攻击路径分析功能可以对阿里云上云产品之间的访问路径(例如,通过ECS云服务器实例被授予的RAM角色控制OSS对象存储Bucket)进行全面扫描与分析,提供可视化的扫描结果,以帮助您掌握云上资源访问的安全状态。本文介绍攻击路径分析的使用详情。
功能说明
通过使用攻击路径分析功能,您可以清晰地了解不同云服务之间的连接关系及潜在风险点,从而识别出不必要的直接访问权限,发现可能被利用的薄弱环节。例如,过宽的权限设置和未加密的数据传输等。同时,云安全中心会自动生成安全建议,指导您如何调整资源权限配置,以减少潜在威胁,提升整体系统的安全性。该功能有助于提前发现并修复可能被黑客利用的安全漏洞,从而保护关键数据和应用程序免受攻击。
支持检查的资产
云安全中心的攻击路径分析功能支持扫描当前阿里云账号(主账号)下符合以下要求的资产。
攻击路径的起点资产类型(入侵资产类型):支持阿里云服务器ECS(实例)和访问控制(角色和AccessKey ID)。
攻击路径的终点资产类型(目标资产类型):支持阿里云服务器ECS(实例)、访问控制(阿里云主账号、用户、权限策略、用户组和角色)以及对象存储(Bucket)。
仅当起点资产存在以下至少一个风险场景时,才作为攻击路径检查项的输出结果上报告警事件。
阿里云服务器ECS(实例)存在紧急程度为高的漏洞。
阿里云服务器ECS(实例)暴露在公网(必须和至少一个其他风险共同出现)。
阿里云服务器ECS(实例)存在紧急告警(页面中上报的ECS实例的告警)。
访问控制(角色)关联AK(AccessKey ID和AccessKey Secret)存在紧急告警(安全告警服务中的云工作负载保护平台(CWPP)告警)。
访问控制(角色)可被跨账号角色扮演。
支持告警的攻击路径
云安全中心按照攻击路径类型(异常AK、敏感资产、角色提权和用户提权)和攻击路径场景对符合要求的资产执行扫描任务,上报存在攻击路径的告警信息。
异常AK
异常AK所属RAM用户可管理RAM服务。
异常AK所属RAM用户具有管理员权限。
敏感资产
攻击路径分析功能支持配置指定的敏感资产,并将敏感资产作为攻击路径分析任务的目标资产,来扫描是否存在攻击路径场景。
ECS绑定的角色可访问敏感资产。
异常AK所属RAM用户可访问敏感资产。
Role具有访问敏感资产的权限且可被其他阿里云账号扮演。
如果没有配置敏感资产,对应攻击路径的扫描结果为空。配置敏感资产的具体操作,请参见下文的配置敏感资产。
角色提权
ECS可通过自身绑定的RAM角色直接获取管理员权限。
ECS绑定的角色可管理RAM服务。
ECS可通过向自身绑定角色增加权限策略提权。
ECS可通过修改自身绑定角色的权限策略提权。
ECS可通过修改自身绑定角色的权限策略默认版本提权。
ECS可通过修改自身绑定的角色提权。
ECS可通过创建AK获取长期访问凭证。
ECS可通过启用RAM用户Web控制台登录获取长期访问凭证。
ECS可通过修改RAM用户登录配置启用Web控制台登录。
ECS可通过赋予权限策略给RAM用户提权。
ECS可通过修改RAM用户已授权的权限策略提权。
ECS可通过修改RAM用户所属用户组提权。
ECS可通过赋予权限策略给RAM用户所属用户组提权。
ECS可通过修改RAM用户所属用户组已授权的权限策略提权。
ECS可通过修改高危角色信任策略提权。
ECS可通过修改RAM用户当前能扮演的角色的权限策略提权。
ECS可直接通过RAM用户当前能扮演的角色提权。
ECS可直接通过绑定的实例角色当前能扮演的角色提权。
ECS可通过获取其他ECS绑定的角色的高危权限提权。
Role具有管理员权限且可被其他阿里云账号扮演。
Role可管理RAM服务且可被其他阿里云账号扮演。
Role具有高危权限且可被其他阿里云账号扮演。
Role可通过向自身增加权限策略提权且可被其他阿里云账号扮演。
Role可通过修改自身的权限策略提权且可被其他阿里云账号扮演。
用户提权
RAM用户可通过向自身增加权限策略提权。
RAM用户可通过修改自身权限策略提权。
RAM用户可通过向自身所属用户组增加权限策略提权。
RAM用户可通过修改自身所属用户组的权限策略提权。
RAM用户可通过修改角色信任策略并扮演该角色提权。
RAM用户可通过在ECS中执行命令获取角色权限提权。
RAM用户可通过在ECS中发送文件获取角色权限提权。
RAM用户可通过开启ECS终端会话来获取高危角色权限提权。
RAM用户可通过重置ECS实例密码来获取高危角色权限提权。
RAM用户可通过为Linux主机绑定SSH密钥对来获取高危角色权限提权。
RAM用户可通过创建实例并绑定实例角色获取高危角色权限提权。
RAM用户可通过修改实例的角色绑定配置来获取高危角色权限提权。
开通攻击路径分析
开通云平台配置检查的包年包月或按量计费服务后,即可使用攻击路径分析功能,不消耗云平台配置检查的授权数。开通云平台配置检查服务的具体操作,请参见授权并开通服务。
统计数据说明
攻击路径分析结果会每天自动刷新。云安全中心控制台的云平台配置检查页面的攻击路径页签,为您展示风险资产的攻击路径情况和详细信息。
统计项 | 说明 |
需紧急处理的攻击路径 | 检查出的紧急程度高的攻击路径总数。 |
风险资产数 | 攻击路径涉及的风险资产总数。 |
攻击路径信息 | 存在攻击路径的告警列表,包含攻击路径名称、路径类型、入侵资产以及目标资产等信息。 |
管理攻击路径扫描配置
配置敏感资产
攻击路径的扫描任务中针对敏感资产的攻击路径扫描,需要配置对应的敏感资产。否则,对应攻击路径的扫描结果为空。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域中国。
在云平台配置检查页面的攻击路径页签,单击右上角的策略管理或单击攻击路径扫描区域的扫描配置。
在攻击路径敏感资产设置页签的左侧导航栏,单击资产类型,在右侧资产列表,选中目标资产前的复选框。
单击确定。
配置白名单
如果确认某些起点资产和终点资产之间不需要进行攻击路径扫描,可以将目标资产和对应攻击路径规则加入白名单。云安全中心后续不会上报白名单中攻击路径信息。
在云平台配置检查页面的攻击路径页签,单击右上角的策略管理或单击攻击路径扫描区域的扫描配置。
在加白策略页签,单击攻击路径加白页签。
单击新建规则,配置白名单规则参数,单击确定。
参数
说明
白名单名称
自定义白名单规则名称,仅支持中文、字母、数字和下划线。
路径类型选择
选择加入白名单的路径类型,可选:异常AK、敏感资产、角色提权、用户提权。
攻击路径选择
对应加白的路径类型,选择加白的攻击路径。
规则生效资产
选择加白的资产,可选全部资产和部分资产。
选择部分资产时,需要分别选择攻击路径的起点资产和终点资产。
一键扫描攻击路径任务
云安全中心每天按照支持的资产类型和攻击路径自动执行一次扫描任务。
如果未配置敏感资产,则对应攻击路径规则扫描结果为空。
如果已配置白名单,云安全中心对白名单中起点资产和终点资产之间对应的攻击路径规则,不进行扫描和告警。
手动执行攻击路径扫描任务
在云平台配置检查页面的攻击路径页签,单击攻击路径扫描区域的一键扫描。
查看任务信息
云安全中心提供任务管理页面,默认记录7天内发起的自动和手动扫描任务记录。
在云平台配置检查页面,单击右上角的任务管理。
在任务管理页面,您可以查看任务ID、任务类型、开始时间/结束时间、状态(已启动、完成、超时、处理中或失败)、任务进度百分比。
单击目标任务的详情,可查看本次扫描任务的资产详情,包括风险资产数、风险路径数、执行成功的资产数、执行失败的资产数以及资产列表。
支持根据状态、资产类型和风险资产ID筛选查看特定资产的扫描结果。
查看攻击路径详情
在云平台配置检查页面的攻击路径页签,查看触发攻击路径规则的攻击路径列表,包含如下信息。
告警项
说明
紧急程度
攻击路径的风险等级:紧急(红色)、可疑(橙色)、提醒(灰色)。
攻击路径名称
触发的攻击路径的名称。
路径类型
触发的攻击路径的类型:异常AK、敏感资产、角色提权、用户提权。
入侵资产和目标资产
当前攻击路径的起点资产和终点资产信息。
最新发生时间
当前攻击路径的最新发生时间。
单击某个攻击路径对应操作列的详情,查看攻击路径的基础信息、攻击路径信息、修复方案和攻击路径图。
基础信息:包括紧急程度、路径类型、首次发现时间和最新发现时间。
入侵资产和资产类型或目标资产和资产类型:展示入侵和目标资产的实例ID及资产类型。单击实例ID,可以跳转到资产中心的对应资产的详情页面,查看风险资产详情。
攻击路径信息:展示该攻击路径的检测逻辑。
修复方案:提供修复该攻击路径的建议和操作指导。
攻击路径图:展示该攻击路径涉及的各资产的关联情况。
红色连接的节点之间表示存在风险,单击红色连接线,可查看对应修复建议。
单击节点,可查看该节点的基本信息和关联的漏洞风险。
单击攻击路径图右上角的帮助
图标,可查看各节点图标和代表的含义。
单击攻击路径图右上角的设置
图标,可设置攻击路径图的排列方式。
单击攻击路径图右上角的下载
图标,可导出攻击路径图。您可以将攻击路径图分享给相关安全管理员,提升目标资产攻击溯源的分析效率。
加白攻击路径
如果针对攻击路径扫描任务已扫描出的攻击路径,确认可以忽略,可以使用白名单功能。
在云平台配置检查页面的攻击路径页签,单击某个攻击路径对应操作列的加白。
在弹出的对话框中,输入白名单名称,选择白名单的生效规则。
全部资产:该模式针对攻击路径规则生效,加白后的新增资产不会产生告警。
仅针对当前资产:该模式仅针对当前攻击路径中包含的入侵资产及目标资产生效。
单击确定。
您可以在策略管理面板的加白策略页签的攻击路径加白页签,查看已添加的白名单信息。