AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

查看和处理攻击风险

更新时间:
复制为 MD 格式
产品详情
我的收藏

本文详述了依据攻击路径图谱进行风险分析与处置的操作指南。支持从攻击者视角查看互联网暴露及横向移动链路,支持通过白名单策略自定义管理特定风险路径的检测规则,提供AI辅助分析获取修复建议。

核心概念

  • 攻击路径: 攻击路径是云安全中心基于资产间的关联关系、网络可达性、以及资产上存在的漏洞和风险配置,通过逻辑推演出的一个潜在的攻击序列。它清晰地展示了攻击者可能如何从一个入口攻破并逐步渗透,最终达到一个高价值目标(终点资产)。

    说明

    攻击路径代表一种潜在的风险推演,而非已实际发生的攻击事件。

  • 起点资产与终点资产:

    • 起点资产:通常是暴露在互联网上的资产,如拥有公网IPECS实例,是攻击者发起攻击的入口。

    • 终点资产:通常是具有较高价值的内部资产,如核心数据库、内部应用服务器等,是攻击者希望最终控制或窃取数据的目标。

查看整体攻击风险态势(攻击面总览

可在攻击面总览页面快速了解资产整体的攻击风险态势,操作步骤如下:

  1. 登录云安全中心控制台。在页面左侧顶部,选择需防护资产所在的区域:中国内地非中国内地后,单击左侧导航栏风险治理 > 攻击面管理

  2. 攻击面总览页签,可以查看以下关键信息:

    • Top5 风险路径

      • 此列表根据攻击路径的综合风险评分(综合评估路径中漏洞的严重性、资产的重要性、暴露面的广度等因素)进行排序,帮助聚焦于当前最高危的风险。

      • 可预览攻击路径图谱,查看攻击链路概况。可单击立即查看跳转至风险详情页,对其资产风险进行性分析处理。

    • 攻击路径类型:统计不同攻击路径类型的数量占比,帮助了解主要的风险模式。例如:互联网暴露入侵、通过云产品访问的横向移动、通过主机漏洞的横向移动等。

    • 资产盘点

      • 风险资产类型:统计当前所有攻击风险中涉及的资产类型及其占比,帮助迅速了解受影响的资产分布。

      • Top10暴露组件:展示排前10的存在暴露风险的组件,帮助定位具体风险的来源。

      • 暴露方式:统计当前攻击风险中资产暴露的具体方式及数量,帮助定位资产暴露的出口。如:公网IP直接暴露、通过负载均衡(SLB)暴露等,更多说明请参见攻击面管理概述

分析并修复攻击风险

对于发现的每个攻击风险,需要深入分析其路径详情,并采取相应的措施进行处理。

查看攻击风险详情

  1. 进入攻击风险页签,定位至目标资产,单击其操作列的详情

  2. 在风险详情页,可从以下两个区域分析风险:

    • 路径列表:展示当前风险包含的所有攻击路径。每一条数据代表一个从起点资产到终点资产的完整攻击链路。

    • 攻击路径图谱

      1. 单击路径列表中的攻击名称,右侧会以图形化方式展示该攻击路径。

      2. 单击路径节点,可查看关联的资产基本信息暴露组件漏洞信息安全告警处理无代理检测云安全态势管理等信息。

处理攻击风险

  • 修复与加固:修复风险根源是处置攻击风险最有效的方式,单击攻击路径图谱的路径节点,根据路径节点揭示的风险点,逐一进行处理。常见风险点及处理建议如下:

    • 漏洞信息:如果卡片中提示存在漏洞,单击漏洞名称或处理按钮,页面将跳转至漏洞管理模块。请根据漏洞详情和修复建议进行修复。

    • 云安全态势管理:如果提示存在配置风险或不满足系统基线要求,单击风险项,页面将跳转至云安全态势管理(CSPM)模块进行加固。

    • 网络暴露:如果风险是由于不当的网络配置(如安全组开放了高危端口给公网),请前往ECSVPC控制台,调整安全组规则,将授权对象收缩至最小范围(例如,仅对特定的可信IP开放)。

  • AI分析:当攻击路径较为复杂时,可以使用安全AI助手获取自动化的分析和修复建议。可根据修复建议进行修复。

    1. 在风险详情页,单击路径列表中的攻击名称。

    2. 在展开的攻击说明区域,单击AI分析安全AI助手对当前攻击路径进行分析并生成修复建议。内容示例说明如下:

      • 攻击路径概览:简要说明攻击路径的形成原因及判定依据。

      • 攻击路径分析:详细介绍攻击路径的形成原因和判定依据。

      • 受影响资产与风险评估:分析影响的实例及风险等级。

      • 修复建议:生成详细的修复建议,可参照建议流程处理该攻击风险。

  • 加白名单:加入白名单操作并不会修复任何实际风险,此功能仅适用于确认误报风险可接受等场景。操作步骤如下:

    重要

    加入白名单后,系统将不再针对当前起点资产终点资产的攻击路径生成风险告警。

    1. 在风险详情页,单击路径列表中的攻击名称。

    2. 在展开的攻击说明区域,单击立即处置,在弹出的面板中,处置方式选择加白名单

      • 规则策略生效资产:默认为当前攻击路径的起点资产和终点资产。

      • 白名单策略名称:填写符合业务场景的加白策略名称,方便后续维护。

    3. 可在攻击面管理右上角扫描策略加白策略页签,查看和处理加白数据,具体操作参见下文。

管理白名单策略

返回攻击面管理首页,单击右上角扫描策略。在加白策略页签,可进行如下管理操作。

  • 新增策略

    1. 单击列表上方的新增策略按钮,在新增页面填写白名单策略名称

    2. 选择起点资产/终点资产

      1. 将切换列表类型至全量资产列表,在已归属的资产中勾选需要加白的资产信息,支持多选。

      2. 将切换列表类型至变更列表,确认设置的起点资产终点资产

  • 修改策略

    1. 单击目标策略操作列的编辑

    2. 修改起点资产/终点资产

      1. 历史已选列表中可查看,当前策略最后一次保存的加白资产。

      2. 切换列表类型至全量资产列表,新增或取消勾选资产。

      3. 切换列表类型至变更列表,确认本次修改的资产。

        说明

        变更列表中,勾选项表示本次新增加入白名单的资产,未勾选项表示本次从白名单中移除的资产。

  • 删除策略:单击目标策略操作列的删除。删除后,影响说明如下:

    • 原被加白的攻击路径将重新被纳入检测范围。

    • 如果相关风险并未修复,系统将再次生成对应的攻击风险数据。

上一篇:资产发现下一篇:资产暴露分析