在一些示例中,一种用于执行设备的带外安全检查的方法包括:生成设备的状态的快照,将表示快照的数据存储到设备的非易失性存储装置,以及将快照的散列存储在设备BIOS中,转变设备的功率状态;触发可信无盘操作系统镜像的引导,将表示所述快照的数据和所述快照的散列提供到所述无盘可信操作系统镜像,以及执行基于触发事件和所述快照的散列而选择的脚本以分析所述设备的非易失性存储装置的至少一部分。分。分。
【技术实现步骤摘要】
【国外来华专利技术】安全检查
技术介绍
[0001]用户设备可能由于多种原因而变得不能工作或受到损害。例如,在设备的本地存储上提供的设备操作系统可能会由于一般文件系统或升级问题而被破坏,或者可能被恶意软件感染。
附图说明
[0002]从以下结合附图的详细描述中,某些示例的各种特征和优点将是显而易见的,附图仅以示例的方式一起示出了多个特征,并且其中:图1是根据一个示例的用于数据管理的方法的示意性表示;以及图2是根据一个示例的设备的示意性表示。
具体实施方式
[0003]在以下描述中,出于解释的目的,阐述了某些示例的许多具体细节。说明书中对“一个示例”或类似语言的引用意味着结合该示例描述的特定特征、结构或特性被包括在至少该一个示例中,但不一定在其他示例中。
[0004]端点设备,诸如计算机、膝上型计算机或其他计算或智能装置形式的用户设备,例如可以能够使用各种不同的操作系统。通常,在所讨论的设备的本地存储位置上提供这种操作系统。
[0005]操作系统不断受到来自各种参与者的攻击,所述参与者希望找到能使其运行其自己的软件或恶意软件的漏洞(exploit),诸如但不限于远程访问特洛伊木马、勒索软件或加密货币挖掘器。还可能存在其他软件或硬件的问题,其使得端点设备被损坏、不可引导或不可使用。
[0006]一旦OS(操作系统)被损坏,攻击者可以获得完全的管理员或内核级访问,从而使他们能够控制平台上的系统,使得反病毒系统(其否则可以报告一切正常)和其他检查和控制可以被攻击者破坏以隐藏它们而不被检测到。例如,恶意软件可以挂钩到各种操作系统API中以尝试并隐藏从OS内运行的进程,或者操纵OS结构,使得恶意软件的证据不被报告。
[0007]根据一个示例,用户、IT或安全工作人员、或者系统或设备本身可以休眠(或重新引导)其主OS,并经由设备的设备硬件组件(例如,固件)启动安全的增强的可信无盘操作系统镜像(image)。在一个示例中,设备硬件组件可用于在引导过程期间执行设备硬件初始化。设备硬件组件还可以提供用于操作系统和程序的运行时服务,并且通常将是设备上的预安装组件。这种设备硬件组件可以被称为BIOS(基本输入/输出系统),并且可以以诸如集成电路之类的一个或多个组件的形式来提供。这里对BIOS的引用表示可以用于在设备引导过程期间执行设备硬件初始化的任何合适的设备硬件组件。
[0008]在一个示例中,可向安全增强的可信无盘操作系统镜像提供来自主OS的信息,使得其能够检查设备的主OS存储位置和正常引导操作系统的问题,并根据需要修复这些问题,而不执行受损的操作系统和/或存储装置上包含的可能恶意软件。
[0009]在一个示例中,自动或强制引导到可信无盘镜像中以进行安全扫描可能是由于例如操作系统上的代理检测到潜在的损害(或重复的可疑行为),和/或IT(信息技术)管理员或IT安全人员从设备监视(诸如使用端点检测和响应/反病毒EDR/AV工具)或从网络业务或甚至由于某人已经访问的位置检测到可疑行为,和/或由于设备运行(或不运行)的方式而可疑的用户,和/或安装的操作系统在启动时不再引导或崩溃,并且用户因此想要运行检查(如上)。这可以包括例如MBR(主引导记录)被破坏的情况,和/或出现BIOS级攻击的事实,导致代理恢复BIOS。
[0010]图1是根据一个示例的用于执行设备的带外安全检查的方法的示意性表示。设备100包括BIOS 103和存储位置105(其可以包括例如基于盘或闪存的存储装置、CD
‑
ROM、光存储装置等)。存储位置105存储设备OS 107,其可以包括安全代理109。远程(远离设备100)位置113包括可信无盘引导镜像115。在一个示例中,可信无盘引导镜像115包括可信增强操作系统117。
[0011]代理109可以监视121 OS 107内的某些活动。在图1的示例中,代理可以作为存储在设备100的存储位置105中的OS 107的一部分来提供。设备的存储位置可以包括硬盘驱动器、磁带驱动器、软盘、光盘或USB闪存驱动器等。代理109可以检测问题、摄取检测事件以及接收命令,诸如从作为企业135的一部分的管理员接收命令。在一个示例中,在平台(BIOS 103或EC 102)和代理109之间存在可信关系。
[0012]在一个示例中,代理109的安全检测或代理109从管理员接收的通知可以触发123代理执行124 OS 107内的一个或多个脚本,并且将由一个或多个脚本的执行产生的数据保存到盘105。这使得代理109能够获得潜在被破坏OS 107如何看到设备100的状态的快照。当数据被写入盘105时,代理109可以保持所写入的内容的散列(hash)和/或将散列写入BIOS 103。这可以是文件的运行散列,但是它可以根据数据的容量和复杂度而被组织为散列树。
[0013]在一个示例中,代理109然后可以例如经由Windows管理工具WMI调用向BIOS 103发送127安全事件。BIOS 103然后可以强制129 OS 107休眠或强制重新引导(通过ACPI(高级配置和功率接口)功率管理接口)。BIOS 103可触发已被定制为以有限的用户交互来运行安全脚本119的替代的可信无盘OS镜像115的引导。例如,BIOS 103可指示131代理109从本地位置106引导预安装的可信OS无盘引导镜像。可信OS无盘引导镜像115可存储在本地但非OS存储位置106中,或可根据需要(从远程位置113)下载133。
[0014]在一个替选示例中,设备100的用户可以重新引导或休眠设备100。在设备重启时,可以(例如,通过BIOS 103菜单)向他们提供运行安全代理109的能力。在这种情况下,将不存在来自基于OS的代理的支持信息(或者基于OS的代理可以定期维护一组新的支持数据)。在这种情况下,代理109可以不是设备100的一个组件。
[0015]在一个示例中,BIOS 103可以被配置成具有位置113以获得镜像115或任何本地镜像存储106的位置,以及包括用于签署镜像115的公共密钥的安全信息,以及当前镜像的镜像版本信息或散列。这些值可以被安全地管理并存储在BIOS 103中。在一个示例中,BIOS 103可以使用该安全信息检查该镜像是批准的镜像。
[0016]BIOS 103可以使由代理109(或例如经由代理109的IT管理员)提供的任何安全事件信息连同写入到盘105的任何数据的散列可用。如果通过代理109(和相应的BIOS配置)检测到的事件触发了到镜像115的引导,则可以使如上所述的由代理记录的事件信息可用。例
如,这可经由WMI或通过UEFI变量来传送。
[0017]根据一个示例,可信无盘OS镜像115被配置成执行脚本119。脚本119可以使用事件信息来确定要执行的安全检查的级别。在这样做时,可以提示用户提供对附加问题的回答,下载附加脚本(在OS镜像内定义的或者经由BIOS配置内指定的位置并且利用证书认证的)并且提供给安全扫描OS。
[0018]作为脚本119的操作的一部分本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于执行设备的带外安全检查的方法,所述方法包括:生成所述设备的状态的快照;将表示所述快照的数据存储到所述设备的非易失性存储装置,并且将所述快照的散列存储在设备BIOS中;转换所述设备的功率状态;触发可信无盘操作系统镜像的引导;将表示所述快照的数据和所述快照的散列提供到所述可信无盘操作系统镜像;以及执行基于触发事件和所述快照的散列选择的脚本以分析所述设备的非易失性存储装置的至少一部分。2.根据权利要求1所述的方法,还包括:响应于所述触发事件而执行数据收集过程。3.根据权利要求1所述的方法,其中,所述触发事件包括安全检测或用户干预中的一个。4.根据权利要求1所述的方法,还包括:从所述可信无盘操作系统镜像安装所述设备的非易失性存储装置。5.根据权利要求1所述的方法,其中,转变所述设备的功率状态包括从所述设备的当前操作状态强制重新引导所述设备。6.根据权利要求1所述的方法,还包括从所述设备的本地存储位置安装所述可信无盘操作系统镜像,其中,所述本地存储位置与所述设备的所述非易失性存储装置分开。7.根据权利要求1所述的方法,还包括通过写入盘的数据和经由BIOS发送的散列将对所述设备的非易失性存储装置的所述至少一部分的分析的结果传送到代理。8.一种设备,其包括:BIOS,用以接收触发以发起提取包括可信无盘操作系统的可信无盘引导镜像;以及处理...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。