
在各种示例中,可以初始地应用默认基线,并且随着时间的进展,权重可以随着更多数据变得可用而变化。登录IP地址的变化中的异常条件可以被定义为L_Combined(L组合)>T,其中T是阈值。该阈值可以根据先前的数据确定和/或可以随时间被修改。
在各种示例中,可以使用诸如上面说明的得分之类的得分,以及其它指标,来计算风险得分,该风险得分在本文中也称为安全性的量度。在各种示例中,威胁检测引擎302可以计算用户、用户组或类别、服务和/或服务提供商的风险得分。风险得分可以指示安全性风险的程度。例如,可以定义从一到五的标度,其中越高的值指示用户或服务对组织构成越高的安全性风险。
用于计算风险得分的指标也可以以得分的形式提供特定的风险因素。例如,异常检测的结果可以包括得分形式的指标,该指标指示与规范的偏离程度和/或异常对组织造成的风险程度。在一些示例中,与同一用户或同一服务相关联的每个异常可以被用作单独的指标。在各种示例中,可以被用于计算风险得分的其它指标可以与用户、服务、服务提供商、用户看上去所在的地理位置、用户看上去所在的域、一天中的时间或一周中的某天或一年中的时间或另一个因素相关联。例如,可以从与用户相关联的组织、从声誉站点、从社交媒体站点、从新闻组织或从其它源获得针对用户的指标。可以例如从威胁情报聚合器或分发器获得针对服务或服务提供商的指标,威胁情报聚合器或分发器可以跟踪服务或服务提供商的声誉。其它指标可以由内部威胁情报数据314提供。
在各种示例中,可以将风险得分计算为可用指标的加权和。例如,给定指标“I1,I2,...,In”,可以使用以下公式计算风险得分:
在前面的等式中,“W1,W2,…Wn”是权重。在各种示例中,权重值可以指示指标的相对重要性,越不重要的指标接收越低的权重值。
在一些示例中,分析引擎300可以获得关于风险得分的有效性和/或准确性的反馈。作为示例,组织的网络管理员可以提供反馈。作为另一个示例,安全性管理和控制系统的管理员可以提供反馈。可替代地或附加地,在一些示例中,可以使用自动机器学习算法(诸如决策树和神经网络)来获得反馈。在一些示例中,分析引擎300可以使用反馈来调整权重、指标和/或源,包括可能去除源或指标。在这些和其它示例中,威胁检测引擎302可以用经调整的指标和权重来计算新的风险得分。
在各种示例中,威胁检测引擎302可以对用于计算风险得分的每个指标和/或风险得分执行回归分析。回归分析可以包括构建和更新线性回归模型。线性回归模型可以提供输出,诸如S=c1(I1)+c2(I2)+…+cn(In)。由回归模型计算出的系数ci可以是新的或经修改的权重,它们将代替初始权重来计算风险得分。随着更多反馈和更多数据被收集,该模型可以提供更高的准确性。
在各种示例中,分析引擎300可以对从服务提供商获得的活动数据310执行各种其它分析306。在一些示例中,各种类型的算法对于分析数据可以特别有用。决策树、时间序列、朴素贝叶斯分析和用于构建用户行为简档的技术是可以被用于基于可疑活动和/或外部数据馈送的模式来生成预测的机器学习技术的示例。诸如聚类之类的技术可以被用于检测离群值和异常活动。例如,可以基于帐户访问一个或多个文件或使来自(由第三方馈送或以其它方式)标记为恶意的IP地址的一系列登录尝试失败而识别威胁。以类似的方式,威胁也可以(可能随时间)基于一个云应用或跨多个云应用的不同活动模式。
可以被生成的一类分析是描述性分析或统计分析。可以使用预定义的系统查询集(诸如例如MapReduce作业以及Spark和Apache Hive查询等等)来生成统计数据。可以使用关联技术为单个服务或者跨多个服务生成描述性分析。可以被生成的报告的示例包括例如登录统计信息(例如,登录失败最多的用户、基于IP地址的登录历史(包括对IP声誉、地理位置和其它因素的考虑))、用户统计信息(例如,具有最多资源[文件、EC2机器等]的用户、跨云的权利、改变的密码的数量等)、活动统计信息(例如,用户跨云的活动)、密钥轮换的统计信息(例如,是否在最近三十天内已轮换安全外壳(SSH)密钥,等等),以及资源统计信息(例如,文件夹的数量、由用户下载的文件、由漫游或移动用户下载的文件,等等),等等。可以使用各种统计分析技术,诸如均值、标准偏差、回归、样本尺寸确定和假设测试,等等。可以识别趋势,诸如在一定时间段内的登录活动、基于密码相关的支持问题的过去历史的此类问题,或识别在一定时间段内看到最多活动的移动设备的类型。报告中的数据可以显示在作为事件查看器的用户界面上,该事件查看器示出事件的“墙”,以及用户可以响应于或为了补救事件而采取的动作。可以基于预定义的规则构造警报,这些规则可以包括具体的事件和阈值。
可以被生成的另一类分析是预测和启发式分析。这些可以结合机器学习算法以生成威胁模型,诸如例如与基线期望的偏差、罕见和不频繁的事件、以及用于导出用户的可疑行为的行为分析,等等。可以训练算法和简档,以智能地预测不寻常行为是否为安全性风险。可以集成来自诸如但不限于MaxMind、FireEye、Qualys、Mandiant、AlienVault和NorseSTIX之类的提供商的第三方馈送,以增强威胁情报。这些第三方馈送可以提供关于潜在安全性威胁并与之相关的外部信息,诸如例如IP地址声誉、恶意软件、被感染的节点的标识、脆弱的web浏览器版本、用户对代理或虚拟专用网络(VPN)服务器的使用,以及对云的已知攻击。在一些示例中,威胁信息以结构化威胁信息表达(STIX)数据格式表示。例如,一个或多个服务可以贡献有关特定IP地址的信息,诸如声誉(例如,已知具有软件漏洞、恶意软件的主机,或攻击源)和/或与IP地址相关联的地理位置。可以将这个信息与检索到的涉及IP地址的活动数据(诸如什么时间从那个IP地址尝试登录)以及从活动数据导出的信息(诸如登录尝试距离多远)组合。这些因素可以被用于确定“登录速度”度量。可以为其它活动(诸如文件访问、销售交易或虚拟机的实例)确定度量。
聚类和回归算法可以被用于对数据进行分类并找到常见的模式。例如,聚类算法可以通过聚合从移动设备登录的用户的所有条目而将数据放入集群中。预测分析还可以包括基于活动来识别威胁,其中活动是诸如用户在几个月内没有访问特定的云应用并然后在下个月表现出高活动性,或者用户在过去几周中每周下载一个文件,这表明潜在的高级持续威胁(APT)场景。在一些示例中,随时间收集的数据被用于构建正常行为的模型(例如,事件和活动的模式),并将偏离正常的行为标记为异常行为。在将一个或多个标记的事件或活动表征为真阳性或假阳性(例如,通过用户反馈)之后,可以将该信息提供回一个或多个机器学习算法,以自动修改系统的参数。因此,可以至少以上述方式利用机器学习算法来做出推荐并减少假警报(假阳性)。在一段时间内从各种参数收集的活动数据可以与机器学习算法一起使用,以生成被称为用户行为简档的模式。活动数据可以包括上下文信息,诸如IP地址和地理位置。
在各种实施方式中,算法可以使用先前获取的用户活动数据来模拟正常用户活动。例如,租户基线317可以包括用户过去使用云服务的记录。该模拟可以被用于训练其它机器学习算法以学习组织的用户的正常行为。一般而言,特定的安全性问题可能不总是重复,并且因此可能无法通过纯受监督算法被检测到。但是,诸如离群值检测之类的技术可以建立对于检测异常活动有用的基线。此类异常活动以及上下文威胁情报可以以较低的预测错误提供对威胁的更准确的预测。
在各种实施方式中,其它分析306可以包括对安全性控制漂移的检测,安全性控制漂移可以是指以看似任意的方式改变一个或多个安全性控制,这会增加安全性风险。在一些示例中,可以响应于云服务的安全性控制的变化以及与风险事件相关联的可动作情报来生成风险事件。威胁可以包括对于应用的使用而言是异常或不合规的活动、事件或安全性控制。作为示例,云应用中租户的密码策略可能已经被改变为施加更少的要求(例如,字符的类型和/或数量)。这可以生成风险事件和警报,以推荐将密码策略改变回原始密码策略。
在各种实施方式中,分析引擎300可以包括推荐引擎308,推荐引擎308接收威胁检测引擎302、行为分析引擎304和其它分析306的输出。在各种示例中,推荐引擎308可以引发警报322、做出推荐324、自动执行动作326以及提供可视化328,组织可以使用该可视化328来理解组织对云服务的使用、检测到的安全性风险以及安全性风险的补救,等等。
在各种示例中,可以在可视化328中提供警报322,可视化328可以使用组织可访问的用户界面来查看。可替代地或附加地,可以通过其它通信信道来提供警报322,诸如电子邮件、文本消息、短消息服务(SMS)消息、语音邮件或另一种通信方法。在一些示例中,警报322可以作为安全消息被传送(例如,通过安全通信信道或要求密钥或登录凭证以查看)。
警报可以包括关于检测到的事件的信息,诸如例如事件标识符、日期、时间、风险级别、事件类别、用户账户和/或与事件相关联的安全性控制、与事件相关联的服务、事件的描述、补救类型(例如,手动或自动)和/或事件状况(例如,打开、关闭),等等信息。警报中关于每个风险事件的信息可以包括例如受影响的云服务的标识符或类别的实例、优先级、日期和时间、描述、推荐的补救类型和/或状况等信息。风险事件还可以具有用户可选择的动作,诸如编辑、删除、标记状况完成和/或执行补救动作。补救动作的选择可以调用诸如事件补救应用和/或云播种器应用之类的应用以执行所选择的补救。可以将有关识别出的威胁的警报和/或其它信息发送到安全性监视和控制系统外部的实体。
在一些示例中,可以随时间提供不同事件类别中的事件的计数作为图形可视化,诸如图表。该图表可以显示例如颜色编码的类别中的每一个类别的按日期的事件(诸如在不寻常时间的活动、下班后的下载、失败的登录等)的计数。事件类别的视觉表示(例如,线)可以被打开和关闭。在一些示例中,威胁也可以显示在摘要视图中。
在一些示例中,当组织的网络管理员接收到警报322时,网络管理员可以从组织的网络内采取补救动作。在这些示例中,安全性管理和控制系统可以将警报保持在“打开”状态,直到网络管理员报告可以关闭警报。
在各种示例中,当威胁检测引擎302或其它分析306标记需要关注的事件时,推荐引擎308还可以确定推荐324。推荐可以包括可以被采取以进一步调查可疑事件或补救可疑事件(例如,对其采取纠正动作)的动作。在各种示例中,可以在用户界面中呈现的可视化328中向组织的网络管理员呈现推荐324。可替代地或附加地,推荐324可以通过其它形式的通信来呈现,诸如电子邮件、文本消息、短消息服务(SMS)消息、语音邮件等等。在各种示例中,组织的网络管理员可以选择激活推荐的动作,这可以使安全性管理和控制系统执行动作。
在各种示例中,推荐引擎308可以使用关联规则学习来生成推荐。在一些示例中,推荐引擎308可以使用简档链接算法以通过找到跨服务相关性来链接跨多个云应用的活动。可以使用一个或多个属性或标识因素(诸如在云中普遍使用的主要用户标识符或单一登录(SSO)认证机制(例如,活动目录、Okta等))跨多个云服务识别单个用户。跨应用的活动的相关性的示例发现用户从不同的IP地址同时登录到两个云服务中、发现执行若干次失败登录尝试并随后改变用户的密码的用户,以及经常对于两个或多个云服务有多次失败登录的用户,等等示例。
在各种示例中,推荐引擎308还可以确定动作326,包括安全性管理和控制系统将自动执行的补救动作。在各种示例中,组织可以被配置为在分析引擎300检测到某些安全性事件时自动执行补救动作。补救动作的示例尤其包括停用账户、重置密码或设置更强的安全性控制,等等。在这些和其它示例中,补救动作可以包括修改受安全性事件影响的服务或另一个服务的安全设置。在后一种情况下,当检测到安全性事件时,分析引擎300可以确定该另一个服务可能受到影响,或者应该以其它方式得到保护。
在一些示例中,组织可以使用第三方事件管理自动化系统,诸如例如ServiceNow或IBMQRadar等等。在这些示例中,安全性管理和控制系统可以能够与第三方事件管理系统接口以补救安全性事件。例如,事件管理系统可以具有API,通过该API,安全性管理和控制系统可以与事件管理系统进行交互。在这个和其它示例中,由推荐引擎308确定的动作可以包括向事件管理系统发送关于安全性事件的警报和/或其它信息,事件管理系统可以跟踪并且还可能补救该事件。事件管理系统可以将状况(例如,完成或未完成)返回给安全性管理和控制系统。以这种方式,可以将补救委派给外部系统,并将结果报告回安全性管理和控制系统以“闭合环路”。例如,如果期望为用户账户重置密码,那么动作可以包括向组织的管理用户账户的内部IT系统发送警报或消息。管理员或系统可以完成密码重置操作,并将完成状况报告回云安全性系统。
在各种示例中,云服务可以定义将服务的管理性用户与普通用户区分开的特权。通过拥有更大或更多特权,管理性用户可以为组织配置和管理云服务,而普通用户只能使用云服务。
如以上所讨论的,识别云服务的特权用户可能不是直接的。例如,每个云服务可以具有特权的不同定义,这些定义将一个用户限定为管理性用户而另一个用户是普通用户。作为另一个示例,云服务的管理性用户可以随时间而改变,新的管理性用户是以不受组织控制的方式和时间创建的。作为另一个示例,当组织的员工离职或改变工作职责时,关于哪些用户账户具有特权的知识可能会丢失。
在各种实施方式中,安全性管理和控制系统可以实施用于识别云服务的特权用户的技术。然后,可以使用诸如上述方法来跟踪特权用户的活动,这些方法包括行为分析、异常检测和机器学习技术,同时应用了与如果特权账户被滥用则会造成的更大伤害相称的更高的审查程度。
在各种实施方式中,特权用户的识别可以是安全性管理和控制系统的分析引擎的部件。图4图示了行为分析引擎404的框图,该行为分析引擎404是可以实现特权用户的识别的分析引擎的一个部件的示例。在各种示例中,行为分析引擎404可以接收活动数据410,该活动数据410可以包括针对一个云服务或多个云服务的用户活动的记录。活动数据410可以包括例如执行的动作的列表、执行动作的用户、受(一个或多个)动作影响的一个或多个对象、诸如时间戳之类的上下文数据和/或用户执行动作的网络位置,等等。
在各种示例中,行为分析引擎404可以包括统计信息分析引擎432,该统计信息分析引擎432可以对活动数据410进行统计分析。在各种示例中,统计信息分析引擎432可以输出行为模型442,该行为模型442可以描述组织的用户使用云服务或多个云服务的方式。例如,统计信息分析引擎432可以输出描述特定用户对云服务的使用、由一组用户对云服务的使用和/或由组织中的所有用户对云服务的使用的模型。作为另一个示例,统计信息分析引擎432可以输出描述组织的用户使用云服务的方式的模型和/或描述组织的一个或多个用户使用多个云服务的方式的模型。在各种示例中,统计信息分析引擎432可以输出描述用户、用户在使用云服务时的动作和/或使用云服务的方式的其它模型。
在各种示例中,行为分析引擎404还可以包括特权用户识别引擎434,该特权用户识别引擎434可以生成云服务的特权用户444的列表。在各种示例中,特权用户识别引擎434可以使用可能结合使用的不同技术来识别云服务的特权用户。
作为第一示例,特权用户识别引擎434可以从租户基线417学习特权用户的身份,该租户基线可以包括作为云服务的管理性用户的用户的用户名的列表。在各种示例中,组织可以具有云服务的管理性用户的列表。例如,当组织注册诸如Salesforce之类的服务时,组织可以向Salesforce指定哪些用户将成为管理性用户。在一些情况下,组织可以改变服务的管理性用户,并且可以向安全性管理和控制系统提供管理性用户的更新后的列表。但是,在许多情况下,组织可能没有良好的流程(process)来跟踪云服务的管理性用户,因此可能无法在租户基线417中提供准确的列表。
作为第二示例,特权用户识别引擎434可以从自服务提供商获得的服务提供商数据418中学习特权用户的身份。服务提供商具有可以包括使安全性管理和控制系统能够请求服务的特权用户列表的功能的API。在各种示例中,安全性管理和控制系统可以周期性地做出这个请求,以应对服务的特权用户发生改变的情况。但是,许多云服务不能提供这个功能。可替代地或附加地,云服务自己对特权用户的定义可能太狭窄,并且可能排除了会影响该服务的其他用户或该服务的操作的操作。
在各种实施方式中,除了依赖租户基线417和/或服务提供商数据418,或作为其替代,特权用户识别引擎434可以使用学习技术从来自云服务的活动数据410中确定特权用户。在这些实施方式中,特权用户识别引擎434可以包括受监督学习引擎436和/或无监督学习引擎438。
在各种实施方式中,受监督学习引擎436可以从组织和/或从安全性管理和控制系统的操作者接收训练数据。在各种示例中,训练数据可以包括可以对云服务执行的动作的一些或全部,以及用于指示动作是否具有特权的动作的标签。在一些示例中,标签可以指示特权的不同类别。例如,特权的集合可以是管理性特权,而特权的不同集合是共同管理性特权。在各种示例中,受监督学习引擎436可以使用训练数据来训练分类模型,诸如神经网络或随机森林或另一种分类模型。
在各种示例中,受监督学习引擎436可以将分类模型应用于来自服务的活动数据410。一般而言,分类模型是从与来自同一云服务的活动数据对应的训练数据生成的(例如,训练数据是从可以使用该云服务执行的动作开发的)。使用分类模型,受监督学习引擎436可以例如在活动日志中提取涉及特权动作的事件。因为活动日志可以列出每个事件的用户,所以受监督学习引擎436可以确定发起了事件的用户可能是特权用户。在各种示例中,除了动作之外或作为其补充的准则可以被用于确定事件是由特权用户实施的。例如,事件的特权性质可以通过受动作影响的资源、动作影响资源的方式、执行动作的次数、执行动作的时间、发起事件的IP地址以及其它准则来指示。
在各种示例中,可以通过获得来自组织和/或来自安全性管理和控制系统的操作者的反馈来验证并提高由受监督学习引擎436做出的确定的准确性。例如,行为分析引擎404可以输出由受监督学习引擎436识别的特权用户444的列表,以及特权用户执行的将这些用户识别为具有特权的动作。审阅者可以向安全性管理和控制系统指示用户和/或将用户识别为具有特权的动作是否正确。这个信息可以被反馈回受监督学习引擎436,该受监督学习引擎436可以更新适当的分类模型。
在各种实施方式中,无监督学习引擎438可以尝试学习具有特权的动作,并从这种学习中识别特权用户。无监督学习引擎438可以例如解析活动数据410中的事件并将事件的组成部分存储为特征集。例如,无监督学习引擎438可以使用具有诸如“动作”、“动作类型”、“用户ID”、“时间戳”、“受影响的资源”和针对事件的其它组成部分的其它字段之类的字段的数据结构来表示特征集。作为另一个示例,无监督学习引擎438可以每天、每周或针对不同的时间段聚合事件,并且以这种方式搜集用于云服务的大量历史事件数据。在各种示例中,无监督学习引擎438可以将各种无监督学习技术(诸如异常检测和神经网络等)应用于累积特征集。
作为示例,K均值集群可以被应用于特征集以识别活动数据410中的集群,其中集群可以将特权用户和普通用户分组在一起。在一些示例中,无监督学习引擎438可以被提供有具有特权的动作的列表,或者应当仅由特权用户访问的资源的列表,或者无监督学习引擎438可以随后用来识别特权用户的集群的其它准则。可替代地或附加地,无监督学习引擎438可以被呈现给安全性管理和控制系统的操作者,该操作者然后可以识别特权用户的集群,并且从这些集群中定义描述特权用户的特点的模型。
下面的表6说明了由一组用户每天执行的动作的平均计数的示例。在这个示例中,动作包括文件共享以及文件共享应用中的创建用户动作。
表6
用户 | 文件共享事件# | 创建用户事件# |
John | 3 | 0 |
Mary | 6 | 0 |
Bill | 2 | 0 |
Kumar | 4 | 0 |
Chi | 0 | 0 |
Jose | 11 | 0 |
Colin | 9 | 0 |
Sean | 20 | 1 |
Mike | 19 | 1 |
Steve | 17 | 1 |
Alexi | 18 | 3 |
Samantha | 20 | 3 |
Josh | 16 | 2 |
Jenny | 21 | 2 |
图5图示了表6中的数据的曲线图500的示例。横轴502映射文件共享事件的计数,而纵轴映射创建用户事件的计数。根据表6的数据,一组用户仅执行文件共享事件,因此用于这些用户的数据点都沿着一条线落在零创建用户事件处。第二组用户同时执行文件共享事件和创建用户事件二者,因此用于这些用户的数据点在水平和垂直方向上都大于零。
如图5的示例中所示,两个用户集群是明显的。第一个集群(包括用户Sean、Mike、Steve、Alexi、Samantha、Josh和Jenny)由于执行了相同的动作而形成一组用户。第二个集群(包括用户John、Mary、Bill、Kumar、Chi、Jose和Colin)也由于执行了相同的动作而形成第二组用户。在这个示例中,由于执行了创建用户事件,因此可以将第一组中的用户识别为特权用户。在各种示例中,可以从被认为有特权的活动的描述中和/或由负责分析聚类工具的输出的操作者来确定将第一集群识别为一组特权用户。
在各种示例中,仅动作可能不指示执行了该动作的用户是否是特权用户。例如,在文件共享服务中,一些文件夹可以用诸如“机密”之类的关键词标记,而其它文件夹则具有其它标签或没有标签。在这个示例中,涉及被标记为“机密”的文件夹的一些或所有事件可以是特权事件。例如,读取标记为“机密”的文件夹中的文件的任何用户都可以被视为特权用户。作为另一个示例,只有可以在标记为“机密”的文件夹中添加新文件或删除文件的用户才可以被视为特权用户。作为另一个示例,只曾经访问具有不同标签或没有标签的文件夹的用户可以被视为普通的非特权用户。
图6包括图示用于确定云服务的特权用户并管理特权用户的活动可能造成的安全性风险的处理600的示例的流程图。在各种示例中,示例处理600可以由安全性管理系统的计算系统执行。在各种示例中,处理600可以被实施为存储在非暂态计算机可读介质上的指令,该指令可以由计算系统的一个或多个处理器执行以执行处理600的步骤。
在步骤602处,处理600包括从服务提供商系统获得活动数据,其中活动数据描述在使用云服务期间执行的动作,其中动作由与租户相关联的一个或多个用户执行,其中服务提供商系统向租户提供租户账户,并且其中租户账户使一个或多个用户能够访问云服务。在一些示例中,租户可以是将人和资源聚集在一起以实现共同目的的组织。组织的示例包括公司、大学、医院、政府机构以及其它人和资源的组。在一些示例中,租户可以是使用网络服务的个人。在各种示例中,组织或个人可以订阅服务提供商的服务,并且可以通过订阅而获得由服务提供商提供的服务的使用。云服务的示例包括基础设施、平台、网络和软件应用等。
在各种示例中,在订阅后,向租户提供使该租户能够访问该服务的租户账户。在一些示例中,可以向与租户相关联的用户给予针对服务的各个用户账户,这使每个用户都能够使用该服务。在这些和其它示例中,随着用户使用服务,服务提供商可以记录由用户执行的动作。动作可以包括例如登录服务、登出、上传数据、下载数据、修改数据、启动可执行文件以及其它操作。在各种示例中,这些动作可以与信息(诸如执行动作的用户的标识、发起和/或完成动作的时间、受动作影响的资源,和/或用户从其执行动作的网络位置或地理位置,等等)一起记录在活动数据中。
在步骤604处,处理600包括在活动数据中识别相对于云服务具有特权的一个或多个动作。特权动作是使用户能够以不是所有用户都被允许执行的方式来影响资源的动作。例如,特权动作可以是在由第一用户执行时可以以影响其他用户对云服务的使用的方式来修改云服务的动作。作为另一个示例,特权动作可以是在由第一用户执行时可以影响云服务的其他用户的用户账户的动作。
在一些示例中,可以使用与云服务相关联的动作的列表来识别具有特权的一个或多个动作,其中该列表中的动作相对于云服务被分类为具有特权。例如,对于一个云服务,用于创建用户账户和删除用户账户的动作可以被分类为具有特权。作为另一个示例,对于另一个云服务,可以将用于修改某些文件夹的动作分类为具有特权。
在一些示例中,可以使用管理性动作的列表来识别具有特权的一个或多个动作。在这些示例中,管理性动作的列表可以包括已知要求更高特权的动作,诸如创建或删除用户账户、修改访问控制或安全性设置、修改凭证等等。
在步骤606处,处理600包括使用活动数据识别执行了该一个或多个动作的用户集,其中该用户集是从与租户相关联的该一个或多个用户确定的。
在一些示例中,识别用户集可以包括使用一个或多个动作和过去的活动数据来生成模型。在这些示例中,模型可以描述云服务的、相对于云服务具有特权的使用模式。例如,受监督或无监督学习可以被用于训练神经网络,以识别相对于特定云服务具有特权的动作或一系列动作。在受监督学习示例中,可以为神经网络提供带标签的训练数据,该数据识别具有特权或不具有特权的动作。在无监督学习示例中,神经网络可以被配置为最小化成本函数,其中成本函数对云服务的改变进行建模。在这些和其它示例中,该模型可以被用于识别用户集。
可替代地或附加地,识别用户集可以包括对在使用云服务期间执行的动作进行分组,以及识别包括具有特权的动作的一组动作。例如,可以使用K均值聚类技术绘制活动数据中的动作以及执行了动作的用户,以识别执行类似动作的用户。从图中可以识别出用户组。
在步骤608处,处理600包括将用户集分类为具有特权。在各种示例中,由于执行了被识别为具有特权的一个或多个动作,用户集是具有特权的。
在步骤610处,处理600包括使用活动数据确定一个或多个用户的一个或多个风险得分。在各种示例中,风险得分指示用户在使用云服务时执行的动作对租户造成的安全性风险的程度。可以为单个用户、用户组、单个服务、多个服务、来自不同服务提供商的服务和/或用户和服务的组合计算风险得分。在一些示例中,风险得分被计算为风险指标的加权和。风险指标可以与执行的动作、受动作影响的资源、特定用户、一组用户、服务、服务提供商、用户所在的网络位置、服务提供商或服务所在的网络位置、地理位置、一天中的时间或一周中的某天或一年中的某月、另一个因素或因素的组合相关联。可替代地或附加地,风险指标可以来自从网络威胁情报的外部聚合器和/或分发器获得的威胁情报。在一些示例中,越重要的风险指标被赋予越高的权重值。
在各种示例中,与非特权用户的风险得分相比,以更大的权重来计算被分类为具有特权的用户的风险得分。因此,例如,当特权用户执行动作时,特权用户的风险得分可以比非特权用户执行相同动作时的风险得分更高。可替代地或附加地,与普通用户相比,可以使用更多或不同的指标来确定特权用户的风险得分。可替代地或附加地,与非特权用户的风险得分相比,可以更频繁地计算特权用户的风险得分,或者以其它方式给予更高的审查程度。
在步骤612处,处理600包括确定用户集中的用户的风险得分大于阈值。在各种示例中,阈值可以指示在超过阈值时构成对租户的安全性风险的活动。在各种示例中,阈值可以与特定租户、特定用户、一组用户、特定服务或服务提供商、一天中的时间或一周中的某天、另一因素、或因素的组合相关联。
在步骤614处,处理600包括确定用于服务提供商系统的安全性控制,其中该安全性控制被服务提供商系统用来配置对云服务的访问。安全性控制可以取决于诸如以下因素之类的因素:使风险得分超过阈值的执行了的一个或多个动作、受动作影响的资源、威胁情报和/或与租户相关联的配置设置,等等因素。可以被确定的安全性控制的示例包括阻止用户或用户组使用服务、禁用针对云服务的特定用户账户、使服务在某些用户登录和/或执行某些动作时发送警报,以及阻止数据上传到服务或从服务下载,等等。
在步骤616处,处理600包括确定要发送到服务提供商系统的一个或多个指令。在各种示例中,可以通过查询服务提供商以请求适当的指令以完成期望的配置来确定这些指令。在这些示例中,计算系统可以包括用于执行查询的自动化程序。作为另一个示例,可以从云服务的API确定指令,其中该API可以包括使计算系统能够修改云服务的配置的操作。
在步骤618处,处理600包括将一个或多个指令发送到服务提供商系统,其中一个或多个指令使安全性控制相对于用户改变,其中用户对云服务的访问由于对安全性控制的改变而被修改。在各种示例中,发送指令可以包括使用指派给租户的授权(例如,密码、令牌或其它形式的凭证),这可以使安全性管理系统能够代表租户配置云服务。在一些示例中,指令被发送到服务提供商系统以供租户或服务提供商激活。一旦被执行,就可以监视、减轻和/或停止由特权用户造成的安全性风险。
图7绘出了在其中可以实现上面讨论的各种示例的分布式系统700的简化图。在所示示例中,分布式系统700包括一个或多个客户端计算设备702、704、706和708,其被配置为通过一个或多个网络710执行和操作客户端应用,诸如web浏览器、专有客户端(例如,Oracle Forms)等。服务器712可以经由网络710与远程客户端计算设备702、704、706、708通信地耦合。
在各种示例中,服务器712可以适于运行一个或多个服务或软件应用。在一些示例中,服务器712还可以提供其它服务或软件应用,并且可以包括非虚拟和虚拟环境。在一些示例中,这些服务可以作为基于web的服务或云服务被提供,或者在软件即服务(SaaS)模型下被提供给客户端计算设备702、704、706、708的用户。操作客户端计算设备702、704、706、708的用户又可以利用一个或多个客户端应用来与服务器712交互以利用由这些部件提供的服务。
在图7中绘出的配置中,系统700的软件部件718、720和722被示出为在服务器712上实现。在其它示例中,系统700的一个或多个部件和/或由这些部件提供的服务也可以由客户端计算设备702、704、706、708中的一个或多个来实现。然后,操作客户端计算设备的用户可以利用一个或多个客户端应用来使用由这些部件提供的服务。这些部件可以用硬件、固件、软件或其组合来实现。应该认识到的是,各种不同的系统配置是可能的,其可能与示例分布式系统700不同。图7中所示的示例因此是用于实现任意系统的分布式系统的一个示例,而不是要进行限制。
客户端计算设备702、704、706、708可以包括各种类型的计算设备。例如,客户端计算设备可以包括便携式手持设备(例如,蜂窝电话、计算平板电脑、个人数字助理(PDA))或可穿戴设备(例如,Google头戴式显示器),运行诸如Microsoft Windows和/或各种移动操作系统(诸如iOS、Windows Phone、Android、BlackBerry 10、Palm OS等)的软件。设备可以支持各种软件应用,诸如各种与互联网相关的应用、电子邮件、短消息服务(SMS)应用,并且可以使用各种其它通信协议。客户端计算设备还可以包括通用个人计算机,作为示例,包括运行各种版本的MicrosoftApple和/或Linux操作系统的个人计算机和/或膝上型计算机。客户端计算设备可以是运行任何各种可商业获得的或类UNIX操作系统(包括但不限于各种GNU/Linux操作系统,诸如例如Google Chrome OS)的工作站计算机。作为示例,客户端计算设备还可以包括能够通过(一个或多个)网络710通信的任何其它电子设备,诸如瘦客户端计算机、启用互联网的游戏系统(例如,具有或不具有手势输入设备的微软Xbox游戏控制台)和/或个人消息传送设备。
虽然图7中示出的分布式系统700被示出为具有四个客户端计算设备,但是可以支持任何数量的客户端计算设备。其它设备(诸如具有传感器的设备等)可以与服务器712交互。
分布式系统700中的(一个或多个)网络710可以是本领域技术人员熟悉的、可以利用任何各种可用的协议支持数据通信的任何类型的网络,其中协议包括但不限于TCP/IP(传输控制协议/网际协议)、SNA(系统网络体系架构)、IPX(互联网报文交换)、AppleTalk,等等。仅仅作为示例,(一个或多个)网络710可以是局域网(LAN),基于以太网、令牌环的LAN、广域网、互联网、虚拟网络、虚拟专用网(VPN)、内联网、外联网、公共交换电话网(PSTN)、红外网络、无线网络(例如,依据电子电气学会(IEEE)802.11协议套件、和/或任何其它无线协议当中任意一种操作的网络);和/或这些和/或其它网络的任意组合。
服务器712可以由一个或多个通用计算机、专用服务器计算机(作为示例,包括PC(个人计算机)服务器、服务器、中档服务器、大型计算机、机架安装的服务器等)、服务器场、服务器集群或任何其它适当的布置和/或组合组成。服务器712可以包括运行虚拟操作系统的一个或多个虚拟机,或涉及虚拟化的其它计算体系架构。一个或多个灵活的逻辑存储设备池可以被虚拟化,以维护用于服务器的虚拟存储设备。虚拟网络可以由服务器712使用软件定义的联网来控制。在各种示例中,服务器712可以适于运行在前述公开中所描述的一个或多个服务或软件应用。例如,服务器712可以与用于执行以上描述的处理的服务器对应。
服务器712可以运行包括以上讨论的操作系统当中任意一种的操作系统,以及任何可商业获得的服务器操作系统。服务器712还可以运行任何各种附加的服务器应用和/或中间层应用,包括HTTP(超文本传输协议)服务器、FTP(文件传输协议)服务器、CGI(公共网关接口)服务器、服务器、数据库服务器,等等。示例性数据库服务器包括但不限于从Oracle、Microsoft、Sybase、IBM(国际商业机器)等可商业获得的那些数据库服务器。
在一些实现方式中,服务器712可以包括一个或多个应用,以分析和整合从客户端计算设备702、704、706、708的用户接收到的数据馈送和/或事件更新。作为示例,数据馈送和/或事件更新可以包括,但不限于,馈送、更新或者从一个或多个第三方信息源接收到的实时更新和连续数据流,其可以包括与传感器数据应用、金融报价机、网络性能测量工具(例如,网络监视和流量管理应用)、点击流分析工具、汽车交通监视等相关的实时事件。服务器712还可以包括一个或多个应用,以经由客户端计算设备702、704、706和708的一个或多个显示设备显示数据馈送和/或实时事件。
分布式系统700还可以包括一个或多个数据库714、716。这些数据库可以提供用于存储信息的机制,其中信息诸如用户交互信息、使用模式信息、适应规则信息以及由上面讨论的各种示例使用的其它信息。数据库714、716可以驻留在各种位置。举例来说,数据库714、716中的一个或多个可以驻留在服务器712本地(和/或驻留在服务器712中)的非暂态存储介质上。可替代地,数据库714、716可以远离服务器712并且经由基于网络的或专用的连接与服务器712通信。在一些示例中,数据库714、716可以驻留在存储区域网络(SAN)中。类似地,用于执行归属于服务器712的功能的任何必要文件可以适当地本地存储在服务器712上和/或远程存储。在一些示例中,数据库714、716可以包括关系数据库,诸如由Oracle提供的适于响应于SQL格式化的命令而存储、更新和检索数据的数据库。
在一些示例中,云环境可以提供一个或多个服务。图8是系统环境800的一个或多个部件的简化框图,其中服务可以被提供为云。在图8所示的示例中,系统环境800包括一个或多个客户端计算设备804、806、808,用户可以使用它们来与提供云服务的云基础设施系统802进行交互。云基础设施系统802可以包括一个或多个计算机和/或服务器,这些计算机和/或服务器可以包括以上针对图7的服务器712描述的那些。
应当认识到的是,图8中描绘的云基础设施系统802可以具有不同于所描绘的部件的其它部件。另外,图8中所示的示例仅仅是云基础设施系统的一个示例,该云基础设施系统可以结合上面讨论的各种示例。在一些示例中,云基础设施系统802可以具有比图中所示更多或更少的部件、可以组合两个或更多个部件,或者可以具有部件的不同配置或布置。
客户端计算设备804、806、808可以是与以上针对客户端计算设备702、704、706、708描述的那些设备类似的设备。客户端计算设备804、806、808可以被配置为操作客户端应用,诸如web浏览器、专有客户端应用(例如,Oracle Forms)或可以被客户端计算设备的用户使用以与云基础设施系统802交互来使用由云基础设施系统802提供的服务的一些其它应用。虽然示例系统环境800被示为具有三个客户端计算设备,但是可以支持任何数量的客户端计算设备。诸如具有传感器的设备等的其它设备可以与云基础设施系统802交互。
(一个或多个)网络810可以促进客户端计算设备804、806、808与云基础设施系统802之间的通信和数据交换。每个网络可以是对本领域技术人员熟悉的可以利用任何各种商用的协议支持数据通信的任何类型的网络,其中协议包括以上针对图7的(一个或多个)网络710所描述的协议。
在一些示例中,由图8的云基础设施系统802提供的服务可以包括按需对云基础设施系统的用户可用的服务的主机。还可以提供各种其它服务,包括但不限于在线数据存储和备份解决方案、基于Web的电子邮件服务、托管的办公套件和文档协作服务、数据库处理、受管理的技术支持服务等。由云基础设施系统提供的服务可以动态扩展,以满足其用户的需求。
在一些示例中,由云基础设施系统802提供的服务的具体实例化在本文中可以被称为“服务实例”。一般而言,经由通信网络(诸如互联网)从云服务提供者的系统使得对用户可用的任何服务被称为“云服务”。通常,在公共云环境中,构成云服务提供者的系统的服务器和系统与消费者自己的本地服务器和系统不同。例如,云服务提供者的系统可以托管应用,并且用户可以经由诸如互联网的通信网络按需订购和使用应用。
在一些示例中,计算机网络云基础设施中的服务可以包括对存储装置、托管的数据库、托管的web服务器、软件应用或者由云供应商向用户提供的其它服务的受保护的计算机网络访问,或者如本领域中另外已知的。例如,服务可以包括通过互联网对云上的远程存储的受密码保护的访问。作为另一个示例,服务可以包括基于web服务的托管的关系数据库和脚本语言中间件引擎,用于由联网的开发人员私人使用。作为另一个示例,服务可以包括对在云供应商的网站上托管的电子邮件软件应用的访问。
在一些示例中,云基础设施系统802可以包括以自助服务、基于订阅、弹性可扩展、可靠、高度可用和安全的方式交付给消费者的应用套件、中间件和数据库服务产品。这种云基础设施系统的示例是由本受让人提供的Oracle Public Cloud(Oracle公共云)。
云基础设施系统802还可以提供与“大数据”相关的计算和分析服务。术语“大数据”一般用来指可由分析员和研究者存储和操纵以可视化大量数据、检测趋势和/或以其它方式与数据交互的极大数据集。这种大数据和相关应用可以在许多级别和不同规模上由基础设施系统托管和/或操纵。并行链接的数十个、数百个或数千个处理器可以作用于这种数据,以便呈现其或者模拟对数据或其所表示的内容的外力。这些数据集可以涉及结构化数据,诸如在数据库中组织或以其它方式根据结构化模型组织的数据,和/或者非结构化数据(例如,电子邮件、图像、数据blob(二进制大对象)、网页、复杂事件处理)。通过充分利用相对快速地将更多(或更少)的计算资源聚焦在目标上的能力,云基础设施系统可以更好地用于基于来自企业、政府机构、研究组织、私人个人、一群志同道合的个人或组织或其它实体的需求在大数据集上执行任务。
在各种示例中,云基础设施系统802可以适于自动地供应、管理和跟踪消费者对由云基础设施系统802提供的服务的订阅。云基础设施系统802可以经由不同的部署模型提供云服务。例如,服务可以在公共云模型下提供,其中云基础设施系统802由销售云服务的组织拥有(例如,由Oracle公司拥有)并且使服务对一般公众或不同的工业企业可用。作为另一个示例,服务可以在私有云模型下提供,其中云基础设施系统802仅针对单个组织操作,并且可以为组织内的一个或多个实体提供服务。云服务还可以在社区云模型下提供,其中云基础设施系统802和由云基础设施系统802提供的服务由相关社区中的若干个组织共享。云服务还可以在混合云模型下提供,混合云模型是两个或更多个不同模型的组合。
在一些示例中,由云基础设施系统802提供的服务可以包括在软件即服务(SaaS)类别、平台即服务(PaaS)类别、基础设施即服务(IaaS)类别、或包括混合服务的服务的其它类别下提供的一个或多个服务。消费者经由订阅订单可以订购由云基础设施系统802提供的一个或多个服务。云基础设施系统802然后执行处理,以提供消费者的订阅订单中的服务。
在一些示例中,由云基础设施系统802提供的服务可以包括但不限于应用服务、平台服务和基础设施服务。在一些示例中,应用服务可以由云基础设施系统经由SaaS平台提供。SaaS平台可以被配置为提供属于SaaS类别的云服务。例如,SaaS平台可以提供在集成的开发和部署平台上构建和交付点播应用套件的能力。SaaS平台可以管理和控制用于提供SaaS服务的底层软件和基础设施。通过利用由SaaS平台提供的服务,消费者可以使用在云基础设施系统上执行的应用。消费者可以获取应用服务,而无需消费者单独购买许可证和支持。可以提供各种不同的SaaS服务。示例包括但不限于为大型组织提供用于销售绩效管理、企业集成和业务灵活性的解决方案的服务。
在一些示例中,平台服务可以由云基础设施系统802经由PaaS平台提供。PaaS平台可以被配置为提供属于PaaS类别的云服务。平台服务的示例可以包括但不限于使组织(诸如Oracle)能够在共享的共同体系架构上整合现有应用的服务,以及利用由平台提供的共享服务构建新应用的能力。PaaS平台可以管理和控制用于提供PaaS服务的底层软件和基础设施。消费者可以获取由云基础设施系统802提供的PaaS服务,而无需消费者购买单独的许可证和支持。平台服务的示例包括但不限于Oracle Java云服务(JCS)、Oracle数据库云服务(DBCS)以及其它。
通过利用由PaaS平台提供的服务,消费者可以采用由云基础设施系统支持的编程语言和工具,并且还控制所部署的服务。在一些示例中,由云基础设施系统提供的平台服务可以包括数据库云服务、中间件云服务(例如,Oracle Fusion Middleware服务)和Java云服务。在一个示例中,数据库云服务可以支持共享服务部署模型,其使得组织能够汇集数据库资源并且以数据库云的形式向消费者提供数据库即服务。中间件云服务可以为消费者提供开发和部署各种业务应用的平台,以及Java云服务可以在云基础设施系统中为消费者提供部署Java应用的平台。
可以由云基础设施系统中的IaaS平台提供各种不同的基础设施服务。基础设施服务促进底层计算资源(诸如存储装置、网络和其它基本计算资源)的管理和控制,以便消费者利用由SaaS平台和PaaS平台提供的服务。
在一些示例中,云基础设施系统802还可以包括基础设施资源830,用于提供用来向云基础设施系统的消费者提供各种服务的资源。在一个示例中,基础设施资源830可以包括执行由PaaS平台和SaaS平台提供的服务的硬件(诸如服务器、存储装置和联网资源)的预先集成和优化的组合,以及其它资源。
在一些示例中,云基础设施系统802中的资源可以由多个用户共享并且按需动态地重新分配。此外,资源可以分配给在不同时区中的用户。例如,云基础设施系统802可以使第一时区内的第一用户集合能够利用云基础设施系统的资源达到指定的小时数,然后使得能够将相同资源重新分配给位于不同时区中的另一用户集合,从而最大化资源的利用率。
在一些示例中,可以提供由云基础设施系统802的不同部件或模块共享,以使得能够由云基础设施系统802供应服务的多个内部共享服务832。这些内部共享服务可以包括但不限于,安全和身份服务、集成服务、企业储存库服务、企业管理器服务、病毒扫描和白名单服务、高可用性、备份和恢复服务、用于启用云支持的服务、电子邮件服务、通知服务、文件传输服务等。
在一些示例中,云基础设施系统802可以在云基础设施系统中提供云服务(例如,SaaS、PaaS和IaaS服务)的综合管理。在一个示例中,云管理功能可以包括用于供应、管理和跟踪由云基础设施系统802等接收到的消费者的订阅的能力。
在一个示例中,如图8中所绘出的,云管理功能可以由诸如订单管理模块820、订单编排模块828、订单供应模块824、订单管理和监视模块826以及身份管理模块828的一个或多个模块提供。这些模块可以包括或可以使用一个或多个计算机和/或服务器提供,该一个或多个计算机和/或服务器可以是通用计算机、专用服务器计算机、服务器场,服务器集群或任何其它适当的布置和/或组合。
在示例操作中,在步骤834处,使用客户端设备(诸如客户端计算设备804、806、808)的消费者可以通过请求由云基础设施系统802提供的一个或多个服务并且对由云基础设施系统802提供的一个或多个服务的订阅下订单来与云基础设施系统802交互。在一些示例中,消费者可以访问诸如第一云用户界面(UI)812、第二云UI 814和/或第三云UI 822的云用户界面(UI)并经由这些UI下订阅订单。响应于消费者下订单而由云基础设施系统802接收到的订单信息可以包括识别消费者和消费者打算订阅的由云基础设施系统802提供的一个或多个服务的信息。
在步骤836处,从消费者接收到的订单信息可以存储在订单数据库818中。如果这是新的订单,那么可以为该订单创建新的记录。在一个示例中,订单数据库818可以是由云基础设施系统818操作以及与其它系统元素结合操作的若干数据库当中的一个。
在步骤838处,订单信息可以被转发到订单管理模块820,订单管理模块820可以被配置为执行与订单相关的计费和记帐功能,诸如验证订单,并且在通过验证后,预订订单。
在步骤840处,关于订单的信息可以被传送到订单编排模块822,订单编排模块822被配置为编排用于由消费者下的订单的服务和资源的供应。在一些情况下,订单编排模块822可以使用订单供应模块824的服务用于供应。在一些示例中,订单编排模块822使得能够管理与每个订单相关联的业务处理,并且应用业务逻辑来确定订单是否应当继续供应。
如图8中绘出的示例中所示,在842处,在接收到新订阅的订单后,订单编排模块822向订单供应模块824发送分配资源和配置履行订购订单所需的资源的请求。订单供应模块824使得能够为由消费者订购的服务分配资源。订单供应模块824提供由云基础设施系统800提供的云服务和用来供应用于提供所请求的服务的资源的物理实施方式层之间的抽象级别。这使得订单编排模块822能够与实施方式细节隔离,诸如服务和资源是实际上实时供应,还是预先供应并且仅在请求时才进行分配/指定。
在步骤844处,一旦供应了服务和资源,就可以向订阅的消费者发送指示所请求的服务现在已准备好用于使用的通知。在一些情况下,可以向消费者发送使得消费者能够开始使用所请求的服务的信息(例如,链接)。
在步骤846处,可以由订单管理和监视模块826来管理和跟踪消费者的订阅订单。在一些情况下,订单管理和监视模块826可以被配置为收集关于消费者使用所订阅的服务的使用统计。例如,可以针对所使用的存储量、所传送的数据量、用户的数量以及系统启动时间和系统停机时间的量等来收集统计数据。
在一些示例中,云基础设施系统800可以包括身份管理模块828,其被配置为提供身份服务,诸如云基础设施系统800中的访问管理和授权服务。在一些示例中,身份管理模块828可以控制关于希望使用由云基础设施系统802提供的服务的消费者的信息。这种信息可以包括认证这些消费者的身份的信息和描述那些消费者被授权相对于各种系统资源(例如,文件、目录、应用、通信端口、存储器段等)执行的动作的信息。身份管理模块828还可以包括关于每个消费者的描述性信息以及关于如何和由谁来访问和修改描述性信息的管理。
图9图示了可以被用于实现上面讨论的各种示例的计算机系统900的示例。在一些示例中,计算机系统900可以被用于实现上述各种服务器和计算机系统中的任何一个。如图9中所示,计算机系统900包括各种子系统,其包括处理子系统904,处理子系统904经由总线子系统902与多个外围子系统通信。这些外围子系统可以包括处理加速单元906、I/O子系统908、存储子系统918和通信子系统924。存储子系统918可以包括有形的计算机可读存储介质922和系统存储器910。
总线子系统902提供用于使计算机系统900的各种部件和子系统按照期望彼此通信的机制。虽然总线子系统902被示意性地示为单个总线,但是总线子系统的替代示例可以利用多个总线。总线子系统902可以是若干种类型的总线结构中的任何一种,包括存储器总线或存储器控制器、外围总线和利用任何各种总线体系架构的局部总线。例如,此类体系架构可以包括工业标准体系架构(ISA)总线、微通道体系架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线和外围部件互连(PCI)总线,其可以实现为根据IEEEP1386.1标准制造的夹层(Mezzanine)总线,等等。
处理子系统904控制计算机系统900的操作并且可以包括一个或多个处理单元932、934。处理单元可以包括一个或多个处理器,包括单核或多核处理器、处理器的一个或多个核、或其组合。在一些示例中,处理子系统904可以包括一个或多个专用协处理器,诸如图形处理器、数字信号处理器(DSP)等。在一些示例中,处理子系统904的处理单元中的一些或全部可以利用定制电路来实现,诸如专用集成电路(ASIC)或现场可编程门阵列(FPGA)。
在一些示例中,处理子系统904中的处理单元可以执行存储在系统存储器910中或计算机可读存储介质922上的指令。在各种示例中,处理单元可以执行各种程序或代码指令,并且可以维护多个并发执行的程序或进程。在任何给定的时间,要执行的程序代码中的一些或全部可以驻留在系统存储器910中和/或计算机可读存储介质922上,潜在地包括在一个或多个存储设备上。通过适当的编程,处理子系统904可以提供各种功能。
在一些示例中,可以提供处理加速单元906,用于执行定制的处理或用于卸载由处理子系统904执行的一些处理,以便加速由计算机系统900执行的整体处理。
I/O子系统908可以包括用于向计算机系统900输入信息和/或用于从或经由计算机系统900输出信息的设备和机制。一般而言,术语“输入设备”的使用旨在包括用于向计算机系统900输入信息的所有可能类型的设备和机制。用户接口输入设备可以包括,例如,键盘、诸如鼠标或轨迹球的指示设备、结合到显示器中的触摸板或触摸屏、滚轮、点拨轮、拨盘、按钮、开关、键板、具有语音命令识别系统的音频输入设备、麦克风以及其它类型的输入设备。用户接口输入设备也可以包括使用户能够控制输入设备并与其交互的诸如Microsoft运动传感器的运动感测和/或姿势识别设备、Microsoft360游戏控制器、提供用于接收利用姿势和口语命令的输入的接口的设备。用户接口输入设备也可以包括眼睛姿势识别设备,诸如从用户检测眼睛活动(例如,当拍摄图片和/或进行菜单选择时的“眨眼”)并将眼睛姿势转换为到输入设备(例如,Google)中的输入的Google眨眼检测器。此外,用户接口输入设备可以包括使用户能够通过语音命令与语音识别系统(例如,导航器)交互的语音识别感测设备。
用户接口输入设备的其它示例包括但不限于,三维(3D)鼠标、操纵杆或指示杆、游戏板和图形平板、以及音频/视频设备,诸如扬声器、数字相机、数字摄像机、便携式媒体播放器、网络摄像机、图像扫描仪、指纹扫描仪、条形码读取器3D扫描仪、3D打印机、激光测距仪、以及眼睛注视跟踪设备。此外,用户接口输入设备可以包括,例如,医疗成像输入设备,诸如计算机断层摄影、磁共振成像、位置发射断层摄影、医疗超声检查设备。用户接口输入设备也可以包括,例如,音频输入设备,诸如MIDI键盘、数字乐器等。
用户接口输出设备可以包括显示子系统、指示器灯或诸如音频输出设备的非可视显示器等。显示子系统可以是阴极射线管(CRT)、诸如利用液晶显示器(LCD)或等离子体显示器的平板设备、投影设备、触摸屏等。一般而言,术语“输出设备”的使用旨在包括用于从计算机系统900向用户或其它计算机输出信息的所有可能类型的设备和机制。例如,用户接口输出设备可以包括但不限于,可视地传达文本、图形和音频/视频信息的各种显示设备,诸如监视器、打印机、扬声器、耳机、汽车导航系统、绘图仪、语音输出设备和调制解调器。
存储子系统918提供用于存储由计算机系统900使用的信息的储存库或数据存储。存储子系统918提供有形非瞬态计算机可读存储介质,用于存储提供一些示例的功能的基本编程和数据结构。当由处理子系统904执行时提供上述功能的软件(程序、代码模块、指令)可以存储在存储子系统918中。软件可以由处理子系统904的一个或多个处理单元执行。存储子系统918也可以提供用于存储根据本公开使用的数据的储存库。
存储子系统918可以包括一个或多个非暂态存储器设备,包括易失性和非易失性存储器设备。如图9中所示,存储子系统918包括系统存储器910和计算机可读存储介质922。系统存储器910可以包括多个存储器,包括用于在程序执行期间存储指令和数据的易失性主随机存取存储器(RAM)和其中存储固定指令的非易失性只读存储器(ROM)或闪存存储器。在一些实施方式中,包含帮助在诸如启动期间在计算机系统900内的元件之间传送信息的基本例程的基本输入/输出系统(BIOS)通常可以存储在ROM中。RAM通常包含当前由处理子系统904操作和执行的数据和/或程序模块。在一些实施方式中,系统存储器910可以包括多个不同类型的存储器,诸如静态随机存取存储器(SRAM)或动态随机存取存储器(DRAM)。
作为示例而非限制,如在图9中所绘出的,系统存储器910可以存储应用程序912,其可以包括客户端应用、Web浏览器、中间层应用、关系数据库管理系统(RDBMS)等、程序数据923和操作系统916。作为示例,操作系统916可以包括各种版本的MicrosoftApple和/或Linux操作系统、各种商用或类UNIX操作系统(包括但不限于各种GNU/Linux操作系统、GoogleOS等)和/或诸如iOS、Phone、OS、10OS和OS操作系统的移动操作系统。
计算机可读存储介质922可以存储提供一些示例的功能的编程和数据结构。当由处理子系统904执行时使处理器提供上述功能的软件(程序、代码模块、指令)可以存储在存储子系统918中。作为示例,计算机可读存储介质922可以包括非易失性存储器,诸如硬盘驱动器、磁盘驱动器、诸如CD ROM、DVD、(蓝光)盘或其它光学介质的光盘驱动器。计算机可读存储介质922可以包括但不限于,驱动器、闪存存储器卡、通用串行总线(USB)闪存驱动器、安全数字(SD)卡、DVD盘、数字视频带等。计算机可读存储介质922也可以包括基于非易失性存储器的固态驱动器(SSD)(诸如基于闪存存储器的SSD、企业闪存驱动器、固态ROM等)、基于易失性存储器的SSD(诸如基于固态RAM、动态RAM、静态RAM、DRAM的SSD、磁阻RAM(MRAM)SSD),以及使用基于DRAM和基于闪存存储器的SSD的组合的混合SSD。计算机可读存储介质922可以为计算机系统900提供计算机可读指令、数据结构、程序模块和其它数据的存储。
在一些示例中,存储子系统918也可以包括计算机可读存储介质读取器920,其可以进一步连接到计算机可读存储介质922。与系统存储器910一起并可选地与其组合,计算机可读存储介质922可以全面地表示远程、本地、固定和/或可移动存储设备加上用于存储计算机可读信息的存储介质。
在一些示例中,计算机系统900可以提供对执行一个或多个虚拟机的支持。计算机系统900可以执行诸如管理程序之类的程序,以便促进虚拟机的配置和管理。每个虚拟机可以被分配存储器、计算(例如,处理器、内核)、I/O和联网资源。每个虚拟机通常运行其自己的操作系统,其可以与由计算机系统900执行的其它虚拟机执行的操作系统相同或不同。相应地,多个操作系统可以潜在地由计算机系统900并发地运行。每个虚拟机一般独立于其它虚拟机运行。
通信子系统924提供到其它计算机系统和网络的接口。通信子系统924用作用于从计算机系统900的其它系统接收数据和向其传输数据的接口。例如,通信子系统924可以使计算机系统900能够经由互联网建立到一个或多个客户端计算设备的通信信道,用于从客户端计算设备接收信息和发送信息到客户端计算设备。
通信子系统924可以支持有线和/或无线通信协议两者。例如,在一些示例中,通信子系统924可以包括用于(例如,使用蜂窝电话技术、高级数据网络技术(诸如3G、4G或EDGE(全球演进的增强数据速率)、WiFi(IEEE802.11族标准)、或其它移动通信技术、或其任意组合)接入无线语音和/或数据网络的射频(RF)收发器部件、全球定位系统(GPS)接收器部件和/或其它部件。在一些示例中,作为无线接口的附加或替代,通信子系统924可以提供有线网络连接(例如,以太网)。
通信子系统924可以以各种形式接收和传输数据。例如,在一些示例中,通信子系统924可以以结构化和/或非结构化的数据馈送926、事件流928、事件更新930等形式接收输入通信。例如,通信子系统924可以被配置为实时地从社交媒体网络的用户和/或诸如馈送、更新、诸如丰富站点摘要(RSS)馈送的web馈送的其它通信服务接收(或发送)数据馈送926,和/或来自一个或多个第三方信息源的实时更新。
在一些示例中,通信子系统924可以被配置为以连续数据流的形式接收本质上可能是连续的或无界的没有明确结束的数据,其中连续数据流可以包括实时事件的事件流928和/或事件更新930。生成连续数据的应用的示例可以包括例如传感器数据应用、金融报价机、网络性能测量工具(例如网络监视和流量管理应用)、点击流分析工具、汽车流量监视等。
通信子系统924还可以被配置为向一个或多个数据库输出结构化和/或非结构化的数据馈送926、事件流928、事件更新930等,其中所述一个或多个数据库可以与耦合到计算机系统900的一个或多个流数据源计算机通信。
计算机系统900可以是各种类型中的一种,包括手持便携式设备(例如,蜂窝电话、计算平板、PDA)、可穿戴设备(例如,Google头戴式显示器)、个人计算机、工作站、大型机、信息站、服务器机架或任何其它数据处理系统。
由于计算机和网络不断变化的性质,对图9中绘出的计算机系统900的描述旨在仅仅作为具体示例。具有比图9中所绘出的系统更多或更少部件的许多其它配置是可能的。基于本文所提供的公开内容和教导,本领域普通技术人员将理解实现各种示例的其它方式和/或方法。
虽然已经描述了具体实施方式,但是各种修改、更改、替代构造和等效物也包含在本公开的范围之内。修改包括所公开的特征的任何相关组合。本公开中描述的实施方式不限于在某些具体数据处理环境内的操作,而是可以在多个数据处理环境内自由操作。此外,虽然已经使用特定序列的事务和步骤描述了本公开中描述的实施方式,但是,对本领域技术人员应当清楚的是,本公开的范围不限于所描述系列的事务和步骤。上述实施方式的各种特征和方面可以被单独或结合使用。
另外,虽然已经利用硬件和软件的特定组合描述了本公开中描述的实施方式,但是应当认识到的是,硬件和软件的其它组合也在本公开的范围之内。本公开中描述的实施方式可以只用硬件、或只用软件、或利用其组合来实现。本文描述的各种处理可以在同一处理器或以任何组合的不同处理器上实现。因而,在部件或模块被描述为被配置为执行某些操作的情况下,这种配置可以例如通过设计电子电路来执行操作、通过对可编程电子电路(诸如微处理器)进行编程来执行操作、或其任意组合来实现。进程可以使用各种技术来通信,包括但不限于用于进程间通信的常规技术,并且不同的进程对可以使用不同的技术,或者同一对进程可以在不同时间使用不同的技术。
因而,说明书和附图应当在说明性而不是限制性的意义上考虑。但是,将清楚的是,在不背离权利要求中阐述的更广泛精神和范围的情况下,可以对其进行添加、减少、删除和其它修改和改变。因此,虽然已描述了具体的实施方式,但是这些实施方式不旨在进行限制。各种修改和等效物都在以下权利要求的范围之内。
如以下所使用的,对一系列示例的任何引用都应被理解为分离地对这些示例中的每一个的引用(例如,“示例1-4”应被理解为“示例1、2、3或4”)。
示例1是一种计算机实现的方法,包括在安全性管理系统的计算机系统处执行的步骤。这些步骤包括从服务提供商系统获得活动数据,其中活动数据描述在使用云服务期间执行的动作,其中动作由与租户相关联的一个或多个用户执行,其中服务提供商系统向租户提供租户账户,并且其中租户账户使该一个或多个用户能够访问云服务。步骤还包括在活动数据中识别相对于云服务具有特权的一个或多个动作。步骤还包括使用活动数据来识别执行了该一个或多个动作的用户集,其中用户集是从与租户相关联的该一个或多个用户中确定的。步骤还包括将用户集分类为具有特权。步骤还包括使用活动数据为一个或多个用户确定一个或多个风险得分。步骤还包括确定用户集中的用户的风险得分大于阈值。步骤还包括确定用于服务提供商系统的安全性控制,其中安全性控制被服务提供商系统用于配置对云服务的访问。步骤还包括确定要发送到服务提供商系统的一个或多个指令。步骤还包括将一个或多个指令发送到服务提供商系统,其中一个或多个指令使安全性控制相对于用户被改变,其中用户对云服务的访问由于对安全性控制的改变而被修改。
示例2是示例1的方法,其中使用与云服务相关联的动作的列表来识别该一个或多个动作,其中动作的列表中的动作相对于云服务被分类为具有特权。
示例3是示例1-2的方法,其中该一个或多个动作是使用管理性动作的列表来识别的。
示例4是示例1-3的方法,其中步骤还包括使用该一个或多个动作和过去的活动数据来生成模型,该模型描述相对于云服务具有特权的云服务的使用模式。步骤还包括使用模型来识别用户集。
示例5是示例1-4的方法,其中步骤还包括对在云服务的使用期间执行的动作进行分组。步骤还包括识别包括具有特权的动作的一组动作,其中用户集是使用该组动作来识别的。
示例6是示例1-5的方法,其中风险得分指示用户在使用云服务时所执行的动作对租户的安全性风险的程度。
示例7是示例1-6的方法,其中将风险得分计算为风险指标的加权和。
示例8是示例1-7的方法,其中,与非特权用户的风险得分相比,以更大的权重来计算被分类为具有特权的用户的风险得分。
示例9是示例1-8的方法,其中特权动作是在由第一用户执行时可以以影响其他用户对云服务的使用的方式来修改云服务的动作。
示例10是示例1-9的方法,其中特权动作是当由第一用户执行时可以影响云服务的其他用户的用户账户的动作。
示例11是一种安全性管理系统的计算系统,其包括一个或多个处理器以及耦合到一个或多个处理器并可由其读取的存储器。存储器包括指令,指令在由一个或多个处理器执行时使一个或多个处理器执行根据示例1-10的(一个或多个)方法的操作。
示例12是一种非暂态机器可读介质,该介质上存储有指令,指令在由安全性管理系统的计算系统的一个或多个处理器执行时使一个或多个处理器执行根据示例1-10的(一个或多个)方法的步骤。
Claims (23)
1.一种计算机实现的方法,包括:在安全性管理系统的计算机系统处:
从服务提供商系统获得活动数据,其中所述活动数据描述在使用云服务期间执行的动作,其中所述动作由与租户相关联的一个或多个用户执行,其中所述服务提供商系统向所述租户提供租户账户,并且其中所述租户账户使所述一个或多个用户能够访问所述云服务;
在所述活动数据中识别相对于所述云服务具有特权的一个或多个动作;
使用所述活动数据来识别执行了所述一个或多个动作的用户集,其中所述用户集是从与所述租户相关联的所述一个或多个用户中确定的;
将所述用户集分类为具有特权;
使用所述活动数据,确定所述一个或多个用户的一个或多个风险得分;
确定所述用户集中的用户的风险得分大于阈值;
确定用于所述服务提供商系统的安全性控制,其中所述安全性控制被所述服务提供商系统用于配置对所述云服务的访问;
确定要发送到所述服务提供商系统的一个或多个指令;以及
向所述服务提供商系统发送所述一个或多个指令,其中所述一个或多个指令使所述安全性控制相对于所述用户改变,其中所述用户对所述云服务的访问由于所述安全性控制的所述改变而被修改。
2.如权利要求1所述的计算机实现的方法,其中所述一个或多个动作是使用与所述云服务相关联的动作的列表来识别的,其中所述动作的列表中的动作相对于所述云服务被分类为具有特权。
3.如权利要求1所述的计算机实现的方法,其中,所述一个或多个动作是使用管理性动作的列表来识别的。
4.如权利要求1所述的计算机实现的方法,还包括:
使用所述一个或多个动作以及过去的活动数据来生成模型,所述模型描述相对于所述云服务具有特权的所述云服务的使用模式;以及
使用所述模型来识别所述用户集。
5.如权利要求1所述的计算机实现的方法,还包括:
对在所述云服务的使用期间执行的所述动作进行分组;以及
识别包括具有特权的动作的一组动作,其中所述用户集是使用所述一组动作来识别的。
6.如权利要求1所述的计算机实现的方法,其中风险得分指示用户在使用所述云服务时所执行的动作对所述租户的安全性风险的程度。
7.如权利要求1所述的计算机实现的方法,其中将风险得分计算为风险指标的加权和。
8.如权利要求1所述的计算机实现的方法,其中,与非特权用户的风险得分相比,以更大的权重计算被分类为具有特权的用户的风险得分。
9.如权利要求1所述的计算机实现的方法,其中特权动作是在由第一用户执行时能够以影响其他用户对所述云服务的使用的方式来修改所述云服务的动作。
10.如权利要求1所述的计算机实现的方法,其中特权动作是当由第一用户执行时能够影响所述云服务的其他用户的用户账户的动作。
11.一种安全性管理系统的计算系统,包括:
一个或多个处理器;以及
存储器,耦合到所述一个或多个处理器并能够由所述一个或多个处理器读取,所述存储器包括指令,所述指令在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作,包括:
从服务提供商系统获得活动数据,其中所述活动数据描述在使用云服务期间执行的动作,其中所述动作由与租户相关联的一个或多个用户执行,其中所述服务提供商系统向所述租户提供租户账户,并且其中所述租户账户使所述一个或多个用户能够访问所述云服务;
在所述活动数据中识别相对于所述云服务具有特权的一个或多个动作;
使用所述活动数据来识别执行了所述一个或多个动作的用户集,其中所述用户集是从与所述租户相关联的所述一个或多个用户中确定的;
将所述用户集分类为具有特权;
使用所述活动数据,确定所述一个或多个用户的一个或多个风险得分;
确定所述用户集中的用户的风险得分大于阈值;
确定用于所述服务提供商系统的安全性控制,其中所述安全性控制被所述服务提供商系统用于配置对所述云服务的访问;
确定要发送到所述服务提供商系统的一个或多个指令;以及
向所述服务提供商系统发送所述一个或多个指令,其中所述一个或多个指令使所述安全性控制相对于所述用户改变,其中所述用户对所述云服务的访问由于所述安全性控制的所述改变而被修改。
12.如权利要求11所述的计算系统,其中所述一个或多个动作是使用与所述云服务相关联的动作的列表来识别的,其中所述动作的列表相对于所述云服务被分类为具有特权。
13.如权利要求11所述的计算系统,其中所述一个或多个动作是使用管理性动作的列表来识别的。
14.如权利要求11所述的计算系统,所述存储器还包括在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作的指令:
使用所述一个或多个动作以及过去的活动数据来生成模型,所述模型描述相对于所述云服务具有特权的所述云服务的使用模式;以及
使用所述模型来识别所述用户集。
15.如权利要求11所述的计算系统,所述存储器还包括在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作的指令:
对在所述云服务的使用期间执行的所述动作进行分组;以及
识别包括具有特权的动作的一组动作,其中所述用户集是使用所述一组动作来识别的。
16.一种其上存储有指令的非暂态计算机可读介质,所述指令在由安全性管理系统的计算系统的一个或多个处理器执行时使所述一个或多个处理器执行以下操作:
从服务提供商系统获得活动数据,其中所述活动数据描述在使用云服务期间执行的动作,其中所述动作由与租户相关联的一个或多个用户执行,其中所述服务提供商系统向所述租户提供租户账户,并且其中所述租户账户使所述一个或多个用户能够访问所述云服务;
在所述活动数据中识别相对于所述云服务具有特权的一个或多个动作;
使用所述活动数据来识别执行了所述一个或多个动作的用户集,其中所述用户集是从与所述租户相关联的所述一个或多个用户中确定的;
将所述用户集分类为具有特权;
使用所述活动数据,确定所述一个或多个用户的一个或多个风险得分;
确定所述用户集中的用户的风险得分大于阈值;
确定用于所述服务提供商系统的安全性控制,其中所述安全性控制被所述服务提供商系统用于配置对所述云服务的访问;
确定要发送到所述服务提供商系统的一个或多个指令;以及
向所述服务提供商系统发送所述一个或多个指令,其中所述一个或多个指令使所述安全性控制相对于所述用户改变,其中所述用户对所述云服务的访问由于所述安全性控制的所述改变而被修改。
17.如权利要求16所述的非暂态计算机可读介质,其中所述一个或多个动作是使用与所述云服务相关联的动作的列表来识别的,其中所述动作的列表相对于所述云服务被分类为具有特权。
18.如权利要求16所述的非暂态计算机可读介质,其中,所述一个或多个动作是使用管理性动作的列表来识别的。
19.如权利要求16所述的非暂态计算机可读介质,还包括在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作的指令:
使用所述一个或多个动作以及过去的活动数据来生成模型,所述模型描述相对于所述云服务具有特权的所述云服务的使用模式;以及
使用所述模型来识别所述用户集。
20.如权利要求16所述的非暂态计算机可读介质,所述存储器还包括在由所述一个或多个处理器执行时使所述一个或多个处理器执行以下操作的指令:
对在所述云服务的使用期间执行的所述动作进行分组;以及
识别包括具有特权的动作的一组动作,其中所述用户集是使用所述一组动作来识别的。
21.如权利要求1、2、3、4、5、6、7、8、9或10所述的计算机实现的方法。
22.一种实现如权利要求1、2、3、4、5、6、7、8、9或10所述的方法的计算机系统。
23.一种实现如权利要求1、2、3、4、5、6、7、8、9或10所述的方法的非暂态计算机可读介质。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111195996.2A CN113949557B (zh) | 2017-06-22 | 2018-06-19 | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 |
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762523668P | 2017-06-22 | 2017-06-22 | |
US62/523,668 | 2017-06-22 | ||
US16/011,538 US10701094B2 (en) | 2017-06-22 | 2018-06-18 | Techniques for monitoring privileged users and detecting anomalous activities in a computing environment |
US16/011,538 | 2018-06-18 | ||
PCT/US2018/038347 WO2018236915A1 (en) | 2017-06-22 | 2018-06-19 | TECHNIQUES FOR MONITORING PRIVILEGED USERS AND DETECTING ABNORMAL ACTIVITIES IN A COMPUTER ENVIRONMENT |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111195996.2A Division CN113949557B (zh) | 2017-06-22 | 2018-06-19 | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110999250A true CN110999250A (zh) | 2020-04-10 |
CN110999250B CN110999250B (zh) | 2021-11-05 |
Family
ID=64692857
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111195996.2A Active CN113949557B (zh) | 2017-06-22 | 2018-06-19 | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 |
CN201880052275.6A Active CN110999250B (zh) | 2017-06-22 | 2018-06-19 | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111195996.2A Active CN113949557B (zh) | 2017-06-22 | 2018-06-19 | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 |
Country Status (5)
Country | Link |
---|---|
US (3) | US10701094B2 (zh) |
EP (1) | EP3643033B1 (zh) |
JP (3) | JP7035096B2 (zh) |
CN (2) | CN113949557B (zh) |
WO (1) | WO2018236915A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111562930A (zh) * | 2020-04-30 | 2020-08-21 | 深圳壹账通智能科技有限公司 | web应用安全的升级方法与系统 |
CN111967011A (zh) * | 2020-07-10 | 2020-11-20 | 电子科技大学 | 一种基于可解释的内部威胁评估方法 |
CN112306835A (zh) * | 2020-11-02 | 2021-02-02 | 平安科技(深圳)有限公司 | 用户数据监控分析方法、装置、设备及介质 |
US20220200869A1 (en) * | 2017-11-27 | 2022-06-23 | Lacework, Inc. | Configuring cloud deployments based on learnings obtained by monitoring other cloud deployments |
US20220247769A1 (en) * | 2017-11-27 | 2022-08-04 | Lacework, Inc. | Learning from similar cloud deployments |
US20220263841A1 (en) * | 2021-02-12 | 2022-08-18 | Capital One Services, Llc | Digital Security Violation System |
US11770398B1 (en) | 2017-11-27 | 2023-09-26 | Lacework, Inc. | Guided anomaly detection framework |
Families Citing this family (127)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10356080B2 (en) * | 2017-03-17 | 2019-07-16 | Verizon Patent And Licensing Inc. | System and method for centralized authentication and authorization for cloud platform with multiple deployments |
US10999296B2 (en) * | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
US11005864B2 (en) | 2017-05-19 | 2021-05-11 | Salesforce.Com, Inc. | Feature-agnostic behavior profile based anomaly detection |
US10701094B2 (en) | 2017-06-22 | 2020-06-30 | Oracle International Corporation | Techniques for monitoring privileged users and detecting anomalous activities in a computing environment |
US10764295B2 (en) * | 2017-08-08 | 2020-09-01 | International Business Machines Corporation | Monitoring service policy management |
US10313413B2 (en) * | 2017-08-28 | 2019-06-04 | Banjo, Inc. | Detecting events from ingested communication signals |
US10911308B2 (en) * | 2017-09-18 | 2021-02-02 | Rapyuta Robotics Co., Ltd. | Auto-determining and installing missing components to a to-be-managed device by a single execution of unique device setup command |
US10999325B1 (en) * | 2017-10-20 | 2021-05-04 | Skyhigh Networks, Llc | Cloud security system implementing service action categorization |
US11818156B1 (en) | 2017-11-27 | 2023-11-14 | Lacework, Inc. | Data lake-enabled security platform |
US10715458B1 (en) * | 2017-12-08 | 2020-07-14 | Amazon Technologies, Inc. | Organization level identity management |
US11075946B2 (en) * | 2017-12-19 | 2021-07-27 | T-Mobile Usa, Inc. | Honeypot adaptive security system |
US11075935B2 (en) | 2017-12-22 | 2021-07-27 | Kpmg Llp | System and method for identifying cybersecurity threats |
US10762103B2 (en) | 2017-12-27 | 2020-09-01 | Paypal, Inc. | Calculating representative location information for network addresses |
US10805305B2 (en) * | 2018-02-07 | 2020-10-13 | Apatics, Inc. | Detection of operational threats using artificial intelligence |
US11277421B2 (en) * | 2018-02-20 | 2022-03-15 | Citrix Systems, Inc. | Systems and methods for detecting and thwarting attacks on an IT environment |
US10733329B1 (en) * | 2018-04-20 | 2020-08-04 | Automation Anywhere, Inc. | Robotic process automation system and method with secure credential vault |
CN109861953B (zh) * | 2018-05-14 | 2020-08-21 | 新华三信息安全技术有限公司 | 一种异常用户识别方法及装置 |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US10951641B2 (en) | 2018-06-06 | 2021-03-16 | Reliaquest Holdings, Llc | Threat mitigation system and method |
GB201810294D0 (en) | 2018-06-22 | 2018-08-08 | Senseon Tech Ltd | Cybe defence system |
GB2602254B (en) | 2020-12-15 | 2023-04-05 | Senseon Tech Ltd | Network traffic monitoring |
US11438357B2 (en) | 2018-06-22 | 2022-09-06 | Senseon Tech Ltd | Endpoint network sensor and related cybersecurity infrastructure |
US11271801B2 (en) * | 2018-06-27 | 2022-03-08 | T-Mobile Usa, Inc. | Compromised network node detection system |
US11362910B2 (en) * | 2018-07-17 | 2022-06-14 | International Business Machines Corporation | Distributed machine learning for anomaly detection |
US10796019B2 (en) * | 2018-07-17 | 2020-10-06 | Dell Products L.P. | Detecting personally identifiable information (PII) in telemetry data |
JP6669954B2 (ja) * | 2018-08-14 | 2020-03-18 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
US10956595B2 (en) * | 2018-08-16 | 2021-03-23 | Super Auth, Inc. | User access management from anywhere and prevent intruders by notifying the users after a predetermined time interval |
US11310276B2 (en) * | 2018-09-17 | 2022-04-19 | International Business Machines Corporation | Adjusting resiliency policies for cloud services based on a resiliency score |
GB2580467A (en) * | 2018-09-20 | 2020-07-22 | Idera Inc | Database access, monitoring, and control system and method for reacting to suspicious database activities |
US10728307B2 (en) * | 2018-10-08 | 2020-07-28 | Sonrai Security Inc. | Cloud intelligence data model and framework |
US11258827B2 (en) * | 2018-10-19 | 2022-02-22 | Oracle International Corporation | Autonomous monitoring of applications in a cloud environment |
US10341430B1 (en) | 2018-11-27 | 2019-07-02 | Sailpoint Technologies, Inc. | System and method for peer group detection, visualization and analysis in identity management artificial intelligence systems using cluster based analysis of network identity graphs |
US10681056B1 (en) | 2018-11-27 | 2020-06-09 | Sailpoint Technologies, Inc. | System and method for outlier and anomaly detection in identity management artificial intelligence systems using cluster based analysis of network identity graphs |
US11178169B2 (en) * | 2018-12-27 | 2021-11-16 | Paypal, Inc. | Predicting online electronic attacks based on other attacks |
US11487873B2 (en) * | 2019-01-22 | 2022-11-01 | EMC IP Holding Company LLC | Risk score generation utilizing monitored behavior and predicted impact of compromise |
US11416641B2 (en) * | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
US11074341B2 (en) | 2019-02-10 | 2021-07-27 | Microsoft Technology Licensing, Llc | Dynamic cybersecurity peer identification using groups |
US10523682B1 (en) | 2019-02-26 | 2019-12-31 | Sailpoint Technologies, Inc. | System and method for intelligent agents for decision support in network identity graph based identity management artificial intelligence systems |
US10554665B1 (en) | 2019-02-28 | 2020-02-04 | Sailpoint Technologies, Inc. | System and method for role mining in identity management artificial intelligence systems using cluster based analysis of network identity graphs |
US20200287915A1 (en) * | 2019-03-04 | 2020-09-10 | Microsoft Technology Licensing, Llc | Automated generation and deployment of honey tokens in provisioned resources on a remote computer resource platform |
CN111767533A (zh) * | 2019-04-01 | 2020-10-13 | 富泰华工业(深圳)有限公司 | 离线模式用户授权方法、装置、电子装置及存储介质 |
US10992706B2 (en) | 2019-04-30 | 2021-04-27 | Netiq Corporation | Detection of cyber attacks from high-frequency hashed incorrect passwords |
US11245702B2 (en) | 2019-05-08 | 2022-02-08 | Red Hat, Inc. | Security vulnerability assessment for users of a cloud computing environment |
US11349877B2 (en) * | 2019-06-20 | 2022-05-31 | Servicenow, Inc. | Solution management systems and methods for addressing cybersecurity vulnerabilities |
US11709855B2 (en) | 2019-07-15 | 2023-07-25 | Microsoft Technology Licensing, Llc | Graph embedding already-collected but not yet connected data |
US11562170B2 (en) * | 2019-07-15 | 2023-01-24 | Microsoft Technology Licensing, Llc | Modeling higher-level metrics from graph data derived from already-collected but not yet connected data |
US10581851B1 (en) * | 2019-07-17 | 2020-03-03 | Capital One Services, Llc | Change monitoring and detection for a cloud computing environment |
US11496492B2 (en) * | 2019-08-14 | 2022-11-08 | Hewlett Packard Enterprise Development Lp | Managing false positives in a network anomaly detection system |
US11388175B2 (en) | 2019-09-05 | 2022-07-12 | Cisco Technology, Inc. | Threat detection of application traffic flows |
US11265328B2 (en) * | 2019-09-12 | 2022-03-01 | Snowflake Inc. | Private data exchange metrics sharing |
US11334604B2 (en) | 2019-09-12 | 2022-05-17 | Snowflake Inc. | Private data exchange |
GB201915265D0 (en) | 2019-10-22 | 2019-12-04 | Senseon Tech Ltd | Anomaly detection |
US20210136059A1 (en) * | 2019-11-05 | 2021-05-06 | Salesforce.Com, Inc. | Monitoring resource utilization of an online system based on browser attributes collected for a session |
US11488172B2 (en) | 2019-11-05 | 2022-11-01 | International Business Machines Corporation | Intelligent agent to simulate financial transactions |
US11676218B2 (en) * | 2019-11-05 | 2023-06-13 | International Business Machines Corporation | Intelligent agent to simulate customer data |
US11475467B2 (en) | 2019-11-05 | 2022-10-18 | International Business Machines Corporation | System and method for unsupervised abstraction of sensitive data for realistic modeling |
US11556734B2 (en) | 2019-11-05 | 2023-01-17 | International Business Machines Corporation | System and method for unsupervised abstraction of sensitive data for realistic modeling |
US11461793B2 (en) | 2019-11-05 | 2022-10-04 | International Business Machines Corporation | Identification of behavioral pattern of simulated transaction data |
US11842357B2 (en) | 2019-11-05 | 2023-12-12 | International Business Machines Corporation | Intelligent agent to simulate customer data |
US11461728B2 (en) | 2019-11-05 | 2022-10-04 | International Business Machines Corporation | System and method for unsupervised abstraction of sensitive data for consortium sharing |
US11599884B2 (en) | 2019-11-05 | 2023-03-07 | International Business Machines Corporation | Identification of behavioral pattern of simulated transaction data |
US11475468B2 (en) | 2019-11-05 | 2022-10-18 | International Business Machines Corporation | System and method for unsupervised abstraction of sensitive data for detection model sharing across entities |
US11488185B2 (en) | 2019-11-05 | 2022-11-01 | International Business Machines Corporation | System and method for unsupervised abstraction of sensitive data for consortium sharing |
US11606262B2 (en) * | 2019-11-08 | 2023-03-14 | International Business Machines Corporation | Management of a computing system with multiple domains |
US11416771B2 (en) * | 2019-11-11 | 2022-08-16 | International Business Machines Corporation | Self-learning peer group analysis for optimizing identity and access management environments |
US11611576B2 (en) * | 2019-12-11 | 2023-03-21 | GE Precision Healthcare LLC | Methods and systems for securing an imaging system |
US11321446B2 (en) * | 2019-12-16 | 2022-05-03 | Dell Products L.P. | System and method to ensure secure and automatic synchronization of credentials across devices |
US10877867B1 (en) | 2019-12-17 | 2020-12-29 | CloudFit Software, LLC | Monitoring user experience for cloud-based services |
US11012326B1 (en) | 2019-12-17 | 2021-05-18 | CloudFit Software, LLC | Monitoring user experience using data blocks for secure data access |
US11481304B1 (en) * | 2019-12-22 | 2022-10-25 | Automation Anywhere, Inc. | User action generated process discovery |
US11838300B1 (en) * | 2019-12-24 | 2023-12-05 | Musarubra Us Llc | Run-time configurable cybersecurity system |
US11770374B1 (en) * | 2019-12-31 | 2023-09-26 | Cigna Intellectual Property, Inc. | Computer user credentialing and verification system |
US11799889B2 (en) * | 2019-12-31 | 2023-10-24 | Intuit, Inc. | Web service usage anomaly detection and prevention |
US20210200955A1 (en) * | 2019-12-31 | 2021-07-01 | Paypal, Inc. | Sentiment analysis for fraud detection |
US11436149B2 (en) | 2020-01-19 | 2022-09-06 | Microsoft Technology Licensing, Llc | Caching optimization with accessor clustering |
EP4094414B1 (en) * | 2020-01-20 | 2023-10-18 | Bull Sas | Method for intrusion detection to detect malicious insider threat activities and system for intrusion detection |
US11637910B2 (en) * | 2020-08-20 | 2023-04-25 | Zscaler, Inc. | Cloud access security broker systems and methods with an in-memory data store |
WO2021165933A1 (en) * | 2020-02-20 | 2021-08-26 | Celestya Ltd. | Method and system for online user behavior management |
US11575677B2 (en) * | 2020-02-24 | 2023-02-07 | Fmr Llc | Enterprise access control governance in a computerized information technology (IT) architecture |
EP4111370A2 (en) * | 2020-02-28 | 2023-01-04 | Darktrace Holdings Limited | Treating data flows differently based on level of interest |
CN111488594B (zh) * | 2020-03-03 | 2023-11-03 | 杭州未名信科科技有限公司 | 一种基于云服务器的权限检查方法、装置、存储介质及终端 |
US11461677B2 (en) | 2020-03-10 | 2022-10-04 | Sailpoint Technologies, Inc. | Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems |
US11425155B2 (en) * | 2020-03-12 | 2022-08-23 | The Aerospace Corporation | Monitoring the integrity of a space vehicle |
US11689550B2 (en) * | 2020-03-13 | 2023-06-27 | Mcafee, Llc | Methods and apparatus to analyze network traffic for malicious activity |
TWI758705B (zh) * | 2020-03-30 | 2022-03-21 | 台北富邦商業銀行股份有限公司 | 智能防駭特權治理系統 |
US11438364B2 (en) * | 2020-04-30 | 2022-09-06 | Bank Of America Corporation | Threat analysis for information security |
US11030565B1 (en) * | 2020-05-18 | 2021-06-08 | Grant Thornton Llp | System and method for audit report generation from structured data |
JP7413924B2 (ja) | 2020-05-25 | 2024-01-16 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
US10862928B1 (en) | 2020-06-12 | 2020-12-08 | Sailpoint Technologies, Inc. | System and method for role validation in identity management artificial intelligence systems using analysis of network identity graphs |
US20210397903A1 (en) * | 2020-06-18 | 2021-12-23 | Zoho Corporation Private Limited | Machine learning powered user and entity behavior analysis |
CN111786980A (zh) * | 2020-06-24 | 2020-10-16 | 广州海颐信息安全技术有限公司 | 基于行为的特权账户威胁告警方法 |
EP4173232A1 (en) * | 2020-06-29 | 2023-05-03 | Illumina, Inc. | Temporary cloud provider credentials via secure discovery framework |
CN112231336B (zh) * | 2020-07-17 | 2023-07-25 | 北京百度网讯科技有限公司 | 识别用户的方法、装置、存储介质及电子设备 |
US11722510B2 (en) * | 2020-08-10 | 2023-08-08 | Bank Of America Corporation | Monitoring and preventing remote user automated cyber attacks |
US10938828B1 (en) | 2020-09-17 | 2021-03-02 | Sailpoint Technologies, Inc. | System and method for predictive platforms in identity management artificial intelligence systems using analysis of network identity graphs |
US11645391B2 (en) * | 2020-10-09 | 2023-05-09 | Saudi Arabian Oil Company | Protecting computer systems against malicious software stored on removeable data storage devices |
US11196775B1 (en) | 2020-11-23 | 2021-12-07 | Sailpoint Technologies, Inc. | System and method for predictive modeling for entitlement diffusion and role evolution in identity management artificial intelligence systems using network identity graphs |
WO2022113348A1 (ja) | 2020-11-30 | 2022-06-02 | 三菱電機株式会社 | 開発側セキュリティ分析支援装置、運用側セキュリティ分析支援装置、およびセキュリティ分析支援システム |
US11487639B2 (en) | 2021-01-21 | 2022-11-01 | Vmware, Inc. | User experience scoring and user interface |
US11586526B2 (en) | 2021-01-22 | 2023-02-21 | Vmware, Inc. | Incident workflow interface for application analytics |
US20220237097A1 (en) * | 2021-01-22 | 2022-07-28 | Vmware, Inc. | Providing user experience data to tenants |
US11295241B1 (en) * | 2021-02-19 | 2022-04-05 | Sailpoint Technologies, Inc. | System and method for incremental training of machine learning models in artificial intelligence systems, including incremental training using analysis of network identity graphs |
US20220271938A1 (en) * | 2021-02-24 | 2022-08-25 | Shopify Inc. | Methods and apparatus to manage application access in networked environments |
US11894971B2 (en) * | 2021-03-31 | 2024-02-06 | Equifax Inc. | Techniques for prediction models using time series data |
US11556637B2 (en) | 2021-04-05 | 2023-01-17 | Bank Of America Corporation | Information security system and method for anomaly and security threat detection |
US11809534B2 (en) * | 2021-04-22 | 2023-11-07 | International Business Machines Corporation | Role design advisor |
US20220360509A1 (en) * | 2021-04-26 | 2022-11-10 | NetBrain Technologies, Inc. | Network adaptive monitoring |
US11811807B2 (en) * | 2021-05-27 | 2023-11-07 | Microsoft Technology Licensing, Llc | Conditional security measures using rolling set of risk scores |
US11831688B2 (en) * | 2021-06-18 | 2023-11-28 | Capital One Services, Llc | Systems and methods for network security |
US11856015B2 (en) * | 2021-06-24 | 2023-12-26 | Microsoft Technology Licensing, Llc | Anomalous action security assessor |
US11372921B1 (en) * | 2021-07-29 | 2022-06-28 | Accenture Global Solutions Limited | Active directory management and remediation |
US20230031380A1 (en) * | 2021-07-30 | 2023-02-02 | APPDIRECT, Inc. | Encryption key rotation |
US11227055B1 (en) | 2021-07-30 | 2022-01-18 | Sailpoint Technologies, Inc. | System and method for automated access request recommendations |
US20230049749A1 (en) * | 2021-08-13 | 2023-02-16 | People Center, Inc. | Resource Provisioning Based on Estimation of Risk |
US20230111304A1 (en) * | 2021-10-11 | 2023-04-13 | Sophos Limited | Composite threat score |
WO2023064007A1 (en) * | 2021-10-11 | 2023-04-20 | Sophos Limited | Augmented threat investigation |
US20230141928A1 (en) * | 2021-10-13 | 2023-05-11 | Oracle International Corporation | Adaptive network attack prediction system |
US20230129466A1 (en) * | 2021-10-25 | 2023-04-27 | Zscaler, Inc. | Identity intelligence in cloud-based services |
US11856592B2 (en) * | 2021-10-27 | 2023-12-26 | International Business Machines Corporation | Multi-dimensional mapping and user cognitive profile based device control and channel assignment |
US20230134546A1 (en) * | 2021-10-29 | 2023-05-04 | Oracle International Corporation | Network threat analysis system |
US20230161662A1 (en) * | 2021-11-19 | 2023-05-25 | Johannes Wollny | Systems and methods for data-driven proactive detection and remediation of errors on endpoint computing systems |
WO2023183000A1 (en) * | 2022-03-25 | 2023-09-28 | Rakuten Symphony Singapore Pte. Ltd. | Dynamic privileged access request system |
US20230388313A1 (en) * | 2022-05-31 | 2023-11-30 | Acronis International Gmbh | Automatic User Group Manager |
US11658881B1 (en) | 2022-06-30 | 2023-05-23 | Bank Of America Corporation | System and method for predicting anomalous requests and preventing anomalous interactions in a network |
US11743280B1 (en) * | 2022-07-29 | 2023-08-29 | Intuit Inc. | Identifying clusters with anomaly detection |
WO2024076453A1 (en) * | 2022-10-06 | 2024-04-11 | Microsoft Technology Licensing, Llc | Cybersecurity insider risk management |
CN116366310B (zh) * | 2023-02-28 | 2023-11-21 | 深圳市众志天成科技有限公司 | 一种基于信息安全的云服务方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150319185A1 (en) * | 2013-12-13 | 2015-11-05 | Palerra, Inc. | Systems and Methods for Contextual and Cross Application Threat Detection and Prediction in Cloud Applications |
WO2016177437A1 (en) * | 2015-05-05 | 2016-11-10 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
US20160350173A1 (en) * | 2015-05-28 | 2016-12-01 | Oracle International Corporation | Automatic anomaly detection and resolution system |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8769622B2 (en) * | 2011-06-30 | 2014-07-01 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security |
US10419524B2 (en) * | 2012-09-07 | 2019-09-17 | Oracle International Corporation | System and method for workflow orchestration for use with a cloud computing environment |
EP2711861A1 (en) * | 2012-09-20 | 2014-03-26 | Alcatel-Lucent | Method and system of controlling changes in an operating system |
JP6053133B2 (ja) * | 2012-12-10 | 2016-12-27 | 株式会社日立システムズ | 特権ユーザid貸し出しシステム、特権ユーザidの貸し出し方法、およびプログラム |
US8881249B2 (en) * | 2012-12-12 | 2014-11-04 | Microsoft Corporation | Scalable and automated secret management |
US9246839B2 (en) * | 2013-01-02 | 2016-01-26 | International Business Machines Corporation | Extending organizational boundaries throughout a cloud architecture |
US9674211B2 (en) | 2013-01-30 | 2017-06-06 | Skyhigh Networks, Inc. | Cloud service usage risk assessment using darknet intelligence |
US9876804B2 (en) | 2013-10-20 | 2018-01-23 | Cyber-Ark Software Ltd. | Method and system for detecting unauthorized access to and use of network resources |
US9692789B2 (en) | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
US9210183B2 (en) * | 2013-12-19 | 2015-12-08 | Microsoft Technology Licensing, Llc | Detecting anomalous activity from accounts of an online service |
US9852208B2 (en) | 2014-02-25 | 2017-12-26 | International Business Machines Corporation | Discovering communities and expertise of users using semantic analysis of resource access logs |
US10504020B2 (en) * | 2014-06-10 | 2019-12-10 | Sightline Innovation Inc. | System and method for applying a deep learning neural network to data obtained from one or more sensors |
US20180027006A1 (en) | 2015-02-24 | 2018-01-25 | Cloudlock, Inc. | System and method for securing an enterprise computing environment |
CN106341386B (zh) | 2015-07-07 | 2018-09-25 | 埃森哲环球服务有限公司 | 针对基于云的多层安全架构的威胁评估级确定及补救 |
US10536478B2 (en) | 2016-02-26 | 2020-01-14 | Oracle International Corporation | Techniques for discovering and managing security of applications |
US10142362B2 (en) | 2016-06-02 | 2018-11-27 | Zscaler, Inc. | Cloud based systems and methods for determining security risks of users and groups |
US10701094B2 (en) | 2017-06-22 | 2020-06-30 | Oracle International Corporation | Techniques for monitoring privileged users and detecting anomalous activities in a computing environment |
-
2018
- 2018-06-18 US US16/011,538 patent/US10701094B2/en active Active
- 2018-06-19 JP JP2019570846A patent/JP7035096B2/ja active Active
- 2018-06-19 CN CN202111195996.2A patent/CN113949557B/zh active Active
- 2018-06-19 WO PCT/US2018/038347 patent/WO2018236915A1/en unknown
- 2018-06-19 CN CN201880052275.6A patent/CN110999250B/zh active Active
- 2018-06-19 EP EP18739698.1A patent/EP3643033B1/en active Active
-
2020
- 2020-06-29 US US16/914,797 patent/US11483328B2/en active Active
-
2022
- 2022-03-02 JP JP2022031870A patent/JP7279227B2/ja active Active
- 2022-10-25 US US17/973,274 patent/US20230126571A1/en active Pending
-
2023
- 2023-05-10 JP JP2023077773A patent/JP2023103341A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150319185A1 (en) * | 2013-12-13 | 2015-11-05 | Palerra, Inc. | Systems and Methods for Contextual and Cross Application Threat Detection and Prediction in Cloud Applications |
WO2016177437A1 (en) * | 2015-05-05 | 2016-11-10 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
US20160350173A1 (en) * | 2015-05-28 | 2016-12-01 | Oracle International Corporation | Automatic anomaly detection and resolution system |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220200869A1 (en) * | 2017-11-27 | 2022-06-23 | Lacework, Inc. | Configuring cloud deployments based on learnings obtained by monitoring other cloud deployments |
US20220247769A1 (en) * | 2017-11-27 | 2022-08-04 | Lacework, Inc. | Learning from similar cloud deployments |
US11770398B1 (en) | 2017-11-27 | 2023-09-26 | Lacework, Inc. | Guided anomaly detection framework |
CN111562930A (zh) * | 2020-04-30 | 2020-08-21 | 深圳壹账通智能科技有限公司 | web应用安全的升级方法与系统 |
WO2021218332A1 (zh) * | 2020-04-30 | 2021-11-04 | 深圳壹账通智能科技有限公司 | Web应用安全的升级方法与系统 |
CN111967011A (zh) * | 2020-07-10 | 2020-11-20 | 电子科技大学 | 一种基于可解释的内部威胁评估方法 |
CN111967011B (zh) * | 2020-07-10 | 2022-10-14 | 电子科技大学 | 一种基于可解释的内部威胁评估方法 |
CN112306835A (zh) * | 2020-11-02 | 2021-02-02 | 平安科技(深圳)有限公司 | 用户数据监控分析方法、装置、设备及介质 |
US20220263841A1 (en) * | 2021-02-12 | 2022-08-18 | Capital One Services, Llc | Digital Security Violation System |
US11777959B2 (en) * | 2021-02-12 | 2023-10-03 | Capital One Services, Llc | Digital security violation system |
Also Published As
Publication number | Publication date |
---|---|
US10701094B2 (en) | 2020-06-30 |
JP7279227B2 (ja) | 2023-05-22 |
CN113949557B (zh) | 2024-04-02 |
WO2018236915A1 (en) | 2018-12-27 |
US20200329066A1 (en) | 2020-10-15 |
CN113949557A (zh) | 2022-01-18 |
EP3643033B1 (en) | 2021-11-10 |
US11483328B2 (en) | 2022-10-25 |
JP2023103341A (ja) | 2023-07-26 |
JP2020524855A (ja) | 2020-08-20 |
JP7035096B2 (ja) | 2022-03-14 |
JP2022071111A (ja) | 2022-05-13 |
US20180375886A1 (en) | 2018-12-27 |
US20230126571A1 (en) | 2023-04-27 |
CN110999250B (zh) | 2021-11-05 |
EP3643033A1 (en) | 2020-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110999250B (zh) | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 | |
US11734148B2 (en) | Testing cloud application integrations, data, and protocols | |
US11258827B2 (en) | Autonomous monitoring of applications in a cloud environment | |
US20220114262A1 (en) | High granularity application and data security in cloud environments | |
US11637844B2 (en) | Cloud-based threat detection | |
US11165800B2 (en) | Cloud based security monitoring using unsupervised pattern recognition and deep learning | |
JP7222061B2 (ja) | アプリケーションのセキュリティを発見および管理するための技術 | |
US11265329B2 (en) | Mechanisms for anomaly detection and access management | |
US10063654B2 (en) | Systems and methods for contextual and cross application threat detection and prediction in cloud applications | |
WO2015088702A2 (en) | Systems and methods for cloud security monitoring and threat intelligence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |