攻擊路徑分析功能可以對阿里雲上雲產品之間的訪問路徑(例如,通過ECS雲端服務器執行個體被授予的RAM角色控制OSSObject Storage ServiceBucket)進行全面掃描與分析,提供可視化的掃描結果,以協助您掌握雲上資源訪問的安全狀態。本文介紹攻擊路徑分析的使用詳情。
功能說明
通過使用攻擊路徑分析功能,您可以清晰地瞭解不同雲端服務之間的串連關係及潛在風險點,從而識別出不必要的直接存取許可權,發現可能被利用的薄弱環節。例如,過寬的使用權限設定和未加密的資料轉送等。同時,Security Center會自動產生安全建議,指導您如何調整資源許可權配置,以減少潛在威脅,提升整體系統的安全性。該功能有助於提前發現並修複可能被駭客利用的安全性漏洞,從而保護關鍵資料和應用程式免受攻擊。
支援檢查的資產
Security Center的攻擊路徑分析功能支援掃描當前阿里雲帳號(主帳號)下符合以下要求的資產。
攻擊路徑的起點資產類型(入侵資產類型):支援阿里雲伺服器ECS(執行個體)和存取控制(角色和AccessKey ID)。
攻擊路徑的終點資產類型(目標資產類型):支援阿里雲伺服器ECS(執行個體)、存取控制(阿里雲主帳號、使用者、權限原則、使用者組和角色)以及Object Storage Service(Bucket)。
僅當起點資產存在以下至少一個風險情境時,才作為攻擊路徑檢查項的輸出結果上報警示事件。
阿里雲伺服器ECS(執行個體)存在緊急程度為高的漏洞。
阿里雲伺服器ECS(執行個體)暴露在公網(必須和至少一個其他風險共同出現)。
阿里雲伺服器ECS(執行個體)存在緊急警示(
頁面中上報的ECS執行個體的警示)。存取控制(角色)關聯AK(AccessKey ID和AccessKey Secret)存在緊急警示(安全警示服務中的雲工作負載保護平台(CWPP)警示)。
存取控制(角色)可被跨帳號角色扮演。
支援警示的攻擊路徑
Security Center按照攻擊路徑類型(異常AK、敏感資產、角色提權和使用者提權)和攻擊路徑情境對符合要求的資產執行掃描任務,上報存在攻擊路徑的警示資訊。
異常AK
異常AK所屬RAM使用者可管理RAM服務。
異常AK所屬RAM使用者具有管理員權限。
敏感資產
攻擊路徑分析功能支援配置指定的敏感資產,並將敏感資產作為攻擊路徑分析任務的目標資產,來掃描是否存在攻擊路徑情境。
ECS綁定的角色可訪問敏感資產。
異常AK所屬RAM使用者可訪問敏感資產。
Role具有訪問敏感資產的許可權且可被其他阿里雲帳號扮演。
如果沒有配置敏感資產,對應攻擊路徑的掃描結果為空白。配置敏感資產的具體操作,請參見下文的配置敏感資產。
角色提權
ECS可通過自身綁定的RAM角色直接擷取管理員權限。
ECS綁定的角色可管理RAM服務。
ECS可通過向自身綁定角色增加權限原則提權。
ECS可通過修改自身綁定角色的權限原則提權。
ECS可通過修改自身綁定角色的權限原則預設版本提權。
ECS可通過修改自身綁定的角色提權。
ECS可通過建立AK擷取長期訪問憑證。
ECS可通過啟用RAM使用者Web控制台登入擷取長期訪問憑證。
ECS可通過修改RAM使用者登入配置啟用Web控制台登入。
ECS可通過賦予權限原則給RAM使用者提權。
ECS可通過修改RAM使用者已授權的權限原則提權。
ECS可通過修改RAM使用者所屬使用者組提權。
ECS可通過賦予權限原則給RAM使用者所屬使用者組提權。
ECS可通過修改RAM使用者所屬使用者組已授權的權限原則提權。
ECS可通過修改高危角色信任策略提權。
ECS可通過修改RAM使用者當前能扮演的角色的權限原則提權。
ECS可直接通過RAM使用者當前能扮演的角色提權。
ECS可直接通過綁定的執行個體角色當前能扮演的角色提權。
ECS可通過擷取其他ECS綁定的角色的高危許可權提權。
Role具有管理員權限且可被其他阿里雲帳號扮演。
Role可管理RAM服務且可被其他阿里雲帳號扮演。
Role具有高危許可權且可被其他阿里雲帳號扮演。
Role可通過向自身增加權限原則提權且可被其他阿里雲帳號扮演。
Role可通過修改自身的權限原則提權且可被其他阿里雲帳號扮演。
使用者提權
RAM使用者可通過向自身增加權限原則提權。
RAM使用者可通過修改自身權限原則提權。
RAM使用者可通過向自身所屬使用者組增加權限原則提權。
RAM使用者可通過修改自身所屬使用者組的權限原則提權。
RAM使用者可通過修改角色信任策略並扮演該角色提權。
RAM使用者可通過在ECS中執行命令擷取角色許可權提權。
RAM使用者可通過在ECS中傳送檔案擷取角色許可權提權。
RAM使用者可通過開啟ECS終端會話來擷取高危角色許可權提權。
RAM使用者可通過重設ECS執行個體密碼來擷取高危角色許可權提權。
RAM使用者可通過為Linux主機綁定SSH金鑰組來擷取高危角色許可權提權。
RAM使用者可通過建立執行個體並綁定執行個體角色擷取高危角色許可權提權。
RAM使用者可通過修改執行個體的角色綁定配置來擷取高危角色許可權提權。
開通攻擊路徑分析
開通雲安全態勢管理的訂用帳戶或隨用隨付服務後,即可使用攻擊路徑分析功能,不消耗雲安全態勢管理的授權數。開通雲安全態勢管理服務的具體操作,請參見授權並開通服務。
統計資料說明
攻擊路徑分析結果會每天自動重新整理。Security Center控制台的雲安全態勢管理頁面的攻擊路徑頁簽,為您展示風險資產的攻擊路徑情況和詳細資料。
統計項 | 說明 |
需緊急處理的攻擊路徑 | 檢查出的緊急程度高的攻擊路徑總數。 |
風險資產數 | 攻擊路徑涉及的風險資產總數。 |
攻擊路徑資訊 | 存在攻擊路徑的警示列表,包含攻擊路徑名稱、路徑類型、入侵資產以及目標資產等資訊。 |
管理攻擊路徑掃描配置
配置敏感資產
攻擊路徑的掃描任務中針對敏感資產的攻擊路徑掃描,需要配置對應的敏感資產。否則,對應攻擊路徑的掃描結果為空白。
登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區中國。
在左側導覽列,選擇 。
在雲安全態勢管理頁面的攻擊路徑頁簽,單擊右上方的策略管理或單擊攻擊路徑掃描地區的掃描配置。
在攻擊路徑敏感資產設定頁簽的左側導覽列,單擊資產類型,在右側資產列表,選中目標資產前的複選框。
單擊確定。
配置白名單
如果確認某些起點資產和終點資產之間不需要進行攻擊路徑掃描,可以將目標資產和對應攻擊路徑規則加入白名單。Security Center後續不會上報白名單中攻擊路徑資訊。
在雲安全態勢管理頁面的攻擊路徑頁簽,單擊右上方的策略管理或單擊攻擊路徑掃描地區的掃描配置。
在加白策略頁簽,單擊攻擊路徑加白頁簽。
單擊建立規則,配置白名單規則參數,單擊確定。
參數
說明
白名單名稱
自訂白名單規則名稱,僅支援中文、字母、數字和底線。
路徑類型選擇
選擇加入白名單的路徑類型,可選:異常AK、敏感資產、角色提權、使用者提權。
攻擊直接選取
對應加白的路徑類型,選擇加白的攻擊路徑。
規則生效資產
選擇加白的資產,可選全部資產和部分資產。
選擇部分資產時,需要分別選擇攻擊路徑的起點資產和終點資產。
一鍵掃描攻擊路徑任務
Security Center每天按照支援的資產類型和攻擊路徑自動執行一次掃描任務。
如果未配置敏感資產,則對應攻擊路徑規則掃描結果為空白。
如果已配置白名單,Security Center對白名單中起點資產和終點資產之間對應的攻擊路徑規則,不進行掃描和警示。
手動執行攻擊路徑掃描任務
在雲安全態勢管理頁面的攻擊路徑頁簽,單擊攻擊路徑掃描地區的一鍵掃描。
查看任務資訊
Security Center提供任務管理頁面,預設記錄7天內發起的自動和手動掃描任務記錄。
在雲安全態勢管理頁面,單擊右上方的任務管理。
在任務管理頁面,您可以查看任務ID、任務類型、開始時間/結束時間、狀態(已啟動、完成、逾時、處理中或失敗)、任務進度百分比。
單擊目標任務的詳情,可查看本次掃描任務的資產詳情,包括風險資產數、風險路徑數、執行成功的資產數、執行失敗的資產數以及資產列表。
支援根據狀態、資產類型和風險資產ID篩選查看特定資產的掃描結果。
查看攻擊路徑詳情
在雲安全態勢管理頁面的攻擊路徑頁簽,查看觸發攻擊路徑規則的攻擊路徑列表,包含如下資訊。
警示項
說明
緊急程度
攻擊路徑的風險等級:緊急(紅色)、可疑(橙色)、提醒(灰色)。
攻擊路徑名稱
觸發的攻擊路徑的名稱。
路徑類型
觸發的攻擊路徑的類型:異常AK、敏感資產、角色提權、使用者提權。
入侵資產和目標資產
當前攻擊路徑的起點資產和終點資產資訊。
最新發生時間
當前攻擊路徑的最新發生時間。
單擊某個攻擊路徑對應操作列的詳情,查看攻擊路徑的基礎資訊、攻擊路徑資訊、修複方案和攻擊路徑圖。
基礎資訊:包括緊急程度、路徑類型、首次發現時間和最新發現時間。
入侵資產和資產類型或目標資產和資產類型:展示入侵和目標資產的執行個體ID及資產類型。單擊執行個體ID,可以跳轉到資產中心的對應資產的詳情頁面,查看風險資產詳情。
攻擊路徑資訊:展示該攻擊路徑的檢測邏輯。
修複方案:提供修複該攻擊路徑的建議和操作指導。
攻擊路徑圖:展示該攻擊路徑涉及的各資產的關聯情況。
紅色串連的節點之間表示存在風險,單擊紅色連接線,可查看對應修複建議。
單擊節點,可查看該節點的基本資料和關聯的漏洞風險。
單擊攻擊路徑圖右上方的協助表徵圖,可查看各節點表徵圖和代表的含義。
單擊攻擊路徑圖右上方的設定表徵圖,可設定攻擊路徑圖的相片順序。
單擊攻擊路徑圖右上方的下載表徵圖,可匯出攻擊路徑圖。您可以將攻擊路徑圖分享給相關安全性系統管理員,提升目標資產攻擊溯源的分析效率。
加白攻擊路徑
如果針對攻擊路徑掃描任務已掃描出的攻擊路徑,確認可以忽略,可以使用白名單功能。
在雲安全態勢管理頁面的攻擊路徑頁簽,單擊某個攻擊路徑對應操作列的加白。
在彈出的對話方塊中,輸入白名單名稱,選擇白名單的生效規則。
全部資產:該模式針對攻擊路徑規則生效,加白後的新增資產不會產生警示。
僅針對當前資產:該模式僅針對當前攻擊路徑中包含的入侵資產及目標資產生效。
單擊確定。
您可以在策略管理面板的加白策略頁簽的攻擊路徑加白頁簽,查看已添加的白名單資訊。