CN113811853B - 信息处理***及用于其的方法、硬件存储器装置 - Google Patents
信息处理***及用于其的方法、硬件存储器装置 Download PDFInfo
- Publication number
- CN113811853B CN113811853B CN202080032177.3A CN202080032177A CN113811853B CN 113811853 B CN113811853 B CN 113811853B CN 202080032177 A CN202080032177 A CN 202080032177A CN 113811853 B CN113811853 B CN 113811853B
- Authority
- CN
- China
- Prior art keywords
- bios
- chain
- uefi
- followed
- configuration change
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000010365 information processing Effects 0.000 title claims description 4
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 230000004044 response Effects 0.000 claims abstract description 8
- 230000008859 change Effects 0.000 claims description 81
- 238000011084 recovery Methods 0.000 claims description 11
- 230000004913 activation Effects 0.000 claims description 10
- 230000015556 catabolic process Effects 0.000 claims description 9
- 238000006731 degradation reaction Methods 0.000 claims description 9
- 238000010926 purge Methods 0.000 claims description 6
- 238000010801 machine learning Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005192 partition Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- APTZNLHMIGJTEW-UHFFFAOYSA-N pyraflufen-ethyl Chemical compound C1=C(Cl)C(OCC(=O)OCC)=CC(C=2C(=C(OC(F)F)N(C)N=2)Cl)=C1F APTZNLHMIGJTEW-UHFFFAOYSA-N 0.000 description 2
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
- G06F9/441—Multiboot arrangements, i.e. selecting an operating system to be loaded
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
描述了用于通过监测对基本输入/输出***(BIOS)或统一可扩展固件接口(UEFI)属性做出的配置改变的链来检测IHS攻击的***和方法。在一些实施方案中,一种IHS可包括:处理器;以及耦接到所述处理器的存储器,所述存储器具有存储在其上的程序指令,所述程序指令在由所述处理器执行时致使所述IHS:监测BIOS/UEFI配置改变的链;将所述BIOS/UEFI配置改变的链与攻击指标(IoA)进行比较;并且响应于所述BIOS/UEFI配置改变的链匹配所述IoA而报告警告。
Description
技术领域
本公开总体涉及信息处理***(IHS),并且更具体地涉及用于通过监测对基本输入/输出***(BIOS)或统一可扩展固件接口(UEFI)属性做出的配置改变的链来检测安全威胁的***和方法。
背景技术
随着信息的价值和用途持续增长,个人和企业寻求用于处理和存储信息的另外的方式。一个选项是信息处理***(IHS)。IHS通常处理、编译、存储和/或传达用于商业、个人或其他目的的信息或数据。因为技术和信息处理需要和部件可在不同的应用程序之间有所不同,所以IHS也可关于以下方面有所不同:处理什么信息,如何处理信息,处理、存储或传达多少信息以及可如何快速且高效地处理、存储或传达信息。IHS中的变化允许IHS是通用的或者针对特定用户或特定用途(诸如金融交易处理、航线预订、企业数据存储、全球通信等)进行配置。另外,IHS可以包括可以被配置为处理、存储和传达信息的多种硬件和软件部件,并且可以包括一个或多个计算机***、数据存储***和联网***。
计算机安全(也称为网络安全)是指保护IHS以防硬件、软件和/或电子数据失窃或受损。在此上下文中,威胁是可能利用IHS的漏洞破坏其安全并由此造成危害的可能的危险。如今,对消费者和商业IHS两者的许多安全威胁需要对手在基本输入/输出***(BIOS)或统一可扩展固件接口(UEFI)级上修改IHS的配置。
发明内容
描述了用于通过监测对基本输入/输出***(BIOS)或统一可扩展固件接口(UEFI)属性做出的配置改变的链来检测安全威胁的***和方法的实施方案。在一些说明性、非限制性实施方案中,一种IHS可包括:处理器;以及耦接到所述处理器的存储器,所述存储器具有存储在其上的程序指令,所述程序指令在由所述处理器执行时致使所述IHS:监测BIOS/UEFI配置改变的链;将所述BIOS/UEFI配置改变的链与攻击指标(IoA)进行比较;并且响应于所述BIOS/UEFI配置改变的链匹配所述IoA而报告警告。
为了监测所述BIOS/UEFI配置改变的链,所述程序指令在执行时可致使所述IHS访问存储BIOS配置属性的非易失性存储器(NVM)。在一些情况下,所述BIOS/UEFI配置改变的链可至少包括:具有第一时间戳的第一配置改变,之后是具有第二时间戳的第二配置改变。
所述IoA可至少包括:第三配置改变,之后是第四配置改变,并且所述程序指令在执行时可致使所述IHS将以下进行比较:(i)所述第一配置改变与所述第三配置改变,以及(ii)所述第二配置改变与所述第四配置改变,并且其中当发生以下情况时,所述BIOS/UEFI配置改变的链在一定程度上匹配所述IoA:(i)所述第一配置改变等于所述第三配置改变,以及(ii)所述第二配置改变等于所述第四配置改变。
另外或替代地,所述IoA可包括所述第三配置改变与所述第四配置改变之间的时间间隔,并且所述程序指令在执行时可致使所述IHS:将所述第二时间戳与所述第一时间戳之间的时间差与所述时间间隔进行比较,并且其中当所述时间差等于或小于所述时间间隔时,所述BIOS/UEFI配置改变的链在一定程度上匹配所述IoA。
在一些情况下,BIOS/UEFI配置改变的链可包括:禁用BIOS签名,之后是启用BIOS降级,之后是禁用BIOS自动恢复,之后是启用BIOS自动恢复,之后是禁用BIOS降级,以及之后是启用BIOS签名。另外或替代地,所述BIOS/UEFI配置改变的链可包括:从启动列表中选择传统启动选项,之后是禁用安全启动,之后是尝试执行传统启动。另外或替代地,所述BIOS/UEFI配置改变的链可包括:从启动列表中选择安全数字(SD)启动选项、雷电启动选项或通用串行总线(USB)启动选项,之后是将启动装置添加到所述启动列表。另外或替代地,所述BIOS/UEFI配置改变的链可包括:禁用启动路径安全,之后是以下中的至少一者:禁用安全启动,或尝试传统启动。另外或替代地,所述BIOS/UEFI配置改变的链可包括:禁用BIOS完整性检查,之后是启用BIOS降级,之后是固件更新,之后是禁用BIOS自动恢复。
另外或替代地,所述BIOS/UEFI配置改变的链可包括:用于可信平台模块(TPM)清除操作的绕过物理存在要求,之后是TPM清除操作。另外或替代地,所述BIOS/UEFI配置改变的链可包括:允许TPM清除操作,之后是以下中的至少一者:允许本地TPM激活,或允许远程TPM激活操作。另外或替代地,所述BIOS/UEFI配置改变的链可包括:启用自动开机特征、自动开机唤醒LAN特征、USB唤醒特征或唤醒坞特征,之后是以下中的至少一者:(i)允许BIOS降级,之后是允许固件更新操作,(ii)允许远程TPM激活操作,或(iii)允许内部驱动器的远程擦除。
另外或替代地,所述BIOS/UEFI配置改变的链可包括:启用自动开机特征、自动开机唤醒LAN特征、USB唤醒特征或唤醒坞特征,之后是以下中的至少一者:(i)允许BIOS降级,之后是允许固件更新操作,或(ii)允许远程TPM激活操作。另外或替代地,所述BIOS/UEFI配置改变的链可包括:启用传声器或相机,之后是自动开机传声器或相机设定。另外或替代地,所述BIOS/UEFI配置改变的链可包括:改变管理员密码的最小长度,之后是禁用强密码特征,之后是管理员密码改变。
另外或替代地,所述BIOS/UEFI配置改变的链可包括:管理员密码改变,之后是启用管理员设置锁定特征。另外或替代地,所述BIOS/UEFI配置改变的链可包括:清除入侵警报,之后是机箱入侵重置。
在另一个说明性、非限制性实施方案中,一种硬件存储器装置可具有存储在其上的程序指令,所述程序指令在由IHS的处理器执行时致使所述IHS:监测BIOS/UEFI配置改变的链;将所述BIOS/UEFI配置改变的链与IoA进行比较;并且响应于所述BIOS/UEFI配置改变的链匹配所述IoA而报告警告。
在又一个说明性、非限制性实施方案中,一种方法可包括:监测BIOS/UEFI配置改变的链;将所述BIOS/UEFI配置改变的链与IoA进行比较;并且响应于所述BIOS/UEFI配置改变的链匹配所述IoA而报告警告。
附图说明
本发明是借助于实例来示出并且不限于附图。附图中的元件是为了简单和清楚起见而示出,并且不一定按比例绘制。
图1是描绘了根据一些实施方案的被配置用于通过监测对基本输入/输出***(BIOS)或统一可扩展固件接口(UEFI)属性做出的配置改变的链来检测安全威胁的信息处理***(IHS)的某些部件的框图。
图2是描绘了根据一些实施方案的被配置来通过监测对BIOS/UEFI属性做出的配置改变的链来检测安全威胁的BIOS/UEFI安全代理的部件的框图。
图3是根据一些实施方案的用于通过监测对BIOS/UEFI属性做出的配置改变的链来检测安全威胁的方法的框图。
图4是根据一些实施方案的作为攻击的一部分的对BIOS/UEFI属性做出的配置改变的链的实例。
图5至图7是根据一些实施方案的与启动威胁相关的攻击指标(IoA)的实例。
图8是根据一些实施方案的与BIOS更新威胁相关的IoA的实例。
图9和图10是根据一些实施方案的与信任平台模块(TPM)威胁相关的IoA的实例。
图11至图13是根据一些实施方案的与远程威胁相关的IoA的实例。
图14和图15是根据一些实施方案的与认证威胁相关的IoA的实例。
图16是根据一些实施方案的与日志篡改威胁相关的IoA的实例。
具体实施方式
某些类型的安全攻击需要对手在基本输入/输出***(BIOS)或统一可扩展固件接口(UEFI)级上修改信息处理***(IHS)的配置。事实上,复杂攻击可能需要按特定次序对两个或更多个BIOS/UEFI属性做出配置改变,使得单独地检测任何给定BIOS/UEFI属性改变将不会保护IHS。为了解决这些问题和其他问题,本文所述的***和方法提供威胁建模视角和平台级安全以定义可由安全软件用作攻击指标(IoA)的BIOS/UEFI配置改变的串或链。
在一些实施方案中,IHS上的***代理可被配置来监测BIOS/UEFI配置属性的所有改变,并且将当前和历史配置改变与预定义IoA进行比较以查找匹配。IoA可例如通过了解高级对手、平台威胁模型和客户安全预先生成。在一些情况下,IoA可由第三方安全软件供应商使用以包括在它们自己的IoA过滤器中。
报告模块可被配置来在BIOS/UEFI配置改变的检测到的链匹配预定义IoA的情况下警告管理员、安全操作中心或IHS的用户。检测置信度可例如基于匹配由给定IoA规定的对应改变的配置改变的数量来测量并监测。在一些实现方式中,可采用机器学习模块以用于创建新的IoA并且维持现有IoA。
因此,本文所述的***和方法可提供对抗性且基于威胁的方式来定义并描述BIOS/UEFI配置改变的危险组合。这些技术还提供作为IoA的配置改变的特定组合的描述和递送,以及BIOS/UEFI配置的部分或完整链的风险和置信度评级,以用于IoA检测、报告和/或警告。
出于本公开的目的,IHS可包括任何工具或工具集合,所述任何工具或工具集合可操作来计算、测算、确定、分类、处理、传输、接收、检索、发起、转换、存储、显示、传达、表明、检测、记录、再现、处理或利用用于商业、科学、控制或其他目的的任何形式的信息、情报或数据。例如,IHS可以是个人计算机(例如,台式计算机或膝上型计算机)、平板计算机、移动装置(例如,个人数字助理(PDA)或智能手机)、服务器(例如,刀片服务器或机架服务器)、网络存储装置或任何其他合适的装置,并且在大小、形状、性能、功能和价格方面可有所不同。
IHS可包括随机存取存储器(RAM)、一个或多个处理资源(诸如中央处理单元(CPU)或者硬件或软件控制逻辑)、只读存储器(ROM)和/或其他类型的非易失性存储器。IHS的另外的部件可包括一个或多个磁盘驱动器、用于与外部装置通信的一个或多个网络端口、以及各种I/O装置(诸如键盘、鼠标、触摸屏和/或视频显示器)。IHS还可包括可操作来在各种硬件部件之间传输通信的一条或多条总线。
图1示出根据一些实施方案的被配置来通过监测对BIOS/UEFI属性做出的配置改变的链来检测安全威胁的IHS100的部件的实例。如图所示,IHS100包括处理器101。在各种实施方案中,IHS100可以是单处理器***或包括两个或更多个处理器的多处理器***。处理器101可包括能够执行程序指令的任何处理器,诸如PENTIUM系列处理器或者实现多种指令集架构(ISA)(诸如x86 ISA或精简指令集计算机(RISC)ISA(例如,POWERPC、ARM、SPARC、MIPS等))中的任一者的任何通用或嵌入式处理器。
处理器101可经由北桥102芯片或集成电路(IC)访问,所述集成电路经由快速通道互连(QPI)或前端总线提供接口。北桥102还提供对***存储器103的访问,所述***存储器103可被配置来存储可由处理器101访问的程序指令和/或数据。在各种实施方案中,***存储器103可使用任何合适的存储器技术诸如静态RAM(SRAM)、动态RAM(DRAM)或磁盘或者任何非易失性/闪存型存储器(诸如固态驱动器(SSD))来实现。
北桥102还可提供对图形处理器104的访问。在某些实施方案中,图形处理器104可以是安装为IHS100的部件的一个或多个视频或图形卡的部分。图形处理器104可经由诸如由AGP(加速图形端口)总线或PCIe(***部件高速互连)总线提供的图形总线耦接到北桥102。在某些实施方案中,图形处理器104生成显示信号并且将显示信号提供到监视器或其他显示装置。
IHS100包括平台控制器集线器(PCH)或南桥芯片组105,所述南桥芯片组105可包括耦接到北桥102的一个或多个IC。在某些实施方案中,PCH 105向处理器101提供对多个资源的访问权。例如,PCH 105可耦接到网络接口106,诸如网络接口控制器(NIC)。在某些实施方案中,网络接口106可经由PCIe总线等耦接到PCH 105,并且可经由各种有线和/或无线网络支持通信。一个或多个用户接口装置107可包括键盘、触控板、相机、远程控件或被配置来使得人类用户能够与IHS100交互的任何其他装置。
在各种实施方案中,SPI闪存109可通过SPI总线耦接到PCH 105。SPI闪存109可以是能够被电擦除和重新编程的非易失性存储器(NVM)装置。SPI闪存109可被划分成各种分区,其中每个分区存储用于IHS100的不同部件的指令和/或数据。
如图所示,SPI闪存109的分区可存储BIOS/UEFI固件指令110。在由处理器101执行时,BIOS/UEFI固件指令110提供抽象层,所述抽象层允许IHS的OS与由IHS100利用的某些硬件部件交接。统一可扩展固件接口(UEFI)被设计为BIOS的后继者;许多现代IHS除了BIOS之外或代替BIOS还利用UEFI。如本文所用,BIOS也意图涵盖UEFI。
具体地,在IHS100启动时,处理器101可利用BIOS/UEFI固件指令110来初始化并测试耦接到IHS100的硬件部件并且加载OS以供IHS100使用。作为启动过程的一部分,BIOS/UEFI固件指令110使得本地或远程用户能够通过修改一个或多个BIOS/UEFI配置属性的值来对多个IHS部件和过程做出配置改变。这些BIOS/UEFI配置属性存储在NVM中并且可供IHS的OS经由合适的配置接口访问。
在各种实施方案中,IHS100可不包括所示部件中的每一者。另外或替代地,IHS100可包括除了所示那些之外的部件(例如,另外的存储和用户接口装置、超I/O控制器、USB端口等)。例如,在一些情况下,密码模块可被实现为FPGA或耦接到PCH 105的其他硬件逻辑。密码硬件模块的实例是可信平台模块或TPM。此外,表示为单独部件的部件中的一些部件可在一些实现方式中与其他部件集成。在各种实施方案中,由所示部件执行的操作的全部或一部分可相反由集成到处理器101中作为片上***(SOC)等的部件执行。
图2是描绘了根据一些实施方案的被配置来通过监测对BIOS/UEFI属性做出的配置改变的链来检测安全威胁的BIOS/UEFI安全代理201的部件的框图。在此实现方式中,堆栈200包括OS206,即管理IHS硬件和软件资源并且为应用程序(诸如BIOS/UEFI安全代理201)提供通用服务的***软件。
具体地,OS206可调度任务以实现IHS100的高效使用,并且还可执行处理器时间、海量存储、打印和其他资源的成本分配。对于硬件操作(诸如输入和输出以及存储器分配),OS206表现为程序与硬件部件之间的中间体。合适类型的OS206的实例包括WINDOWS、MACOS、LINUX和其他项。
BIOS/UEFI安全代理201包括程序指令,所述程序指令在执行时执行用于通过监测对存储在NVM 205(例如,SPI闪存109的分区)中的BIOS/UEFI属性做出的配置改变的链来检测安全威胁的方法。在一些实现方式中,BIOS/UEFI安全代理201还可包括报告模块202和机器学习模块203。报告模块202包括程序指令,所述程序指令在执行时向管理员或用户发出关于检测到的BIOS/UEFI攻击的警告、报告和/或通知。同时,机器学习模块203包括程序指令,所述程序指令在执行时创建、修改和维持数据库204中(例如,硬盘驱动器上)的IoA。
数据库204中的每个IoA可包括两个或更多个BIOS/UEFI配置改变的序列,所述序列在按该具体次序被检测到时可指示威胁或攻击。每个BIOS/UEFI配置改变可由对与BIOS/UEFI配置相关联并且存储在NVM 205中的属性(例如,二进制标记、来自列表的选择等)的修改表示。
在一些情况下,NVM 205可在BIOS/UEFI配置属性随时间推移而改变时存储它们的历史值。在其他情况下,NVM可仅保留每个BIOS/UEFI配置属性的当前设定值,并且BIOS/UEFI安全代理201可在(例如,在完成启动过程时通过OS206)访问NVM 205时将那些历史改变的日志保留在查找表(LUT)、数据库等中。在BIOS/UEFI安全代理201收集历史配置改变和与那些改变相关联的其他参数(例如,相同启动、时间戳等)时,BIOS/UEFI安全代理201监测由例如本地或远程用户做出的BIOS/UEFI配置改变的链。
关于与属性改变同时收集的参数,在一些情况下,给定BIOS/UEFI配置改变可与“启动次数”值相关联,所述“启动次数”值关于先前BIOS/UEFI配置改变指示:为了使攻击匹配具体IoA,是否必须在IHS100的相同启动循环中、后续启动循环中、多次启动循环内或多次启动循环之后做出给定改变。另外或替代地,IoA可包括第一BIOS/UEFI配置改变与第二BIOS/UEFI配置改变之间的时间间隔,使得为了使攻击匹配该IoA,必须在所述时间间隔内或在所述时间间隔之后做出第二改变。在检测到BIOS/UEFI属性值改变的同时,还可存储并评估与每个此类改变相关联的时间戳。
图3是用于通过监测对BIOS/UEFI属性做出的配置改变的链来检测安全威胁的方法300的框图。在一些实施方案中,方法300可在由处理器101执行时由BIOS/UEFI安全代理201执行。具体地,方法300在框301处开始。在框302处,方法300监测对IHS100做出的BIOS/UEFI配置改变的链。
例如,如上所指出,BIOS/UEFI安全代理201可通过OS206从NVM 205中检索当前BIOS/UEFI配置属性值。接着,BIOS/UEFI安全代理201可将当前值存储在历史属性值的LUT中。LUT或数据库中的每个条目可表示随时间推移而执行的对BIOS/UEFI配置属性的改变。除了属性标识的指示和/或属性值本身之外,BIOS/UEFI配置改变的链中的每个节点或链路还可包括何时做出改变的时间戳和/或启动次数值。
框303将存储在数据库204中的IoA与历史BIOS/UEFI配置改变进行比较,并且框304确定具体IoA是否匹配。在一些情况下,如果BIOS/UEFI配置改变的链精确地匹配具体IoA的配置改变的序列,则可检测到威胁。在其他情况下,可仅在链中的BIOS/UEFI配置改变之间的时间间隔和/或启动次数也匹配该具体IoA中的对应配置改变之间的时间间隔和/或启动次数时标识匹配。
在其他情况下,框304可响应于配置改变的链匹配整个IoA的更小部分而不是依赖于精确匹配来检测到威胁。例如,如果BIOS/UEFI配置属性值改变的链匹配IoA,但与那些改变相关联的时间戳位于IoA中所指定的时间间隔的范围之外,则框304可基于BIOS/UEFI配置改变的链匹配多少IoA参数来计算检测置信度得分(例如,a%),其中不同类型的参数(例如,属性改变、时间间隔和/或启动次数)具有可选择的权重。
仍参考框304,假设BIOS/UEFI配置改变的链包括具有第一时间戳的第一配置改变,之后是具有第二时间戳的第二配置改变。同时,IoA包括第三配置改变,之后是第四配置改变。这样,框304可将以下进行比较:(i)第一配置改变与第三配置改变,以及(ii)第二配置改变与第四配置改变。在此情况下,当发生以下情况时,BIOS/UEFI配置改变的链匹配IoA:(i)第一配置改变等于第三配置改变,以及(ii)第二配置改变等于第四配置改变。
如果IoA还定义第三配置改变与第四配置改变之间的时间间隔,则框304可将第二时间戳与第一时间戳之间的时间差与时间间隔进行比较,并且可确定当时间差等于或小于时间间隔时BIOS/UEFI配置改变的链匹配IoA。替代地,框304可确定当时间差等于或大于时间间隔时BIOS/UEFI配置改变的链匹配IoA。
此外,如果IoA还定义第三配置改变与第四配置改变之间的启动次数,则框304可将所述值与第一配置改变与第二配置改变之间的启动次数进行比较,并且可确定当满足(例如,等于、小于或大于)启动次数时BIOS/UEFI配置改变的链匹配IoA。
在框305处,如果IoA已经精确地(或大致地)匹配BIOS/UEFI配置改变的链,则方法300可使报告模块202发出具有关于对***管理员等的潜在威胁的细节的警告或报告(例如,电子邮件、文本消息等)。例如,框305可报告所匹配的IoA或威胁的名称和/或与近似匹配相关联的置信度储存。在一些情况下,报告模块202可经由图形用户接口(GUI)提供BIOS/UEFI配置改变的检测到的链与所匹配的IoA之间的视觉比较。对于远程发起的威胁,还可通知IHS用户。此外,除了报告检测到的威胁或IoA匹配之外,报告模块202可被配置来向OS206发出命令以采取所选择的校正动作,诸如使本地或远程用户登出IHS100、关闭IHS、向进行的用户会话应用更严格的安全或数据保护协议等。方法300在框306处结束,但另外其可被连续地或周期性地重复(例如,在每个启动过程完成时)。
图4是根据一些实施方案的作为攻击场景400的一部分的对BIOS/UEFI属性做出的配置改变的链的实例。在攻击场景400中,攻击者对BIOS执行降级攻击,从而潜在地利用在最新BIOS中修补的漏洞。一旦攻击已执行并且已造成客户损失,攻击者就复原所有改变以尝试避免被检测到。
具体地,在框401处,用户通过将该属性的值从启用改变成禁用来禁用BIOS签名。在框402处,用户通过将该属性的值从禁用改变成启用来启用BIOS降级。在框403处,用户通过将该属性的值从启用改变成禁用来禁用BIOS自动恢复AutoRecovery。接着在框404处,用户发动BIOS降级攻击。
在框405处,在攻击已完成之后,用户通过将该属性的值从禁用改变成启用来启用BIOS自动恢复AutoRecovery。在框406处,用户通过将该属性的值从启用改变成禁用来禁用BIOS降级。最后,在框407处,用户通过将该属性的值从禁用改变成启用来启用BIOS签名。
在各种实施方案中,BIOS/UEFI安全代理201可捕获攻击场景400的事件作为BIOS/UEFI配置改变的链以及各种相关联参数(例如,时间戳、事件之间的启动次数等)。接着,BIOS/UEFI安全代理201可将BIOS/UEFI配置改变的链与一个或多个IoA中概述的对应改变进行比较。
在图5至图16中所描绘的实现方式中,各种示例性IoA已被分组成以下安全威胁类别:启动威胁、BIOS更新威胁、TPM威胁、远程威胁、认证威胁和日志篡改威胁。然而,应理解,可使用其他类别,并且某些IoA可概述跨不同安全威胁类别的BIOS/UEFI配置改变。此外,更长IoA可通过以任何合适的方式连结两个或更多个IoA以匹配新的或发展的安全威胁来(手动地或通过机器学习模块203的操作)创建。
图5至图7是根据一些实施方案的表示启动威胁的攻击指标(IoA)的实例。在IoA500的框501处,用户从启动列表中选择传统启动选项。在框502处,用户通过将该属性的值从启用改变成禁用来禁用安全启动SecureBoot。接着在框503处,用户尝试执行传统启动。关于IoA 600,在框601处,用户从启动列表中选择安全数字(SD)启动选项、雷电(Thunderbolt)启动选项或通用串行总线(USB)启动选项。接着在框602处,用户将启动装置添加到启动列表。至于IoA 700,在框701处,用户通过将该属性的值从总是这样改变成从不这样或从启用改变成禁用来首先禁用启动路径安全。接着在框702处,用户通过将该属性的值从启用改变成禁用来禁用UEFI安全启动。否则在框703处,用户尝试传统启动。
图8是根据一些实施方案的表示BIOS更新威胁的IoA的实例。在IoA 800的框801处,用户通过将该属性的值从启用改变成禁用来禁用BIOS完整性检查特征。在框802处,用户通过将该属性的值从禁用改变成启用来允许BIOS降级。在框803处,用户执行BIOS/UEFI固件更新或恢复操作。接着在框804处,用户通过将该属性的值从启用改变成禁用来禁用BIOS自动恢复AutoRecovery。
图9和图10是根据一些实施方案的表示TPM威胁的IoA的实例。在IoA 900的框901处,用户通过改变该属性的值来绕过操纵TPM或密码模块124所需的物理存在。接着在框902处,用户执行TPM清除操作。在IoA 1000的框1001处,用户执行TPM清除操作。接着在框1002处,用户执行本地TPM激活。替代地,在框1003处,由远程用户(关于IHS100)执行远程TPM激活操作。
图11至图13是根据一些实施方案的表示远程威胁的IoA的实例。在IoA 1100的框1101处,用户启用自动开机特征、自动开机唤醒LAN特征、USB唤醒特征或唤醒坞特征。在框1102处,用户通过将该属性的值从禁用改变成启用来启用BIOS降级,并且在框1103处,用户执行BIOS/UEFI固件更新或恢复操作。替代地,在框1103处,远程用户执行TPM远程激活操作。在IoA 1200的框1201处,用户启用自动开机特征、自动开机唤醒LAN特征、USB唤醒特征或唤醒坞特征。接着在框1202处,用户启用IHS内部驱动器的远程擦除。在IoA 1300的框1301处,用户启用传声器或相机。接着在1302处,用户启用自动开机传声器或相机设置。
图14和图15是根据一些实施方案的表示认证威胁的IoA的实例。在IoA 1400的框1401处,用户改变管理员的密码的最小长度。在框1402处,用户禁用强密码特征。接着在框1403处,用户改变管理员的密码。在IoA 1500的框1501处,用户改变管理员的密码。接着在框1502处,用户启用管理员设置锁定特征。
图16是根据一些实施方案的表示日志篡改威胁的IoA的实例。在IoA 1600的框1601处,用户清除入侵警报或标记(例如,BIOS日志、功率日志、热日志或RAM错误日志)。接着在框1602处,用户重置机箱入侵标记。
应强调,IoA 500至IoA 1600是非限制性实例,并且可采用许多其他IoA。在一些情况下,BIOS/UEFI安全代理201的机器学习模块203对IoA数据应用合适的机器学习算法以确定配置改变实际上如何在字段中发生(例如,以发现改变之间的相关时间间隔或启动次数)。另外或替代地,机器学习模块203可对威胁数据应用合适的机器学习算法以基于观察到的威胁和攻击的集合来自动发现并创建新的IoA。另外或替代地,机器学习模块203可对IoA或与多个IHS的集群相关的威胁数据应用合适的机器学习算法以设想与整个企业或企业集合相关的IoA。
应当理解,本文所描述的各种操作可在由逻辑或处理电路、硬件或其组合执行的软件中实现。可改变执行给定方法的每个操作的次序,并且可对各种操作进行添加、重新排序、组合、省略、修改等。本文所描述的发明意图包含所有此类修改和变化,并且因此,以上描述应被认为是说明性而非限制性的。
尽管在本文中参考特定实施方案描述了本发明,但是可在不脱离本发明的范围的情况下做出各种修改和改变,如所附的权利要求所阐述的。因此,本说明书和附图将被认为是说明性而非限制性的,并且所有此类修改意图包括在本发明的范围内。本文中关于特定实施方案描述的任何益处、优点或问题的解决方案均不意图被解释为任何或所有权利要求的关键、必需或必要的特征或元素。
除非另有说明,否则诸如“第一”和“第二”的术语用于任意地区分此类术语描述的元件。因此,这些术语不一定意图指示此类元素的时间或其他优先级。术语“耦接”或“可操作地耦接”被定义为连接,但不一定是直接连接并且不一定是机械连接。除非另有说明,否则术语“一”和“一个”被定义为一个或多个。术语“包含(comprise)”(以及包含的任何形式,诸如“包含(comprises)”和“包含(comprising)”)、“具有(have)”(以及具有的任何形式,诸如“具有(has)”和“具有(having)”)、“包括(include)”(以及包括的任何形式,诸如“包括(includes)”和“包括(including)”),或“含有(contain)”(以及含有的任何形式,诸如“含有(contains)”和“含有(containing)”)为开放式的连系动词。因此,“包含”、“具有”、“包括”或“含有”一个或多个元件的***、装置或设备拥有那些一个或多个元件,但不限于仅拥有那些一个或多个元件。类似地,“包含”、“具有”、“包括”或“含有”一个或多个操作的方法或过程拥有那些一个或多个操作,但不限于仅拥有那些一个或多个操作。
Claims (16)
1. 一种信息处理***,其包括:
处理器;以及
耦接到所述处理器的存储器,所述存储器具有存储在其上的程序指令,所述程序指令在由所述处理器执行时致使所述信息处理***:
监测基本输入/输出***BIOS/统一可扩展固件接口UEFI配置改变的链,该链至少包括:具有第一时间戳的第一配置改变,之后是具有第二时间戳的第二配置改变;
将所述BIOS/UEFI配置改变的链与攻击指标进行比较,所述攻击指标至少包括:第三配置改变,在一时间间隔之后是第四配置改变,所述比较通过将以下进行比较而进行:(i)所述第一配置改变与所述第三配置改变,以及(ii)所述第二配置改变与所述第四配置改变;以及
当(i)所述第一配置改变等于所述第三配置改变,以及(ii)所述第二配置改变等于所述第四配置改变时,考虑所述时间间隔与所述第一时间戳和所述第二时间戳之间的时间差,响应于所述BIOS/UEFI配置改变的链匹配所述攻击指标而报告警告,
其中当所述时间差等于或小于所述时间间隔时,所述BIOS/UEFI配置改变的链在一定程度上匹配所述攻击指标。
2.如权利要求1所述的信息处理***,其中为了监测所述BIOS/UEFI配置改变的链,所述程序指令在执行时还致使所述信息处理***访问存储BIOS配置属性的非易失性存储器。
3.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:禁用BIOS签名,之后是启用BIOS降级,之后是禁用BIOS自动恢复,之后是启用BIOS自动恢复,之后是禁用BIOS降级,以及之后是启用BIOS签名。
4.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:从启动列表中选择传统启动选项,之后是禁用安全启动,之后是尝试执行传统启动。
5.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:从启动列表中选择安全数字启动选项、雷电启动选项或通用串行总线启动选项,之后是将启动装置添加到所述启动列表。
6.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:禁用启动路径安全,之后是以下中的至少一者:禁用安全启动,或尝试传统启动。
7.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:禁用BIOS完整性检查,之后是启用BIOS降级,之后是固件更新,之后是禁用BIOS自动恢复。
8.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:
用于可信平台模块清除操作的绕过物理存在要求,之后是所述可信平台模块清除操作。
9.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:允许可信平台模块清除操作,之后是以下中的至少有一者:允许本地可信平台模块激活,或允许远程可信平台模块激活操作。
10.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:启用自动开机特征、自动开机唤醒LAN特征、通用串行总线唤醒特征或唤醒坞特征,之后是以下中的至少一者:(i)允许BIOS降级,之后是允许固件更新操作,(ii)允许远程TPM激活操作,或(iii)允许内部驱动器的远程擦除。
11.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:
启用传声器或相机,之后是自动开机传声器或相机设定。
12.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:
改变管理员密码的最小长度,之后是禁用强密码特征,之后是管理员密码改变。
13.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:
管理员密码改变,之后是启用管理员设置锁定特征。
14.如权利要求1或2所述的信息处理***,其中所述BIOS/UEFI配置改变的链包括:
清除入侵警报,之后是机箱入侵重置。
15.一种硬件存储器装置,其具有存储在其上的程序指令,所述程序指令在由信息处理***的处理器执行时致使所述信息处理***:
监测基本输入/输出***BIOS/统一可扩展固件接口UEFI配置改变的链,该链至少包括:具有第一时间戳的第一配置改变,之后是具有第二时间戳的第二配置改变;
将所述BIOS/UEFI配置改变的链与攻击指标进行比较,所述攻击指标至少包括:第三配置改变,一时间间隔之后是第四配置改变,所述比较通过将以下进行比较而进行:(i)所述第一配置改变与所述第三配置改变,以及(ii)所述第二配置改变与所述第四配置改变;并且
当(i)所述第一配置改变等于所述第三配置改变,以及(ii)所述第二配置改变等于所述第四配置改变时,考虑所述时间间隔与所述第一时间戳和所述第二时间戳之间的时间差,响应于所述BIOS/UEFI配置改变的链匹配所述攻击指标而报告警告,
其中当所述时间差等于或小于所述时间间隔时,所述BIOS/UEFI配置改变的链在一定程度上匹配所述攻击指标。
16.一种用于信息处理***的方法,其包括:
监测基本输入/输出***BIOS/统一可扩展固件接口UEFI配置改变的链,该链至少包括:具有第一时间戳的第一配置改变,之后是具有第二时间戳的第二配置改变;
将所述BIOS/UEFI配置改变的链与攻击指标进行比较,所述攻击指标至少包括:第三配置改变,在一时间间隔之后是第四配置改变,所述比较通过将以下进行比较而进行:(i)所述第一配置改变与所述第三配置改变,以及(ii)所述第二配置改变与所述第四配置改变;以及
当(i)所述第一配置改变等于所述第三配置改变,以及(ii)所述第二配置改变等于所述第四配置改变时,考虑所述时间间隔与所述第一时间戳和所述第二时间戳之间的时间差,响应于所述BIOS/UEFI配置改变的链匹配所述攻击指标而报告警告,
其中当所述时间差等于或小于所述时间间隔时,所述BIOS/UEFI配置改变的链在一定程度上匹配所述攻击指标。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/410,807 US11151256B2 (en) | 2019-05-13 | 2019-05-13 | Detecting security threats by monitoring chains of configuration changes made to basic input/output system (BIOS) or unified extensible firmware interface (UEFI) attributes |
US16/410,807 | 2019-05-13 | ||
PCT/US2020/031901 WO2020231744A1 (en) | 2019-05-13 | 2020-05-07 | Detecting security threats by monitoring chains of configuration changes made to bios or uefi attributes |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113811853A CN113811853A (zh) | 2021-12-17 |
CN113811853B true CN113811853B (zh) | 2024-06-14 |
Family
ID=73231517
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080032177.3A Active CN113811853B (zh) | 2019-05-13 | 2020-05-07 | 信息处理***及用于其的方法、硬件存储器装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11151256B2 (zh) |
EP (1) | EP3970037A4 (zh) |
CN (1) | CN113811853B (zh) |
TW (1) | TWI791975B (zh) |
WO (1) | WO2020231744A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11231448B2 (en) | 2017-07-20 | 2022-01-25 | Targus International Llc | Systems, methods and devices for remote power management and discovery |
CA3238668A1 (en) | 2019-08-22 | 2021-02-25 | Targus International Llc | Systems and methods for participant-controlled video conferencing |
KR20210043237A (ko) * | 2019-10-11 | 2021-04-21 | 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. | 유니크한 초기 비밀번호를 제공 |
US11907372B2 (en) * | 2020-07-13 | 2024-02-20 | Dell Products L.P. | Systems and methods for modifying system pre-boot interface configuration based on usage characteristics of an individual information handling system |
JP2022066083A (ja) * | 2020-10-16 | 2022-04-28 | キヤノン株式会社 | 情報処理装置 |
US11522708B2 (en) | 2020-12-18 | 2022-12-06 | Dell Products, L.P. | Trusted local orchestration of workspaces |
US11507661B2 (en) * | 2021-03-05 | 2022-11-22 | Dell Products L.P. | Detection of indicators of attack |
US11803454B2 (en) * | 2021-04-30 | 2023-10-31 | Dell Products L.P. | Chained loading with static and dynamic root of trust measurements |
TWI789142B (zh) * | 2021-12-03 | 2023-01-01 | 新唐科技股份有限公司 | 控制器、計算機裝置、bios復原備份方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109711161A (zh) * | 2018-12-03 | 2019-05-03 | 联想(北京)有限公司 | 一种监控方法及电子设备 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101281570B (zh) * | 2008-05-28 | 2010-07-28 | 北京工业大学 | 一种可信计算*** |
US8490179B2 (en) | 2009-10-27 | 2013-07-16 | Hewlett-Packard Development Company, L.P. | Computing platform |
WO2011071493A1 (en) | 2009-12-09 | 2011-06-16 | Hewlett-Packard Development Company, L.P. | Configuration of a basic input/output system (bios) of a computing device |
US8510569B2 (en) * | 2009-12-16 | 2013-08-13 | Intel Corporation | Providing integrity verification and attestation in a hidden execution environment |
US8312258B2 (en) * | 2010-07-22 | 2012-11-13 | Intel Corporation | Providing platform independent memory logic |
US9015455B2 (en) | 2011-07-07 | 2015-04-21 | Intel Corporation | Processsor integral technologies for BIOS flash attack protection and notification |
US9262637B2 (en) * | 2012-03-29 | 2016-02-16 | Cisco Technology, Inc. | System and method for verifying integrity of platform object using locally stored measurement |
US9870474B2 (en) * | 2013-04-08 | 2018-01-16 | Insyde Software Corp. | Detection of secure variable alteration in a computing device equipped with unified extensible firmware interface (UEFI)-compliant firmware |
US9858421B2 (en) * | 2014-07-02 | 2018-01-02 | Dell Products L.P. | Systems and methods for detecting hardware tampering of information handling system hardware |
US10387651B2 (en) * | 2014-09-23 | 2019-08-20 | Hewlett-Packard Development Company, L.P. | Detecting a change to system management mode bios code |
US9563439B2 (en) | 2015-04-27 | 2017-02-07 | Dell Products, L.P. | Caching unified extensible firmware interface (UEFI) and/or other firmware instructions in a non-volatile memory of an information handling system (IHS) |
US10019577B2 (en) * | 2016-04-14 | 2018-07-10 | Dell Products, L.P. | Hardware hardened advanced threat protection |
US10776491B2 (en) * | 2017-07-05 | 2020-09-15 | Electronics And Telecommunications Research Institute | Apparatus and method for collecting audit trail in virtual machine boot process |
-
2019
- 2019-05-13 US US16/410,807 patent/US11151256B2/en active Active
-
2020
- 2020-04-16 TW TW109112858A patent/TWI791975B/zh active
- 2020-05-07 WO PCT/US2020/031901 patent/WO2020231744A1/en unknown
- 2020-05-07 CN CN202080032177.3A patent/CN113811853B/zh active Active
- 2020-05-07 EP EP20805116.9A patent/EP3970037A4/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109711161A (zh) * | 2018-12-03 | 2019-05-03 | 联想(北京)有限公司 | 一种监控方法及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
TWI791975B (zh) | 2023-02-11 |
EP3970037A1 (en) | 2022-03-23 |
CN113811853A (zh) | 2021-12-17 |
TW202046099A (zh) | 2020-12-16 |
US11151256B2 (en) | 2021-10-19 |
US20200364342A1 (en) | 2020-11-19 |
WO2020231744A1 (en) | 2020-11-19 |
EP3970037A4 (en) | 2023-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113811853B (zh) | 信息处理***及用于其的方法、硬件存储器装置 | |
US10956575B2 (en) | Determine malware using firmware | |
US11714910B2 (en) | Measuring integrity of computing system | |
CN110785759B (zh) | 用于多核处理器的远程认证 | |
US20150220736A1 (en) | Continuous Memory Tamper Detection Through System Management Mode Integrity Verification | |
US9858421B2 (en) | Systems and methods for detecting hardware tampering of information handling system hardware | |
US11763005B2 (en) | Dynamic security policy | |
US9928367B2 (en) | Runtime verification | |
KR20160101051A (ko) | 머신 학습용 스냅샷 평가를 포함하는 보호 시스템 | |
CN111737081B (zh) | 云服务器监控方法、装置、设备及存储介质 | |
US11347858B2 (en) | System and method to inhibit firmware downgrade | |
US11636214B2 (en) | Memory scan-based process monitoring | |
CN110245495B (zh) | Bios校验方法、配置方法、设备及*** | |
US11775653B2 (en) | Security configuration determination | |
US10146952B2 (en) | Systems and methods for dynamic root of trust measurement in management controller domain | |
CN110363011B (zh) | 用于验证基于uefi的bios的安全性的方法和设备 | |
ES2960375T3 (es) | Sistema y método para detectar y para alertar de aprovechamientos en sistemas informatizados | |
US11797679B2 (en) | Trust verification system and method for a baseboard management controller (BMC) | |
US11755404B2 (en) | Custom baseboard management controller (BMC) firmware stack monitoring system and method | |
US11593490B2 (en) | System and method for maintaining trusted execution in an untrusted computing environment using a secure communication channel | |
GB2568114A (en) | Dynamic security policy | |
US20240119155A1 (en) | Generating alerts for unexpected kernel modules |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |