攻擊面管理是Security Center提供的一項主動防禦能力。它將自動、持續盤點在阿里雲上的所有互連網暴露資產,包括已知的“雲上資產”和未知的“影子資產”,並基於資產風險與網路可達性推演潛在攻擊路徑。其核心目標是在攻擊者之前發現並收斂暴露風險,將安全工作從被動響應轉變為主動防禦。
適用範圍
本功能目前處於公測階段,僅對企業版和旗艦版客戶開放,公測期間可免費使用。
核心概念
雲上資產:阿里雲帳號下已開通的、資產發現功能所支援的雲產品執行個體,例如Elastic Compute Service、Server Load Balancer、Elastic IP Address EIP等。
影子資產:系統通過分析資產的公開資訊(如認證透明度日誌、DNS解析記錄、備案資訊等)所關聯發現的、非當前帳號直接建立的阿里雲資產。
攻擊路徑: 攻擊路徑是Security Center基於資產間的關聯關係、網路可達性、以及資產上存在的漏洞和風險配置,通過邏輯推演出的一個潛在的攻擊序列。它清晰地展示了攻擊者可能如何從一個進入點(起點資產)逐步滲透,最終達到一個高價值目標(終點資產)。
說明攻擊路徑代表一種潛在的風險,而非已實際發生的攻擊事件。
應用情境
全面盤點互連網暴露資產,消除資產盲點
業務挑戰:業務快速發展,存在大量開發測試遺留、子公司或未被統一管理的雲資產,無法全面掌握暴露在外的風險。
解決方案:使用攻擊面管理的資產發現功能,系統以WAF、Cloud Firewall、網域名稱、認證、EIP等為基準,自動、持續地進行關聯分析,發現當前帳號已知的雲上資產和未知的影子資產。
核心價值:將分散、未知的資產納入統一的安全視野,為後續的風險收斂提供完整、準確的資產清單。
類比攻擊者視角,識別並阻斷高危攻擊路徑
業務挑戰:資產和漏洞數量龐大,難以判斷哪些風險組合造成的威脅最大,應予以優先修複。
解決方案:攻擊面管理通過分析資產間的網路可達性、漏洞和風險配置,自動推演潛在的攻擊路徑,並以拓撲圖形式呈現從起點資產到終點資產的完整鏈路。
核心價值:從攻擊者視角審視安全防禦,聚焦於修複能阻斷關鍵攻擊路徑的高價值風險點(如關鍵節點),實現精準、高效的風險處置。
持續監控與收斂攻擊面
業務挑戰:新業務上線或配置變更可能引入新的暴露面,如何確保攻擊面不被無意間擴大?
解決方案:通過周期性的資產掃描和風險評估,持續監控攻擊面變化。可對資產清單進行集中管理,對影子資產執行歸屬狀態確認,從而確保攻擊面視圖的準確性。
核心價值:將一次性的安全評估轉變為常態化的風險治理流程,動態適應業務變化,持續收斂暴露風險。
功能概述
資產發現
資產發現功能通過多維度雲產品整合與自動化測繪技術,構建從資產清點、關聯分析到風險識別、處置建議的完整閉環。該功能旨在協助企業釐清資產底數,識別未納管的“影子資產”,並從攻擊者視角收斂互連網暴露面。
資產自動測繪
系統深度整合多種雲產品介面,自動同步並彙總雲上資產及相關聯的互連網指紋資訊,建立服務到資源的精準映射。
多維資產探測:基於WAF、Cloud Firewall、ECS、SLB、EIP及容器等雲產品,結合網域名稱、IP及SSL認證資訊,通過關聯分析發現連接埠與Web指紋。
Web Application Firewall(WAF)和Cloud Firewall(CFW):擷取已納入防護的網域名稱與公網 IP。
網域名稱(阿里雲萬網):同步賬戶下的註冊網域名稱。
認證(SSL):解析認證,提取強關聯的網域名稱及子網域名稱。
Elastic IP Address(EIP):擷取賬戶下全部 EIP 列表,構成公網 IP 資產的基準清單。
Elastic Compute Service:同步雲端服務器執行個體及其關聯的公網 IP。
負載平衡(SLB):提取負載平衡的監聽配置(如認證)與後端伺服器組(ECS 執行個體),建立服務到資源的映射。
影子資產識別:利用已有資產資訊進一步挖掘未納入管理的“影子資產”,構建完整的公網IP與網域名稱基準清單。
資產歸屬管理
支援對網域名稱、IP、認證三大核心資產類型進行狀態分類與精細化管理,確保掃描資源的準確性與合規性。
重要系統僅對已歸屬資產執行漏洞掃描與攻擊路徑分析,並以此為新的掃描起點,挖掘更多關聯的影子資產。
已歸屬:已確認並歸屬於當前帳號的資產。
未確認:已掃描發現但尚未確認歸屬的影子資產,等待處理。
待調查:正在對資產歸屬進行調查,狀態暫不明確。
已忽略:經確認為非本企業資產,或無需納入掃描範圍的資產。
自動化掃描與任務管理
提供靈活的掃描策略,滿足不同情境的安全檢測需求。
掃描類型:
一鍵掃描:即時觸發,適用於應急響應或新業務上線前的全面盤點。
周期性掃描:支援按需配置(如每周/每月),實現資產暴露面的常態化監控。
任務管理:掃描任務配置後會依次執行雲資產重新整理任務、雲產品分析任務、攻擊路徑分析任務,通過任務管理模組即時查看整體掃描進度以及子任務的執行詳情與狀態。
攻擊風險
攻擊風險分析
基於資產關聯與漏洞情報,類比並推演潛在的入侵鏈路。
攻擊路徑推演:結合網路可達性、系統漏洞、弱口令、雲安全態勢(CSPM)及敏感資產資訊,邏輯推演從互連網入口(起點資產)到核心目標(終點資產)的完整攻擊序列。
可視化圖譜:提供攻擊路徑圖譜,圖形化展示攻擊節點、橫向移動路徑及關聯的暴露組件,直觀呈現複雜網路環境下的風險傳遞關係。
多維風險標籤:覆蓋警示、漏洞、弱口令、關鍵節點、敏感資產、已曝光的AI應用及雲安全配置風險,輔助精準定位高危風險點。
態勢總覽:通過Top5風險路徑、攻擊路徑類型分布及資產暴露方式統計,量化整體攻擊面風險態勢。
風險處置
修複與加固
針對攻擊路徑圖譜中攻擊路徑節點揭示的具體風險點(如系統漏洞、雲安全態勢配置風險、網路連接埠暴露等),前往對應的漏洞管理、CSPM模組或雲端服務器控制台進行修複、加固及安全性群組規則調整,從根源消除風險。
立即處置(加白名單)
適用於確認誤判或風險可接受的情境。通過配置白名單策略,將特定起點至終點資產的攻擊路徑排除,系統將不再產生該路徑的風險資料。
支援掃描的雲產品
廠商 | 服務類別 | 產品列表 |
阿里雲 | 計算與容器 |
|
網路產品配置 |
| |
資料庫 |
| |
儲存 | Object Storage Service | |
中介軟體 | 輕量訊息佇列(原 MNS) | |
AI和巨量資料產品 |
| |
網路安全產品 |
| |
網域名稱服務 (DNS) | 阿里雲萬網 |
常見資產暴露方式
公網IP
直接暴露在互連網上的唯一標識,是資產最基礎、最直接的攻擊入口。任何互連網使用者均可嘗試訪問其開放的連接埠和服務。
資料庫公網串連
將資料庫服務連接埠(如3306、1433、5432)直接暴露於公網。這是極高危的暴露方式,攻擊者可直接進行弱口令爆破或漏洞利用,極易導致資料泄露。
雲產品公網串連
指Object Storage Service(OSS/S3)、API Gateway等雲原生服務配置了公用存取權限。風險通常源於錯誤的存取控制策略,導致敏感性資料或核心商務邏輯對外暴露。
Elastic IP Address(EIP)
一種可獨立持有和動態綁定的靜態公網IP。它為雲主機、網關等資源提供一個固定的公網入口,其風險與普通公網IP一致,但因其可漂移的特性增加了管理複雜性。
應用型負載平衡(ALB)
工作在應用程式層(L7),主要分發HTTP/HTTPS流量。它將Web服務或API統一暴露給公網,是針對Web應用攻擊(如SQL注入、XSS)的主要進入點。
網路型負載平衡(NLB)
工作在傳輸層(L4),負責分發TCP/UDP流量,效能極高。它直接將後端伺服器的特定連接埠暴露於公網,通常用於需要高效能和低延遲的業務情境。
負載平衡(SLB)
阿里雲負載平衡服務的統稱,作為流量分發中樞,它將後端的多個服務以統一的 IP 位址對外提供。它主要包含應用型負載平衡(ALB)和網路型負載平衡(NLB)等不同類型,分別工作在應用程式層(L7)和傳輸層(L4)。
NAT Gateway
主要功能是為私人網路內的主機提供單向的公網訪問能力(出方向)。但通過配置連接埠轉寄規則(DNAT),可將外部請求映射到內部特定主機,從而形成一個受控但依然存在的攻擊入口。