Система и способ противодействия атаке на вычислительные устройства пользователей

Изобретение относится к средствам выявления и противодействия атаке на вычислительные устройства пользователей. Технический результат заключается в повышении защищенности при атаке на вычислительное устройство пользователя. Технический результат достигается путем использования системы и способа, в которых: собирают данные о сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств, и данные об устройствах; собирают данные для выявления атаки. Формируют кластеры вычислительных устройств. Выявляют вектор атаки на основании характеристик вектора атаки. Выбирают действие для противодействия атаке. Выполняют действие для противодействия атаке. 2 н. и 10 з.п. ф-лы, 4 ил.

 

Область техники

Изобретение относится к решениям для защиты вычислительных устройств пользователей от компьютерных атак злоумышленников, а более конкретно к системам и способам выявления и противодействия атаке на вычислительные устройства пользователей.

Уровень техники

В настоящее время сфера услуг существенно расширилась благодаря IT-технологиям. Крупные сервисы предоставляют как IT-услуги, так и обычные услуги с использованием IT-сервисов (например, почтовые сервисы или социальные сети, покупки и платежи через сеть Интернет). Множество компаний имеют инфраструктуру, использующую IT-сервисы, при этом данные пользователей зачастую хранятся в базах данных в этой инфраструктуре. С использованием таких баз, например, фитнес-клуб может уведомлять пользователей об акциях или скидках, а также информировать пользователей о заканчивающихся абонементах или получать от пользователей обратную связь о качестве предоставляемых услуг.

Вместе с многообразием IT-сервисов и IT-услуг в настоящее время неуклонно растет и количество атак на них со стороны злоумышленников. В случае успешной атаки злоумышленники получают доступ к личным данным пользователей, что может нанести финансовый или моральный вред пользователю. С одной стороны, регистрация пользователя в сервисах необходима (по меньшей мере для предотвращения случаев некорректного поведения). С другой стороны, каждый сервис содержит базу данных, хранящую данные пользователей, которые пользуются таким сервисом, поэтому данные могут быть доступны в результате успешной атаки на упомянутый сервис.

Зачастую проводятся так называемые таргетированные атаки на упомянутые сервисы. Таргетированные атаки - это целевые атаки, направленные против конкретного сервиса, компании, организации или государственного органа. Производители приложений безопасности предлагают решения, противодействующие таким атакам. Например, в публикации US 9754106 B2 описана система противодействия таргетированным атакам. Система классифицирует события безопасности, связанные с какой-либо компанией, выявляет таргетированную атаку и предпринимает меры для противодействия упомянутой атаке.

Однако, предотвратить все утечки данных о пользователях с упомянутых сервисов практически невозможно. В результате утечек баз данных в случае успешной атаки, пользователи сервиса зачастую сталкиваются уже с атаками на свои устройства, например, с навязчивыми звонками, рекламными письмами и CMC-сообщениями, вредоносными файлами и фишинговыми ссылками. Стоит отметить, что атака в этом случае не связана явно с моделью устройства или типом операционной системы, так как пользователи сервиса связаны именно сервисом, а не каким-либо конкретным программно-аппаратным решением.

Настоящее изобретение описывает систему и способ, которые решают описанные задачи по защите устройств пользователей в случае утечки данных с сервисов, с которыми пользователь взаимодействует посредством упомянутых устройств.

Сущность изобретения

Технический результат настоящего изобретения заключается в реализации заявленного назначения.

Согласно одному из вариантов реализации предоставляется система противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях, при этом указанная система содержит: средство сбора, выполняющееся на каждом вычислительном устройстве и предназначенное для: сбора данных об упомянутых сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств; сбора данных об упомянутых вычислительных устройствах; сбора данных для выявления атаки, возникающей в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки, полученного от средства анализа; передачи всех собранных данных средству анализа; средство анализа, выполняющееся на удаленном сервере и предназначенное для: хранения правил выявления атаки на вычислительные устройства и передачи их средству сбора; формирования кластеров вычислительных устройств, посредством которых пользователи взаимодействуют сервисами, сохраняющими данные о пользователях, на основании данных, полученных от средства сбора; выявления вектора атаки на основании характеристик вектора атаки; выбора по меньшей мере одного действия для противодействия атаке, и передаче его средствам противодействия атаке на вычислительные устройства соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство другого пользователя, устройства которого входят в соответствующий кластер; средство противодействия атаке, выполняющееся на вычислительных устройствах и предназначенное для выполнения действий для противодействия атаке на вычислительные устройства, полученных от средства анализа.

Согласно другому частному варианту реализации предоставляется система, в которой данными о пользователях являются персональные данные.

Согласно еще одному частному варианту реализации предоставляется система, в которой характеристикой вектора атаки является источник или множество источников атаки.

Согласно еще одному частному варианту реализации предоставляется система, в которой характеристикой вектора атаки является элемент или множество элементов, являющихся целью атаки.

Согласно еще одному частному варианту реализации предоставляется система, в которой характеристикой вектора атаки является вид воздействия.

Согласно еще одному частному варианту реализации предоставляется система, в которой характеристикой вектора атаки является инструмент воздействия.

Согласно еще одному частному варианту реализации предоставляется способ противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях, реализуемый с помощью упомянутых средств и содержащий этапы, на которых: собирают данные об упомянутых сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств, и данные об упомянутых устройствах; собирают данные для выявления атаки, возникающей в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки; формируют кластеры вычислительных устройств, посредством которых пользователи взаимодействуют сервисами, сохраняющими данные о пользователях, на основании собранных данных: выявляют вектор атаки на основании характеристик вектора атаки; выбирают по меньшей мере одно действие для противодействия атаке и передают на устройства соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство другого пользователя, устройства которого входят в соответствующий кластер; выполняют действия для противодействия атаке на вычислительные устройства.

Согласно еще одному частному варианту реализации предоставляется способ, в котором данными о пользователях являются персональные данные.

Согласно еще одному частному варианту реализации предоставляется способ, в котором характеристикой вектора атаки является источник или множество источников атаки.

Согласно еще одному частному варианту реализации предоставляется способ, в котором характеристикой вектора атаки является элемент или множество элементов, являющихся целью атаки.

Согласно еще одному частному варианту реализации предоставляется способ, в котором характеристикой вектора атаки является вид воздействия.

Согласно еще одному частному варианту реализации предоставляется способ, в котором характеристикой вектора атаки является инструмент воздействия.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 отображает структуру взаимодействия пользователя с сервисами, сохраняющими данные о пользователях.

Фиг. 2 отображает структуру системы противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях.

Фиг. 3 отображает способ противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействует с сервисами, сохраняющими данные о пользователях.

Фиг. 4 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Под средствами системы в настоящем изобретении понимаются реальные устройства, системы, компоненты, группы компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips). Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств, или все средства, могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 4). При этом компоненты (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.

Под компьютерной атакой (далее по тексту - атакой) в настоящем изобретении понимается целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств (ГОСТ 51275-2006).

Фиг. 1 отображает структуру взаимодействия пользователя с сервисами, сохраняющими данные о пользователях.

Взаимодействие пользователя 110 с сервисами 120, сохраняющими данные о пользователях (далее по тексту - сервисами), в общем случае происходит с использованием вычислительных устройств 130 (далее по тексту - устройства). Устройствами 130 могут являться телефон, компьютер, планшетный ПК. В общем случае взаимодействие двунаправленно (взаимодействие происходит/инициируется как со стороны пользователя 110, так и со стороны сервисов 120). Например, пользователь 110 может обращаться к какому-либо сервису 120 посредством учетной записи, сервис 120 может информировать пользователя 110 рассылкой уведомлений на электронную почту или по номеру мобильного телефона (при этом пользователь 110 использует устройства 130 для чтения почты и получения звонков от сервисов 120). В частном варианте реализации пользователь 110 взаимодействует с сервисом 120 посредством некоторых устройств 130 однонаправленно. Например, пользователь 110 никак не взаимодействует с сервисом 120 посредством смс-сообщений, однако получает их от сервиса 120. В одном из вариантов реализации пользователь 110 может взаимодействовать с сервисом посредством разных устройств 130 (например, проверять электронную почту или пользоваться социальными сетями посредством персонального компьютера и смартфона).

Данные о пользователях в каком-либо виде сохраняются сервисом 120, в общем случае с использованием инфраструктуры сервиса 120, например, в базу данных 125. Обычно пользователь 110 выполняет процедуру регистрации (далее по тексту - регистрация), при этом предоставляя сервису 120 персональную информацию с разной степенью идентификации пользователя 110. В одном случае это может быть, например, регистрация на сервисе 120, где требуется электронная почта с подтверждением регистрации. В другом случае, например, происходит регистрация пользователя 110 при обращении в фитнес-клуб для заключения договора с упомянутым фитнес-клубом с внесением паспортных и других данных в договор.

Фиг. 2 отображает структуру системы противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях.

Стоит отметить, что в одном из вариантов реализации системы данными о пользователях являются персональные данные пользователей.

Система противодействия атаке на вычислительные устройства 130, посредством которых пользователи 110 взаимодействуют с сервисами 120, сохраняющими данные о пользователях, в общем случае является частью приложения безопасности (например, антивирусного приложения) и состоит из средства сбора, средства анализа и средства противодействия атаке.

Средство сбора 210 в общем случае реализации выполняется на устройствах 130, посредством которых пользователи 110 взаимодействует с сервисами 120.

Средство сбора 210 может выступать в качестве известных компонентов антивирусных приложений, например, модулей антиспам, антифишинг или определителей номеров (например, Kaspersky WhoCalls). Средство сбора 210 собирает данные о сервисах 120, с которыми взаимодействует пользователь 110, и об устройствах 130, посредством которых пользователь 110 взаимодействует с сервисами 120.

Данными о сервисах 120 могут являться (но не ограничиваются):

- тип сервиса 120 (сайт, электронная почта, организация);

- собранные сервисом 120 личные данные пользователей 110;

- местоположение сервиса 120;

- направленность взаимодействия с сервисом 120.

Данными об устройствах 130 могут являться (но не ограничиваются):

- тип устройства 130 (телефон, планшет, ноутбук);

- операционная система, под управлением которой работает устройство 130;

- данные о приложении на устройстве 130, посредством которого пользователь 110 взаимодействует с сервисом 120;

- установленные известные уязвимые приложения на устройстве 130;

- установленные патчи безопасности на ОС устройства 130 и приложения;

- местоположение устройства 130.

В одном из вариантов реализации средство сбора 210 также собирает данные, которые выявляют атаку, возникающую в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса 120. Утечка в общем случае возникает в случае успешной атаки на сервис 120 и получении злоумышленниками доступа к данным о пользователях 110. Затем с помощью различных приемов социальной инженерии, вредоносных программ и ссылок злоумышленники могут пытаться воздействовать на пользователя 110 или его устройства 130 для получения несанкционированного доступа к личным (конфиденциальным) данным пользователя. Атака выявляется на основании по меньшей мере одного правила выявления атаки. Например, если пользователь 110 получил электронное письмо с вложением с неизвестного адреса, или если получил звонок с неизвестного номера определенного сотового оператора. В общем случае, упомянутые правила могут меняться и описываться более подробными эвристиками. В одном из вариантов реализации правила формируются автоматически на основании статистических данных. В другом варианте реализации правила формируются с участием специалиста по информационной безопасности. В общем случае упомянутые правила хранятся на удаленном сервере и могут быть получены средством сбора 210 от средства анализа 220.

В предпочтительном варианте реализации собираемые данные обезличены.

В одном из вариантов реализации получает информацию о выполненных действиях для противодействия атаке от средства противодействия атаке 230. В случае, если ранее была выявлена атака согласно по меньшей мере одному правилу, средство сбора 210 выявляет ранее выявленную атаку на устройствах 130 других пользователей 110 кластера (описано ниже), сформированного средством анализа 220, и передает средству анализа 220 информацию с учетом выполненных действий, выявляется ли атака с помощью упомянутого правила после выполненных действий.

В одном из вариантов реализации средство сбора 210 выполняется на удаленном сервере 290 или в качестве облачного сервиса. При этом средство сбора собирает и анализирует данные сервисов 120, сохраняющих данные о пользователях 110, которые доступны в сети Интернет 280, а также в сетях, доступных посредством сети Интернет (например, в сети Tor). При этом в одном из вариантов реализации происходит анализ данных, которые «утекли» в сеть. Например, баз данных пользователей, которые продаются или раздаются бесплатно. Случаи «утечек» баз данных многократно известны, это могут быть и банковские базы данных, и адреса электронной почты пользователей, а также базы данных различных организаций, с которыми взаимодействуют пользователи 110.

Данные, собранные средством сбора 210 передаются средству анализа 220.

Средство анализа 220 выполняется на удаленном сервере 290 или в качестве облачного сервиса. В общем случае средство анализа 220 создает (формирует) кластеры устройств 130, посредством которых пользователи 110 взаимодействуют с сервисами 120, на основании данных, полученных от средства сбора 210.

В одном из вариантов реализации упомянутые кластеры создаются непрерывно. Например, через определенный интервал времени происходит анализ, с какими сервисами 120 посредством каких устройств 130 осуществляется взаимодействие пользователей 110. При этом в одном из вариантов реализации устройства 130 пользователей 110 могут исключаться из кластеров при определенных условиях. Например, если пользователь 110 не взаимодействовал с сервисом 120 посредством устройства 130 какое-либо время, или само устройство 130 давно отсутствует у пользователя 110, оно может быть исключено средством анализа 220 из сформированных кластеров.

В другом варианте реализации кластеры создаются динамически, в момент выявления факта атаки.

Как было описано в примерах выше, на основании правил можно выявить факт атаки на устройство 130. На основании факта атаки средство анализа 220 выявляет вектор атаки. Вектор атаки- направление или конкретный способ воздействия на устройство 130 со стороны злоумышленника при реализации угрозы безопасности. При реализации угрозы безопасности злоумышленником могут использоваться различные уязвимости, в том числе недостаточный уровень защиты, несовершенство системного и прикладного программного обеспечения, а также протоколов сетевого взаимодействия информационной системы. Определяющими вектор атаки характеристиками могут быть по меньшей мере:

- источник или множество источников атаки;

- элемент или множество элементов, являющихся целью атаки;

- вид воздействия;

- инструменты воздействия.

Таким образом, источник атаки - это в общем случае сервис 120, с которым взаимодействует пользователь 110. При атаке сервис 120 распространяет ссылки, смс или электронные письма. Стоит отметить, что источником в частном случае может являться не сервис 120. Например, вредоносный файл может быть получен на компакт-диске или флэш-накопителе. Однако, даже в этом случае средство анализа 220 может выявить связь по источнику атаки, например, диски или накопители были получены пользователями от какого-либо сервиса 120 (например, от фитнес-клуба или ресторана в рамках PR-акции).

Элементы, являющиеся целью атаки, в общем случае - устройства 130 пользователя 110 или разных пользователей 110. Атака может осуществляться на несколько устройств 130 пользователей одновременно, например, с целью большего охвата и повышения вероятности успеха атаки со стороны злоумышленников. Если злоумышленникам стали доступны данные пользователя 130, содержащие его электронную почту и номер телефона, пользователю 130 одновременно могут поступать письма на почту и звонки на телефонный номер.

Примеры видов воздействия были рассмотрены выше, ими может являться ссылка, смс или письмо, полученное по электронной почте, текстовые, аудио и видео сообщения в мессенджерах, а также звонки в мессенджеры (от людей или роботов).

Инструменты воздействия - вредоносные файлы, сценарии, текст, содержащий приемы социальной инженерии (когда злоумышленник пытается по смс или в социальной сети получить от пользователя, например, данные его банковской карты), нежелательный звонок.

Таким образом, «утекшие» базы данных, регистрация пользователя на интернет-сайтах (например, таких как «Авито»), кратковременный взлом сайтов злоумышленниками (например, кратковременный взлом новостного сайта либо сайта, посвященного компьютерной игре или определенной тематике), позволяет злоумышленникам на основании полученных данных о пользователях 110 осуществлять атаку на устройства 130.

В одном из вариантов реализации при выявлении вектора атаки средство анализа 220 сравнивает характеристики вектора атаки с атаками на устройства 110 других пользователей 130. В случае совпадения характеристик вектора атаки на по меньшей мере одно устройство 130 другого пользователя 110, устройства которого входят в соответствующий кластер, средство анализа 220 передает данные об атаке средствам противодействия атаке 230 на устройства 130, входящих в соответствующий кластер. В одном из вариантов реализации средство анализа 220 также передает информацию о по меньшей мере одном действии, которое необходимо выполнить для противодействия атаке.

В одном из вариантов реализации средство анализа 220 получает от средства сбора информацию о ранее выполненных действиях и информацию о том, срабатывает ли правило выявления атаки после предпринятых действий. На основании полученных от средства сбора 210 данных средство анализа 220 анализирует эффективность выполненных действий для противодействия атаке. В общем случае выполненные действия признаются эффективными, если в результате атака не выявляется упомянутым правилом выявления атаки на устройствах 130 других пользователей 110.

В одном из вариантов реализации средство анализа 220 использует в качестве обратной связи взаимодействие (коммуникацию) с самим пользователем 110 (например, посредством CMC, письма, мессенджера, звонка). На основании обратной связи средство анализа 220 выявляет, верно ли определена (выявлена или идентифицирована) атака, или пользователь 110 считает ее ложным срабатыванием.

В одном из вариантов реализации средство анализа 220 получает от пользователя 110 информацию о его гипотезах об источнике утечки его данных. Например, пользователя ранее не беспокоила CMC-рассылка, но он недавно записался в спортивный клуб, и началась спам-рассылка на спортивную тематику. Пользователь считает, что рассылка началась после записи в упомянутый клуб. Средством анализа 220 подобная информация используется для более точного формирования кластеров устройств 130 и выявления векторов атаки.

В одном из вариантов реализации средство анализа 220 в случае выявления кластеров устройств 130 и векторов атаки оповещает пользователей 110 об источнике утечки данных о пользователях (вероятно, пользователь захочет подать в суд на компенсацию, или разорвать договорные отношения, потребовать удалить свои данные из этого сервиса 120, хотя это поможет только от новых, а не старых утечек данных). В еще одном варианте реализации средство анализа 220 оповещает сервис 120, с которого произошла утечка данных о пользователях 110, чтобы на сервисе 120 был проведен, например, аудит своих систем безопасности, выявлена причина утечки, предприняты действия для предотвращения повторной утечки. Кроме того, в этом случае сервис 120 может оповестить остальных пользователей 110 от своего имени об утечке.

Средство противодействия атаке 230 в общем случае реализации выполняется на устройствах пользователя 130, посредством которых пользователь 110 взаимодействует с сервисами 120. В общем случае оно выполняет действия, полученные от средства анализа 220, для противодействия атаке. Примерами действий являются (но не ограничиваются ими):

- текстовое предупреждение об атаке;

- добавление ссылки в список блокировки;

- добавление телефонного номера в список блокировки (как в телефоне, так и в мессенджерах);

- добавление почтового адреса отправителя в список блокировки;

- удаление файла из кэша ОС или какого-либо приложения по определенному пути;

- автоматический перевод в «усиленный» режим технологий приложения безопасности, которые отвечают за противодействие атакам из того вектора, которому соответствует данный кластер устройств 130.

В одном из вариантов реализации информацию о выполненных действиях средство противодействия атаке 230 передает средству сбора 210. При этом с учетом описанного выше стоит понимать, что если средство сбора 210 перестает выявлять атаку на основании правил выявления атаки (например, пользователь получил CMC со ссылкой, но так и не перешел по ссылке, так как ссылка добавлена в список блокировки), то данные об этом также передаются средству анализа 220 для оценки эффективности выбранных действий для противодействия атаке. Это важно из-за многообразия устройств 130 и привилегий приложения безопасности. Так, например, в зависимости от операционной системы приложение безопасности может иметь разные привилегии, поэтому для разных устройств 130 одного типа (например, мобильный телефон) не всегда подходит одно действие для противодействия атаке (так как, например, в ОС Android и в ОС iOS приложение безопасности имеет различный набор привилегий).

Примером работы настоящей системы может являться следующая ситуация. Произошла утечка базы данных биржи, легально торгующей криптовалютами. При этом часть зарегистрированных пользователей биржи прошла верификацию, другая часть пользователей делала вывод средств на банковские карты, поэтому личные данные (фотографии паспорта, номер телефона, номер банковской карты) данные стали доступными злоумышленникам. Таким образом, упомянутая биржа - это сервис 120, сохраняющий данные о пользователях 110. Сервис 120 не имел достаточной защиты и программного обеспечения для предотвращения утечки своих базах данных, поэтому необходимо защитить пользователей 110, данные которых стали доступны злоумышленникам. Стоит отметить, что в подобной ситуации может возникнуть несколько различных атак от различных групп злоумышленников, если база с данными пользователей 110 попадет в публичный доступ.

Злоумышленники начинают атаку с различными векторами. Например, рассылают письма с вредоносными вложениями (фишинговыми ссылками и программами-кейлоггерами) по электронной почте, звонят в банк, используя паспортные данные и номер карты пользователя 110, звонят, рассылают CMC и связываются с пользователем 110 посредством социальных сетей с целью получения дополнительных данных пользователя 110.

Средство сбора 210 собирает данные о подобных смс, звонках и письмах согласно правилам выявления атаки (например, правило: если письмо по электронной почте от неизвестного отправителя содержит адрес кошелька криптовалют и предложение с ключевыми словами об инвестировании). Кроме того, ранее средством сбора 210 были собраны данные о том, что пользователи взаимодействуют с упомянутой биржей. Кроме того, средство сбора 210 обнаружило в сети «Tor» на специализированном форуме упомянутую базу с данными о пользователях 110.

После передачи данных средству анализа 220 были сформированы кластеры устройств 130 пользователей 110. Пользователи 110 используют различные мобильные устройства и ПК под управлением различных операционных систем. Кроме того, средством анализа 220 были определены векторы атаки. Для устройств 130 в зависимости от типа устройства 130 и ОС устройства 130 средством анализа 220 были выбраны действия для противодействия атаке. Данные действия были разосланы на устройства 130 пользователей 110 и выполнены средствами противодействия атаке 230.

В результате часть векторов атаки перестала проявляться (либо количество проявлений существенно уменьшилось), другая часть осталась без изменений. Данные, полученные средством анализа 220 от средства сбора 210, после выполнения действий средством противодействия атаке 230 позволяют средству анализа 220 рассчитать эффективность примененного действия. Если она ниже порогового значения, выбираются другие или дополнительные действия и рассылаются средствам противодействия атаке 230.

Описанный процесс работы системы продолжается, при выявлении новой атаки последовательность действий системы повторяется.

Фиг. 3 отображает структуру способа противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях.

На этапе 310 с помощью средства сбора 210 собирают данные об упомянутых сервисах 120, с которыми взаимодействуют пользователи 110 посредством устройств 130, и данные об упомянутых устройствах 130. В одном из вариантов реализации средство сбора 210 дополнительно предназначено для сбора доступных в сети Интернет данных о сервисах 120, сохраняющих данные о пользователях 110.

На этапе 320 собирают с помощью средства сбора 210 данные на устройстве, которые выявляют атаку, возникающую в результате утечки данных о пользователях 110 с по меньшей мере одного упомянутого сервиса 120, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки. Собранные данные передаются средству анализа 220.

На этапе 330 с помощью средства анализа 220 формируют кластеры устройств 130, посредством которых пользователи 110 взаимодействуют сервисами 120, сохраняющими данные о пользователях, на основании собранных средством сбора 210 данных.

На этапе 340 выявляют с помощью средства анализа 220 вектор атаки на основании характеристик вектора атаки. Определяющими вектор атаки характеристиками могут быть по меньшей мере:

- источник или множество источников атаки;

- элемент или множество элементов, являющихся целью атаки;

- вид воздействия;

- инструменты воздействия.

На этапе 350 выбирают с помощью средства анализа 220 по меньшей мере одно действие для противодействия атаке и передают его средству противодействия атаке 230 на устройства 130 всех пользователей 110 соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство 130 другого пользователя 110, устройства 130 которого входят в соответствующий кластер.

На этапе 360 выполняют с помощью средства противодействия атаке 230 действия для противодействия атаке на вычислительные устройства 130 пользователей 110.

В одном из вариантов реализации на этапе 370, выполняющемся после этапа 320, дополнительно на основании полученных от средства сбора 210 данных средство анализа 220 анализирует эффективность выполненных действий для противодействия атаке. В общем случае выполненные действия признаются эффективными, если в результате атака не выявляется упомянутым правилом выявления атаки на устройствах 130 других пользователей 110.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Система противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях, при этом указанная система содержит:

i) средство сбора, выполняющееся на каждом вычислительном устройстве и предназначенное для:

- сбора данных об упомянутых сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств;

- сбора данных об упомянутых вычислительных устройствах;

- сбора данных для выявления атаки, возникающей в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки, полученного от средства анализа;

- передачи всех собранных данных средству анализа;

ii) средство анализа, выполняющееся на удаленном сервере и предназначенное для:

- хранения правил выявления атаки на вычислительные устройства и передачи их средству сбора;

- формирования кластеров вычислительных устройств, посредством которых пользователи взаимодействуют сервисами, сохраняющими данные о пользователях, на основании данных, полученных от средства сбора;

- выявления вектора атаки на основании характеристик вектора атаки;

- выбора по меньшей мере одного действия для противодействия атаке, и передаче его средствам противодействия атаке на вычислительные устройства соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство другого пользователя, устройства которого входят в соответствующий кластер;

iii) средство противодействия атаке, выполняющееся на вычислительных устройствах и предназначенное для выполнения действий для противодействия атаке на вычислительные устройства, полученных от средства анализа.

2. Система по п. 1, в которой данными о пользователях являются персональные данные.

3. Система по п. 1, в которой характеристикой вектора атаки является источник или множество источников атаки.

4. Система по п. 1, в которой характеристикой вектора атаки является элемент или множество элементов, являющихся целью атаки.

5. Система по п. 1, в которой характеристикой вектора атаки является вид воздействия.

6. Система по п. 1, в которой характеристикой вектора атаки является инструмент воздействия.

7. Способ противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях, реализуемый с помощью упомянутых средств и содержащий этапы, на которых:

- собирают данные об упомянутых сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств, и данные об упомянутых устройствах;

- собирают данные для выявления атаки, возникающей в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки;

- формируют кластеры вычислительных устройств, посредством которых пользователи взаимодействуют сервисами, сохраняющими данные о пользователях, на основании собранных данных:

- выявляют вектор атаки на основании характеристик вектора атаки;

- выбирают по меньшей мере одно действие для противодействия атаке и передают на устройства соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство другого пользователя, устройства которого входят в соответствующий кластер;

- выполняют действия для противодействия атаке на вычислительные устройства.

8. Способ п. 7, в котором данными о пользователях являются персональные данные.

9. Способ по п. 7, в котором характеристикой вектора атаки является источник или множество источников атаки.

10. Способ по п. 7, в котором характеристикой вектора атаки является элемент или множество элементов, являющихся целью атаки.

11. Способ по п. 7, в котором характеристикой вектора атаки является вид воздействия.

12. Способ по п. 7, в котором характеристикой вектора атаки является инструмент воздействия.



 

Похожие патенты:

Изобретение относится к управлению доступом пользователей в Интернет и защите пользователей от нежелательного контента в Интернете. Технический результат – повышение надежности защиты пользователей от нежелательного содержания запрашиваемых веб-страниц за счет автоматического определения тематик веб-страниц.

Изобретение относится к способу персонализированного поиска на основе признаков изображения продукта. Технический результат заключается в повышении релевантности персонализированного поиска.

Изобретение относится к области эксплуатации системы управления доступом. Технический результат заключается в обеспечении способа для эксплуатации системы управления доступом, содержащей сервер, по меньшей мере одно устройство управления доступом и по меньшей мере одно устройство кассового терминала, применительно к правам доступа для зоны, охваченной системой управления доступом, посредством выполнения которого для случаев, когда устройство кассового терминала системы управления доступом находится в автономном режиме, поддерживается эксплуатация системы управления доступом.

Изобретение относится к вычислительной технике. Технический результат: уменьшение аппаратных затрат при сохранении элементного базиса.

Изобретение относится к области вычислительной техники, предназначенной для аутентификации пользователей. Технический результат заключается в повышении точности биометрической аутентификации пользователя за счет снижения вероятности возникновения ошибок при биометрической аутентификации пользователя.

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение составного приложения для множества устройств.

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение составного приложения на множестве устройств.

Группа изобретений относится к медицине, а именно к управлению выполняемым машиной медицинским планом лечения. Предложена система, содержащая машиночитаемый носитель, для реализации способа, согласно которому: анализируют по меньшей мере одну из схем лечения, соответствующую рекуррентным схемам в планах лечения, и предшествующие планы лечения с учетом информации о пациенте для создания рекомендаций к плану лечения с использованием процессора; затем принимают вводимые пользователем данные, относящиеся к рекомендациям к плану лечения, с помощью пользовательского интерфейса и затем создают текущий установленный план лечения на основе рекомендаций к плану лечения и вводимых пользователем данных, относящихся к рекомендациям к плану лечения, с использованием процессора.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении достоверности выявления недекларированных возможностей в получаемых обновлениях программного обеспечения сетевого оборудования.

Изобретение относится к области беспроводной связи. Технический результат – повышение защищенности уровня управления логическим каналом, действующим в сети беспроводной связи. Первый узел для управления защитой целостности блока пакетных данных (PDU) управления логического канала (LLC) выполнен с возможностью осуществления связи в сети беспроводной связи, причем первый узел снабжает блок PDU LLC индикатором, указывающим, что защита целостности была применена, по меньшей мере, к части блока PDU LLC, индикатор может указывать, что поле кода аутентификации сообщения (MAC) содержится в блоке PDU LLC, относящем к упомянутой защите целостности, первый узел передает блок PDU LLC с индикацией другому, второму узлу, который затем может идентифицировать, основываясь на индикации, что принятый блок PDU LLC применяет защиту целостности. 6 н. и 26 з.п. ф-лы, 13 ил.

Изобретение относится к области вычислительной техники. Технический результат заключается в выявлении уязвимостей в приложениях с использованием перехвата вызовов функций. Раскрыта система выявления уязвимостей приложения перехватом вызовов функций путем изменения кода приложения, которая содержит: средство модификации, предназначенное для: выявления в коде анализируемого приложения по меньшей мере одной функции согласно по меньшей мере одному правилу модификации функций, при этом правило содержит по меньшей мере прототип функции и соглашение о вызове упомянутой функции; добавления при запуске приложения в память приложения исполняемого кода, который осуществляет перехват вызова функции и берет управление на себя, а по завершении исполнения возвращает управление в функцию; средство исполнения, предназначенное для: исполнения приложения после добавления исполняемого кода средством модификации; сбора данных с использованием добавленного исполняемого кода; передачи упомянутых данных средству анализа; средство анализа, предназначенное для: анализа данных, полученных от средства исполнения, с помощью по меньшей мере одного требования безопасного исполнения, при этом требование содержит по меньшей мере диапазон допустимых значений аргументов для функций, для которых средством модификации был добавлен исполняемый код для перехвата их вызова; выявления по меньшей мере одной уязвимости в приложении в случае несоответствия данных, полученных от средства исполнения, диапазону допустимых значений по меньшей мере одного требования. 2 н. и 12 з.п. ф-лы, 3 ил.

Изобретение относится к системе и способу прекращения работы функционально ограниченного приложения, взаимосвязанного с веб-сайтом, запускаемого без установки. Технический результат заключается в предотвращении использования приложений, содержащих вредоносный код, запускаемых без установки. Указанный технический результат достигается путем выполнения проверки полнофункционального устанавливаемого приложения, взаимосвязанного с веб-сайтом, соответствующего функционально ограниченному приложению, запускаемому без установки, и прекращения запуска функционально ограниченного приложения, запускаемого без установки при обнаружении вредоносного кода. 2 н. и 12 з.п. ф-лы, 4 ил.

Изобретение относится к области вычислительной техники. Технический результат заключается в определении факта компрометации данных за счет анализа различий между вычисленными на основании упомянутых данных имитовставками. Раскрыта система вынесения решения о компрометации данных, которая содержит: а) средство вычисления имитовставки, предназначенное для вычисления имитовставки последовательно для каждого выбранного сообщения из журнала данных, содержащего по меньшей мере два сообщения, при этом вычисление имитовставки включает в себя: (iii) для первого выбранного сообщения: вычисление имитовставки на основании заранее заданного ключа шифрования и выбранного сообщения; (iv) для каждого последующего после первого выбранного сообщения: формирование ключа шифрования на основании ключа шифрования, сформированного для сообщения, выбранного ранее; формирование блока данных на основании выбранного сообщения и имитовставки, вычисленной для сообщения, выбранного ранее; вычисление имитовставки на основании сформированных ключа шифрования и блока данных; записи в базу сообщений записи, содержащей последнюю вычисленную имитовставку и все выбранные сообщения; б) средство вынесения решения о проверке, предназначенное для: перехвата события, удовлетворяющего заранее заданным правилам, при этом событие возникает в случае записи сообщения в журнал данных; вынесения решения о необходимости выполнения проверки компрометации данных на основании перехваченного события и последующей отправки средству проверки выбранной записи из базы сообщений; в) средство проверки, предназначенное для анализа записи, при этом анализ включает в себя: вычисление имитовставки последовательно для каждого сообщения, содержащегося в полученной записи, включающее в себя: (i) для первого сообщения: вычисление имитовставки на основании заранее заданного ключа шифрования и выбранного сообщения; (ii) для каждого последующего после первого сообщения: формирование ключа шифрования на основании ключа шифрования, сформированного для сообщения, выбранного ранее, формирование блока данных на основании выбранного сообщения и имитовставки, вычисленной для сообщения, выбранного ранее, вычисление имитовставки на основании сформированных ключа шифрования и блока данных; сравнение вычисленной имитовставки с имитовставкой, содержащейся в выбранной записи; вынесение решения о компрометации данных, если вычисленная имитовставка не совпадает с имитовставкой, содержащейся в выбранной записи. 2 н. и 6 з.п. ф-лы, 3 ил.

Изобретение относится к области компьютерной безопасности, а именно к созданию антивирусных записей. Технический результат – расширение арсенала технических средств для создания антивирусной записи. Способ создания антивирусной записи с использованием журнала вызовов, содержащего зарегистрированные во время выполнения файла на виртуальной машине записи о вызовах API-функций, в котором при выявлении поведенческого правила, соответствующего записи из журнала вызовов, определяют файл как вредоносный, затем извлекают из выявленного поведенческого правила записи о вызовах API-функций и создают антивирусную запись для средства защиты вычислительного устройства, состоящую из извлеченных записей о вызовах API-функций, при этом упомянутое средство защиты вычислительного устройства предназначено для выполнения антивирусной проверки файла. 2 н. и 12 з.п. ф-лы, 6 ил.

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение обучения модели обнаружения вредоносных контейнеров. Раскрыта система обучения модели обнаружения вредоносных контейнеров, при этом в качестве контейнера выступает файл, содержащий в себе по меньшей мере два и более объектов, представляющих собой логически обособленные области данных упомянутого контейнера (далее - объекты), которая содержит: средство определения параметров, предназначенное для определения параметров каждого объекта, выбранного из анализируемого контейнера, при этом один из параметров характеризует функциональную связь объектов между собой; средство формирования свертки, предназначенное для формирования свертки на основании параметров объектов, определенных средством определения параметров, в качестве которой выступает многомерный вектор, каждому элементу которого соответствует свой уникальный параметр из определенных параметров, а значение упомянутого элемента соответствует количеству объектов, для которых был определен упомянутый параметр; средство обучения, предназначенное для машинного обучения модели обнаружения вредоносных контейнеров на основании по меньшей мере одной свертки, сформированной для безопасного контейнера и одного вредоносного контейнера, при этом упомянутая модель обнаружения представляет собой алгоритм вычисления степени вредоносности контейнера, а степень вредоносности контейнера - численное значение, характеризующее вероятность того, что упомянутый контейнер является вредоносным. 2 н. и 8 з.п. ф-лы, 5 ил., 2 табл.

Изобретение относится к средствам обнаружения вредоносной активности на компьютерной системе. Технический результат заключается в повышении вероятности обнаружения вредоносной активности. Собирают информацию об объектах компьютерной системы (далее объекты). Определяют связи между объектами на основании анализа собранной информации, при этом каждой связи ставится в соответствие степень достоверности связи. Формируют по меньшей мере два графа на основании определенных связей таким образом, чтобы диаметр графа был менее заранее заданного параметра, при этом в качестве вершин графа выступают объекты, а в качестве ребер - определенные на предыдущем этапе связи. Формируют итоговый граф на основании сформированных графов таким образом, чтобы итоговый граф содержал по меньшей мере по одной вершине из первого и второго графов и одно ребро, соединяющее упомянутые вершины. Выбирают из базы графов по меньшей мере один граф, степень схожести которого с сформированным итоговым графом превышает заранее заданный уровень, при этом в базе графов хранятся заранее сформированные графы активности компьютерной системы, каждому из которых поставлен в соответствие коэффициент вредоносной активности. Выносят решение об обнаружении вредоносной активности на компьютерной системе на основании результатов анализа сформированного и выбранного графов. 2 н. и 14 з.п. ф-лы, 4 ил.

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение определения неизвестных атрибутов фрагментов веб-данных при запуске веб-страницы в браузере. Раскрыт реализуемый компьютером способ определения неизвестных атрибутов фрагментов веб-данных при запуске веб-страницы в браузере, в котором: создают по меньшей мере один вспомогательный универсальный указатель ресурса (URL) на основе исходного URL веб-страницы; выполняют с помощью браузера запрос на сервер по адресу по меньшей мере одного вспомогательного URL; определяют по меньшей мере один фрагмент веб-данных, который был отправлен браузером на сервер при упомянутом запросе по адресу по меньшей мере одного вспомогательного URL; определяют по меньшей мере один неизвестный атрибут для по меньшей мере одного определенного фрагмента веб-данных на основании известных атрибутов упомянутого определенного фрагмента веб-данных и по меньшей мере одного созданного вспомогательного URL. 13 з.п. ф-лы, 4 ил.

Изобретение относится к средствам выявления и противодействия атаке на вычислительные устройства пользователей. Технический результат заключается в повышении защищенности при атаке на вычислительное устройство пользователя. Технический результат достигается путем использования системы и способа, в которых: собирают данные о сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств, и данные об устройствах; собирают данные для выявления атаки. Формируют кластеры вычислительных устройств. Выявляют вектор атаки на основании характеристик вектора атаки. Выбирают действие для противодействия атаке. Выполняют действие для противодействия атаке. 2 н. и 10 з.п. ф-лы, 4 ил.

Наверх