[发明专利]基于上下文的计算机安全风险缓解的系统和方法

权利要求书

1.一种装置，包括：

处理器；以及

存储器，可操作地耦合到所述处理器，所述处理器被配置为：

在第一时间检测计算设备的用户的第一登录事件；

响应于检测到第一登录事件，在计算设备处接收第一组风险评定规则，第一组风险评定规则包括：(1)与所述用户相关联的第一用户特权标准；(2)多个特权缓解措施；以及(3)包括计算设备的补丁级别、计算设备的网络类型或密码策略中的至少一项的第一设备标准，所述多个特权缓解措施中的至少一个特权缓解措施与第一用户特权标准相关联；

基于第一用户特权标准和第一设备标准识别第一用户特定安全风险；

经由计算设备并且在第二时间，基于第一用户特定安全风险应用所述多个特权缓解措施中的第一特权缓解措施，所述处理器在第二时间不与管理服务器通信；

在计算设备处接收第二组风险评定规则，第二组风险评定规则包括与第一用户特权标准不同的第二用户特权标准或与第一设备标准不同的第二设备标准中的至少一项；

在第一时间之后的第三时间检测计算设备的用户的第二登录事件；

基于第二用户特权标准和第二设备标准中的至少一项，识别与第一用户特定安全风险不同的第二用户特定安全风险；以及

经由计算设备并且在第四时间，应用所述多个特权缓解措施中的第二特权缓解措施，第二特权缓解措施与第一特权缓解措施不同并且基于第二用户特定安全风险，所述处理器在第四时间不与管理服务器通信。

2.如权利要求1所述的装置，其中，所述处理器被配置为还基于第一登录事件识别第一用户特定安全风险，第一登录事件包括失败的登录尝试，并且所述特权缓解措施包括将用户锁于在计算设备上运行的应用之外。

3.如权利要求1所述的装置，其中，所述处理器被配置为响应于第一登录事件来识别第一用户特定安全风险。

4.如权利要求1所述的装置，其中，所述处理器被配置为响应于接收到第一组风险评定规则来识别第一用户特定安全风险。

5.如权利要求1所述的装置，其中，所述处理器被配置为响应于检测到与计算设备相关联的新漏洞，在计算设备处接收第二组风险评定规则。

6.如权利要求1所述的装置，其中，第一设备标准包括计算设备的网络类型，并且第一特权缓解措施包括：如果计算设备的网络类型是公共网络，则禁用所述用户的网络访问。

7.如权利要求1所述的装置，其中，第一设备标准包括计算设备的网络类型，并且第一特权缓解措施包括：如果计算设备的网络类型是公共网络，则向所述用户发送警报，所述警报告知所述用户网络是公共的。

8.如权利要求1所述的装置，其中：

所述处理器被配置为通过以下识别用户特定安全风险：

检测计算设备的用户的用户特权级别；以及

基于风险评定规则检测用户有权访问的有漏洞的软件应用，以及

所述处理器被配置为通过以下中的至少一项来应用特权缓解措施：(1)修改用户的用户特权级别；(2)不允许将软件安装在计算设备上，直到安装所述有漏洞的软件应用的更新；或者(3)不允许所述有漏洞的软件应用运行，直到已将安全修复应用于计算设备。

9.如权利要求1所述的装置，其中：

所述处理器被配置为通过以下识别用户特定安全风险：

检测到用户可访问安全敏感文件；以及

检测到计算设备在公共网络上，并且

所述处理器被配置为通过以下中的至少一项来应用特权缓解措施：(1)不允许访问安全敏感文件；(2)禁用计算设备的网络访问，直到计算设备未连接到公共网络；或(3)禁用计算设备。

10.如权利要求1所述的装置，其中，所述处理器被配置为通过以下识别用户特定安全风险：

检测计算设备的用户的用户特权级别；以及

检测到与所述用户相关联的一个或多个用户账户设置违反了组策略。