Anda dapat menggunakan fitur analisis jalur serangan untuk memindai dan menganalisis jalur akses antara layanan Alibaba Cloud secara menyeluruh, seperti jalur akses di mana Peran RAM yang ditetapkan ke Instance ECS digunakan untuk mengontrol Bucket OSS. Fitur ini memberikan hasil pemindaian yang divisualisasikan untuk membantu Anda memahami status keamanan akses sumber daya di cloud. Topik ini menjelaskan cara menggunakan fitur analisis jalur serangan.
Deskripsi fitur
Fitur analisis jalur serangan membantu Anda memahami hubungan dan risiko potensial antara layanan cloud yang berbeda. Ini membantu mengidentifikasi izin akses langsung yang tidak perlu dan titik lemah yang mungkin dieksploitasi, seperti pengaturan izin yang terlalu longgar atau transmisi data yang tidak dienkripsi. Security Center secara otomatis menghasilkan saran keamanan untuk membantu menyesuaikan pengaturan izin sumber daya, mengurangi ancaman potensial, dan meningkatkan keamanan sistem secara keseluruhan. Fitur ini juga membantu Anda secara proaktif mengidentifikasi dan memperbaiki kerentanan keamanan yang mungkin dimanfaatkan oleh penyerang, serta melindungi data dan aplikasi penting dari serangan.
Aset yang didukung
Fitur analisis jalur serangan memungkinkan Anda memindai aset dalam akun Alibaba Cloud Anda yang memenuhi persyaratan berikut:
Titik masuk (intruded assets) dalam jalur serangan harus berupa instance ECS, peran RAM, atau ID AccessKey.
Target (targeted assets) dalam jalur serangan harus berupa instance ECS, akun Alibaba Cloud, pengguna RAM, kebijakan RAM, grup pengguna RAM, peran RAM, atau bucket OSS.
Sebuah titik masuk dilaporkan sebagai peringatan dalam jalur serangan hanya jika titik masuk tersebut terlibat dalam setidaknya salah satu skenario rentan berikut:
Kerentanan mendesak terdeteksi pada instance ECS.
Instance ECS terpapar ke Internet dan setidaknya satu risiko terdeteksi pada instance ECS.
Peringatan mendesak dihasilkan pada instance ECS dan peringatan tersebut ditampilkan di halaman untuk instance ECS.
Peringatan mendesak dihasilkan pada pasangan AccessKey dari peran RAM. Peringatan tersebut harus bertipe Cloud Workload Protect Platform (CWPP).
Peran RAM dapat diasumsikan lintas akun.
Tipe jalur serangan
Security Center memindai aset yang memenuhi persyaratan berdasarkan tipe jalur serangan dan skenario jalur serangan, serta melaporkan peringatan untuk aset yang memiliki jalur serangan. Tipe jalur serangan adalah Pasangan AccessKey Abnormal, Aset Sensitif, Eskalasi Hak Istimewa oleh Peran, dan Eskalasi Hak Istimewa oleh Pengguna.
Pasangan AccessKey Abnormal
Pengguna RAM dengan pasangan AccessKey abnormal dapat mengelola RAM.
Pengguna RAM dengan pasangan AccessKey abnormal memiliki hak administratif.
Aset Sensitif
Fitur analisis jalur serangan memungkinkan Anda mengonfigurasi aset sensitif dan menentukannya sebagai aset target dari tugas pemindaian jalur serangan. Anda dapat memindai aset untuk mengidentifikasi skenario jalur serangan.
Peran yang ditetapkan ke instance ECS dapat mengakses aset sensitif.
Pengguna RAM dengan pasangan AccessKey abnormal dapat mengakses aset sensitif.
Peran dapat mengakses aset sensitif dan diasumsikan oleh akun Alibaba Cloud lainnya.
Jika Anda tidak mengonfigurasi aset sensitif dalam pemindaian jalur serangan, tidak ada jalur serangan yang terdeteksi setelah pemindaian selesai. Untuk informasi lebih lanjut tentang cara mengonfigurasi aset sensitif, lihat bagian Konfigurasikan Aset Sensitif dalam topik ini.
Eskalasi Hak Istimewa oleh Peran
Instance ECS dapat memperoleh hak administratif dengan menggunakan peran RAM yang ditetapkan ke instance ECS.
Peran RAM yang ditetapkan ke instance ECS dapat mengelola RAM.
Instance ECS dapat meningkatkan hak istimewa dengan melampirkan kebijakan ke peran yang ditetapkan ke instance ECS.
Instance ECS dapat meningkatkan hak istimewa dengan memodifikasi kebijakan yang dilampirkan ke peran yang ditetapkan ke instance ECS.
Instance ECS dapat meningkatkan hak istimewa dengan mengubah versi default dari kebijakan yang dilampirkan ke peran yang ditetapkan ke instance ECS.
Instance ECS dapat meningkatkan hak istimewa dengan mengubah peran yang ditetapkan ke instance ECS.
Instance ECS dapat memperoleh kredensial akses jangka panjang dengan membuat pasangan AccessKey.
Instance ECS dapat memperoleh kredensial akses jangka panjang dengan mengaktifkan logon konsol untuk pengguna RAM.
Instance ECS dapat mengaktifkan logon konsol dengan memodifikasi pengaturan logon pengguna RAM.
Instance ECS dapat meningkatkan hak istimewa dengan melampirkan kebijakan ke pengguna RAM.
Instance ECS dapat meningkatkan hak istimewa dengan memodifikasi kebijakan yang dilampirkan ke pengguna RAM.
Instance ECS dapat meningkatkan hak istimewa dengan mengubah grup pengguna tempat pengguna RAM berada.
Instance ECS dapat meningkatkan hak istimewa dengan melampirkan kebijakan ke grup pengguna tempat pengguna RAM berada.
Instance ECS dapat meningkatkan hak istimewa dengan memodifikasi kebijakan yang dilampirkan ke grup pengguna tempat pengguna RAM berada.
Instance ECS dapat meningkatkan hak istimewa dengan memodifikasi kebijakan kepercayaan berisiko tinggi.
Instance ECS dapat meningkatkan hak istimewa dengan memodifikasi kebijakan yang dilampirkan ke peran yang dapat diasumsikan oleh pengguna RAM.
Instance ECS dapat meningkatkan hak istimewa dengan mengasumsikan peran yang dapat diasumsikan oleh pengguna RAM.
Instance ECS dapat meningkatkan hak istimewa dengan mengasumsikan peran yang dapat diasumsikan oleh peran yang ditetapkan ke instance ECS.
Instance ECS dapat meningkatkan hak istimewa dengan memperoleh izin berisiko tinggi dari peran yang ditetapkan ke instance ECS lainnya.
Peran memiliki hak administratif dan dapat diasumsikan oleh akun Alibaba Cloud lainnya.
Peran dapat mengelola RAM dan diasumsikan oleh akun Alibaba Cloud lainnya.
Peran diberi izin berisiko tinggi dan dapat diasumsikan oleh akun Alibaba Cloud lainnya.
Peran dapat meningkatkan hak istimewa dengan melampirkan kebijakan ke dirinya sendiri dan dapat diasumsikan oleh akun Alibaba Cloud lainnya.
Peran dapat meningkatkan hak istimewa dengan memodifikasi kebijakan yang dilampirkan ke dirinya sendiri dan diasumsikan oleh akun Alibaba Cloud lainnya.
Eskalasi Hak Istimewa oleh Pengguna
Pengguna RAM dapat meningkatkan hak istimewa dengan melampirkan kebijakan ke dirinya sendiri.
Pengguna RAM dapat meningkatkan hak istimewa dengan memodifikasi kebijakan yang dilampirkan ke dirinya sendiri.
Pengguna RAM dapat meningkatkan hak istimewa dengan melampirkan kebijakan ke grup pengguna tempat pengguna RAM berada.
Pengguna RAM dapat meningkatkan hak istimewa dengan memodifikasi kebijakan yang dilampirkan ke grup pengguna tempat pengguna RAM berada.
Pengguna RAM dapat meningkatkan hak istimewa dengan memodifikasi kebijakan kepercayaan suatu peran dan mengasumsikan peran tersebut.
Pengguna RAM dapat meningkatkan hak istimewa dengan menjalankan perintah pada instance ECS untuk memperoleh izin suatu peran.
Pengguna RAM dapat meningkatkan hak istimewa dengan mengirimkan file dari instance ECS untuk memperoleh izin suatu peran.
Pengguna RAM dapat meningkatkan hak istimewa dengan memulai sesi di konsol web shell instance ECS untuk memperoleh izin berisiko tinggi suatu peran.
Pengguna RAM dapat meningkatkan hak istimewa dengan mereset kata sandi instance ECS untuk memperoleh izin berisiko tinggi suatu peran.
Pengguna RAM dapat meningkatkan hak istimewa dengan mengikat pasangan kunci SSH ke server Linx untuk memperoleh izin berisiko tinggi suatu peran.
Pengguna RAM dapat meningkatkan hak istimewa dengan membuat instance dan menetapkan peran instance tersebut ke pengguna RAM untuk memperoleh izin berisiko tinggi suatu peran.
Pengguna RAM dapat meningkatkan hak istimewa dengan memodifikasi konfigurasi pengikatan peran instance untuk memperoleh izin berisiko tinggi suatu peran.
Aktifkan fitur analisis jalur serangan
Setelah Anda membeli fitur CSPM dengan menggunakan metode penagihan langganan atau bayar sesuai pemakaian, Anda dapat menggunakan fitur analisis jalur serangan. Fitur analisis jalur serangan tidak mengonsumsi kuota untuk fitur CSPM. Untuk informasi lebih lanjut tentang cara membeli fitur CSPM, lihat Panduan Pengguna.
Statistik
Statistik pada fitur analisis jalur serangan diperbarui secara otomatis setiap hari. Statistik tersebut ditampilkan di tab Attack Path halaman CSPM. Statistik tersebut memberikan detail jalur serangan pada aset rentan dan informasi aset. Tabel berikut menjelaskan item statistik.
Item statistik | Deskripsi |
Jalur Serangan Prioritas Tinggi | Jumlah total jalur serangan yang memiliki prioritas tinggi. |
Aset Berisiko | Jumlah total aset rentan yang terlibat dalam jalur serangan. |
Informasi jalur serangan | Daftar peringatan yang dipicu oleh jalur serangan. Informasi peringatan mencakup nama jalur serangan, tipe jalur, aset yang disusupi, dan aset yang ditargetkan. |
Kelola pengaturan pemindaian jalur serangan
Konfigurasikan aset sensitif
Tugas pemindaian jalur serangan dijalankan untuk memindai jalur serangan pada aset sensitif. Oleh karena itu, Anda harus mengonfigurasi aset sensitif. Jika Anda tidak mengonfigurasi aset sensitif, tidak ada jalur serangan yang terdeteksi setelah tugas pemindaian selesai.
Masuk ke konsol Security Center. Di bilah navigasi atas, pilih China sebagai wilayah aset yang ingin Anda kelola.
Di panel navigasi di sisi kiri, pilih .
Di tab Attack Path halaman CSPM, klik Policy Management di pojok kanan atas atau klik Scan Configuration di bagian Attack Path.
Di sisi kiri tab Sensitive Asset to Scan, klik tipe aset. Di sisi kanan tab, pilih aset yang diperlukan.
Klik OK.
Konfigurasikan aturan daftar putih
Jika Anda tidak ingin memindai jalur serangan tertentu antara titik masuk dan target tertentu, Anda dapat menambahkan jalur serangan ke aturan daftar putih. Security Center tidak melaporkan informasi tentang jalur serangan dari aset yang ditambahkan ke aturan daftar putih.
Di tab Attack Path halaman CSPM, klik Policy Management di pojok kanan atas atau klik Scan Configuration di bagian Attack Path.
Di tab Whitelist Rule, klik tab By Attack Path.
Di tab Berdasarkan Jalur Serangan, klik Create Whitelist Rule. Di panel yang muncul, konfigurasikan parameter dan klik OK.
Parameter
Deskripsi
Nama Daftar Putih
Masukkan nama untuk aturan daftar putih. Nama dapat berisi huruf, angka, dan garis bawah (_).
Tipe Jalur Serangan
Pilih tipe jalur serangan yang ingin Anda tambahkan ke aturan daftar putih. Nilai valid: Pasangan AccessKey Abnormal, Aset Sensitif, Eskalasi Hak Istimewa oleh Peran, dan Eskalasi Hak Istimewa oleh Pengguna.
Jalur Serangan
Pilih jalur serangan dari tipe yang Anda tentukan untuk parameter Tipe Jalur Serangan.
Cakupan Aset
Pilih aset tempat Anda ingin menerapkan aturan daftar putih. Nilai valid: All Assets dan Specific Assets.
Jika Anda memilih Specific Assets, Anda juga harus memilih aset di bagian Entry Point dan Target.
Pemindaian otomatis untuk jalur serangan
Security Center secara otomatis memindai tipe jalur serangan yang didukung pada aset yang didukung sekali dalam sehari.
Jika Anda tidak mengonfigurasi aset sensitif, tidak ada jalur serangan yang terdeteksi setelah pemindaian selesai.
Jika Anda mengonfigurasi aturan daftar putih untuk jalur serangan tertentu, Security Center tidak akan memindai jalur serangan antara titik masuk dan target atau menghasilkan peringatan untuk jalur serangan tersebut.
Jalankan tugas pemindaian jalur serangan secara manual
Di tab Attack Path halaman CSPM, klik Quick Scan di bagian Attack Path Scan.
Lihat informasi tugas pemindaian
Secara default, panel Task Management menampilkan catatan tugas pemindaian otomatis dan manual yang berjalan dalam tujuh hari terakhir.
Di pojok kanan atas halaman CSPM, klik Task Management
Di panel Attack Path, Anda dapat melihat informasi berikut: Task ID, Task Type, Start Time/End Time, Status, dan Kemajuan. Nilai Status termasuk Dimulai, Selesai, Waktu Habis, Penanganan, dan Gagal.
Temukan tugas dan klik Details di kolom Tindakan untuk melihat detail aset yang dipindai, termasuk jumlah aset rentan, jumlah jalur serangan, jumlah aset tempat tugas berhasil dijalankan, jumlah aset tempat tugas gagal, dan daftar aset.
Anda dapat menanyakan dan melihat hasil tugas pemindaian pada aset tertentu berdasarkan status tugas, tipe aset, dan ID aset.
Lihat detail jalur serangan
Di tab Attack Path halaman CSPM, lihat jalur serangan yang terdeteksi berdasarkan pengaturan pemindaian jalur serangan. Tabel berikut menjelaskan detail jalur serangan.
Metrik Peringatan
Deskripsi
Tingkat Keparahan
Prioritas jalur serangan. Prioritas adalah Mendesak, Mencurigakan, dan Pemberitahuan, yang masing-masing berwarna merah, oranye, dan abu-abu.
Nama Jalur Serangan
Nama jalur serangan.
Tipe Jalur
Tipe jalur serangan. Nilai valid: Pasangan AccessKey Abnormal, Aset Sensitif, Eskalasi Hak Istimewa oleh Peran, dan Eskalasi Hak Istimewa oleh Pengguna.
Aset yang Disusupi dan Aset yang Ditargetkan
Titik masuk dan target di antara mana jalur serangan terdeteksi.
Terakhir Terjadi Pada
Waktu ketika jalur serangan terakhir kali terdeteksi.
Temukan jalur serangan dan klik Details di kolom Tindakan untuk melihat informasi berikut: Informasi Dasar, Informasi Jalur Serangan, Solusi, dan Diagram Serangan.
Basic Information: menampilkan prioritas jalur serangan, tipe jalur serangan, waktu ketika jalur pertama kali terdeteksi, dan waktu ketika jalur terakhir terdeteksi.
Intruded Asset and Asset Type dan Targeted Asset and Asset Type: menampilkan ID instance dan tipe dari aset yang disusupi dan aset yang ditargetkan. Anda dapat mengklik ID instance untuk pergi ke halaman detail aset terkait di modul Assets.
Attack Path Information: menampilkan logika deteksi jalur serangan.
Solution: memberikan saran dan instruksi tentang cara memperbaiki jalur serangan.
Attack Path Graph: menampilkan hubungan antara aset yang terpengaruh oleh jalur serangan.
Garis merah yang menghubungkan node menunjukkan bahwa risiko ada. Anda dapat mengklik garis merah untuk melihat saran tentang cara memperbaiki risiko tersebut.
Anda dapat mengklik node untuk melihat informasi dasar dari node dan kerentanan yang terkait dengan node tersebut.
Anda dapat mengklik ikon
di pojok kanan atas grafik jalur serangan untuk melihat ikon node dan deskripsinya.
Anda dapat mengklik ikon
di pojok kanan atas grafik jalur serangan untuk mengonfigurasi mode pengaturan grafik.
Anda dapat mengklik ikon
di pojok kanan atas grafik jalur serangan untuk mengunduh grafik. Anda dapat berbagi grafik jalur serangan dengan administrator keamanan terkait untuk meningkatkan kemampuan penelusuran dan efisiensi analisis aset yang ditargetkan.
Tambahkan jalur serangan ke daftar putih
Jika jalur serangan yang terdeteksi dapat diabaikan dalam pemindaian berikutnya, Anda dapat mengonfigurasi aturan daftar putih untuk jalur serangan tersebut.
Di tab Attack Path halaman CSPM, temukan jalur serangan dan klik Add to Whitelist di kolom Tindakan.
Di kotak dialog yang muncul, masukkan nama di bidang Whitelist Name dan pilih cakupan aset untuk aturan daftar putih. Nilai valid untuk cakupan aset:
All Assets: Sistem tidak lagi mendeteksi jalur serangan atau menghasilkan peringatan pada semua aset termasuk aset baru.
Current Asset: Sistem tidak lagi mendeteksi jalur serangan atau menghasilkan peringatan pada aset yang disusupi saat ini dan aset yang ditargetkan.
Klik OK.
Untuk melihat informasi tentang aturan daftar putih yang ada, buka tab By Attack Path di tab Whitelist Rule panel Policy Management.
Referensi
Jika Anda ingin menangani kerentanan yang terdeteksi di aset, lihat topik berikut:
Jika Anda ingin menangani peringatan mendesak yang dihasilkan pada aset, lihat Lihat dan Tangani Peringatan.