CN114208114A - 每参与者的多视角安全上下文 - Google Patents

每参与者的多视角安全上下文 Download PDF

Info

Publication number
CN114208114A
CN114208114A CN202080053814.5A CN202080053814A CN114208114A CN 114208114 A CN114208114 A CN 114208114A CN 202080053814 A CN202080053814 A CN 202080053814A CN 114208114 A CN114208114 A CN 114208114A
Authority
CN
China
Prior art keywords
security
participant
event
descriptors
descriptor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202080053814.5A
Other languages
English (en)
Other versions
CN114208114B (zh
Inventor
J·J·小菲茨-杰拉尔德
A·S·默西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Publication of CN114208114A publication Critical patent/CN114208114A/zh
Application granted granted Critical
Publication of CN114208114B publication Critical patent/CN114208114B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Abstract

已经创建了灵活的安全系统,该系统允许适应用户行为的动态本质的灵活安全操作,同时也允许安全相关操作本身是动态的。这种灵活的系统包括持续收集和/或更新每参与者的多视角“安全上下文”,并促进这些多视角安全上下文的使用,以用于关于用户的安全相关操作。这些安全相关操作可以包括基于策略的安全实施和检查。安全平台组件或安全实体使用用户或参与者的多视角安全上下文。将参与者的来自不同源的随时间的行为信息聚合并维护到数据结构中,允许安全平台组件或实体具有参与者的从一个或多个安全视角的历史上下文。形成安全上下文的描述符可以源自具有用户行为和/或用户属性可见性的各种源。

Description

每参与者的多视角安全上下文
背景技术
本公开一般涉及信息安全的领域,并且涉及多计算机数据传递。
为组织或企业创建的用户组通常映射到目录系统。组是基于与具有共同属性的用户相关联的组织描述符或属性(即元数据)形成的。可被附连到用户的属性的示例包括用户身份信息、位置和成本中心。对与用户相关联的属性和/或与组相关联的属性的更新可由个人在组织或企业的上下文内执行。
附图的简要描述
通过参考附图,可以更好地理解本公开的各实施例。
图1描绘了针对企业或组织内的参与者的、基于事件的安全上下文构造的示例概念图。
图2描绘了基于安全上下文的安全策略实施的示例概念图。
图3是基于检测到事件来确定描述符并将描述符附连到参与者的示例操作流程图。
图4是用于基于标识附连到参与者的与安全策略对应的描述符来实施该安全策略的示例操作流程图。
图5是基于安全组件和外部供应商两者检测到的事件来为参与者构建安全上下文的示例概念图。
图6是用于利用安全上下文条目响应不同请求类型的示例操作流程图。
图7描绘了具有安全上下文构造器和知悉安全上下文的策略实施器的示例计算机系统。
描述
下面的描述包括体现本公开的各方面的示例系统、方法、技术和程序流。然而,应当理解,可在没有这些具体细节的情况下实践本公开。例如,本公开在解说性示例中将防火墙和端点保护组件称为检测到事件和实施安全策略。本发明的各方面还可被应用于具有网络可视性和/或与安全性有关的其他实体和组件。在其他实例中,未详细示出众所周知的指令实例、协议、结构和技术以便不混淆该描述。
概述
已经创建了灵活的安全系统,该系统允许适应用户行为的动态本质的灵活安全操作,同时也允许安全相关操作本身是动态的。这种灵活的系统包括持续收集和/或更新每用户的多视角“安全上下文”,并促进这些多视角安全上下文的使用来用于关于用户的安全相关操作。这些安全相关操作可以包括基于策略的安全实施和检查(例如,查看和报告)。安全平台组件或安全实体使用用户或参与者的多视角安全上下文。
将用户或设备(“参与者”)来自不同源的随时间的行为信息聚合并维护到数据结构中,允许安全平台组件或实体具有参与者的从一个或多个安全视角的历史上下文。此经填充结构由与用户附连或相关联的一个或多个描述符形成。描述符描述用户的行为或属性。因此,安全上下文是关于参与者的所存储信息,该信息至少包括基于参与者的观察到的事件的行为信息,并且还可以包括参与者属性信息。描述符是安全上下文内的该信息的单元,并且可以是符合如何实现该安全上下文的字段、对象或其他数据结构。形成安全上下文的描述符可以源自具有用户行为和/或用户属性的可见性的各种来源(例如,防火墙、安全管理员、第三方网络监控应用、目录等)。
示例解说
图1描绘了企业或组织内的参与者的基于事件的安全上下文构造的示例概念图。参与者可以是组织上下文中的用户(更具体地说是用户表示)、虚拟机、进程和/或端点设备。在此示例中,登录到设备115中的用户110是企业或组织的网络内的参与者。企业或组织使用安全组件以保护其网络。该示例解说仅描绘防火墙102和端点保护组件105,但组织可以采用许多其他安全组件。安全组件和非安全组件可以发起用于构建安全上下文的信息。安全上下文构造器104用从该信息导出或提取的描述符来构造安全上下文。如前所述,安全上下文是基于视角的(即,可以取决于客户而变化),并且可以随时间变化。因此,构建安全上下文可以是持续进行的,并且可涉及附连和移除与相应参与者相关联的描述符。
图1用一系列字母A-C来注释。这些字母代表操作的各阶段。尽管这些阶段是针对本示例而排序的,但各阶段解说了一个示例,以帮助理解本公开,并且不应被用于限制权利要求。落入权利要求范围内的主题内容可以相对于次序和一些操作而变化。
在阶段A1,防火墙102检测到事件并将该事件记录到日志112中。防火墙102监视和控制从外部网络103(例如,公共网络)传入的网络流量。防火墙102可被配置成将对来自外部源的特定类型的文件(例如,归档文件)的接收视为要记录的事件。在监控来自外部网络103的传入流量的同时,防火墙102检测到ZIP文件已发送给用户110。防火墙102可以基于检查传入分组的报头和/或传递该文件的会话信息来将用户110被识为ZIP文件的接收方。防火墙102生成具有事件信息113的事件通知109,并将该事件被识为Event_FW1。事件通知可以包括事件元数据,诸如对应于事件的参与者的身份、指示事件细节的元数据等。在该示例中,事件信息113指示参与者的标识信息(即,用户标识符(ID)和设备ID)、事件的描述以及事件的时间。通过将设备地址解析为用户ID等,可以基于检测到事件的安全实体或安全平台组件(诸如防火墙102)可用的会话信息来标识与事件(例如,事件Event_FW1)相对应的参与者。参与者ID信息包括在事件通知109中。事件通知109中的事件信息113还包括附加事件元数据。在本示例中,事件描述是“ZIP文件已接收”,并且附加的事件元数据指示英国(UK)是ZIP文件的来源国。防火墙102将事件通知109记录到日志112中。在阶段A2,端点保护组件105检测到事件并将事件记录到日志117中。端点保护组件105检测并防止针对设备115的安全威胁。端点保护组件105检测到在设备115上执行的未知进程。端点保护组件105已经被配置成将对未知进程的检测视为要记录的事件。端点保护组件105生成具有事件信息114的事件通知118,并将该事件标识为Event_EP1。与事件信息113一样,事件信息114包括参与者的标识信息、事件的描述、事件的时间和附加事件元数据。在本示例中,事件描述是“未知进程”,并且附加事件元数据指示未知进程的威胁级别。端点保护组件105将事件通知118记录到日志117中。在阶段B,安全上下文构造器104分别从防火墙102和端点保护组件105接收事件通知109和118,并生成描述符。在该示例中,与日志112相对应的日志监控代理117A将事件信息113传达给安全上下文构造器104。与日志117相对应的日志监控代理117B将事件信息114传达给安全上下文构造器104。事件信息到安全上下文构造器104的传递可以不同地实现。日志监控代理117A-B可以周期性地将检测到的事件信息传达给安全上下文构造器104,因为代理117A-B检测到新的事件通知已被记录到日志112和117中,等等。在接收到事件信息113时,安全上下文构造器104确定与事件信息113中指示的事件相对应的参与者。安全上下文构造器104还确定与事件信息114中指示的事件相对应的参与者。安全上下文构造器104可以根据事件信息113和事件信息114中包括的参与者的标识信息(即,用户ID和设备ID)来确定参与者。在该示例中,安全上下文构造器104确定具有用户ID“Honir”和设备ID(即,因特网协议(IP)地址)198.208.51.0的参与者是与针对事件通知109和118两者的事件相对应的参与者。安全上下文构造器104从将从中生成描述符的事件信息113和114提取元数据。为了确定应被提取以用于描述符的生成的元数据(例如,复制到描述符的定义中或在实例化描述符时用作参数),安全上下文构造器104针对“感兴趣”或潜在是“感兴趣”的元数据来检查事件信息113和114。例如,可以提取事件描述。还可以提取与事件描述相关的附加事件元数据。在该示例中,安全上下文构造器104确定应从事件信息113中提取事件描述“ZIP文件已接收”和指示ZIP文件来源国的元数据。安全上下文构造器104确定应从事件信息114提取事件描述“未知进程”和指示未知进程的威胁级别的元数据。
安全上下文构造器104根据所提取的元数据生成描述符。描述符可以根据提取自事件信息的一个字段或提取自事件信息的多个字段来生成。在图1中,安全上下文构造器104根据事件信息113和事件信息114的多个字段生成描述符。安全上下文构造器104生成名为DS_Ts1的描述符,该描述符由从事件信息113提取的元数据(即,来自事件信息113的多个字段)组成。描述符DS_Ts1指示对源自英国的ZIP文件的接收。安全上下文构造器104还生成名为DS_Ts2的描述符,该描述符由从事件信息114提取的元数据组成。描述符DS_Ts2指示低威胁级别的未知进程在设备上的执行或试图执行。
为了构造或修改安全上下文,安全上下文构造器104通过将(诸)描述符关联或附连到参与者来创建或更新安全上下文存储库(以下称为“存储库”)116中的安全上下文条目。安全上下文构造器104使用来自组织目录的参与者标识信息来例如创建安全上下文条目。安全上下文构造器104可以从组织目录101检索所标识的参与者的目录属性106,假设尚未在存储库116中为该参与者创建条目。例如,安全上下文构造器104可以向组织目录101提交指示参与者ID信息(例如,用户ID)的查询。安全上下文构造器104可以提取使用用户IDHonir来为参与者检索的目录属性106中包括的元数据以供用于描述符的生成。安全上下文构造器104从目录属性106提取业务单元和角色元数据,并为每段信息生成描述符。
在阶段C,安全上下文构造器104将描述符附连到登录到具有设备ID198.208.51.0的设备115的用户110的参与者ID、或用户ID“Honir”。可以通过将描述符附连到存储库116中存在的或为参与者ID创建的条目来将描述符附连到参与者ID。存储库116维护将参与者ID与已附连到参与者ID的描述符相关联的安全上下文条目。存储库116可以通过用户ID和/或设备ID进行索引。在该示例中,安全上下文构造器104为事件信息113和114中标识的参与者创建安全上下文条目111。然后,安全上下文构造器104将安全上下文条目111存储在存储库116中。
安全上下文构造器104可以创建安全上下文条目111,并经由应用编程接口(API)将描述符添加到安全上下文条目111。用于创建安全上下文条目的API可以将描述符作为参数,或者可以在初始创建安全上下文条目之后添加描述符。例如,安全上下文构造器104可以经由用于数据库插入命令的API、用于超文本传输协议(HTTP)POST请求(该请求被传达给维护存储库116(图1中未描绘)的服务器)的API等等来为参与者ID创建安全上下文条目111。安全上下文构造器104可以经由用于传达给维护存储库116的服务器的HTTP PUT请求的API、用于数据库更新命令的API等将描述符添加到安全上下文条目111或其他现有安全上下文条目。一旦来自属性和行为的描述符已经经由添加到安全上下文条目111附连到参与者,安全实体和安全组件就可以基于参与者的安全上下文来使用存储在安全上下文条目111中的描述符,以供随后实施安全策略。
一旦安全上下文构造器104已经创建了安全上下文条目111并将其插入到存储库116中,安全上下文条目111就可被用于提供对参与者的活动和行为的“可见性”。通过提供在每参与者的基础上的安全上下文和描述符的集中式存储库,诸如存储库116,形成参与者的安全上下文条目111的描述符对于访问存储库116的任何组件或实体而言是可见的,而不管安全上下文条目111中的描述符所源自的组件或实体如何。为参与者收集的与安全相关信息的这种增加传播的可用性促成了基于参与者在安全上下文中的行为对事件进行全面分析。作为安全策略实施的替换或补充,安全上下文条目111可被用于可见性。例如,安全组件或实体可以在策略实施之外检索存储在存储库116中的安全上下文条目111中包括的参与者ID“Honir”所指示的关于参与者的行为和活动的信息。安全上下文条目111由于包括源自网络中的不同安全组件和实体的描述符不是限于一个起源组件或实体,而提供了经提高的可见性。类似地,可以通过对存储库116的单个查询来访问来自组织目录101和来自与参与者相关联的安全组件(即,防火墙102和端点保护组件105)的信息。这种可见性为参与者在网络中的行为提供了全面的上下文。例如,如果具有参与者ID“Honir”的参与者的凭证存疑(compromised),则可以根据安全上下文条目111确定在凭证盗窃事件时附连到参与者的描述符。这种分析的结果可有助于基于被确定为与凭证盗窃事件相关的描述符的组合来定义新的安全策略。作为另一示例,如果金融业务单元中的多个参与者与指示在影响参与者的一系列凭证盗窃事件时收到源自外部的ZIP文件的描述符相关联,则可以创建防火墙102的新安全策略,该策略隔离来自外部发送者的指示金融业务单元的成员作为接收者的ZIP文件。还可以利用存储库116中的安全上下文条目来获取关于参与者行为的信息,而不必基于安全上下文条目来实施安全策略。
图2描绘了基于安全上下文的安全策略实施的示例概念图。为了便于使用参与者的安全上下文来用于安全相关操作,安全策略被定义为具有条件或准则,根据这些条件或准则可以评估附连到参与者的至少一些描述符,以确定是否对相应参与者采取安全相关操作。可以创建不同的安全策略以评估实施安全策略的安全实体“感兴趣”的不同描述符。因此,取决于安全策略和安全实体,可以使用参与者的安全上下文条目中的描述符的不同组合。在此示例中,防火墙安全策略201被附连(即,安装或以其他方式可访问)防火墙102。类似地,端点保护安全策略206被附连到端点保护组件105。防火墙安全策略201和端点保护安全策略206指示在检测到触发策略评估的事件时要对参与者采取的动作。该示例解说仅将防火墙102描绘为实施安全策略,尽管许多其他安全组件可以实施安全策略。安全策略和与实施的安全策略相关联的描述符可能在安全实体和安全组件之间基于参与者的安全上下文的与每个安全组件相关的各方面而有所不同。此外,尽管描述符在某一时间可能不会被视为对实体“感兴趣”,但随着安全利益和关切的变化,它可能变得相关。
图2用一系列字母A-E来注释。这些字母代表操作的各阶段。尽管这些阶段是针对本示例而排序的,但各阶段解说了一个示例,以帮助理解本公开,并且不应用于限制权利要求。落入权利要求范围内的主题内容可以相对于顺序和一些操作而变化。
在阶段A1,防火墙102检测策略评估触发事件。在该示例中,防火墙102检测到来自外部发送方的另一存档文件已发送给用户110。防火墙102已经被配置成将从外部源接收特定类型的文件(诸如存档文件)视为触发策略评估的事件。防火墙102生成具有事件信息213的事件通知209,并将该事件标识为Event_FW2。事件通知209的事件信息213指示参与者ID信息、事件时间、事件描述和附加事件元数据。在本示例中,事件描述为“tar with gzipfile received”(具有gzip文件的目标已接收),并且附加的事件元数据指示该文件起源于中国。防火墙102将事件通知209记录到事件日志212中。尽管未参考图2进一步描述,事件信息213可以在阶段A2被传达给安全上下文构造器104,以供从提取自事件信息213的元数据中后续生成描述符,并如参考图1所述将描述符附连到参与者(即,用户110和设备115)。从事件信息213提取的描述符可被立即用于基于策略评估触发事件的安全策略的实施。例如,防火墙安全策略201可以基于如事件信息213中所示的、指示从中国接收存档文件的描述符的生成和附连到参与者来实施。替换地,可以将该描述符添加到存储在存储库116中的安全上下文条目111中,以供参考图1所述的可见性目的,而不是基于外部存档文件接收来实施防火墙安全策略。针对特定安全实体或组件(例如,防火墙102)的描述符附连和策略实施的优先级可以在附连到防火墙102的附加策略中定义,或者在防火墙安全策略201中定义。
在阶段B,知悉安全上下文的策略实施器(以下称为“策略实施器”)218将参与者ID信息207传达给安全上下文存储库接口(以下称为“存储库接口”)220,以检索针对参与者存在的安全上下文条目。参与者ID信息207指示在阶段A1检测到策略评估触发事件之后确定的参与者的标识信息(例如,用户ID和/或设备ID等)。参与者ID信息207可以作为对参与者ID信息207中指示的参与者的安全上下文条目的请求来传达。例如,参与者ID信息207可以作为HTTP GET请求被传达给存储库接口220。
策略实施器218基于参与者的安全上下文来实施防火墙安全策略201。例如,基于确定参与者的行为触发了策略评估,策略实施器218可以从存储库116检索参与者的安全上下文条目111,以确定是否要针对参与者实施一个或多个防火墙安全策略201。因此,基于参与者的安全上下文内的触发事件来实施防火墙安全策略201。作为示例,对应于防火墙安全策略201的安全策略信息210包括两个策略,每个策略指示针对其评估参与者的安全上下文的不同条件。因此,在检索参与者的安全上下文条目111之后,针对与安全策略信息210相关的描述符来评估条目111的内容,以确定是否应该针对参与者实施至少一个策略,以及如果是,如何实施该策略。在另一实现中,策略实施器218可以是在安全组件(诸如防火墙102)上执行的遗留代码的“包装器”。然后,策略实施器218确定防火墙102是否是“知悉上下文的”(即,基于参与者的安全上下文来实施安全策略)。例如,策略实施器218可以确定除了“传统”策略之外,是否已经将基于安全上下文的策略附连到防火墙102。在确定防火墙102知悉上下文时,策略实施器218随后可以将参与者ID信息207传达到存储库接口220。如果防火墙102不知悉上下文,则可以改为实施传统安全策略。
在阶段C,存储库接口220从存储库检索针对参与者ID信息207中指示的参与者的安全上下文条目。先前已经为由参与者ID信息(即,使用具有IP地址198.51.100.0的设备的用户ID Honir)指示的参与者创建了安全上下文条目111。为了获得安全上下文条目111,存储库接口220可以生成并向存储库116提交请求,利用API来访问存储库116或维护存储库的服务器,等等。例如,存储库接口220可以向服务器提交请求以检索安全上下文条目111,该服务器使用针对HTTP GET请求的API维护存储库116。
在阶段D,存储库接口220将安全上下文条目111中包括的元数据(即,参与者ID信息和描述符)发送给策略实施器218。存储库接口220可以从安全上下文条目111提取元数据,并将提取的元数据传达给策略实施器218。例如,存储库接口220可以向策略实施器218发送消息,该消息包括安全上下文条目111中的描述符作为有效载荷。存储库接口220可替代地创建安全上下文条目111的副本并将其发送给策略实施器218。
在阶段E,策略实施器218确定与防火墙安全策略201相关的描述符,并针对防火墙安全策略201评估附连到参与者的描述符。与防火墙安全策略201相对应的安全策略信息210指示防火墙102基于参与者的安全上下文来实施两个策略。第一策略规定,在检测到具有分析师角色的参与者已接收到源自企业或组织外部的通信时,应允许任何服务。与本策略有关的描述符包括参与者的角色和指示最近通信来源的描述符(例如,位置、实体等)。第二策略规定,如果参与者从外部源接收到存档文件类型,则该存档文件将被隔离。与本策略有关的描述符包括存档文件的最近接收或下载以及文件来源的描述符。在防火墙安全策略201中可以枚举一些条件的相关描述符。替换地或附加地,策略实施器218可以针对安全策略信息210中指示的逻辑条件直接评估描述符。
策略实施器218基于从存储库接口220接收的通信(例如,通过提取描述符)来确定哪些描述符附连到参与者。然后,策略实施器218比较附连到安全策略信息210的描述符,以确定描述符是否满足安全策略信息210中指示的任一安全策略。在该示例中,策略实施器218确定针对业务单元和角色的描述符已被附连到参与者以及防火墙描述符DS_Ts1和端点保护描述符DS_Ts2,防火墙描述符DS_Ts1指示参与者收到了源自英国的ZIP文件,端点保护描述符DS_Ts2指示参与者的设备上已经检测到低威胁级别的未知进程。
策略实施器218针对安全策略信息210评估这些描述符,以确定它们是否满足策略实施的条件。第一策略指示通过外部网络(例如,外部网络103)发送给具有分析师角色的参与者的通信应被允许。策略实施器218确定已经将描述符附连到参与者,该描述符指定参与者的角色是分析师,并且参与者先前已经接收到来自外部源的通信。具体地,策略实施器218标识角色和Ds_Ts1描述符。策略实施器218确定这些描述符与“允许任何服务”策略相关。第二策略指示,如果已经检测到由外部源发送的存档文件,则防火墙102隔离传入通信(例如,所附带有ZIP文件的电子邮件)。策略实施器218还确定描述符已被附连到参与者,该描述符指定参与者先前已接收到源自外部源的存档文件。具体地,策略实施器218标识DS_Ts1描述符。
然后,策略实施器218基于确定相关描述符是否被附连到参与者来实施防火墙安全策略201。在该示例中,附连到参与者的描述符满足针对这两个策略的安全策略信息210中包括的条件。尽管“允许服务”策略也适用于基于角色和Ds_Ts1描述符的参与者,但隔离策略适用于基于Ds_Ts1描述符的参与者,并对应于策略评估触发事件。结果,防火墙隔离了通过外部网络103发送的源自中国的归档文件(图2中的file.tar.gzip)。基于安全上下文的策略实施提供了基于参与者安全上下文的不同方面的安全策略的灵活实施。例如,虽然分析师的参与者的角色可能满足允许分析师访问任何服务的安全策略,但如果参与者的安全上下文指示在某个时间窗口内的多个威胁事件,则该策略中的另一策略或条件可能会限制对任何服务的访问。作为示例,如果知悉安全上下文的策略实施器218正在实施限制在最后一天中有2起中等威胁事件或在最后一周中有至少3起低级别威胁事件的任何参与者访问外部服务的策略,则具有分析师角色的参与者将从任何服务受限。
图3是基于检测事件并将描述符附连到参与者来确定描述符的示例操作流程图。示例操作指的是作为执行与图1保持一致的所描绘操作的安全上下文构造器(以下简称“构造器”),尽管软件和程序代码的命名可能因实现而异。在框301,构造器获取与检测到的事件相对应的元数据。元数据可以基于企业或组织用于实施安全策略的任何安全组件或其他实体对事件的检测来接收。元数据可以指示参与者的标识信息,诸如用户ID、设备ID(例如,IP地址)、用户ID和设备ID两者等。元数据还可以包括事件细节,诸如事件描述和事件时间戳。元数据可符合特定的模式或格式,诸如JavaScript对象表示法(JSON)格式。构造器可以通过监控事件日志以寻找新事件并在确定新事件已被存储在事件日志中后检索元数据来获取元数据。替换地,构造器可以从部署到事件日志的日志监控代理获取元数据,该事件日志例如基于对代理的订阅将事件元数据传达给构造器。
在框303,构造器确定对应于事件的参与者。根据事件元数据中包括的参与者ID信息来确定参与者。参与者ID信息可以基于对于检测到事件的安全组件可用的会话信息、将设备地址解析为用户ID、认证事件等。参与者可以是用户、设备或登录到特定设备的用户。例如,构造器可以确定元数据中包括的用户ID、设备ID或用户ID和设备ID两者。
在框304,构造器确定检测到的事件是否提示描述符的更新或描述符的创建。如果已经检测到创建-触发(creation-triggering)事件,则可以创建描述符并将其添加到参与者的安全上下文条目中。如果已经检测到更新-触发(update-triggering)事件,则可以更新已附连到参与者的描述符。构造器可以基于元数据中包括的事件描述来确定事件是更新-触发事件还是创建-触发事件,或者可以以其他方式配置以确定事件分类(例如,基于附连到构造器的事件分类策略)。如果检测到的事件是描述符创建-触发事件,则控制继续到框305。如果检测到的事件是描述符更新-触发事件,则控制继续到框315。
在框305,构造器基于事件和/或参与者来确定描述符生成规则。构造器可以基于检测到的事件类型(例如,存档文件下载、凭证盗窃等)和/或参与者的类型来提取不同的元数据字段。描述符生成规则可以指定构造器要提取哪些元数据字段以供描述符生成。描述符生成规则还可以指示描述符的格式或结构。例如,描述符可以使用从事件元数据中提取的单个元数据字段或多个元数据字段。作为示例,描述符生成规则可以指示应提取除参与者ID和事件时间之外的事件元数据的每个字段。
在框307,构造器基于描述符生成规则来生成一个或多个描述符。构造器根据描述符生成规则提取事件元数据字段以创建描述符。为了提取元数据,可以将元数据字段复制到描述符的新结构中。构造器可以执行用于元数据的分析和提取的其他技术以生成描述符。
在框309,构造器确定是否存在针对参与者的安全上下文条目。为参与者创建的安全上下文条目可被存储到存储库中,诸如图1所描绘的存储库116。构造器可以生成查询并将其提交到存储库,以确定之前是否已经为参与者创建了条目。例如,构造器可以向存储库发送读取请求,该请求指示参与者ID,并分析响应以确定条目是否存在。如果存在针对参与者的安全上下文条目,则控制继续到框311。如果不存在针对参与者的安全上下文条目,则控制继续到框313。
在框311,构造器为参与者创建安全上下文条目。安全上下文条目可以是存储库中的条目、数据结构或容纳参与者的指示或标识符以及与参与者相关联的描述符的任何结构。构造器可通过生成指示参与者的标识信息的创建请求并经由用于创建请求的API将其传递给存储库(诸如,传达给维护存储库的服务器的HTTP POST请求)来创建安全上下文条目。
在框313,构造器将描述符附连到参与者。可以通过生成更新请求并经由用于更新请求的API将其提交到存储库来附连描述符,该更新请求指示参与者ID和描述符,诸如传达给维护存储库的服务器的HTTP PUT请求等。如果构造器在框311处创建了安全上下文条目,则构造器可以通过将描述符作为参数包括在创建请求中或通过单独的更新操作来附连描述符。
如果先前确定检测到的事件触发器对应于描述符更新动作而不是创建,则构造器在框315确定描述符更新事件的类型。描述符更新事件是那些提示更新已附连到参与者的描述符的事件。例如,描述符更新事件可提示对累积描述符的更新,诸如指示认证失败计数的描述符、在指定时间窗口中接收的特定类型文件的计数等。某些类型的描述符更新事件,诸如“修正”事件,可能提示从参与者的安全上下文条目中移除或删除描述符。替换地,修正事件可能提示描述符的创建,该描述符指示添加到参与者的安全上下文的事件修正。修正事件解决了针对描述符的潜在安全问题。作为示例,密码重置事件修复存疑的凭证事件。密码重置事件可在检测到存疑的凭证事件后提示移除附连的描述符。密码重置事件可能替代地提示生成新的描述符,该新的标识符指示已通过密码重置解决存疑的凭证事件。从修正事件生成的描述符可以与安全上下文条目中从安全事件生成的描述符编组在一起或相关(例如,通过创建指示安全事件及其解决方案的全面描述符、相关描述符等)。生成了事件通知的安全组件可以将更新事件的类型作为事件元数据的一部分传达给构造器。例如,事件分类策略可被附连到安全组件或构造器。当检测到针对参与者的多个事件时,构造器聚合每参与者的事件信息,并且随后可能筛选该信息聚合以维护相关信息(例如,信息可能会随着时间的推移变得陈旧)和/或避免安全上下文变得臃肿并且消耗过多内存和/或变得对访问低效。
在框317,构造器基于事件类型来更新一个或多个描述符。构造器可以向存储库提交更新、删除或以其他方式修改针对指示参与者的描述符的请求。例如,如果构造器确定描述符将作为描述符更新事件的结果被移除,则构造器可以在请求中指示应该从参与者的安全上下文条目中移除的描述符(例如,经由用于描述符移除的API)。可以基于各种条件对构造进行编程,以移除描述符。移除条件的示例包括信息生命周期或有效期到期、超过每安全上下文对描述符的总体限制、按类型(例如,入侵检测相关、凭证相关、端点相关等)超过对描述符的限制、超过来源限制等。可通过将新字段添加至描述符、更新描述符的现有字段(例如,递增或递减计数字段)等来更新累积描述符。尽管图3描述了确定检测到的事件是否触发描述符更新或创建的示例操作(304),但各实施例并不限于此。各实施例可以使用事件信息和参与者ID信息作为参数来调用更新类型的函数或方法,这些参数不区分调用方/调用者端上的创建和更新。如果基于参与者ID信息找到安全上下文条目,则接收方接口(被调用方或被调用者)将更新该条目;如果基于参与者ID信息未找到安全上下文条目,则将创建相应条目。
图4是用于基于标识附连到与安全策略对应的参与者的描述符来实施安全策略的示例操作流程图。示例操作指的是作为执行与图2保持一致的所描绘操作的知悉安全上下文的策略实施器(以下称为“策略实施器”),尽管软件和程序代码的命名可能因实现而异。
在框401,策略实施器检测安全策略评估触发事件。策略实施器可被配置成将由于参与者的行为而检测到的某些事件视为触发附连到相应安全组件的安全策略的评估。例如,实施端点保护安全策略的策略实施器可以将尝试的文件下载视为策略评估触发事件。
在框403,策略实施器确定与策略评估触发事件相关联的参与者。策略实施器可通过基于认证事件等将设备地址解析为用户ID,从对应安全组件可用的会话信息确定参与者。
在框405,策略实施器检索与事件相关联的参与者的安全上下文条目。参与者的安全上下文条目可被存储在存储库中,如参考图2和图3所述。为了检索参与者的安全上下文条目,策略实施器可以从存储库请求针对参与者的安全上下文条目。例如,策略实施器可以生成并经由API(诸如用于HTTP GET请求的API等)、经由HTTP GET请求,来向维护存储库的服务器发送指示参与者ID的安全上下文条目请求。检索到的安全上下文条目指示已附连到参与者的参与者ID和描述符。例如,检索到的安全上下文条目可以是存储在存储库中的安全上下文条目的副本或提取的参与者ID和描述符信息的另一列表。
在框407,策略实施器确定将针对已触发以供实施的安全策略来评估检索到的安全上下文条目中指示的那些描述符。用于实施安全策略的条件指示描述符,当附连到其行为触发策略评估的参与者时,这些描述符提示安全策略实施。策略实施器可以基于安全策略中指示的条件和/或为安全策略指定的准则来确定要评估的描述符。描述符元数据可以指示策略实施器可标识的描述符的属性。该属性可以对应于描述符的源、描述符所描述的事件类型、时间段等。安全策略可以指定要评估的描述符的准则(例如,网络事件相关描述符或端点事件相关描述符)。安全策略可以指定与安全策略相关的特定描述符源或描述符类型。相关描述符的确定可以在遍历安全策略的条件或条款时确定。安全策略的不同条件或条款可涉及不同的描述符。作为用于评估的描述符选择的解说性示例,如果安全策略指示如果参与者已从外部源接收到存档文件,则采取操作,策略实施器确定指示从任何外部源接收任何类型的存档文件的描述符满足用于策略实施的条件。策略实施器可以枚举满足针对安全策略实施的条件或免于安全策略的实施条件的描述符字段,以供与附连到参与者的描述符作比较。
在框409,策略实施器确定满足安全策略实施条件的一个或多个描述符是否附连到所标识的参与者。如果条件指示一个或多个个体描述符(即,不是描述符的范围、类别或多个描述符可以满足的其他条件),则策略实施器检查参与者的安全上下文条目以确定是否存在个体描述符。否则,策略实施器将确定满足针对策略实施的条件的描述符是否在安全上下文条目中。多个描述符可以满足的条件的示例是“从外部发送方接收的存档文件”。参考图1和图2中所描绘的示例,用于接收源自英国的ZIP文件的描述符和用于接收源自中国的使用gzip的tar文件的描述符两者都满足此条件。为了确定满足条件的描述符是否附连到参与者,策略实施器可以将描述符的一个或多个字段与策略实施器枚举的描述符或描述符字段列表进行比较,直接针对条件评估描述符字段,等等。如果满足用于安全策略实施的条件的一个或多个描述符被附连到参与者,则控制继续到框411。如果满足用于安全策略实施的条件的描述符未附连到参与者,则控制结束。
在框411,策略实施器针对参与者实施安全策略。策略实施器针对参与者执行安全策略所指示的动作。例如,参考图2,防火墙可以通过隔离包含旨在送给参与者的ZIP文件的电子邮件来实施安全策略。在确定安全策略应用于参与者之后,策略实施器还可以或替换地将分类(例如,标记、标签或其他指定)与参与者相关联。例如,企业或组织可将具有来自外部源的收到ZIP文件的参与者定义为高风险。在确定附连到参与者的描述符满足这些条件时,策略实施器可以将“高风险参与者”标记附连到参与者。
图5是基于安全组件和外部供应商两者检测到的事件来为参与者构建安全上下文的示例概念图。该示例假设针对参与者已经存在包括从检测到的事件生成的描述符的安全上下文条目(即,图1和图2中的安全上下文条目111)。除了企业或组织的安全框架或平台的安全组件外,事件还可以由其他来源(诸如,第三方来源或物联网(IoT)设备)检测。生成事件元数据的源,诸如防火墙102和外部供应商,发送事件元数据以存储在日志数据存储501(例如,数据湖或数据仓库)中。日志数据存储501为属于企业或组织安全平台的安全组件所检测到、属于另一安全框架的安全组件所检测到、第三方来源所检测到,和/或可由配置为从日志数据存储501检索事件元数据的任何组件或实体访问的其他外部供应商所检测到的事件生成事件元数据。例如,日志数据存储501可以是云存储。存储安全组件以及外部供应商生成的事件元数据促进了为参与者创建全面的安全上下文。
图5用一系列字母A-D来注释。这些字母代表操作的各阶段。尽管这些阶段是针对本示例而排序的,但各阶段解说了一个示例,以帮助理解本公开,并且不应用于限制权利要求。落入权利要求范围内的主题内容可以相对于次序和一些操作而变化。
在阶段A,防火墙102检测到存档文件接收事件并记录该事件。与图2中所描绘的示例类似,当监控来自外部网络103的传入流量时,防火墙102检测到使用gzip的tar文件已发送给用户110。防火墙102生成具有事件信息213的事件通知209,并将该事件标识为Event_FW2。事件通知209内的事件信息213包括事件元数据。在该示例中,事件信息213指示参与者的标识信息、事件的描述以及事件的时间。事件信息213还包括附加事件元数据。在本示例中,事件描述为“tar with gzip file received”(使用gzip的tar文件tar已接收),并且附加的事件元数据指示该文件起源于中国。防火墙102将事件通知209记录在日志数据存储501中。
在阶段B,来自外部供应商生成的事件515的事件元数据被存储在日志数据存储501中。外部供应商生成的事件515可以从配置为检测事件并生成事件元数据并将其转发到日志数据存储501的任何源接收。例如,源自外部供应商的被标识为Event_IT1的事件通知504被传达给日志数据存储501,以使企业或组织的安全组件可以访问事件信息507。事件信息507指示对于被标识为登录到具有IP地址198.208.51.0的设备的用户ID“Honir”的参与者(即,用户110和设备115),已检测到潜在的凭证盗窃事件。外部供应商在检测到一定数量的失败认证尝试后,可生成潜在的凭证盗窃事件。在该示例中,事件信息507指示已针对参与者检测到三次认证失败。外部供应商生成的事件515可以基于发起源的标识符、事件时间等组织在日志数据存储501中。在阶段C,安全上下文构造器104从日志数据存储501检索事件元数据并生成描述符。安全上下文构造器104可以通过在接收到新事件通知时监控日志数据存储501并在检测到事件元数据时检索事件元数据,来从日志数据存储501检索事件元数据。安全上下文构造器104可以替换地通过与监控日志数据存储501(图5中未描绘)的代理通信来检索事件元数据。当在日志数据存储501中接收到事件元数据时,基于轮询代理以寻找事件元数据等的安全上下文构造器104,代理可以将事件元数据传达给安全上下文构造器104。描述符是以如图1在阶段B中所述的方式类似的方式通过提取事件元数据生成的。描述符可以从源自任何来源的事件元数据生成,包括属于企业或组织安全系统(例如,防火墙102)、外部供应商、和/或来自组织目录101的属性。在该示例中,从事件信息213和事件信息507生成两个新描述符。安全上下文构造器104生成名为DS_Ts4的描述符,该描述符由从事件信息213提取的元数据组成。描述符DS_Ts4指示接收到源自中国的使用gzip的tar文件。安全上下文构造器104还生成名为DS_Ts3的描述符,该描述符由从事件信息507提取的元数据组成。描述符DS_Ts3指示由于检测到阈值数量的认证失败,参与者的凭证已经潜在地存疑。在阶段D,安全上下文构造器104将描述符附连到参与者。描述符是以如图1在阶段C中所述的方式类似的方式被附连到参与者。在本示例中,安全上下文构造器104确定用于生成描述符DS_Ts3和DS_Ts4的事件信息213和事件信息507两者都指示与使用IP地址198.51.100.0登录到设备的用户“Honir”对应的参与者ID。安全上下文构造器104可以通过将描述符附连到存储库116中的参与者的安全上下文条目111来将描述符附连到参与者ID。安全上下文构造器104使用新生成的描述符DS_Ts3和DS_Ts4来更新参与者的安全上下文条目111。例如,安全上下文构造器可以利用用于数据库更新请求的API,将HTTP PUT请求传达给维护存储库116的服务器,等等。参与者的经更新的安全上下文条目(以下简称“安全上下文条目”)111-2包括从组织目录101的属性创建的描述符、从安全组件检测到的事件创建的描述符以及从外部供应商检测到的事件创建的描述符。实际上,由于利用日志数据存储501中事件元数据的公共存储,基于参与者的安全上下文来实施安全策略的组件可以“使用”参与者的安全上下文的源自不同的安全组件和实体的各方面。安全上下文构造器104还可以将附连到参与者ID的诸描述符进行相关。当来自不同安全组件或实体的新事件元数据被写入到日志数据存储501时,描述符相关可以在描述符的初始生成期间发生,如在阶段C或在阶段D之后描述的。源自已添加到安全上下文条目111-2的不同源的描述符的相关反映了不同描述符与触发安全上下文条目111-2中那些描述符的生成的事件之间的关系。安全上下文条目111-2的属性描述符、防火墙描述符、端点保护描述符和/或外部供应商描述符中的任何一个,以及从日志数据存储501中的事件信息生成的其他描述符,可以相关。结果,具有相关触发事件的描述符可被链接,而不是看起来像是从独立事件生成的。例如,虽然防火墙描述符可指示接收源自英国的ZIP文件(例如,DS_Ts1),但端点保护描述符可指示由于下载ZIP文件而在设备上执行的进程具有低威胁级别(例如,DS_Ts2)。这些描述符之间的相关指示,ZIP文件接收/下载的潜在安全事件没有提供迫在眉睫的安全威胁。当查看从存储库116检索的参与者的安全上下文时,诸如经由图形用户界面(图5中未描绘)也可以指示这些相关,而不是线性地(例如,在列表中)呈现每个描述符类别内的描述符。
为了确定是否要将诸描述符进行相关,安全上下文构造器104比较来自日志数据存储501的、从涉及相关事件序列的不同安全组件、实体或供应商检索的事件信息。安全上下文构造器104可被编程为基于满足针对个体参与者的匹配阈值(例如,匹配的事件属性的指定百分比或数量)和/或相对时间范围(例如,彼此之间在5毫秒内的事件)来将诸事件进行相关。例如,在从防火墙102标识指示接收到存档文件的事件信息之后,安全上下文构造器104可以标识由端点保护组件105随后检测到的事件(例如,基于记录在日志数据存储501中的时间戳)。安全上下文构造器104确定由端点保护组件105检测到的存档文件下载启动的未知进程具有低威胁。结果,安全上下文构造器104可以在安全上下文条目111中将从这两个事件生成的描述符或DS_Ts1和DS_Ts2描述符进行相关。相关可以通过添加属性、标记等来指示。
图6是用于利用安全上下文条目响应不同请求类型的示例操作流程图。示例操作指的是作为执行所描绘操作的安全上下文构造器(以下简称“构造器”),尽管软件和程序代码的命名可能因实现而异。
在框601,构造器接收指示参与者ID的请求。可以从网络中的安全组件或实体接收请求。请求中指示的参与者ID可以包括用户ID、设备ID(例如,IP地址)等中的一者或多者。例如,如图1中所描绘的,参与者ID可以指示用户ID和与该用户ID相关联的设备的IP地址。在某些实现中,构造器可以接纳指示一个以上参与者ID的请求。例如,如果事件影响多个参与者,则可以将指示每个受影响参与者的参与者ID的请求传达给构造器(例如,检索在事件发生时与每个受影响参与者相关联的描述符)。
在框603,构造器访问针对参与者的安全上下文条目。如前所述,安全上下文条目可以是数据结构或基于先前检测到的与参与者相关联的安全相关事件来接纳参与者的指示或标识符以及与参与者有关的描述符的任何结构。与网络相关联的参与者的安全上下文条目可被存储在存储库或数据库中,诸如图1、2和5中所描绘的安全上下文存储库116。构造器可以通过将指示参与者ID的请求传达给存储针对网络内的参与者的安全上下文条目的存储库来访问参与者的安全上下文条目。例如,构造器可以使用用于与存储库或维护存储库的服务器通信的安全上下文条目请求的API(例如,用于HTTP GET请求的API)。在框605,构造器确定请求类型。请求可以对应于安全策略实施、报告和查看参与者的安全上下文条目。安全策略实施请求被传达给构造器,以确定安全策略是否应用于参与者。安全策略实施请求可以单纯指示参与者ID,或者除了用于实施的准则和/或与安全策略相关的描述符列表之外指示参与者ID。报告请求可以指示一个或多个描述符,以从构造器接收关于参与者是否与请求中所指示的一个或多个描述符相关联的“报告”。查看请求被传达给构造器,以在发出请求时或在请求中指示的前一时间查看参与者的安全上下文。构造器可以基于从请求者传达的元数据(例如,使用请求标识符)来确定请求类型。构造器还可以基于包括在请求中传达的元数据中的事件的描述来确定请求类型,或者可以以其他方式被配置为确定请求类别(例如,基于附连到构造器的请求分类策略)。例如,安全策略实施请求可以指示构造器配置为将其标识为安全策略评估触发事件的事件,如参考图2和图4类似描述的。除参与者ID之外,查看请求可指示时间戳。报告请求可指示一个或多个描述符或其逻辑组合(例如,角色=分析师且DS_Ts1或DS_Ts3),其可独立于事件检测。
在框606,构造器基于请求类型来确定描述符选择规则。描述符选择规则规定了选择哪些描述符或如何选择描述符以满足请求的准则。描述符选择规则可以与相应的请求类型相关联。例如,基于确定该请求是截至2019年6月19日08:25:29查看参与者安全上下文条目的请求,用于查看请求的描述符选择规则可指示构造器应选择具有在请求中指示的时间(即2019年6月19日08:25:29)或之前的时间戳的描述符。作为另一示例,用于安全策略实施请求的描述符选择规则可以基于该请求是否指示与安全策略实施相关联的描述符的特定子集。在此实例中,描述符选择规则可以指示,如果存在于安全上下文条目中,则应选择请求中指示的描述符。否则,如果构造器标识出未指示任何特定描述符的安全策略评估请求,则描述符选择规则可以指示应该选择参与者的安全上下文条目中的每个描述符,并将其传达给请求者(即,请求者在本地针对安全策略进行后续评估)。作为另一示例,用于报告请求的描述符选择规则可以指示要选择包括在报告请求中或满足报告请求的、与参与者ID相关联的任何描述符。
在框607,构造器基于描述符选择规则来选择安全上下文条目中的描述符。构造器针对描述符选择规则来评估描述符元数据,以根据描述符选择规则确定哪些描述符(如果有)与请求相关。例如,构造器可以基于请求中指示的准则(诸如时间戳)来搜索安全上下文条目。作为另一示例,如果安全策略实施请求指示用于实施的描述符准则,并且安全上下文条目中的描述符的子集完全满足该准则,则选择描述符的该子集。如果安全策略实施请求没有指定描述符或描述符准则,则构造器可以选择安全上下文条目中的每个描述符来满足该请求。为了满足报告请求,可以选择报告请求明确地和/或作为描述符的逻辑组合的一部分来指示的描述符。如果报告请求指示描述符的逻辑组合,则构造器将评估安全上下文条目中的描述符元数据,以根据所请求的组合确定安全上下文条目是否包含描述符的子集。例如,如果报告请求指示“角色=分析师且DS_Ts1或DS_Ts3”,并且参与者是分析师并与DS_Ts1相关联,则构造器选择角色和DS_Ts1描述符。例如,可以通过在选择期间标志或以其他方式标记描述符来选择描述符。
在框609,构造器使用所选描述符构造对请求的响应。构造器编译已标志、标记等的所选描述符以创建响应。例如,所选描述符可以从安全上下文条目复制到响应中,并作为有效载荷合并到响应消息中,等等。如果由于安全上下文条目中没有满足描述符选择规则的描述符而没有选择描述符,则构造器可以构造指示请求无法被满足的响应(例如,通过构造具有空值、空集等的响应)。构造器可以在选择每个描述符时或在已经选择描述符集之后构造响应。
在框611,构造器将与所选描述符的响应传达给请求者。响应可以基于请求类型来指示满足请求的描述符,或者指示参与者ID指示的参与者是否与满足请求的描述符不相关联。
变型
尽管未在图1、图2或图5中描绘,但可以从参与者中移除描述符。描述符的移除可由修正事件或解决与描述符相关联的安全问题的事件触发。例如,附连到参与者的描述符可以指示参与者的凭证在检测到失败的认证尝试的阈值数量后已经潜在地存疑。各种安全组件可以通过在确定参与者的凭证潜在地存疑时实施策略来“使用”参与者安全上下文的这一方面。但是,在修复此事件后,可能期望这些策略不再应用于参与者。解决此安全问题的修正事件可以是密码重置事件。在从事件日志检索到的事件信息中检测到密码重置事件后,安全上下文构造器可从参与者移除针对潜在存疑的凭证的描述符。例如,安全上下文构造器可以从参与者的安全上下文中移除该描述符(即,通过从安全上下文存储库中参与者的安全上下文条目中移除该描述符)。
这些示例通常指代“安全上下文构造器”。安全上下文构造器是一种用于指代从检测到的事件中提取元数据以生成附连到参与者的描述符的功能性的实现的构造。由于有许多实现是可能的,所以使用了这些构造。安全上下文构造器可以是机器的一个或多个特定组件(例如,与其他电路卡/板一起封装在外壳中的特定电路卡)、机器可执行程序、固件、具有用固件配置和编程的电路的电路卡,等等。该术语用于高效解释本公开的内容。尽管各示例涉及由安全上下文构造器执行的操作,但不同的实体可以执行不同的操作。
提供了流程图以帮助理解解说,并且不被用于限制权利要求的范围。流程图描绘了在权利要求范围内可能变化的示例操作。可以执行额外的操作;可以执行更少的操作;这些操作可以并行执行;并且可以以不同的顺序执行操作。例如,框405和407中描绘的操作可以并行或同时执行。将会理解,可由程序代码来实现流程图图示和/或框图的每一个框以及流程图图示和/或框图中的框的组合。程序代码可被提供给通用计算机、专用计算机或其他可编程机器或装置的处理器。
如将领会的,本公开的各方面可体现为存储在一个或多个机器可读介质中的系统、方法或程序代码/指令。因此,各方面可以采取硬件、软件(包括固件、驻留软件、微代码等)的形式,或者软件和硬件方面的组合,其在本文中通常被称为“电路”、“模块”或“系统”。示例解说中作为个体模块/单元呈现的功能性可以根据平台(操作系统和/或硬件)、应用生态系统、接口、程序员偏好、编程语言、管理员偏好等中的任何一者被不同地组织。
可以利用一个或多个机器可读介质的任何组合。机器可读介质可以是机器可读信号介质或机器可读存储介质。机器可读存储介质可以是,例如,但不限于,采用电子、磁、光、电磁、红外或半导体技术中的任何一种或其组合来存储程序代码的系统、装置或设备。机器可读存储介质的更多具体示例(非详尽列表)将包括以下内容:便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、便携式光盘只读存储器(CD-ROM),光存储设备、磁存储设备或上述设备的任何适当组合。在本文档的上下文中,机器可读存储介质可以是能够包含或存储由指令执行系统、装置、控制器或设备使用或与指令执行系统、装置、或设备相结合地使用的程序的任何有形介质。机器可读存储介质不是机器可读信号介质。
机器可读信号介质可包括被传播的数据信号,该数据信号具有被体现在其中(例如,在基带中或作为载波的一部分)的机器可读程序代码。这种传播的信号可以采取各种形式中的任何一种,包括但不限于电磁、光学或其任何合适的组合。机器可读信号介质可以是不是机器可读存储介质并且可以通信、传播或传输程序以供指令执行系统、装置或设备使用或与之结合使用的任何机器可读介质。
实现在机器可读介质上的程序代码可以使用任何适当的介质来传输,包括但不限于无线、有线、光纤电缆、射频等,或者前述任何合适组合。
用于执行本公开的各方面的计算机程序代码可以用一种或多种编程语言的任何组合来编写,该一种或多种编程语言包括面向对象的编程语言、动态编程语言、以及常规过程编程语言或类似编程语言。程序代码可以完全在独立机器上执行,可以跨多台机器以分布式方式执行,并且可以在一台机器上执行,同时在另一台机器上提供结果和/或接受输入。
程序代码/指令也可被存储在机器可读介质中,该介质可引导机器以特定方式运行,使得存储在机器可读介质中的指令产生包括实现流程图和/或一个或多个框图块中指定的功能/动作的指令的制品。
图7描绘了具有安全上下文构造器和知悉安全上下文的策略实施器的示例计算机系统。计算机系统包括处理器701(可能包括多个处理器、多核、多节点和/或实现多线程等)。计算机系统包括存储器707。存储器707可以是系统存储器或上述机器可读介质的任何一个或多个可能实现。计算机系统还包括总线703和网络接口705。该系统还包括安全上下文构造器711和知悉安全上下文的策略实施器713。安全上下文构造器711基于事件的检测来确定描述符,并将描述符附连到与事件相对应的参与者。知悉安全上下文的策略实施器713基于对参与者的安全上下文的评估来实施安全策略。安全上下文构造器711和知悉安全上下文的策略实施器713不一定在同一计算机系统上执行。可以在硬件和/或处理器701上部分(或全部)实现先前描述的功能中的任何一个。例如,该功能可以用因应用而异的集成电路、在处理器单元701中实现的逻辑、在外围设备或卡等上的协处理器中实现。此外,实现可以包括图7中未解说的较少或附加组件(例如,视频卡、声卡、附加网络接口、外围设备等)。处理器701和网络接口705耦合到总线703。尽管解说为耦合到总线703,但存储器707可以耦合到处理器701。
虽然参考各种实现和利用来描述本公开的各方面,但将理解,这些方面是解说性的,并且权利要求的范围不限于此。一般来说,用于基于事件创建描述符和基于附连到如本文所述的相应参与者的描述符来实施安全策略的技术可以使用与任何硬件系统或硬件系统一致的设施来实现。许多变型、修改、添加和改进是可能的。
可以为本文描述为单个实例的组件、操作或结构提供多个实例。最后,各种组件、操作和数据存储之间的边界在某种程度上是任意的,并且在特定解说性配置的上下文中解说了特定操作。功能的其他分配是设想的,并且可能落入本发明的范围内。一般来说,在示例配置中作为单独组件呈现的结构和功能可被实现为组合结构或组件。类似地,作为单个组件呈现的结构和功能也可以实现为单独的组件。这些和其他变型、修改、添加和改进可能落入本发明的范围内。
除非另有特别说明,否则使用带有连词“和”的列表之前的短语“至少一个”不应视为排他性列表,并且也不应被解释为来自每个类别中具有一个项目的类别列表。叙述了“A、B和C中的至少一者的条款可用所列条目中的仅一个、所列条目中的多个、以及列表中的项目中的一者或多者或未列出的另一项目”来违背。
示例实施例
示例实施例包括以下各项:
实施例1:一种方法包括,基于指示参与者标识符的请求,访问包括与参与者的标识符相关联的多个描述符的数据结构,其中该多个描述符描述与参与者对应的先前检测到的安全相关事件,并且先前检测到的安全相关事件是由与参与者相关联的第一网络的多个安全组件检测到的。至少部分地基于请求的类型来选择多个描述符的子集。使用描述符的所选子集构造对请求的响应。带有所选描述符的子集的响应被传达以满足请求。
实施例2:实施例1的方法,其中选择多个描述符的子集包括针对用于描述符选择的准则评估描述符的元数据,其中该准则是至少部分基于请求的类型来确定的。
实施例3:实施例1或2的方法,其中构造对请求的响应包括将多个描述符的该子集作为有效载荷合并在响应中。
实施例4:实施例1-3中任一实施例的方法,其中构造对请求的响应包括基于多个描述符来构造具有请求不能被满足的指示的响应。
实施例5:实施例1-4中任一实施例的方法,其中多个描述符还包括参与者的至少一个属性的指示。
实施例6:实施例1-5中任一实施例的方法还包括,基于检测到第一网络中的第一事件,对于第一网络的第一安全策略,确定可针对第一安全策略评估的与参与者相关联的多个描述符的子集的至少第一描述符,其中请求与第一事件相关联。针对第一安全策略评估第一描述符。第一安全策略是基于评估来实施的。
实施例7:实施例6的方法还包括确定第一事件触发对第一安全策略的评估。
实施例8:实施例6或7的方法,其中第一安全策略由检测到第一事件的多个安全组件中的第一安全组件来实施。
实施例9:实施例6-8中任一实施例的方法,其中确定可针对第一安全策略评估的多个描述符的子集的至少第一描述符包括针对所述多个描述符子集中的每一个子集的元数据,评估第一安全策略和第一安全策略中指示的每一安全条件中的至少一者的描述符准则。
实施例10:实施例6-9中任一实施例的方法还包括基于对描述符的评估来确定是否实施第一安全策略,其中访问包括多个描述符的数据结构是基于以下确定的:第一安全策略是基于对描述符的评估来实施的。
实施例11:实施例1-10中任一实施例的方法还包括基于第一网络中的第二事件的事件信息来生成新描述符。新描述符与参与者关联。
实施例12:一种其上存储有程序代码的非暂态性计算机可读介质,该程序代码包括可由处理器执行以执行实施例1-11中任一实施例的方法的机器指令。
实施例13:一种包括多个监控组件以及网络的多个安全组件的系统,该多个监控组件监控网络并记录与多个监控组件检测到的事件有关的事件信息,包括计算机可读介质的服务器,该计算机可读介质上存储有可由服务器执行的程序代码,以使服务器创建和维护网络内的每参与者的事件的事件信息的聚合,其中网络内的参与者对应于在网络内操作的设备,该多个安全组件至少部分地基于由服务器维护的事件信息聚合中的相应事件信息聚合在网络中执行安全相关操作,其中多个监控组件和多个安全组件中的至少一些是相同的组件。
实施例14:实施例13的系统,其中网络的主控多个安全组件中的至少第一安全组件的第一设备包括计算机可读介质,该计算机可读介质上存储有可由第一设备执行以使第一设备执行以下操作的程序代码:基于检测到与第一参与者相对应的安全相关事件来获得诸聚合中的针对第一参与者的第一聚合,确定第一聚合的哪些信息单元可以针对由第一设备实施的第一安全策略来评估,并且基于针对第一安全策略对第一聚合的所确定信息单元的评估来对第一参与者实施第一安全策略。
实施例15:实施例13或14的系统,其中服务器的计算机可读介质进一步在其上存储有如下程序代码:受损程序代码用于基于对日志数据存储的更新的通知或检测从日志数据存储检索事件信息,其中多个监控组件将事件信息记录到日志数据存储中。

Claims (15)

1.一种方法,包括:
基于指示参与者标识符的请求,访问包括与所述参与者的标识符相关联的多个描述符的数据结构,其中所述多个描述符描述与所述参与者对应的先前检测到的安全相关事件,并且所述先前检测到的安全相关事件是由与所述参与者相关联的第一网络的多个安全组件检测到的;
至少部分地基于所述请求的类型来选择所述多个描述符的子集;
使用描述符的所选子集构造对所述请求的响应;以及
传递带有描述符的所选子集的响应以满足所述请求。
2.如权利要求1所述的方法,其特征在于,选择所述多个描述符的子集包括针对用于描述符选择的准则评估所述描述符的元数据,其中所述准则是至少部分基于所述请求的类型来确定的。
3.如权利要求1所述的方法,其特征在于,构造对所述请求的响应包括将所述多个描述符的所述子集作为有效载荷合并在所述响应中。
4.如权利要求1所述的方法,其特征在于,构造对所述请求的响应包括基于所述多个描述符来构造具有所述请求不能被满足的指示的响应。
5.如权利要求1所述的方法,其特征在于,所述多个描述符还包括所述参与者的至少一个属性的指示。
6.如权利要求1所述的方法,其特征在于,还包括:
基于检测到所述第一网络中的第一事件,对于所述第一网络的第一安全策略,确定能针对所述第一安全策略评估的与所述参与者相关联的所述多个描述符的子集的至少第一描述符,其中所述请求与所述第一事件相关联;
针对所述第一安全策略评估所述第一描述符;以及
基于所述评估来实施所述第一安全策略。
7.如权利要求6所述的方法,其特征在于,还包括确定所述第一事件触发对所述第一安全策略的评估。
8.如权利要求6所述的方法,其特征在于,所述第一安全策略由检测到所述第一事件的所述多个安全组件中的第一安全组件来实施。
9.如权利要求6所述的方法,其特征在于,确定能针对所述第一安全策略评估的所述多个描述符的子集的至少第一描述符包括针对所述多个描述符的子集中的每一者的元数据,评估所述第一安全策略和所述第一安全策略中指示的每一安全条件中的至少一者的描述符准则。
10.如权利要求6所述的方法,其特征在于,还包括:基于对描述符的评估来确定是否实施所述第一安全策略,其中访问包括所述多个描述符的数据结构是基于以下确定的:所述第一安全策略是基于对描述符的评估来实施的。
11.如权利要求1所述的方法,其特征在于,还包括:
基于所述第一网络中的第二事件的事件信息来生成新描述符;以及
将所述新描述符与所述参与者相关联。
12.一种其上存储有程序代码的非暂态性计算机可读介质,所述程序代码包括能由处理器执行以执行权利要求1-11中的任一权利要求所述的方法的机器指令。
13.一种系统,包括:
多个监控组件,其监控网络并记录与由所述多个监控组件检测到的事件有关的事件信息;
包括其上存储有程序代码的计算机可读介质的服务器,所述程序代码能由服务器执行以使所述服务器创建和维护所述网络内的每参与者的事件的事件信息的聚合,其中所述网络内的参与者对应于在所述网络内操作的设备;以及
所述网络的多个安全组件,其至少部分地基于由所述服务器维护的所述事件信息聚合中的相应事件信息聚合在所述网络中执行安全相关操作,其中所述多个监控组件和所述多个安全组件中的至少一些是相同的组件。
14.如权利要求13所述的方法,其特征在于,所述网络的主控所述多个安全组件中的至少第一安全组件的第一设备包括其上存储有程序代码的计算机可读介质,所述程序代码能由所述第一设备执行以使得所述第一设备:
基于检测到与所述第一参与者相对应的安全相关事件,来获得诸聚合中的针对所述第一参与者的第一聚合;
确定所述第一聚合的哪些信息单元能针对由所述第一设备实施的第一安全策略来评估;以及
基于针对所述第一安全策略对所述第一聚合的所确定的信息单元的评估,来对所述第一参与者实施所述第一安全策略。
15.如权利要求13所述的系统,其特征在于,所述服务器的计算机可读介质还在其上存储有如下程序代码:所述程序代码用于基于对日志数据存储的更新的通知或检测从所述日志数据存储检索事件信息,其中所述多个监控组件将事件信息记录到所述日志数据存储中。
CN202080053814.5A 2019-07-25 2020-07-20 每参与者的多视角安全上下文 Active CN114208114B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/522,632 US11271970B2 (en) 2019-07-25 2019-07-25 Multi-perspective security context per actor
US16/522,632 2019-07-25
PCT/US2020/042745 WO2021016171A1 (en) 2019-07-25 2020-07-20 Multi-perspective security context per actor

Publications (2)

Publication Number Publication Date
CN114208114A true CN114208114A (zh) 2022-03-18
CN114208114B CN114208114B (zh) 2024-05-10

Family

ID=

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130097662A1 (en) * 2011-10-18 2013-04-18 Mcafee, Inc. Integrating security policy and event management
CN103198259A (zh) * 2012-01-09 2013-07-10 国际商业机器公司 用于安全策略管理的方法和装置
CN104202325A (zh) * 2006-03-27 2014-12-10 意大利电信股份公司 在移动通信设备上实施安全策略的系统
CN105659245A (zh) * 2013-11-06 2016-06-08 迈克菲公司 上下文感知的网络取证
CN106326738A (zh) * 2015-06-30 2017-01-11 卡巴斯基实验室股份公司 计算机安全体系架构及相关的计算方法
US10257227B1 (en) * 2014-08-14 2019-04-09 Amazon Technologies, Inc. Computer security threat correlation

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202325A (zh) * 2006-03-27 2014-12-10 意大利电信股份公司 在移动通信设备上实施安全策略的系统
US20130097662A1 (en) * 2011-10-18 2013-04-18 Mcafee, Inc. Integrating security policy and event management
CN103198259A (zh) * 2012-01-09 2013-07-10 国际商业机器公司 用于安全策略管理的方法和装置
CN105659245A (zh) * 2013-11-06 2016-06-08 迈克菲公司 上下文感知的网络取证
US10257227B1 (en) * 2014-08-14 2019-04-09 Amazon Technologies, Inc. Computer security threat correlation
CN106326738A (zh) * 2015-06-30 2017-01-11 卡巴斯基实验室股份公司 计算机安全体系架构及相关的计算方法

Also Published As

Publication number Publication date
EP4005178A1 (en) 2022-06-01
US11271970B2 (en) 2022-03-08
US20230231885A1 (en) 2023-07-20
US20220159043A1 (en) 2022-05-19
US11627164B2 (en) 2023-04-11
US20210029165A1 (en) 2021-01-28
WO2021016171A1 (en) 2021-01-28
EP4005178B1 (en) 2023-07-12

Similar Documents

Publication Publication Date Title
US20230283996A1 (en) System and method for triggering on platform usage
US10530789B2 (en) Alerting and tagging using a malware analysis platform for threat intelligence made actionable
US10122746B1 (en) Correlation and consolidation of analytic data for holistic view of malware attack
US9569471B2 (en) Asset model import connector
US10762206B2 (en) Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
US10121000B1 (en) System and method to detect premium attacks on electronic networks and electronic devices
CN110798472B (zh) 数据泄露检测方法与装置
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US8375120B2 (en) Domain name system security network
US9003023B2 (en) Systems and methods for interactive analytics of internet traffic
US20130081141A1 (en) Security threat detection associated with security events and an actor category model
US11627164B2 (en) Multi-perspective security context per actor
US20160164893A1 (en) Event management systems
US20130081065A1 (en) Dynamic Multidimensional Schemas for Event Monitoring
KR102462128B1 (ko) 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법
US20130198168A1 (en) Data storage combining row-oriented and column-oriented tables
WO2011149773A2 (en) Security threat detection associated with security events and an actor category model
US11178160B2 (en) Detecting and mitigating leaked cloud authorization keys
US11558401B1 (en) Multi-vector malware detection data sharing system for improved detection
US20230164148A1 (en) Enhanced cloud infrastructure security through runtime visibility into deployed software
CN114826790B (zh) 一种区块链监测方法、装置、设备及存储介质
CN114208114B (zh) 每参与者的多视角安全上下文
Bissict Augmenting security event information with contextual data to improve the detection capabilities of a SIEM

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant