Область техники, к которой относится настоящее изобретение
Примеры осуществления настоящего изобретения относятся, в общем, к архитектуре информационных технологий, в частности, к системам, устройствам и способам снижения рисков, связанных с нарушением информационной безопасности, за счет автоматизированной оценки прикладных программ и реализации стратегий в области обеспечения безопасности.
Предшествующий уровень техники настоящего изобретения
Податель настоящей заявки выявил проблемы, присущие существующим технологиям выявления брешей в системах обеспечения безопасности, которые создаются ресурсами, взаимодействующими с корпоративными вычислительными платформами. Благодаря приложенным усилиям, изобретательской способности и инновационному подходу податель настоящей заявки устранил многие из выявленных проблем, разработав решение, которое реализовано в настоящем изобретении и подробно описано ниже.
Краткое раскрытие настоящего изобретения
Примеры осуществления заявленного изобретения, описанные в настоящем документе, совершенствуют существующие методики оценки архитектуры ресурсов и обеспечения безопасности. Примеры осуществления заявленного изобретения, раскрытые в настоящем документе, относятся к усовершенствованиям в части технических характеристик, возможностей и эффективности корпоративной вычислительной платформы.
В первом варианте осуществления настоящего изобретения предложен способ оценки архитектуры и обеспечения безопасности в пределах корпоративной вычислительной платформы. Этот способ включает в себя получение предложенной для оценки архитектуры, причем архитектура, предложенная для оценки, относится к интеграции ресурса в корпоративную вычислительную платформу. Этот способ дополнительно включает в себя динамическую оценку, с помощью схем оценки рисков, предложенной архитектуры в соответствии с внедренными стратегиями, стандартами, базовыми уровнями или моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы. В случае если в ходе динамической оценки предложенной архитектуры обнаруживаются бреши в системе обеспечения безопасности, этот способ дополнительно включает в себя определение, с помощью схем оценки рисков, изменений в предложенной архитектуре, которые могли бы устранить обнаруженные бреши в системе обеспечения безопасности. Этот способ также включает в себя генерирование отчета в отношении предложенной архитектуры, причем в этом отчете указываются любые изменения в предложенной архитектуре, которые могли бы устранить обнаруженные бреши в системе обеспечения безопасности.
В некоторых вариантах осуществления настоящего изобретения стадия получения предложенной для оценки архитектуры предусматривает инициирование передачи сканером компонентов одного или более сообщения об идентификации изменений на агент компонентов, который находится на ресурсе; получение информации об изменениях в архитектуре ресурса относительно версии архитектуры ресурса, оцененной ранее модулем безопасности; при этом предложенная архитектура содержит текущую архитектуру ресурса.
В некоторых таких вариантах осуществления настоящего изобретения стадия получения информации об изменениях в архитектуре предусматривает получение информации об архитектуре ресурса и сравнение архитектуры ресурса с версией этого архитектуры ресурса, оцененной ранее модулем безопасности. В этой связи предложенный способ может дополнительно включать в себя инициирование передачи сканером компонентов отчета по предложенной архитектуре для агента компонентов, который находится на ресурсе.
В некоторых вариантах осуществления настоящего изобретения предложенный способ включает в себя обучение одного или более алгоритма машинного обучения для разработки одного или более базового уровня или модели корпоративной вычислительной платформы. В некоторых таких вариантах осуществления настоящего изобретения стадия динамической оценки предложенной архитектуры предусматривает оценку, с помощью схем оценки рисков, и использование одного или более алгоритма машинного обучения с тем, чтобы определить, не противоречит ли какой-либо аспект предложенной архитектуры базовым уровням или моделям, разработанным для корпоративной вычислительной платформы.
В некоторых вариантах осуществления настоящего изобретения стадия определения изменений в предложенной архитектуре, которые могли бы устранить обнаруженные бреши в системе обеспечения безопасности, предусматривает возврат к ручным операциям для идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности, или для идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности с использованием, по меньшей мере, одной внедренной стратегии, стандарта, базового условия или модели обеспечения безопасности, установленной для корпоративной вычислительной платформы.
В другом примере осуществления настоящего изобретения предложено устройство для оценки архитектуры и обеспечения безопасности в пределах корпоративной вычислительной платформы. Это устройство содержит, по меньшей мере, один процессор и, по меньшей мере, одно запоминающее устройство, в котором хранятся машиноисполняемые команды, которые - при их исполнении, по меньшей мере, одним процессором - инициируют получение устройством предложенной для оценки архитектуры; причем предложенная для оценки архитектура относится к интеграции ресурса в корпоративную вычислительную платформу. Машиноисполняемые команды, когда они исполняются, по меньшей мере, одним процессором, дополнительно инициируют проведение устройством динамической оценки предложенной архитектуры в соответствии с внедренными стратегиями, стандартами, базовыми уровням или моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы; и в случае, если в ходе динамической оценки выявляются бреши в системе безопасности, определение изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности. Машиноисполняемые команды, когда они исполняются, по меньшей мере, одним процессором, дополнительно инициируют генерирование устройством отчета по предложенной архитектуре, причем в этом отчете указываются любые изменения в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности.
В некоторых вариантах осуществления настоящего изобретения машиноисполняемые команды, когда они исполняются, по меньшей мере, одним процессором, инициируют получение устройством предложенной архитектуры для ее оценивания, понуждая устройство инициировать передачу сканером компонентов одного или более сообщения об идентификации изменений на агент компонентов, который находится на ресурсе, и получение информации об изменениях в архитектуре ресурса относительно версии архитектуры ресурса, оцененной ранее модулем безопасности; при этом предложенная архитектура содержит текущую архитектуру ресурса.
В некоторых таких вариантах осуществления настоящего изобретения машиноисполняемые команды, когда они исполняются, по меньшей мере, одним процессором, понуждают устройство к получению информации об изменениях в архитектуре, инициируя получение устройством информации об архитектуре ресурса и сравнение архитектуры ресурса с версией этой архитектурой ресурса, оцененной ранее модулем безопасности. В этой связи машиноисполняемые команды, когда они исполняются, по меньшей мере, одним процессором, дополнительно инициируют передачу устройством - с помощью сканера компонентов - отчета по предложенной архитектуре для агента компонентов, который находится на ресурсе.
В некоторых вариантах осуществления настоящего изобретения машиноисполняемые команды, когда они исполняются, по меньшей мере, одним процессором, дополнительно инициируют обучение устройством одного или более алгоритма машинного обучения с целью разработки одного или более базового уровня или модели безопасности для корпоративной вычислительной платформы. В некоторых таких вариантах осуществления настоящего изобретения машиноисполняемые команды, когда они исполняются, по меньшей мере, одним процессором, инициируют проведение динамической оценки предложенной архитектуры описываемым устройством; причем это устройство должно оценить, используя один или более алгоритм машинного обучения, не противоречит ли какой-либо аспект предложенной архитектуры базовым уровням или моделям обеспечения безопасности, разработанным для корпоративной вычислительной платформы.
В некоторых вариантах осуществления настоящего изобретения машиноисполняемые команды, когда они исполняются, по меньшей мере, одним процессором, понуждают устройство идентифицировать изменения в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности, инициируя возврат устройства к ручным операциям для идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности, или для идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности с использованием, по меньшей мере, одной внедренной стратегии, стандарта, базового условия или модели обеспечения безопасности, установленной для корпоративной вычислительной платформы.
В еще одном примере осуществления настоящего изобретения предложено устройство для оценки архитектуры и обеспечения безопасности в пределах корпоративной вычислительной платформы. Это устройство содержит средства получения предложенной для оценки архитектуры, причем предложенная для оценки архитектура относится к интеграции ресурса в корпоративную вычислительную платформу; средства динамической оценки предложенной архитектуры в соответствии с внедренными стратегиями, стандартами, базовыми уровням или моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы; средства для определения изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности в случае, если такие бреши были выявлены в ходе динамической оценки предложенной архитектуры; и средства для генерирования отчета по предложенной архитектуре, причем в этом отчете указываются любые изменения в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности.
В некоторых вариантах осуществления настоящего изобретения средства получения предложенной для оценки архитектуры включают в себя средства, инициирующие передачу сканером компонентов одного или более сообщения об идентификации изменений на агент компонентов, который находится на ресурсе; и средства получения информации об изменениях в архитектуре ресурса относительно версии архитектуры ресурса, оцененной ранее модулем безопасности; при этом предложенная архитектура содержит текущую архитектуру. В некоторых таких вариантах осуществления настоящего изобретения средства получения информации об изменениях в архитектуре ресурса включают в себя средства получения информации об архитектуре ресурса и средства сравнения архитектуры ресурса с версией архитектуры ресурса, оцененной ранее модулем безопасности. В этой связи описываемое устройство дополнительно содержит средства, инициирующие передачу сканером компонентов отчета по предложенной архитектуре для агента компонентов, который находится на ресурсе.
В некоторых вариантах осуществления настоящего изобретения предложенное устройство дополнительно содержит средства обучения одного или более алгоритма машинного обучения с целью разработки одного или более базового уровня или модели обеспечения безопасности для корпоративной вычислительной платформы. В некоторых таких вариантах осуществления настоящего изобретения средства динамической оценки предложенной архитектуры включают в себя средства оценки, которые определяют с использованием одного или более алгоритма машинного обучения, не противоречит ли какой-либо аспект предложенной архитектуры базовым уровням или моделям обеспечения безопасности, разработанным для корпоративной вычислительной платформы.
В некоторых вариантах осуществления настоящего изобретения средства определения изменений в предложенной архитектуре, которые могли бы устранить обнаруженные бреши в системе обеспечения безопасности, включают в себя средства возврата к ручным операциям для идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности, или средства идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности с использованием, по меньшей мере, одной внедренной стратегии, стандарта, базового условия или модели обеспечения безопасности, установленной для корпоративной вычислительной платформы.
Краткое раскрытие настоящего изобретения, приведенное выше, представлено исключительно для обобщения некоторых примеров осуществления заявленного изобретения с тем, чтобы дать общее представление о некоторых его аспектах. Соответственно, понятно, что описанные выше варианты осуществления настоящего изобретения приведены лишь в качестве примера, и что они ни в коем случае не должны рассматриваться как ограничивающие объем или сущность настоящего изобретения. Следует иметь в виду, что помимо вариантов осуществления заявленного изобретения, обобщенных в настоящем документе, объем изобретения включает в себя множество других потенциально возможных вариантов его осуществления, некоторые из которых описаны ниже.
Краткое описание фигур
Ниже даны ссылки на прилагаемые чертежи некоторых вкратце описанных примеров осуществления настоящего изобретения, которые не обязательно вычерчены в масштабе, и где:
На фиг. 1 представлена схема одного из примеров реализации системы согласно одному из примеров осуществления настоящего изобретения.
На фиг. 2 показана блок-схема совокупности схем, используемых совместно с модулем безопасности корпоративной вычислительной платформы, согласно некоторым примерам осуществления настоящего изобретения.
На фиг. 3 показана блок-схема совокупности схем и цепей, используемых совместно с устройством, выступающим в роли ведущего узла или иным образом представляющим ресурс, с которым взаимодействует корпоративная вычислительная платформа, согласно некоторым примерам осуществления настоящего изобретения.
На фиг. 4 проиллюстрировано высокоуровневое проектирование модуля безопасности согласно некоторым примерам осуществления настоящего изобретения.
На фиг. 5 проиллюстрирован системный уровень проектирования модуля безопасности согласно некоторым примерам осуществления настоящего изобретения.
На фиг. 6 показана блок-схема, иллюстрирующая примеры операций по снижению рисков, связанных с нарушением информационной безопасности, за счет автоматизированной оценки прикладных программ и реализации стратегий в области обеспечения безопасности, согласно некоторым примерам осуществления настоящего изобретения.
На фиг. 7 показана блок-схема, иллюстрирующая примеры операций по недопущению создания новых брешей в системе безопасности уже оцененными ресурсами с изменениями, согласно некоторым примерам осуществления настоящего изобретения.
Подробное раскрытие настоящего изобретения
Ниже более полно описаны различные варианты осуществления настоящего изобретения в привязке к прилагаемым чертежам, на которых проиллюстрированы некоторые, но не все варианты осуществления настоящего изобретения. В действительности заявленное изобретение может быть реализовано в самых разных формах, и оно не должно рассматриваться как ограниченное вариантами своего осуществления, раскрытыми в настоящем документе; скорее эти варианты осуществления настоящего изобретения представлены для того, чтобы показать их соответствие требованиям действующего законодательства. Одни и те элементы по всему тексту обозначены одинаковыми номерами позиций.
В контексте настоящего документа термины «данные», «контент», «информация» и аналогичные термины могут использоваться как взаимозаменяемые и обозначающие данные, которые могут передаваться, приниматься и/или храниться согласно вариантам осуществления настоящего изобретения. Таким образом, использование любого такого термина не должно рассматриваться как ограничивающее сущность и объем вариантов осуществления настоящего изобретения. Кроме того, в тех случаях, где описанное вычислительное устройство используется для приема данных с другого вычислительного устройства, следует иметь в виду, что данные могут быть получены напрямую с другого вычислительного устройства, или же они могут быть получены опосредованно через одно или более промежуточное вычислительное устройство, такое как, например, один или более сервер, реле, маршрутизатор, пункт сетевого доступа, базовая станция, хост-узел и/или иное устройство подобного рода, иногда именуемое в настоящем документе «сетью». Аналогичным образом в тех случаях, где описанное вычислительное устройство используется для пересылки данных на другое вычислительное устройство, следует иметь в виду, что данные могут передаваться напрямую на другое вычислительное устройство, или же они могут передаваться опосредованно через одно или более промежуточное вычислительное устройство, такое как, например, один или более сервер, реле, маршрутизатор, пункт сетевого доступа, базовая станция, хост-узел и/или иное устройство подобного рода.
Обзор
Традиционно бреши в системах безопасности корпоративных вычислительных платформ рассматриваются в качестве досадного побочного эффекта, обусловленного необходимостью постоянного взаимодействии между корпоративными вычислительными платформами и внешними ресурсами (например, прикладными программами, элементами инфраструктуры, базами данных и пр.). Однако обеспечение безопасности такого взаимодействия особенно важно в тех случаях, когда эти внешние ресурсы могут иметь доступ к конфиденциальной информации, такой как защищенная законом информация о здоровье (PHI), персональные данные (PII) или данные платежных карт (PCI). Соответственно, такие защищенные или конфиденциальные вычислительные ресурсы, именуемые в настоящем документе «ресурсами», требуют наличия дополнительных средств контроля информационной безопасности для защиты данных, используемых этими ресурсами, и это в особой степени касается тех данных, которые извлекаются из самой корпоративной вычислительной платформы. Хотя корпоративные вычислительные платформы часто управляются группами экспертов в области информационных технологий (IT), которые могут оценить профили рисков в отношении ресурсов и брешей в системах безопасности, на выполнение этих функций тратится множество ресурсов и времени.
Более того, весомым источником брешей в системах безопасности корпоративных вычислительных платформ служит тот факт, что обновление уже авторизованного ресурса не инициирует срабатывание аварийной сигнализации или проведение тщательной проверки в той мере, в которой это происходит при запросе на взаимодействие с новым ресурсом, даже если модификация ресурсов может породить не меньшее число брешей в системе безопасности. Отсутствие такой тщательной проверки может быть обусловлено многими причинами. Во-первых, в практическом плане, не всегда могут быть выявлены изменения в ресурсах, и поэтому факт возникновения новых брешей в системе безопасности может оказаться неизвестным для предприятия. И, во-вторых, из-за больших временных и ресурсных затрат, характерных для оценивания проблем с безопасностью, которые может создавать какой-либо используемый ресурс, изменения в ресурсах с течением времени традиционно отслеживаются не так строго, как вновь вводимые ресурсы, которые просто ставятся в очередь на проверку. Соответственно, существует потребность в системе, которая могла бы поддерживать соответствие стратегиям обеспечения безопасности, регулирующим взаимодействие с данной корпоративной вычислительной платформой, и которая параллельно могла бы ускорять оценку как новых, так и модифицированных ресурсов.
Как указано в настоящем документе, примеры осуществления систем и устройств согласно заявленному изобретению удовлетворяют этим и иным потребностям с помощью модуля безопасности, выполненного с возможностью автоматической оценки ресурсов на предмет их соответствия стратегиям обеспечения безопасности корпоративной вычислительной платформы. В некоторых вариантах осуществления настоящего изобретения модуль безопасности использует методики машинного обучения, которые облегчают предварительную обработку и определение степени секретности информации, связанной со стратегиями обеспечения безопасности, в отношении ресурсов, а также последующее прогнозирование непрерывных переменных (методом статистической регрессии) и понижение размерности (путем сокращения несущественных переменных) для выявления брешей в архитектуре системы безопасности. Таким образом, примеры осуществления настоящего изобретения вносят большую строгость в анализ безопасности, тем самым обеспечивая лучшую защиту корпоративной вычислительной платформы от потенциальных атак, которые в противном случае могли бы воспользоваться брешами в системах безопасности.
Более того, за счет обязательной установки агента компонентов на ресурсе, которому разрешено взаимодействие с корпоративной вычислительной платформой, и благодаря использованию сканера компонентов, выполненного с возможностью взаимодействия с агентом компонентов, могут быть точно идентифицированы и оценены изменения в ресурсах, которым уже разрешено взаимодействие с корпоративной вычислительной платформой, что открывает возможности для оценивания текущего профиля безопасности ресурсов по мере их изменения с течением времени. В совокупности эти концепции иллюстрируют конфигурацию корпоративной вычислительной платформы, позволяющую проводить автоматизированную оценку новых ресурсов и изменений в ресурсах, смягчая два традиционных недостатка при оценке защищенности корпоративной вычислительной платформы.
Как будет подробнее описано ниже, различные варианты осуществления заявленного изобретения, раскрытые в настоящем документе, совершенствуют существующие методики оценки ресурсов и обеспечения безопасности. Варианты осуществления заявленного изобретения, описанные в настоящем документе, относятся к усовершенствованиям в части технических характеристик, возможностей и эффективности корпоративной вычислительной платформы.
Архитектура системы и пример осуществления устройства
Способы, устройства и программные продукты согласно настоящему изобретению могут быть реализованы любым из множества устройств. Например, способ, устройство и программный продукт одного из примеров осуществления настоящего изобретения может быть реализован сетевым устройством, таким как сервер или иной сетевой объект, выполненным с возможностью взаимодействия с одним или более устройством, таким как одно или более клиентское устройство. В альтернативном варианте или дополнительно вычислительное устройство может представлять собой любое стационарное вычислительное устройство, такое как персональный компьютер и компьютерная рабочая станция. Кроме того, примеры осуществления настоящего изобретения могут быть реализованы любым из множества мобильных терминалов, таких как карманный персональный компьютер (КПК), мобильный телефон, смартфон, переносной компьютер, планшет или любое сочетание указанных устройств.
В этой связи на фиг. 1 показан пример вычислительной системы, в которой могут функционировать варианты осуществления настоящего изобретения. Различные ресурсы могут требовать доступа к корпоративной вычислительной платформе 102 через сеть (например, через Интернет или иные средства подобного рода) с использованием вычислительных устройств 110А-110N, 112А-112N и 114А-114N, соответственно.
Вычислительные устройства 110A-110N, 112A-112N и 114A-114N могут быть сформированы любыми вычислительными устройствами, известными в этой области техники. Получение электронных данных корпоративной вычислительной платформой 102 с устройств 110A-110N диагностических лабораторий, устройств 112A-112N медицинских учреждений и устройств 114A-114N сторонних организаций может быть обеспечено в различных формах и с использованием различных способов. Например, к этим устройствам могут относиться стационарные компьютеры, переносные компьютеры, смартфоны, нетбуки, планшеты, беспроводные устройства и/или любые сочетания подобных устройств или объектов, выполненных с возможностью выполнения функций, операций и/или процессов, описанных в настоящем документе; а электронные данные могут быть получены с использованием различных режимов и/или протоколов передачи данных, соотнесенных с этими устройствами.
В альтернативном варианте или дополнительно диагностические лаборатории, медицинские учреждения и прочие сторонние организации могут взаимодействовать с корпоративной вычислительной платформой 102 через веб-браузер. В еще одном из примеров устройства 110A-110N, 112A-112N и 114A-114N могут включать в себя различные аппаратные или программно-аппаратные средства, выполненные с возможностью взаимодействия с вычислительной системой 102, осуществляющей выборку лабораторных данных (например, когда пример осуществления устройства 110, 112 или 114 представляет собой специализированное устройство, предназначенное, главным образом, для взаимодействия с корпоративной вычислительной платформой 102, такой как интерактивный терминал).
Корпоративная вычислительная платформа 102 может содержать модуль 104 безопасности, который может сообщаться с базой 106 данных и сканером 108 компонентов. Модуль 104 безопасности может быть реализован в виде компьютера или компьютеров, известных в данной области техники. Модуль 104 безопасности может принимать электронные данные из различных источников, включающих в себя, помимо прочего, устройства 110А-110N, 112A-112N и 114A-114N, и может быть выполнен с возможностью анализа представленных ресурсов, обслуживаемых и/или представленных этими устройствами.
База 106 данных может быть реализована в виде устройства хранения данных, такого как сетевое устройство или устройства хранения данных (NAS), или в виде отдельного сервера или серверов баз данных. База 106 данных содержит информацию, доступ к которой осуществляется через модуль 104 безопасности, и которая сохраняется указанным модулем для облегчения выполнения операций корпоративной вычислительной платформой 102. Например, база 106 данных может включать в себя, помимо прочего: одну или более стратегию, стандарт, базовый уровень и/или модель обеспечения безопасности, установленные для корпоративной вычислительной платформы 102. В этой связи стратегия в области безопасности представляет собой широкомасштабный документ, который дает указания в области безопасности с корпоративных и технологических позиций, тогда как стандарт является более детализированным и обычно в большей степени техническим документом, содержащим подробные данные, которые часто являются слишком специфичными для того, чтобы их можно было включить в более широкую стратегию в области безопасности. Базовый уровень относится к ряду инструкций или требований, которые должны быть удовлетворены перед тем, как на предприятии можно будет реализовать какую-либо технологию. Соответственно, что будет подробнее описано ниже, корпоративная вычислительная платформа 102 включает в себя компоненты (например, модуль 104 безопасности и сканер 108 компонентов), обрабатывающие расчетные требования, соответствующие оцениваемым ресурсам (как функциональным, так и не функциональным), и сопоставляющие эти требования с оцениваемой технологией, исходя из ее соответствия указанным стратегиям, стандартам, базовым уровням и/или моделям обеспечения безопасности с тем, чтобы определить, существуют ли какие-либо бреши в системе безопасности, которые могут представлять риск для предприятия. Однако помимо этих стратегий, стандартов, базовых уровней и моделей обеспечения безопасности в базе 106 данных может храниться иная информация, такая как относящиеся к системе безопасности данные/комплекты защитных программ для базы данных и/или интеграционные перехватчики API (интерфейса прикладных программ).
И, наконец, сканер 108 компонентов может содержать ресурс, поддерживающий непрямую связь между модулем 104 безопасности и одним или более агентом компонентов, установленным на ресурсах, с которыми может взаимодействовать корпоративная вычислительная платформа 102. Благодаря отсутствию прямой связи между агентами компонентов и самими модулем 104 безопасности сканер 108 компонентов обеспечивает дополнительный уровень защиты для корпоративной вычислительной платформы 102. В этой связи сканер 108 компонентов может обеспечивать преимущества, аналогичные тем, которые обеспечиваются хост-бастионом, поскольку даже в случае инфицирования сканера 108 компонентов вследствие его взаимодействия с каким-либо ресурсом через соответствующий агент компонентов, находящийся на определенном ресурсе, сам сканер 108 компонентов не хранит конфиденциальную информацию и не обеспечивает доступ к ней, что обеспечивает поддержание безопасности корпоративной вычислительной платформы 102, несмотря на инфицирование.
Следует понимать, что хотя сканер 108 компонентов обеспечивает возможность получения данных от агентов компонентов, находящихся на различных ресурсах (например, предоставляя модулю 104 безопасности информацию, облегчающую анализ профиля рисков взаимодействия с ресурсом), эта связь может быть двусторонней, и агент 104 безопасности может передавать информацию обратно на ресурс с помощью сканера 108 компонентов и агента компонентов этого ресурса (эта передаваемая информация может включать в себя сведения об изменениях, необходимые для поддержания непрерывного взаимодействия с корпоративной вычислительной платформой 102).
Сканер 108 компонентов также выполняет дополнительную функцию. Он выполнен с возможностью установления различий между поступающими с ресурса предложениями (которые предлагаются агентом компонентов этого ресурса) с тем, чтобы определить, подтверждена ли обновленная оценка профиля рисков ресурса. За счет этого сканер 108 компонентов устраняет возможность возникновения брешей в системе безопасности корпоративной вычислительной платформы 102, несмотря на тот факт, что наборы свойств, предлагаемые ресурсами, с течением времени постоянно изменяются.
Пример устройства для практической реализации вариантов осуществления настоящего изобретения
Модуль 104 безопасности может быть реализован в виде одного или более вычислительного устройства, такого как устройство 200, показанное на фиг. 2. Как можно видеть на фиг. 2, устройство 200 может содержать процессор 202, запоминающее устройство 204, входные/выходные цепи 206, схемы 208 связи и схемы 210 оценки рисков. Устройство 200 может быть выполнено с возможностью выполнения операций, описанных выше в привязке к фиг. 1, и описанных ниже в привязке к фиг. 7. Хотя эти компоненты 202-210 описаны с учетом их функциональных ограничений, следует понимать, что конкретные варианты их осуществления обязательно включают в себя использование конкретных аппаратных средств. Также следует иметь в виду, что некоторые из этих компонентов 202-210 могут содержать аналогичные или общие аппаратные средства. Например, два набора схем оба могут эффективно использовать один и тот же процессор, сетевой интерфейс, носитель информации или иное устройство подобного рода для выполнения ими соответствующих функций, благодаря чему отпадает потребность в дублирующих аппаратных средствах для каждого набора схем. Следовательно, в контексте настоящего документа термин «схемы/цепи» в отношении компонентов устройства включает в себя конкретные аппаратные средства, выполненные с возможностью выполнения функций, связанных с конкретными схемами, описанными в настоящем документе.
Разумеется, хотя термин «схемы/цепи» следует понимать в широком смысле, т.е. включая аппаратные средства, в некоторых вариантах осуществления настоящего изобретения он может также включать в себя программное обеспечение, необходимое для конфигурирования аппаратных средств. В некоторых вариантах осуществления настоящего изобретения термин «схемы/цепи» может включать в себя устройства обработки данных, носители информации, сетевые интерфейсы, устройства ввода/вывода и прочие элементы подобного рода. В некоторых вариантах осуществления настоящего изобретения функциональные возможности конкретных схем/цепей могут обеспечивать или поддерживать другие элементы устройства 200. Например, функцию обработки данных может обеспечивать процессор 202, функцию сохранения данных может обеспечивать запоминающее устройство 204, функцию взаимодействия с сетью могут обеспечивать схемы 208 связи, и т.д.
Процессор 202 (и/или сопроцессор или любые иные устройства обработки данных, содействующие работе процессора или иным образом связанные с ним) могут сообщаться с запоминающим устройством 204 через шину для передачи информации компонентам устройства. Запоминающее устройство 204 может представлять собой носитель, предназначенный для долговременного хранения информации; и оно может быть реализовано, например, в виде одного или более энергозависимого и/или энергонезависимого запоминающего устройства. Иначе говоря, запоминающим устройством может служить электронное устройство для хранения данных (например, машиночитаемый носитель данных). Запоминающее устройство 204 может быть выполнено с возможностью хранения информации, данных, контента, прикладных программ, команд и прочих элементов подобного рода, дающих устройству возможность выполнять различные функции согласно примерам осуществления настоящего изобретения.
Процессор 202 может быть реализован самыми разными способами и может быть представлен, например, в виде одного или более устройства обработки данных, выполненного с возможностью функционирования в автономном режиме. В альтернативном варианте или дополнительно процессор может состоять из одного или нескольких процессоров, спаренных через шину таким образом, что они могут исполнять команды, выполнять конвейерную обработку данных и/или организовывать многопоточную обработку данных независимо друг от друга. Термин «устройство обработки данных» следует понимать как включающий в себя одноядерный процессор, многоядерный процессор, множество внешних по отношению к устройству процессоров и/или удаленные или «облачные» процессоры.
В одном из примеров осуществления настоящего изобретения процессор 202 может быть выполнен с возможностью исполнения команд, хранящихся в запоминающем устройстве 204 или иным образом поступающих в процессор. В альтернативном варианте или дополнительно процессор может быть выполнен с возможностью выполнения жестко закодированных функций. В этой связи, вне зависимости от того, сконфигурирован ли он аппаратным или программным способом, или сочетанием аппаратных и программных средств, процессор может представлять собой объект (например, физические встроенный в схемы), способный выполнять операции согласно одному из вариантов осуществления настоящего изобретения при том, что он сконфигурирован соответствующим образом. В альтернативном варианте, в качестве еще одного примера, когда процессор реализован в виде исполнителя команд, во время своего исполнения эти команды могут особым образом конфигурировать процессор на выполнение алгоритмов и/или операций, описанных в настоящем документе.
В некоторых вариантах осуществления настоящего изобретения устройство 200 может содержать входные/выходные цепи 206, которые - в свою очередь - могут сообщаться с процессором 202, предоставляя пользователю выходные данные, а в некоторых вариантах осуществления настоящего изобретения - принимая информацию, вводимую пользователем. Входные/выходные цепи 206 могут включать в себя пользовательский интерфейс с дисплеем, а также содержать веб-интерфейс пользователя, мобильное приложение, клиентское устройство, интерактивный терминал или иные элементы подобного рода. В некоторых вариантах осуществления настоящего изобретения входные/выходные цепи 206 могут также включать в себя клавиатуру, мышь, джойстик, сенсорный экран, сенсорные площадки, виртуальные кнопки, микрофон, динамик или иные устройства ввода/вывода. Процессор и/или схемы пользовательского интерфейса, содержащие процессор, могут быть выполнены с возможностью управления одной или более функцией одного или более элемента пользовательского интерфейса с помощью команд компьютерной программы (например, программного и/или аппаратного обеспечения), хранящихся в запоминающем устройстве, доступном для процессора (например, в запоминающем устройстве 204 и/или ином устройстве подобного рода).
Схемами 208 связи может служить любое устройство или совокупность схем, реализованная в виде аппаратного обеспечения или комбинации аппаратного и программного обеспечения, и выполненная с возможностью приема и/или передачи данных из сети/в сеть и/или с/на любое другое устройство, совокупность схем или модуль, которые сообщаются с устройством 200. В этой связи схемы 208 связи могут включать в себя, например, сетевой интерфейс, обеспечивающий возможность взаимодействия с проводной или беспроводной сетью связи. Например, схемы 208 связи могут включать в себя одну или более сетевую карту, антенну, шину, переключатель, маршрутизатор, модем и поддерживающее аппаратное и/или программное обеспечение и/или любое другое устройство, выполненное с возможностью обеспечения передачи данных по сети. В альтернативном варианте или дополнительно интерфейс связи может включать в себя схемы, взаимодействующие с антенной/антеннами для инициирования передачи сигналов через антенну/антенны или для регулирования приема сигналов, поступающих через антенну/антенны.
Схемы 210 оценки рисков включают в себя аппаратные средства, выполненные с возможностью реализации модуля 204 безопасности. Соответственно, схемы 210 оценки рисков выполнены с возможностью анализа информации, касающейся какого-либо ресурса, и выявления брешей в системе безопасности для их последующего устранения. В этой связи схемы 210 оценки рисков могут использовать машинное обучение для оценки архитектуры какого-либо ресурса в соответствии со стратегиями, стандартами, базовыми уровнями или моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы 102, с целью выявления брешей в системе безопасности. Для этого схемы 210 оценки рисков включают в себя компонент машинного обучения и/или искусственного интеллекта, выполненный с возможностью выявления брешей в системе безопасности, исходя из понимания предложенной архитектуры и любых выбросов в рамках этой архитектуры, опираясь, например, на исходное условие, которое предусматривают развитие с течением времени самих схем 210 оценки рисков с использованием набора данных для обучения. Следовательно, схемы 210 оценки рисков выполнены с возможностью использования интерпретационного анализа и аналитических данных, чтобы можно было определить наличие ложноположительных результатов для восстановления негодной архитектуры, не соответствующей стратегии, стандартам или базовым уровням обеспечения безопасности, которые вшиты в логику в качестве ориентиров, и которые обновляются по мере того, как эти стратегии, стандарты и базовые уровни пересматриваются на предприятии.
Для выполнения указанных операций схемы 210 оценки рисков могут использовать устройство обработки данных, такое как процессор 202, а также использовать запоминающее устройство 204 для сохранения сгенерированных результатов по каждой оценке рисков. Следует также иметь в виду, что в некоторых вариантах осуществления настоящего изобретения для выполнения своих функций схемы 210 оценки рисков могут включать в себя отдельный процессор, особым образом сконфигурированную программируемую логическую интегральную схему типа FPGA или заказную специализированную микросхему (ASIC). Следовательно, схемы 210 оценки рисков реализованы с использованием аппаратных компонентов устройства, которые - в свою очередь - сконфигурированы или аппаратными средствам, или программным обеспечением для выполнения этих запланированных функций.
Следует иметь в виду, что любые такие команды компьютерной программы и/или код любого иного типа могут быть загружены в компьютер, процессор или любой иной блок устройства с программируемыми схемами для получения вычислительной машины таким образом, что компьютер, процессор или иной блок с программируемыми схемами, которые выполняют код на машине, создают средства для реализации различных функций, в том числе описанных в настоящем документе.
На фиг. 3 показана блок-схема совокупности схем и цепей, используемых совместно с устройством, выступающим в роли ведущего узла или иным образом представляющим ресурс, с которым взаимодействует корпоративная вычислительная платформа, согласно некоторым примерам осуществления настоящего изобретения. Как показано на фиг. 3, устройство 300 может содержать процессор 302, запоминающее устройство 304, входные/выходные цепи 306 и схемы 308 связи. Так как это устройство связано с операциями, описанными в настоящем изобретении, указанные компоненты могут функционировать так же, как и компоненты с аналогичным названием, описанные выше в привязке к фиг. 2; а для краткости изложения дополнительное описание принципов действия этих компонентов опущено. Тем не менее, эти элементы устройства, работая совместно, придают устройству 300 функциональные возможности, необходимые для поддержки взаимодействия между данным ресурсом и корпоративной вычислительной платформой 102.
Кроме того, каждое устройство 300 может дополнительно включать в себя агент 310 компонентов, содержащий аппаратные средства, выполненные с возможностью взаимодействия со сканером 108 компонентов. Агент 310 компонентов может характеризоваться временной структурой и находиться на определенном ресурсе, обеспечивая передачу обновлений платформы на другие компоненты решения в случае обнаружения какого-либо изменения в архитектуре этого ресурса, которое выявляется сканером, и о котором сообщается модулю безопасности. Агент 310 компонентов может представлять собой легкий и малозаметный компонент, хранящийся на ресурсе. Следует иметь в виду, что в некоторых вариантах осуществления настоящего изобретения для выполнения этих функций агент 310 компонентов может представлять собой аппаратный модуль, включающий в себя отдельный процессор, особым образом сконфигурированную программируемую логическую интегральную схему типа FPGA или заказную специализированную микросхему (ASIC). Следовательно, в некоторых вариантах осуществления настоящего изобретения агент 310 компонентов реализован с использованием аппаратных компонентов устройства, сконфигурированных аппаратными средствами или программным обеспечением для выполнения этих запланированных функций; хотя следует понимать, что в некоторых вариантах осуществления настоящего изобретения агент 310 компонентов может быть сконфигурирован полностью в виде программного обеспечения, и может выполнять свои функции за счет задействования описанных выше компонентов устройства 300.
Как было указано выше, и что следует иметь в виду, исходя из представленного описания, примеры осуществления настоящего изобретения могут быть сконфигурированы в виде способов, мобильных устройств, сетевых устройств серверной части и прочих элементов подобного рода. Соответственно, в варианты осуществления настоящего изобретения могут входить различные средства, в том числе реализованные полностью аппаратными средствами или в виде различных сочетаний аппаратных средств и программного обеспечения. Более того, варианты осуществления настоящего изобретения могут быть представлены в форме программного продукта, хранящегося, по меньшей мере, на одном машиночитаемом носителе, который предназначен для долговременного хранения информации, и который содержит машиночитаемые программные команды (например, компьютерное программное обеспечение), реализованные в носителе данных. Может быть использован любой подходящий машиночитаемый носитель, в том числе жесткие диски для долговременного хранения информации, ПЗУ на компакт-дисках, флэш-ПЗУ, оптические запоминающие устройства или магнитные запоминающие устройства.
Пример архитектуры автоматизированной системы безопасности
Ознакомившись с некоторыми вариантами осуществления заявленного изобретения, предложенными в настоящем документе, которые включают в себя совокупности схем и цепей, следует понимать, что корпоративная вычислительная платформа 102 может эффективно оценивать архитектуру ресурсов совместно со стратегиями обеспечения безопасности корпоративной вычислительной платформы 102. На фиг. 4 и 5 проиллюстрированы, соответственно, высокоуровневое проектирование системы с контекстуальным проектированием компонентов и системный уровень проектирования согласно некоторым примерам осуществления настоящего изобретения.
Обратимся сначала к фиг. 4, на которой проиллюстрирована высокоуровневая система, предназначенная для оценки архитектуры ресурсов, исходя из стратегий, стандартов, базовых уровней и моделей обеспечения безопасности корпоративной вычислительной платформы 102 (хранящихся на сервере 402 стратегий). Как показано на фиг. 4, проектирование системы основывается на использовании рабочей группы TCG/TNC и архитектуры промышленного стандарта NIST (Национальный институт стандартов и технологий), а также протоколов, таких как протокол SCAP (протокол автоматизации управления данными безопасности) согласно NIST 800-117, которые предоставляют словарь для передачи данных в отношении безопасности ресурсов. Модуль 404 безопасности, который реализован на базе самообучаемого искусственного интеллекта, может быть встроен в плоскость управления решения, и может взаимодействовать с различными другими элементами корпоративной вычислительной платформы 102 через шину 406 IF-MAP. Искусственный интеллект (AI), используемый модулем 404 безопасности, в некоторых вариантах осуществления настоящего изобретения может основываться на библиотеке обучения Scikit-Learn в языке программирования Python. Это может помочь при предварительной обработке данных, классификации-идентификации данных, регрессионном прогнозировании непрерывных переменных и понижении размерности путем сокращения случайных переменных. В других вариантах осуществления настоящего изобретения для машинного обучения (ML)/AI можно использовать Oryx, так как в этом случае можно эффективно использовать их лямбда-архитектуру и настроить Н20 на кластере Hadoop с HDFS (распределенной файловой системой Hadoop) на вычислительном уровне во взаимодействии с сервисным уровнем и шиной. И, наконец, хотя это и не показано на фиг. 4, оконечное вычислительное устройство/ресурс с поддержкой SCAP может взаимодействовать с корпоративной вычислительной платформой 102 с использованием указанного выше агента 310 компонентов, обеспечивая постоянную связь с платформой и шиной 406 IF-MAP по открытому протоколу IF-MAP. Следовательно, для выявления и устранения брешей в системе безопасности можно обращаться к стратегиям, стандартам и базовым уровням обеспечения безопасности, которые хранятся на сервере 402 стратегий, с целью сокращения рисков и совершенствования предлагаемых архитектур, которые оцениваются платформой.
Хотя на фиг. 4 проиллюстрировано высокоуровневое проектирование системы, следует понимать, что контекстуальное проектирование компонентов (CCD) одного из примеров корпоративной вычислительной платформы 102 часто сегментируется по различным «зонам» с разными правами доступа и оперативными функциями. Обычно предприятие обеспечивает сегментирование и изоляцию зон архитектуры для предотвращения доступа в зону с высоким уровнем обеспечения безопасности из зоны с низким уровнем обеспечения безопасности. Варианты расположения и архитектуры этих зон могут быть оптимизированы с учетом требований, которые предъявляются к каждой конкретной архитектуре предприятия, исходя из того, где находятся ресурсы. Соответственно, модуль 104 безопасности может располагаться в «зоне уровня представления», что обеспечивает легкий доступ к внешним ресурсам и взаимодействие с ними, поддерживая тем самым оценку в режиме, близком к реальному времени, на основе корпоративных и технических требований. В альтернативном варианте модуль 104 безопасности может располагаться в более глубокой зоне архитектуры предприятия, что обеспечивает более высокую степень зашиты от внешних источников. Сканер компонентов также может располагаться в зоне представления для поддержки взаимодействия с ресурсами на уровне, отличном от уровня основных оперативных компонентов корпоративной вычислительной платформы 102, что повышает безопасность платформы 102 в целом. Агент компонентов располагается, соответственно, на ресурсах особо важной информации, взаимодействуя со сканером компонентов с тем, чтобы определять, соответствуют ли изменения текущей стратегии, моделям, стандартам и базовым уровням обеспечения безопасности корпоративной вычислительной платформы 102. Следует понимать, что модуль безопасности также содержит сервер базы данных и веб-сервер, как это показано на фиг. 4, благодаря использованию которых обеспечивается полная защита и регистрация сообщений, поступающих в модуль безопасности и исходящих из этого модуля.
На фиг. 5, в свою очередь, проиллюстрирован системный уровень проектирования модуля безопасности. Физическая инфраструктура, используемая модулем безопасности, включает в себя веб-сервер и сервер базы данных. Веб-сервер может представлять собой защищенный АРАСНЕ-сервер, а сервер базы данных может характеризоваться защищенной конструкцией, реализованной на основе подхода NoSQL. Сам модуль безопасности может быть реализован с использованием дистрибутивов SE Linux или Slackware, а в некоторых вариантах осуществления настоящего изобретения модуль безопасности может взаимодействовать с внешними источниками только через сервис RESTful API. Модуль безопасности может обмениваться данными через сервисную шину (например, виртуальную информационную шину, показанную на фиг. 5). Модуль безопасности может использовать протоколы обеспечения безопасности на основе стандартов IF-MAP, обеспечивая автоматизацию и создание отчетности в отношении обновлений при анализе ресурсов в конкретных зонах. Аналогичным образом использование протоколов SCAP и XCCDF для расширяемых контрольных списков дает возможность задания установочных параметров, оповещений, указаний для пользователей и метаданных. На модуле безопасности располагается база данных управления конфигурациями/контентом (CMDB), которая может функционировать по существу в качестве облегченного хранилища данных для технологических архитектур и содержать опорные данные о зависимостях для ресурсов, доступ к которым открывается для других компонентов по мере возникновения необходимости. Хотя протоколы SCAP и XCCDF обеспечивают возможность генерирования отчетов и автоматизации процесса анализа ресурсов, компонент машинного обучения модуля безопасности выполнен с возможностью выполнения функций, включающих в себя «интеллектуальную обработку данных», что позволяет выдавать аналитические данные и использовать AI для фактического проведения оценки. Как будет подробно описано ниже, к входным данным для компонента машинного обучения/AI может относиться ссылка на подпись, аномалия, определяемая как выброс указанной подписи, вводимые вручную данные, относящиеся к известному набору данных для обучения, такому как стратегия, стандарт и базовый уровень или технологическая модель обеспечения безопасности. Система обучается путем поиска вариантов набора входных данных или набора обучающих данных для задания базового уровня или модели обеспечения безопасности. Выходные данные определяются через машинное обучение по указанному базовому уровню. Одним из примеров может быть использование дерева решений и опорного вектора или перекрестная проверка набора обучающих данных для выявления несоответствия входной архитектуры или компонента базовому уровню, интегрированному в систему.
Примеры операций, выполняемых для сокращения рисков нарушения безопасности
Обратимся теперь к фиг. 6, на которой показана блок-схема, иллюстрирующая последовательность операций по снижению рисков нарушения безопасности с помощью автоматизированной оценки прикладных программ и реализации стратегий в области обеспечения безопасности. Как было указано выше, эти операции могут выполняться корпоративной вычислительной платформой 102 с поддержкой и/или под управлением вычислительного устройства, такого как устройство 200. В этой связи устройство 200 выступает в роли ведущего узла, на котором размещается модуль 104 безопасности и, таким образом, представляет собой устройство, реализующее функциональные возможности модуля 104 безопасности.
Для реализации стадии 602 устройство 200 содержит такие средства, как входные/выходные цепи 206, схемы 208 связи или иные элементы подобного рода, предназначенные для получения предлагаемой архитектуры с целью ее последующей оценки. Каждая полученная предлагаемая архитектура соответствует ресурсу, рассчитанному на взаимодействие с корпоративной вычислительной платформой 102. Предложенная архитектура может быть представлена в виде документа, выполненного в любом формате, который способен описать предложенную архитектуру корпоративной вычислительной платформы 102 по факту взаимодействия с ресурсом (например, этот документ может представлять собой файл Visio (.vsd), документ в формате Word (.doc), таблицу в формате Excel (.xls), презентацию в PowerPoint (ppt) или документ в ином формате подобного рода, или даже исходные данные). Полученная предлагаемая архитектура может включать в себя архитектуру высокого уровня и архитектуру на системном уровне плюс функциональные и не функциональные требования к архитектуре для интегрирования ресурса в корпоративную вычислительную платформу 102.
Для реализации стадии 604 устройство 200 содержит такие средства, как схемы 210 оценки рисков или иные элементы подобного рода, рассчитанные на проведение динамической оценки предложенной архитектуры в соответствии с внедренными стратегиями, стандартами, базовыми уровнями и/или моделями обеспечения безопасности. Эта операция может выполняться с использованием одного или более алгоритма машинного обучения, что позволяет интерпретировать предложение для оценки состояния безопасности. В некоторых вариантах осуществления настоящего изобретения эта операция может выполняться схемами 210 оценки рисков, реализующими функциональные возможности модуля 104 безопасности. В качестве алгоритмов машинного обучения могут использоваться алгоритмы контролируемого обучения, алгоритмы неконтролируемого обучения, регрессионные алгоритмы (например, прогнозы, которые могут быть сделаны на основе модели, например, задаче-ориентированные алгоритмы и алгоритмы построения дерева решений или бейесовские алгоритмы), алгоритмы поиска ассоциативных правил (ARLA) (такие как Apriori, Eclat и прочие), алгоритмы глубокого обучения или искусственных нейронных сетей (встречного распространения, RBFN).
Для реализации стадии 606 устройство 200 содержит такие средства, как схемы 210 оценки рисков или иные элементы подобного рода, определяющие, были ли выявлены в ходе динамической оценки предложенной архитектуры какие-либо бреши в системе безопасности, которые могут противоречить стратегиям, стандартам, базовым уровням или моделям обеспечения безопасности, установленным для корпоративной вычислительной платформы 102. В этой связи брешь в системе безопасности представляет собой или аспект предложенной архитектуры, в отношении которого известно, что он не соответствует стратегиям, стандартам, базовым уровням или моделям обеспечения безопасности корпоративной вычислительной платформы 102, или аспект предложенной архитектуры, в отношении которого модуль 104 безопасности (реализованный схемами 210 оценки рисков) не в состоянии определить статус соответствия. В случае выявления одной или более бреши в системе безопасности предложенный способ предусматривает переход к стадии 608. Однако в случае отсутствия выявленных брешей в системе безопасности предложенный способ предусматривает переход непосредственно к стадии 616 для генерирования отчета по предложенной архитектуре.
Для реализации стадии 608 устройство 200 содержит такие средства, как схемы 210 оценки рисков или иные элементы подобного рода, определяющие по каждой выявленной бреши в системе безопасности, известно ли, что этот аспект отклоняется от соответствия, или в отношении которого модуль 104 безопасности не в состоянии определить статус соответствия. Если известно, что данный конкретный аспект отклоняется от соответствия, предложенный способ предусматривает переход к стадии 610 для идентификации возможных изменений, которые могли бы устранить эту брешь в системе безопасности. Если статус соответствия какого-либо аспекта не может быть определен, предложенный способ предусматривает переход к стадии 612, запрашивая возврат к ручным операциям.
Для реализации следующей стадии 610 устройство 200 содержит такие средства, как схемы 210 оценки рисков или иные элементы подобного рода для идентификации изменений в предложенной архитектуре, которые могли бы устранить брешь в системе безопасности. В этой связи, когда модуль 104 безопасности в состоянии обнаружить аспект, отклоняющийся от соответствия, возможность такой идентификации обусловлена способностью модуля 104 безопасности установить конкретную часть стратегии, стандарта, базового уровня или модели обеспечения безопасности, которая была нарушена. Соответственно, идентификация изменений в предложенной архитектуре, которые могли бы устранить брешь в системе безопасности, в некоторых вариантах осуществления настоящего изобретение может предполагать обращение к нарушенной стратегии, стандарту, базовому уровню или модели обеспечения безопасности и определение характера нарушения, а следовательно и способа, которым это нарушение может быть скорректировано. В этой связи несоответствие аспекта безопасности может быть установлено по входным данным (например, по набору обучающих данных), используемым для генерирования стратегий, стандартов, базовых уровней и моделей обеспечения безопасности предприятия, или аномалии, комплекта подписей и данных в отношении базового уровня, которые определяют нормальные или разрешенные варианты архитектуры для предприятия. Таким образом, эта операция может выполняться в режиме реального времени или в режиме, близком к реальному времени, а не в режиме пакетной или отсроченной обработки данных, как того требует реализация аналогичной опции в ручном режиме.
Однако, как было указано выше, модуль 104 безопасности не всегда может диагностировать каждую выявленную брешь в системе безопасности. В таких случаях, когда диагностика невозможна, предложенный способ предусматривает переход от стадии 608 к стадии 612. Для реализации стадии 612 устройство 200 содержит такие средства, как входные/выходные цепи 206, схемы 208 связи или иные элементы подобного рода для возврата к ручным операциям в отношении изменений в предложенной архитектуре, которые могли бы устранить невыявленные бреши в системе безопасности. Возврат к ручным операциям может включать в себя отправку запроса на ручное вмешательство, за которым следует получение ответа на этот запрос от пользователя. Такая передача данных может осуществляться через входные/выходные цепи 206 устройства 200 или через схемы 208 связи, если пользователь отвечает с отдельного терминала. Один из аспектов системы машинного обучения, который обеспечивает положительный эффект от этой операции, заключается в том, что обнаружение пользователем каждой из брешей в системе безопасности, не выявленных иным образом, само по себе предусматривает ввод данных для обучения, которые могут быть впоследствии использованы модулем 104 безопасности для диагностирования аналогичных аспектов предложенной архитектуры. Таким образом, хотя сразу после ввода в действие модуля 104 безопасности может часто требоваться ручное вмешательство, со временем оно будет становиться все менее и менее востребованными по мере того, как компоненты машинного обучения будут генерировать все более массивные наборы данных для обучения, которые могут извлекаться для диагностирования всех аспектов предлагаемых впоследствии архитектур.
Для реализации стадии 614 устройство 200 содержит такие средства, как процессор 202, запоминающее устройство 204, схемы 210 оценки рисков или иные элементы подобного рода, определяющие, были ли выявлены какие-либо дополнительные бреши в системе безопасности. Если да, то предложенный способ предусматривает возврат к стадии 608 для обработки оставшихся выявленных брешей в системе безопасности. Если нет, то предложенный способ предусматривает переход к стадии 616 для генерирования отчета по предложенной архитектуре.
И, наконец, для реализации стадии 616 устройство 200 содержит такие средства, как схемы 208 связи или иные элементы подобного рода для генерирования отчета по предложенной архитектуре. В этой связи отчет может быть представлен в виде документа, описывающего каждую брешь в системе безопасности, выявленную при оценке предложенной архитектуры, и определяющего, какие изменения в предложенной архитектуре могут оказаться необходимыми для устранения этих брешей в системе безопасности.
В некоторых вариантах осуществления настоящего изобретения отчет может быть представлен в виде не одного единственного документа, а в виде ряда документов (например, по одному на каждую выявленную брешь в системе безопасности). А в некоторых других вариантах осуществления настоящего изобретения отчет может быть представлен в виде потока данных, а не документа; причем указанный поток данных может последовательно передавать информацию, описывающую выявленные бреши в системе безопасности, или в пакетном режиме, или в режиме, близком к реальному времени, по мере их выявления устройством. В таких вариантах осуществления настоящего изобретения поток данных может доставляться на принимающий компонент (например, модуль 104 безопасности может последовательно передавать эти изменения на сканер 108 компонентов), откуда разработчик может анализировать бреши в системе безопасности, поддерживая процесс итеративного устранения любых брешей в системе безопасности, выявленных при оценке предложенной архитектуры. За счет такой поддержки автоматизированной идентификации брешей в системе безопасности примеры осуществления настоящего изобретения оказываются пригодными для применения в организациях, в которых используется технология безопасности Agile или DevOps (известная также как DevOpsSec), что выдвигает на первый план итерационное улучшение и автоматизацию.
Используя технологии Agile и DevOpsSec, разработчики могут совместно находить решения, работая небольшими группами (например, на ежедневных планерках) и за короткое время, одновременно обеспечивая высокое качество выдаваемой проектно-технической документации. Технология DevOpsSec позволяет разработчикам, специалистам по защите информации, инженерам сетевых систем, инженерам по облачной инфраструктуре и прочим специалистам работать совместно в многопрофильной группе, находя безопасные решения в области развития конвейера. Архитектура DevOpsSec/Agile часто носит гибкий характер, но обычно она содержат среду, которую используют разработчики (в данном случае облачный сервис для публичного пользования), а также методологии контроля и/или управления рисками, такие как указаны выше в отношении идентификации брешей в системе обеспечения безопасности. Более того, архитектура DevOpsSec или Agile может использовать инструментальные средства развития конвейера и автоматизации, такие как, например, инструмент под названием Terraform, который обеспечивает автоматизацию на основе сценариев и многоуровневый доступ. В этой связи технологии DevOpsSec дают разработчику возможность использования потенциала, которым располагает модель самообслуживания, в зависимости от роли и уровня доступа к каждому конкретному уровню.
В частности, за счет обеспечения автоматизированной идентификации брешей в защите примеры осуществления заявленного изобретения, описанные в настоящем документе, встраиваются в систему безопасности в пределах определенных четко заданных границ, обеспечивая возможность реализации этого самообслуживания и автоматизации, что сокращает срок внедрения технологий Agile и DevOps, одновременно также сводя к минимуму бреши в системе обеспечения безопасности, тем самым способствуя совершенствованию архитектуры в ходе воспроизводимого процесса. Иначе говоря, генерирование отчета в виде потока данных на стадии 616 облегчает достижение целей технологий Agile и DevOpsSec, приближая еще на один шаг полное исключение человеческого вмешательства из процесса идентификации ошибок или пробелов во время и после выполнения процессов разработки.
Более того, использование примеров осуществления настоящего изобретения в архитектуре Agile или DevOpsSec также задействует способности к машинному обучению/глубокому обучению, описанные в настоящем документе, путем выявления и извлечения из среды дополнительной информации, которая может быть использована схемами 210 оценки рисков для обучения базового уровня процессам оценки рисков. В частности, поскольку архитектура DevOpsSec/Agile обычно содержит среду, которую используют разработчики (в качестве которой может выступать облачный сервис для публичного пользования), такая архитектура может разблокировать для схем 210 оценки рисков доступ к более широкому диапазону входных данных и переменных, имеющихся у провайдеров облачных сервисов (например, облачных платформ Amazon или Microsoft), что наполняет массив данных, по которым осуществляется машинное обучение, и что, соответственно, может способствовать более точной оценке рисков базовым уровнем.
В случае отсутствия каких-либо выявленных брешей в системе обеспечения безопасности в отчете может быть указано, что предложенная архитектура была проверена; и в таком случае по завершении этого процесса предложенная архитектура и ее соответствующий ресурс/ресурсы могут быть определены как соответствующие нормам и не требующее каких-либо исправлений, что позволяет интегрировать это решение в архитектуру предприятия с непрерывным мониторингом.
Если предложенная архитектура отображает изменение в ранее проверенном ресурсе, то устройство 200 может инициировать передачу отчета на агент 310 компонентов, находящийся на измененном ресурсе. Как было указано выше, если изменения в предложенной архитектуре, необходимые для устранения бреши в системе обеспечения безопасности, последовательно передаются на сканер 108 компонентов, сканер 108 компонентов сам может упорядочивать эти изменения для отчета, который доставляется на агент 310 компонентов; или же он может передавать изменения в последовательном порядке на агент 310 компонентов, находящийся на ресурсе, с которым соотносится предложенная архитектура.
Обратимся теперь к фиг. 7, на которой представлена блок-схема, иллюстрирующая последовательность операций по недопущению создания новых брешей в системе безопасности уже оцененными ресурсами с изменениями. Эти операции могут выполняться корпоративной вычислительной платформой 102, которая может содержать, например, устройство 200. В некоторых вариантах осуществления настоящего изобретения в устройстве 200 реализован модуль 104 безопасности, а также дополнительно реализован сканер 108 компонентов. В этом случае, несмотря на то, что в одном и том же устройстве 200 реализован как модуль 104 безопасности, так и сканер 108 компонентов, следует понимать, что эти два компонента могут представлять собой четко различимые функциональные элементы, приводящиеся в исполнение устройством, а не являться частью одной прикладной программы. Однако следует понимать, что в некоторых других вариантах осуществления настоящего изобретения в устройстве 200 реализован модуль 104 безопасности, но не реализован сканер 108 компонентов, а указанное устройство функционально сообщается с отдельным устройством, в котором реализован сканер 108 компонентов. В любом варианте осуществления настоящего изобретения сканер 108 компонентов, в свою очередь, сообщается с агентом 310 компонентов, находящемся на ресурсе.
Для реализации стадии 702 устройство 200 может содержать такие средств, как схемы 208 связи, схемы 210 оценки рисков или иные элементы подобного рода для инициирования передачи сканером компонентов одного или более сообщения об идентификации изменений на агент компонентов, который находится на ресурсе. В случае, когда в устройстве 200 реализован как сканер компонентов, так и модуль безопасности, эта стадия может предусматривать передачу сообщения об идентификации изменения на агент компонентов напрямую. Разумеется, в случае, если само устройство 200 не содержит сканер компонентов, эта стадия может предусматривать передачу сообщения на сканер компонентов, давая ему команду на передачу сообщения об идентификации изменения на агент компонентов.
Для реализации стадии 704 устройство 200 может содержать такие средств, как процессор 202, схемы 208 связи, схемы 210 оценки рисков или иные элементы подобного рода для получения информации об архитектуре ресурса от агента компонентов. Как и при реализации стадии 702, описанной выше, конкретные операции, выполняемые на стадии 704, могут быть разными в зависимости от того, реализован ли в самом устройстве 200 сканер компонентов или нет.
В случае, если в устройстве 200 реализован как сканер компонентов, так и модуль безопасности, стадия 704 предусматривает получение сообщения от агента компонентов, описывающее архитектуру ресурса, а также предусматривает оценку архитектуры ресурса для выявления изменений в этой архитектуре в сравнении с ее версией, оцененной ранее модулем безопасности.
В альтернативном варианте, когда в самом устройстве 200 не реализован сканер компонентов, сканер компонентов может получить сообщение с описанием архитектуры от агента компонентов и идентифицировать любые изменения в архитектуре ресурса в сравнении с версией этой архитектуры, оцененной ранее. В этом случае на стадии 704 устройство 200 может просто получить от сканера компонентов информацию о том, не изменилась ли архитектура ресурсов в сравнении с версией этой архитектуры, оцененной ранее модулем безопасности.
Как показано в блоке, иллюстрирующим стадию 706, в случае выявления изменения в архитектуре ресурса, описываемый способ предусматривает переход к стадии 602 для начала новой оценки измененной архитектуры с тем, чтобы убедиться в отсутствии каких-либо брешей в системе обеспечения безопасности, обусловленных этим изменением. В альтернативном варианте, когда в архитектуре ресурса изменений не выявлено, никаких последующих действий не требуется, и процедура может быть завершена.
Примеры оценки новых или измененных ресурсов
Описанные ниже сценарии иллюстрируют примеры операций, которые могут выполняться при намерении пользователя интегрировать новый ресурс в корпоративную вычислительную платформу 102. В последующих примерах ресурс содержит новый программный модуль, который обеспечивает обмен данными PHI, PII или PCI между корпоративной вычислительной платформой 102 и мобильным устройством пользователя (например, элементами 110, 112 или 114, показанными на фиг. 1). В отношении первых двух примеров предполагается, что стратегия обеспечения безопасности корпоративной вычислительной платформы 102 включает в себя запрет на нешифрованную передачу данных PHI, PII или PCI.
В первом примере предложенная архитектура, включающая новый ресурс, поддерживает нешифрованный обмен данными PCI между корпоративной вычислительной платформой 102 и мобильным устройством пользователя. На стадии 602 пользователь генерирует и передает предложенную архитектуру, включающую ресурс, для ее последующей оценки корпоративной вычислительной платформой 102. На стадии 604 модуль безопасности проводит динамическую оценку предложенной архитектуры в соответствии с внедренными стратегиями, стандартами, базовыми уровнями и моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы 102. На стадии 606 корпоративная вычислительная платформа 102 идентифицирует брешь в системе обеспечения безопасности, которая состоит в том, что предложенная архитектура поддерживает нешифрованную передачу данных PCI. Соответственно, далее описываемый способ предусматривает переход к стадии 608, на которой определяется, известна ли эта брешь в системе обеспечения безопасности. Если да, то осуществляется переход к стадии 610, на которой определяется, какие изменения могут устранить эту брешь в системе обеспечения безопасности. На стадии 610 корпоративная вычислительная платформа 102 устанавливает, что устранить проблему и обеспечить возможность использования ресурса корпоративной вычислительной платформой 102 могло бы изменение в предложенной архитектуре, требующее шифрованной передачи данных. Поскольку эта брешь в системе обеспечения безопасности является единственной, выявленной в этом примере, то осуществляется переход от стадии 614 к стадии 616, на которой генерируется отчет для пользователя, указывающий на то, что для ресурса, используемого с корпоративной вычислительной платформой 102, передача данных PCI должна быть шифрованной.
Во втором примере предложенная архитектура, включающая новый ресурс, поддерживает нешифрованный обмен этими данными между корпоративной вычислительной платформой 102 и мобильным устройством пользователя. В данном случае, как и в первом примере, на стадии 602 пользователь генерирует и передает предложенную архитектуру, включающую этот ресурс, для ее последующей оценки корпоративной вычислительной платформой 102. На стадии 604, также как и в первом примере, модуль безопасности проводит динамическую оценку предложенной архитектуры в соответствии с внедренными стратегиями, стандартами, базовыми уровнями и моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы 102. Однако на стадии 606 корпоративная вычислительная платформа 102 не идентифицирует брешь в системе обеспечения безопасности: поскольку в этом примере предложенная архитектура использует шифрованную передачу данных PCI, проблем с предложением не возникает. Соответственно, далее осуществляется переход непосредственно к стадии 616, на которой генерируется отчет для пользователя, указывающий на то, что ресурс проверен и может быть использован с корпоративной вычислительной платформой 102.
В третьем примере предложенная архитектура, включающая ресурс, поддерживает шифрованный обмен данными PCI между корпоративной вычислительной платформой 102 и мобильным устройством пользователя, но использует такой тип шифрования, который не может быть идентифицирован в стратегиях, стандартах, базовых уровнях или моделях обеспечения безопасности, установленных для корпоративной вычислительной платформы 102. Как и в первых двух примерах на стадии 602 пользователь генерирует и передает предложенную архитектуру, включающую этот ресурс, для ее последующей оценки корпоративной вычислительной платформой 102. На стадии 604 модуль безопасности проводит динамическую оценку предложенной архитектуры в соответствии с внедренными стратегиями, стандартами, базовыми уровнями и моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы 102. На стадии 606 корпоративная вычислительная платформа 102 идентифицирует брешь в системе обеспечения безопасности, которая состоит в том, что предложенная архитектура поддерживает шифрованную передачу данных PCI, но протокол шифрования неопознан. Соответственно, осуществляется переход к стадии 608, на которой определяется, известна ли эта брешь в системе обеспечения безопасности. Поскольку протокол шифрования неопознан, эта брешь оказывается неизвестной, и осуществляется переход к стадии 612 для возврата к ручным операциям. На стадии 612 с помощью ручного вмешательства можно определить одно из двух: или протокол шифрования хорошо защищен (и в этом случае брешь в системе обеспечения безопасности отсутствует); или протокол шифрования защищен недостаточно хорошо, и предложенная архитектура все-таки содержит брешь.
Таким образом, в последнем случае ручное вмешательство может, как подтвердить факт наличия бреши в системе обеспечения безопасности, так и идентифицировать изменения в архитектуре, которые могли бы устранить эту брешь (предложение альтернативной схемы шифрования). Вне зависимости от того, подтверждено ли при ручном вмешательстве наличие бреши в системе обеспечения безопасности или нет, эта брешь будет единственной, выявленной в этом примере; и, соответственно, далее будет осуществлен переход от стадии 614 к стадии 616, на которой генерируется отчет для пользователя. При отсутствии выявленных брешей в системе обеспечения безопасности отчет подтверждает пригодность ресурса для использования с корпоративной вычислительной платформой 102. Однако при наличии бреши в системе обеспечения безопасности в отчете указывается изменение, которое должно быть внесено в схему шифрования, чтобы обеспечить возможность использования передачи данных PCI в рамках корпоративной вычислительной платформы 102. В любом случае ручное вмешательство представляет еще одну точку данных для обучения, которая затем усваивается модулем 104 безопасности для использования во время динамической оценки предлагаемых в дальнейшем архитектур.
И, наконец, в четвертом примере ресурс был проверен на соответствие ранее, когда он поддерживал шифрованную передачу конфиденциальных данных между корпоративной вычислительной платформой 102 и мобильным устройством пользователя, но изменение в архитектуре ресурса могло обеспечить возможность нешифрованной передачи некоторых типов данных PCI. В качестве первого шага, когда ресурс проверен и связан с корпоративной вычислительной платформой 102, примеры осуществления заявленного изобретения, раскрытые в настоящем документе, могут устанавливать в качестве обязательного условия, чтобы ресурс, если он используется, был снабжен агентом 310 компонентов для поддержки взаимодействия между этим ресурсом и сканером 108 компонентов, располагающимся в корпоративной вычислительной платформе 108 и сообщающимся с модулем 104 безопасности. Соответственно, может выполняться следующий порядок действий. Сначала на стадии 702 сканер 108 компонентов передает сообщение об идентификации изменений на агент 310 компонентов, находящийся на ресурсе. В ответ агент 310 компонентов передает информацию об архитектуре этого ресурса. На стадии 706 сканер 108 компонентов сравнивает эту текущую архитектуру с архитектурой ресурса, которая была проверена ранее, и определяет наличие изменения. Соответственно, далее осуществляется переход к стадии 602, на которой сканер 108 компонентов передает измененную архитектуру в модуль 104 безопасности на анализ.
Следующим шагом на стадии 604 модуль безопасности проводит динамическую оценку измененной архитектуры в соответствии с внедренными стратегиями, стандартами, базовыми уровням или моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы 102. На стадии 606 корпоративная вычислительная платформа 102 идентифицирует брешь в системе обеспечения безопасности, которая состоит в том, что измененная архитектура может способствовать нешифрованной передачи данных PCI. Соответственно, далее осуществляется переход к стадии 608, на которой определяется, известна ли эта брешь. Если да, то описываемый способ предусматривает переход к стадии 610 для определения изменений, которые могли бы устранить эту брешь в системе обеспечения безопасности. На стадии 610 корпоративная вычислительная платформа 102 определяет, что устранить проблему и позволить корпоративной вычислительной платформе 102 и далее использовать этот ресурс могло бы дополнительное изменение в измененной архитектуре, требующее шифрованной передачи данных PCI. Поскольку в этом примере такая брешь является единственной брешью в системе обеспечения безопасности, далее осуществляется переход от стадии 614 к стадии 616, на которой генерируется отчет для пользователя, указывающий на необходимость шифрования передачи данных PCI, чтобы ресурс мог и дальше использоваться корпоративной вычислительной платформой 102.
Как было указано выше, примеры осуществления настоящего изобретения обеспечивают повышенную безопасность корпоративной вычислительной платформы. За счет внедрения системы анализа безопасности с элементами искусственного интеллекта примеры осуществления настоящего изобретения ускоряют процесс идентификации брешей в системе обеспечения безопасности, одновременно улучшая согласованность анализа безопасности и способствуя устранению выявленных брешей в системе обеспечения безопасности, как в отношении новых ресурсов, которые могут быть использованы корпоративной вычислительной платформой, так и существующих ресурсов, которые изменяются с течением времени.
На фиг. 6 и 7 показаны блок-схемы, иллюстрирующие реализацию устройства, способа и программного продукта согласно примерам осуществления настоящего изобретения. Следует понимать, что каждый блок, представленный на указанных схемах, и сочетания блоков на этих схемах могут быть реализованы различными средствами, например, аппаратными средствами, программно-аппаратными средствами, процессором, совокупностью схем и/или иными устройствами, связанными с работой программного обеспечения, включающего в себя одну или несколько команд компьютерной программы. Например, командами компьютерной программы может быть реализована одна или более процедура из числа процедур, описанных выше. В этой связи команды компьютерной программы, которые реализуют описанные выше процедуры, могут храниться в памяти устройства, использующего какой-либо вариант осуществления настоящего изобретения, и исполняться процессором этого устройства. Следует иметь в виду, что любые такие команды компьютерной программы могут быть загружены в компьютер или иное программируемое устройство (например, аппаратные средства) для формирования вычислительной машины, в результате чего полученный компьютер или иное программируемое устройство может реализовывать функции, обозначенные в блоках указанных схем. Эти команды компьютерной программы могут также храниться в машиночитаемом носителе данных, который приказывает компьютеру или иному программируемому устройству функционировать определенным образом с тем, чтобы команды, хранящиеся на машиночитаемом носителе, формировали готовый продукт, исполнение которого реализует функции, обозначенные в блоках указанных схем. Команды компьютерной программы могут быть также загружены в компьютер или иное программируемое устройство для того, чтобы ряд операций, выполняемых на компьютере или ином программируемом устройстве, сформировал компьютеризированный процесс, в ходе которого команды, исполняемые на компьютере или ином программируемом устройстве, обеспечивали бы выполнение операций по реализации функций, обозначенных в блоках указанных схем.
Соответственно, блоки, представленные на блок-схемах, поддерживают сочетания средств, обеспечивающих выполнение заданных функций, а также комбинации операций, обеспечивающих выполнение заданных функций. Следует понимать, что один или более блок на указанных схемах и сочетания блоков на указанных схемах могут быть реализованы с помощью специализированных вычислительных систем на базе аппаратных средств, которые заранее формируют заданные функции, или с помощью определенных сочетаний специализированных аппаратных средств и машинных команд.
В некоторых вариантах осуществления настоящего изобретения некоторые из операций, описанных выше, могут быть модифицированы или дополнительно расширены. Более того, в некоторых вариантах осуществления настоящего изобретения могут быть предусмотрены дополнительные необязательные операции. Операции, описанные выше, могут модифицироваться, расширяться или дополняться в любом порядке и в любом сочетании.
Как было указано выше, некоторые примеры осуществления настоящего изобретения относятся к усовершенствованным устройствам, способам и машиночитаемым носителям данных, предназначенным для улучшения технических характеристик, возможностей и эффективности традиционных вычислительных устройств. За счет использования эвристического подхода на основе данных, описанного выше, варианты осуществления заявленного изобретения, раскрытые в настоящем документе, позволяет в ходе выполнения операций по выборке данных игнорировать части лабораторных отчетов, содержащих нерелевантную информацию. Таким образом, варианты осуществления заявленного изобретения, раскрытые в настоящем документе, обеспечивают улучшение КПД (коэффициента полезного действия), увеличивая скорость выборки данных, а также способствуют генерированию большего количества обновленных наборов структурированных данных для последующего вероятностного использования (помимо прочего).
После ознакомления с идеями, представленными в предшествующем описании и на прилагаемых чертежах, специалистам в данной области техники, к которым относится настоящее изобретение, станут очевидными многие модификации и другие варианты осуществления настоящего изобретения, указанные в этом документе. Следовательно, необходимо иметь в виду, что варианты осуществления заявленного изобретения не ограничены конкретными своими вариантами, раскрытыми в настоящем документе, и что в объем прилагаемой формулы могут входить их модификации и другие варианты осуществления. Более того, хотя в предшествующем описании и на сопутствующих чертежах варианты осуществления настоящего изобретения раскрыты на определенных примерах комбинаций элементов и/или функций, следует иметь в виду, что в альтернативных вариантах осуществления заявленного изобретения могут быть предусмотрены разные сочетания элементов и/или функций без отступления от объема прилагаемой формулы. В этой связи, например, также предполагаются сочетания элементов и/или функций, отличные от тех, которые подробно описаны выше, что указано в некоторых пунктах прилагаемой формулы. Хотя в настоящем документе использованы специальные термины, эти термины употреблены в широком смысле, и они носят исключительно описательный, а не ограничительный характер.
название | год | авторы | номер документа |
---|---|---|---|
СПОСОБ ОЦЕНКИ ПОТРЕБЛЕНИЯ МОЩНОСТИ | 2010 |
|
RU2636848C2 |
Автоматизированная оценка безопасности критически важных для бизнеса компьютерных систем и ресурсов | 2011 |
|
RU2657170C2 |
Платформа для построения систем управления, передачи и обработки данных в вычислительных сетях | 2021 |
|
RU2771431C1 |
Система контроля политики безопасности элементов корпоративной сети связи | 2023 |
|
RU2813469C1 |
Способ корректировки параметров модели машинного обучения для определения ложных срабатываний и инцидентов информационной безопасности | 2020 |
|
RU2763115C1 |
Способ обработки событий информационной безопасности перед передачей на анализ | 2020 |
|
RU2762528C1 |
Система и способ приоритизации установки патчей на компьютеры в сети | 2023 |
|
RU2813483C1 |
ВЫЯВЛЕНИЕ ФАКТОРОВ УЯЗВИМОСТИ БЕЗОПАСНОСТИ В ПРОГРАММНЫХ ИНТЕРФЕЙСАХ ПРИЛОЖЕНИЯ | 2017 |
|
RU2755675C2 |
Система и способ активного обнаружения вредоносных сетевых ресурсов | 2021 |
|
RU2769075C1 |
Виртуальный рынок для распределяемых инструментальных средств в среде предприятия | 2017 |
|
RU2745340C2 |
Изобретение относится к способу и устройствам для оценки архитектуры ресурсов и обеспечения безопасности корпоративной вычислительной платформы. Технический результат заключается в автоматизации оценки архитектуры ресурсов корпоративной вычислительной платформы. Устройство содержит средства, обеспечивающие инициацию передачи сообщения об идентификации изменений в ресурсах корпоративной вычислительной платформы на агент компонентов, получение информации об изменениях в текущей архитектуре ресурса, генерирование архитектуры ресурса для оценки, причем предложенная архитектура обозначает структуру, включающую в себя корпоративную вычислительную платформу и модифицированную версию архитектуры ресурса, основанную на изменениях в текущей архитектуре ресурсов корпоративной вычислительной платформы, динамическую оценку архитектуры с использованием алгоритма машинного обучения, определение изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности, генерирование отчета по предложенной архитектуре и инициацию передачи отчета по предложенной архитектуре на агент компонентов, находящийся на ресурсе. 3 н. и 12 з.п. ф-лы, 7 ил.
1. Способ оценки архитектуры ресурсов и обеспечения безопасности корпоративной вычислительной платформы, выполняемый с помощью или под управлением вычислительного устройства, причем способ содержит:
инициирование передачи сканером компонентов одного или более сообщения об идентификации изменений в ресурсах корпоративной вычислительной платформы на агент компонентов, находящийся на ресурсе, который был проверен ранее модулем безопасности;
получение информации об изменениях в текущей архитектуре ресурса корпоративной вычислительной платформы;
генерирование предложенной архитектуры ресурса корпоративной вычислительной платформы для оценки, причем предложенная архитектура для оценки обозначает структуру, включающую в себя как корпоративную вычислительную платформу, так и модифицированную версию архитектуры ресурса, основанную на изменениях в текущей архитектуре ресурсов корпоративной вычислительной платформы;
динамическая оценка предложенной архитектуры с помощью схем оценки рисков в режиме, близком к реальному времени, с использованием одного или более алгоритма машинного обучения в соответствии с внедренными стратегиями, стандартами, базовыми уровнями или моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы;
определение с помощью схем оценки рисков изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности в случае, если такие бреши были выявлены в ходе динамической оценки предложенной архитектуры;
генерирование отчета по предложенной архитектуре, причем этот отчет идентифицирует любые изменения в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности; и
инициирование сканером компонентов передачи отчета по предложенной архитектуре на агент компонентов, находящийся на ресурсе.
2. Способ по п. 1, в котором получение информации об изменениях в архитектуре ресурса включает в себя:
получение информации об архитектуре ресурса; и
сравнение архитектуры ресурса с версией архитектуры этого ресурса, оцененной ранее модулем безопасности.
3. Способ по п. 1, дополнительно включающий в себя:
обучение одного или более алгоритма машинного обучения с целью разработки одного или более базового уровня или модели обеспечения безопасности для корпоративной вычислительной платформы.
4. Способ по п. 3, в котором динамическая оценка предложенной архитектуры включает в себя:
определение схемами оценки рисков, с использованием одного или более алгоритма машинного обучения, не противоречит ли какой-либо аспект предложенной архитектуры базовым уровням или моделям обеспечения безопасности, разработанным для корпоративной вычислительной платформы.
5. Способ по п. 1, в котором определение изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности, включает в себя:
возврат к ручному вмешательству для идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности; или
идентификацию изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности с использованием, по меньшей мере, одной внедренной стратегии, стандарта, базового условия или модели обеспечения безопасности, установленной для корпоративной вычислительной платформы.
6. Устройство для оценки архитектуры и обеспечения безопасности в пределах корпоративной вычислительной платформы, причем это устройство содержит, по меньшей мере, один процессор и, по меньшей мере, одно запоминающее устройство, в котором хранятся машиноисполняемые команды, которые - при их исполнении, по меньшей мере, одним процессором - понуждают устройство к выполнению таких операций, как:
инициирование передачи одного или более сообщения об идентификации изменений в ресурсах корпоративной вычислительной платформы на агент компонентов, находящийся на ресурсе, который был проверен ранее модулем безопасности;
получение информации об изменениях в текущей архитектуре ресурса корпоративной вычислительной платформы;
генерирование предложенной архитектуры ресурса корпоративной вычислительной платформы для оценки, причем предложенная архитектура для оценки обозначает структуру, включающую в себя корпоративную вычислительную платформу и модифицированную версию архитектуры ресурса, основанную на изменениях в текущей архитектуре ресурсов корпоративной вычислительной платформы;
динамическая оценка предложенной архитектуры в режиме, близком к реальному времени, с использованием одного или более алгоритма машинного обучения в соответствии с внедренными стратегиями, стандартами, базовыми уровнями или моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы;
определение изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности в случае, если такие бреши были выявлены в ходе динамической оценки предложенной архитектуры;
генерирование отчета по предложенной архитектуре, причем этот отчет идентифицирует любые изменения в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности; и
инициирование передачи отчета по предложенной архитектуре на агент компонентов, находящийся на ресурсе.
7. Устройство по п. 6, в котором машиноисполняемые команды при их исполнении, по меньшей мере, одним процессором инициируют получение устройством информации об изменениях в архитектуре, побуждая устройство к выполнению:
получения информации об архитектуре ресурса; и
сравнения архитектуры ресурса с версией архитектуры этого ресурса, оцененной ранее модулем безопасности.
8. Устройство по п. 6, в котором машиноисполняемые команды при их исполнении, по меньшей мере, одним процессором дополнительно побуждают устройство к выполнению:
обучения одного или более алгоритма машинного обучения с целью разработки одного или более базового уровня или модели обеспечения безопасности для корпоративной вычислительной платформы.
9. Устройство по п. 8, в котором машиноисполняемые команды при их исполнении, по меньшей мере, одним процессором побуждают устройство к проведению динамической оценки предложенной архитектуры, инициируя выполнение устройством:
определения с использованием одного или более алгоритма машинного обучения, не противоречит ли какой-либо аспект предложенной архитектуры базовым уровням или моделям обеспечения безопасности, разработанным для корпоративной вычислительной платформы.
10. Устройство по п. 6, в котором машиноисполняемые команды при их исполнении, по меньшей мере, одним процессором понуждают устройство идентифицировать изменения в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности, инициируя выполнение устройством операций:
возврата к ручному вмешательству для идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности; или
идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности с использованием, по меньшей мере, одной внедренной стратегии, стандарта, базового условия или модели обеспечения безопасности, установленной для корпоративной вычислительной платформы.
11. Устройство для оценки архитектуры и обеспечения безопасности в пределах корпоративной вычислительной платформы, причем это устройство содержит:
средства для инициации передачи одного или более сообщения об идентификации изменений в ресурсах корпоративной вычислительной платформы на агент компонентов, находящийся на ресурсе, который ранее был оценен модулем безопасности;
средства получения информации об изменениях в текущей архитектуре ресурса корпоративной вычислительной платформы;
средства генерирования предложенной архитектуры ресурса корпоративной вычислительной платформы для оценки, причем предложенная архитектура для оценки обозначает структуру, включающую в себя корпоративную вычислительную платформу и модифицированную версию архитектуры ресурса, основанную на изменениях в текущей архитектуре ресурсов корпоративной вычислительной платформы;
средства динамической оценки предложенной архитектуры в режиме, близком к реальному времени, с использованием одного или более алгоритма машинного обучения в соответствии с внедренными стратегиями, стандартами, базовыми уровнями или моделями обеспечения безопасности, установленными для корпоративной вычислительной платформы;
средства определения изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности в случае, если такие бреши были выявлены в ходе динамической оценки предложенной архитектуры;
средства генерирования отчета по предложенной архитектуре, причем этот отчет идентифицирует любые изменения в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе обеспечения безопасности; и
средства для инициации передачи отчета по предложенной архитектуре на агент компонентов, находящийся на ресурсе.
12. Устройство по п. 11, в котором средства получения информации об изменениях в архитектуре, причем эти средства включают в себя:
средства получения информации об архитектуре ресурса; и
средства сравнения архитектуры ресурса с версией архитектуры ресурса, оцененной ранее модулем безопасности.
13. Устройство по п. 11, дополнительно содержащее:
средства обучения одного или более алгоритма машинного обучения с целью разработки одного или более базового уровня или модели обеспечения безопасности для корпоративной вычислительной платформы.
14. Устройство по п. 13, в котором средства динамической оценки предложенной архитектуры включают в себя:
средства оценки с использованием одного или более алгоритма машинного обучения, проводимой для того, чтобы определить, не противоречит ли какой-либо аспект предложенной архитектуры базовым уровням или моделям обеспечения безопасности, разработанным для корпоративной вычислительной платформы.
15. Устройство по п. 11, в котором средства для определения изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности, включают в себя:
средства возврата к ручным операциям для идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности; или
средства идентификации изменений в предложенной архитектуре, которые могли бы устранить выявленные бреши в системе безопасности с использованием, по меньшей мере, одной внедренной стратегии, стандарта, базового условия или модели обеспечения безопасности, установленной для корпоративной вычислительной платформы.
Авторы
Даты
2020-02-05—Публикация
2017-05-15—Подача