資產(chǎn)脆弱性和應(yīng)用風(fēng)險分析

資產(chǎn)脆弱性包含了資產(chǎn)自身的配置風(fēng)險，弱口令，資產(chǎn)存在的漏洞。攻擊者會利用這些漏洞、弱口令形成威脅，對企業(yè)資源發(fā)起攻擊形成安全風(fēng)險。在安全風(fēng)險評估中，資產(chǎn)本身的脆弱性也是需要企業(yè)重視的一環(huán)。

企業(yè)擁有的資產(chǎn)泛指云服務(wù)器，和基于云服務(wù)器構(gòu)建的應(yīng)用、容器環(huán)境等。

資產(chǎn)脆弱性和應(yīng)用風(fēng)險檢測最佳實踐

資產(chǎn)信息收集和管理

建立資產(chǎn)信息收集和管理的工具和流程，資產(chǎn)信息是在遇到網(wǎng)絡(luò)攻擊時，幫助企業(yè)安全管理員快速分析、定位、溯源的基礎(chǔ)信息。又稱資產(chǎn)指紋。

集中的收集和管理資產(chǎn)信息有助于幫助企業(yè)快速的摸清當(dāng)前資產(chǎn)現(xiàn)狀，通過全局視角監(jiān)控和分析安全風(fēng)險。

在云上可以通過云安全中心的資產(chǎn)指紋調(diào)查實現(xiàn)全局資產(chǎn)指紋管理。

服務(wù)器的安全基線檢測

服務(wù)器安全基線檢查是基于相關(guān)標(biāo)準(zhǔn)，如CIS Benchmark（針對操作系統(tǒng)的基準(zhǔn)）、等保合規(guī)（二級、三級）基準(zhǔn)、阿里云服務(wù)器安全最佳實踐（基線檢測內(nèi)容）對企業(yè)擁有的服務(wù)器進(jìn)行安全基線檢測。

安全基線檢測有助于發(fā)現(xiàn)服務(wù)器存在的弱口令、未授權(quán)訪問、操作系統(tǒng)的安全配置、容器的Kubernetes Master和Node節(jié)點(diǎn)配置風(fēng)險檢查、是否符合等級保護(hù)管理要求，對標(biāo)權(quán)威測評機(jī)構(gòu)安全基線環(huán)境的評測標(biāo)準(zhǔn)和要求。以及用戶可以根據(jù)企業(yè)自定義安全檢測項進(jìn)行檢測評估。推薦使用云安全中心的基線檢查功能。

服務(wù)器漏洞發(fā)現(xiàn)

為了企業(yè)資產(chǎn)安全，建議企業(yè)定期進(jìn)行服務(wù)器的漏洞掃描、評估和修復(fù)，漏洞也是攻擊者最常使用的攻擊手段之一，也是最有效的手段之一。

建議企業(yè)無論服務(wù)器規(guī)模大或者小，都應(yīng)定期對服務(wù)器進(jìn)行漏洞的評估，包括操作系統(tǒng)漏洞、Web漏洞、應(yīng)用組件漏洞等。并設(shè)定周期性掃描和評估任務(wù)，同時和應(yīng)用團(tuán)隊、運(yùn)維團(tuán)隊設(shè)定相關(guān)的漏洞修復(fù)應(yīng)急方案，以便于在發(fā)生大規(guī)模漏洞利用攻擊時，能夠第一時間響應(yīng)。

• 可通過云安全中心的漏洞管理功能，對云上所有服務(wù)器進(jìn)行定期、周期性的漏洞掃描。

• 可通過查看漏洞掃描結(jié)果來進(jìn)一步評估該漏洞在企業(yè)環(huán)境中的影響和等級，可參考漏洞的CVE編號及詳情、阿里云漏洞等級說明、以及漏洞標(biāo)簽（阿里云會根據(jù)歷史發(fā)現(xiàn)和修復(fù)的漏洞，對漏洞打標(biāo)簽，如“存在EXP”、“命令執(zhí)行”、“遠(yuǎn)程訪問”等）。

• 查看漏洞評分，可根據(jù)評分和嚴(yán)重級別評估漏洞的真實風(fēng)險。評分規(guī)則和模型可參考阿里云漏洞脆弱性評分系統(tǒng)。

• 查看存在真實風(fēng)險的漏洞列表。云安全中心真實風(fēng)險漏洞模型依據(jù)阿里云漏洞脆弱性評分系統(tǒng)、時間因子、實際環(huán)境因子和資產(chǎn)重要性因子對漏洞進(jìn)行評估，結(jié)合實際攻防場景下漏洞是否可被利用（PoC、EXP）及其危害嚴(yán)重性，幫助您自動過濾出存在真實安全風(fēng)險的漏洞。開啟該功能可以幫助您提高資產(chǎn)中可被黑客利用的風(fēng)險漏洞的補(bǔ)救效率以及補(bǔ)救措施的有效性。關(guān)閉該功能則會顯示所有漏洞。

• 阿里云漏洞庫包含CVE、CNNCD以及阿里云官方漏洞庫。

驗證服務(wù)器漏洞和自動化修復(fù)

可通過云安全中心的漏洞修復(fù)和驗證功能對識別的漏洞進(jìn)行修復(fù)和驗證。

• 執(zhí)行修復(fù)前，請查看支持修復(fù)的漏洞類型。

• 執(zhí)行一鍵修復(fù)漏洞，系統(tǒng)漏洞可支持一鍵修復(fù)，并推薦用戶創(chuàng)建修復(fù)前快照，用于系統(tǒng)回滾。

• 執(zhí)行手動修復(fù)，可在漏洞詳情中查看漏洞信息，進(jìn)入阿里云漏洞庫，查看修復(fù)建議和操作，并手動執(zhí)行修復(fù)，修復(fù)后可在云安全中心漏洞檢測功能，驗證修復(fù)效果。

• 查看漏洞修復(fù)失敗原因。

• 可查看阿里云服務(wù)器軟件漏洞修復(fù)建議。

• 創(chuàng)建自動化修復(fù)漏洞任務(wù)，可使用云安全中心任務(wù)中心功能，創(chuàng)建漏洞自動化修復(fù)的響應(yīng)劇本。

定期執(zhí)行應(yīng)用漏洞評估

可通過云安全中心的漏洞管理功能，掃描系統(tǒng)中的應(yīng)用漏洞，可查看支持掃描的應(yīng)用漏洞。