AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 风险治理 攻击面管理(公测中) 资产发现

资产发现

更新时间:
复制为 MD 格式
产品详情
我的收藏

资产发现是攻击面管理的核心能力,旨在自动探测并梳理云平台及其关联的互联网暴露资产。它通过识别云产品、关联域名、IP与证书,分析暴露风险并绘制攻击路径,从而全面清点资产、识别“影子资产”,进而收敛整体攻击面,为风险评估与处置提供决策依据。

核心概念

  • 云上资产阿里云账号下已开通的、资产发现功能所支持的云产品实例,例如云服务器 ECS、负载均衡 SLB、弹性公网IP EIP等。

  • 影子资产:系统通过分析资产的公开信息(如证书透明度日志、DNS解析记录等)所关联发现的、非当前账号直接创建的资产。

  • 资产状态:资产在系统中的归属和状态,直接影响后续的扫描和风险分析逻辑。

    归属状态

    状态说明

    功能影响

    已归属

    已确认归属于当前账号的资产。

    将持续进行漏洞扫描、暴露面分析,并用于发现关联的影子资产

    未确认

    已发现但尚未确认归属的资产,等待人工确认。

    不参与漏洞扫描和攻击路径分析。

    待调查

    资产归属正在调查中,状态暂不明确。

    不参与漏洞扫描和攻击路径分析。

    已忽略

    已确认为非企业资产或无需扫描的资产。

    不参与后续所有的扫描和风险分析。

工作流程

image

  • 资产测绘:系统自动发现并同步当前账号内的云产品资产(即云上资产),并将其标记为已归属。同时,通过关联分析发现影子资产,并将其标记为未确认

  • 云产品暴露分析:对已归属资产进行漏洞扫描、资产暴露分析,识别安全风险。

  • 攻击路径分析:整合高风险资产及其访问关系,生成攻击路径图等信息,为后续风险处置提供支持。

  • 资产盘点:对未确认的资产,进行人工归属确认。确认为已归属的资产将成为新的扫描基线,用以拓展发现更多关联资产。

  • 攻击风险处理:处理扫描发现的端口暴露、漏洞等攻击风险。

适用范围

  • 版本要求:本功能目前处于公测阶段,仅对企业版旗舰版客户开放,公测期间免费。

  • 支持扫描的云产品:Web 应用防火墙、云服务器 ECS、公网负载均衡 SLB等,详细内容请参见支持扫描的云产品

操作步骤

步骤一:资产扫描

重要

  • 如果在网络环境中部署了 Web 应用防火墙 (WAF)、云防火墙或其他安全访问控制策略,请将云安全中心提供的扫描节点 IP 地址段添加至白名单。

  • 中国内地非中国内地的资产需要分别配置独立的扫描任务。

  1. 登录云安全中心控制台。在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地后,单击左侧导航栏风险治理 > 攻击面管理

  2. 资产发现对话框,根据需求选择扫描方式。

    扫描方式

    适用场景

    一键扫描

    用于即时性的全面资产盘点,例如安全事件应急响应、新业务上线后检查等。

    周期性扫描

    用于常态化的攻击面收敛和持续的资产监控,建议配置为每周或每月执行。

    • 一键扫描单击数据统计区资产扫描区域的一键扫描按钮。立即对所有支持攻击面管理的阿里云产品进行资产扫描和攻击分析

    • 周期性扫描:单击右上角扫描策略,在扫描策略管理页签下,打开周期性扫描开关,并配置扫描规则。

      • 扫描周期设置:设置扫描任务执行的周期。可选择每天每周(需指定周几)、每月(需指定几号)。

        说明

        为避免扫描行为对的业务产生影响,建议在业务低峰期进行扫描。

      • 扫描时间:为保证扫描任务的稳定性,系统会在设定周期(天/周/月)内的00:0024:00 之间选择时间点启动当前不支持用户指定精确的扫描时间点。

      • 扫描起点排除名单:设置不扫描的起点资产,仅支持排除已归属的域名IP信息。若不设置,默认扫描全部已归属资产。

        说明

        首次执行扫描(未执行过一键扫描周期性扫描)时域名IP信息空,即不支持配置扫描起点排除名单

      • 设置敏感资产:设置需要扫描的资产范围,支持配置的云产品请参见支持扫描的云产品

  3. 配置完扫描任务后,云安全中心会依次执行以下子任务:

    重要

    所有子任务执行完成大约需要1小时,请耐心等待。

    1. 云资产刷新任务(资产测绘):发现并更新账号下的云上资产和关联的影子资产。更多内容,请参见攻击面管理概述

    2. 云产品暴露分析任务:对已归属资产进行漏洞扫描、资产暴露分析,识别出可能暴露在公网的安全风险和漏洞。

    3. 攻击路径分析任务:对发现的威胁进行访问链路分析,生成攻击风险数据。

步骤二:查看扫描任务

开启一键扫描周期性扫描资产扫描任务后,可查看其对应的任务执行情况,如进度、子任务列表,扫描的资产类型等信息。操作步骤如下:

  1. 单击攻击面管理右上角的任务管理

  2. 任务管理页面可查看任务执行的情况。不同的任务类型代表不同的扫描方式,对应关系如下:

    任务类型

    扫描方式

    手动扫描任务

    一键扫描

    系统扫描任务

    周期性扫描

  3. 单击主任务操作列的详情,查看可查看其关联的云资产刷新任务云产品暴露分析任务攻击路径分析任务3个子任务执行情况。

  4. 在子任务列表中,单击其操作列的详情,查看任务相关的资产及实例信息。

步骤三:资产盘点与状态变更

扫描完成后,需要对新发现的影子资产进行盘点,确认其归属。

重要

系统仅对已归属资产执行漏洞扫描与攻击路径分析,并以此为新的扫描起点,挖掘更多关联的影子资产。

  1. 返回资产发现页签,分别在域名IP证书子页签,可将资产状态筛选条件置为未确认

  2. 在确认资产归属后(例如,通过咨询业务负责人或查询内部 CMDB),单击目标资产操作列的变更状态

    说明

    也可勾选多个资产,单击列表左下角的变更状态进行批量处理。

  3. 变更状态对话框中,选择合适的处理方式

    • 已归属已确认并归属于当前账号的资产。

    • 待调查正在对资产归属进行调查,状态暂不明确。

    • 已忽略经确认为非本企业资产,或无需纳入扫描范围的资产。

  4. 根据需要决定是否开启同步更新:开启后,会基于系统的关联逻辑(如同一证书下的所有域名)批量变更资产状态。

步骤四:处理攻击风险

扫描发现的端口暴露、漏洞等风险项会聚合为攻击风险。可在攻击风险页签,查看以下信息:

  • 查看攻击路径图谱:根据路径节点揭示的风险点,逐一进行处理。

  • 使用AI分析获取修复建议:根据提供的修复建议,进行风险处理。

  • 加白名单:对确认无风险的路径进行加白名单

详细处理方法,请参见查看和处理攻击风险

常见问题

  • 扫描失败或超时的原因是什么?如何解决?

    • 扫描IPWAF、云防火墙或主机安全策略拦截,请先检查并确保已将官方提供的所有扫描器IP地址加入了扫描白名单。

    • 确保资产在扫描期间处于开机和网络可达状态。

  • 为什么资产没有被发现?

    请检查以下几点:

    • 该资产类型是否在支持扫描的云产品范围内。

    • 资产发现是从当前账号下已归属资产开始探测的,请确保作为起点的资产完成资产状态归属确认。

    • 如果是影子资产,可能由于其与已有资产的关联关系较弱,系统未能通过检测规则发现。

上一篇:攻击面管理概述下一篇:查看和处理攻击风险