攻击面管理是云安全中心提供的一项主动防御能力。它将自动、持续盘点在阿里云上的所有互联网暴露资产,包括已知的“云上资产”和未知的“影子资产”,并基于资产风险与网络可达性推演潜在攻击路径。其核心目标是在攻击者之前发现并收敛暴露风险,将安全工作从被动响应转变为主动防御。
适用范围
本功能目前处于公测阶段,仅对企业版和旗舰版客户开放,公测期间可免费使用。
核心概念
云上资产:阿里云账号下已开通的、资产发现功能所支持的云产品实例,例如云服务器 ECS、负载均衡 SLB、弹性公网IP EIP等。
影子资产:系统通过分析资产的公开信息(如证书透明度日志、DNS解析记录、备案信息等)所关联发现的、非当前账号直接创建的阿里云资产。
攻击路径: 攻击路径是云安全中心基于资产间的关联关系、网络可达性、以及资产上存在的漏洞和风险配置,通过逻辑推演出的一个潜在的攻击序列。它清晰地展示了攻击者可能如何从一个入口点(起点资产)逐步渗透,最终达到一个高价值目标(终点资产)。
说明攻击路径代表一种潜在的风险,而非已实际发生的攻击事件。
应用场景
全面盘点互联网暴露资产,消除资产盲点
业务挑战:业务快速发展,存在大量开发测试遗留、子公司或未被统一管理的云资产,无法全面掌握暴露在外的风险。
解决方案:使用攻击面管理的资产发现功能,系统以WAF、云防火墙、域名、证书、EIP等为基准,自动、持续地进行关联分析,发现当前账号已知的云上资产和未知的影子资产。
核心价值:将分散、未知的资产纳入统一的安全视野,为后续的风险收敛提供完整、准确的资产清单。
模拟攻击者视角,识别并阻断高危攻击路径
业务挑战:资产和漏洞数量庞大,难以判断哪些风险组合造成的威胁最大,应予以优先修复。
解决方案:攻击面管理通过分析资产间的网络可达性、漏洞和风险配置,自动推演潜在的攻击路径,并以拓扑图形式呈现从起点资产到终点资产的完整链路。
核心价值:从攻击者视角审视安全防御,聚焦于修复能阻断关键攻击路径的高价值风险点(如关键节点),实现精准、高效的风险处置。
持续监控与收敛攻击面
业务挑战:新业务上线或配置变更可能引入新的暴露面,如何确保攻击面不被无意间扩大?
解决方案:通过周期性的资产扫描和风险评估,持续监控攻击面变化。可对资产清单进行集中管理,对影子资产执行归属状态确认,从而确保攻击面视图的准确性。
核心价值:将一次性的安全评估转变为常态化的风险治理流程,动态适应业务变化,持续收敛暴露风险。
功能概述
资产发现
资产发现功能通过多维度的云产品集成与自动化测绘技术,构建从资产清点、关联分析到风险识别、处置建议的完整闭环。该功能旨在帮助企业厘清资产底数,识别未纳管的“影子资产”,并从攻击者视角收敛互联网暴露面。
资产自动测绘
系统深度集成多种云产品接口,自动同步并聚合云上资产及相关联的互联网指纹信息,建立服务到资源的精准映射。
多维资产探测:基于WAF、云防火墙、ECS、SLB、EIP及容器等云产品,结合域名、IP及SSL证书信息,通过关联分析发现端口与Web指纹。
Web 应用防火墙(WAF)和云防火墙(CFW):获取已纳入防护的域名与公网 IP。
域名(阿里云万网):同步账户下的注册域名。
证书(SSL):解析证书,提取强关联的域名及子域名。
弹性公网IP(EIP):获取账户下全部 EIP 列表,构成公网 IP 资产的基线清单。
云服务器(ECS):同步云服务器实例及其关联的公网 IP。
负载均衡(SLB):提取负载均衡的监听配置(如证书)与后端服务器组(ECS 实例),建立服务到资源的映射。
影子资产识别:利用已有资产信息进一步挖掘未纳入管理的“影子资产”,构建完整的公网IP与域名基线清单。
资产归属管理
支持对域名、IP、证书三大核心资产类型进行状态分类与精细化管理,确保扫描资源的准确性与合规性。
重要系统仅对已归属资产执行漏洞扫描与攻击路径分析,并以此为新的扫描起点,挖掘更多关联的影子资产。
已归属:已确认并归属于当前账号的资产。
未确认:已扫描发现但尚未确认归属的影子资产,等待处理。
待调查:正在对资产归属进行调查,状态暂不明确。
已忽略:经确认为非本企业资产,或无需纳入扫描范围的资产。
自动化扫描与任务管理
提供灵活的扫描策略,满足不同场景的安全检测需求。
扫描类型:
一键扫描:即时触发,适用于应急响应或新业务上线前的全面盘点。
周期性扫描:支持按需配置(如每周/每月),实现资产暴露面的常态化监控。
任务管理:扫描任务配置后会依次执行云资产刷新任务、云产品暴露分析任务、攻击路径分析任务,通过任务管理模块实时查看整体扫描进度以及子任务的执行详情与状态。
攻击风险
攻击风险分析
基于资产关联与漏洞情报,模拟并推演潜在的入侵链路。
攻击路径推演:结合网络可达性、系统漏洞、弱口令、云安全态势(CSPM)及敏感资产信息,逻辑推演从互联网入口(起点资产)到核心目标(终点资产)的完整攻击序列。
可视化图谱:提供攻击路径图谱,图形化展示攻击节点、横向移动路径及关联的暴露组件,直观呈现复杂网络环境下的风险传递关系。
多维风险标签:覆盖告警、漏洞、弱口令、关键节点、敏感资产、已曝光的AI应用及云安全配置风险,辅助精准定位高危风险点。
态势总览:通过Top5风险路径、攻击路径类型分布及资产暴露方式统计,量化整体攻击面风险态势。
风险处置
修复与加固
针对攻击路径图谱中攻击路径节点揭示的具体风险点(如系统漏洞、云安全态势配置风险、网络端口暴露等),前往对应的漏洞管理、CSPM模块或云服务器控制台进行修复、加固及安全组规则调整,从根源消除风险。
立即处置(加白名单)
适用于确认误报或风险可接受的场景。通过配置白名单策略,将特定起点至终点资产的攻击路径排除,系统将不再生成该路径的风险数据。
AI分析:当攻击路径较为复杂时,利用安全AI助手对当前路径或资产进行自动化全面分析,获取从成因判定、影响评估到具体操作流程的详细修复建议,辅助制定处置方案。
支持扫描的云产品
厂商 | 服务类别 | 产品列表 |
阿里云 | 计算与容器 |
|
网络产品配置 |
| |
数据库 |
| |
存储 | 对象存储(OSS) | |
中间件 | 轻量消息队列(原 MNS) | |
AI和大数据产品 |
| |
网络安全产品 |
| |
域名服务 | 阿里云万网 |
常见资产暴露方式
公网IP
直接暴露在互联网上的唯一标识,是资产最基础、最直接的攻击入口。任何互联网用户均可尝试访问其开放的端口和服务。
数据库公网连接
将数据库服务端口(如3306、1433、5432)直接暴露于公网。这是极高危的暴露方式,攻击者可直接进行弱口令爆破或漏洞利用,极易导致数据泄露。
云产品公网连接
指对象存储(OSS/S3)、API网关等云原生服务配置了公共访问权限。风险通常源于错误的访问控制策略,导致敏感数据或核心业务逻辑对外暴露。
弹性公网IP(EIP)
一种可独立持有和动态绑定的静态公网IP。它为云主机、网关等资源提供一个固定的公网入口,其风险与普通公网IP一致,但因其可漂移的特性增加了管理复杂性。
应用型负载均衡(ALB)
工作在应用层(L7),主要分发HTTP/HTTPS流量。它将Web服务或API统一暴露给公网,是针对Web应用攻击(如SQL注入、XSS)的主要入口点。
网络型负载均衡(NLB)
工作在传输层(L4),负责分发TCP/UDP流量,性能极高。它直接将后端服务器的特定端口暴露于公网,通常用于需要高性能和低延迟的业务场景。
负载均衡(SLB)
阿里云负载均衡服务的统称,作为流量分发中枢,它将后端的多个服务以统一的 IP 地址对外提供。它主要包含应用型负载均衡(ALB)和网络型负载均衡(NLB)等不同类型,分别工作在应用层(L7)和传输层(L4)。
NAT网关
主要功能是为私有网络内的主机提供单向的公网访问能力(出方向)。但通过配置端口转发规则(DNAT),可将外部请求映射到内部特定主机,从而形成一个受控但依然存在的攻击入口。