可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.35
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","云攻击路径")}}

云攻击路径

更新时间:2024-11-04

云安全中心支持对云平台中的对外暴露云资产触发攻击路径分析任务;根据暴露资产的脆弱性信息以及配置风险分析针对当前资产的可能的攻击路径并在拓扑图上绘制该路径。

云攻击路径功能帮助安全管理员识别云中重要的攻击路径,将大量分散的风险信息以攻击路径方式分析和呈现以便客户更聚焦哪些风险应该优先处理以及更容易理解风险的危害、影响范围。

1.对外暴露云资产:从云网络可视拓扑图上获取到的存在互联网可访问关系的资产,即互联网可通过EIPNATLB访问的资产。

2.脆弱性信息:从XDR获取到暴露资产的远程可利用漏洞和弱密码信息。

3.配置风险:资产执行CSC的配置检查功能,检查出资产存在的配置问题。

  

配置说明

点击[云攻击路径管/开始分析],即开始分析所有资产。

点击<查看详情>查看攻击路径详情。

点击风险图标查看风险详情。

分析攻击路径

在接入云账号的前提下,云安全中心能够自动和手动的同步云上各种资产并生成云网络可视拓扑图,在云攻击路径管理页面点击开始分析,则会开始以租户为单位考虑能被互联网访问的vm(不支持基于单个资产分析)即暴露面作为起点,结合脆弱性信息和配置风险信息分析当前vm可能存在的攻击路径并进行绘制,如有多个暴露路径都会一并绘制在拓扑图上。

分析得到的结果会展示在攻击告警列表里,点击查看详情可进入到攻击路径详情页面查看详细的基本信息及攻击路径信息

点击风险图标可查看详细的风险信息。

当前可分析攻击路径分为三大类,前提均是可被互联网访问的资产,规则总览图:

攻击路径三类绘制规则详细说明:

1.在Internet 上公开的VM存在远程高可利用漏洞

暴露资产已同步在XDR上,通过和XDR联动的其他产品(如AES、云镜等)进行漏扫得到该暴露资产的脆弱性信息。

攻击路径分析会获取利用方式为远程,标签存在“利用”字眼的漏洞信息绘制攻击路径。

2.在Internet 上公开的VM存在弱密码

暴露资产已同步在XDR上,通过和XDR联动的其他产品(如AES、云镜等)进行漏扫得到该暴露资产的脆弱性信息。

攻击路径分析会获取暴露资产的所有弱密码信息。

3.在Internet 上公开的VM存在配置不合规项

暴露资产在云安全配置管理模块进行过配置检查存在配置问题,攻击路径分析会获取关于vm和数据库的配置问题生成攻击路径。具体会获取的配置问题如下:

vm的两项配置问题:

a.云主机访问规则开放过大

安全组规则设置不当会造成严重的安全隐患,为了数据安全,仅对允许外部访问的端口放通入站规则。 该规则检查安全组入方向的允许策略,若存在除443、80以外的任一端口入方向IP为“0.0.0.0/0”或“::/0”则为“不通过”。

b.云主机未绑定密钥对

建议使用密钥对登陆方式,安全性更高且管理更方便。该规则检查云主机是否绑定密钥对,绑定密钥对则为“通过”。

数据库的两项配置问题:

a.访问规则开放过大

0.0.0.0/0和::/0代表不设IP访问的限制,数据库将会有高安全风险,建议仅对允许访问的公网IP设置白名单或安全组。该规则检查Redis的公网访问策略,若白名单或安全组存在任一端口的入方向IP为0.0.0.0/0和::/0则为“不通过”。

b.实例未启用高安全白名单模式

数据库端口应设置严格的访问控制策略,建议仅对允许访问的IP设置白名单。该规则检查存储类型为“本地SSD盘”的RDS-PostgreSQL数据库实例是否启用高安全模式,若启用则为“通过”。

搜索攻击路径告警

在已分析过攻击路径,存在攻击路径告警的前提下,在搜索框可选择筛选条件并输入查询内容搜索资产,符合搜索结果的资产会展示在攻击告警列表,搜索逻辑是模糊匹配即匹配到部分符合或全部符合的均会展示,筛选条件有三种:资产名称、资产公网IP、资产私网IP,可单独一个条件搜索也可多个条件组合搜索:

单独搜索:

 

组合搜索: