CN114245897A - 用于防止根级访问攻击的方法以及可测量的sla安全性和合规性平台 - Google Patents
用于防止根级访问攻击的方法以及可测量的sla安全性和合规性平台 Download PDFInfo
- Publication number
- CN114245897A CN114245897A CN202080057744.0A CN202080057744A CN114245897A CN 114245897 A CN114245897 A CN 114245897A CN 202080057744 A CN202080057744 A CN 202080057744A CN 114245897 A CN114245897 A CN 114245897A
- Authority
- CN
- China
- Prior art keywords
- change
- managed
- detected
- target device
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5009—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2127—Bluffing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2139—Recurrent verification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5019—Ensuring fulfilment of SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种管理系统检测目标设备处的更改。该管理系统向多用户授权池的授权用户的授权设备发送请求消息,该请求消息从授权用户请求所检测到的更改是否被批准的指示。该管理系统从多用户授权池的授权设备接收指示所检测到的更改是否被相应的授权用户批准的多个响应消息,以及基于多个响应消息中的至少三个响应消息指示不批准来确定所检测到的更改不被批准。响应于确定更改不被批准而向目标受管设备发送指令消息以指示目标受管设备回滚到先前状态。
Description
相关申请的交叉引用
本申请要求于2019年6月21日提交的美国临时申请第62/865,083号和于2019年6月21日提交的美国临时申请第62/865,080号的优先权,两个申请均整体并入本文。
背景技术
管理帐户或根帐户对设备、操作系统(OS)或在系统上执行的应用具有完全控制权。当管理员登录机器时,管理员的用户帐户被置于“管理或管理员”组帐户,该“管理员”组帐户具有执行这种操作的权限和作为管理员的职责。当恶意攻击者闯入操作系统或应用时,他们可能试图使用管理帐户获得该管理权限,以便能够清理踪迹并执行对设备或网络执行他们想要的任何动作所需的所有必要更改。
此外,当代计算机网络不断受损。存在多种攻击载体,并且已经实现了多种缓解方法来避免这些攻击或从这些攻击中恢复。然而,拥有计算机系统的实体通常缺乏对其计算机的攻击的洞察力。例如,在许多情况下,管理人员只能在攻击发生之后提供对攻击的时间表(timeframe)的估计,这在公司向其客户发出的由恶意行为者访问敏感或机密数据的先前成功行为的通知中可以看出。因此,缺乏的是控制对设备的根访问以检测攻击和从攻击中恢复的方法,以及测量各种攻击发生的时间表以及从这些攻击中恢复的时间表的方法。
因此,缺乏的是能够防止根攻击并测量设备的系统内的合规性的系统。
附图说明
图1示出了根据实施方式的用于监控根级攻击和测量受管设备的合规性的受管网络。
图2是示出根据实施方式的图1的管理系统和具有管理库的受管设备的详细视图的框图。
图3是示出根据实施方式的受管网络310的集中受管集群的框图。
图4是更详细地示出根据实施方式的图1的合规性监控器的框图。
图5是示出根据实施方式的用于监控和防止根级攻击的过程的流程图。
图6是示出根据实施方式的用于测量一组受管设备的合规性的过程的流程图。
图7是示出根据实施方式的示例计算设备的框图。
附图描绘以及具体实施方式描述了仅用于说明目的的各种非限制性实施方式。
发明内容
本文公开了一种检测目标设备处的更改的管理系统。该管理系统向多用户授权池的授权用户的授权设备发送请求消息,该请求消息从授权用户请求所检测到的更改是否被批准的指示。该管理系统从多用户授权池的授权设备接收指示所检测到的更改是否被相应的授权用户批准的多个响应消息,以及基于多个响应消息中的至少三个响应消息指示不批准来确定所检测到的更改不被批准。响应于确定更改不被批准而向目标受管设备发送指令消息以指示目标受管设备回滚到先前状态。
本文还公开了一种合规性监控器,该合规性监控器测量关于网络中的一个或更多个受管设备的度量。该合规性监控器基于由测量追踪器检测到的信息来生成日志,并且基于所生成的日志来向接收者发送报告。合规性监控器还基于一个或更多个测量追踪器指示所测量的度量超过相关联阈值测量值来启动一个或更多个安全动作。
具体实施方式
附图和以下描述仅通过说明的方式涉及优选实施方式。本领域技术人员可以认识到本文所公开的结构和方法的替选实施方式是可以在不背离所公开内容的原理的情况下采用的可行的替选方案。
现在将详细地参照若干实施方式,其示例在附图中示出。注意,只要可行,相似或相同的附图标记可以用于附图中并且可以指示相似或相同的功能。附图仅出于说明的目的而描绘了所公开的系统(或方法)的实施方式。本领域技术人员将从以下描述中容易地认识到,在不背离本文描述的原理的情况下,可以采用本文所示出的结构和方法的替选实施方式。
概述
可以实现防止根用户或组或者管理用户或组对操作系统(OS)进行不期望的或未经授权的更改的系统。替代地,整体管理现在需要满足在实时策略驱动系统中拥有多个用户的关键场景,以处理在OS或远程级别处执行的任何和所有更改。如果没有多个用户签署这些更改,则不会授予未经授权的更改。
当黑客取得计算机的所有权时,他升级并计算出管理员密码。当他今天利用管理员密码登录时,他可以然后进入并打开任何防火墙规则更改。OS中的规则更改被捕获并应用,因为管理员可以完全控制机器以进行这些更改。当点击应用时,OS内核别无选择并且在本地OS内接受这些更改。然而,机器内部和机器外部的监控服务将触发更改状态并立即回滚更改,因为它与机器的已知良好状态不匹配。这些回滚更改将被强制执行,并且警报被发送至安全系统,在该安全系统中现在可能会向安全操作中心发出更改警报。一旦发出警报,安全系统可以将警报和/或消息发送至多重托管批准列表上的多个用户,多个用户然后也可以接受更改。替选地,如果更改不被接受,则系统可以将更改记录为入侵并触发警告、警报或传感器。
在系统升级和补丁的情况下也会出现挑战。通常,根用户被允许随时接受补丁更改,因为根用户具有对系统执行任何动作的权限。然而,这将使黑客能够对核心OS进行更改,而不会在补丁升级期间可能发生的数百万更改中被注意到。这使得不可能对任何平台进行基于文件的更改管理以实时检测更改。然而,在一个实施方式中,为了防止这种情况发生,实现安全系统以仅允许在不同进程中进行这些更改并且严格禁止对处于生产状态的OS发生任何更改。所有更改都必须通过多重托管批准列表中的用户进行控制和批准,这样即使是管理员也无法单独将更改应用于生产系统。这允许安全系统检测任何更改并减少假阴性错误和假阳性错误。
在恶意攻击者试图禁用计算机的任何本地监控服务的情况下,安全系统能够检测到更改(例如,本地监控服务可能无法向安全系统发送心跳信号,或者可能对ping无响应)。在检测到更改之后,安全系统可以通过擦除和重新安装计算机上的软件层来启动计算机的重建(例如,经由存储在固件或黑客无法访问的其他位置上的重建例程)。这会将系统回滚到原始状态。
回滚被集中控制到已知良好状态。通过拥有已知良好状态签名的多个副本(多于3个),当一个副本脱离状态时,则其他副本强制它回到状态。根用户可以更改状态,但是只能更改其本地副本。如果经由多重托管批准列表上的用户的批准集中执行任何更改,则这将改变良好状态签名的多个副本。因此,只有通过更改所有副本,系统才会接受更改。此外,其他副本不被存储在恶意攻击者访问的计算机内。这防止攻击者能够访问签名的这些副本。
多用户托管批准系统需要多个用户在经由安全系统呈现给这些用户的仪表板用户界面内签名。批准系统还可以包括特殊群体。例如,在安全操作中心,可能存在12名操作人员在工作,并且可能需要他们中的2/3批准任何更改。然而,可能另外需要操作主管和/或客户提供最终批准。
当多重托管批准列表上的所有用户(例如,3个用户)批准更改时,计算机处于授权释放状态(ARS)。另外,计算机可能处于授权供应状态(APS)。该状态允许发生多个更改,而不需要多重托管批准列表上的用户批准每个更改。替代地,进行所有更改,然后将计算机切换至ARS状态,以便可以立即签署所有更改。APS状态仍然追踪所有更改,但不会强制锁定机器或实时回滚更改。
另外,可以将计算机置于授权维护状态(AMS)。这是完成构建和执行测试的地方。该状态用作非追踪状态目的,并且通常用于等待接收要部署到它们的配置的服务器。在应用被应用之前,这些计算机通常位于库存可用池中。在该状态下应用补丁,并且在该状态下构建新OS。
为了防止对多重托管批准列表上的批准用户的任何攻击,安全系统使用IP(互联网协议)签名方案,其中批准必须在某些IP限制以及要使用的密码和密钥内完成。因此,如果用户试图从互联网上的IP(该IP不在允许的IP列表中)批准,则安全系统将触发认为用户批准来自无效网络源的传感器。即使有可用的VPN(虚拟专用网络),也可以将其锁定以不授予批准。
此外,可以使用一组新的测量和技术来应对当今环境中面临的问题。这些新的测量现在不存在,并且这些单元的任何组合都将实现新级别的“安全服务级别协议”,其可以被实际测量和报告。这也为任何类型的合规性场景可测量报告实现了新级别的安全报告。它增强了所有新级别的安全性,并且可以揭示当前技术在现有环境内的部署情况。
在一些实施方式中,这些包括以下测量:
MTTD=平均检测时间:一种核心技术,用于测量黑客已经附接至网络的时间到检测系统可以检测到黑客的时间。这可以包括以秒为单位进行测量的计数器。MTTD是当今世界面临的最具挑战性的场景之一。该测量计算连接已经建立至或应用已经被应用于其中OS(操作系统)/应用/数据库或服务已经处于损坏状态的机器的时间。该技术可以利用它的其他关键专利基于MTTD时间来动态更改其状态。可以从这种新的测量技术构建SLA。在该状态下设计的计数器可以通过机器学习进一步分析,并且还可以触发其他软件元素,如日志记录、警报、脚本、报告和各种源IP、mac、WWN、协议等的相关机器学习。
MTTI=平均隔离时间:一种核心技术,用于测量检测到黑客之后的时间到隔离黑客对环境资源执行进一步破坏所花费的时间。这可以包括以秒为单位进行测量的计数器。该测量计算检测时间到隔离时间,其中所有连接的状态和资源都被过滤下来,以防止黑客在其受损状态期间访问资源。从已知问题到隔离的所计算时间应该接近实时,但是在当今的技术中,反应时间都是手动和人工驱动的。该技术将能够同时自动响应来自数百万个来源的实时黑客攻击。针对实时计数器和基于计数器结果的响应,使针对自动或机器驱动的攻击的防御无用。根据应用或OS类型,计数器是动态的。它是专门为响应土拨鼠日而构建的实时学习。隔离时间是测量黑客事件响应时间的关键计数器。这种新的测量工具执行的动作还实时响应黑客的行为,从而使攻击的管理速度比当今市场上的任何同类技术都要快。可以从这种新的测量中构建SLA,从而加强对黑客的防御。
HITT=黑客调查追踪时间:追踪器,用于确定黑客由于蜜罐(honeypot)和其他诱饵而留在系统中的时间长度,同时记录黑客的行为并追踪他的来源。这可以包括以秒为单位进行测量的计数器。该测量计算黑客被隔离的时间到黑客被踢出或干脆离开的时间。这种新的测量水平还有助于通过动态呈现虚假数据来吸引黑客的受众以保持参与来诱骗黑客继续利用更多虚假数据,同时使用其他资源来记录和追踪黑客的踪迹。新的测量工具还基于亚秒级场景中的时间来实现新级别的SLA。例如,计数器测量结果为30.6秒,但是可以以毫秒为单位进行测量。
MTTR=平均修复时间:在黑客离开或被踢出之后,所测量的修复OS/应用/数据库的时间。这可以包括以秒为单位进行测量的计数器。
MTTS=平均服务时间:在OS/App受损的服务中断的情况下需要测量服务的恢复时间。该测量计算服务离线以及部件(VM、容器化系统、物理机或其他部件)无法响应会话请求的时间。MTTS主要监控和管理服务可用性和正常运行时间度量。它通过其数据输出为整体机器学习元素做出贡献。
这些测量追踪器或计数器可以测量上述检测时间,可以经由对任何应用集成上的任何OS的安全服务来实现。计数器可基于传感器的组合进行调整,但不限于以下各项:1)OS/应用构建完成;2)系统投入服务并为用户或请求接受流量时;3)特定于应用或特定于服务的传感器(例如,在某些特定应用进程上触发计数器启动);4)对用户登录;5)对文件系统访问、端口访问、日志条目、完整性检查器、简单的正常运行时间时钟;6)或其他。用户活动/系统自动化活动也可以是可测量计数器的一部分。传感器可以彼此集成,或者可以与现有的第三方传感器或计数器集成。
在一个实施方式中,计数器从OS已经被供应或恢复到已知良好状态的时间开始。一旦它被放置到可用的服务池中,与OS的连接当前就被置于“可用”的服务池中。在另一实施方式中,基于可调算法来动态初始化和分配计数器以测量上述时间的任何组合。这些初始化可以是系统本地的、集中的或分布在多个系统中的,并且可以使用安全密钥来实现。
在另一实施方式中,计数器可以基于触发的蜜罐和作为轨道置于系统上的虚假资源来初始化。例如,在正常操作期间通常无法访问的OS内的虚假文件夹可能会在恶意攻击期间被机器人或人工访问。额外的蜜罐可能是用户帐户的形式。例如,一个系统可能具有多于10个的用户帐户,其中6个用户帐户将是蜜罐,它们是触发计数器的传感器。如果这些虚假用户帐户中的任何一个被访问,则系统将确定黑客已经访问了系统。根访问也可以归类为传感器之一。管理员是根组的一部分,但根以及其他管理员帐户可以都是触发滚动、SLA监控器、机器问题状态和计数器启动的传感器。
在另一实施方式中,一旦在服务池中,就可以启动计数器。与OS/APP的每个连接都被分析和测量。可以触发内置于计数器中的传感器。
在另一实施方式中,系统的任何修改可以触发一个或更多个计数器启动。在一些情况下,系统可能不允许在OS处于服务状态时进行在线修补。这允许对OS的文件系统和部件进行过多更改,从而导致检测到过多的假阴性和假阳性(这可能会触发计数器)。替代地,补丁可以离线发生,以减少检测到的假阴性和假阳性的数量。这使得准确度能够达到99%以上。
可以通过使外部系统经由通过防火墙或其他负载平衡器的允许访问而监控本地系统来从外部监控系统以确定是否触发计数器。还可以远程监控控制时间或访问时间。
在一个实施方式中,当OS断电时或者基于动态ACL(访问控制列表)指示资源访问基于触发的传感器时,计数器可以停止,即,检测事件的终止或结束。例如,如果在本地Web服务器中检测到根登录并且根登录试图对OS进行更改,则动态移除与数据库的连接。
在使用蜜罐资源的情况下,对这些文件或资源的访问可以触发动作响应例如系统的隔离,并且将系统设置为黑客状态。这将最终导致OS完全重建并将黑客捕获在动态生成的蜜罐OS中。在重建之后可以终止计数器,因为在重建之后黑客事件结束。OS的重建可以包括擦除系统上的现有软件层、以及将软件层重新成像、重建和/或重新安装到原始状态。滚动系统中的OS的正常运行时间针对应用被调整。OS的示例寿命通常被限制在最大30分钟,但可以短至10秒。如果OS标准配置的寿命为10秒,并且服务上的所测量SLA为30秒,则实际滚动时间将为20秒。基于SLA来重建OS,从而强制OS中的所有威胁变得无关紧要,因为它们需要在该SLA周期内执行。可以经由机器学习算法来分析来自恶意活动的所有流量,以检测特定模式,以进一步确定与攻击有关的信息。
该系统可以支持上下文机器学习以停止计数器以及允许控制设备动态调用系统的主机或固件(例如,BIOS)以重新启动服务器,或者如果系统是虚拟机(VM),则将重新启动VM,或者如果系统是容器化环境中的容器,则重建容器。在这些情况中的任一个中,终止了黑客对系统的访问,因此黑客无法在该SLA时间内执行任何进一步的攻击。由于服务器的重建使得能够缩短访问的时间段,因此黑客无法对系统造成额外的损坏。
这种计数器的一个示例应用用于处理信用卡交易的系统。在这种应用中,指示上述任何平均时间的期望最长时间的SLA阈值可以基于每个交易的所计算的交易时间。可以应用机器学习或其他算法来确定信用卡交易的最小交易时间和最大交易时间,并且可以在这些测量中动态构建SLA,以便针对TTD、TTI、TTC、TTH设置最大时间和/或最小时间。
在拆分会话状态下的节点可以向前携带其计数器。具有相同存储器/会话状态的多个节点将跨物理设备携带所有SLA计数器。这也将有助于测量所有形式的连接/会话/复制活动。
自定义SLA计数器可以由理解其设计的输出的当今任何监控技术监控、拾取。
SLA计数器可以与其他计数器组合以改进安全态势,并且也实现机器学习处理内部和机器学习处理外部的高级机器学习能力。
MTTD、MTTI、MTTH、MTTS的工具可以生成可以合并的日志。日志数据执行每个工具的时间表和测量结果的追踪。日志数据可以像性能计数器一样被集中化,日志数据然后可以在任何数据库类型中被分析,以供进一步分析。
可测量SLA可以与报告元素相关联。测量计数器将提供应用意识点,用于基于应用需求来自定义最小到最大范围。计数器还可以用于在时间间隔的所有级别处生成事件。
拥有这些集成的计数器可以从根本上改善关于合规性的安全立场,因为这些新计数器可以利用现在具有可测量安全合规性的安全可测量SLA来更改整个安全合规性场景。
安全合规性更多地是当今的以下过程,在该过程中大多数公司基于一组标准是合规的或不合规的。上面使用的计数器开辟了关于现在可以实时测量而不是外部人为驱动过程来验证系统或平台是否合规的新合规性级别。它在合规性级别计数器上开辟了新的测量级别,其中检测时间必须低于第一时间阈值,隔离时间必须低于第二时间阈值,黑客时间(即MTTH)必须低于第三预定时间阈值。如果满足并测量了这些新计数器,则根据测量系统将是合规的。这与由人工级别问题驱动的传统策略形成对比,传统策略不像上面包括的计数器那样执行任何形式的实时测量。
此外,在传统系统中,没有考虑到的问题是,这些系统允许计算系统及其OS在服务中驻留很长一段时间。由于这一点,这些系统必须对潜在攻击者已经在系统中的所有时间进行计数。相比之下,通过如上所述重建系统,这种滚动系统架构将平均时间缩短到秒和分钟,这可以用于计算SLA。
下面参照图1至图7描述关于这些系统的另外细节。
示例性系统
图1示出了根据实施方式的用于监控根级攻击和测量受管设备上的合规性的受管网络100。如所示出的,图1示出了网络110、受管设备120A至120N(通常称为受管设备120)、管理系统130、多用户授权池140、合规性监控器150和防火墙160。尽管此处示出了元件的特定布置和数量,但是在其他实施方式中,项目的布置和布局不同。例如,合规性监控器150和/或防火墙160可以是管理系统140的部件。在一个实施方式中,此处描述的一个或更多个元件以固件、FPGA(现场可编程门阵列)、集成电路、芯片、SoC或其他硬件设备实现。
可以是有线的、无线的或其组合的网络110使得至少在所示的元件中能够通信,并且网络110可以包括因特网、LAN、VLAN(例如,具有VPN)、WAN或其他网络。在一个实施方式中,网络110使用标准通信技术和/或协议,例如,安全超文本传输协议(HTTPS)、传输控制协议/因特网协议(TCP/IP)、统一资源定位器(URL)和域名系统(DNS)。在另一实施方式中,替代或除了上述数据通信技术,实体可以使用自定义和/或专用的数据通信技术。在一个实施方式中,通过管理系统130监控网络110上的所有通信。因此,网络110上的元件与其他外部网络上的元件之间的任何通信,无论是安全的、隧道化的、明文的还是其他的,都可以通过防火墙例如防火墙160进行门控。使用该方法,管理系统130能够监控网络上的活动以进行任何更改。
受管设备120A至120N是计算设备,所述计算设备彼此进行通信并且在一些情况下经由网络110与外部网络上的设备进行通信。这些设备可以包括能够执行计算机可读指令的任何类型的设备,并且可以具有包括下面参照图7描述的部件的架构。例如,这些设备可以包括智能手机、IoT(物联网)设备、无线设备、智能扬声器、可穿戴设备、平板电脑、虚拟/人造/混合现实设备、台式计算机、笔记本电脑、服务器计算机、无线接入点、路由器、哑终端等等。受管设备120可以直接连接至网络110而不通过任何中间网络,或者经由外部网络连接至网络110。这可以使用诸如网络隧道(例如,VPN)的安全通信方法来实现。在一个实施方式中,当受管设备经由外部网络连接至网络110时,管理系统130监控其与任何网络的所有通信。
在一个实施方式中,每个受管设备120可以包括可以用于执行可执行文件124的操作系统(OS)122。每个受管设备120还可以包括用于与管理系统130通信的管理库126,以便监控使用操作系统122和可执行文件124执行的活动并且恢复在使用操作系统122期间检测到的任何更改。
受管设备120的操作系统122是提供基本系统软件的计算机可读指令集,该基本系统软件用于管理计算机硬件、硬件资源、软件资源,并且为由受管设备120执行的可执行文件124提供公共接口和服务集。操作系统的示例包括基于的操作系统、FreeBSD、等。可执行文件124也是可以由受管设备120经由操作系统122执行的计算机可读指令集,但也与由操作系统122提供的服务和接口通信以发挥作用。操作系统122还可以包括数据125,数据125表示可以用于配置操作系统122和/或可执行文件124并存储用户数据或其他数据(例如,数据库文件、媒体文件、文本文件等)的非可执行的计算机可读信息。尽管数据125被示为操作系统122的一部分,但一些数据125可能与OS无关并且即使不同的操作系统122被用于受管设备120也可以被利用。用于操作系统122、可执行文件124和数据125的计算机可读指令和信息可以被存储在驻留在受管设备120处或驻留在可以由受管设备120经由网络110访问的远程位置处的存储介质上。
操作系统122具有内核,该内核是操作系统122的提供操作系统122的核心功能的计算机可读指令的一部分。这通常包括提供到硬件资源的接口,提供虚拟存储器接口、在操作系统122上运行的多个可执行文件124之间切换上下文,以及提供对由操作系统122提供的资源的各种级别的安全访问,例如对文件、硬件资源的访问(例如,网络访问、可信平台模块访问、外部I/O(输入/输出)访问等)。内核通常基于用户许可方案来限制访问,由此根用户或管理用户对操作系统122能够提供的所有资源具有完全访问权限,而其他用户对这些资源具有不同组的限制性访问权限。给予每个用户的访问权限是他们的权限集。每个用户在系统上都被提供有用户帐户,用户可以经由一些凭证认证系统(例如,用户名/密码、轮换令牌、生物特征)访问该用户帐户。该用户帐户一旦被访问,就为用户提供上述权限。具有更多限制性许可的用户不可以在操作系统122上执行许多不期望的动作,因为他们被限制为只能访问一小部分资源。然而,管理用户帐户、根用户帐户或系统用户帐户可以执行许多动作,其中一些动作可能被视为未被批准。对根帐户的访问,如果由授权用户正常访问,则不一定会对受管设备120造成安全风险。然而,如果恶意用户经由操作系统122的代码中的漏洞或通过使根帐户的授权用户的凭证认证受损来访问该相同的根帐户,则这对受管设备120造成了重大威胁,因为现在恶意用户具有对受管设备120的不受限制的访问权限,并且如果由恶意攻击者使用的受损用户帐户可以用于访问网络上的其他设备,则可能具有对受管网络110上的其他设备的不受限制的访问权限。类似地,使用系统帐户,可能出现对操作系统的未经授权的补丁或升级,该未经授权的补丁或升级包括恶意代码。由这些不受限制的用户帐户引起的更改可能未被批准并且可能导致负面后果,例如从受管网络100内的存储装置中窃取机密信息(例如,机密的数据125),在网络110内创建后门访问,导致网络110上的设备停止运行,等等。
为了缓解这些类型的更改,每个受管设备120还包括管理库126以监控操作系统122内的活动,并且在检测到更改的情况下,管理库126可以通过例如将受管设备120回滚到先前已知的良好状态来补救更改。管理库126可以通过注入作为可执行文件124在操作系统122内执行的一个或更多个检测二进制文件来执行该功能,所述一个或更多个检测二进制文件监控受管设备120和操作系统的任何更改。如果任何更改落在受管设备120可允许/批准的更改的例外列表之外,则一个或更多个检测二进制文件可以向管理库126或向管理系统130发送指示检测到更改的警报/消息。如果更改被确定为未经授权,则管理库126可以恢复由未被批准的更改引起的任何更改。管理库126可以根据从管理系统130接收到的消息确定更改未经授权。为了恢复更改,管理库126可以将操作系统122以及任何相关联的可执行文件124和数据125回滚到先前状态。这可以通过利用操作系统122的先前映像(image)替换当前操作系统122(包括相关的可执行文件124和数据)来执行。系统的先前映像是操作系统122、可执行文件124和数据125的先前状态的精确副本,该精确副本被先前存储在相应的电子存储装置中并且处于已知良好状态。这种类型的回滚防止在受管设备120的操作系统122中发生进一步的恶意活动。替选地,管理库126在检测到落在例外列表之外的更改时执行回滚,并且如果确定更改被批准则将更改应用回受管设备。关于管理库126的附加细节参照下面的图2至图6来提供。
管理系统130从它们的管理库126接收网络110上的任何受管设备120中的更改的消息,并且利用包括关于如何响应更改的指令的消息来指示受管设备120上的管理库126。如上所述,可以将来自管理库126的所检测到的更改的任何指示发送至管理系统130。这些更改可以是那些不在例外列表上的更改。该消息可以被加密,可能经由旋转密钥被加密。作为响应,管理系统130可以基于该受管设备120的例外列表来确定所报告的更改是否被列为例外列表中的例外。如果更改被列在例外列表中,则管理系统130可以向该受管设备120的管理库126发送指示允许更改的消息。例外列表可以包括关于什么类型的访问、什么程度/数量以及什么类型的资源是可接受的规则。另一方面,如果所报告的更改未列在例外列表中,则管理系统130可以向多用户授权池140发送用于确定该更改是否可接受(即,确定该更改是否被批准)的一个或更多个消息。在其他实施方式中,替代地,管理系统130可以针对所有从受管设备120接收到的可能更改的消息,发送请求来自多用户授权池140的批准的消息,而不检查例外列表。
多用户授权池140是一组授权用户,他们可以批准或不批准来自受管设备120的任何报告的更改。这些授权用户可以是管理员、系统操作员、客户、安全专家等。多用户授权池140的每个授权用户可以具有授权设备,例如授权设备142A至142C(通常被称为授权设备142)。尽管此处示出了三个设备,但是在其他实施方式中,池140可以包括更多数量的设备和具有批准授权的相关联用户。这些授权设备142是计算设备(例如下面参照图7描述的那些),并且它们本身可以是受管设备120。每个授权设备142可以经由一组标准输出设备(例如,显示器、音频输出、无线接口)中的任何一个向设备的用户通知对所报告的更改的描述。授权设备142还可以从用户接收输入以对用户进行认证,例如,经由凭证143A至143C对用户进行认证,并且从用户接收指示所报告的更改是被批准还是不被批准的输入。该输入可以经由一组标准输入设备(例如,键盘、鼠标、触摸屏)中的任何一个来接收。每个授权设备142可以经由某种通知方法(例如,音频、触觉、视觉或其他输出)向用户警告已经检测到特定受管设备120的更改。用户可以输入他们的凭证143以对他们自己进行认证。这些凭证可以类似于用于认证受管设备120的用户的凭证。它们可以包括加密密钥、证书、生物特征等。这些凭证可以包括多因素认证过程。这些凭证143可以被传送到管理系统130以供验证或在本地验证,之后授权设备142向授权设备142的用户输出对更改的描述。授权用户经由授权设备142被呈现有对更改的描述。这可以包括日志文件信息、对访问类型的描述、用于执行访问的用户帐户、访问的资源、检测到的特定错误(例如,通信丢失)等等。
授权设备142的每个用户可以具有批准所报告的更改的设定时间量,在该时间量之后,管理系统130默认用户不批准更改。此外,在管理系统130确定更改被批准并指示管理库126允许该更改继续之前,授权设备142的阈值数量的用户必须批准该更改。如果未达到阈值数量的批准,或者如果接收到阈值数量的不批准消息,则管理系统130指示管理库126不批准该更改。例如,该补救可以包括如先前所描述的回滚更改。替选地,如果更改被管理库126抢先回滚,则管理库不恢复更改。作为替选方案,管理系统130仅在它从多用户授权池140的一定百分比的用户接收到批准时确定更改被批准,并且在它从一定百分比的用户接收到不批准消息时确定更改不被批准。除了向管理库126发送用于回滚系统的消息之外,管理系统130可以触发其他动作,例如,向防火墙160发送用于阻止外部网络访问检测到更改的受管设备120的消息,指示其他受管设备120的管理库126阻止与所讨论的受管设备120的通信,等等。
该过程具有许多优点。由于需要多于一个的用户来批准被视为未被批准的任何更改,因此具有批准能力的任何单个用户的授权设备142的受损不会使整个系统受损。此外,由于系统超时并且在它没有接收到需要的批准数量时不批准任何更改,因此即使没有持续的用户批准和授权,它也可以继续运行,并且继续保持安全以免受攻击。最后,由于批准过程最终由人工完成,因此这避免了自动批准系统可能对所报告的更改执行不正确的行为分析的问题。自动系统可能成为漏洞的攻击目标,以便欺骗系统确定实际恶意的更改是可接受的。例如,当实际上访问模式被故意设计以欺骗系统并且实际上是恶意的时,可以以启发式或机器学习系统确定访问模式类似于正常访问模式的这种方式来设计资源访问。通过使一组多个人工用户批准任何更改,可以减轻欺骗自动行为分析系统的攻击载体以及使个人管理批准用户的设备受损的攻击载体两者。下面参照图2至图3以及图5描述关于管理系统130和多个用户/托管批准过程的附加细节。
在一个实施方式中,受管网络100还包括合规性监控器150,该合规性监控器150用于计算一个或更多个追踪器,以利用SLA(服务级别协议)确定受管网络100的合规性级别。在攻击之后的多个月检测到组织网络和设备的许多受损,这阻碍了取证分析、恢复任何被盗数据(例如,数据125)和捕获恶意攻击者的能力。因此,快速追踪任何SLA要求是否已经被违反的能力是有利的。此处的SLA描述了受管网络100与任何客户之间关于管理/拥有受控网络100的实体旨在向其任何客户端递送的各种可测量的服务级别的协议。违反该SLA可能指示受管网络100上发生了未被批准的更改,例如攻击。合规性监控器150可以追踪与SLA相关联的度量以确定SLA是否已经被违反。可以被追踪的测量结果包括以下的平均值:1)攻击的检测,2)攻击的隔离,3)攻击者在系统中的持久性,4)对系统的修复,5)服务的恢复时间,以及6)返回到符合SLA度量。响应于测量结果中的任何一个超过阈值,合规性监控器150可以将消息发送至管理系统130,管理系统130可以进而将消息发送至多用户授权池140,如上所述。如果管理系统130确定多用户授权池140的用户不批准所报告的阈值的违反,则管理系统130可以在受影响的受管设备120上发起补救动作,例如通过对它们进行回滚来发起补救动作。
使用这种合规性监控方法,受管网络110能够确保系统中的所测量度量被保证保持在SLA阈值内。如果测量到所追踪的度量超过将触发或最终触发SLA违规的阈值,则系统可以以提示的方式采取诸如回滚受影响的系统的补救动作。这确保了不发生SLA违规(或仅暂时发生)。这为客户提供了更稳定和抗攻击者的服务,这比其中攻击或其他更改可能需要多个月的时间来检测的现有系统更可取。下面参照图4和图6描述关于合规性监控器150的附加细节。
在一个实施方式中,受管网络100还包括防火墙160,该防火墙160可以管理被引导至网络110和离开网络110到外部网络162的网络流量。在一个实施方式中,在管理系统130确定受管设备120正在呈现未被批准的更改的情况下,防火墙160从管理系统130接收请求以阻止受管设备120对外部网络162的网络访问(入站和出站两者)。为了阻止网络访问,防火墙160可以对网络分组和流量(例如深度分组检查)进行分析,以确定去往/来自外部网络162的网络数据的来源和目的地(例如,经由网络地址、网络端口、其他报头信息、有效载荷信息),并且可以删除来自受管设备120(从该受管设备120检测到未被批准的更改)或者被引导至相同的受管设备120的任何所识别的网络流量。在另一实施方式中,防火墙160可以记录所识别的网络流量。防火墙160还可以基于来自管理系统130的指令来允许或选择性地允许任何所识别的网络流量到目的地,例如,在受管设备120是被配置成追踪或吸引恶意用户的设备例如蜜罐的情况下。
在一个实施方式中,防火墙160本身是受管设备120,并且包括管理库126,该管理库126监控防火墙160设备本身的操作系统、可执行文件和数据中的更改,以确定是否有任何用户对防火墙160造成未被批准的更改。如果是,则防火墙160上的管理库126可以向管理系统130发送消息,并且作为响应,如果更改未被批准,则管理系统130可以使防火墙160回滚其操作系统、可执行文件和数据,这类似于上述针对受管设备120的过程。以这种方式,防火墙160本身也被保护免受任何未授权的根级或其他用户攻击。
示例管理系统
图2是示出根据实施方式的图1的管理系统130和具有管理库126的受管设备的详细视图200的框图。图2示出了具有设备模式初始化器230、更改检测器232、多用户授权子系统234、重建管理器236、设备映像存储装置238和滚动替换管理器240的管理系统130。管理系统130经由一个或更多个连接210A至210N(通常称为连接210)与受管设备120的管理库126进行通信。这些连接包括在路径故障或受损的情况下的主连接和各种备份连接。
基于受管设备120的要求以及基于来自多用户授权池140的用户的批准,设备模式初始化器230将受管设备120初始化到多个不同状态之一。设备模式初始化器230可以接收来自多用户授权池140的必要批准,以将受管设备120置于上述状态之一。该必要批准可以是由阈值数量的用户、阈值百分比的用户和/或池中的特殊用户组进行的批准。作为响应,设备模式初始化器230利用对应于该状态的配置设置来配置受管设备120和受管设备120的管理库126。
在一个实施方式中,受管设备120可以处于释放状态、供应状态或维护状态。这些状态可以分别被称为授权释放状态(ARS)、授权供应状态(AP)和授权维护状态(AMS)。
在释放状态下,设备模式初始化器230将受管设备120配置成处于正常操作模式。该模式是这样的一种模式,即在受管设备120处检测到的任何更改触发管理系统130,以请求来自多用户授权池140的阈值数量的用户(例如,至少3个用户)的批准,如上所述。
在供应状态下,设备模式初始化器230配置管理系统130以允许对受管设备120进行更改而无需为每个更改持续请求来自多用户授权池140的批准,尽管管理系统130仍然可以追踪所做出的任何更改。当最初配置即供应受管设备120时,可以使用该状态。当供应完成时,设备模式初始化器230可以被通知供应已完成(例如,经由来自用户界面的输入),并且可以在将受管设备120转换为释放状态之前请求来自多用户授权池140的阈值数量的用户的批准。在供应期间记录的任何更改可以在此期间进一步报告给多用户授权池140的用户以供批准。替选地,设备模式初始化器230可以接收来自多用户授权池140的阈值数量的用户的消息,以将受管设备120转换为释放状态。当在初始阶段期间需要对受管设备120进行大量更改时,可以使用该供应状态。
设备模式初始化器230还可以接收用于将受管设备120转换为维护状态的消息。在该状态下,不执行对受管设备120的追踪,并且不请求对受管设备120的任何更改进行批准。为了启动该状态,设备模式初始化器230配置受管设备的管理库126以停止追踪任何更改。此外,设备模式初始化器230配置管理系统130以忽略受管设备120。该状态可以用于测试、配置、修补和其他维护任务(由值得信任的个人执行)。另外,在该状态下,也可以将受管设备120与受管网络100中的设备中的其余设备切断。因此,对于无响应或怀疑受损的受管设备120也可以激活该状态。
更改检测器232经由设备上的管理库126或经由直接装置来检测来自受管设备120的任何更改。更改检测器232可以接收来自受管设备120的管理库126的关于检测到的任何更改的消息。具体地,可以由管理库126的检测器224检测更改。另外,更改检测器232可以直接检测与受管设备120的更改。这可以包括通过分析与受管设备120的一个或更多个连接210以及通过分析从受管设备120的检测器224接收到的消息来检测更改。
在一个实施方式中,更改检测器232检测与受管设备的一个或更多个连接210中的更改。在一些情况下,管理系统130可以与受管设备120保持多于一个的连接,即,多于一个的逻辑或物理层网络路径。例如,管理系统130可以使用无线连接和两个不同的有线连接而连接至受管设备120,或者可以维持到受管设备120的多于一个的路线(例如,经由网络110的路由表中的不同条目)。如果更改检测器232确定这些连接的任何连接被中断,则更改检测器232可以确定发生了更改。更改检测器232还可以从受管设备120接收在这些连接210上的一个或更多个消息。这些消息可以是心跳消息。此外,心跳消息可以经由旋转密钥加密。每个连接可以接收利用不同的旋转密钥加密的不同类型的心跳消息。如果更改检测器232在任何一个连接上没有接收到一个或更多个心跳消息,或者如果心跳消息被不正确地加密(例如,使用错误的旋转密钥),则更改检测器232可以确定发生了更改。
更改检测器232还可以分析由受管设备120发送和接收的用于确定是否发生更改的其他消息。这些消息可以包括来自受管设备120的消息,该消息指示由设备的管理库126检测到更改。这些消息可以使用旋转密钥来签名,使用某已知方法进行认证,或者处于标准格式。如果更改检测器232确定消息的签名、认证方法和/或格式不匹配预期结果,则更改检测器232可以确定检测到更改。
更改检测器232还可以分析由受管设备120使用网络进行的其他更改。这些更改可以包括由受管设备120使用网络发送或接收的消息。更改检测器232可以访问一个或更多个网络基础设施设备例如交换机、路由器、集线器、接入点、以及其他网络切换设备例如防火墙160,并且可以分析通过这些网络基础设施设备的网络流量以提取由受管设备120发送和接收的消息。
更改检测器232还可以通过例如经由标准网络协议向受管设备120发送网络请求来主动查询受管设备120,以确定来自受管设备120的响应是否更改。如果是,则更改检测器232检测到发生了更改。例如,更改检测器232可以向受管设备120发送加密消息,管理库126可以利用基于非法攻击者不知道的秘密(例如,私钥值)加密的或包括非法攻击者不知道的秘密的预定消息来响应该加密消息。如果更改检测器232确定来自受管设备120的响应从预定响应更改(例如,它不包括秘密),则更改检测器232可以确定检测到更改。
在另一实施方式中,更改检测器232还通过使用远程访问协议(例如Telnet、远程桌面、SSH)远程访问受管设备120来查询受管设备120。更改检测器232可以使用该远程访问来执行各种命令并与受管设备120的操作系统122接口连接以执行一组检查。如果对这些检查的响应从预定的一组响应更改(例如,查询导致错误或无响应),则更改检测器232也可以确定在受管设备120处检测到更改。
如果更改检测器232通过如上所述的直接测试或通过接收来自受管设备120的管理库126的指示检测到更改的消息确定检测到更改,则更改检测器232可以记录该发生并且向多用户授权子系统234发送用于确定更改是否被批准的带有更改日志的消息。该消息可以包括由更改检测器232检测到的或由更改检测器232从管理库126接收到的由受管设备120呈现的对更改的描述。
在一个实施方式中,更改检测器232未向多用户授权系统234报告匹配例外列表中的任何例外的那些更改。例外列表包括已经批准的所有更改的列表,因此不通过向多用户授权子系统234发送消息来请求额外批准。可以使用可以由更改检测器232解释的各种规则来定义更改以确定从需求批准除外/排除的更改。这些规则可以指示例如资源类型、网络、文件、协议、文件访问、I/O访问、应用名称、时间范围、用户帐户、预期响应、加密类型以及定义预先批准的更改所需的任何其他规则。例外列表可以是用户定义的或使用机器学习装置生成的。在一个实施方式中,为了生成例外列表,在受管设备120处于供应状态时,由受管设备120做出的预期在其正常操作期间发生的更改由更改检测器232记录。在经由多用户授权子系统234从多用户授权池140批准之后,这些更改随后被记录在例外列表中。这些更改可以包括对事务日志、临时文件夹、外部数据库、存储器中的缓存位置、读取网页文件等的更改。这些更改是预期在受管设备120的正常操作期间发生的所有更改。
多用户授权子系统234查询多用户授权池140以确定任何检测到的更改是否被多用户授权池140的用户批准。为了实现这一点,多用户授权子系统234可以向多用户授权池140的授权用户的授权设备142发送消息。多用户授权子系统234可以在每条消息中包括对在无更改和元数据中指示的更改的描述,例如相遇时间、检测到更改的受管设备120的标识、检测到更改的用户帐户等等。多用户授权子系统234可以从一个或更多个授权设备142接收指示更改是否被批准的响应。多用户授权子系统234可以忽略从多用户授权池140中的用户接收到的批准消息,所述批准消息来自其中授权用户的认证失败(例如,由于错误的凭证)或者这些授权设备142的网络地址或其他标准与某些标准不匹配的授权设备142。例如,当授权设备142在不使用网络隧道的情况下连接至网络110并且其具有在受管网络100的网络地址范围内的网络地址时,多用户授权子系统234可以仅考虑来自授权设备142的批准消息。多用户授权子系统234还可以验证与消息一起提供的凭证、认证方法、加密、消息签名和/或证书,以确定批准消息是否真实并且来自被授权发送批准/不批准消息的用户。在一个实施方式中,对于多用户授权池140的特定用户,与正常授权过程的任何偏差都可以报告给池中的其他用户以供批准。如果未接收到必要批准或者接收到不批准,则多用户授权子系统234可以移除或停止该特定用户的账户,使其不能够批准进一步的更改,和/或指示重建管理器236重建由该特定用户使用的授权设备。
多用户授权子系统234确定是否为更改中指示的更改提供了必要批准。该必要批准可以是阈值数量的授权用户批准更改、总数量的一定百分比的授权用户批准更改和/或授权用户中的特定子集的用户(例如,团队领导、经理、客户)批准更改。如果接收到必要批准,则多用户授权子系统234可以记录批准并向管理库126发送用于允许更改继续/进行的消息。如果更改被批准,则多用户授权子系统234记录批准,并且可以另外地修改受管设备120的例外列表,以将该更改包括在受管设备120的例外列表中。这可以包括修改由管理系统130处的更改检测器232访问的例外列表或管理库126处的例外列表,以包括匹配被批准的更改的规则。例如,如果更改包括一组特定的网络流量,则多用户授权子系统234可以修改例外列表以指示具有与检测到的网络流量的类型、报头信息、来源、目的地和其他特征相匹配的类型、报头信息、来源、目的地和其他特征的网络流量应被允许作为批准的更改。作为另一示例,如果更改包括对特定数据区域(例如,特定数据库)的访问,则多用户授权子系统234可以修改例外列表以包括允许受管设备120上的可执行文件访问该数据的规则。
相反地,如果多用户授权子系统234在设定时间段(例如,1分钟)内未接收到必要批准,则多用户授权子系统234可以确定更改未被批准并记录不批准。如果多用户授权子系统234接收到必要数量的不批准则,则多用户授权子系统234也可以确定该更改不被批准。例如,阈值数量的用户或一定百分比的用户和/或特殊组的用户可以向多用户授权子系统234发送不批准消息。在这种情况下,多用户授权子系统234可以记录不批准结果并且可以向重建管理器236指示请求受管设备120的重建,以便修复受管设备120以防止再次发生更改。
在受管设备120处检测到更改并且没有从多用户授权池140的用户接收到针对更改的一组必要批准的情况下,重建管理器236将受管设备120的状态恢复到先前已知的良好状态。重建管理器236可以将受管设备120的操作系统122的副本(包括其可执行文件124和数据125)作为设备映像存储在设备映像存储装置238中。设备映像不仅可以包括存储在非易失性存储器上的与操作系统122有关的数据,而且还可以包括在易失性存储器中的与操作系统122有关的数据,例如分配给操作系统122的随机存取存储器的状态。每个设备映像可以是二进制数据的1:1副本,所述二进制数据的1:1副本包括受管设备120的操作系统122、可执行文件124和数据125。在受管设备切换至释放状态之后,重建管理器236可以从受管设备120的管理库126接收设备映像的数据。因此,每次受管设备120被置于正常操作的状态下时,受管设备120的软件和数据的副本可以作为设备映像由重建管理器236存储在设备映像存储装置238处。重建管理器236还可以生成设备映像的签名并标记它是处于已知良好状态的受管设备120的设备映像。替选地,经由来自多用户授权池140的用户的必要批准,设备映像可以被标记为处于已知良好状态。
每当所报告的更改从多用户授权池140接收到必要批准时,重建管理器236也可以存储设备映像的副本。这些映像也可以被签名和标记。重建管理器236还可以周期性地记录受管设备120的设备映像以记录在受管设备120处发生的常规更改。尽管设备映像被示出为存储在管理系统130处,但是在其他实施方式中,设备映像可以存储在管理库126处以避免不必要的网络使用发送表示设备映像的大量数据。
当更改检测器232检测到多用户授权子系统234确定多用户授权池140的用户未批准的更改时,重建管理器236可以启动受管设备120的到使用针对该受管设备120记录的设备映像的先前状态的回滚。先前状态和该状态的设备映像记录了受管设备120在检测到更改之前的状态。因此,通过在受管设备120上使用该先前状态的设备映像,更改被恢复并且受管设备120被恢复到已知良好状态。重建管理器236向管理库126的重建层226发送指令,以通过终止受管设备120处的所有进程并且然后通过利用来自先前状态设备映像的数据替换当前存储的与操作系统、可执行文件和数据相关联的数据来启动回滚。重建管理器236可以指示重建层226识别存储有当前数据的电子存储装置,并且利用来自设备映像的数据替换该电子存储装置上的数据。重建管理器236还可以将受管设备120的易失性存储装置恢复到存储在设备映像中的状态。随后,重建管理器236可以指示重建层226启动或开始受管设备的操作系统122以恢复操作。重建管理器236还可以指示管理库126使受管设备120进入释放状态。随后,重建管理器236可以响应于所检测到的更改而在日志中指示完成回滚。重建管理器236可以记录整个回滚过程。
在一些情况下,回滚不成功。这可能是由于过程中的一些错误或受管设备120受损。如果发生这种情况,则重建管理器236可以向设备模式初始化器230发送用于使受管设备120进入维护状态的消息。在该状态下,与受影响的受管设备120的正常通信被终止。重建管理器236还可以向管理员或多用户授权池140的一个或更多个用户发送指示回滚失败并且受管设备120处于维护状态的消息。
在一个实施方式中,管理系统130还包括滚动替换管理器240,以周期性地利用可以存储在设备映像存储装置238中或管理库126处的设备映像来替换受管设备120的当前操作系统122、可执行文件124和数据125。可以周期性地更新设备映像以更改密码、加密密钥、添加补丁等,以使设备映像包括最新的软件并且使用先前利用的攻击载体不太可能受损。类似于由重建管理器236执行的方法,滚动替换管理器240指示受管设备120的重建层226利用来自所选择的设备映像的数据和软件来替换受管设备120上的当前软件和数据。通过定期替换受管设备120的数据,恶意用户不能够在系统中站稳脚跟,因为系统经常被清除干净并利用已知良好副本进行刷新,该已知良好副本不包括由攻击者所做的任何修改,其可以用于进入系统并导致任何不期望的更改。
现在转向受管设备120,受管设备120上的管理库126可以与受管设备120的操作系统122分离,以便能够回滚和/或重建操作系统122(连同可执行文件124和数据125)。管理库126可以作为管理程序、虚拟机管理器、单独的OS、固件等存在。管理库126也可以在检测到更改的情况下被重建。这可以通过使管理系统130远程访问受管设备的低级别固件或其他配置实用程序(例如,UEFI BIOS)以移除管理库126软件的当前副本并安装已知良好或更新版本来实现。一旦安装,管理库126包括各种元件以促进受管设备120的监控。如所示的,管理库126包括设备模式配置器220、配置设置222、检测器224和重建层226。
管理库26上的设备模式配置器220基于从管理系统130指示的受管设备120的状态来配置受管设备120。如上所述,这些状态可以是释放状态、供应状态和维护状态。在释放状态下,设备模式配置器220将检测器224配置成检测操作系统122中的所有更改并将任何更改报告给管理系统130。在供应状态下,设备模式配置器220也将检测器224配置成检测所有更改,但不立即报告任何更改。替代地,设备模式配置器220将检测器224配置成一旦受管设备转变为释放状态就报告已经发生的任何更改。最后,在维护状态下,设备模式配置器220将检测器224配置成不检测任何更改。对于每个状态,设备模式配置器220可以通过将检测器224的设置存储在配置设置222中来配置检测器224的操作。
检测器224监控受管设备120中的更改并将任何更改报告给管理系统130的更改检测器232。为了实现这一点,检测器224可以作为操作系统外部的单独进程(例如,作为管理程序、内部固件等)执行或可以作为操作系统内的一个或更多个可执行文件(例如,可执行文件124)执行。检测器224对监控在操作系统122上执行的所有更改具有访问权限。
操作系统122上的更改通常可以指用户账户对操作系统122提供的资源的任何访问。该访问可能与操作系统122中的任何先前行为不同。访问可以包括读取、写入、传输、接收、执行、修改许可、更改设置等。由操作系统提供的资源包括受管设备120的操作系统122可以露出的任何物理资源,例如网络资源、存储器资源、输入/输出资源(例如,键盘、鼠标、打印机、显示器)、处理器资源(例如,CPU、GPU、专用处理器)、存储资源、以及由操作系统提供的任何逻辑服务例如服务、库、应用编程接口、驱动器、硬件接口等。用户帐户是操作系统内的构造(如上面参照图1中的操作系统122所描述的),该构造允许具有凭证的用户访问操作系统122内的用户帐户的某些权限,以对由操作系统122提供的某些资源执行某些类型的访问。尽管通常是用户访问用户帐户,但在一些情况下操作系统本身可以利用用户帐户来执行各种活动,例如升级或补丁。这种用户帐户可以称为系统帐户。更改还可以包括用户对资源的任何访问的省略或拒绝。因此,例如,在先前发生访问的情况下(例如,心跳信号的传输),在稍后的时间内省略该访问是一种更改。作为另一示例,先前允许设备经由特定网络连接访问但现在不响应或拒绝访问,是一种更改。
检测器224使用各种应用编程接口、系统调用、shell脚本、shell命令、库、低级别I/O监控、低级别网络监控或使用其他方法来监控操作系统122内发生的每个更改。对于检测到的每个更改,检测器224可以向管理系统130的更改检测器232报告该更改。这进而触发了先前描述的多用户批准过程,并且可能导致操作系统的重建。检测器224还可以记录任何检测到的更改,并且还可以记录未被确定为不排除的更改的更改。
在一个实施方式中,检测器224可以不向更改检测器232报告每个检测到的更改。替代地,检测器将该更改与例外列表中所指示的更改进行比较。该例外列表可以类似于更改检测器232的例外列表,并且可以存储在配置设置222中。例外列表指示哪些更改,即哪些用户对哪些资源进行哪些类型的访问是不需要向更改检测器232报告并且因此不需要多用户授权池140的批准的例外。为了最初配置例外列表,可以请求管理系统130或管理库126在正常操作期间对受管设备120的所有先前记录的更改执行分析。这可以在供应状态期间发生。在该分析之后,可以提供遇到的最常见或最频繁更改的报告。从该报告中,某些更改可以基于遇到的频率、访问类型、所使用的用户帐户或一些其他因素来自动地选择,并且被指示为例外列表的一部分。替选地,管理员例如多用户授权池140可以选择应包括在例外列表中的那些更改。也可以以与上述用于管理系统130的例外列表类似的方式生成例外列表。
在另一实施方式中,检测器224不仅检测在操作系统122处发生的更改,而且还检测在受管设备120的不是操作系统122的其他部件例如固件(BIOS、UEFI)处发生的更改,以及也报告对这些元件的任何更改(尽管它们也可能与例外列表相关联)。
重建层226响应于来自管理系统130的指令而使用存储的设备映像来重建操作系统122。响应于来自重建管理器236或滚动替换管理器240的请求,重建层226可以利用操作系统122的具有已知良好状态的设备映像替换当前操作系统122,如上面参照重建管理器236和滚动替换管理器240所描述的。重建层不是操作系统122的一部分,但存在于操作系统的外部(例如,作为管理程序、固件的一部分等)。这使得重建层能够操纵操作系统122,而本身不会被擦除或移除。即使用户具有完全的用户权限,访问操作系统122的该用户也不可以访问重建层226,这是因为重建层226存在于操作系统122外部的层中。重建层226可以擦除存储在与受管设备120相关联的电子存储装置和存储器内的任何数据,并且可以停止受管设备120的处理器的任何执行。重建层226可以写入相同的电子存储装置和存储器,并且可以使受管设备120的处理器进入启动序列或从电子存储装置加载和执行一组特定指令。这使得重建层226能够停止当前执行,利用来自设备映像的数据移除/替换当前操作系统122,然后使受管设备120的处理器启动新映像的操作系统122。重建层226可以响应于来自管理系统130的指令来执行该操作以重建系统。
在一个实施方式中,替代通过将设备映像的每个块写入电子存储装置来重建整个系统,重建层226可以确定存储在电子存储装置中的当前数据与设备映像之间的差异或增量,并且仅将已经从设备映像更改的那些数据块写入电子存储装置,以便将它们恢复为设备映像中指示的数据。这可以显著减少回滚操作系统122所需的时间。在另一实施方式中,重建层226可以准备电子存储装置的单独的物理或逻辑卷,其包含可以由管理系统130指定的先前设备映像。响应于来自管理系统130的回滚或重建操作系统122的请求,重建层226可以将受管设备120(逻辑地或经由物理连接)从当前电子存储装置断开并将受管设备120连接至包括已经写入的设备映像的单独卷。这使得受管设备120能够瞬时切换至已知良好状态的设备映像。在切换之后,重建层226可以利用已知良好状态的相同设备映像(或利用由管理系统130提供或指示的另一设备映像)来重写现在离线的物理/逻辑卷上的设备映像。
示例性集群
图3是示出根据实施方式的受管网络310的集中受管集群300的框图。在一些情况下,受管网络的管理可以不仅仅局限于设备的单个组织或本地网络,而是可以分布在多个组织中,每个组织都具有它们自己的受管网络。为了一起管理所有这些单独的网络,受管集群300被如所示地组织。此处,替代每个受管网络310或320具有其自己的一组多用户授权池,由管理系统例如管理系统360从受管网络中的受管设备例如受管设备350的更改中检测到的任何更改都替代地被报告给在受管网络的层次结构中较高的受管网络。因此,例如,受管网络310A向受管网络320A的管理系统报告任何更改。其他受管网络310向受管网络320中的至少一个报告,所述受管网络320中的至少一个进而向在层次结构中更上层的另一受管网络报告。最终,所有更改都报告给主管理系统330,该主管理系统330本身包括多用户授权池335。该池的功能类似于多用户授权池140,但不是批准来自单个受管网络上的活动的更改,该池可以批准跨多个等级的受管网络的更改。如果该池不批准更改,则可以将不批准的指示发送至每个受管网络的每个管理系统,以导致回滚产生更改的任何设备或补救与不批准的更改匹配的任何更改。另一方面,如果更改被批准,则该信息被传播至受管集群300中的每个受管网络。如果被批准,则更改也可以被添加至其中检测到更改的相关受管设备或受管网络的例外列表中。网络之间的所有通信例如经由加密、滚动加密或其他方式都是安全的,使得不同网络之间不接受欺诈性消息。
每个受管网络还可以检测它们作为父受管网络的任何受管网络中的更改。例如,类似于图2的更改检测器323和受管设备120,每个受管网络的每个管理系统可以接收来自子网络的心跳信号,可以探测子网络,可以检查与子网络的连接等等,以检测任何更改,例如拒绝先前允许的连接等。如果在子网络中检测到未被批准的更改,则父网络的管理系统可能能够导致子网络的所有部件的回滚,包括子网络的管理系统的回滚。这可以类似于受管设备120的操作系统122的回滚来实现。例如,父网络的管理系统可以访问低级别固件或实用程序,该低级别固件或实用程序允许其将设备映像发送至在子网络中执行管理系统的计算设备,以便利用设备映像中具有该子网络的管理系统的已知良好状态的软件来替换管理系统的软件。此外,父网络可以周期性地制作子网络的管理系统软件的设备映像,也可以周期性地重建子网络的管理系统软件。
因为每个受管网络在层次结构内紧密耦合,其中最终控制仅由“最终”主管理系统330允许,所以很容易检测到对集群300内任何部件的任何攻击,并且使用回滚过程恢复更改。此外,由于只有主管理系统330的用户可以批准更改,因此对各种子网络内的任何设备或系统具有根或特权访问权限的任何用户将不能引起任何永久性更改,这是因为这些更改很快被恢复。如果主系统受损或脱机,这也不会影响集群300,因为这仅仅意味着没有新的更改被批准,但是可以继续允许现有的活动,从而允许整个集群300继续运行。
示例合规性监控器
图4是更详细地示出根据实施方式的图1的合规性监控器150的框图。如上所述,合规性监控器150可以用于确定受管网络100是否遵守先前商定的SLA或服务级别协议。在一个实施方式中,合规性监控器150包括具有多个追踪器412至420的合规性测量组410、以及合规性时间检测器430、不合规性执行器440和测量记录器450。合规性监控器150可以连接至在受管设备120的管理库126处的测量引擎470,以促进合规性测量组440的追踪器对各种SLA度量的测量。
合规性测量组410包括多个追踪器,所述多个追踪器追踪受管网络110的各种度量。这些度量可以用于确定SLA是否被满足(即,强制执行)。在一个实施方式中,合规性测量组410包括MTTD(平均检测时间)追踪器412、MTTI(平均隔离时间)追踪器414、HITT(黑客调查追踪时间)追踪器416、MTTR(平均修复时间)追踪器418和MTTS(平均服务时间)追踪器420。每个追踪器生成的度量随后被发送至合规性时间检测器430、不合规性执行器440和测量记录器450以供进一步处理。尽管此处示出了追踪器的特定布置,但是在其他实施方式中,合规性测量组410可以基于SLA旨在强制执行的度量类型来包括更多或更少数量的追踪器。
MTTD追踪器412追踪受管网络100在来自恶意用户的攻击与检测到攻击之间所花费的平均时间,即,在受管网络100中发生该更改之后检测该更改所花费的时间。这些可以只是未在例外列表中列出的更改。为了确定该平均时间,MTTD追踪器412可以识别由管理系统130检测到的并且未被多用户授权池140给予必要批准的每个更改的发生。对于这些事件中的每一个,MTTD追踪器412还可以通过访问由管理系统130生成的日志来确定发生的被确定为未被批准的特定更改,并且根据记录的信息确定更改何时首次发生。例如,如果更改是对操作系统122内的某资源的访问,则MTTD追踪器412可以根据与在更改期间发出的任何命令相关联的时间戳或与被访问的资源相关联的时间戳来确定该访问何时首次发生。MTTD追踪器412可以在各种系统日志(例如,系统调用日志)中找到与发出的命令相关联的时间戳。MTTD追踪器412可以在与被访问的资源相关联的日志中或者基于该资源的最后访问的时间戳找到与被访问的资源相关联的时间戳。例如,网络资源可以包括指示发送/接收的网络数据的日志和传输的时间戳。作为另一示例,文件资源可以包括指示最后访问的时间戳的文件系统时间戳。MTTD追踪器412针对这些事件中的每一个计算在更改检测器232检测到事件并将其报告给多用户授权池140时与和针对该更改首次发生访问时相关联的时间戳之间的时间差。该差是该特定事件的检测时间。然后,MTTD追踪器412可以确定所有检测到的更改事件的检测时间值的平均值、滚动平均值(例如,5小时滚动平均值)、概率分布或其他统计分析。这是平均检测时间(MTTD)度量。替选地,可以针对每个单独的受管设备120计算平均检测时间。在这种情况下,单个受管设备的平均检测时间仅包括针对该受管设备120检测到的更改的检测时间的平均值。低于阈值(例如,SLA中指示的阈值)的平均检测时间可以指示受管网络100正在快速检测威胁,这是期望的。相反地,较长的平均检测时间可以指示受管网络100没有合适地检测到更改,并且可能需要改进来加速检测。
MTTI追踪器414追踪受管网络100的平均隔离时间。平均隔离时间测量在受管网络100中检测到更改与隔离或补救该更改之间所花费的平均时间。这可以仅应用于未在例外列表中指示的更改。为了测量该值,MTTI追踪器414可以识别更改检测器232已经检测到非例外更改的事件以及更改没有接收到多用户授权池140的用户的必要批准的事件。MTTI追踪器414可以访问由更改检测器232生成的日志以确定检测/识别发生的更改的时间戳。这可以是在将批准提交给多用户授权池140之前更改检测器232首先识别更改的时间。MTTI追踪器414还追踪更改的补救发生时的时间戳。在这种情况下,补救可以是检测到更改的受管设备120的回滚。MTTI追踪器414可以访问由重建管理器236生成的日志以确定回滚何时完成(或受管设备120的操作系统122何时停止)。检测的时间戳与回滚完成时的时间戳之间的差可能是隔离时间。MTTI追踪器414进一步确定所计算的检测到的更改的每个实例的差的平均值、滚动平均值(例如,5小时滚动平均值)、概率分布或其他统计分析,以确定平均隔离时间的度量。替选地,可以针对每个单独的受管设备120的隔离时间事件计算平均隔离时间。该平均隔离时间可以指示受管网络100对检测到的威胁作出响应的速度有多快。低于阈值(例如,SLA中指示的阈值)的较短平均隔离时间可以指示受管网络100的响应时间良好。较长平均时间可能指示受管网络100花费了太长时间来响应威胁并且需要调查。
HITT追踪器416追踪黑客调查追踪时间。这是追踪恶意用户停留在受管网络100内或单个受管设备120内的时间的追踪器。为了追踪该信息,类似于MTTD追踪器412,HITT追踪器416可以确定在受管网络100或受管设备120处发生的未批准更改的第一实例的时间戳。HITT追踪器416还确定与该更改相关联的用户帐户。HITT追踪器416针对该用户帐户确定它是否导致任何额外的未批准的更改。HITT追踪器416确定由该用户帐户导致的最后未批准的更改。因为恶意用户停止其攻击或因为发生补救并且访问被阻止(例如,经由回滚),因此不会发生另外未批准的更改。HITT追踪器416然后确定第一未批准的更改与最后未批准的更改之间的时间差。这是黑客调查追踪时间度量并且指示恶意用户在受管网络100处或受管设备120内停留多长时间。HITT追踪器416可以与蜜罐系统结合操作。蜜罐是受管网络100上的元件,例如计算设备、虚拟机等,该元件充当合法的攻击目标,但实际上是具有不包含任何实际有价值信息的资源的虚拟目标。这种蜜罐用于引诱攻击者。因此,黑客调查时间度量可以记录恶意用户花费多长时间访问蜜罐资源。
该黑客调查时间度量可以用于确定恶意攻击者在受管网络100处停留多长时间。较长的时间值可能是不期望的,因为这可能指示受管网络100具有攻击者试图探索的多个潜在可利用漏洞。
MTTR追踪器418追踪受管设备120的平均修复时间。受管设备120的修复指的是由于在未接收到必要批准的设备处检测到的更改而对受管设备的补救。一旦被修复,恶意攻击者就被“踢出”受管网络100。该修复过程可以包括例如如上所述的设备的回滚。它还可以包括在受管设备处执行一个或更多个修复工具,以恢复由于更改而做出的任何不期望的更改。MTTR追踪器418可以通过访问由重建管理器236为受管设备120的重建而生成的日志来追踪该修复时间。这些日志可以包括关于以下的信息:何时开始回滚,以及何时完成回滚,即操作系统122何时停止,以及在已知良好的设备映像被写入受管设备120的电子存储装置以替换先前的操作系统122和相关数据之后操作系统122何时启动。MTTR追踪器418通过确定在回滚完成时与在回滚启动时之间的差来确定受管设备120的修复时间。MTTR追踪器418还可以确定被修复/回滚的每个受管设备的该修复时间的平均值、滚动平均值(例如,5小时滚动平均值)、概率分布或其他统计分析,以便确定平均修复时间度量。替选地,MTTR追踪器418可以确定受管网络100上的所有受管设备120的平均修复时间。
MTTS追踪器420追踪由受管网络100向负责或拥有受管网络100所有权的组织的消费者/客户提供的服务的平均恢复时间。MTTS追踪器420可以追踪由受管设备120提供的服务由于受管设备120处的更改的检测和该设备的修复而不可用的总时间。因此,该时间可以包括从检测时间直至修复例如回滚完成并且受管设备120再次可用于提供服务的时间的时间段。MTTS追踪器420可以通过访问由更改检测器232和重建管理器236生成的日志来计算该时间,以确定受管设备的回滚完成的时间戳与更改检测器232首次检测到导致最终回滚的更改时之间的差。与其他追踪器一样,MTTS追踪器420可以确定所有记录的服务中断的各种服务恢复时间的平均值或其他统计分析,以生成特定服务的平均服务时间度量。
尽管此处未示出,但是合规性测量组410可以包括额外的追踪器,所述额外的追踪器用于追踪与服务级别协议有关的其他度量。这些度量可以与追踪在受管设备上执行的某些进程(即可执行文件)的初始化和终止、用户帐户登录和注销会话、各种文件系统访问、网络访问、某些日志条目、正常运行时间检查、完整性检查等有关。如果SLA需要测量特定度量,则可以将追踪器初始化为合规性测量组410的一部分以追踪该度量。
合规性时间检测器430检测整个受管网络100的合规性时间。合规性时间检测器430确定在受管网络100不遵守SLA时与在受管网络100恢复遵守SLA时之间的时间段。如所指出的,SLA要求受管网络100的各种度量应该在一些阈值范围内。例如,平均检测时间可能需要低于30秒。合规性时间检测器430可以使用由合规性测量组410的追踪器测量的度量来确定任何被追踪的度量何时超过SLA中指示的商定阈值,并且还确定直至同一追踪器报告目前在由SLA要求的阈值内的度量值的时间量。该时间差可以由合规性时间检测器430确定为合规性时间。合规性时间检测器430可以确定针对度量超过SLA中要求的阈值的每个实例计算的不同合规性时间的平均值、滚动平均值、概率分布或其他统计分析,以便进一步确定受管网络的平均合规性时间。
不合规性执行器440响应于合规性测量组410的任何追踪器或合规性时间检测器指示超过由SLA要求的阈值或超过某个其他预定阈值的值而执行各种动作。不合规性执行器440可以选择动作,该动作取决于已经超过SLA定义的阈值的特定追踪度量。在某些度量的情况下,当阈值数量的追踪度量均超过其SLA定义的阈值时,如果度量在一段时间内多次超过阈值,或者如果度量至少在最短时间段内超过阈值,不合规性执行器440可以启动具有超过阈值的度量的受管设备120的回滚/重建。例如,如果受管设备的平均修复时间度量超过阈值,则这可能指示设备的回滚没有足够快地发生,因此作为响应,不合规性执行器440可以请求管理系统130启动该受管设备120的回滚。作为另一示例,如果合规性时间检测器指示合规性时间已经超过SLA定义的阈值一天以上,则这可能指示受管网络100内存在显著问题,例如服务攻击的拒绝或其他问题。作为响应,不合规性执行器440可以使整个受管网络100中的所有设备回滚。
在其他实施方式中,根据超过阈值的度量,不合规性执行器440可以执行其他补救动作。例如,不合规性执行器440可以使检测到更改并且与该会话有关的度量超过阈值的会话针对会话执行各种安全动作,例如深度分组检查、格式错误的分组检测、阻止会话活动等等。当该会话的度量继续进一步超过阈值时,不合规性执行器440可以升级并添加额外的安全动作。在一个实施方式中,不合规性执行器440可以仅响应不在例外列表中的那些更改。
在一些实施方式中,替代将度量与源自SLA的阈值进行比较,不合规性执行器440可以使用机器学习或其他统计分析方法来确定阈值。不合规性执行器440可以访问历史度量值并且基于该信息确定每个度量的阈值。例如,不合规性执行器440可以将度量的阈值设置为度量的历史值的5天滚动平均值的150%。
在执行任何动作之前,不合规性执行器440还可以向多用户授权池140发送用于批准该动作的消息,类似于当批准或不批准所检测到的更改时参照图2描述的由更改检测器232执行的过程。
测量记录器450记录由合规性测量组410的追踪器例如追踪器412至420和由合规性时间检测器430追踪的度量。测量记录器450可以随时间记录该信息。测量记录器450还可以记录可能已经针对受管网络的任何受管设备120执行的任何补救动作,例如回滚、安全动作等。根据请求,测量记录器450还可以随时间生成受管网络100的这些追踪度量的报告。使用该信息,管理员或其他实体可以确定受管网络的当前和历史合规率、合规级别以及对SLA的遵守情况。这也使得实体能够快速确定系统是否不合规以及系统是否需要任何补救动作。借助对系统的这种高级洞察力,组织可以快速确定网络上是否发生了任何问题。这是有利的并且与当前系统形成对比,在当前系统中组织可能在很久以后才意识到他们的系统已经受损,从而使得攻击者在尚未检测到攻击的潜伏期造成额外的损坏。随后,这导致组织向其服务的所有受影响用户发出指示经常存在重大数据泄露或其他问题的信函或消息。然而,凭借快速追踪这些度量并查看度量超过阈值时发生的自动回滚的能力,组织不再需要面对这种负面情况。
示例流程
图5是示出根据实施方式的用于监控和防止根级攻击的过程的流程图。在一个实施方式中,流程图中描述的操作由管理系统130执行。尽管本文描述了特定的一组操作,但是在其他实施方式中,操作的布置和数量不同。
管理系统130检测510目标设备处的更改。这可以经由上面参照图2描述的更改检测器232来实现。
管理系统130向多用户授权池的授权用户的授权设备发送520请求消息,该请求消息从授权用户请求所检测到的更改是否被批准的指示。这使得管理系统130能够确定是否应该允许该更改继续或者是否需要一些补救动作。
管理系统130从多用户授权池的授权设备接收530指示所检测到的更改是否被相应的授权用户批准的多个响应消息。管理系统130基于多个响应消息中的至少三个响应消息指示不批准来确定540所检测到的更改不被批准。通过一次向至少三个用户征求批准/不批准消息,系统可以避免单个用户的系统受损的单点故障。
管理系统130响应于确定更改不被批准而向目标受管设备发送540指令消息以指示目标受管设备回滚到先前状态。
图6是示出根据实施方式的用于测量一组受管设备的合规性的过程的流程图。在一个实施方式中,流程图中描述的操作由合规性监控器150执行。尽管本文描述了特定的一组操作,但是在其他实施方式中,操作的布置和数量不同。
合规性监控器150测量610关于网络中的一个或更多个受管设备的度量。这些可以通过上面参照图4描述的任何一个追踪器来测量。合规性监控器基于由测量追踪器检测到的信息来生成日志,并且基于所生成的日志来向接收者发送报告。这可以例如由上述测量记录器450来执行。合规性监控器150还基于一个或更多个测量追踪器指示所测量的度量超过相关联阈值测量值来启动630一个或更多个安全动作。如上所述,这些安全动作可以由不合规性执行器440执行。
计算机器架构
图7是示出能够从计算机可读介质读取指令并在处理器(或控制器)中执行它们的示例计算机器的部件的框图。本文描述的计算机可以包括图7所示的单个计算机器、虚拟机、包括图7所示的计算机器的多个节点的分布式计算系统、或者任何其他合适的计算设备布置。本文描述的计算机可以由先前附图中描述的任何元件使用以执行所描述的功能。
作为示例,图7示出了计算机系统700的示例形式的计算机器的图解表示,在计算机系统700中可以执行指令724(例如,软件、程序代码或机器代码),指令724可以存储在计算机可读介质中以使机器执行本文讨论的任意一个或更多个过程。在一些实施方式中,计算机器作为独立设备操作或可以连接(例如,联网)至其他机器。在联网部署中,机器可以在服务器-客户端网络环境中以服务器机器或客户端机器的身份运行,或者在对等(或分布式)网络环境中作为对等机器运行。
图7中描述的计算机器的结构可以对应于上面附图中所示的任何软件、硬件或组合部件。虽然图7示出了各种硬件和软件元件,但是上面附图中描述的每个部件可以包括额外的或更少的元件。
作为示例,计算机器可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、智能电话、网络设备、网络路由器、物联网(IoT)设备、交换机或网桥、或者能够执行指定该机器要采取的动作的指令724的任何机器。此外,虽然仅示出了单个机器,但是术语“机器”也应被理解为包括单独或联合执行指令724以执行本文讨论的任意一种或更多种方法的机器的任何集合。
示例计算机系统700包括一个或更多个处理器(通常为处理器702)(例如,中央处理单元(CPU)、图形处理单元(GPU)、数字信号处理器(DSP)、一个或更多个专用集成电路(ASIC)、一个或更多个射频集成电路(RFIC)或它们的任意组合)、主存储器704和静态存储器706,它们被配置成经由总线708彼此通信。计算机系统700还可以包括图形显示单元710(例如,等离子显示面板(PDP)、液晶显示器(LCD)、投影仪或阴极射线管(CRT))。计算机系统700还可以包括字母数字输入设备712(例如,键盘)、光标控制设备714(例如,鼠标、轨迹球、操纵杆、运动传感器或其他指示工具)、存储单元716、信号生成设备718(例如,扬声器)和网络接口设备720,它们也被配置成经由总线708进行通信。
存储单元716包括计算机可读介质722,在该计算机可读介质722上存储有体现本文描述的任意一种或更多种方法或功能的指令724。指令724还可以在由计算机系统700执行期间完全或至少部分地驻留在主存储器704内或处理器702内(例如,在处理器的高速缓冲存储器内),主存储器704和处理器702也构成计算机可读介质。指令724可以经由网络接口设备720在网络726上发送或接收。
虽然计算机可读介质722在示例实施方式中被示为单个介质,但是术语“计算机可读介质”应被理解为包括能够存储指令(例如,指令724)的单个介质或多个介质(例如,集中式或分布式数据库,或相关联的高速缓存和服务器)。计算机可读介质可以包括能够存储指令(例如,指令724)以供机器执行并且使机器执行本文公开的任意一种或更多种方法的任何介质。计算机可读介质可以包括但不限于固态存储器、光学介质和磁介质形式的数据存储库。计算机可读介质不包括诸如信号或载波的临时介质。
额外的考虑
某些实施方式在本文中被描述为包括逻辑或多个部件、引擎、模块或机制,例如,如上面附图中所示出的。引擎可以构成软件模块(例如,体现在计算机可读介质上的代码)或硬件模块。硬件引擎是能够执行某些操作的有形单元,并且可以以某种方式配置或布置。在示例实施方式中,一个或更多个计算机系统(例如,独立的客户端或服务器计算机系统)或计算机系统的一个或更多个硬件引擎(例如,处理器或一组处理器)可以通过软件(例如,应用或应用部分)被配置为操作以执行本文描述的某些操作的硬件引擎。
在各种实施方式中,可以机械地或电子地实现硬件引擎。例如,硬件引擎可以包括被永久配置成执行某些操作的专用电路或逻辑(例如,作为专用处理器,例如现场可编程门阵列(FPGA)或专用集成电路(ASIC))。硬件引擎还可以包括由软件临时配置以执行某些操作的可编程逻辑或电路(例如,包含在通用处理器或另一可编程处理器内)。应当理解,机械地在专用和永久配置的电路中或在临时配置的电路(例如,由软件配置)中实现硬件引擎的决定可以由成本和时间考虑来驱动。
本文描述的示例方法的各种操作可以至少部分地由被临时配置(例如,通过软件)或永久配置成执行相关操作的一个或更多个处理器例如处理器702执行。无论是临时配置的还是永久配置的,这种处理器都可以构成操作以执行一个或更多个操作或功能的处理器实现的引擎。在一些示例实施方式中,本文提到的引擎可以包括处理器实现的引擎。
某些操作的性能可以分布在一个或更多个处理器之间,不仅可以驻留在单个机器内,而且可以部署在多个机器上。在一些示例实施方式中,一个或更多个处理器或处理器实现的模块可以位于单个地理位置中(例如,在家庭环境、办公室环境或服务器场内)。在其他示例实施方式中,一个或更多个处理器或处理器实现的模块可以分布在多个地理位置中。
在阅读本公开内容后,本领域技术人员仍将通过本文公开的原理理解用于类似系统或过程的额外的替选结构和功能设计。因此,虽然已经示出和描述了特定实施方式和应用,但是应当理解,所公开的实施方式不限于本文所公开的精确构造和部件。在不背离所附权利要求限定的精神和范围的情况下,可以在本文公开的方法和装置的布置、操作和细节中做出对本领域技术人员明显的各种修改、更改和变型。
Claims (40)
1.一种系统,包括:
目标设备;
多重托管批准子系统,包括:
多用户授权池,所述多用户授权池包括多个授权用户,所述多个授权用户用于批准所述目标设备处的任何检测到的更改;
管理系统,所述管理系统被配置成:
监控所述目标设备;
检测所述目标设备处的更改;
响应于检测到所述目标设备处的更改而:
向所述多用户授权池的所述授权用户的授权设备发送请求消息,所述请求消息从所述授权用户请求所检测到的更改是否被批准的指示;
从所述多用户授权池的授权设备接收多个响应消息,所述多个响应消息中的每个响应消息指示所检测到的更改是否被相应的授权用户批准;
基于所述多个响应消息中的至少三个响应消息指示不批准,来确定所检测到的更改不被批准;以及
响应于确定所述更改不被批准而向所述目标设备发送指令消息以指示所述目标设备回滚到先前状态。
2.根据权利要求1所述的系统,其中,所述目标设备还包括:
处理器,所述处理器被配置成执行与操作系统有关的非暂态计算机可读指令;
管理库,所述管理库被配置成:
将一个或更多个检测可执行文件注入所述操作系统,所述一个或更多个检测可执行文件由所述处理器执行以监控所述操作系统中发生的更改;
从所述一个或更多个检测可执行文件接收指示所述操作系统中检测到的更改落在例外列表之外的警报;以及
向所述管理系统发送指示检测到更改的消息,所述消息包括对所检测到的更改的描述。
3.根据权利要求1所述的系统,其中,所述目标设备还包括:
处理器,所述处理器被配置成执行与操作系统有关的非暂态计算机可读指令,所述操作系统的所述非暂态计算机可读指令存储在相关联的电子存储装置中;
管理库,所述管理库被配置成:
从所述管理系统接收所述指令消息以回滚所述目标设备;以及
利用所述操作系统的具有已知良好状态的先前记录的副本替换所述操作系统的所述电子存储装置处的当前副本。
4.根据权利要求1所述的系统,其中,每个授权设备是向授权用户提供用于提供对所述更改的描述的输出接口的计算设备,并且所述计算设备包括允许所述授权用户指示所述更改是被批准还是不被批准的输入接口。
5.根据权利要求1所述的系统,其中,所述更改是具有根权限的用户帐户对所述目标设备的操作系统提供的资源的访问。
6.根据权利要求1所述的系统,其中,所述更改是对来自所述目标设备的加密心跳信号的停止。
7.根据权利要求1所述的系统,其中,所述更改是从所述管理系统至所述目标设备的一个或更多个连接中的断开。
8.根据权利要求1所述的系统,其中,所述管理系统还被配置成:
如果在阈值时间段内没有从与授权用户相关联的授权设备接收到响应消息,则确定所述授权用户不批准更改。
9.根据权利要求1所述的系统,其中,所述管理系统还被配置成:
响应于至少三个响应消息指示不批准所述更改而确定所检测到的更改不被批准。
10.根据权利要求1所述的系统,其中,所述管理系统还被配置成:
检测所述目标设备处的第二更改;
响应于检测到所述目标设备处的所述第二更改而:
向所述多用户授权池的所述授权用户的授权设备发送第二请求消息,所述第二请求消息从所述授权用户请求所检测到的第二更改是否被批准的指示;
从所述授权设备接收一个或更多个第二响应消息;以及
响应于确定所述一个或更多个第二响应消息中的至少三个第二响应消息指示所检测到的第二更改被批准,向所述目标设备发送指示允许所述第二更改的消息。
11.一种方法,包括:
监控目标设备;
检测所述目标设备处的更改;
响应于检测到所述目标设备处的更改而:
向多用户授权池的授权用户的授权设备发送请求消息,所述请求消息从所述授权用户请求所检测到的更改是否被批准的指示,所述多用户授权池包括多个授权用户,所述多个授权用户用于批准所述目标设备处的任何检测到的更改;
从所述多用户授权池的授权设备接收多个响应消息,所述多个响应消息中的每个响应消息指示所检测到的更改是否被相应的授权用户批准;
基于所述多个响应消息中的至少三个响应消息指示不批准,来确定所检测到的更改不被批准;以及
响应于确定所述更改不被批准而向所述目标设备发送指令消息以指示所述目标设备回滚到先前状态。
12.根据权利要求11所述的方法,还包括:
其中,所述目标设备将一个或更多个检测可执行文件注入操作系统,所述一个或更多个检测可执行文件由处理器执行以监控所述操作系统中发生的更改;
其中,所述目标设备从所述一个或更多个检测可执行文件接收指示所述操作系统中检测到的更改落在例外列表之外的警报;以及
其中,所述目标设备向管理系统发送指示检测到更改的消息,所述消息包括对所检测到的更改的描述。
13.根据权利要求11所述的方法,还包括:
其中,所述目标设备从管理系统接收所述指令消息以回滚所述目标设备;以及
其中,所述目标设备利用操作系统的具有已知良好状态的先前记录的副本替换所述操作系统的电子存储装置处的当前副本。
14.根据权利要求11所述的方法,其中,每个授权设备是向授权用户提供用于提供对所述更改的描述的输出接口的计算设备,并且所述计算设备包括允许所述授权用户指示所述更改是被批准还是不被批准的输入接口。
15.根据权利要求11所述的方法,其中,所述更改是具有根权限的用户帐户对所述目标设备的操作系统提供的资源的访问。
16.根据权利要求11所述的方法,其中,所述更改是对来自所述目标设备的加密心跳信号的停止。
17.根据权利要求11所述的方法,其中,所述更改是从管理系统至所述目标设备的一个或更多个连接中的断开。
18.根据权利要求11所述的方法,还包括:
如果在阈值时间段内没有从与授权用户相关联的授权设备接收到响应消息,则确定所述授权用户不批准更改。
19.根据权利要求11所述的方法,还包括:
响应于至少三个响应消息指示不批准所述更改而确定所检测到的更改不被批准。
20.根据权利要求11所述的方法,还包括:
检测所述目标设备处的第二更改;
响应于检测到所述目标设备处的第二更改而:
向所述多用户授权池的所述授权用户的授权设备发送第二请求消息,所述第二请求消息从所述授权用户请求所检测到的第二更改是否被批准的指示;
从所述授权设备接收一个或更多个第二响应消息;以及
响应于确定所述一个或更多个第二响应消息中的至少三个第二响应消息指示所检测到的第二更改被批准,向所述目标设备发送指示允许所述更改的消息。
21.一种系统,包括:
一个或更多个测量追踪器,所述测量追踪器测量关于网络中的一个或更多个受管设备的度量;
记录器,所述记录器基于由所述测量追踪器检测到的信息来生成日志,并且基于所生成的日志来向接收者发送报告;以及
非合规性执行器,所述非合规性执行器基于所述一个或更多个测量追踪器指示所测量的度量超过相关联阈值测量值来启动一个或更多个安全动作。
22.根据权利要求21所述的系统,其中,所述一个或更多个测量追踪器包括平均检测时间追踪器,所述平均检测时间追踪器追踪检测所述一个或更多个受管设备中的每个受管设备处的更改的平均时间。
23.根据权利要求21所述的系统,其中,所述一个或更多个测量追踪器包括平均隔离时间追踪器,所述平均隔离时间追踪器追踪当在所述一个或更多个受管设备中的受管设备处检测到更改时隔离每个受管设备的平均时间。
24.根据权利要求21所述的系统,其中,所述一个或更多个测量追踪器包括黑客调查时间追踪器,所述黑客调查时间追踪器追踪由恶意攻击者在所述一个或更多个受管设备中的受管设备处花费的时间。
25.根据权利要求24所述的系统,其中,所述受管设备是蜜罐,所述蜜罐被设计成为恶意攻击者提供用于访问的虚拟资源,所述虚拟资源对所述恶意攻击者具有吸引力。
26.根据权利要求21所述的系统,其中,所述一个或更多个测量追踪器包括平均修复时间追踪器,所述平均修复时间追踪器追踪在所述一个或更多个受管设备中的受管设备处检测到更改之后修复所述受管设备的平均时间。
27.根据权利要求21所述的系统,其中,所述一个或更多个测量追踪器包括平均服务时间追踪器,所述平均服务时间追踪器追踪在所述一个或更多个受管设备中的受管设备处检测到的更改导致由所述一个或更多个受管设备在所述网络中提供的服务中断之后恢复所述服务的平均时间。
28.根据权利要求21所述的系统,其中,所述一个或更多个测量追踪器包括合规性时间追踪器,所述合规性时间追踪器追踪在所述一个或更多个受管设备的所测量的度量中的一个或更多个超过它们各自的阈值测量值之后所测量的度量返回到所述阈值测量值内的值的时间。
29.根据权利要求21所述的系统,其中,所述相关联阈值测量值在所述系统的服务级别协议中指定。
30.根据权利要求21所述的系统,其中,所述一个或更多个安全动作包括:当受管设备的所测量的度量超过所述相关联阈值测量值时,将所述受管设备的状态回滚到先前的已知良好状态。
31.一种方法,包括:
使用一个或更多个测量追踪器测量关于网络中的一个或更多个受管设备的度量;
基于由所述测量追踪器检测到的信息来生成日志;
基于所生成的日志来向接收者发送报告;以及
基于所述一个或更多个测量追踪器指示所测量的度量超过相关联阈值测量值来启动一个或更多个安全动作。
32.根据权利要求31所述的方法,其中,所述一个或更多个测量追踪器包括平均检测时间追踪器,所述平均检测时间追踪器追踪检测在所述一个或更多个受管设备中的每个受管设备处的更改的平均时间。
33.根据权利要求31所述的方法,其中,所述一个或更多个测量追踪器包括平均隔离时间追踪器,所述平均隔离时间追踪器追踪当在所述一个或更多个受管设备中的受管设备处检测到更改时隔离每个受管设备的平均时间。
34.根据权利要求31所述的方法,其中,所述一个或更多个测量追踪器包括黑客调查时间追踪器,所述黑客调查时间追踪器追踪由恶意攻击者在所述一个或更多个受管设备中的受管设备处花费的时间。
35.根据权利要求34所述的方法,其中,其中,所述受管设备是蜜罐,所述蜜罐被设计成为恶意攻击者提供用于访问的虚拟资源,所述虚拟资源对所述恶意攻击者具有吸引力。
36.根据权利要求31所述的方法,其中,所述一个或更多个测量追踪器包括平均修复时间追踪器,所述平均修复时间追踪器追踪在所述一个或更多个受管设备中的受管设备处检测到更改之后修复所述受管设备的平均时间。
37.根据权利要求31所述的方法,其中,所述一个或更多个测量追踪器包括平均服务时间追踪器,所述平均服务时间追踪器追踪在所述一个或更多个受管设备中的受管设备处检测到的更改导致由所述一个或更多个受管设备在所述网络中提供的服务中断之后恢复所述服务的平均时间。
38.根据权利要求31所述的方法,其中,所述一个或更多个测量追踪器包括合规性时间追踪器,所述合规性时间追踪器追踪在所述一个或更多个受管设备的所测量的度量中的一个或更多个超过它们各自的阈值测量值之后所测量的度量返回到所述阈值测量值内的值的时间。
39.根据权利要求31所述的方法,其中,所述相关联阈值测量值在所述系统的服务级别协议中指定。
40.根据权利要求31所述的方法,其中,所述一个或更多个安全动作包括:当受管设备的所测量的度量超过所述相关联阈值测量值时,将所述受管设备的状态回滚到先前的已知良好状态。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201962865080P | 2019-06-21 | 2019-06-21 | |
US201962865083P | 2019-06-21 | 2019-06-21 | |
US62/865,080 | 2019-06-21 | ||
US62/865,083 | 2019-06-21 | ||
PCT/US2020/038837 WO2020257729A1 (en) | 2019-06-21 | 2020-06-19 | Method to prevent root level access attack and measurable sla security and compliance platform |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114245897A true CN114245897A (zh) | 2022-03-25 |
Family
ID=74037095
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080057744.0A Pending CN114245897A (zh) | 2019-06-21 | 2020-06-19 | 用于防止根级访问攻击的方法以及可测量的sla安全性和合规性平台 |
Country Status (6)
Country | Link |
---|---|
US (5) | US11599632B2 (zh) |
EP (1) | EP3987420A4 (zh) |
JP (3) | JP7185077B2 (zh) |
CN (1) | CN114245897A (zh) |
CA (2) | CA3144465A1 (zh) |
WO (1) | WO2020257729A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7185077B2 (ja) | 2019-06-21 | 2022-12-06 | サイエンプティブ テクノロジーズ インコーポレイテッド | rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム |
US20200410091A1 (en) * | 2019-06-25 | 2020-12-31 | Paypal, Inc. | Threat Detection Using Machine Learning Query Analysis |
US11562059B2 (en) | 2020-01-14 | 2023-01-24 | Meta Platforms Technologies, Llc | Administered authentication in artificial reality systems |
US11405774B2 (en) * | 2020-01-14 | 2022-08-02 | Facebook Technologies, Llc | Collective artificial reality device configuration |
US11588848B2 (en) * | 2021-01-05 | 2023-02-21 | Bank Of America Corporation | System and method for suspending a computing device suspected of being infected by a malicious code using a kill switch button |
WO2023026270A1 (en) * | 2021-08-25 | 2023-03-02 | Owrita Technologies Ltd | Verification of network or machine-based events through query to responsible users |
US11924020B2 (en) * | 2022-04-26 | 2024-03-05 | Microsoft Technology Licensing, Llc | Ranking changes to infrastructure components based on past service outages |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7082463B1 (en) | 2000-06-07 | 2006-07-25 | Cisco Technology, Inc. | Time-based monitoring of service level agreements |
CA2424144A1 (en) | 2002-04-02 | 2003-10-02 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
US20050240756A1 (en) | 2003-01-12 | 2005-10-27 | Yaron Mayer | System and method for improving the efficiency, comfort, and/or reliability in Operating Systems, such as for example Windows. |
US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US20050086531A1 (en) * | 2003-10-20 | 2005-04-21 | Pss Systems, Inc. | Method and system for proxy approval of security changes for a file security system |
US7934213B2 (en) * | 2004-11-09 | 2011-04-26 | Microsoft Corporation | Device driver rollback |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
JP5160379B2 (ja) * | 2008-11-11 | 2013-03-13 | 株式会社東芝 | セキュリティ劣化防止装置 |
US20120011573A1 (en) | 2010-07-12 | 2012-01-12 | Menasce Daniel A | System and method for managing insider security threats |
US8990948B2 (en) * | 2012-05-01 | 2015-03-24 | Taasera, Inc. | Systems and methods for orchestrating runtime operational integrity |
GB2513168B (en) * | 2013-04-18 | 2017-12-27 | F Secure Corp | Detecting unauthorised changes to website content |
US20150006897A1 (en) * | 2013-06-28 | 2015-01-01 | Broadcom Corporation | Apparatus and Method to Obtain Electronic Authentication |
US20150121532A1 (en) * | 2013-10-31 | 2015-04-30 | Comsec Consulting Ltd | Systems and methods for defending against cyber attacks at the software level |
US10552796B1 (en) * | 2014-12-19 | 2020-02-04 | Amazon Technologies, Inc. | Approval service in a catalog service platform |
WO2016178088A2 (en) | 2015-05-07 | 2016-11-10 | Cyber-Ark Software Ltd. | Systems and methods for detecting and reacting to malicious activity in computer networks |
US20170061432A1 (en) * | 2015-08-26 | 2017-03-02 | International Business Machines Corporation | Multi-user transaction approval authentication |
US10572650B2 (en) * | 2016-02-29 | 2020-02-25 | Intel Corporation | Technologies for independent service level agreement monitoring |
US10404469B2 (en) | 2016-04-08 | 2019-09-03 | Chicago Mercantile Exchange Inc. | Bilateral assertion model and ledger implementation thereof |
US10735131B2 (en) * | 2016-08-24 | 2020-08-04 | Global Tel*Link Corporation | System and method for detecting and controlling contraband devices in a correctional facility utilizing portable electronic devices |
US11100232B1 (en) * | 2017-02-23 | 2021-08-24 | Ivanti, Inc. | Systems and methods to automate networked device security response priority by user role detection |
US10855554B2 (en) * | 2017-04-28 | 2020-12-01 | Actifio, Inc. | Systems and methods for determining service level agreement compliance |
US10454787B2 (en) * | 2017-05-04 | 2019-10-22 | Servicenow, Inc. | Timeline zoom and service level agreement validation |
US11093518B1 (en) * | 2017-09-23 | 2021-08-17 | Splunk Inc. | Information technology networked entity monitoring with dynamic metric and threshold selection |
US10956849B2 (en) * | 2017-09-29 | 2021-03-23 | At&T Intellectual Property I, L.P. | Microservice auto-scaling for achieving service level agreements |
EP3474509B1 (en) * | 2017-10-18 | 2021-10-06 | ABB Schweiz AG | Methods for controlling a device and control system |
US10754972B2 (en) * | 2018-01-30 | 2020-08-25 | Salesforce.Com, Inc. | Multi-factor administrator action verification system |
US11409625B2 (en) * | 2018-04-18 | 2022-08-09 | Onapsis, Inc. | System and method for detecting and preventing changes in business-critical applications that modify its state to non-secure and/or non-compliant |
US11301569B2 (en) * | 2019-03-07 | 2022-04-12 | Lookout, Inc. | Quarantine of software based on analysis of updated device data |
JP7185077B2 (ja) | 2019-06-21 | 2022-12-06 | サイエンプティブ テクノロジーズ インコーポレイテッド | rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム |
US20200410448A1 (en) * | 2019-06-26 | 2020-12-31 | International Business Machines Corporation | Approving requests using a dynamic group of approvers |
US20220391291A1 (en) | 2021-06-08 | 2022-12-08 | Salesforce.Com, Inc. | History information in director-based database system for transactional consistency |
-
2020
- 2020-06-19 JP JP2021576332A patent/JP7185077B2/ja active Active
- 2020-06-19 WO PCT/US2020/038837 patent/WO2020257729A1/en active Application Filing
- 2020-06-19 CA CA3144465A patent/CA3144465A1/en active Pending
- 2020-06-19 CA CA3170901A patent/CA3170901A1/en active Pending
- 2020-06-19 CN CN202080057744.0A patent/CN114245897A/zh active Pending
- 2020-06-19 EP EP20827633.7A patent/EP3987420A4/en active Pending
- 2020-06-21 US US16/907,305 patent/US11599632B2/en active Active
- 2020-06-21 US US16/907,302 patent/US11669616B2/en active Active
-
2022
- 2022-06-16 US US17/841,918 patent/US11847212B2/en active Active
- 2022-10-12 JP JP2022164051A patent/JP2022179702A/ja active Pending
- 2022-11-24 JP JP2022187347A patent/JP2023010967A/ja active Pending
-
2023
- 2023-04-27 US US18/308,388 patent/US20230267201A1/en active Pending
- 2023-07-11 US US18/350,587 patent/US20230351014A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US11669616B2 (en) | 2023-06-06 |
CA3170901A1 (en) | 2020-12-24 |
US20200404016A1 (en) | 2020-12-24 |
US20230267201A1 (en) | 2023-08-24 |
US20200401692A1 (en) | 2020-12-24 |
JP2023010967A (ja) | 2023-01-20 |
JP2022530288A (ja) | 2022-06-28 |
US11599632B2 (en) | 2023-03-07 |
US20220309158A1 (en) | 2022-09-29 |
EP3987420A1 (en) | 2022-04-27 |
US20230351014A1 (en) | 2023-11-02 |
WO2020257729A1 (en) | 2020-12-24 |
CA3144465A1 (en) | 2020-12-24 |
EP3987420A4 (en) | 2023-10-25 |
JP7185077B2 (ja) | 2022-12-06 |
JP2022179702A (ja) | 2022-12-02 |
US11847212B2 (en) | 2023-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7185077B2 (ja) | rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム | |
US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
US10367834B2 (en) | Systems and methods for implementing intrusion prevention | |
US20190173870A1 (en) | Systems and methods for implementing security | |
CA2778925C (en) | Approaches for a location aware client | |
EP2256656A1 (en) | Key management to protect encrypted data of an endpoint computing device | |
US11675889B1 (en) | Systems and methods for data integrity and confidentiality within a computing system | |
US20170318054A1 (en) | Authentication incident detection and management | |
US20210385129A1 (en) | Tamper-resistant service management for enterprise systems | |
US11637842B2 (en) | Detection of security intrusion in a computing system | |
CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
Ruha | Cybersecurity of computer networks | |
US20220345477A1 (en) | Automatic Vulnerability Mitigation in Cloud Environments | |
Ambhore et al. | Carapace for Intranet Security of Linux Harding | |
RFC | NEW QUESTION |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |