用于调查和减轻因凭证获取而引起的漏洞的策略的制作方法

专利名称：用于调查和减轻因凭证获取而引起的漏洞的策略的制作方法
用于调査和减轻因凭证获取而引起的漏洞的策略
韭旦 冃眾
组织通常将大量资源用于改进其数据处理系统的安全性。在常见且普 遍研究的基于代码的方法中，组织可以尝试标识其数据处理系统中所使用 的代码中的弱点。组织可以通过设计克服所察觉的弱点的代码补丁来尝试 补救该问题。
然而，如本发明人理解的，组织的安全性不仅取决于其基于代码的漏 洞。 一旦恶意实体获得对数据处理系统的访问(通过合法或非法手段)， 则该实体有时可以用其它方式行使合法权限来获得对数据处理系统的另外 的部分的控制并在数据处理系统内造成损害。对这一类型的问题的补救不 一定是通过重新设计代码来进行的，因为合法权限的误用可能不反映代码 本身的缺点。
概述
描述了用于分析和减轻组织的数据处理环境中的漏洞的策略。这些漏 洞部分地是由于该组织中的一个或多个管理员所拥有的合法访问权限的非 法利用而产生的。
在一个示例性实现中，该策略收集反映数据处理环境中的用户所展示 的实际登录行为的"访问数据"。该策略还收集反映数据处理环境中的一 个或多个管理员所拥有的权限的"权限数据"。基于访问数据和权限数据， 该策略标识获得对该环境的一部分的访问的用户或其它实体如何可能损害 该环境的另外的部分。
该策略可以用各种形式来输出其分析的结果。例如，该策略可以将其 分析的结果作为数据处理环境中的安全依赖关系的图形描绘来输出。最后， 该策略可以建议并实现旨在减轻所标识的漏洞的步骤。
以下描述另外的示例性实现和附带好处。
5附图简述


图1和图2示出示例性数据处理环境，特别示出实体可以获得对数据 处理环境的各部分的控制的示例性途径。
图3示出用于标识和减轻数据处理环境中的漏洞的示例性漏洞分析系 统(VAS)。
图4示出图3的漏洞分析系统所产生的示例性输出显示。 图5示出用于实现图3的系统的任何方面的示例性处理功能。 图6示出用于标识和减轻数据处理环境中的漏洞的示例性过程。 贯穿本公开和各附图，使用相同的标号来引用相同的组件和特征。100 系列标号指的是最初在图1中所找到的特征，200系列的标号指的是最初在 图2中找到的特征，300系列的标号指的是最初在图3中找到的特征，依此 类推。
详细描述
本发明阐明用于标识和减轻数据处理环境中的基于权限的漏洞的策 略。该策略可以在各种系统、装置、组件、过程、存储介质、数据结构和 其它形式中表现。
本发明包括以下各节。节A描述用于标识和减轻数据处理环境中的漏 洞的示例性系统。节B描述解释节A的系统的操作的示例性过程。
A.示例性系统
首先要说明的是，参考附图描述的任何功能都可使用软件、固件、硬 件(例如，固定逻辑电路)、手动处理或这些实现的组合来实现。此处所 使用的术语"逻辑"、"模块"、"组件"、"系统"或"功能" 一般表 示软件、固件、硬件、或这些元素的组合。例如，在软件实现的情况下， 术语"逻辑"、"模块"、"组件"、"系统"或"功能"表示当在一个 或多个处理设备(例如， 一个或多个CPU)上执行时执行指定任务的程序 代码。程序代码可被储存在一个或多个计算机可读存储器设备中。
更一般而言，所示的将逻辑、模块、组件、系统和功能分割成不同单元可以反映这些软件、固件和/或硬件的实际物理分组和分配，或者可对应 于由单个软件程序、固件程序和/或硬件单元执行的不同任务的概念性分配。
所示的逻辑、模块、组件、系统和功能可位于单个位置处(例如，由处理 设备来实现)，或者可分布在多个位置上。
术语"机器可读介质"等指的是用于以任何形式保留信息的任何种类 的介质，包括各种存储设备(磁、光、静态等等)。术语机器可读介质还 包含了表示信息的瞬时形式，包括用于将信息从一点发送到另一点的各种 硬线和/或无线链路。
A丄介绍安全性的基于权限的损害
图1和图2示出组织所提供的示例性数据处理环境100。这两个附图 一起示出一个或多个管理员在环境100中所行使的权限可被"劫持"或恶
意利用来在环境100中行使控制的一个示例性方式，这可能在环境100中
造成损害。下一子节描述用于标识和减轻这些漏洞的系统。
数据处理环境100可以指的是提供任何类型的功能的组件的任何集 合。在一种情况下，各组件可以部分地指的是在任何种类的组织中使用的 计算机机器。例如，这些组件可以指的是各种类型的用户计算机、服务器 计算机等。在图1和图2的说明性情况下，数据处理环境100包括标记为 A-J的代表性组件。(可以理解，实际环境可以包括更多组件，例如可能包 括数百个计算机机器)。
与这些组件相关联的组织涉及任何类型的实体或实体组合。该组织可 以指的是一个或多个企业、政府实体、教育机构、非营利性组织、或其它 种类的组织或其组合。数据处理环境100中的这些组件可以经由任何类型 的网络或网络组合(未示出)耦合在一起。
数据处理环境100可以使用任何类型的管理功能(未示出)来管理和 协调环境100中的组件的活动。例如，管理功能可以包括集中式目录系统 来管理在数据处理环境100中进行动作的代理所拥有的访问权限。作为说 明而非限制，目录系统可以至少部分地使用华盛顿州雷蒙德市的微软公司 所提供的现用目录(Active Directory)来实现。该目录系统能以使甩各种域、用户帐户、组帐户等的公知方式来管理系统资源。
数据处理环境110可以使用任何类型的认证协议或认证协议的组合来
控制对其资源的访问。作为说明而非限制，数据处理环境ioo可以使用公
知的Kerberos协议来管理对其资源的访问。在Kerberos协议中，用户可以 参与交互式登入会话来向集中式授权机构证明他或她的身份，其后向用户 授予权证授予权证(TGT) 。 TGT随后可以直接用来与数据处理环境100 中的各种其它组件交互。
数据处理环境100所使用的管理功能可以向一个或多个管理员授予访 问相应的组件集合并执行可以影响这些组件的各种动作的权限。例如，管 理功能可以授予管理员访问计算机机器的集合的权限，以修改安装在这些 机器上的现有代码，访问存储在这些机器上的现有信息，在这些机器上安 装新代码，移除这些机器上的现有代码等。
此处所使用的术语"管理员"旨在被广泛解释。在一种情况下，管理 功能可以正式地授予管理员规定特权来访问计算机机器的集合。例如，管 理功能可以维护标识一个或多个管理员的权限的一个或多个数据库。在其 它情况下，个人可非正式地接收权限来控制数据处理环境100的一个或多 个方面，这可以影响一个或多个用户的计算机机器。这种个人可被认为是 事实上的管理员。
一般而言，被授予管理员的这束特权在此被称为"访问权限"。授予 管理员的控制的总体范围被称为该管理员的"影响范围"。例如，如图1 所示，管理功能允许管理员X访问计算机机器A、 B、 C和D并在其上执 行动作，这些机器构成影响范围102。管理功能允许管理员Y访问计算机 机器D、 E和F并在其上执行动作，这些机器构成影响范围104。最后，管 理功能允许管理员Z访问计算机机器F、 G、 H和I并在其上执行动作，这 些机器构成影响范围106。与图1所示的场景相比，实际数据处理环境可以 包括额外或更少的管理员。例如，数据处理环境可以只包括单个管理员。 此外，与图l所示的场景相比，实际数据处理环境中的影响范围可以包括 更多组件(例如，可能包括数百、数千个额外组件)。最后，虽然未示出， 但实际数据处理环境可以允许多个管理员控制同一影响范围。例如，管理员X和管理员W (未示出)可以控制计算机机器A、 B、 C和D。
作为一般特征，注意，与不同的管理员相关联的影响范围可以重叠。 例如，管理员X和管理员Y都可以访问机器D。同样，管理员Y和管理员 Z都可以访问机器F。在图l的说明性情况下，注意，没有管理员可以访问 机器J。此外，在另一情况下(未示出)，管理员可以具有与另一管理员的 影响范围不重叠的影响范围。
管理员的"凭证" 一般指的是使该管理员能够在影响范围内行使他或 她的管理性特权的任何信息。在非限制性的Kerberos的情况下，凭证涉及 在交互式地登录到机器后被授予实体的TGT信息。 一般而言，管理员的凭 证通常至少在管理员交互式地登录到该机器时驻留在机器上。这使该机器 能够根据管理员的命令代表管理员行使管理员的特权。
机器上的管理员的特权可以包括获得驻留在该机器上的任何凭证的能 力，包括其他用户或管理员的凭证。 一旦获得，这些凭证可按与这些凭证 的任何合法持有者相同的方式来使用。取决于凭证类型，这些凭证在不同 长度的时间内保持有效。 一些凭证在指定量的时间内有效，如一个月或更 长。其它凭证类型只在用户或管理员实际登录的时间段期间有效，并且因 此可以在几小时后期满。然而，管理员的特权通常包括在其影响范围内向 其他用户授予管理性特权的能力，或甚至在机器上创建具有管理性特权的 新用户帐户的能力。因此，通过各种合法机制将短期凭证转换成长期凭证 是可能的。
有了以上对数据处理环境100的示例性组成的介绍性评论，现在假定 一个机器，例如计算机机器A被损害了。该机器是在这样的意义上被损害 的，即未授权的人或其它种类的实体(例如自动化机器人)获得对机器A 的用户所使用的凭证的访问，以获得对数据处理环境100的访问。出于该 解释的目的，该破坏可如何发生并不重要。换言之，安全策略针对改进对 凭证的未授权访问所引起的有害影响的方式，但不一定排除对这些凭证的 初始未授权访问。初始破坏可以是或可以不是由于"黑客"类型的攻击， 其中恶意实体基于数据处理环境中的一个或多个代码漏洞来获得对初始机 器的访问。在获得对计算机机器A的访问后，未授权的实体随后可能能够通过上述机制获得对管理员X的凭证的访问。例如，假定管理员X交互式地登录
到机器A来在机器A上执行某一管理性任务(如通过对机器A添加软件补丁)。如上所述，该操作导致管理员X的凭证被存储在机器A上。这又将管理员X的凭证展示给该未授权的实体，从而允许该未授权的实体获得该凭证。在"盗窃"管理员X的凭证之后，未授权的实体可以行使管理员X的正常特权，并且在这种情况下，扮演管理员X。这些特权包括访问管理员X的影响范围102中的任何机器(A、 B、 C和D)的能力。此外，管理员X在其影响范围102中的特权通常足以获得驻留在该影响范围102中的任何机器上的任何凭证(通过上述机制)。
注意，管理员X的影响范围102与管理员Y的影响范围104重叠，并且管理员Y的影响范围104与管理员Z的影响范围106重叠。因此，未授权的实体下一步可能经由计算机机器D获得对管理员Y的影响范围104中的计算机机器的访问，并随后可能能够经由机器F获得对管理员Z的影响范围106中的计算机机器的访问(即，假如这些管理员分别登录到机器D和F，此后他们的可获得的凭证将出现在这些机器上)。
该连续的凭证盗窃过程可以重复任何次数，使未授权的实体可能能够获得对数据处理环境IOO中的大量计算机机器的访问。例如，前进至图2，该图指示未授权的实体已经通过一系列凭证获取获得了对计算机机器A-I的访问。未授权的实体可能不能够获得对一个或多个其它计算机机器(如计算机机器J)的访问，只要这些机器与包括作为其成员的最初受损害的机器A的控制关系网隔离。
在获得对数据处理环境100中的一个或多个计算机机器的未授权的访问后，未授权的实体可以执行可能能够损害环境100的各种活动。例如，数据处理环境IOO可能将恶意代码安装到环境100中，访问私有信息等。
注意，凭证盗窃过程使用数据处理环境100中的正常控制渠道。未授权的实体通过盗窃管理性用户所拥有的合法权限来获得访问，从而扮演该管理性用户。然而，用来在数据处理环境100中授予管理性特权的管理功能本质上没有错误，因为这些特权本来担当数据处理环境100中的有用角色。相反，是环境100中的不同的管理性特权的相互作用造成了问题。换
言之，是环境100的管理性控制结构作为整体才产生这些漏洞。出于这一
原因，阻止恶意攻击的传统的基于代码的方法一般不单独认为是该类问题的有效解决方案，因为代码不是该问题的根源，或至少不是该问题唯一根源。
A.2.示例性漏洞分析系统
图3示出漏洞分析系统(VAS) 302的一个示例性实现。作为概览，VAS 302的目的是检查数据处理环境304中的上述类型的凭证盗窃漏洞。VAS 302以各种格式显示其分析的输出，如数据处理环境304中的安全依赖关系的图形描绘。VAS 302还可以包括专用于减轻所评估的漏洞的功能，如通过建议可以采取来减少所评估的漏洞的动作和/或实际上实现这些动作。
VAS 302可以表示能在一个或多个计算机机器上实现的代码或逻辑电路(或其某一组合)。例如，安全性分析者或其它合适地授权的用户能够在专用工作站、通用计算机或其它类型的计算设备上操作VAS 302。 VAS302可以通过任何种类的网络或网络组合通信地耦合到数据处理环境304。该通信耦合允许VAS 302从数据处理环境304接收数据并允许可任选地在数据处理环境304中实现改变。另选地或另外地，分析者可以基于VAS 302所生成的分析和建议来手动地在数据处理环境304中进行改变。
有了以上介绍，以下将轮流解释VAS 302的示例性组件中的每一个。VAS 302可以包括用于从数据处理环境304收集安全相关数据的数据收集模块306。数据收集模块306可以将安全数据存储在一个或多个数据存储308中。在一个实现中，数据处理环境304中的组件(例如计算机机器)能被配置成例如在周期性的基础上或响应于某一其它触发事件，来将安全相关数据主动地转发到数据收集模块306。在另一实现中，数据收集模块306能被配置成轮询数据处理环境304中的组件来收集安全相关数据。换言之，数据收集模块306可以使用推(push)或拉(pull)模型来收集安全相关数据。
ii所谓的安全相关数据涉及与数据处理环境304所展示的漏洞有关系的并且因此可被用来分析和诊断这些漏洞的任何信息。 一类一般的这种安全相关数据被称为"访问数据"。顾名思义，该数据反映数据处理环境304中的用户和其它实体的访问相关行为。更具体地，该数据指示数据处理环境304中发生的登录事件。在一示例性实现中，访问数据可以包括权证授予权证(TGT)信息。TGT信息标识在用户交互式地登录到数据处理环境304时所产生的凭证。例如，在图l和图2所示的场景的上下文中，说明性访问数据片断反映管理员X登录到机器A的事件。
另一类一般的安全相关数据被称为"权限数据"。权限数据反映数据处理环境304中的管理员所持有的权限。更具体地，权限数据可以标识被授予管理性权限的用户。权限数据还可以标识管理员可以根据其管理性特权来访问并控制的相应机器组。例如，在图1和图2的场景的上下文中，说明性权限数据片断传达管理员X拥有在计算机机器A-D上执行动作的特定访问特权。
作为一般特征，注意，访问数据反映数据处理环境304中的用户或其它实体的历史登录行为。该数据在以下意义上是动态的它依赖于数据处理环境304中偶然事件的发生(即，用户登入数据处理环境304)。相反，权限数据反映网络中的管理性特权的非偶然结构。然而，尽管是非偶然的，但权限数据在以下意义上也是动态的数据处理环境304的管理性结构可以出于任何原因在任何时候改变，例如以反映新管理员的添加、现有管理员的移除、管理员影响范围的改变等。
不同类型的数据处理环境包括不同的管理功能和会计基础结构。因此，取决于被分析的和被操纵的特定数据处理环境，VAS 302可以使用不同的技术来收集访问数据和权限数据。图3概括示出数据处理环境304包括数据存储310或用于提供访问数据和权限数据的其它源的任何集合。数据存储310可以表示数据处理环境304中的各个计算机机器所维护的本地存储，或从多个不同的计算机机器收集数据的集中维护的存储，或本地维护的存储和集中维护的存储的某种组合。
在一说明性和非限制性技术环境中，数据收集模块306可以从四个不同的源收集安全相关数据。
安全相关数据的第一个源是集中维护的审计收集服务(ACS)数据库或类似的数据库。该数据库基于TGT的产生来提供关于数据处理环境304中所发生的登录事件的信息。(回想一下，在Kerberos技术中，TGT与数据处理环境304中所发生的交互式登录活动相关联。)
安全相关数据的第二个源是地址解析协议(ARP)表或类似的表。ARP表中的数据将网际协议(IP)地址映射到媒体访问控制(MAC)地址。
安全相关数据的第三个源是机器管理员数据库。该数据库标识可以控制数据处理环境304中的机器的各管理性组和帐户的名称，在一种情况下，使用MAC地址标识这些机器。
安全相关数据的第四个源是提供关于与数据处理环境中的各个组相关联的帐户的信息的现用目录或类似的目录机制。
来自第一和第二数据源的信息构成访问数据。即，ACS数据库提供数据处理环境304中所发生的登录事件的指示。ARP表可被用来将IP地址信息(ACS数据库中提供的)映射到MAC地址信息。MAC地址信息相对IP地址信息是优选的，因为它更明确地标识登录活动中所涉及的机器。
来自第三和第四数据源的信息构成权限数据。即，联系在一起的机器管理员数据库和现用目录提供数据处理环境304中的各管理性帐户和组以及与各个组相关联的帐户的指示。
数据分析模块312下一步通过分析存储在数据存储308中的安全相关数据来开始活动。 一般而言，数据分析模块312的目的是根据以下信息来展示数据处理环境304中的权限相关漏洞(a)当前出现在数据处理环境304中的凭证信息(在指定时间段内，如上个月)(即，如访问数据所反映的)；以及(b)数据处理环境304所授予的管理性权限的相互作用(即，如权限数据所反映的)。例如，在图1和图2的场景中，数据分析模块312的目的是确定任何单个计算机机器A-I的损害可能能够导致该组计算机机器中的任何其它计算机机器的损害。数据分析模块312可以使用各种工具来跟踪数据处理环境304中的可能的权限相关损害的路径。在一说明性和非限制性情况下，数据分析模块312可以使用诸如宽度优先搜索工具等图搜索工具来执行该任务。
取决于用户所作出的输入选择，数据分析模块312可以用不同的方式来聚焦其分析。以下标识可被选择的代表性类型的分析
在第一种情况下，用户可以指示数据分析模块312来提供数据处理环
境304中的安全性状况的总体指示。作为响应，数据分析模块312可以标识数据处理环境304中的所有控制网。在一种情况下，数据分析模块312可以提供环境304中的一个机器损害或特定帐户凭证"盗窃"的最终后果的最差情况分析。在另一种情况下，数据分析模块312可以提供示出数据处理环境304中的凭证在一段时间内可被如何连续损害的动态分析。
在第二种情况下，用户可以指示数据分析模块312标识数据处理环境304中对数据处理环境304具有最大威胁的部分。例如，用户可以请求数据分析模块312来标识在损害的情况下具有广泛的凭证盗窃的最大可能的计算机机器或帐户。
在第三种情况下，用户可以指示数据分析模块312提供对数据处理环境中的用户感兴趣的一个或多个计算机机器或帐户的具体分析。例如，这些计算机机器可以表示用户的工作组中的机器，并且该用户被委托来确保这些机器所提供的服务的完整性。该用户可以具体地要求数据分析模块312来标识感兴趣的机器是如何受环境中的其它机器影响的，或感兴趣的机器是如何影响环境中的其它机器的。用户可以通过指定MAC地址或其它合适的标识信息来标识机器。
在第四种情况下，用户可以要求数据分析模块312来标识被损害的一个或多个计算机机器或帐户的安全相关后果。
在第五种情况下，用户可以要求数据分析模块312来标识从数据处理环境304移除或向其添加帐户和/或程序的安全相关后果。
在第六种情况下，用户可以指定各种设计约束，并随后要求数据分析模块312来标识是否满足这些约束，或如果不满足则可以如何满足这些约束。例如，用户可以在任何时候指定他或她希望最多n个实体能够控制感兴趣的系统。数据分析模块312可以标识是否满足该条件，并且如果不满足则标识可如何满足它。在另一情况下，用户可以指定他或她希望系统M
14和系统N完全隔离。数据分析模块312可以标识是否满足该条件，并且如 果不满足则可如何满足它。
数据分析模块312可以根据来自控制用户的指令来执行其它种类的特
殊分析。以上示例是能被执行的分析的可能类型的代表而非穷举。
分析输出模块314提供数据分析模块312的分析的输出。在一种情况 下，分析输出模块314提供图示地传递数据处理环境304中的控制网的图 形输出。下一子节更详细地研究VAS 302的这一方面。分析输出模块314 可以另选地或另外地以表格形式(例如以电子表格形式)、以可听形式(例 如作为口语警告消息)或以另一形式或形式组合来呈现其输出。
最后，VAS 302还可以包括可任选减轻模块316。减轻模块316的一 个目的是提供允许用户减少或消除数据分析模块312所标识的漏洞的建议。 例如，减轻模块316可以建议用户诸如通过创建分开的活动区、改变管理 性特权等来修改数据处理环境304中的管理性结构D或者，减轻模块316 可以建议用户设定环境304中的用户行为的改变(例如通过在不创建TGT 的情况下要求管理员执行其管理性任务等)。减轻模块316可以生成其它 种类的建议。
第二，减轻模块316可以任选地自动地在数据处理环境304中进行改 变以减少或消除漏洞。例如，在标识令人特别担忧的漏洞后，减轻模块316 可以自动地限制或停用数据处理环境304所授予的特定管理性特权。另选 地或另外地，减轻模块316可以自动地向环境中的用户发出警告消息。另 选地或另外地，减轻模块316可以自动地向更高级的漏洞评估中心(例如 其可以提供对不同组织的分析)发送报告。
在一种情况下，用户可以通过在执行上述自动化操作之前批准这些操 作，来对这些操作行使某种控制。在其它情况下，减轻模块316可以自动 地执行纠正性动作而不会干涉用户或基本不会干涉用户。在一个这种实现 中，VAS 302可以在周期性的基础上或响应于某一其它类型的触发事件来 检查数据处理环境。如果VAS 302检测到显著漏洞的存在，则它可以自动 地采取预防性动作。
作为整体考虑，VAS 302的一个主要目的是检测数据处理环境304中因合法访问渠道的劫持所引起的漏洞。如上所述，这些漏洞不一定反映数
据处理环境304所使用的代码本身是有缺陷的。这使VAS 302成为比针对 安全威胁的传统的基于代码的方法更适当的安全工具。此外，如果代码中 的弱点造成漏洞，则由于在数据处理环境中达到更好的隔离，VAS 302还 可以帮助减少代码类型的攻击在数据处理环境中的传播。
在另一实现中，VAS 302所执行的分析可以与基于代码的漏洞评估技 术相组合。这样做可以允许用户提供增强工具来分析和解决恶意代码或其 它恶意活动在数据处理环境中的传播。例如，基于代码的漏洞评估技术可 以标识用户最初如何破解进入数据处理环境304来盗窃凭证。VAS 302随 后可以标识此后用户如何能够使用合法渠道来在数据处理环境304中扩展 其未授权的控制范围。
概括而言，VAS 302可以通过聚焦于实际出现在数据处理环境中的凭 证并结合可在数据处理环境中使用的管理性权限来检测漏洞。这允许VAS 302使用例如帐户、历史登录、组成员资格等相对简洁的信息体来评估漏洞。 该特征又给予至少两个主要好处。
第一，VAS 302所采取的方法是高度可伸縮的。例如，VAS 302所采 取的方法不要求关于填充数据处理环境的机器的特征的详细且特别的知 识。这允许VAS 302相对容易地应用于具有相对大量机器的数据处理环境。 换言之，VAS 302可被扩展到另外的机器而不要求繁重的设置和维护任务 并且没有对VAS 302上施加显著增加的分析负荷。
第二， VAS 302所采取的方法是高度可用的。例如，VAS 302按照数 据处理环境的分立的一组可操作并普遍地理解的特征(例如，如上所述， 按照帐户、历史登录、组成员资格等)来制定其分析。这意味着VAS 302 可以用透明的且容易理解的方式来向用户清楚表达其分析和所建议的解决 方案，例如无需引入"新"安全相关抽象的覆盖。这还意味着VAS 302使 用户能够使用已经普遍理解的管理工具和概念来控制漏洞，例如无需求助 于要求专门训练和维护的专用"修补"。
图4示出可由VAS 302产生的一个示例性图形用户界面演示400。该 图形用户界面演示400用作允许用户启动所需漏洞分析并接收这一分析的结果的控制界面。(VAS 302 —般可以使用多种不同的演示技术、样式等 来产生图形输出演示。因此，图4所示的图形用户界面演示400可被理解 为完全是代表性的而非限制性的。)
图4所示的代表性图形用户界面演示400包括可以显示不同的分析选 项的第一部分402。图形用户界面演示400可以另选地在下拉菜单中或以任 何其它演示样式来呈现这些选项。第一部分402中所呈现的具体选项是代 表性的、非穷尽性的和非限制性的。第一选项可被激活来指示VAS 302提 供数据处理环境304中的安全性状况的总体评估。第二选项可被激活来指 示VAS 302提供关于数据处理环境304的特别有问题的部分的信息。艮P ， 在调用该选项后，VAS 302可以提供关于VAS 302所标识的头n个损害者 的分析。第三选项可被激活来指示VAS 302提供关于数据处理环境304的 特定的用户选择的部分的信息。在调用该选项后，VAS 302传达关于可以 影响环境304的特定标识的部分(或可被其影响)的特定假设事件的后果 的信息。第四选项可被激活来指示VAS 302执行各种类型的如果怎么办分 析(如上所述)。第五选项可被激活来指示VAS 302提供关于如何减少数 据处理环境304中的漏洞的建议。这些选项是示例性的而非限制性的，可 以在第一部分402中向用户呈现附加类型的选项。
图形用户界面演示400的第二部分404可以提供VAS 302的分析的输 出。在该特定场景中，用户要求VAS 302标识数据处理环境304中的头n 个损害者。作为响应，第二部分404提供数据处理环境304的最有问题的 部分的图形描绘。更具体地，部分404以树类形式传达这些结果，标识每 一损害者(例如实体A和实体B)以及可受损害实体影响的系统。例如， 这一类型的显示传达了，未授权的用户通过盗窃特定实体A的凭证则可因 而损害系统1、 2、 3和4。 VAS 302可以用压縮格式来传达受影响的系统的 冗长的列表。例如，损害者B可能影响32个系统。VAS 302可以用折叠形 式来显示表示这32个系统的单个框。用户可以点击该框来接收以非折叠形 式枚举所有32个系统的列表。
部分404中所示的图形树包括两层，即损害实体作为第一层而受影响 的系统作为第二层。在替换情况下，VAS 302可以使用附加层来传达控制关系。例如，VAS 302可以添加另一层来示出系统1的损害是如何导致其 它机器的损害的。可以用类似的方式通过向树添加附加层来传递更高级的 影响。
部分404所示的图形树以自顶向下列表格式来呈现。在替换情况下， VAS 302可以用其它格式来传达控制关系，包括星形。在此形式中，损害 实体置于星形的中心，径向臂终止于可能受影响的系统。
在其它情况下，VAS 302可以另选地或另外地用非图形的形式，如用 电子表格形式、可听形式等，来传达漏洞。
A.3.示例性处理功能
图3所示的各组件的各方面可以由信息处理设备来实现，包括软件、 固件和硬件的任何组合。图5阐明可被用于实现这些组件的任一方面的示 例性处理功能502。例如，在VAS 302可由计算机机器实现的情况下，数 据处理功能502可被用来实现该计算机机器。处理功能502通常还可以表 示数据处理环境304中的任何组件，如用户计算机、服务器计算机等等。
处理功能502可以包括诸如RAM 504和ROM 506等各种易失性和非 易失性存储器以及一个或多个中央处理单元(CPU) 508。在CPU 508执行 存储器(例如504、 506或其它)所维护的指令时，处理功能502可以执行 以上标识的各种操作。处理功能502还可任选地包括各种媒体设备510，诸 如硬盘模块、光盘模块等。
处理功能502还包括用于从用户(经由输入设备514)接收各种输入 和用于向用户(经由输出设备516)提供各种输出的输入/输出模块512。 一 个具体的输出设备可以包括显示装置和相关联的图形用户界面(GUI) 518。 处理功能502还可包括用于经由一个或多个通信管道522与其它设备交换 数据的一个或多个网络接口 520。一条或多条通信总线524将上述组件通信 地耦合在一起。
通信管道522可用不同方式来实现以适合不同的技术和商业环境。例 如，通道管道522可包括任何种类的网络(或网络的组合)，如广域网(例 如，因特网)、内联网、数字用户线(DSL)网络基础结构、点对点耦合基础结构等等。在其中使用一个或多个数字网络来交换信息的情况下，通
信管道522可包括各种硬连线和/或无线链路、路由器、网关、名称服务器等等。
B.示例性过程
图6示出以流程图的形式解释VAS 302的操作的过程600。为便于讨 论，某些操作被描述为以特定次序执行的不同的组成框。这些实现是示例 性而非限制性的。此处描述的某些框可被分组在一起并且在单个操作中执
执行。流程图中所示的框可以通过软件、固件、硬件、手动处理、这些实 现的任何组合等来实现。
由于流程图中所描述的功能已经在节A中阐明，因此节B主要用作对 这些功能的回顾。
在操作602， VAS 302收集安全数据以供在评估数据处理环境304的 漏洞时使用。如上所述，安全数据可以包括访问数据和权限数据。访问数 据反映数据处理环境304中的用户的实际登录行为。权限数据反映数据处 理环境304中的管理性权限的结构。
在操作604， VAS 302基于在操作602所收集的安全数据确定数据处 理环境304中的权限相关损害的路径。操作604可以使用图搜索算法来执 行其分析，如宽度优先搜索算法。
在操作606， VAS 302向用户提供其分析的输出。如上所述，VAS 302 可以使用不同的技术来传达其结果，包括各种类型的图示演示、表格演示 等。
在操作608， VAS 302可能能够减轻在先前的操作(606)所评估的漏 洞。减轻可以采取向用户提供建议的形式。这些建议标识减少漏洞的方式。 另外地或另选地，减轻可以通过自动地采取影响数据处理环境的纠正性动 作来实现。
总而言之，此处通过首先标识多个特征可以解决的示例性问题来描述 这些特征。该说明方式不构成对其它人以此处所指定的方式理解和/或清楚
19表达这些问题的许可。对相关领域中所存在的问题的理解和清楚表达要被 理解为本发明的一部分。
更一般地，尽管以对结构特征和/或方法动作专用的语言描述了本发 明，但是可以理解，所附权利要求书中所定义的本发明不一定要限于所描 述的具体特征或动作。相反地，这些具体特征和动作是作为实现权利要求 的本发明的示例性形式而公开的。
权利要求
1.一种用于可伸缩地调查数据处理环境的安全状况的方法，所述数据处理环境包括组件的集合，所述方法包括接收反映至少一个访问实体对所述数据处理环境中的至少一个组件的历史访问的访问数据(602)；接收反映至少一个有权访问的实体所拥有的权限的权限数据(602)，其中所述权限授权所述有权访问的实体来访问所述数据处理环境中的多个组件；基于所述访问数据和所述权限数据来调查所述数据处理环境的安全状况(604)，其中所述安全状况标识获得对所述数据处理环境的第一部分的权限可以损害所述数据处理环境的第二部分的程度；以及提供反映所述调查的结果的输出(606)。
2. 如权利要求l所述的方法，其特征在于，所述组件集合包括一组织 中的计算机的集合。
3. 如权利要求l所述的方法，其特征在于，所述访问数据反映所述至 少一个访问实体所展示的登录行为。
4. 如权利要求l所述的方法，其特征在于，所述至少一个有权访问的 实体是所述数据处理环境中的管理员，并且其中所述权限数据授权所述管 理员登录到所述数据处理环境中的多个组件。
5. 如权利要求l所述的方法，其特征在于，所述调查所揭示的安全状况标识获得对所述数据处理环境的第一部分的权限可以通过多个有权访问 个体所共享的访问权限网扩展来损害所述数据处理环境的第二部分的程度。
6. 如权利要求l所述的方法，其特征在于，所述调査包括标识所述数 据处理环境中的至少一个感兴趣的组件，并且其中所述调查所揭示的安全 状况聚焦于所评估的与所述至少一个感兴趣的组件相关联的漏洞。
7. 如权利要求l所述的方法，其特征在于，所述输出包括提供描绘所 述调查的结果的图形描绘。
8. 如权利要求7所述的方法，其特征在于，所述图形描绘示出所述数据处理环境的第一部分和所述数据处理环境的第二部分之间的图形网。
9. 如权利要求l所述的方法，其特征在于，还包括减轻所述调查所揭 示的至少一个漏洞。
10. 如权利要求9所述的方法，其特征在于，所述减轻包括提供使用 户能够减少所述至少一个漏洞的建议。
11. 如权利要求9所述的方法，其特征在于，所述减轻包括自动地在 所述数据处理环境中实施纠正性动作来减少所述至少一个漏洞。
12. —种或多种包含用于实现如权利要求1所述的方法的机器可读指 令的机器可读介质。
13. —种用于可伸縮地调查数据处理环境的安全状况的方法，所述数 据处理环境包括一组织中的计算机的集合，所述方法包括接收与所述数据处理环境中的计算机的安全性有关系的安全相关数据 (602)，所述安全相关数据具有反映对所述数据处理环境的先前访问的历 史分量；基于所述安全相关数据调查所述数据处理系统的安全状况(604)，所 述安全状况标识获得对所述数据处理环境中的至少一个计算机的权限可被 扩展来损害所述数据处理环境中的一个或多个其它计算机的程度；以及提供反映所述调查的结果的输出(606)。
14. 如权利要求13所述的方法，其特征在于，所述安全相关数据包括 反映所述数据处理环境中的历史登录行为的访问数据，所述访问数据包括所述历史分量；以及反映所述组织中的至少一个管理员所拥有的、使所述至少一个管理员 能够访问多个计算机的权限的权限数据。
15. 如权利要求14所述的方法，其特征在于，所述调查可以单独基于 所述访问数据和所述权限数据来解析所述数据处理环境的安全状况。
16. —种或多种包含用于实现如权利要求13所述的方法的机器可读指 令的机器可读介质。
17. —种用于调查大数据处理环境的安全状况的漏洞分析系统，所述 数据处理环境包括组件的集合，所述系统包括可用于接收数据的数据收集模块(306)，所述数据包括反映至少一个访问实体对所述数据处理环境中的至少一个组件的历 史访问的访问数据；以及反映至少一个有权访问的实体所拥有的权限的权限数据，其中所述权限授权所述有权访问的实体来访问所述数据处理环境中的多个组件；可用于基于所述访问数据和所述权限数据来调查所述数据处理环境的安全状况的数据分析模块(312)，其中所述安全状况标识获得对所述数据处理环境的一部分的权限可以损害所述数据处理环境的另一部分的程度； 以及可用于生成反映所述调査的结果的输出的分析输出模块(314)。
18.如权利要求n所述的漏洞分析系统，其特征在于，所述访问数据 反映所述至少一个访问实体所展示的登录行为。
19. 如权利要求17所述的漏洞分析系统，其特征在于，所述至少一个 有权访问的实体是所述数据处理环境中的管理员，并且其中所述权限数据 授权所述管理员登录到所述数据处理环境中的多个组件。
20. 如权利要求17所述的漏洞分析系统，其特征在于，所述分析输出 模块可用于提供描绘所述调查的结果的图形描绘。
全文摘要
描述了用于评估和减轻数据处理环境中的漏洞的策略。该策略收集反映环境中的用户所展示的实际登录行为的访问数据。该策略还收集反映环境中的一个或多个管理员所拥有的权限的权限数据。基于访问数据和权限数据，该策略标识获得对环境的一部分的访问的用户或其它实体可能如何损害该环境的另外的部分。该策略可以建议并实现旨在减少任何所标识的漏洞的步骤。
文档编号G06F15/00GK101553821SQ200780045353
公开日2009年10月7日 申请日期2007年12月6日 优先权日2006年12月7日
发明者D·R·西蒙, G·D·哈特雷, J·杜南甘 申请人:微软公司