攻擊路徑分析
攻擊路徑分析功能可以對阿里云上云產(chǎn)品之間的訪問路徑(例如,通過ECS云服務器實例被授予的RAM角色控制OSS對象存儲Bucket)進行全面掃描與分析,提供可視化的掃描結(jié)果,以幫助您掌握云上資源訪問的安全狀態(tài)。本文介紹攻擊路徑分析的使用詳情。
功能說明
通過使用攻擊路徑分析功能,您可以清晰地了解不同云服務之間的連接關(guān)系及潛在風險點,從而識別出不必要的直接訪問權(quán)限,發(fā)現(xiàn)可能被利用的薄弱環(huán)節(jié)。例如,過寬的權(quán)限設(shè)置和未加密的數(shù)據(jù)傳輸?shù)取M瑫r,云安全中心會自動生成安全建議,指導您如何調(diào)整資源權(quán)限配置,以減少潛在威脅,提升整體系統(tǒng)的安全性。該功能有助于提前發(fā)現(xiàn)并修復可能被黑客利用的安全漏洞,從而保護關(guān)鍵數(shù)據(jù)和應用程序免受攻擊。
支持檢查的資產(chǎn)
云安全中心的攻擊路徑分析功能支持掃描當前阿里云賬號(主賬號)下符合以下要求的資產(chǎn)。
攻擊路徑的起點資產(chǎn)類型(入侵資產(chǎn)類型):支持阿里云服務器ECS(實例)和訪問控制(角色和AccessKey ID)。
攻擊路徑的終點資產(chǎn)類型(目標資產(chǎn)類型):支持阿里云服務器ECS(實例)、訪問控制(阿里云主賬號、用戶、權(quán)限策略、用戶組和角色)以及對象存儲(Bucket)。
僅當起點資產(chǎn)存在以下至少一個風險場景時,才作為攻擊路徑檢查項的輸出結(jié)果上報告警事件。
阿里云服務器ECS(實例)存在緊急程度為高的漏洞。
阿里云服務器ECS(實例)暴露在公網(wǎng)(必須和至少一個其他風險共同出現(xiàn))。
阿里云服務器ECS(實例)存在緊急告警(頁面中上報的ECS實例的告警)。
訪問控制(角色)關(guān)聯(lián)AK(AccessKey ID和AccessKey Secret)存在緊急告警(安全告警服務中的云工作負載保護平臺(CWPP)告警)。
訪問控制(角色)可被跨賬號角色扮演。
支持告警的攻擊路徑
云安全中心按照攻擊路徑類型(異常AK、敏感資產(chǎn)、角色提權(quán)和用戶提權(quán))和攻擊路徑場景對符合要求的資產(chǎn)執(zhí)行掃描任務,上報存在攻擊路徑的告警信息。
異常AK
異常AK所屬RAM用戶可管理RAM服務。
異常AK所屬RAM用戶具有管理員權(quán)限。
敏感資產(chǎn)
攻擊路徑分析功能支持配置指定的敏感資產(chǎn),并將敏感資產(chǎn)作為攻擊路徑分析任務的目標資產(chǎn),來掃描是否存在攻擊路徑場景。
ECS綁定的角色可訪問敏感資產(chǎn)。
異常AK所屬RAM用戶可訪問敏感資產(chǎn)。
Role具有訪問敏感資產(chǎn)的權(quán)限且可被其他阿里云賬號扮演。
如果沒有配置敏感資產(chǎn),對應攻擊路徑的掃描結(jié)果為空。配置敏感資產(chǎn)的具體操作,請參見下文的配置敏感資產(chǎn)。
角色提權(quán)
ECS可通過自身綁定的RAM角色直接獲取管理員權(quán)限。
ECS綁定的角色可管理RAM服務。
ECS可通過向自身綁定角色增加權(quán)限策略提權(quán)。
ECS可通過修改自身綁定角色的權(quán)限策略提權(quán)。
ECS可通過修改自身綁定角色的權(quán)限策略默認版本提權(quán)。
ECS可通過修改自身綁定的角色提權(quán)。
ECS可通過創(chuàng)建AK獲取長期訪問憑證。
ECS可通過啟用RAM用戶Web控制臺登錄獲取長期訪問憑證。
ECS可通過修改RAM用戶登錄配置啟用Web控制臺登錄。
ECS可通過賦予權(quán)限策略給RAM用戶提權(quán)。
ECS可通過修改RAM用戶已授權(quán)的權(quán)限策略提權(quán)。
ECS可通過修改RAM用戶所屬用戶組提權(quán)。
ECS可通過賦予權(quán)限策略給RAM用戶所屬用戶組提權(quán)。
ECS可通過修改RAM用戶所屬用戶組已授權(quán)的權(quán)限策略提權(quán)。
ECS可通過修改高危角色信任策略提權(quán)。
ECS可通過修改RAM用戶當前能扮演的角色的權(quán)限策略提權(quán)。
ECS可直接通過RAM用戶當前能扮演的角色提權(quán)。
ECS可直接通過綁定的實例角色當前能扮演的角色提權(quán)。
ECS可通過獲取其他ECS綁定的角色的高危權(quán)限提權(quán)。
Role具有管理員權(quán)限且可被其他阿里云賬號扮演。
Role可管理RAM服務且可被其他阿里云賬號扮演。
Role具有高危權(quán)限且可被其他阿里云賬號扮演。
Role可通過向自身增加權(quán)限策略提權(quán)且可被其他阿里云賬號扮演。
Role可通過修改自身的權(quán)限策略提權(quán)且可被其他阿里云賬號扮演。
用戶提權(quán)
RAM用戶可通過向自身增加權(quán)限策略提權(quán)。
RAM用戶可通過修改自身權(quán)限策略提權(quán)。
RAM用戶可通過向自身所屬用戶組增加權(quán)限策略提權(quán)。
RAM用戶可通過修改自身所屬用戶組的權(quán)限策略提權(quán)。
RAM用戶可通過修改角色信任策略并扮演該角色提權(quán)。
RAM用戶可通過在ECS中執(zhí)行命令獲取角色權(quán)限提權(quán)。
RAM用戶可通過在ECS中發(fā)送文件獲取角色權(quán)限提權(quán)。
RAM用戶可通過開啟ECS終端會話來獲取高危角色權(quán)限提權(quán)。
RAM用戶可通過重置ECS實例密碼來獲取高危角色權(quán)限提權(quán)。
RAM用戶可通過為Linux主機綁定SSH密鑰對來獲取高危角色權(quán)限提權(quán)。
RAM用戶可通過創(chuàng)建實例并綁定實例角色獲取高危角色權(quán)限提權(quán)。
RAM用戶可通過修改實例的角色綁定配置來獲取高危角色權(quán)限提權(quán)。
開通攻擊路徑分析
開通云安全態(tài)勢管理的包年包月或按量計費服務后,即可使用攻擊路徑分析功能,不消耗云安全態(tài)勢管理的授權(quán)數(shù)。開通云安全態(tài)勢管理服務的具體操作,請參見授權(quán)并開通服務。
統(tǒng)計數(shù)據(jù)說明
攻擊路徑分析結(jié)果會每天自動刷新。云安全中心控制臺的云安全態(tài)勢管理頁面的攻擊路徑頁簽,為您展示風險資產(chǎn)的攻擊路徑情況和詳細信息。
統(tǒng)計項 | 說明 |
需緊急處理的攻擊路徑 | 檢查出的緊急程度高的攻擊路徑總數(shù)。 |
風險資產(chǎn)數(shù) | 攻擊路徑涉及的風險資產(chǎn)總數(shù)。 |
攻擊路徑信息 | 存在攻擊路徑的告警列表,包含攻擊路徑名稱、路徑類型、入侵資產(chǎn)以及目標資產(chǎn)等信息。 |
管理攻擊路徑掃描配置
配置敏感資產(chǎn)
攻擊路徑的掃描任務中針對敏感資產(chǎn)的攻擊路徑掃描,需要配置對應的敏感資產(chǎn)。否則,對應攻擊路徑的掃描結(jié)果為空。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產(chǎn)所在的區(qū)域中國。
在左側(cè)導航欄,選擇。
在云安全態(tài)勢管理頁面的攻擊路徑頁簽,單擊右上角的策略管理或單擊攻擊路徑掃描區(qū)域的掃描配置。
在攻擊路徑敏感資產(chǎn)設(shè)置頁簽的左側(cè)導航欄,單擊資產(chǎn)類型,在右側(cè)資產(chǎn)列表,選中目標資產(chǎn)前的復選框。
單擊確定。
配置白名單
如果確認某些起點資產(chǎn)和終點資產(chǎn)之間不需要進行攻擊路徑掃描,可以將目標資產(chǎn)和對應攻擊路徑規(guī)則加入白名單。云安全中心后續(xù)不會上報白名單中攻擊路徑信息。
在云安全態(tài)勢管理頁面的攻擊路徑頁簽,單擊右上角的策略管理或單擊攻擊路徑掃描區(qū)域的掃描配置。
在加白策略頁簽,單擊攻擊路徑加白頁簽。
單擊新建規(guī)則,配置白名單規(guī)則參數(shù),單擊確定。
參數(shù)
說明
白名單名稱
自定義白名單規(guī)則名稱,僅支持中文、字母、數(shù)字和下劃線。
路徑類型選擇
選擇加入白名單的路徑類型,可選:異常AK、敏感資產(chǎn)、角色提權(quán)、用戶提權(quán)。
攻擊路徑選擇
對應加白的路徑類型,選擇加白的攻擊路徑。
規(guī)則生效資產(chǎn)
選擇加白的資產(chǎn),可選全部資產(chǎn)和部分資產(chǎn)。
選擇部分資產(chǎn)時,需要分別選擇攻擊路徑的起點資產(chǎn)和終點資產(chǎn)。
一鍵掃描攻擊路徑任務
云安全中心每天按照支持的資產(chǎn)類型和攻擊路徑自動執(zhí)行一次掃描任務。
如果未配置敏感資產(chǎn),則對應攻擊路徑規(guī)則掃描結(jié)果為空。
如果已配置白名單,云安全中心對白名單中起點資產(chǎn)和終點資產(chǎn)之間對應的攻擊路徑規(guī)則,不進行掃描和告警。
手動執(zhí)行攻擊路徑掃描任務
在云安全態(tài)勢管理頁面的攻擊路徑頁簽,單擊攻擊路徑掃描區(qū)域的一鍵掃描。
查看任務信息
云安全中心提供任務管理頁面,默認記錄7天內(nèi)發(fā)起的自動和手動掃描任務記錄。
在云安全態(tài)勢管理頁面,單擊右上角的任務管理。
在任務管理頁面,您可以查看任務ID、任務類型、開始時間/結(jié)束時間、狀態(tài)(已啟動、完成、超時、處理中或失敗)、任務進度百分比。
單擊目標任務的詳情,可查看本次掃描任務的資產(chǎn)詳情,包括風險資產(chǎn)數(shù)、風險路徑數(shù)、執(zhí)行成功的資產(chǎn)數(shù)、執(zhí)行失敗的資產(chǎn)數(shù)以及資產(chǎn)列表。
支持根據(jù)狀態(tài)、資產(chǎn)類型和風險資產(chǎn)ID篩選查看特定資產(chǎn)的掃描結(jié)果。
查看攻擊路徑詳情
在云安全態(tài)勢管理頁面的攻擊路徑頁簽,查看觸發(fā)攻擊路徑規(guī)則的攻擊路徑列表,包含如下信息。
告警項
說明
緊急程度
攻擊路徑的風險等級:緊急(紅色)、可疑(橙色)、提醒(灰色)。
攻擊路徑名稱
觸發(fā)的攻擊路徑的名稱。
路徑類型
觸發(fā)的攻擊路徑的類型:異常AK、敏感資產(chǎn)、角色提權(quán)、用戶提權(quán)。
入侵資產(chǎn)和目標資產(chǎn)
當前攻擊路徑的起點資產(chǎn)和終點資產(chǎn)信息。
最新發(fā)生時間
當前攻擊路徑的最新發(fā)生時間。
單擊某個攻擊路徑對應操作列的詳情,查看攻擊路徑的基礎(chǔ)信息、攻擊路徑信息、修復方案和攻擊路徑圖。
基礎(chǔ)信息:包括緊急程度、路徑類型、首次發(fā)現(xiàn)時間和最新發(fā)現(xiàn)時間。
入侵資產(chǎn)和資產(chǎn)類型或目標資產(chǎn)和資產(chǎn)類型:展示入侵和目標資產(chǎn)的實例ID及資產(chǎn)類型。單擊實例ID,可以跳轉(zhuǎn)到資產(chǎn)中心的對應資產(chǎn)的詳情頁面,查看風險資產(chǎn)詳情。
攻擊路徑信息:展示該攻擊路徑的檢測邏輯。
修復方案:提供修復該攻擊路徑的建議和操作指導。
攻擊路徑圖:展示該攻擊路徑涉及的各資產(chǎn)的關(guān)聯(lián)情況。
紅色連接的節(jié)點之間表示存在風險,單擊紅色連接線,可查看對應修復建議。
單擊節(jié)點,可查看該節(jié)點的基本信息和關(guān)聯(lián)的漏洞風險。
單擊攻擊路徑圖右上角的幫助
圖標,可查看各節(jié)點圖標和代表的含義。
單擊攻擊路徑圖右上角的設(shè)置
圖標,可設(shè)置攻擊路徑圖的排列方式。
單擊攻擊路徑圖右上角的下載
圖標,可導出攻擊路徑圖。您可以將攻擊路徑圖分享給相關(guān)安全管理員,提升目標資產(chǎn)攻擊溯源的分析效率。
加白攻擊路徑
如果針對攻擊路徑掃描任務已掃描出的攻擊路徑,確認可以忽略,可以使用白名單功能。
在云安全態(tài)勢管理頁面的攻擊路徑頁簽,單擊某個攻擊路徑對應操作列的加白。
在彈出的對話框中,輸入白名單名稱,選擇白名單的生效規(guī)則。
全部資產(chǎn):該模式針對攻擊路徑規(guī)則生效,加白后的新增資產(chǎn)不會產(chǎn)生告警。
僅針對當前資產(chǎn):該模式僅針對當前攻擊路徑中包含的入侵資產(chǎn)及目標資產(chǎn)生效。
單擊確定。
您可以在策略管理面板的加白策略頁簽的攻擊路徑加白頁簽,查看已添加的白名單信息。
相關(guān)文檔
如果您需要處理資產(chǎn)中檢測出的漏洞,可參考下述文檔處理。
如果您需要處理資產(chǎn)中檢測出的緊急告警,請參見查看和處理安全告警。
如果您需要管控RAM用戶和角色的權(quán)限策略,請參見身份權(quán)限治理。