Kerentanan keamanan merupakan vektor serangan utama yang dapat menyebabkan pelanggaran data dan gangguan bisnis. Pusat Keamanan memindai aset Anda terhadap jenis kerentanan, termasuk Linux Software Vulnerability, Windows System Vulnerability, Application Vulnerability, dan Web-CMS Vulnerability. Identifikasi dan perbaiki risiko sebelum terjadi serangan.
Mekanisme pemindaian kerentanan
Pusat Keamanan menggunakan dua metode berikut untuk mendeteksi kerentanan:
Software composition analysis (SCA) — deteksi pasif: Agen Pusat Keamanan mengumpulkan informasi versi perangkat lunak dan pustaka dependensi dari server Anda, lalu membandingkannya dengan basis data kerentanan. Proses ini hanya menganalisis metadata perangkat lunak dan tidak berdampak pada sistem bisnis Anda.
Web scanner — validasi aktif: Pemindai web mengirim permintaan proof-of-concept (POC) dari internet ke layanan aplikasi Anda, mensimulasikan perilaku serangan untuk mengonfirmasi keberadaan kerentanan. Metode ini dapat mendeteksi kerentanan berisiko tinggi seperti remote command execution dan SQL injection. Semua permintaan tersebut merupakan probe tidak berbahaya dan tidak akan merusak sistem Anda.
Aset di wilayah Outside Chinese Mainland yang di-host di pusat data Singapura saat ini tidak mendukung fitur pemindai web.
Edisi yang didukung dan cakupan pemindaian
Langganan
Edition | Manual scan | Automatic (periodic) scan |
Enterprise,Ultimate | Semua | |
Advanced | Semua jenis kerentanan kecuali Application Vulnerability. | |
Basic,Value-added Plan,Anti-virus | Urgent Vulnerability | Linux Software Vulnerability dan Windows System Vulnerability |
Pay-as-you-go
Protection level | Manual scan | Automatic (periodic) scan |
Host Protection dan Hosts and Container Protection | Semua | |
Unprotected dan Antivirus | Urgent Vulnerability | Linux Software Vulnerability dan Windows System Vulnerability |
Untuk menggunakan fitur pemindaian kerentanan aplikasi, salah satu kondisi berikut harus dipenuhi:
Pay-as-you-go: Aset harus ditautkan dengan otorisasi "Host & Container Full Protection".
Subscription: Edisi saat ini harus Advanced atau lebih tinggi.
Jika edisi Anda saat ini tidak mendukung fitur ini, lakukan upgrade layanan terlebih dahulu.
Konfigurasikan daftar putih jaringan
Agar pemindai web dapat mengakses server Anda dan melakukan validasi aktif (POC), tambahkan rentang IP pemindaian Pusat Keamanan 47.110.180.32/27 (47.110.180.32 hingga 47.110.180.63) ke daftar putih grup keamanan dan firewall jaringan Anda.
Jika rentang IP pemindaian Pusat Keamanan tidak ditambahkan ke daftar putih Anda, permintaan POC dari pemindai web mungkin diblokir. Hal ini mencegah deteksi kerentanan aplikasi dan kerentanan mendesak, atau menyebabkan permintaan tersebut ditandai sebagai serangan.
Permintaan validasi POC mungkin mencakup domain bantu
s0x.cn(digunakan untuk deteksi kerentanan aplikasi dan kerentanan mendesak). Jika hal ini memicu peringatan, abaikan peringatan tersebut atau buat aturan daftar putih untuk domain tersebut.
Konfigurasikan security group
Jika server Anda adalah Instance ECS Alibaba Cloud, lihat Configure a security group dan tambahkan aturan inbound dengan parameter berikut:
Parameter | Value |
Direction | Inbound |
Action | Allow |
Protocol Type | TCP |
Port Range | 1–65535 |
Source | 47.110.180.32/27 |
Konfigurasikan daftar putih firewall
Jika server Anda menggunakan Web Application Firewall (WAF), lihat Configure a WAF whitelist rule dan tambahkan aturan daftar putih dengan parameter berikut:
Parameter | Value |
Match Field | IP |
Logic | Belongs to |
Match Content | 47.110.180.32/27 |
Detection Modules to Skip | All |
Jalankan pemindaian kerentanan
Pusat Keamanan menyediakan dua metode pemindaian:
Manual scan: Segera menilai status kerentanan server Anda sesuai permintaan.
Automatic (periodic) scan: Menyiapkan tugas pemindaian berulang untuk pemantauan kerentanan berkelanjutan.
Setelah pemindaian dimulai, sistem membuat tugas pemindaian dan menjalankannya di latar belakang. Anda dapat melihat progres dan hasil pemindaian di task management.
Manual scan
Login ke Security Center console.
Pada halaman Vulnerabilities, klik Quick Scan (All Servers). Di kotak dialog Vulnerability Scan, pilih jenis kerentanan yang akan dipindai, lalu klik OK.
CatatanUntuk memindai server tertentu alih-alih semua server, buka halaman Host, pilih server target, klik Security Check di bagian bawah halaman, lalu pilih Vulnerabilities di kotak dialog.
Menjalankan pemindaian manual sekali klik tidak memengaruhi jadwal pemindaian otomatis yang sudah ada. Pemindaian manual dan otomatis bersifat independen satu sama lain. Pemindaian otomatis, seperti pemindaian kerentanan sistem yang berjalan setiap hari atau setiap dua hari, tetap berjalan sesuai siklus terjadwalnya.
Automatic (periodic) scan
Pemindaian otomatis menggunakan dua pendekatan penjadwalan tergantung pada jenis kerentanan:
Siklus default (tidak dapat dikonfigurasi):
Berlaku untuk Linux Software Vulnerability dan Windows System Vulnerability.
Frekuensi pemindaian default:
Subscription:
Advanced, Enterprise, Ultimate — sekali per hari;
Basic,Value-added Plan, Anti-virus — sekali setiap dua hari.
Pay-as-you-go:
Host Protection, Hosts and Container Protection — sekali per hari;
Unprotected, Antivirus — sekali setiap dua hari.
Siklus yang ditentukan pengguna:
Berlaku untuk Application Vulnerability dan Urgent Vulnerability.
Tersedia untuk Subscription (Advanced,Enterprise,Ultimate) dan Pay-as-you-go (Host Protection,Hosts and Container Protection).
Untuk mengonfigurasi pemindaian otomatis:
Login ke Security Center console.
Di halaman Vulnerabilities, klik Vulnerability Settings. Konfigurasikan pengaturan berikut sesuai kebutuhan:
Parameter
Description
Vulnerability scan switch
Mengaktifkan atau menonaktifkan pemindaian untuk berbagai jenis kerentanan (Linux Software Vulnerability, Windows System Vulnerability, Web-CMS Vulnerability, Application Vulnerability, dan Urgent Vulnerability). Setelah Anda mengaktifkan pemindaian, Anda dapat mengklik Manage untuk menentukan server tempat pemindaian diterapkan.
YUM/APT Source Configuration
Jika diaktifkan, sumber YUM/APT resmi Alibaba Cloud akan diprioritaskan untuk memperbaiki kerentanan Linux, yang secara signifikan meningkatkan tingkat keberhasilan remediasi.
Urgent Vulnerability Scan Cycle
Menetapkan frekuensi eksekusi tugas pemindaian kerentanan mendesak.
Jendela pemindaian default:
Chinese Mainland:
00:00:00 (UTC+8)hingga07:00:00 (UTC+8).Outside Chinese Mainland:
00:00:00 (UTC+7)hingga07:00:00 (UTC+7).
Edisi/tingkat perlindungan yang tersedia:
Subscription: Advanced, Enterprise, dan Ultimate.
Pay-as-you-go: Host Protection dan Hosts and Container Protection.
Application Vulnerability Scan Cycle
Menetapkan frekuensi eksekusi tugas pemindaian kerentanan aplikasi.
Jendela pemindaian default:
Chinese Mainland:
00:00:00 (UTC+8)hingga07:00:00 (UTC+8).Outside Chinese Mainland: Mekanisme penjadwalan bertahap menjalankan pemindaian pada waktu berbeda dalam periode 24 jam.
Edisi/tingkat perlindungan yang tersedia:
Subscription: Enterprise dan Ultimate.
Pay-as-you-go: Host Protection dan Hosts and Container Protection.
System Vulnerabilities Scanned At
Menetapkan waktu spesifik untuk menjalankan tugas pemindaian Linux Software Vulnerability dan Windows System Vulnerability.
Retain Invalid Vulnerabilities For
Menetapkan periode pembersihan data untuk kerentanan usang.
Sistem menganggap kerentanan yang tidak terdeteksi ulang atau tidak ditangani dalam periode panjang sebagai usang. Kerentanan usang secara otomatis diarsipkan ke daftar "Handled". Setelah periode yang Anda konfigurasi di Retain Invalid Vulnerabilities For berakhir, sistem menghapusnya secara permanen untuk mengurangi kekacauan.
CatatanJika Pusat Keamanan mendeteksi kembali jenis kerentanan yang sama di masa depan, peringatan baru akan dihasilkan.
Vulnerability Scan Level
Menetapkan tingkat risiko kerentanan yang akan dipindai. Sistem hanya memindai dan melaporkan kerentanan yang sesuai dengan tingkat yang dipilih.
Vulnerability Whitelist Settings
Tambahkan kerentanan yang Anda putuskan untuk tidak diperbaiki (misalnya, karena kebutuhan bisnis atau risiko yang dapat diterima) ke daftar putih. Kerentanan ini kemudian diabaikan dalam pemindaian berikutnya.
CatatanSetelah Anda menambahkan aturan daftar putih kerentanan, Anda dapat mengelolanya (mengedit atau menghapus) di tab Vulnerability Whitelist Settings di panel Vulnerability Settings.
Lihat tugas pemindaian
Di halaman Vulnerabilities, klik Task Management di pojok kanan atas.
Klik Details di kolom Actions untuk tugas guna melihat data dampaknya, termasuk Affected Servers, Successful Servers, dan Failed Servers.
Untuk server yang berhasil dipindai, kolom Status menunjukkan cakupan kerentanan yang terdeteksi. Untuk pemindaian yang gagal, kolom Status menunjukkan alasan kegagalannya.
Pemecahan masalah progres pemindaian macet
Jika tugas pemindaian tetap berada di progres 0% atau berstatus "Scanning" dalam periode panjang, ikuti langkah-langkah berikut:
Periksa status agen: Pastikan Agen Security Center di server target sedang online. Jika status agen tidak normal, segarkan halaman atau mulai ulang layanan agen di server.
Temukan server yang gagal: Klik Task Management di pojok kanan atas halaman manajemen kerentanan untuk melihat detail tugas dan mengidentifikasi server tempat pemindaian gagal.
Jalankan pemindaian darurat untuk server yang gagal: Klik Vulnerability Settings di pojok kanan atas, temukan opsi Urgent Vulnerability Scan Cycle, pilih hanya server yang gagal, dan jalankan pemindaian sekali klik untuk menyelesaikan deteksi kerentanan yang tersisa.
Laporan menunjukkan 0 kerentanan: Jika pemindaian selesai tetapi laporan menunjukkan 0 kerentanan, jalankan pemindaian kerentanan dan pemindaian virus secara manual terlebih dahulu, lalu lihat atau ekspor laporan lagi setelah pemindaian selesai.
Lihat dan tangani kerentanan
Di halaman Vulnerabilities, buka tab untuk jenis kerentanan target, masuk ke halaman detail kerentanan, dan ikuti petunjuk untuk memperbaikinya. Untuk langkah remediasi, lihat Manage vulnerabilities.
Application Vulnerability dan Urgent Vulnerability tidak mendukung one-click remediation dari konsol. Anda harus login ke server dan memperbaikinya secara manual berdasarkan saran remediasi di detail kerentanan.
Service model | Service edition / Protection level | Description |
Subscription | Enterprise dan Ultimate | Mendukung remediasi untuk Linux Software Vulnerability, dan Windows System Vulnerability. |
Advanced | Mendukung remediasi untuk Linux Software Vulnerability dan Windows System Vulnerability. | |
Basic, Value-added Plan, dan Anti-virus | Penting Anda harus membeli layanan tambahan Vulnerability Fix untuk menggunakan remediasi sekali klik. Untuk petunjuk pembelian, lihat Purchase guide. Mendukung remediasi untuk Linux Software Vulnerability dan Windows System Vulnerability. | |
Pay-as-you-go | All protection levels |
Pemecahan masalah kerentanan Linux tidak ditampilkan
Jika kerentanan terkait Linux (seperti kerentanan privilege escalation kernel CVE tertentu) tidak ditampilkan di konsol, ikuti langkah-langkah berikut:
Periksa pengaturan filter: Di halaman manajemen kerentanan, periksa apakah ada sakelar filter atau pengaturan tampilan yang diaktifkan (seperti penyaringan berdasarkan tingkat risiko tertentu). Nonaktifkan filter terkait atau sesuaikan pengaturan tampilan untuk memastikan kerentanan Linux ditampilkan.
Jalankan ulang pemindaian: Jika kerentanan masih tidak ditampilkan setelah menyesuaikan filter, klik Quick Scan untuk menjalankan ulang pemindaian kerentanan. Selain itu, login ke server dan jalankan perintah berikut untuk mengonfirmasi versi kernel sistem:
uname -rNilai dampak kerentanan CVE: Untuk kerentanan CVE tertentu (seperti CVE-2026-31431), periksa apakah versi kernel berada dalam rentang yang terpengaruh (seperti versi kernel antara 4.14 dan 7.0). Jika dikonfirmasi terpengaruh, rujuk advisory keamanan resmi untuk mitigasi sementara dan lakukan upgrade setelah patch resmi dirilis.
Catatan perbaikan kerentanan Windows berisiko tinggi
Saat memperbaiki kerentanan Windows berisiko tinggi (seperti CVE-2026-26170 dan kerentanan lain yang melibatkan komponen tingkat OS), perhatikan hal-hal berikut:
Buat cadangan sebelum memperbaiki: Buat Snapshot Instance ECS sebelum menerapkan perbaikan agar Anda dapat segera melakukan rollback jika terjadi masalah.
Perbaiki selama jam sepi: Perbaikan semacam ini mungkin memerlukan restart server. Lakukan perbaikan selama jam sepi bisnis untuk meminimalkan dampak.
Restart setelah memperbaiki: Patch sistem Windows biasanya memerlukan restart server agar berlaku. Restart server segera setelah perbaikan diterapkan.
Batasan
Task Management: Setelah tugas pemindaian manual dibuat, Anda harus menunggu 15 menit sebelum dapat mengklik Stop secara manual di Task Management.
Durasi pemindaian: Waktu penyelesaian pemindaian bergantung pada jumlah aset dan kompleksitas kerentanan. Pemindaian biasanya selesai dalam waktu 30 menit.
FAQ
Perilaku dan hasil pemindaian
Mengapa beberapa instance kerentanan yang sama dilaporkan untuk satu server?
Deteksi kerentanan aplikasi menargetkan instance proses berjalan tertentu. Jika server menjalankan beberapa instance proses dengan kerentanan yang sama, seperti dua layanan Tomcat identik pada port berbeda, sistem melaporkan kerentanan terpisah untuk setiap instance. Jika perangkat lunak rentan diinstal tetapi proses terkaitnya tidak berjalan, kerentanan tersebut tidak terdeteksi.
Mengapa hasil pemindaian untuk kerentanan seperti Fastjson kadang-kadang berbeda?
Deteksi kerentanan semacam ini bergantung pada apakah komponennya, seperti paket JAR, dimuat ke dalam status "runtime" selama pemindaian. Dalam model pemuatan dinamis, sistem hanya mengidentifikasi kerentanan ketika logika bisnis memanggil komponen rentan tersebut. Oleh karena itu, hasil pemindaian mungkin berbeda pada waktu yang berbeda.
CatatanUntuk meningkatkan akurasi deteksi kerentanan jenis ini, kami merekomendasikan agar Anda menjalankan pemindaian berkala atau beberapa kali.
Mengapa catatan kerentanan untuk host tetap ada di konsol setelah agennya offline?
Saat agen offline, catatan kerentanan yang sebelumnya terdeteksi tetap disimpan di konsol. Namun, catatan tersebut secara otomatis menjadi usang, dan Anda tidak dapat mengambil tindakan terhadapnya (misalnya, remediasi, verifikasi, atau menghapus). Kerentanan secara otomatis menjadi usang setelah periode berikut:
PentingSemua data dihapus secara permanen hanya jika layanan Pusat Keamanan kedaluwarsa dan tidak diperpanjang dalam waktu 7 hari.
Linux Software Vulnerability dan Windows System Vulnerability: 3 hari.
Web-CMS Vulnerability: 7 hari.
Application Vulnerability: 30 hari.
Urgent Vulnerability: 90 hari.
Apakah pemindaian manual memengaruhi jadwal pemindaian otomatis?
Menjalankan pemindaian manual sekali klik tidak memengaruhi jadwal pemindaian otomatis yang sudah ada. Keduanya beroperasi secara independen. Pemindaian otomatis, seperti pemindaian kerentanan sistem yang berjalan setiap hari atau setiap dua hari, tetap berjalan sesuai siklus terjadwalnya terlepas dari pemindaian manual.
Dampak kinerja dan keamanan
Apakah pemindaian kerentanan atau POC untuk kerentanan mendesak memengaruhi sistem bisnis?
Umumnya, tidak. POC dari Pusat Keamanan hanya mengirim satu atau dua permintaan probe tidak berbahaya dan tidak melakukan serangan atau tindakan destruktif apa pun. Namun, dalam kasus langka di mana aplikasi menangani input tak terduga dengan buruk, risiko minimal yang tidak diketahui mungkin ada.
Mengapa pemindaian kerentanan dapat memicu error out-of-memory (OOM)?
Agen Pusat Keamanan memiliki batas memori default 200 MB. Jika penggunaan memori selama pemindaian melebihi batas ini, mekanisme OOM sistem menghentikan proses deteksi (ALiSecCheck) untuk menghemat sumber daya.
CatatanBatas ini biasanya dikelola oleh control group (cgroup) bernama
aegisRtap0. Anda dapat menemukan informasi OOM terkait di log dmesg.Ini adalah perilaku normal dan tidak menunjukkan kekurangan memori di seluruh sistem. Tidak diperlukan intervensi pengguna.
Jenis error Out of Memory (OOM) ini diakibatkan oleh batas memori cgroup, bukan kekurangan memori di seluruh sistem.
Cakupan dan kemampuan pemindaian
Apa saja yang dicakup oleh pemindaian kerentanan?
Pemindaian mencakup lapisan sistem dan aplikasi:
Lapisan sistem: Linux Software Vulnerability dan Windows System Vulnerability.
PentingPemindaian Windows System Vulnerability hanya mendukung patch pembaruan keamanan bulanan.
Lapisan aplikasi: Web-CMS Vulnerability, Application Vulnerability, dan Urgent Vulnerability.
Bagaimana cara melihat daftar kerentanan yang dapat dideteksi oleh Pusat Keamanan?
Login ke Security Center console.
Di panel navigasi kiri, pilih Vulnerabilities > Vulnerabilities. Di bagian ikhtisar, temukan kartu Disclosed Vulnerabilities.
Klik jumlah total kerentanan pada kartu untuk melihat daftar semua kerentanan yang dapat dideteksi beserta detailnya.
Apakah deteksi untuk kerentanan spesifik seperti Elasticsearch didukung?
Ya. Anda dapat melihat hasil deteksi untuk layanan seperti Elasticsearch di halaman Application Vulnerability di konsol.
CatatanFitur ini hanya tersedia untuk Subscription (Enterprise dan Ultimate) dan Pay-as-you-go (Host Protection dan Hosts and Container Protection). Jika edisi Anda saat ini tidak mendukung fitur ini, upgrade layanan Anda.