本公开总体上涉及网络安全威胁的检测,特别是基于运行时上下文和静态分析检测云身份滥用。
背景技术:
1、云身份滥用是指利用云身份和访问管理系统中的漏洞来获得对存储在云环境中的资源或数据的非法访问的未经授权或恶意的活动。滥用云身份可以采取各种形式,包括凭证盗窃、身份欺骗、特权升级和内部威胁。
2、运行时数据分析涉及实时监控与云身份相关的活动和行为。这包括跟踪登录尝试、访问模式和使用异常,以检测任何未经授权或可疑的活动。静态分析涉及在不执行代码的情况下检查与云身份相关的配置设置、权限和访问控制。通过分析这些因素,可以识别潜在的漏洞和配置错误,这可能表明存在身份滥用的情况。异常检测、机器学习算法和基于规则的系统等技术通常用于分析运行时数据和静态配置,以有效检测和防止云身份滥用。
3、尽管在识别云身份滥用方面取得了进展,但当前的技术水平仍存在一些挑战。一个问题是云环境的复杂性,这通常涉及多个服务、提供商和互连系统,使得难以全面监控和分析身份相关活动。此外,云基础设施的动态特性给维持正常行为的准确基线带来了挑战,导致了更高的误报或漏检风险。此外,缺乏用于整合不同云平台的身份数据的标准化协议和工具使检测进程复杂化,并可能导致对身份相关数据的不完全可见性。另一个重大挑战是现代攻击技术(例如身份欺骗、凭证填充和内部威胁)的复杂性,这些现代攻击技术需要先进的检测机制,以能够识别合法活动中滥用的微妙迹象。此外,隐私和合规问题(例如数据主权和监管要求)对身份相关数据的收集和分析施加了限制,从而限制了检测技术的有效性。
4、因此,提供一种克服上述挑战的解决方案将是有利的。
技术实现思路
1、以下是本公开的几个示例实施例的概述。本概述仅为便于读者理解这些实施例的基本概念而提供,并非对本公开范围的完整限定。本概述不是对所有预期实施例的广泛概述,既不旨在识别所有实施例的关键或重要元素,也不旨在描述任何或所有方面的范围。其唯一目的是以简化形式呈现一个或更多个实施例的一些概念,作为后续更详细描述的前导。为方便起见,术语“一些实施例”或“某些实施例”可在本文中用于指代本公开的单个实施例或更多个实施例。
2、一个或更多个计算机的系统可以被配置为通过在系统上安装软件、固件、硬件或它们的组合来执行特定的操作或措施,在操作中执行措施或使系统执行措施。一个或更多个计算机程序可以被配置为通过包括指令来执行特定的操作或措施,当数据处理装置执行这些指令时,这些指令会使该装置执行这些措施。
3、在总体方面,该方法可以包括检测云计算环境中的工作负载。该方法还可以包括配置工作负载以在其上部署传感器应用,该传感器被配置为检测在工作负载上执行的运行时进程的相应数据。该方法还可以包括检测与工作负载相关联的原始盘。该方法还可以包括基于原始盘生成可检查盘。该方法还可以包括利用静态分析检查可检查盘中的网络安全对象。该方法还可以包括基于工作负载的标识符在云计算环境的日志中检测事件,该日志包括多个事件。该方法还可以包括检查代码对象中的身份对象,该代码对象用于在云计算环境中部署工作负载。该方法还可以包括基于身份对象、网络安全对象和工作负载的标识符,将运行时进程与事件相关联。该方法还可以包括生成包括与事件相关联的运行时进程的标识符的富集日志。该方面的其它实施例包括记录在一个或更多个计算机存储设备上的相应计算机系统、装置和计算机程序,每个被配置为执行所述方法的措施。
4、实施方式可以包括以下特征中的一个或更多个。方法可以包括:检测网络安全对象的标识符;以及基于检测到的标识符,确定运行时进程是基于与网络安全对象相关联的软件执行的。该方法可以包括:将原始盘克隆到可检查盘中;以及响应于完成对可检查盘的检查而释放分配给可检查盘的资源。该方法可以包括:配置传感器以检测云api调用,该云api调用包括身份对象的标识符。该方法可以包括:响应于在可检查盘上检测到网络安全对象,将工作负载的表示、身份的表示和事件的表示存储在安全数据库中。该该方法可以包括:访问基础设施即代码(iac)平台以检测代码对象。该方法可以包括:基于检测到的运行时数据进一步将运行时进程与事件相关联。该方法可以包括:对富集日志应用网络安全策略。该方法可以包括:响应于检测到应用的网络安全策略的条件导致故障,启动补救措施。所描述的技术的实施方式可以包括硬件、方法或进程或计算机有形介质。
5、在总体方面,非暂态计算机可读介质可以包括一个或更多个指令,当由设备的一个或更多个处理器执行时,这些指令使设备:检测云计算环境中的工作负载;配置所述工作负载以在其上部署传感器应用,所述传感器被配置为检测在所述工作负载上执行的运行时进程的相应数据;检测与工作负载相关联的原始盘;基于原始盘生成可检查盘;利用静态分析检查可检查盘中的网络安全对象;基于工作负载的标识符在云计算环境的日志中检测事件,该日志包括多个事件;检查代码对象中的身份对象,该代码对象用于在云计算环境中部署工作负载;基于身份对象、网络安全对象和工作负载的标识符,将运行时进程与事件相关联;以及生成包括与该事件关联的运行时进程标识符的富集日志。该方面的其它实施例包括记录在一个或更多个计算机存储设备上的相应计算机系统、装置和计算机程序,每个被配置为执行方法的措施。
6、在总体方面,系统可以包括处理电路。系统还可以包括存储器,该存储器包含指令,当由处理电路执行时,这些指令将系统配置为:检测云计算环境中的工作负载。系统还可以配置工作负载以在其上部署传感器应用,该传感器被配置为检测在工作负载上执行的运行时进程的相应数据。此外,系统可以检测与工作负载相关联的原始盘。系统还可以基于原始盘生成可检查盘。系统还可以利用静态分析来检查可检查盘中的网络安全对象。系统还可以基于工作负载的标识符在云计算环境的日志中检测事件,该日志包括多个事件。系统还可以检查代码对象中的身份对象,该代码对象用于在云计算环境中部署工作负载。系统还可以基于身份对象、网络安全对象和工作负载的标识符,将运行时进程与事件相关联。系统还可以生成包括与事件相关联的运行时进程的标识符的富集日志。该方面的其它实施例包括记录在一个或更多个计算机存储设备上的相应计算机系统、装置和计算机程序,每个被配置为执行所述方法的措施。
7、实施方式可以包括以下特征中的一个或更多个。系统中的存储器包含进一步的指令,当由处理电路执行时,这些指令进一步配置系统以:检测网络安全对象的标识符;以及基于检测到的标识符确定运行时进程是基于与网络安全对象相关联的软件执行的。系统中的存储器包含进一步的指令,当由处理电路执行时,这些指令进一步配置系统以:将原始盘克隆到可检查盘中;并响应于完成对可检查盘的检查而释放分配给可检查盘的资源。系统中的该存储器包含进一步指令,当由处理电路执行时,这些指令进一步配置系统以:将传感器配置为检测云api调用,该云api调用包括身份对象的标识符。系统中的该存储器包含进一步的指令,当由处理电路执行时,这些指令进一步配置系统以:响应于在可检查盘上检测到网络安全对象,将工作负载的表示、身份的表示和事件的表示存储在安全数据库中。系统中的该存储器包含进一步的指令,当由处理电路执行时,这些指令进一步配置系统以:访问基础设施即代码(iac)平台以检测代码对象。系统中的该存储器包含进一步的指令,当由处理电路执行时,这些指令进一步配置系统以:基于检测到的运行时数据进一步将运行时进程与事件相关联。系统中的该存储器包含进一步的指令,当由处理电路执行时,这些指令进一步配置系统以:将网络安全策略应用于富集日志。系统中的该存储器包含进一步的指令,当由处理电路执行时,这些指令进一步配置系统以:响应于检测到应用的网络安全策略的条件导致故障,启动补救措施。所描述的技术的实施方式可以包括硬件、方法或进程或计算机有形介质。